Riktlinjer för skydd av personuppgifter i förskolan

För att kunna utföra förskolans uppdrag hanterar varje förskola dagligen olika personuppgifter. Även på huvudmannanivå hanterar vi dagligen  personuppgifter. För att värna barnens och vårdnadshavarnas rätt till integritet och trygghet ska varje rektor och varje medarbetare på varje förskola – liksom varje chef och varje medarbetare på stabsnivå – medvetet hantera personuppgifter enligt dessa riktlinjer.

Att tänka på

  • Barnens och vårdnadshavarnas personuppgifter är deras egna – vi lånar dem bara.
  • Vi ska enbart använda de personuppgifter som vi verkligen behöver för det aktuella syftet.
  • Vi ska i så liten utsträckning som möjligt hantera (samla in, lagra och sprida) känsliga personuppgifter.
  • Vi ska i möjligaste mån eftersträva att vår hantering av personuppgifter vilar på annan rättslig grund än samtycke.

Personuppgiftsansvarig

För AcadeMedias förskolor är det Pysslingen förskolor och skolor AB samt Vittra AB som är personuppgiftsansvarig för behandlingen av barnens och vårdnadshavarnas personuppgifter. Det betyder att Pysslingen Förskolor och Skolor AB har det yttersta ansvaret för den personuppgiftsbehandling som sker för barn och deras vårdnadshavare vid Pysslingens förskolor. För Vittras förskolor är det Vittra AB som har motsvarande yttersta ansvar.

Dataskyddsombud

AcadeMedias förskolor har ett gemensamt dataskyddsombud som har tillsynsansvar för hanteringen av barnens och vårdnadshavarnas personuppgifter. Det gemensamma dataskyddsombudet har också rapporteringsansvar till Datainspektionen vid personuppgiftsincidenter (se definition av personuppgiftsincident längre ned i texten). Ombudet arbetar på uppdrag av respektive bolagsstyrelse och återkopplar direkt till bolagsstyrelsen. Dataskyddsombud för AcadeMedias förskolor är Coral Ljunggren, dataskydd@academedia.se.

Personuppgiftsbiträde

Den externa part som behandlar barnens och/eller vårdnadshavarnas personuppgifter på uppdrag av Pysslingen förskolor och skolor AB eller Vittra AB blir ett så kallat personuppgiftsbiträde. För denna part ska det finnas ett personuppgiftsbiträdesavtal upprättat. I det regleras vad den externa parten får göra med personuppgifterna. Där AcadeMedia har ramavtal med en extern part (till exempel SchoolSoft) ligger ansvaret på koncernnivå för att ett korrekt personuppgiftsbiträdesavtal är upprättat.

Om verksamheten tecknar ett avtal med en extern part och ett centralt ramavtal saknas, måste verksamheten tillsammans med dataskyddsombudet göra en bedömning av partens lämplighet att vara personuppgiftsbiträde. Den som slutligen tecknar tjänsteavtalet är ansvarig för att det också upprättas ett personuppgiftsbiträdesavtal. Dataskyddsombudet ansvarar för att hålla förteckningen över samtliga personuppgiftsbiträden aktuell och fortlöpande göra kontroller av deras lämplighet.

Tredjepartsappar

Med en tredjepartsapp menas en app (applikation) som laddas ner till en dator, surfplatta, Chromebook eller ett annat tekniskt hjälpmedel. Denna app kan hämta och läsa information från en annan redan installerad app samt i vissa fall från en annan mjukvara eller annat systeminnehåll. Vid användning av tredjepartsappar finns det en betydande säkerhetsrisk. Faran ligger i att man förlorar kontrollen och insynen i hur personuppgifter behandlas av en tredje part.

För att trygga barnens personuppgifter vid användning av tredjepartsappar finns det på förskolorna behörighetsbegränsningar för vilka appar som kan installeras via Google och Apple. De appar som förskolorna kan välja mellan är granskade och godkända av den personuppgiftsansvariga.

Lista över godkända tredjepartsappar

Digitala lärtjänster

Med digitala lärtjänster menas de olika webbaserade tjänster som används i undervisningen, till exempel Pollyglutt. För att trygga barnens personuppgifter vid användning av digitala lärtjänster granskar och godkänner den personuppgiftsansvariga dessa. Godkända digitala lärtjänster finns på en rekommendationslista och bara dessa får användas i undervisningen.

