Slik behandler du personopplysninger etter GDPR

Behandling av personopplysninger

For å kunne behandle personopplysninger, må skole- og barnehageeier (behandlingsansvarlig) ha et rettslig grunnlag. Det er et av grunnkravene for å kunne behandle personopplysninger etter personvernforordningen.

Et rettslig grunnlag kan for eksempel være et samtykke fra den som er registrert eller at det står i loven at behandlingsansvarlig skal kunne behandle personopplysningene. Formelt kalles dette rettslige grunnlaget «hjemmel i lov». 

Når man «behandler» personopplysninger, må man følge personvernforordningens regler. Det er derfor viktig å vite hva «behandling» er. 

En «behandling» handler om hvordan du bruker personopplysninger. Personvernforordningen sier at en «behandling» er enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger. Både automatiserte og manuelle behandlinger er omfattet.

Personvernforordningen nevner innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring av personopplysninger som eksempler på hva en behandling er. 

Behandling av mange personopplysninger øker risikoen

Behandling av omfattende personopplysninger om barn øker den potensielle risikoen for den enkeltes personvern.

Ikke sensitive personopplysninger som en skole eller barnehage lagrer om en elev, kan samlet sett gi et omfattende og detaljert bilde av barnet gjennom et helt utdannelsesløp.

Vi anbefaler at skoler, barnehager og skole- og barnehageeiere har et bevisst forhold til hvilke personvernkonsekvenser et slikt omfattende bilde kan ha for det enkelte barnet, og hvilke tiltak som skal iverksettes for å sikre disse personopplysningene.

Jo større personvernkonsekvenser en behandling kan ha, desto bedre skal personopplysningene beskyttes. 

Behandling av sensitive personopplysninger

Utgangspunktet for personvernforordningen er at det er forbudt å behandle sensitive personopplysninger, medmindre  behandlingsansvarlige kan vise til et rettslig grunnlag som gjør behandlingen lovlig.

En behandlingsansvarlig kan behandle sensitive personopplysninger når det er «nødvendig av viktige samfunnsmessige interesser» (artikkel 9 nr. 2 bokstav g, personvernforordningen). Men det er ikke nok å vise til denne bestemmelsen. Behandlingsansvarlig i skole og barnehage trenger også en hjemmel i opplæringsloven, barnehageloven eller friskoleloven. 

Det er usikkert hvor tydelig det må fremgå at en skole- eller barnehageeier skal behandle sensitive personopplysninger for at en bestemmelse i opplæringsloven, barnehageloven eller friskoleloven skal være et godt nok rettslig grunnlag. Generelt kan man si at jo klarere en oppgave fremgår av disse lovene, desto sterkere vil det rettslige grunnlaget være.

    Utdanningsdirektoratet anbefaler likevel skole- og barnehageeiere å bruke de enkelte bestemmelsene i opplæringsloven og barnehageloven som rettslig grunnlag for behandling av sensitive personopplysninger.

Det betyr ikke at fødselsnummer ikke skal beskyttes.

Personvernforordningen sier at personopplysninger skal sikres ut fra hvilke konsekvenser det vil ha om personopplysningene spres. Spredning av fødselsnummer er relativt alvorlig fordi informasjonen kan brukes til å begå ID-tyveri, og fødselsnummer bør derfor sikres særskilt.

Tidligere inneholdt personopplysningsloven en egen bestemmelse om at personnummer skulle skjermes særskilt, det vil si at man ikke kunne sende personnummer ukryptert.

Utdanningsdirektoratet anbefaler at barnehage- og skoleeiere beskytter barns fødselsnummer med særskilte sikkerhetstiltak da dette brukes for å identifisere enkeltpersoner. 

Internkontroll i skole og barnehage

Elementer i et internkontrollsystem

Det finnes mange metoder for å etablere internkontroll. Både Datatilsynet og Direktoratet for forvaltning og ikt (Difi) har veiledere som barnehage- og skoleeier kan bruke. De fleste metodene inneholder mange av de samme elementene. Skissen fra Difi som viser hvilke elementer et internkontrollsystem kan bestå av: 

Utdanningsdirektoratet anbefaler at et internkontrollsystem legges ut på barnehage- og skoleeiers intranett. På den måten brukes intranettet som kommunikasjonskanal, og internkontrollsystemet vil lettere kunne bli et arbeidsverktøy som kontinuerlig kan oppdateres.

Særlig om risikovurderinger

Personvernforordningens artikkel 5 nr. 1 bokstav f, sier at personopplysninger skal sikres. Sikring av personopplysninger skal skje i forhold til risiko. Det betyr at barnehage- og skoleeier skal gjøre risikovurderinger.

Som fremgår av Internkontrollskissen fra Difi ovenfor, er det vanlig at risikovurderinger er et element i et internkontrollsystem. 

Utdanningsdirektoratet anbefaler at barnehage- og skoleeier alltid gjennomfører en risikovurdering når opplysninger om enkeltpersoner behandles digitalt. 

Gjennom risikovurderingen skal barnehage- og skoleeier forvisse seg om at opplysninger om det enkelte barn i barnehage og skole, foresatte, lærer, leder eller administrativt ansatte er tilfredsstillende sikret. 

For nærmere opplysninger om gjennomføring av en risikovurdering kan du se på veilederen "Sikker håndtering av personopplysninger i skolen". Dette er en praktisk veileder som ble utarbeidet for å hjelpe barnehage- og skoleeier å ivareta sitt ansvar etter den tidligere personvernlovgivningen, men selve metoden kan fortsatt brukes. 

Når barnehage- og skoleeier behandler sensitive personopplysninger, stiller forordningen ekstra strenge krav til sikring. 

Utdanningsdirektoratet anbefaler at behandling av sensitive personopplysninger blir fremhevet i en risikovurdering. Særlig bør det tas stilling til hvilke personvernkonsekvenser behandlingen har for den enkelte.

Særlig om vurdering av personvernkonsekvenser

Personvernforordningen inneholder et nytt krav i artikkel 35 om å gjennomføre en vurdering av personvernkonsekvenser. Mer om hvem som plikter å gjennomføre en slik vurdering og hvordan dette skal gjøres, se Datatilsynets veileder.

Den registrertes rettigheter

Personopplysningsforordningen definerer hvilke rettigheter som barn i barnehage og skole, ansatte og foresatte har når barnehage- og skoleeiere behandler opplysninger om dem. Barnehage- og skoleeier plikter å ivareta disse rettighetene.

Noen av disse rettighetene er nye med personvernforordningen. For mer om dette, se Datatilsynets veileder.  

Fant du det du lette etter?

0/250
0/250

Tusen takk for hjelpen!