ABC i personvern for skoler og skoleeiere. En kort innføring i personopplysningsloven med forskrift

Transkript

1 ABC i personvern for skoler og skoleeiere En kort innføring i personopplysningsloven med forskrift veiledning

2 Om Senter for IKT i utdanningen Senter for IKT i utdanningen er et forvaltningsorgan under Kunnskapsdepartementet. Senterets oppgave er å bidra til at bruken av IKT i skolen styrker kvaliteten på undervisningen, øker elevenes læringsutbytte og utvikler deres læringsstrategier. Målgrupper for senteret er barnehagen, grunnskolen og videregående opplæring, i tillegg til førskolelærer- og lærerutdanningen. 2 Senter for IKT i utdanningen / Utgitt 2011

3 Innhold Innledning 4 Personopplysninger i skolen 4 Utviklingstrekk i skolen 4 Veiledningens formål og innhold 5 01 Personopplysningsloven med forskrift 6 Sentrale begreper 6 Personopplysninger 6 Sensitive og alminnelige personopplysninger 7 Anonyme opplysninger 8 Behandling av personopplysninger 8 Den registrerte 8 Den behandlingsansvarlige 8 Databehandler 9 02 Den registrertes rettigheter Den behandlingsansvarliges plikter Personvernkrenkelser i skolen 14 3

4 Innledning Personopplysninger i skolen Utviklingstrekk i skolen Personopplysninger er opplysninger eller vurderinger som kan knyttes til en bestemt enkeltperson. Slike opplysninger behandles i mange forskjellige sammenhenger i grunnopplæringen. De behandles for eksempel når individuelle opplæringsbehov kartlegges, elevenes kompetanse måles og vurderinger gis, opplæringen dokumenteres, brudd på ordensreglementet sanksjoneres, lærevansker utredes, vedtak om spesialundervisning fattes, individuelle opplæringsplaner utformes, halvårsrapporter skrives, omsorgssvikt rapporteres, fravær registreres, elev- og foreldresamtaler gjennomføres eller permisjonssøknader vurderes. Skolens behandling av personopplysninger innebærer at den forvalter mye kunnskap om hver enkelt person ansatte, elev og foreldre/foresatte som er tilknyttet institusjonen. Dermed har skolen og skoleeier også ansvar for å håndtere denne kunnskapen på en måte som gjør at personvernet til den enkelte ikke utsettes for krenkelser. Personvernkrenkelsene handler om at den enkelte har mistet kontrollen med hvordan skoleeier eller skolen gjør bruk av opplysningene om han/henne. Eksempler på dette kan være: Skolen publiserer bilder av ansatte eller elever på hjemmesiden uten å ha spurt om samtykke til dette. En elev anvender klassekameratens brukernavn/passord til å sende e-post i kameratens navn (identitetstyveri). Flere eksempler diskuteres i siste del av veiledningen. I løpet av de siste årene har skolens personvernansvar økt betydelig. Det skyldes at skolen behandler flere personopplysninger enn tidligere og at opplysningene i økende grad behandles ved hjelp av elektronisk teknologi. Disse endringene henger sammen med to sentrale utviklingstrekk i norsk skole: 1. Nye krav, forventninger og behov: De nasjonale skolereformene på og 2000-tallet (spesielt Kunnskapsløftet) innebærer sterkere vektlegging av at læring skal tilpasses den enkelte elevs forutsetninger. Reformene innebærer også økt vekt på kartlegging av elevenes kompetanse, styrking av arbeidet med å forbedre skolemiljøet, raskere innsats mot elever med lære- eller atferdsvansker og en mer omfattende dokumentasjons- og rapporteringsplikt enn tidligere. Dessuten hevdes det at elever og foreldre/foresatte i økende grad krever dokumentasjon av den opplæringen som er gitt eller den karakteren som ble satt. I tillegg har antallet elever med diagnoser eller særskilte lærevansker økt. Alt dette fører til at skolen behandler flere opplysninger om de som er tilknyttet skoleinstitusjonen enn tidligere. Skolen må for eksempel vite mer om elevene for å kunne gi dem et individuelt tilpasset opplæringstilbud, og flere opplysninger må skrives ned og tas vare på for at skolen skal kunne dokumentere at den har oppfylt sine plikter etter opplæringsloven. 4

