Svar till: Klasslistor, offentlighetsprincip-GDPR

Start Forum Öppenhetsforum Klasslistor, offentlighetsprincip-GDPR Svar till: Klasslistor, offentlighetsprincip-GDPR

#37496
Per Hagström
Moderator

Jag ställde den här frågan till Datainspektionen:

Hej, jag driver organisationen Utgivarnas forum om offentlighetsprincipen och har på senare tid fått frågor från lärare vars skolor har slutat dela ut klasslistor med hänvisning till GDPR. Jag är ingen expert på GDPR och vill därför fråga er vad som gäller. Hindrar GDPR att skolor delar ut klasslistor med namn på elever och kontaktuppgifter till föräldrar?

Jag fick det här föga klargörande svaret:

Hej Per,

Det finns inget förbud mot att dela ut klasslistor till föräldrar i dataskyddsförordningen (GDPR). Däremot måste man, som med all annan personuppgiftsbehandling, ha en så kallad rättslig grund. Har skolan ingen rättslig grund för att utföra behandlingen är den inte tillåten enligt GDPR. Det finns sex olika rättsliga grunder i GDPR, och vilken som blir tillämplig kan skilja sig mellan kommunala skolor och friskolor.

För kommunala skolor är det i första hand uppgift av allmänt intresse som är fallet, mer information om denna rättsliga grund finns på vår webbplats: https://www.datainspektionen.se/lagar–regler/dataskyddsforordningen/rattslig-grund/myndighetsutovning-och-uppgifter-av-allmant-intresse/.

För friskolor skulle man istället kunna använda sig av en intresseavvägning. Det innebär att skolans intresse av att utföra behandlingen av personuppgifterna väger tyngre än elevens intresse att inte få sin personliga integritet kränkt i det enskilda fallet. Här finns mer information om denna rättsliga grund: https://www.datainspektionen.se/lagar–regler/dataskyddsforordningen/rattslig-grund/intresseavvagning/.

Det skulle också eventuellt vara möjligt att basera behandlingen på ett samtycke (för både kommunala skolor och friskolor). Dock kan detta bli problematiskt eftersom det kan vara svårt att hävda att maktförhållandet är speciellt jämlikt mellan skolan och det enskilda eleven. Här finns mer information om samtycke: https://www.datainspektionen.se/lagar–regler/dataskyddsforordningen/rattslig-grund/samtycke/.

Här kan också nämnas att en av de grundläggande principerna i GDPR är den om integritet och konfidentialitet. Detta innebär att skolan är skyldig att se till att uppgifterna skyddas på ett bra sätt mot till exempel att ingen obehörig kommer åt dem eller att de sprids på ett felaktigt sätt. Här kan du läsa om denna princip: https://www.datainspektionen.se/lagar–regler/dataskyddsforordningen/grundlaggande-principer/#Integritet.

Avslutningsvis vill jag be om ursäkt för att svaret dröjt, upplysningstjänsten har haft hög belastning den senaste tiden.