Rekommendationslistan – digitala lärtjänster

Personuppgiftsincident

En personuppgiftsincident är en händelse där vi oavsiktligt förlorat, ändrat eller delat med oss av personuppgifter till någon obehörig. Exempel på personuppgiftsincidenter är när:

  • ett mail med integritetskänsliga personuppgifter om ett barn skickats till fel person,
  • en registerpärm med personuppgifter stjäls från förskolan,
  • ett misstänkt intrång skett i SchoolSoft.

När en personuppgiftsincident har inträffat ska du omgående informera närmaste chef och incidenten ska anmälas till dataskyddsombudet. Dataskyddsombudet ansvarar för dokumentation och eventuell rapportering till Datainspektionen (inom 72 timmar från att incidenten identifierats). Vid behov informeras vårdnadshavare om vad som skett och vilka åtgärder som vidtagits.

Anmälan till dataskyddsombudet gör du via webbformuläret för anmälan av personuppgiftsincident.

Att tänka på som medarbetare:

  • Du ska till dataskyddsombudet anmäla alla former av personuppgiftsincidenter som du får kännedom om.
  • Det är verksamhetschefen som, efter avstämning med dataskyddsombudet, ger information till vårdnadshavare om en personuppgiftsincident.

Hantering av personuppgifter

Hanteringen av personuppgifter består av flera olika moment där varje moment juridiskt sett betraktas som en personuppgiftsbehandling. Hanteringen kan ses som en process som börjar med insamling och avslutas med gallring. Bilden nedan illustrerar de olika momenten.

1. Informera

När personuppgifter ska behandlas, exempelvis när vårdnadshavare placerar sitt barn i kö eller när ett barn börjar på förskolan, måste vårdnadshavarna informeras om hur deras och barnets personuppgifter kommer att behandlas. Informationen ska lämnas innan personuppgifterna samlas in. Av informationen ska det bland annat framgå vem som är personuppgiftsansvarig, vilka personuppgifter som samlas in, den rättsliga grunden för att få hantera personuppgifterna, vad personuppgifterna ska användas till och hur länge de sparas. På trygg.academedia.se finns information om detta för vårdnadshavarna.

Att tänka på som rektor:

  • Du ansvarar för att vårdnadshavare i samband med att de tackar ja till en plats på förskolan får information om förskolans personuppgiftshantering.
  • Du ansvarar för att alla vårdnadshavare årligen får informeration om varför och hur förskolan hanterar barnens och vårdnadshavarnas personuppgifter.
  • Om det finns behov av att översätta informationen till ett annat språk än svenska, engelska, somaliska, arabiska, persiska och tigrinja, ta kontakt med dataskyddsombudet.

Förskolans texter med information till vårdnadshavarna på svenska, engelska, somaliska, arabiska, persiska och tigrinja hittar du här. Texten ska användas när vårdnadshavarna tackar ja till en plats samt årligen till alla.

2. Samtycka och registrera

Innan personuppgifter samlas in måste förskolan bedöma om samtycke krävs. För vägledning se nedan.  Notera att ett samtycke alltså ska inhämtas innan förskolan påbörjar insamling eller registrering av personuppgifter.

I förskolan krävs alltid båda vårdnadshavarnas samtycke:

  • för att få publicera en bild eller film på sociala medier, på webbsida eller i tryck där barnet går att identifiera.

Det är rektorns ansvar att förskolan har dokumenterade och korrekta samtycken för de situationer där bilder eller filmer används i förskolans lokala marknadsföring. Rektorn ansvarar också för att dessa samtycken gallras när de inte längre är aktuella. Vid central marknadsföring är det marknadsavdelningen som ansvarar för att samtycken finns och att det gallras bland dessa.

Ett samtycke kan återkallas om vårdnadshavarna är överens om det. Återkallande medför inte att den behandling som redan gjorts (exempelvis bildpubliceringar) blir olagliga. Däremot får vi inte fortsätta att använda personuppgifterna (exempelvis bilder) efter att samtycket återkallas.

Att tänka på som rektor:

  • Att samtycken sparas så att aktuella samtycken kan tas fram och inaktuella gallras ut.
  • Att nya samtycken upprättas vid varje verksamhetsårs början (augusti).