5 2. Økende bruk av digital teknologi: Skoleeiere og skoler har investert store summer i informasjons- og kommunikasjonsteknologi (IKT). Det gjelder for eksempel lærer- og elevmaskiner, printere, skoleadministrative systemer, digitale læringsplattformer, pedagogisk programvare, sakarkivsystemer, skytjenester, e-post og Internett. Samtidig er digital kompetanse det å kunne beherske datautstyr og IKT definert som én av fem grunnleggende ferdigheter i de nye læreplanene for skolen. Skoleeiere og skoler må derfor skaffe seg elektronisk utstyr for å gi elevene den opplæringen de har krav på. Veiledningens formål og innhold Dette regnestykket er relativt lite kjent i Skole-Norge. Formålet med denne veiledningen er derfor å gi skoleeiere, skoleledere, lærere og administrativt ansatte en kort innføring i de rettslige reglene som gjelder når skolen behandler personopplysninger ved hjelp av elektronisk teknologi. Veiledningen er delt i fire deler og drøfter følgende spørsmål: Dette fører til at mye av det pedagogiske og administrative arbeidet har tatt spranget fra penn og papir over til datamaskiner og programvare. Dermed blir også personopplysninger om ansatte, elever eller foreldre/foresatte i stadig større grad behandlet i skolens elektroniske systemer. Når vi setter disse to utviklingstrekkene sammen, kan vi lage følgende regnestykke: Skolen behandler stadig flere personopplysninger + økt bruk av elektronisk teknologi i skolen = skoleeiere og skoler plikter å behandle opplysningene i henhold til reglene i personopplysningsloven og personopplysningsforskriften. Del 1: Hva slags krav stilles i personopplysningsloven med forskrift til skolens elektroniske håndtering av personopplysninger? Del 2: Hvilke rettigheter har ansatte, elever og foreldre/ foresatte når det gjelder egne personopplysninger? Del 3: Hvilke plikter har skoleeiere og skoler når de behandler opplysninger om ansatte, elever og foreldre/foresatte? Del 4: Hvordan kan personvernet til ansatte, elever og foreldre/foresatte krenkes i en skolesammenheng? Veiledningen gir et oversiktsbilde over reglene i personopplysningsloven med forskrift, men den drøfter ikke hvordan skoleeiere og skoler kan praktisere reglene på en god måte. Når det gjelder praktiseringen av disse reglene, viser vi til andre informasjonsressurser som er tilgjengelige på hjemmesiden til Senter for IKT i utdanningen. På Datatilsynets hjemmeside finnes utfyllende informasjon, både når det gjelder skolesektoren spesielt og om hvordan lovverket som sådan skal forstås. 5

6 01 Personopplysningsloven med forskrift Personopplysningsloven og personopplysningsforskriften implementerer EUs personverndirektiv fra 1995 i norsk lovgivning. 1 Loven og forskriften trådte i kraft 1. januar 2001 og avløste personregisterloven fra Hensikten med reglene i personopplysningsloven og forskriften er å ivareta personvernet til de som opplysningene gjelder, blant annet privatlivets fred og den personlige integriteten. Disse hensynene blir forsøkt ivaretatt ved å sikre den personen som opplysningene gjelder, en viss innflytelse over hvordan andre gjør bruk av hans/hennes personopplysninger. Lovverket gjelder når opplysninger om ansatte, elever og foreldre/foresatte behandles elektronisk. Loven og forskriften gjelder også når opplysninger om den enkelte inngår (eller er ment å inngå) i manuelle personregistre, for eksempel papirbaserte elev- eller personalmapper. Lovverket gjelder ikke bare i skolen eller offentlig forvaltning, men i nesten alle sektorer og bransjer hvor personopplysninger behandles elektronisk. Opplysninger som formidles muntlig eller skrives ned på papir, reguleres ikke av lovverket (så lenge papiret ikke inngår i manuelle personregistre). Det samme gjelder opplysninger som brukes til rent private eller personlige formål. Legg også merke til at personopplysninger som publiseres i skoleaviser, ikke omfattes av lovverket. Datatilsynet gir informasjon om og fører kontroll med at reglene i lovverket overholdes. 2 Hvert år gjennomfører Datatilsynet stedlige kontroller av hvordan skoleeiere praktiserer reglene i personopplysningsloven med forskrift. Hvis reglene ikke overholdes, kan Datatilsynet ilegge ulike typer sanksjoner. Det kan være alt fra pålegg om retting av regelbrudd til overtredelsesgebyr, tvangsmulkt eller politianmeldelse. Vedtak fattet av Datatilsynet, for eksempel pålegg om retting av regelbrudd, kan klages inn for Personvernnemnda. 3 Nemnda vil enten opprettholde Datatilsynets vedtak eller oppheve hele eller deler av vedtaket. Sentrale begreper Personopplysningsloven med forskrift inneholder en rekke begreper som det er nyttig for skoleeiere og skoler å kjenne til. Nedenfor følger en kort gjennomgang av de viktigste begrepene i lovverket. Personopplysninger Det mest sentrale begrepet i personopplysningsloven og forskriften er «personopplysninger». Med personopplysninger menes all informasjon og alle vurderinger som kan knyttes til en bestemt enkeltperson. 4 Personopplysningene kan foreligge i form av tekst, bilder, film, video eller lydopptak. Navn, adresse, alder, telefonnummer, e-postadresse og fødselsnummer er eksempler på personopplysninger. Opplysninger om elevenes underveis- og sluttvurderinger, fravær, anmerkninger, faglig progresjon, spesielle undervisningsbehov, atferdsmønstre og sosiale evner vil være personopplysninger. E-post mellom skole og hjem som inneholder opplysninger om individuelle forhold, for eksempel elevenes opplæring, atferd, fravær, osv., er person-opplysninger. Det samme gjelder opplysninger om innlevering av og innholdet i elevarbeider, og besvarelser på prøver og eksamener. Hvis det lages dokumenter i tilknytning til elev- eller foreldresamtaler, vil disse inneholde personopplysninger. Også bilder, videoer eller lydfiler som legges ut på 1 Loven og forskriften er tilgjengelige på 2 Se Datatilsynets hjemmesider på Datatilsynets oppgaver fremgår av personopplysningsloven Se Personvernnemndas hjemmesider på Her finnes blant annet en oversikt over saker som nemnda har behandlet og reglene om klageadgang. 4 Se personopplysningsloven 2. 6

