Ja, om man inte i förväg vidtagit rätt åtgärder och följer dataskyddsförordningens grundläggande principer. För att behandling ska vara laglig måste det både finnas ett berättigat ändamål och en laglig grund. Dessutom får man inte behandla mer personuppgifter än vad som krävs för ändamålet.

Exempelvis: Om det inte är absolut nödvändigt att behandla ett personnummer, så ska man heller inte göra det.

Vi måste kunna visa att våra behandlingar följer de nya bestämmelserna. Därför måste all behandling av personuppgifter i förväg finnas angivna i en registerförteckning, där ändamål och laglig grund framgår.

Tumregel: all sorts information som går att knyta till en levande person är en personuppgift.

All slags information som direkt eller indirekt kan knytas till en (fysisk) person som är i livet är en personuppgift. Uppgiften kan enskilt eller i kombination med andra upplysningar knytas till en levande person om man av den registrerade uppgiften kan förstå vem det handlar om.

Exempel på direkta personuppgifter är namn, personnummer, födelsedatum och ansiktsbilder, medan IP-adress, fastighetsbeteckning, kontonummer och användar-ID är exempel på indirekta personuppgifter. Tänk på att även initialer och annan typ av krypterad eller kodad information kan vara en personuppgift om man med hjälp av anslutande uppgifter kan förstå vem det rör sig om.

Tumregel: allt man gör med en personuppgift innebär en behandling.

Med behandling menas allt som görs med personuppgifterna. Det kan exempelvis röra sig om insamling av personuppgifter, likaså registrering, lagring och spridning.

En behandling av personuppgifter kan ske digitalt på dator och i verksamhetssystem men också manuellt, exempelvis i kartotek eller pärmregister. Här följer en del exempel på vanliga behandlingar av personuppgifter:

- Filmning, fotografering och lagring av foton på personal och elever
- Dokumentation i kommunala system, exempelvis Unikum, Vklass och Dexter
- Kameraövervakning
- Skicka och ta emot interna och externa mejl
- Blanketter som fylls i, samlas in eller lagras

Huvudregeln är att det är förbjudet att behandla uppgifter som avslöjar:

- Ras eller etnicitet
- Politiska åsikter
- Religiös övertygelse
- Facktillhörighet
- Personuppgifter om hälsa
- Sexuell läggning
- Genetiska och biometriska personuppgifter

Vid behandling av personuppgifter finns det enligt dataskyddsförordningen sju grundläggande principer som måste uppfyllas. Det är den personuppgiftsansvarige, alltså organisationen, myndigheten eller verksamheten som ska se till att dessa grundprinciper uppfylls och efterlevs av alla anställda:

- Laglighet, korrekthet och öppenhet
- Ändamålsbegränsning
- Uppgiftsminimering
- Korrekthet
- Lagringsminimering
- Integritet och konfidentialitet
- Ansvarsskyldighet

Varje behandling av personuppgifter måste vila på en rättslig grund. För att en behandling av personuppgifter ska vara laglig krävs att något av följande villkor är uppfyllda:

- Den registrerade har lämnat sitt samtycke
- Behandlingen är nödvändig för att fullgöra ett avtal med den registrerade
- Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse
- Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person
- Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller myndighetsutövning
- Intresseavvägning
- Att behandlingen ha ett tydligt syfte och vara nödvändig för verksamheten.

Många lärare använder sig av digitala tjänster som exempelvis appar och tillägg i Chrome, digitala läromedel eller andra verktyg som kräver eller samlar in personuppgifter i form av e-postadresser eller användarnamn.

Kommer lärarna att kunna använda dessa digitala tjänster i enlighet med dataskyddsförordningen?

Det enkla svaret är ja, men... Företaget eller personerna bakom den digitala tjänsten räknas som ett personuppgiftsbiträde, eftersom de biträder kommunen i behandlingen av personuppgifter. Då måste det finnas ett avtal mellan kommunen och biträdet. Ett sådant avtal kallas för ett personuppgiftsbiträdesavtal, PUB.

Ett företag som behandlar personuppgifter för någon annans räkning är att anse som ett personuppgiftsbiträde. Om vi som skola vill anlita ett sådant biträde måste vi teckna ett skriftligt avtal med biträdet, exempelvis vid användning av molntjänster eller digitala lärresurser. Dataskyddsförordningen innehåller detaljerade bestämmelser om vad ett sådant avtal ska innehålla och det är endast den personuppgiftsansvarige som kan underteckna ett sådant avtal.

I Ystads kommun är det respektive nämnd som är personuppgiftsansvarig. Man kan alltså inte som tjänsteman själv teckna ett personuppgiftsbiträdesavtal utan delegation från nämnden.

Personuppgifter får bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål.

Det betyder således att uppgifter som samlas in för ett visst syfte, får inte användas i ett senare skede för andra syften. För exempelvis skolan innebär det att personuppgifter endast får behandlas för sådana ändamål som krävs enligt våra styrdokument. Inga "bra-att-ha-uppgifter" får behandlas eller lagras. Det måste finnas ett tydligt och kommunicerat syfte med behandlingen.