Behandle personopplysninger

Dere som jobber i barnehagen og skolen må kjenne til hvordan dere kan behandle personopplysninger på en god og lovlig måte.

Artikkel
Sist endret: 09.12.2021

I barnehagen og skolen vil de aller fleste personopplysningene bli brukt og oppbevart for å gjennomføre oppgaver etter barnehageloven, opplæringsloven eller friskoleloven. Så lenge dere bruker personopplysningene til å gjennomføre lovbestemte oppgaver, og dere overholder de grunnleggende kravene til behandling av personopplysninger (personvernprinsippene), vil dere ha behandlet opplysningene på en lovlig måte.

Dersom dere er usikre på om behandlingen dere skal gjøre er dekket av det barnehageloven, opplæringsloven eller friskoleloven pålegger dere å gjøre, kan det være lurt å høre med en leder, personvernjurister eller personvernombudet.

Hva er behandling?

All bruk av personopplysninger er en behandling. Behandling omfatter for eksempel innsamling, registrering, bruk, organisering, strukturering, lagring, tilpasning, endring, utlevering, overføring, tilgjengeliggjøring og sletting av personopplysninger. Terskelen for at noe skal være en behandling, er veldig lav.

I  barnehagen og skolen behandler dere personopplysninger på mange ulike måter. Dersom dere kun observerer eller diskuterer barna og elevene muntlig med kollegaer, vil personvernregelverket i utgangspunktet ikke gjelde. Men med en gang dere skriver ned opplysningene eller registrerer dem et sted, behandler dere personopplysninger. Da må dere følge kravene i personvernregelverket.

Selv om det er barnehageeier og skoleeier som er ansvarlig for å overholde plikter og rettigheter i personvernregelverket, vil mye av det daglige arbeidet med å ivareta reglene foregå i den enkelte barnehagen og på den enkelte skolen. Det er derfor viktig at alle ansatte kjenner til hvordan dere kan behandle personopplysninger på en god og lovlig måte.

I barnehagen og skolen behandler dere personopplysninger i mange sammenhenger, som når dere

  • registrerer barn og elver som begynner i barnehagen eller skolen
  • kartlegger individuelle behov
  • dokumenterer, måler og vurderer elevenes kompetanse
  • dokumenterer opplæringen
  • bruker digitale læringsressurser, apper og andre online-tjenester
  • gir sanksjoner for brudd på ordensreglementet
  • utreder lærevansker
  • fatter vedtak om spesialundervisning eller spesialpedagogisk hjelp
  • utformer individuelle opplæringsplaner
  • skriver rapporter
  • rapporterer omsorgssvikt
  • registrerer fravær
  • gjennomfører elev- og foreldresamtaler
  • vurderer permisjonssøknader

I barnehagen og skolen er det viktig at læring skal tilpasses den enkeltes forutsetninger og behov. Det er også fokus på å kartlegge kompetanse, styrke arbeidet med barnehage- og skolemiljø, og raskere innsats for barn og elever med lære- eller atferdsvansker.

Dere må vite mye om barnet eller eleven for å kunne gi et tilpasset tilbud, og dette fører til at dere behandler mange opplysninger om dem. For at dere skal kunne dokumentere at dere har oppfylt pliktene deres etter loven må dere skrive ned og arkivere disse opplysningene.

Digital teknologi fører til at personopplysninger om barn og elever blir registrert og behandlet i digitale løsninger. Digital kompetanse og digitale ferdigheter er også synliggjort i læreplanene og fører til at mye av det pedagogiske og administrative arbeidet er gått over på digitale løsninger.

Bruk av digitale hjelpemidler i skolen (Datatilsynet)

Grunnkrav til behandling - personvernprinsippene

Det finnes noen grunnleggende prinsipper som dere må følge ved all behandling av personopplysninger. Det er barnehageeier eller skoleeier som er ansvarlig for at alle følger prinsippene, men de ansatte i barnehagen og skolen må også kjenne til dem.