7 7 skolens hjemmeside eller i den digitale læringsplattformen, og hvor enkeltpersoner kan gjenkjennes, er eksempler på personopplysninger. Legg merke til at personopplysningsbegrepet omfatter mye mer enn de typiske personalia navn, adresse, fødselsnummer, telefonnummer, osv. som registreres og vedlikeholdes i det skoleadministrative systemet eller i skoleeiers lønnsog personalsystem. Det innebærer at skolens elektroniske behandling av personopplysninger ikke begrenser seg til disse IT-systemene. Det vil også foregå behandling av personopplysninger i den digitale læringsplattformen, på hjemmesiden, i elevenes og de ansattes datamaskiner, på minnepenner og andre mobile dataenheter, i e-postkontoer, i pedagogisk programvare og i nettressurser som skolen anvender i opplæringen. Sensitive og alminnelige personopplysninger Personopplysningsloven med forskrift skiller mellom to hovedtyper personopplysninger: sensitive og alminnelige. Med sensitive personopplysninger menes informasjon eller vurderinger knyttet til helse og helserelaterte forhold; etnisk eller rasemessig bakgrunn; politisk, religiøs eller livssynsmessig oppfatning; seksuell legning; strafferettslige forhold og fagforeningsmedlemskap. 5 Alle andre typer personopplysninger regnes som alminnelige. Dette betyr at fødselsnummer ikke er en sensitiv personopplysning. 6 Nedenfor gis noen eksempler på sensitive personopplysninger som ofte behandles i skolen: Informasjon om sykdom og diagnoser, for eksempel i tilknytning til elever med lærevansker. Opplysninger om sykdom som registreres i forbindelse med fravær. Helseopplysninger som behandles i forbindelse med elever med krav på spesiell tilrettelegging ved prøver og eksamener. Informasjon om elevenes sosiale ferdigheter, atferdsmønstre og kommunikasjonsevner. Opplysninger om vanskelige familie- eller hjemmeforhold (slike opplysninger trenger ikke alltid å være sensitive, men de bør likevel behandles med varsomhet). Opplysninger om omsorgssvikt, for eksempel i forbindelse med alkohol- eller rusmisbruk i hjemmet. Opplysninger om de ansattes fagforeningsaktivitet. 5 Se personopplysningsloven 2. 6 Bruken av fødselsnummer er imidlertid regulert av en egen bestemmelse i personopplysningsloven, se 12. Her heter det at slike numre bare skal anvendes når det er saklig behov for sikker identifisering av enkeltpersoner og bruk av fødselsnumre er nødvendig for å oppnå slik identifisering. 7 Melding om bruk av alminnelige personopplysninger og søknad om konsesjon for bruk av sensitive personopplysninger kan utføres på Datatilsynets hjemmeside. 8 Se personopplysningsforskriften Det samme gjelder for opplysninger om barn i barnehager og i skolefritidsordninger (se personopplysningsforskriften 7 21). Et liknende unntak gjelder for behandling av opplysninger om ansatte, se personopplysningsforskriften Opplysninger om straffbare handlinger begått av elever eller ansatte, for eksempel skadeverk, tyveri, seksuelle krenkelser eller omsetning av rusmidler. Informasjon om elever og deres foreldre/foresatte som av religiøse eller livssynsmessige grunner er fritatt fra deler av undervisningen (eller som følger et spesielt undervisningsopplegg). Behandling av sensitive opplysninger regnes som mer inngripende med tanke på personvernet enn behandling av alminnelige personopplysninger. Normalt stilles det derfor strengere vilkår for bruk av sensitive enn for bruk av alminnelige personopplysninger. Et eksempel på dette er at bruk av sensitive opplysninger vanligvis krever konsesjon fra Datatilsynet. Det normale ved bruk av alminnelige personopplysninger er at det kun kreves at Datatilsynet får melding om dette. 7 For skoleeiere er det likevel verdt å merke seg at all bruk av elevopplysninger som er hjemlet i opplæringsloven med forskrifter (eller som skolen har fått samtykke fra elevene eller deres foreldre/foresatte til å bruke), er unntatt fra både melde- og konsesjonsplikten. 8

