Hoppa till innehåll

GDPR och praktikanter, guide för skolor och företag

05 May 2026

·

4 minute read

Yazan Ghayad avatar
Yazan GhayadVD & Grundare

När en student går ut på praktik utbyts personuppgifter mellan student, skola och företag. Den här guiden förklarar hur GDPR påverkar praktikhanteringen och vad skolor och företag behöver göra för att hantera uppgifterna korrekt.

GDPR gäller all behandling av personuppgifter, även under praktik. Skolan och företaget är oftast självständiga personuppgiftsansvariga för respektive del av processen, vilket innebär att båda parter måste ha laglig grund, tydlig information och rimliga säkerhetsåtgärder.

Varför GDPR är relevant under praktik#

Under en praktikperiod hanteras typiskt sett namn, kontaktuppgifter, personnummer, betyg, frånvaro, bedömningar och ibland känsliga uppgifter som hälsoinformation eller behov av anpassningar. Felaktig hantering kan leda till sanktionsavgifter från Integritetsskyddsmyndigheten och, viktigare, skadat förtroende från studenter och föräldrar.

Vem är personuppgiftsansvarig?#

I praktiksammanhang finns oftast två separata personuppgiftsansvariga:

  • Skolan eller utbildningsanordnaren ansvarar för uppgifter kopplade till utbildningen, till exempel matchning, närvaro och bedömning.
  • Företaget ansvarar för uppgifter kopplade till arbetsplatsen, till exempel passerkort, arbetsmiljödokumentation och intern kommunikation.

Det är sällan ett rent biträdesförhållande. Båda parter bör därför ha egna rutiner och inte förlita sig på den andra.

Laglig grund#

För att behandla personuppgifter krävs en laglig grund enligt GDPR artikel 6. Vanliga grunder i praktiksammanhang:

AktörVanlig grund
Skola, kommunalRättslig förpliktelse eller myndighetsutövning
Skola, friståendeRättslig förpliktelse, avtal eller berättigat intresse
FöretagBerättigat intresse eller avtal med skolan

Samtycke är sällan rätt grund i praktiksammanhang eftersom det förutsätter ett fritt val, vilket är svårt för en student gentemot sin skola eller praktikplats.

Vad ska studenten få information om?#

Enligt artiklarna 13 och 14 ska studenten få tydlig information om:

  • vilka uppgifter som behandlas
  • syftet med behandlingen
  • laglig grund
  • lagringstid
  • mottagare av uppgifterna
  • rättigheter, inklusive rätt till registerutdrag och rättelse

Informationen ska ges innan praktiken startar och vara skriven på lättförståelig svenska.

Vanliga problem i praktikhanteringen#

Personnummer i mejl. Personnummer skickas ofta i Excel-bilagor mellan skola och företag. Det är sällan nödvändigt och utgör en risk vid felsändning eller läckage.

Långa lagringstider. Många skolor sparar praktikrelaterad dokumentation i flera år utan tydligt syfte. GDPR kräver att uppgifter raderas när de inte längre behövs.

Otydligt ansvar. När både skolan och företaget anser att den andra parten ansvarar för säkerheten uppstår luckor.

Bedömningar i fria textfält. Subjektiva omdömen om en student kan vara känsliga. Skriv sakligt och håll dokumentationen relevant.

Checklista för skolor#

  • Kartlägg vilka uppgifter som faktiskt behövs för att administrera praktik
  • Dokumentera laglig grund per behandling
  • Informera student och vårdnadshavare innan praktikstart
  • Minimera personnummer i kommunikation med företag
  • Sätt tydlig lagringstid per uppgiftstyp
  • Använd säker delning av dokument, inte vanlig e-post
  • Utbilda samordnare och lärare i grundläggande GDPR

Checklista för företag#

  • Utse en kontaktperson för praktikanters integritet
  • Begränsa åtkomst till praktikantens uppgifter till relevanta kollegor
  • Hantera passerkort, IT-konton och liknande som vid en visstidsanställning
  • Spara inte CV, betyg eller bedömningar längre än nödvändigt
  • Säkerställ att bilder och citat från praktikanten används med tydligt samtycke om de publiceras externt
  • Hantera känsliga uppgifter, till exempel hälsa eller behov av anpassning, separat och med extra säkerhet

Hur Prakto kan hjälpa#

En digital praktikplattform som Prakto samlar matchning, avtal, uppföljning och dokumentation i ett system. Det minskar behovet av lösa Excel-filer och mejl, gör behörigheter tydliga och förenklar både radering och registerutdrag när de begärs.

Vanliga frågor#

Är praktikanten anställd i GDPR-sammanhang?#

Nej, oftast inte. Praktikanten har en utbildningsrelation till skolan och en arbetsrelaterad relation till företaget utan att vara anställd.

Får företaget spara CV och betyg efter praktiken?#

Endast om det finns ett tydligt syfte, till exempel en pågående rekryteringsprocess. Annars ska uppgifterna raderas.

Krävs ett personuppgiftsbiträdesavtal mellan skola och företag?#

Vanligtvis inte, eftersom båda är självständigt personuppgiftsansvariga. Avtal kan ändå behövas mellan skolan och en eventuell systemleverantör.

Får företaget filma eller fotografera praktikanten?#

Bilder på identifierbara personer kräver laglig grund. För extern publicering är samtycke vanligast, och samtycket måste vara frivilligt.

Vad gäller för känsliga uppgifter som hälsa?#

Känsliga uppgifter enligt artikel 9 kräver ytterligare grund, till exempel uttryckligt samtycke eller arbetsmiljörättsliga skäl. Hantera dem separat och begränsa åtkomst.

Källor#

  • Integritetsskyddsmyndigheten, vägledning om personuppgiftsbehandling i skola och utbildning
  • Dataskyddsförordningen (EU) 2016/679, artiklarna 5, 6, 9, 13 och 14

Slutsats#

GDPR är inte ett hinder för bra praktiksamverkan, men det kräver att skola och företag delar ansvaret tydligt. Dokumentera laglig grund, minimera uppgifterna och informera studenten i förväg. Då blir praktiken både rättssäker och förtroendeingivande.

Share this article
Kontakta oss

Vill du veta mer om Prakto?

Oavsett om du representerar en skola, ett företag eller är student, vi hjälper dig gärna att komma igång.

Fyll i formuläret så hör vi av oss inom 24 timmar.

Skicka ett meddelande