Får skolan registrera uppgifter om den elev som utsätter andra elever för kränkningar?

Vi vill inledningsvis upplysa om att svaret som ges är övergripande och inte en rekommendation till beslut i något enskilt fall.

Fråga:

Vår kommun planerar att införa ett system som heter Adato-LISA för att registrera olyckor, tillbud och kränkningar. I vårt nuvarande system registrerar vi uppgifter om den elev som blivit utsatt för en kränkning (offret). Nu vill vi även "bokföra" vem/vilka som utförde kränkningen (förövaren).

Är detta lagligt?

Svar:

Jag uppfattar det som att den planerade behandlingen är ett led i skolans arbete mot kränkande behandling, i vilket det ingår ett krav på att upprätta dokumentation av den typ du beskriver i din fråga. Skolinspektionen har i ett antal beslut uttryckt att huvudmän bör göra så och jag förstår därför syftet med era planer.

Däremot är det ett antal saker ni bör vara vaksamma med för att inte dokumentationen i systemet ska komma i konflikt med dataskyddsförordningen, GDPR.

I Art. 9 i förordningen beskrivs det som vi normalt kallar känsliga personuppgifter. Detta är uppgifter om: 

• religiös övertygelse
• etniskt ursprung
• politiska åsikter
• sexualliv
• genetiska uppgifter
• sexuell läggning
• filosofisk övertygelse
• biometriska uppgifter
• fackmedlemskap
• hälsotillstånd

Ett antal av de uppgifter som regelmässigt förekommer i ärenden om kränkande behandling är alltså känsliga personuppgifter enligt förordningen. Känsliga personuppgifter får bara behandlas om det finns uttryckligt lagstöd för detta. Ett sådant lagstöd finns i 3 kap. 3 § dataskyddslagen (för offentligt drivna skolor) och i 26 a kap. 4 § skollagen (för fristående skolor). Detta lagstöd möjliggör sådan behandling av känsliga personuppgifter som krävs (eller motsvarar vad som krävs) vid ärendehandläggning hos en myndighet. Hit torde man räkna skolhuvudmannens och personalens skyldighet enligt 6 kap. skollagen att anmäla, utreda och sätta in åtgärder mot kränkande behandling.

Normalt ska personuppgifter inte lagras längre än vad som är motiverat utifrån syftet med att det samlats in – och detta är inte mindre viktigt när uppgifterna som behandlas är känsliga. Skolinspektionen och BEO har dock i vissa fall ställt krav på skolorna att även bedriva ett långtgående och systematiskt arbete för att grundligt kunna utreda omständigheterna kring kränkningar, vilket torde kräva att uppgifter lagras över längre tid.

Enligt min bedömning är lagstödet för att behandla känsliga personuppgifter med detta syfte inte alls lika tydligt. Man bör också ha i åtanke att lagen uttryckligen förbjuder sökningar som syftar till att få fram ett urval av personer grundat på känsliga personuppgifter – och det är därför olämpligt att lagra känsliga personuppgifter på ett sätt som möjliggör sådana sökningar.

Innan en behandling som sannolikt innebär hög risk för de enskildas fri- och rättigheter inleds (vilket införandet av detta system borde räknas som) krävs, enligt artikel 36 GDPR, att en konsekvensbedömning görs. Denna ska innehålla följande:

• en beskrivning av den planerade behandlingen och behandlingens syften,
• en bedömning av behovet av och proportionaliteten hos behandlingen i förhållande till syftena,
• en bedömning av riskerna för de registrerades rättigheter, och
• de åtgärder som planeras för att hantera riskerna, inbegripet skyddsåtgärder, säkerhetsåtgärder och rutiner för att säkerställa skyddet av personuppgifterna och för att visa att denna förordning efterlevs.

Om risken fortfarande bedöms vara hög efter genomförd konsekvensbedömning (med beaktande av de planerade skyddsåtgärderna) krävs att ett förhandssamråd genomförs med Datainspektionen.

Kan ni inte avvakta med detta är mitt råd att dokumentera hur ni beaktat dataskyddsförordningen i processen, motivera varför ni uppfattat att behandlingen är nödvändig som ett led i skolans arbete mot kränkande behandling, samt tekniskt begränsa behörigheten så mycket det bara är möjligt så att endast någon enstaka person eller några få personer kan komma åt just de här personuppgifterna. Om ni uppfattar att det är nödvändigt att spara känsliga personuppgifter även efter att själva ”kränkningsärendet” avslutats, kan ni också överväga att pseudonymisera eller anonymisera uppgifterna.

Frågan besvarades av Simon Jernelöv, rådgivare och jurist på JP Skolnet samt Didrik Värmon, rådgivare och jurist på JP ITnet

Behöver ni ytterligare fördjupning? Vi erbjuder kundanpassade utbildningar

Med en kundanpassad utbildning får du innehåll som är skräddarsytt för att passa just era behov och utmaningar. Kurserna håller vi på plats hos er, i någon av våra lokaler eller via videokonferens. 

Ta del av exempel på kundanpssade utbildningar vi genomfört för exempel på upplägg och innehålll: Diskriminering och kränkande behandling i skolan och GDPR i skolan.

Publicerad 12 nov 2018