8 8 Skolen behandler også en rekke opplysninger som ikke regnes som personopplysninger. Eksempler på dette er hel- og halvårsplaner, ukeplaner, budsjetter, ulike typer strategier, generell informasjon til hjemmet eller dagsorden for og referater fra ulike typer møter (samarbeidsutvalg, skolemiljøutvalg, elevråd, foreldreråd, osv.). Disse dokumentene og opplysningene reguleres ikke av reglene i personopplysningsloven med forskrift. Anonyme opplysninger Anonyme opplysninger er ikke et begrep som benyttes i personopplysningsloven med forskrift. Når det likevel tas med her, er det fordi begrepet bidrar til å tydeliggjøre grensen mellom hva som er personopplysninger og hva som ikke er det. Anonyme opplysninger kjennetegnes av at de ikke kan knyttes til en bestemt enkeltperson vi vet ikke hvem opplysningene refererer til og vi har ingen mulighet til å finne ut av det. Slike opplysninger er derfor ikke personopplysninger, og de omfattes dermed ikke av reglene i personopplysningsloven med forskrift. Anonymisering av personopplysninger kan skje ved å fjerne identifiserende informasjon, for eksempel navn og klassetilhørighet, fra innleverte elevoppgaver eller andre typer dokumenter. Den identifiserende informasjonen må fjernes slik at det ikke senere er mulig å knytte en bestemt enkeltperson til oppgaven eller dokumentet. 9 Hvis det gjennomføres spørreundersøkelser på skolen, for eksempel i forbindelse med kartlegginger av det psykososiale miljøet, og hvor de som besvarer spørsmålene ikke oppgir hvem de er, vil dette være anonyme opplysninger. Det må heller ikke være mulig å identifisere vedkommende som har fylt ut spørreskjemaet på bakgrunn av de svarene som han/hun har avgitt. Behandling av personopplysninger Med behandling av personopplysninger menes all bruk eller anvendelse av opplysninger eller vurderinger som kan knyttes til en bestemt enkeltperson. Eksempler på behandlinger av personopplysninger er innsamling, registrering, lagring, publisering, sammenstilling, overføring og sletting av opplysninger om ansatte, elever eller foreldre/foresatte. Skoleeier må ha lovlig grunn til å behandle personopplysninger om ansatte, elever og foreldre/foresatte. Det kan skoleeier enten skaffe seg gjennom et samtykke fra den opplysningene gjelder, 10 ved at opplæringsloven med forskrifter gir skolen anledning til å behandle opplysningene, eller når skolen/ skoleeier kan påberope seg en av nødvendighetsgrunnene som nevnes i personopplysningsloven 8 bokstav a-f. 11 Den registrerte Den registrerte er vedkommende enkeltperson som opplysningene eller vurderingene handler om. I en skolesammenheng vil den registrerte være ansatte, elever og foreldre/foresatte. 12 Den registrerte har rettigheter som skoleeier eller skolen plikter å ivareta (les mer om rettigheter i del 2 av veilederen). Rettighetene har ingen nedre aldersgrense, det vil si at de også gjelder for personer under 18 år. Det betyr at elever i barne-, ungdoms- og videregående skoler har de samme rettighetene som ansatte og foreldre/foresatte. Der hvor det er nødvendig med samtykke fra den registrerte for at skoleeier skal ha lov til å behandle personopplysninger, skal skoleeier eller skolen først informere den registrerte 9 Det finnes også noe som heter pseudonyme opplysninger. Dette er opplysninger hvor identifiserende informasjon navn, klassetilhørighet, osv. er fjernet, men hvor det fortsatt er mulig å finne ut hvem som leverte oppgaven eller prøven. Ettersom det vil være mulig å finne identiteten til vedkommende elev, er oppgaven eller prøven å regne som personopplysninger. Skoleeiere og skoler som anvender tjenester for plagiatkontroll, pseudonymiserer ofte oppgaver eller prøver før de sendes til kontroll. 10 Kravet til samtykke er at det skal være informert, frivillig og uttrykkelig (se personopplysningsloven 2 nr. 7). Den registrerte må derfor vite litt om hva han eller hun samtykker til, det må være full anledning til å nekte å gi samtykke og det skal klart fremgå at samtykke faktisk er gitt. 11 Eksempler på slike nødvendighetsgrunner er at skoleeier må kunne behandle personopplysninger for å utføre en oppgave av allmenn interesse eller at behandlingen er så viktig at dette veier tyngre enn hensynet til den enkeltes personvern