Blanketter för samtycke för att använda bild/foto/film vid marknadsföring hittar du här.

3. Spara

Att spara personuppgifter är detsamma som att lagra dem. Det finns olika alternativ; de kan lagras exempelvis i ett IT-system, i en molntjänst, i e-post, på en filserver, på ett USB-minne eller analogt på papper. Platsen för var personuppgifterna sparas måste väljas med omsorg och med insikt om hur skyddsvärda personuppgifterna är. De får inte sparas längre tid än vad som behövs för ändamålet.

För att kontrollera hur länge olika personuppgifter ska sparas, se AcadeMedias arkiveringsplan.

Hur ska okänsliga personuppgifter sparas?

Okänsliga personuppgifter är harmlösa ur ett integritetsperspektiv och kan därför sparas digitalt på samtliga lagringsplatser som AcadeMedia tillhandahåller, till exempel på filservern, i e-post, i Google-drive/One-drive och i IT-system. Egna digitala system, utanför de uppräknade, är inte tillåtna.

Hur ska integritetskänsliga personuppgifter sparas?

Integritetskänsliga personuppgifter är exempelvis personnummer, uppgifter om barnets förändrade kunnande, beskrivningar av barnets förmågor, beskrivningar av deras hemförhållanden eller en anmälan om kränkande behandling. Integritetskänsliga personuppgifter ska alltid hanteras med försiktighet och sparas i de system som de är avsedda för. Endast om hanteringen är säker kan sådan information exporteras ur systemet och sparas på annan plats som AcadeMedia tillhandahåller.

  • Barnets förändrade kunnande och extra anpassningar ska sparas i SchoolSoft.
  • Pedagogiska kartläggningar och utredningar kan sparas i Google-drive/One-drive så länge dokumentet delas enbart med den som har rätt till det, alternativt lokalt på datorn i ett lösenordsskyddat dokument.
  • Uppgifter om barnets eller familjens sociala situation kan sparas i Google-drive/One-drive så länge dokumentet delas enbart med den som har rätt till det, alternativt lokalt på datorn i ett lösenordsskyddat dokument.
  • Kränkningsanmälningar kan göras i Servicewebben.
  • Anmälan om tillbud/olycksfall kan göras i Servicewebben.

Hur ska känsliga personuppgifter sparas?

Känsliga personuppgifter är uppgifter om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i en fackförening, hälsa, en persons sexualliv eller sexuella läggning samt genetiska eller biometriska uppgifter. Känsliga personuppgifter ska alltid hanteras med extra försiktighet och sparas i avsedda IT-system. De ska inte lyftas ut ur avsedda IT-system eller sparas på annan plats om inte hanteringen är säker.

  • Förskolepersonal kan behöva spara känsliga personuppgifter. Det kan exempelvis vara en pedagog som behöver skriva egna minnesanteckningar vid en situation för att alla barn ska få de bästa förutsättningarna utifrån sina behov. Denna typ av anteckningar kan sparas i Google-drive/One-drive så länge dokumentet delas enbart med den som har rätt till det, alternativt lokalt på datorn i ett lösenordsskyddat dokument.
  • Uppgifter om allergi och specialkost kan sparas i Google-drive/One-drive så länge dokumentet delas enbart med den som har rätt till det, alternativt lokalt på datorn i ett lösenordsskyddat dokument.

4. Dela

Med delning av personuppgifter menas att personuppgifter delas/sprids mellan individer. När person A delar personuppgifter med person B måste det göras med omsorg och hänsyn till om det är okänsliga, integritetskänsliga eller känsliga personuppgifter som delas.

Hur ska okänsliga personuppgifter delas?

Okänsliga personuppgifter är harmlösa ur ett integritetsperspektiv och kan delas digitalt på de olika sätt som AcadeMedia har tillgång till.

Hur ska integritetskänsliga personuppgifter delas?

