Vilka personuppgifter får en lärare mejla enligt GDPR?

Fråga:

Vad får jag som lärare mejla enligt GDPR? Kan man mejla initialer för en elev? Kan jag mejla elevens namn i ett mejl och infon i ett annat? Kan jag mejla en logoped/lärare/psykolog och skriva att jag vill ha kontakt gällande en viss elev?

Svar:

Utbildningsverksamheten är ett allmänt intresse, vilket gör att en stor del av den personuppgiftsbehandlingen som sker i skolan kan härledas till allmänt intresse. I en del fall finns kommunikation mellan t.ex. hem och skola också som en rättslig förpliktelse enligt t.ex. skollagen. Där finns också en laglig grund för viss personuppgiftsbehandling.

Men trots att det finns ett lagligt intresse bör inte personuppgifter spridas genom e-post i onödan utan de ska skickas endast om det är nödvändigt för ett specifikt ändamål och enbart till de personer som behöver få ta del av dem. Personuppgifter ska inte vara kvar i ett svar på meddelandet, speciellt med tanke på att meddelandet kan komma att vidarebefordras. Om möjligt bör alltså personuppgifterna raderas innan man svarar på ett mejl – under förutsättning att de inte behövs för ärendet i fråga.

Om initialer kan härledas till en viss person är initialerna en personuppgift som gör att GDPR blir tillämplig. I det andra exemplet är namn och info i olika mejl tänkta att höra ihop, vilket gör att detta också blir personuppgifter. Det går inte att gå runt GDPR genom att använda sådana här alternativ om det ändå kan härledas till en viss person.

Undvik att skicka känsliga eller integritetskänsliga personuppgifter via mejl, art 9.1 GDPR. Kommunikation av känsliga personuppgifter via mejl kräver säker överföring något som kan uppnås genom att överföringen skyddas och det säkerställas att enbart rätt mottagare kan få tillgång till innehållet i mejlet. Detta kan uppnås genom till exempel kryptering.

• Är mejlprogrammet ni använder krypterat?
• Är wi-fi krypterat?
• Finns lösenord på mejl och arbetstelefoner hos sändare och mottagare lärare?

Känsliga eller integritetskänsliga personuppgifter som ska sparas för ett specifikt ändamål ska så snabbt som möjligt flyttas till ett lämpligt ärendehanteringssystem som omfattas av tillräckligt tekniskt skydd och får inte lagras i mejlinkorgen. Känsliga/integritetskänsliga personuppgifter som kommit in oskyddade via e-post ska klippas bort, eller på annat sätt raderas, ur ett oskyddat e-postsvar eller vid vidarebefordran. Tänk på att aldrig behandla personuppgifter i verktyg som inte är tillräckligt säkert, art 5.1.f och art 32.

Att ta kontakt med logoped eller psykolog med anledning av en elev utgör behandling av känsliga personuppgifter, art 9.1 GDPR. Mejlet avslöjar uppgifter om elevens hälsa eftersom mejlet är riktat till en mottagare så som logoped eller psykolog. Ni bör undvika att skicka dessa uppgifter via mejl. Istället kan ni ringa logopeden eller psykologen och förklara vilken elev ni avser i mejlet innan samtalet om eleven äger rum.

Lär dig mer och få svar på dina frågor om GDPR i skolan under vår kurs.

Laura Gashi
Jurist/rådgivare, JP Infonet

Maria Bjurholm
Jurist/rådgivare, JP Skolnet

Vi vill upplysa om att svaret som ges är övergripande och inte en rekommendation till beslut i något enskilt fall.