9 (ansatte, elever eller foreldre/foresatte) om hvilke opplysninger de ønsker å bruke og hva opplysningene skal brukes til. Hvis den registrerte ikke gir samtykke til behandling av opplysningene, kan ikke skolen/skoleeier anvende dem. Den registrerte kan kreve erstatning hvis han eller hun har lidd økonomisk eller ikke-økonomisk overlast som følge av at skoleeier har unnlatt å overholde reglene i personopplysningsloven med forskrift. 13 Databehandler Databehandlere tar seg av personopplysninger på vegne av den behandlingsansvarlige, for eksempel ved å drifte IT-systemer på oppdrag fra skoleeier. De fleste leverandører av skoleadministrative systemer og digitale læringsplattformer er databehandlere for skoleeierne. Det samme gjelder for leverandører av skytjenester, blant annet Live@edu og Google Apps for Education. 9 Den behandlingsansvarlige Den behandlingsansvarlige er vedkommende person eller virksomhet som behandler opplysninger eller vurderinger som knytter seg til bestemte enkeltpersoner. 14 I en skolesammenheng er den behandlingsansvarlige skoleeier (kommuner, fylkeskommuner eller frivillige/private virksomheter) og ikke hver enkelt skole. Pliktene i lovverket retter seg mot den behandlingsansvarlige. Dette betyr at personopplysningsloven med forskrift regulerer skoleeieres bruk av opplysninger om ansatte, elever og foreldre/foresatte. Stedlige tilsyn som Datatilsynet gjennomfører hvert år, retter seg mot den behandlingsansvarlige, det vil si mot skoleeier. Det er også skoleeier som straffes hvis skolene ikke overholder reglene i lovverket. I tillegg er det skoleeier som må betale erstatning til ansatte, elever eller foreldre/foresatte hvis de har lidd økonomisk eller ikke-økonomisk overlast som følge av at skolene ikke har overholdt reglene i personopplysningsloven med forskrift. 15 Databehandleren har ingen egen råderett over personopplysningene. Det innebærer at de ikke kan bruke opplysningene på andre måter enn det som er skriftlig avtalt med den behandlingsansvarlige (skoleeier). Skoleeiere er derfor pliktige til å lage en såkalt databehandleravtale med sine databehandlere/ leverandører. 16 I avtalen skal skoleeierne blant annet angi hvilke personopplysninger som leverandøren behandler på vegne av skoleeier, hva leverandørene kan bruke opplysningene til og hvilke krav til informasjonssikkerheten som databehandleren må oppfylle. 17 Hvis skoleeierne ikke har en slik avtale med sine databehandlere (eller hvis avtalen ikke følges opp), er dette i strid med lovverket. 12 Den registrerte vil også være ansatte hos skoleeier som håndterer saker på skoleområdet, for eksempel ansatte i PPT. 13 Se personopplysningsloven I personopplysningsloven 2 heter det at den behandlingsansvarlige bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes. 15 Merk at når det gjelder reglene om informasjonssikkerhet (se personopplysningsloven 13 og personopplysningsforskriften kapittel to), er det den daglige lederen hos skoleeier som er ansvarlig for at disse reglene overholdes. I kommuner og fylkeskommuner vil dette være rådmannen. 16 Se personopplysningsloven 15 og personopplysningsforskriften Mal for databehandleravtale er tilgjengelig på aspx 17 Databehandlere har også et selvstendig ansvar for at informasjonssikkerheten ivaretas. Dette fremgår av personopplysningsloven 13. Se også 15.

10 02 Den registrertes rettigheter Personopplysningsloven inneholder en rekke rettigheter. Hensikten med dem er å styrke den registrertes innflytelse over hvordan den behandlingsansvarlige (skoleeiere) håndterer hans/hennes personopplysninger. Den registrertes rettigheter bygger på følgende retningslinjer: Ansatte, elever og foreldre/foresatte skal få vite hvilke opplysninger om dem som skoleeier behandler og hva opplysningene brukes til; de skal få vite hvordan skoleeier håndterer opplysningene og hvem opplysningene eventuelt videreformidles til; de skal ha mulighet til å påvirke skoleeiers innhenting, bruk og offentliggjøring av opplysningene; de skal få tilgang til egne opplysninger og de skal kunne kreve retting eller sletting av opplysningene. Retten til innsyn i egne opplysninger: Ansatte, elever og foreldre/foresatte har rett til å kreve innsyn i egne opplysninger. Den registrerte kan også be om å få informasjon om hva skoleeier har gjort for å ivareta informasjonssikkerheten til opplysningene. Retten til å kreve retting av opplysninger: Ansatte, elever og foreldre/foresatte kan kreve at skoleeier retter uriktige eller ufullstendige opplysninger om dem selv. Retten til å kreve sletting eller sperring av opplysninger: Ansatte, elever og foreldre/foresatte kan kreve at opplysninger om han/henne som skoleeier ikke har lovlig grunn til å bruke eller som er sterkt belastende, blir slettet eller sperret. 20 I kapittel tre og fire i personopplysningsloven er retningslinjene konkretisert i form av individuelle rettigheter. Følgende er de viktigste: Retten til innsyn: Hvem som helst, også personer uten tilknytning til skolen, har rett til å be skoleeier om å fremskaffe generell informasjon om behandlingen av personopplysninger. Her skal det blant annet informeres om hvilke opplysningstyper som behandles og hva opplysningene brukes til. 18 Retten til informasjon: Når skoleeier/skolen innhenter opplysninger fra den registrerte selv, har han eller hun blant annet rett til å få vite hva opplysningene skal brukes til, om opplysningene vil bli utlevert til andre og hvilke rettigheter den registrerte har etter personopplysningsloven med forskrift. Skoleeier/skolen har en tilsvarende informasjonsplikt når personopplysninger innhentes fra andre enn den registrerte selv (for eksempel fra folkeregistret) Hvilke andre typer informasjon som alle og enhver kan be skoleeier om å fremskaffe, fremgår av personopplysningsloven Se personopplysningsloven 19 og Rettigheter om informasjon, innsyn og retting/endring av opplysninger finnes dessuten i opplæringsloven, for eksempel i forbindelse med vedtak om spesialundervisning. Det er skoleeier som er ansvarlig for at rettighetene ivaretas, men det praktiske arbeidet (for eksempel å innhente samtykke eller gi informasjon og innsyn) er vanligvis delegert til hver enkelt skole. Skolens lovpålagte rådsorganer eller elev- og foreldresamtaler er godt egnede fora til å ivareta mange av rettighetene i personopplysningsloven. Informasjonen til alle og enhver om hvilke typer personopplysninger skolen behandler, hva de brukes til og hvilke rettigheter ansatte, elever og foreldre/foresatte har, kan også gis via skolens hjemmeside. Enkelte av skolens IT-systemer, for eksempel den digitale læringsplattformen, er lagt opp slik at noen av rettighetene kan ivaretas der (blant annet at elever og deres foreldre/foresatte får innsyn i hvilke opplysninger om dem som skolen behandler). 10

