Personvern - for skoler og skoleeiere

Det er viktig at dere som jobber på skolen vet hva personopplysninger er og hva det innebærer at dere behandler disse opplysningene.

Hva er personopplysninger?

Personopplysninger er opplysninger eller vurderinger som kan knyttes til en bestemt person enten direkte eller indirekte. Det kan være mange forskjellige typer opplysninger, fra trivielle til mer private opplysninger. 

Hva er sensitive personopplysninger?

I personopplysningsloven er det et skille mellom personopplysninger og sensitive personopplysninger. Sensitive personopplysninger er blant annet knyttet til helseforhold, etnisk bakgrunn, religiøs oppfatning og seksuell legning. Det er strengere krav til sikring og behandling av sensitive personopplysninger.

Når er personopplysninger taushetsbelagte?

Personopplysninger er taushetsbelagte om de handler om «noens personlige forhold». Forvaltningsloven § 13.

Sensitive personopplysninger er som regel taushetsbelagte. I tillegg er opplysninger om karakterer, informasjon om særskilt språkopplæring og spesialundervisning taushetsbelagt. Når opplysningene er taushetsbelagte eller sensitive, er det strengere krav i forbindelse med tilgang og utlevering.

Behandlingsansvarlig

Den som bestemmer hvilke opplysninger som skal behandles, hva opplysningene skal benyttes til og hvem som skal ha tilgang til opplysningene er behandlingsansvarlig etter personopplysningsloven. I skolen er dette som oftest skoleeier.

Som behandlingsansvarlige har dere plikt til å sørge for at kravene om blant annet hjemmelsgrunnlag for behandling og utlevering er ivaretatt.

Hjemmelsgrunnlag for behandling

For å kunne behandle personopplysninger, må dere ha en hjemmel for behandlingen og grunnkravene til behandlingen må være oppfylt. Det er flere krav og vilkår når dere behandler sensitive personopplysninger, for eksempel til sikker oppbevaring.

En hjemmel for behandling kan være

Samtykke

Hvis dere samler inn og behandler opplysningene på grunnlag av samtykke, kan dere bare bruke opplysningene slik samtykket beskriver.

Dersom dere legger samtykke til grunn, må samtykket være frivillig, uttrykkelig og informert. Personopplysningsloven § 2 nr. 7

Et samtykke kan trekkes tilbake når som helst, noe som vil innebære at alle opplysninger om eleven må slettes.

I tillegg kan plikten til å slette være begrenset av annen lovgivning i noen tilfeller, for eksempel arkivloven.

Hjemmelsgrunnlag etter opplæringsloven og privatskoleloven

Opplæringsloven og privatskoleloven har bestemmelser som forutsetter at skolen og skoleeierne behandler personopplysninger, for eksempel om elevvurderinger og kommunikasjon med eleven og foreldrene.

Selv om behandling av personopplysninger ikke er nevnt, gir lovene likevel hjemmel til behandlinger som er nødvendige for å oppnå formålet. Hjemmelen følger da av bestemmelsene i disse lovene kombinert med bestemmelser i personopplysningsloven § 8

Nødvendighetsvilkår

Et eksempel på et nødvendighetsvilkår er å kunne utføre en oppgave av allmenn interesse, eller utlevering for å ivareta en berettiget interesse. Skoleeier kan også bruke en av nødvendighetsvilkårene i personopplysningsloven § 8 bokstav a-f. Et eksempel på en nødvendighetsvilkår er for å ivareta en rettslig forpliktelse. Dere må være oppmerksomme på at dette er strenge rettslige krav. Hvis skolene bruker nødvendighetskriteriene som behandlingsgrunnlag, må dere sette dere godt inn i regelverket.

Sammensatt hjemmelsgrunnlag

Hjemmelsgrunnlaget kan være sammensatt av ulike grunnlag. For eksempel kan lagring av elevoppgaver ha hjemmel i opplæringsloven, mens nettprat på en læringsplattform krever et samtykke fra hver elev (eventuelt foreldre).

En utlevering av opplysninger til foreldre kan være hjemlet i både opplæringsloven (eller privatskoleloven), og av foreldreansvaret, jamfør barneloven §§ 30 flg. Det er imidlertid viktig å være oppmerksom på at det her gjelder et «proporsjonalitetsprinsipp», som innebærer at det vil kreves klarere hjemmel jo større personvernrettslige konsekvenser behandlingen vil innebære for eleven.

Grunnkrav til behandling av personopplysninger

I tillegg til at skoleeier må ha hjemmel for å behandle personopplysninger, er det andre grunnkrav i personopplysningsloven § 11 som må være oppfylt for at det skal være lov å behandle personopplysninger.

Saklig begrunnet formål

Innsamling av personopplysninger har ofte flere formål. Hvert av formålene må defineres for at dere skal kunne vurdere om det faller inn under behandlingsgrunnlaget. Formålene må være saklig begrunnet og uttrykkelig angitt. Det er ulovlig å behandle personopplysninger uten at dere har fastsatt hva opplysningene skal brukes til på forhånd.

Ikke andre formål

Dere skal ikke bruke opplysningene til noe annet enn det uttrykkelig angitte formålet, som skal være saklig begrunnet i skoleeiers virksomhet. Et eksempel er å levere ut opplysningene til kommersielle aktører.

Tilstrekkelige og relevante for formålet

Skoleeier skal sørge for at personopplysningene som behandles er tilstrekkelige og relevante for formålet med behandlingen.

Korrekte, oppdaterte og ikke lagres lengre enn nødvendig

Skoleeier skal sørge for at opplysningene som lagres i systemet er korrekte og oppdaterte, og at de ikke lagres lengre enn det som er nødvendig for å oppnå formålet eller formålene med systemet. Dette innebærer for eksempel at skoleeier må slette opplysninger til elever som slutter ved skolen. Se § 28 første ledd. Dere må også være oppmerksomme på arkivlovens bestemmelser når det gjelder sletting.

Datasikkerhet og internkontroll

Skoleeier må sørge for at skolene vet og er oppmerksomme på hvilke personopplysninger og sensitive personopplysninger som behandles. Det stilles ekstra strenge krav når det gjelder sensitive personopplysninger. Skoleeier skal også sørge for at skolene ivaretar opplysningene på en sikker måte.

Behandling av personopplysninger skal inngå i skoleeiers internkontrollsystem og det skal gjøres en risikovurdering.

Ikke tilgjengelig for uvedkommende

Personopplysningene skal ikke være tilgjengelige for uvedkommende, kun de som har behov for tilgang til opplysningene. Dette kan for eksempel være foreldre i lys av foreldreansvaret, eller ansatte som har behov for opplysninger for å gjøre jobben sin.

Nyttige lenker om personvern

Fant du det du lette etter?

0/250
0/250

Tusen takk for hjelpen!