Behandle personopplysninger
Dere som jobber i barnehagen og skolen må kjenne til hvordan dere kan behandle personopplysninger på en god og lovlig måte.
I barnehagen og skolen vil de aller fleste personopplysningene bli brukt og oppbevart for å gjennomføre oppgaver etter barnehageloven, opplæringsloven eller privatskoleloven. Så lenge dere bruker personopplysningene til å gjennomføre lovbestemte oppgaver, og dere overholder de grunnleggende kravene til behandling av personopplysninger (personvernprinsippene), vil dere ha behandlet opplysningene på en lovlig måte.
Dersom dere er usikre på om behandlingen dere skal gjøre er dekket av det barnehageloven, opplæringsloven eller privatskoleloven pålegger dere å gjøre, kan det være lurt å høre med en leder, personvernjurister eller personvernombudet.
Hva er behandling?
All bruk av personopplysninger er en behandling. Behandling omfatter for eksempel innsamling, registrering, bruk, organisering, strukturering, lagring, tilpasning, endring, utlevering, overføring, tilgjengeliggjøring og sletting av personopplysninger. Terskelen for at noe skal være en behandling, er veldig lav.
I barnehagen og skolen behandler dere personopplysninger på mange ulike måter. Dersom dere kun observerer eller diskuterer barna og elevene muntlig med kollegaer, vil personvernregelverket i utgangspunktet ikke gjelde. Men med en gang dere skriver ned opplysningene eller registrerer dem et sted, behandler dere personopplysninger. Da må dere følge kravene i personvernregelverket.
Selv om det er barnehageeier og skoleeier som er ansvarlig for å overholde plikter og rettigheter i personvernregelverket, vil mye av det daglige arbeidet med å ivareta reglene foregå i den enkelte barnehagen og på den enkelte skolen. Det er derfor viktig at alle ansatte kjenner til hvordan dere kan behandle personopplysninger på en god og lovlig måte.
Grunnkrav til behandling - personvernprinsippene
Det finnes noen grunnleggende prinsipper som dere må følge ved all behandling av personopplysninger. Det er kommunen, fylkeskommunen eller styret i private barnehager og skoler (skoleeier) som er ansvarlig for at alle følger prinsippene, men de ansatte i barnehagen og skolen må også kjenne til dem.
De viktigste prinsippene er:
- behandlingsgrunnlag (lovlig, rettferdig og åpent)
- behandlingen skal skje til spesifikke formål (formålsbegrensning)
- det skal ikke behandles flere opplysninger enn nødvendig for å oppfylle formålet (dataminimering)
- opplysningene skal være riktige (riktighet)
- lovlig og sikker lagring (lagringsbegrensning)
- sikkerhet for opplysningene (integritet og konfidensialitet)
Hvordan behandle personopplysninger?
For at dere skal ha lov til å behandle personopplysninger, må dere ha det som kalles et behandlingsgrunnlag.
Behandle og lagre karakterer
I utgangspunktet er karakterer alminnelige personopplysninger. Hvis dere registrerer at eleven er fritatt for vurdering med karakter i fremmedspråkfaget og legger inn en merknad om at eleven er fritatt på grunn av dysleksi, behandler dere likevel særlig kategori av personopplysninger. Grunnen er at dere legger inn opplysninger om helse. Det samme gjelder når eleven får karakterer i samisk, som sier noe om elevens etniske opprinnelse.
For å kunne registrere slike opplysninger må dere ha et lovlig behandlingsgrunnlag. Ifølge opplæringsloven kapittel 3 skal elevenes arbeid vurderes og i noen tilfeller settes karakter på. Dere har derfor behandlingsgrunnlag for å behandle opplysninger som er nødvendige til dette formålet.
Når dere benytter IT-systemer for å registrere karakterer, eller andre personopplysninger, må dere for øvrig sikre at opplysningene
- ikke er tilgjengelige for uvedkommende,
- bare er tilgjengelig for personer som har rett til tilgang
- er riktige og oppdaterte
Dere kan ikke lagre personopplysningene (karakterene) lenger enn det som er nødvendig for formålene personopplysningene behandles for. Det betyr at dere egentlig skal slette eller anonymisere personopplysningene når de ikke lenger er nødvendige for formålet de ble innsamlet for. Skolen vil imidlertid normalt sett ha arkiveringsplikt for slike opplysninger, og må oppbevare opplysningene i skolens arkivsystem også etter at eleven er uteksaminert.
Kamera ved hjemmeundervisning
Hjemmeundervisning har skapt nye personvernproblemstillinger, blant annet om bruk av kamera i digital undervisning.
For å bruke kamera i digital undervisning på en lovlig måte, må dere definere formålet. Et eventuelt krav om å ha på kamera må ha en klar sammenheng med undervisningsformålene. Dere må også vurdere om kamerabruken er egnet og nødvendig for å oppnå det definerte formålet, og om det er mulig å oppnå det samme med andre og mindre belastende metoder.
Dere kan vurdere om det bør være ulike krav til å ha på kamera avhengig av undervisningsform. Forelesninger kan kanskje gjennomføres uten kamera, mens i diskusjoner eller gruppearbeid kan det være større grunn til å ha kamera på. For å føre kontroll av om noen er til stede i timen kan det være tilstrekkelig at kameraet er på i begynnelsen og slutten av en time.
Ta og dele bilder
Datatilsynet har laget en veileder som tar for seg hva dere må vurdere før dere tar og deler bilder av barn.
Behandling av personopplysninger i skole- og barnehagemiljøsaker
I skolemiljøsaker vil kapittel 12 i opplæringsloven i de aller fleste tilfellene være behandlingsgrunnlaget dere har for å behandle personopplysninger. I barnehagemiljøsaker er det som regel barnehageloven kapittel VIII som er behandlingsgrunnlag.
Det er viktig at dere ikke samler inn flere personopplysninger enn det som er nødvendig for å oppnå formålet.