11 Et viktig spørsmål er hvem som skal ivareta personvernrettighetene til elever som ikke er myndige. Hvor stor selvstendig råderett skal elevene ha over egne personopplysninger og i hvilken grad kan de anvende rettighetene i lovverket på egen hånd? Svaret på disse spørsmålene avhenger av elevenes alder og modenhet. Elevenes selvstendige anvendelse av egne rettigheter bør derfor utvides etter hvert som de blir eldre. På barne- og mellomtrinnet er det naturlig at foreldrene/foresatte har hovedansvaret for å ivareta elevenes rettigheter. På ungdomstrinnet og i videregående opplæring bør elevene selv ha større ansvar for forvaltningen av egne rettigheter Datatilsynet og Forbrukerombudet har i en felles veileder sagt at elever i alderen år bør ivareta de aller fleste av sine rettigheter selv. 22 Det betyr blant annet at skoleeier bør begrense foreldre/foresattes innsyn i opplysninger om elevene, for eksempel på skolens digitale læringsplattform. Men foreldre/ foresatte har likevel krav på å få tilgang til opplysninger om egne elever som de trenger for å følge opp elevenes skolegang. Hvis det er snakk om å gi samtykke til behandling av personopplysninger, bør elever over 15 år bes om dette. Men hvis det dreier seg om sensitive personopplysninger, er det vanligvis foreldre/foresatte som samtykke bør innhentes fra. Når det gjelder elever under 15 år, vil det være naturlig at foreldrene/ foresatte (i samråd med eleven) gir samtykke, uansett om det dreier seg om sensitive opplysninger eller ikke. 21 For diskusjon av elevers rett til personvern, se 22 Veilederen er tilgjengelig på Vær oppmerksom på at ulike lovverk opererer med noe forskjellige aldersgrenser for når mindreårige helt eller delvis kan opptre på egne vegne. Slike aldersgrenser finnes blant annet i forvaltningsloven (retten til å være part i en forvaltningssak), opplæringsloven (blant annet retten til å klage på sluttvurdering uten skriftlig samtykke fra foreldre/foresatte), vergemålsloven (kompetanse til å inngå avtaler), barneloven (blant annet retten til selv å velge utdanning), sosialtjenesteloven (retten til å være part i sosialsaker) og pasient-rettighetsloven (retten til å samtykke til medisinsk behandling). For nærmere drøfting av spørsmålet om forholdet mellom mindreårige elever og foreldre/foresatte, se veiledningen «Foresattes tilgang til skolens digitale læringsplattform», tilgjengelig på Her drøftes også hvem som skal regnes som foreldre/foresatte til eleven og hvilke opplysninger om eleven som foreldre/foresatte bør ha innsyn i.