De viktigste prinsippene er:

  • behandlingsgrunnlag (lovlig, rettferdig og åpent)
  • behandlingen skal skje til spesifikke formål (formålsbegrensning)
  • det skal ikke behandles flere opplysninger enn nødvendig for å oppfylle formålet (dataminimering)
  • opplysningene skal være riktige (riktighet)
  • lovlig og sikker lagring (lagringsbegrensning)
  • sikkerhet for opplysningene (integritet og konfidensialitet)

For å behandle personopplysninger må dere ha lov til å gjøre det, det vil si at dere må ha et behandlingsgrunnlag. I barnehage- og skolesammenheng er det ofte slik at barnehageloven, opplæringsloven eller friskoleloven gir dere lov til å behandle opplysningene. I noen tilfeller kan dere også skaffe dere behandlingsgrunnlag gjennom å få samtykke fra eleven eller foreldrene. Offentlige myndigheter skal kun i begrenset grad bruke samtykke som behandlingsgrunnlag.

Behandlingen av personopplysningene skal være rettferdig. Det betyr at sammenhengen mellom opplysningene dere har samlet inn og det formålet dere skal bruke dem til, må være forståelig for barnet eller eleven og foreldrene. 

Behandlingen skal være åpen eller transparent. Dere må være åpne om hva dere bruker opplysningene til. Barnet eller eleven og foreldrene skal vite hva som skjer med deres personopplysninger. De skal i utgangspunktet få informasjon om behandlingen, og informasjonen skal dere gi på en måte som er forståelig og tilgjengelig.

Personopplysninger skal bare samles inn og behandles for spesifikke, uttrykkelig angitte og berettigede formål. Hvis formålet er å kartlegge om eleven trenger særskilt norskopplæring, kan dere bare behandle personopplysningene til det formålet. Dere kan ikke gjenbruke personopplysningene til helt andre formål enn det de opprinnelig ble samlet inn for, såkalt uforenelige formål.

Gjenbruk av personopplysninger til arkivformål, forskningsformål eller statistiske formål er som regel lovlig. Det betyr at dere kan arkivere opplysningene dere behandler for å kartlegge om eleven trenger særskilt norskopplæring i skolens system. 

Dere kan ikke behandle flere personopplysninger enn det som er nødvendig for å oppfylle formålet. Før dere begynner å behandle personopplysninger må dere vurdere om dere kan oppnå formålet med færre personopplysninger, eller eventuelt med avidentifiserte eller anonymiserte opplysninger.

Hvis dere skal vurdere om en elev har behov for spesialundervisning på grunn av lese- og skrivevansker er det ikke relevant å notere informasjon om at eleven for eksempel har et brudd i foten.

Hvis det holder å lagre fornavn må dere ikke lagre fødselsdato eller adresse i tillegg.

Personopplysningene skal være korrekte, og der det er relevant, også holdes oppdaterte. Dette er særlig viktig når dere skal ta beslutninger av betydning for barnet eller eleven, som ulike vedtak.

Det kan også bety at dere må rette eller slette opplysninger som ikke er korrekte.

Et tiltak for å sikre at personopplysningene er riktige er å sørge for at læringsplattformen dere bruker regelmessig varsler brukerne om at de må kontrollere personopplysningene sine.

Personopplysninger skal ikke lagres lenger enn det som er nødvendig for formålet. Det betyr at personopplysninger skal slettes eller anonymiseres når de ikke lenger er nødvendige for formålet de ble samlet inn for.

For å sikre at dere ikke oppbevarer personopplysninger lenger enn nødvendig kan dere for eksempel innføre periodisk gjennomgang eller tidsfrister for å slette opplysninger.

Kravet om sletting eller anonymisering gjelder ikke hvis dere skal lagre opplysningene videre for arkivformål, forskningsformål eller statistikkformål. I det offentlige er dere bundet av arkivloven, og mange av opplysningene dere samler inn kan derfor ikke slettes eller anonymiseres.

Dere må likevel gjøre nødvendige tekniske og organisatoriske tiltak for å sikre eleven eller barnets personvern. Slike tiltak kan for eksempel være å pseudonymisere opplysningene, eller sikkerhetstiltak som tilgangsstyring. Dere kan for eksempel sørge for at

  • bare noen få ansatte har tilgang
  • dere kun har tilgang til det dere trenger for å gjøre jobben deres
  • dere må logge dere på med to faktor-autentisering 
  • dere logger alle innlogginger

Hvis skolen mottar en søknad om tilrettelegging for en eksamen, skal dere i utgangspunktet slette søknaden etter at eksamen er gjennomført. Formålet med å behandle opplysningene i søknaden var for å tilrettelegge eksamen, og når eksamen er gjennomført, er opplysningene ikke lenger nødvendig å oppbevare.

