Slik behandler du personopplysninger etter GDPR

Behandling av personopplysninger

For å kunne behandle personopplysninger, må skole- og barnehageeier (behandlingsansvarlig) ha et rettslig grunnlag. Det er et av grunnkravene for å kunne behandle personopplysninger etter personvernforordningen.

Et rettslig grunnlag kan for eksempel være et samtykke fra den som er registrert eller at det står i loven at behandlingsansvarlig skal kunne behandle personopplysningene. Formelt kalles dette rettslige grunnlaget «hjemmel i lov». 

Når man «behandler» personopplysninger, må man følge personvernforordningens regler. Det er derfor viktig å vite hva er «behandling» er. 

En «behandling» handler om hvordan du bruker personopplysninger. Personvernforordningen sier at en «behandling» er enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger. Både automatiserte og manuelle behandlinger er omfattet.

Personvernforordningen nevner innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring av personopplysninger som eksempler på hva en behandling er. 

Behandling av mange personopplysninger øker risikoen

Behandling av omfattende personopplysninger om barn, øker de potensielle risikoen for den enkeltes personvern.

Personopplysninger som en skole eller barnehage lagrer om en elev ikke en sensitiv personopplysning, kan opplysningene samlet sett gi et omfattende og detaljert bilde av barnet gjennom et helt utdannelsesløp.

Vi anbefaler at skoler, barnehager og skole- og barnehageeiere har et bevisst forhold til hvilke personvernkonsekvenser et slikt omfattende bilde kan ha for det enkelte barnet, og hvilke tiltak som skal iverksettes for å sikre disse personopplysningene.

Jo større personvernkonsekvenser en behandling kan ha, desto bedre skal personopplysningene beskyttes. 

Behandling av sensitive personopplysninger

Utgangspunktet for personvernforordningen er at det er forbudt å behandle sensitive personopplysninger, mindre  behandlingsansvarlige kan vise til et rettslig grunnlag som gjør behandlingen lovlig.

En behandlingsansvarlig kan behandle sensitive personopplysninger når det er «nødvendig av viktige samfunnsmessige interesser» (artikkel 9 nr. 2 bokstav g, personvernforordningen). Men det er ikke nok å vise til denne bestemmelsen. Behandlingsansvarlig i skole og barnehage trenger også en hjemmel i opplæringsloven eller barnehageloven. 

Det er usikkert hvor tydelig det må fremgå at en skole- eller barnehageeier skal behandle sensitive personopplysninger for at en bestemmelse i opplæringsloven eller barnehageloven skal være et godt nok rettslig grunnlag.

Det betyr ikke at fødselsnummer ikke skal beskyttes.

Personvernforordningen sier at personopplysninger skal sikresut fra hvilke konsekvenser det vil ha om personopplysningene spres. Spredning av fødselsnummer er relativt alvorlig fordi informasjonen kan brukes til å begå ID-tyveri, og fødselsnummer bør derfor sikres særskilt.

Tidligere inneholdt personopplysningsloven en egen bestemmelse om at personnummer skulle skjermes særskilt, det vil si at man ikke kunne sende personnummer ukryptert.

Utdanningsdirektoratet anbefaler likevel skole- og barnehageeiere å bruke de enkelte bestemmelsene i opplæringsloven og barnehageloven som rettslig grunnlag for behandling av sensitive personopplysninger.

Internkontroll i skole og barnehage

Elementer i et internkontrollsystem

Det finnes mange metoder for å etablere internkontroll. Både Datatilsynet og Direktoratet for forvaltning og ikt (Difi) har veiledere som barnehage- og skoleeier kan bruke. De fleste metodene inneholder mange av de samme elementene. Skissen fra Difi som viser hvilke elementer et internkontrollsystem kan bestå av: 

Utdanningsdirektoratet anbefaler at et internkontrollsystem legges ut på kommunens intranett. På den måten brukes intranettet som kommunikasjonskanal, og internkontrollsystemet lettere kunne bli et arbeidsverktøy som kontinuerlig kan oppdateres.

Særlig om risikovurderinger

Personvernforordningen artikkel 5 nr. 1 bokstav f, sier at personopplysninger skal sikres. Sikring av personopplysninger skal skje i forhold til risiko. Det betyr at barnehage- og skoleeier skal gjøre risikovurderinger.

Internkontrollskissen fra Difi ovenfor, er det vanlig at risikovurderinger er et element i et internkontrollsystem. 

Utdanningsdirektoratet anbefaler at barnehage- og skoleeier alltid gjennomføres en risikovurdering når opplysninger om enkeltpersoner behandles digitalt. 

Gjennom risikovurderingen skal barnehage- og skoleeier forvisse seg om at opplysninger om det enkelte barn i barnehage og skole, foresatte, lærer, leder eller administrativt ansatte er tilfredsstillende sikret. 

For nærmere opplysninger om gjennomføring av en risikovurdering kan du se på veilederen "Sikker håndtering av personopplysninger i skolen". Dette er en praktisk veileder som ble utarbeidet for å hjelpe barnehage- og skoleeier å ivareta sitt ansvar etter den tidligere personvernlovgivningen, men selve metoden kan fortsatt brukes. 

Når barnehage- og skoleeier behandler sensitive personopplysninger, stiller forordningen ekstra strenge krav til sikring. 

Utdanningsdirektoratet anbefaler at behandling av sensitive personopplysninger blir fremhevet i en risikovurdering. Særlig bør det tas stilling til hvilke personvernkonsekvenser behandlingen har for den enkelte.

Særlig om vurdering av personvernkonsekvenser

Personvernforordningen inneholder et nytt krav i artikkel 35 om å gjennomføre en vurdering av personvernkonsekvenser. For mer om hvem som plikter å gjennomføre en slik vurdering og hvordan dette skal gjøres, se Datatilsynets veileder.

Den registrertes rettigheter

Personopplysningsforordningen definerer hvilke rettigheter som barn i barnehage og skole, ansatte og foresatte har når barnehage- og skoleeiere behandler opplysninger om dem. Barnehage- og skoleeier plikter å ivareta disse rettighetene.

Noen av disse rettighetene er nye med personvernforordningen. For mer om dette, se Datatilsynets veileder.  

Fant du det du lette etter?

0/250
0/250

Tusen takk for hjelpen!