12 03 Den behandlingsansvarliges plikter 12 I tillegg til å respektere den registrertes rettigheter, har skoleeier den behandlingsansvarlige en rekke plikter etter personopplysningsloven og forskriften. Følgende er de viktigste pliktene som skoleeier er pålagt å ivareta: Skoleeier må ha lovlig grunn til å behandle personopplysninger. Som vi har sett, kan skoleeier skaffe seg lovlig grunn på tre måter: (1) gjennom samtykke fra den registrerte, (2) ved at opplæringsloven med forskrifter gir skoleeier anledning til å behandle personopplysningene eller (3) hvis skoleeier har en nødvendig grunn til å behandle opplysningene. 23 Skoleeier må ha et konkret og saklig formål med behandlingen av personopplysningene. Dette kan for eksempel være elev- eller personaladministrasjon, opplæring eller å skape et godt læringsmiljø. Skoleeier må ikke anvende personopplysningene til et formål som er uforenlig med det opprinnelige, uten å ha fått samtykke til dette. Det innebærer for eksempel at personopplysninger som brukes for å fatte vedtak om spesialundervisning, ikke kan anvendes til formål som ikke har noe med opplæringen å gjøre uten at det først er gitt samtykke fra eleven selv eller foreldrene/foresatte. Skoleeier skal ikke samle inn flere personopplysninger enn det som er nødvendig for det formålet de skal brukes til. Hvis skoleeier innsamler såkalt overskuddsinformasjon personopplysninger som det ikke er nødvendig at skoleeier bruker skal disse slettes. Skoleeier skal ikke ta vare på personopplysninger lenger enn nødvendig. Det betyr for eksempel at når elevene slutter ved skolen, skal alle opplysninger om dem slettes fra skolens informasjonssystemer. Dette gjelder likevel ikke for opplysninger som arkivloven, opplæringsloven eller annen lovgivning pålegger skolen å ta vare på. Her vil det gjerne være snakk om opplysninger som er av spesiell juridisk eller forvaltningsmessig verdi for skoleeier. Skoleeier skal sørge for at kvaliteten på de personopplysningene som behandles, er god. Det innebærer at opplysningene skal være tilstrekkelige og relevante med tanke på det de skal brukes til. Skoleeier skal også sørge for at opplysningene er oppdaterte og korrekte. Skoleeier skal sørge for informasjon til den registrerte: Skoleeier skal på eget initiativ gi ansatte, elever og foreldre/ foresatte informasjon om behandling av opplysninger som gjelder dem. Det dreier seg blant annet om hva formålet med bruken av opplysningene er og om de vil bli utlevert til andre. 24 Skoleeier skal sørge for tilfredsstillende informasjonssikkerhet. 25 Det betyr at opplysninger om ansatte, elever og foreldre/foresatte skal sikres mot at de kommer uvedkommende i hende, at de endres eller redigeres av uvedkommende og at de er tilgjengelige for alle som har rettmessig behov for å bruke opplysningene. Skoleeier skal gjennomføre såkalte risikovurderinger for å avdekke om personopplysningene er tilfredsstillende sikret. Hvis risikovurderingen viser at informasjonssikkerheten ikke er tilfredsstillende, plikter skoleeier eller skolen å iverksette sikringstiltak Hva som regnes som nødvendighetsgrunner fremgår av 8 og 9 i personopplysningsloven. 24 Ovenfor har vi sett at plikten til å gi informasjon gjelder både når skoleeier samler personopplysninger fra den registrerte selv og når opplysningene innhentes fra andre enn den registrerte (se personopplysningsloven 19 og 20). 25 Se personopplysningsloven 13 og personopplysningsloven kapittel to. 26 Senter for IKT i utdanningen har utgitt veiledningen «Sikker håndtering av personopplysninger i skolen», om informasjonssikkerhet og risikovurderinger for grunnopplæringen. Den er tilgjengelig på På Datatilsynets hjemmesider ( finnes ytterligere informasjon om informasjonssikkerhet og risikovurderinger.

13 Skoleeier skal inngå avtaler med databehandlere som håndterer personopplysninger på vegne av skoleeier. Det kan for eksempel gjelde leverandører av skoleadministrative systemer, digitale læringsplattformer og skytjenester. Skoleeiere skal etablere internkontroll for å forsikre seg om at bestemmelsene i personopplysningsloven med forskrift overholdes av skolene. Internkontrollen skal blant annet sikre at kvaliteten på personopplysninger som anvendes i skolen er god og at rettighetene til ansatte, elever og foreldre/foresatte respekteres Skoleeiere har også plikter på enkelte spesielle områder, for eksempel hvis fjernsynsovervåkning tas i bruk på skolens område. 28 Skoleeiere som anvender skytjenester, må dessuten være oppmerksom at enkelte av tjenestene befinner seg i utlandet. Dette er av betydning fordi det finnes regler i personopplysningsloven med forskrift om hvilke land som skoleeiere kan overføre personopplysninger til. 29 Hovedregelen er at det ikke vil være anledning til å overføre personopplysninger til land som ikke har like gode personvernregler som de vi finner innenfor EU/EØS-området. På visse vilkår kan det likevel være anledning til å overføre personopplysninger til slike land, for eksempel hvis den registrerte har samtykket til overføringen. 30 Datatilsynet fører oversikt over hvilke land utenfor dette området som det likevel er lov å overføre personopplysninger til Se personopplysningsloven 14 og personopplysningsforskriften kapittel tre. På Datatilsynets hjemmeside ( finnes et omfattende informasjons- og veiledningsmateriale som forklarer bestemmelsene om internkontroll. 28 Se personopplysningsloven kapittel sju og personopplysningsforskriften kapittel åtte. 29 Se personopplysningsloven kapittel fem og personopplysningsforskriften kapittel seks. 30 Se personopplysningsloven Datatilsynet har laget en generell veileder om bruk av skytjenester. Den er tilgjengelig på aspx