Skolen vil imidlertid normalt sett ha arkiveringsplikt for slike opplysninger, og må oppbevare søknaden i skolens arkivsystem. Søknaden kan derfor lagres for arkivformål, også etter at eksamen er gjennomført.

Vær oppmerksom på at dere har taushetsplikt om opplysningene i søknaden, og det at eleven har søkt om tilrettelagt eksamen. Taushetspliktige opplysninger skal være skjermet. Opplysningene vil med andre ord fortsatt ligge lagret, men skal være skjermet for innsyn.

At søknadsopplysningene er lagret i skolens arkivsystem, innebærer ikke at dere har fri adgang til å bruke opplysningene. Med mindre dere har et behandlingsgrunnlag, kan dere ikke bruke arkiverte opplysninger om tidligere søknader til noe annet. Dere kan heller ikke bruke dem som grunnlag for ny saksbehandling om tilrettelagt eksamen.

Lagre logger med påloggingsinformasjon fra digitale systemer

Dere må på forhånd bestemme hvem som skal ha tilgang til informasjonssystemer som inneholder personopplysninger, og hvilke personopplysninger de skal ha tilgang til. Passord og brukernavn kan brukes for å sikre at ingen andre får tilgang.

Det er viktig at dere logger påloggingsinformasjon for å kunne oppdage sikkerhetshendelser, etterforske sikkerhetsbrudd og for å kunne iverksette tiltak som reduserer risikoen for at liknende hendelser skjer igjen. Logger er for eksempel nødvendig for å kunne dokumentere hvem som har logget inn, når de har gjort det, hva de har gjort i systemet og om de har lastet ned noe. Uten logging kan det være vanskeligere å finne ut hvor sårbarhetene er og rette opp i disse.

Å logge påloggingsinformasjon er et viktig tiltak for å oppnå et godt sikkerhetsnivå. Hvis dere logger påloggingsinformasjon som et sikkerhetstiltak, kan dere ikke bruke de samme opplysningene (loggene) til helt andre formål, som overvåking av de ansatte.

I det gamle personvernregelverket var det krav om at alle opplysninger om autorisert og uautorisert bruk av et system skulle lagres i minst 3 måneder. I dagens personvernregelverk finnes det ingen slike frister. Dere må i dag gjøre en konkret vurdering av hvor lenge det er nødvendig å lagre loggene for å oppfylle formålet. Mange tar utgangspunkt i de tidligere 3 månedene når de avgjør hvor lenge logger kan lagres. Dere må dokumentere skriftlig både vurderingene dere gjør og hvor lang tid dere konkluderer med at dere skal lagre loggene.

Personopplysningene skal beskyttes slik at uvedkommende ikke får tilgang, og slik at personopplysningene ikke endres utilsiktet.

Konfidensialitet betyr at barnehage- og skoleeier skal sørge for at bare de som trenger tilgang til personopplysningene får dette. 

Integritet betyr at barnehage- og skoleeier skal ha et bevisst forhold til hvem som skal ha mulighet til å endre personopplysningene. Ikke alle brukere som har tilgang til personopplysningene har behov for å endre dem. Ofte vil det være lurt å skille mellom lesetilgang og skrivetilgang.

For å oppnå integritet og konfidensialitet, kan dere stille dere følgende spørsmål:

  • Har vi et bevisst forhold til hvem som skal være bruker i et system?
  • Har vi et bevisst forhold til hvem som skal ha de ulike brukertilgangene?
  • Har vi sørget for at systemene har logger der barnehage- eller skoleeier kan spore alle endringer?
  • Er systemet sikret mot sårbarheter som angrep og uhell?

Hvordan behandle personopplysninger?

For at dere skal ha lov til å behandle personopplysninger, må dere ha det som kalles et behandlingsgrunnlag.

