Den 25:e maj år 2018 trädde Dataskyddsförordningen i kraft. Förordningen är ett beslut på EU:nivå som reglerar hur myndigheter, företag och organisationer som verkar inom EU får behandla personuppgifter. Dataskyddsförordningen, också kallad GDPR - General Data Protection Regulation, har inneburit en skärpning för hur personuppgifter behandlas digitalt. För att få hantera personuppgifter måste det finnas rättslig grund och det måste finnas regleringar för var och hur länge personuppgifter lagras samt för vilka som har tillgång till dessa.
Umeå Waldorfskola och Umeå Waldorfförskola omfattas precis som alla andra organisationer som hanterar personuppgifter av Dataskyddsförordningens bestämmelser. Nedan kan du läsa mer om vad detta innebär.
Allmänt om personuppgifter
Vad är räknas då som personuppgift?
Personuppgifter är all typ av information som direkt eller indirekt kan kopplas till en nu levande människa. Det kan exempelvis handla om:
- Namn
- Adress
- Personnummer
- Bankkontonummer
- Id-kortnummer
- E-postadress
- Telefonnummer
- IP-nummer
- Bilder
- Filmer
- Ljudinspelningar
- En bils registreringsnummer
- Information om hälsotillstånd
En del personuppgifter anses vara särskilt känsliga och bör därför hanteras med än större försiktighet. Till dessa hör exempelvis information om en persons hälsa, politiska åsikter, fackligt medlemskap och sexuella läggning. Även information om t.ex. lön, sociala förhållanden och lagöverträdelser kan klassas som känsliga personuppgifter.
När ett företag, organisationer eller myndigheter hanterar personuppgifter måste det alltid finnas en rättslig grund för hanteringen. Det innebär att det måste finnas legitima skäl för t.ex. en skola att hantera personuppgifterna. Det kan exempelvis handla om att skolor är skyldiga att hantera vissa personuppgifter. Skolor måste bland annat hantera personuppgifter när närvaro ska föras på elever eller om vårdnadshavare behöver kontaktas.
När en organisation enligt lag måste hantera personuppgifter är skälet för hanteringen alltså rättslig skyldighet. Ett annat sätt att motivera hanteringen av personuppgifter kan vara något som kallas för berättigat intresse. Det innebär att det ligger i den vars personuppgifter som behandlas intresse att dessa personuppgifter behandlas. Ett exempel skulle kunna vara att arbetsgivare behöver kunna hantera personuppgifter som bankkonto, lön och adress för att kunna betala ut lön till en anställd och det ligger ju i den anställdes intresse att kunna få sin lön utbetald. Ytterligare ett skäl att ha rätt att hantera personuppgifter kan föreligga om t.ex. ett företag har fått personens samtycke. Det är dock inte alltid samtycke räcker som skäl för att få hantera personuppgifter då det inte får förekomma ett beroendeförhållande mellan den som ger sitt samtycke och den som hanterar personuppgifterna.
Alla företag, myndigheter och organisationer som hanterar personuppgifter omfattas av GDPR. Om de bryter mot förordningen kan detta i förlängningen innebära att företaget, myndigheten eller organisationen straffas med en sanktionsavgift.
Barn och elever
Förskolebarn och elevers personuppgifter hanteras bland annat i journaler, i åtgärdsprogram, i pedagogiska utredningar, i samband med betygssättning, i praoblanketter, i samband med eventuell bildpublicering, i ansökningar till förskola och skola, i kränkningsrapporter, i beslut om anpassad studiegång, i kostvalsblanketter och i närvarorapporter.
Vårdnadshavare
Vårdnadshavares personuppgifter hanteras vanligen i anslutning till någon av ovanstående hantering av elevers personuppgifter.
Arbetssökande
I samband med arbetsansökan hos oss skickar vanligen den sökande vanligen över personligt brev, CV och andra dokument där det förekommer personuppgifter.
Anställda
En anställds personuppgifter hanteras för att kunna betala ut lön, betala arbetsgivaravgifter och skatt samt i samband med sjukskrivning och företagshälsovård.
Hur länge sparas personuppgifter?
Personuppgifter får varken sparas för lång tid eller för kort tid. Riktmärket för hur länge personuppgifter bör sparas handlar om hur länge de är relevant för företaget, organisationen eller myndigheten att lagra personuppgifterna. Det måste finnas ett syfte legitimt syfte med att behålla dem. Hur lång tid detta är beror på vilken typ av personuppgifter det handlar om och i vilket syfte de hanteras. De flesta av en elevs personuppgifter är t.ex. bara relevanta under den tid som eleven går på skolan.
Varje organisation, myndighet och företag som hanterar personuppgifter måste också föra en registerförteckning där det bland annat framgår vilka typer av personuppgifter som hanteras av denna, var de lagras, vem som hanterar dem, i vilket syfte de sparas och hur länge de sparas. Det är viktigt att det finns reglerat hur olika typer av personuppgifter hanteras för att hanteringen inte ska bli godtycklig.
Så skyddas dina personuppgifter
Vem som helst får inte hantera personuppgifter utan det ska i nämnda registerförteckning tydligt framgå vilka kategorier av anställda som hanterar personuppgifterna. På så sätt skyddas dina personuppgifter. Dessutom framgår det där hur länge personuppgifterna finns kvar i IT-system och liknande något som också förhindrar en felaktig hantering.
Särskilt skyddsvärda personuppgifter som exempelvis personnummer, journaler och information om hälsotillstånd omgärdas av särskilda restriktioner.
Synpunkter på vår hantering av personuppgifter
Om du har synpunkter på eller frågor kring hur Umeå Waldorfskola hanterar personuppgifter och inte hittade svaret i denna text kan du kontakta vår personuppgiftsansvarige Per Sigvallius på per.sigvallius@waldorfumea.se . Du som privatperson har alltid möjlighet att begära ut information om hur just dina personuppgifter behandlas av oss.
Block Quote