14 04 Personvernkrenkelser i skolen 14 Personopplysningsloven med forskrift skal sørge for at den registrertes personvern ikke krenkes når opplysninger om han eller henne behandles elektronisk eller når opplysningene inngår i manuelle personregistre. Slike krenkelser kan oppstå når rettighetene til ansatte, elever eller foreldre/foresatte ikke respekteres og når skoleeier ikke overholder sine rettslige plikter. Nedenfor følger noen typiske eksempler på personvernkrenkelser i en skolesammenheng. Listen over eksempler på personvernkrenkelser kunne vært lengre og sett annerledes ut. Men eksemplene gir forhåpentligvis en indikasjon på hvilke hendelser som kan innebære krenkelser av personvernet, det vil si hva rettighetene og pliktene i lovverket har til hensikt å unngå. 32 Eksemplenes fellesnevner er at den registrerte ansatte, elever eller foreldre/foresatte ikke lenger har særlig innflytelse over hva som skjer med egne personopplysninger. Personvernkrenkelsene handler derfor om at den registrerte har mistet kontrollen med hvordan skoleeier eller aktører i skolen gjør bruk av opplysninger om han eller henne. Følgende situasjoner fører til at de registrerte ikke har like god kontroll med egne personopplysninger som lovverket krever at de skal ha: Elever plasserer programvare på lærerens pc som henter ut personopplysninger fra maskinen uten at læreren vet om det. Elever skaffer seg tilgang til lærerens private mappe på skolens digitale læringsplattform. Elever skaffer seg tilgang til rektors e-postkonto. Skolen publiserer bilder av ansatte eller elever på hjemmesiden uten å ha spurt om samtykke til dette. En elev anvender klassekameratens brukernavn/passord til å sende e-post i kameratens navn (identitetstyveri). Elever benytter skoletiden til å publisere feilaktige opplysninger om medelever eller ansatte på nettsamfunn som Facebook eller Twitter. 33 Skoleledelsen skaffer seg innsyn i de ansattes e-postkonto uten å ha lovlig grunn til dette. 34 Læreren skaffer seg urettmessig tilgang til elevenes SMS-meldinger. Skolen eller skoleeier informerer ikke ansatte, elever og foreldre/foresatte om hvilke personopplysninger som behandles og hva de brukes til. Ansatte eller elever får ikke innsyn i opplysninger om dem selv som skolen oppbevarer i personal- og elevmapper. Skolen eller skoleeier nekter elevene (eller deres foreldre/ foresatte) innsyn i opplysninger om dem som gjelder disiplinære forhold. Skolen eller skoleeier unnlater å endre elevopplysninger som er feilaktige, misvisende eller utdaterte. Skolen eller skoleeier unnlater å slette opplysninger om ansatte eller elever som den ikke lenger har rettmessig grunn til å oppbevare. 32 For mer informasjon om hvilke personvernkrenkelser som barn og unge kan utsettes for, se for eksempel www. dubestemmer.no, og 33 Datatilsynets nettjeneste kan bistå med råd og veiledning til personer i skolen som ønsker å fjerne belastende opplysninger om seg selv fra Internett. 34 Regler for innsyn i de ansattes e-post finnes i personopplysningsforskriften kapittel ni. Her beskrives når det er lov for skoleeier eller skoleledelsen å skaffe seg innsyn i de ansattes e-postkommunikasjon og hvilken fremgangsmåte som skal følges. Reglene gjelder også for innsyn i private filområder på skoleeiers datanettverk og private mapper eller områder i den digitale læringsplattformen. Merk dessuten at kapittel ni i forskriften inneholder et generelt forbud mot overvåkning av de ansattes Internettbruk (se 9-2). Overvåkning av datatrafikk er likevel lovlig når det gjøres for å administrere IT-systemene eller for å ivareta informasjonssikkerheten.

15 Læreren får tilgang til sensitive opplysninger om elever med spesialundervisning som han/hun ikke har tjenestelige behov for å vite om. Skolens elevmapper går tapt fordi arkivskapet ikke er godt nok sikret mot brannskader. Elever får tilgang til det skoleadministrative systemet og endrer opplysninger om karakterer og fravær. Legg merke til at hendelsene ikke bare handler om elevenes eller foreldrene/foresattes rett til personvern. Mange av de personvernmessige krenkelsene som kan oppstå i skolen vil også kunne ramme ledere, lærere eller administrativt ansatte. Enkelte av hendelsene som nevnes ovenfor er relativt enkle å unngå, for eksempel at skolen ber om samtykke før bilder publiseres på hjemmesiden eller at ansatte, elever og foreldre/ foresatte får innsyn i opplysninger som angår dem selv. Andre krenkelser kan det være mer problematisk å gardere seg mot, for eksempel at enkelte elever publiserer feilaktige (og lite flatterende) opplysninger om ansatte eller medelever på nettsamfunn som Facebook og Twitter. Det kan derfor være vanskelig å sikre seg mot alle former for personvernkrenkelser i skolen. Det viktigste er likevel at skoleeiere og skoler har et bevisst forhold til personvern når opplysninger om ansatte, elever og foreldre/foresatte behandles ved hjelp av elektronisk teknologi. Forutsetningen for dette er at bestemmelsene i personopplysningsloven med forskrift er godt kjent i skolesektoren. Da har skoleeiere og skoler skaffet seg et grunnlag for å respektere andres rettigheter og overholde egne plikter. 15

16