Behandlingsgrunnlag (Datatilsynet)

Når dere skal behandle alminnelige personopplysninger må dere ha et behandlingsgrunnlag. For å ha et behandlingsgrunnlag må behandlingen dere skal gjøre oppfylle minst ett av de seks vilkårene i personvernforordningen artikkel 6 nr. 1 bokstav a til f.

De mest aktuelle behandlingsgrunnlagene for barnehager og skoler er

  • at behandlingen er nødvendig for å oppfylle en rettslig forpliktelse
  • at behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet

Dette betyr at hvis loven pålegger barnehagen eller skolen å behandle visse personopplysninger, har dere også lov til det.

Dere kan også behandle personopplysninger dersom det er nødvendig for å utføre en oppgave i allmennhetens interesse eller nødvendig for å utøve offentlig myndighet dere er pålagt.

For begge disse behandlingsgrunnlagene må behandlingen i tillegg ha hjemmel i lov eller forskrift. Dette kaller vi «nasjonalt rettslig grunnlag» eller «nasjonalt supplerende rettsgrunnlag». Det betyr i praksis at barnehageloven, opplæringsloven, friskoleloven eller en annen nasjonal lov forutsetter at dere skal behandle personopplysninger. Dere har altså lov til å behandle personopplysninger som er nødvendige for å gjennomføre eller oppfylle forpliktelser i disse lovene.

Eksempel fra en barnehage

Oppgave: Barnehagemyndigheten skal sørge for at foreldre som allerede har et barn i barnehagen skal betale 30 prosent mindre for et søsken som skal gå i den samme barnehagen.

Personopplysninger som behandles: Navn på barn, foreldre, søsken, beskrivelse av familierelasjonen mellom foreldre, barn og søsken. Barnehagemyndigheten bruker også opplysninger om adressen til foreldrene for å sende vedtaket til foreldrene.

Behandlingsgrunnlag: Det er både nødvendig å behandle personopplysninger her for å oppfylle en rettslig forpliktelse og utøve offentlig myndighet. Barnehageloven angir denne oppgaven og dere har derfor også nasjonalt rettslig grunnlag. Dere har lov til å behandle personopplysningene.

Juridisk: Både bokstav c og e i personvernforordningen artikkel 6 nr. 1 kan gi behandlingsgrunnlag for behandling av personopplysningene. Nasjonalt rettslig grunnlag vil være barnehageloven § 20 og forskrift om foreldrebetaling i barnehagen § 3 første ledd første punktum.

Eksempel fra en skole

Oppgave: Skolen skal sørge for at elever får underveis- og sluttvurdering.

Personopplysninger som behandles: Navn på elev, beskrivelse av elevens faglige og sosiale utvikling.

Behandlingsgrunnlag: Det er både nødvendig å behandle personopplysninger her for å oppfylle en rettslig forpliktelse og utøve offentlig myndighet. Opplæringsloven angir denne oppgaven og dere har derfor også nasjonalt rettslig grunnlag. Dere har lov til å behandle personopplysningene.

Juridisk: Både bokstav c og e i personvernforordningen artikkel 6 nr. 1 kan gi behandlingsgrunnlag for behandling av personopplysningene. Nasjonalt rettslig grunnlag vil være forskrift til opplæringsloven § 3-2 om rett til vurdering.

Et annet behandlingsgrunnlag som kan være aktuelt for barnehager og skoler er at barnet eller eleven og foreldrene samtykker til behandlingen av personopplysningene. Samtykke egner seg imidlertid ikke alltid som behandlingsgrunnlag. 

I barnehagen og skolen behandler dere særlige kategorier av personopplysninger blant annet når dere

  • registrerer sykefravær
  • sørger for tilrettelagt tilbud på grunn av helse
  • tilrettelegger prøver og eksamener
  • fritar elever fra undervisningen på grunn av religion eller livssyn
  • tar bilder som tydelig viser barnas eller elevenes religion, for eksempel fordi de har på seg hijab, kippa eller kors
  • registrerer at eleven ikke skal delta i julegudstjeneste av religiøse grunner
  • registrerer at et barn eller elev ikke kan spise ulike matvarer av religiøse grunner
  • registrerer en allergi
  • gir spesialpedagogisk hjelp eller spesialundervisning

Også når dere jobber med skolemiljøsaker behandler dere ofte opplysninger om helse. 