Integritetskänsliga personuppgifter är exempelvis personnummer, uppgifter om barnets förändrade kunnande, beskrivningar av barnets förmågor eller beskrivningar av deras hemförhållanden. Om du behöver dela integritetskänsliga personuppgifter utanför avsedda IT-system (exempelvis SchoolSoft och Servicewebben) kan du göra det på följande sätt:

  • Via Google-drive/One-drive, där du som delar har kontroll över vem som får åtkomst och hur länge mottagaren ska ha åtkomst.
  • Via krypterad e-post (AcadeMedias interna e-post är krypterad) om det går att säkerställa att sändare och mottagare tar bort mailet när det inte längre behövs för syftet.
  • Med krypterad e-post om filen är lösenordsskyddad och lösenordet skickas på annat sätt.
  • Med ett krypterat och lösenordsskyddat USB-minne.

Hur ska känsliga personuppgifter delas?

Känsliga personuppgifter är uppgifter om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i en fackförening, hälsa, en persons sexualliv eller sexuella läggning samt genetiska eller biometriska uppgifter. Om du behöver dela känsliga personuppgifter utanför avsedda IT-system kan du göra det på följande sätt:

  • Via Google-drive/One-drive, där du som delar har kontroll över vem som får åtkomst och hur länge mottagaren ska ha åtkomst.
  • Via e-post om den är krypterad (AcadeMedias interna e-post är krypterad) och om det går att säkerställa att sändare och mottagare tar bort e-posten när det inte längre behövs för syftet.
  • Med krypterad e-post om filen är lösenordsskyddad och lösenordet skickas på annat sätt.
  • Med ett krypterat och lösenordsskyddat USB-minne.

5. Arkivera/gallra

När ändamålet med personuppgifterna inte längre är aktuellt ska personuppgifterna gallras eller arkiveras. AcadeMedias arkiveringsplan anger hur lång tid olika typer av personuppgifter ska arkiveras. Huvudregeln är – om inget annat anges i arkiveringsplanen – att personuppgifter om barn och vårdnadshavare ska gallras senast sex månader efter att barnet slutat på förskolan. Om särskilda skäl finns kan uppgifter sparas längre än sex månader. Ett exempel kan vara om det pågår en process, till exempel när en anmälan gjorts till Skolinspektionen, eller om en process kan förväntas. Varje rektor måste göra en bedömning av vilket material som behöver sparas under en längre tid och rektorn ansvarar också för att uppgifter tas bort när de inte längre behövs.

Att tänka på:

  • personuppgifter måste gallras från samtliga platser som de lagras på exempelvis e-post, filserver och pärmar.

Dataskydd i SchoolSoft

Schoolsoft är ett digitalt kommunikationssystem för vårdnadshavare och förskolepersonal. Systemets huvudfunktioner är administration, pedagogik och kommunikation. Programmet är webbaserat och kan användas när som helst under dygnet med en dator, läsplatta eller mobiltelefon som har internetuppkoppling. Följande delar finns i SchoolSoft:

  • register för barn, vårdnadshavare och personal, med ett antal rapportfunktioner,
  • närvarorapportering,
  • kalenderfunktion,
  • schemafunktion,
  • verktyg för uppföljning av barnets förändrade kunnande,
  • analysverktyg för förskolans systematiska kvalitetsarbete,
  • kommunikation mellan samtliga parter utifrån den behörighet man har i systemet.

Tillträde till systemet har den som behöver det i sin yrkesroll och vårdnadshavare. Tillträde till de olika delarna i systemet tilldelas utifrån behov och definieras som roller. Förskolans personal ska som nya användare alltid ha genomgått utbildning för att få tillträde till systemet. Administratörer ska ha genomgått certifiering. Rektorn har det övergripande ansvaret för hur systemet används på enheten. Även personal på stabs- och huvudmannanivå ska ha tydliga roller som ger access enbart till de delar de behöver i sin yrkesutövning.

Fritextfält

Fritextfälten får inte användas för att registrera andra uppgifter än vad fälten är till för. När du använder fritextfunktioner tänk på att alltid uttrycka dig  professionellt, sakligt och objektivt i relation till den aktuella frågan och i övrigt i överensstämmelse med likabehandlingsplanen, god etik samt gällande lagar och förordningar. Integritetskänsliga eller känsliga uppgifter och kränkande uttalanden får inte förekomma.

Registrering av frånvaro

Vid registrering av frånvaro får uppgifter om sjukdom eller hur barnet mår inte registreras. Enbart anmäld och oanmäld frånvaro får anges.