Når dere skal behandle særlige kategorier av personopplysninger må dere som ved alminnelige personopplysninger ha et behandlingsgrunnlag i artikkel 6 i personvernforordningen. I tillegg må dere også ha et behandlingsgrunnlag i artikkel 9.

De mest aktuelle behandlingsgrunnlagene i artikkel 9 er:

  • at behandlingen er nødvendig for å ivareta viktige allmenne interesser og har tilstrekkelig hjemmel i lov. Hvis dere behandler personopplysninger for å oppfylle en rettighet eller plikt etter barnehageloven, opplæringsloven eller friskoleloven, har dere behandlingsgrunnlag i denne bestemmelsen.
  • at barnet eller eleven og foreldrene samtykker til behandling av personopplysninger. Samtykke kan imidlertid i begrensede tilfeller brukes av offentlig myndighet.

På barnehage- og skoleområdet er det mest aktuelt at behandlingen er nødvendig for å ivareta viktige allmenne interesser og har tilstrekkelig hjemmel i lov. Behandling av særlig kategorier av personopplysninger i barnehager og skoler vil ofte da kunne ha behandlingsgrunnlag i artikkel 6 nr. 1 bokstav c og e, og artikkel 9 nr. 2 bokstav g.

Barnehagen og skolen trenger altså en hjemmel i barnehageloven, opplæringsloven eller friskoleloven, eller annen nasjonal lov i tillegg. Behandler dere personopplysninger som er nødvendige for å oppfylle en rettighet eller plikt etter disse lovene, vil dere ha behandlingsgrunnlag i dette lovverket.

Eksempel fra en skole

Oppgave som skal løses: Elever som ikke har eller som ikke kan få tilfredsstillende utbytte av det ordinære opplæringstilbudet, har rett til spesialundervisning.

Personopplysninger dere behandler: Navn på elev, bakgrunnen for at eleven har behov for spesialundervisning og opplysninger om utviklingen til eleven. Opplysninger om bakgrunnen for at eleven har behov for spesialundervisning og opplysninger om utviklingen til eleven er ofte helseopplysninger, og dermed behandler dere særlig kategori av personopplysninger.

Behandlingsgrunnlag: Det er nødvendig å behandle personopplysninger både for å oppfylle en rettslig forpliktelse, utøve offentlig myndighet og ivareta viktige allmenne interesser. Opplæringsloven angir denne oppgaven og dere har derfor også nasjonalt rettslig grunnlag.

Juridisk: Både bokstav c og e i personvernforordningen artikkel 6 nr. 1 kan gi behandlingsgrunnlag for behandling av personopplysningene, samt artikkel 9 nr. 2 bokstav g. Opplæringslovens § 5-1 er nasjonalt rettslig grunnlag.

Eksempel fra en barnehage

Oppgave som skal løses: Kommunen fatter vedtak om tilrettelegging av barnetilbudet til et barn med nedsatt funksjonsevne.

Personopplysninger dere behandler: Navn på barnet, fødselsnummer, barnets barnehage, adresse, barnets fysiske, psykiske og kognitive funksjoner, tilretteleggingstiltak, barnets uttalelse, foreldrenes uttalelse, barnehagens uttalelse, uttalelse fra barnevernet eller andre som har vært i kontakt med barnet, samt varigheten av tilretteleggingen. Opplysninger om barnets fysiske, psykiske og kognitive funksjoner er helseopplysninger, og dermed behandler dere særlig kategori av personopplysninger. Tilretteleggingstiltak, barnets og foreldrenes uttalelse, barnehagens uttalelse, og uttalelser fra andre kan også si noe om barnets helse.

Behandlingsgrunnlag: Det er nødvendig å behandle personopplysninger her både for å oppfylle en rettslig forpliktelse, utøve offentlig myndighet og ivareta viktige allmenne interesser. Barnehageloven angir denne oppgaven og dere har derfor også nasjonalt rettslig grunnlag.

Juridisk: Både bokstav c og e i personvernforordningen artikkel 6 nr. 1 kan gi behandlingsgrunnlag for behandling av personopplysningene, samt artikkel 9 nr. 2 bokstav g. Barnehageloven § 37 er nasjonalt rettslig grunnlag.

Fødselsnummer er en alminnelig personopplysning, men kan bare behandles når det er saklig behov for sikker identifisering, og metoden er nødvendig for å oppnå slik identifisering.

I tillegg gjelder de alminnelige vilkårene for lovlig behandling, som at du må ha et behandlingsgrunnlag.  

Saklig behov for sikker identifisering

Behovet for sikker identifisering er det som avgjør om begrunnelsen er saklig. For eksempel er det behov for sikker identifisering av barn og de barnet bor fast hos for å kunne kontrollere beregning og utbetaling av kontantstøtte. Uten sikker identifisering er det fare for at vurderingene blir gjort på feil grunnlag og at noen derfor får både barnehageplass og kontantstøtte, mens andre ikke får noen av delene.

Nødvendig for å oppnå identifisering

Det er nødvendig å behandle fødselsnummer hvis det ikke er tilstrekkelig å bruke andre, mindre sikre identifikasjonsmidler, for eksempel navn og adresse. 

Ved pålogging i læringsplattformer er det for eksempel klart at det er saklig grunn for sikker identifisering. Spørsmålet blir da om det finnes andre identifiseringsmåter som gir tilstrekkelig sikkerhet. Dersom brukernavn og passord er sikkert nok, kan dere ikke kreve at noen skal logge inn ved bruk av fødselsnummer.

Siden fødselsnummer brukes for å identifisere enkeltpersoner bør barnehage- og skoleeiere beskytte barnas og elevenes fødselsnummer med særskilte sikkerhetstiltak.

Fødselsnummer i skule og barnehage (Datatilsynet)

Samtykke er ett av flere lovlige behandlingsgrunnlag. Det er kun hvis dere skal behandle personopplysninger som ikke barnehageloven, opplæringsloven, friskoleloven eller en annen nasjonal lov pålegger dere å gjøre, at dere kan vurdere å bruke samtykke som behandlingsgrunnlag. 

Det er en rekke krav som må være oppfylt for at samtykket skal være gyldig.

Samtykket må være

  • frivillig
  • spesifikt
  • informert
  • utvetydig
  • gitt gjennom en aktiv handling
  • dokumenterbart
  • mulig å trekke tilbake like lett som det ble gitt

Samtykke egner seg ikke alltid som behandlingsgrunnlag i barnehage- og skolesektoren.

  • Det er ofte en klar ubalanse i maktforholdene mellom barnet/eleven/foreldrene og barnehagen eller skolen.
  • Dere kan ikke være sikre på om samtykket er gitt frivillig. Når dere må behandle personopplysninger for å gi barna eller elevene en tjeneste de har krav på, og samtidig spør om samtykke til behandlingen, vil ikke barna/elevene og foreldrene ha noe valg. For å få den tjenesten de har krav på, må de samtykke til behandlingen. Dette samtykket kan ikke sies å være gitt frivillig, og det vil dermed ikke være et gyldig samtykke.

Samtykke kan for eksempel være egnet som behandlingsgrunnlag ved fotografering av barna.

Før dere bruker samtykke som behandlingsgrunnlag, bør dere ta stilling til følgende spørsmål:

  • Hvem har samtykkekompetanse? Barnet/eleven, foreldre, barnevernet?
  • Er samtykket frivillig? Har den som samtykker virkelig mulighet til å si nei til behandling av personopplysninger?
  • Hvordan skal vi dokumentere at det er gitt et samtykke?
  • Har vi gitt barnet/eleven eller foreldrene god nok informasjon om hva de samtykker til? Har vi gitt all informasjonen vi skal ifølge personvernforordningen artikkel 13?

Samtykke fra barn

Hovedregelen er at barn under 18 år ikke alene kan samtykke til deling og behandling av egne personopplysninger. Før barna fyller 18 år må den eller de med foreldreansvar samtykke på barnets vegne.

Barn har imidlertid rett til økt selv- og medbestemmelsesrett etter hvert som de blir eldre og mer modne. Barn under 18 år kan derfor i noen situasjoner samtykke selv, hvis de er i stand til å gi et informert og frivillig samtykke. I tillegg til å vurdere barnets modenhet og alder, må dere også vurdere om informasjonen som barnet får er tilpasset barnets alder og evne til å forstå hva det gir samtykke til. Jo større personvernkonsekvenser behandlingen har, jo høyere terskel bør det være for at barnet kan samtykke selv, uten foreldrene.

Samtykke fra mindreårige (Datatilsynet)

Barn over 13 år

Når barnet har fylt 13 år, kan barnet samtykke selv til innhenting og bruk av egne personopplysninger i forbindelse med informasjonssamfunnstjenester. Er barnet under 13 år må foreldrene samtykke til bruken av tjenesten. Skal dere bruke informasjonssamfunnstjenester i undervisningen og elevene må registrere seg eller legge igjen personopplysninger i tjenesten, må som hovedregel foreldrene til barn under 13 år samtykke til dette.

Samtykke som behandlingsgrunnlag (Datatilsynet)

Behandle og lagre karakterer

I utgangspunktet er karakterer alminnelige personopplysninger. Hvis dere registrerer at eleven er fritatt for vurdering med karakter i fremmedspråkfaget og legger inn en merknad om at eleven er fritatt på grunn av dysleksi, behandler dere likevel særlig kategori av personopplysninger. Grunnen er at dere legger inn opplysninger om helse. Det samme gjelder når eleven får karakterer i samisk, som sier noe om elevens etniske opprinnelse.

For å kunne registrere slike opplysninger må dere ha et lovlig behandlingsgrunnlag. Ifølge opplæringsloven kapittel 3 skal elevenes arbeid vurderes og i noen tilfeller settes karakter på. Dere har derfor behandlingsgrunnlag for å behandle opplysninger som er nødvendige til dette formålet.

Når dere benytter IT-systemer for å registrere karakterer, eller andre personopplysninger, må dere for øvrig sikre at opplysningene

  • ikke er tilgjengelige for uvedkommende,
  • bare er tilgjengelig for personer som har rett til tilgang
  • er riktige og oppdaterte

Dere kan ikke lagre personopplysningene (karakterene) lenger enn det som er nødvendig for formålene personopplysningene behandles for. Det betyr at dere egentlig skal slette eller anonymisere personopplysningene når de ikke lenger er nødvendige for formålet de ble innsamlet for. Skolen vil imidlertid normalt sett ha arkiveringsplikt for slike opplysninger, og må oppbevare opplysningene i skolens arkivsystem også etter at eleven er uteksaminert.

Kamera ved hjemmeundervisning

Hjemmeundervisning har skapt nye personvernproblemstillinger, blant annet om bruk av kamera i digital undervisning.

For å bruke kamera i digital undervisning på en lovlig måte, må dere definere formålet. Et eventuelt krav om å ha på kamera må ha en klar sammenheng med undervisningsformålene. Dere må også vurdere om kamerabruken er egnet og nødvendig for å oppnå det definerte formålet, og om det er mulig å oppnå det samme med andre og mindre belastende metoder.

Dere kan vurdere om det bør være ulike krav til å ha på kamera avhengig av undervisningsform. Forelesninger kan kanskje gjennomføres uten kamera, mens i diskusjoner eller gruppearbeid kan det være større grunn til å ha kamera på. For å føre kontroll av om noen er til stede i timen kan det være tilstrekkelig at kameraet er på i begynnelsen og slutten av en time.

Kamera og digital undervisning (Datatilsynet)

Ta og dele bilder

Datatilsynet har laget en veileder som tar for seg hva dere må vurdere før dere tar og deler bilder av barn. 

Behandling av personopplysninger i skole- og barnehagemiljøsaker

I skolemiljøsaker vil kapittel 9A i opplæringsloven i de aller fleste tilfellene være behandlingsgrunnlaget dere har for å behandle personopplysninger. I barnehagemiljøsaker er det som regel barnehageloven kapittel VIII som er behandlingsgrunnlag.

Det er viktig at dere ikke samler inn flere personopplysninger enn det som er nødvendig for å oppnå formålet.

Les mer om

Hva er personopplysninger?Barnehage- og skoleeiers personvernansvarBarn og elevers personvernrettigheter
Til toppen