Skoleeier er ansvarlig for å ivareta personvernet til elever, ansatte og foreldre/foresatte når det behandles opplysninger ved bruk av elektroniske hjelpemidler. Nedenfor følger en kort innføring i hvilke føringer lovverket gir for behandling av slike opplysninger.

Nærmere informasjon om lovverket finner du under «Lover og forskrifter».

Personopplysningsloven

Personopplysningsloven med forskrift stiller krav til hvordan skoleeier skal behandle opplysninger om elever, ansatte og foreldre/foresatte (personopplysninger). Hensikten med reglene i loven er å ivareta personvernet ved å styrke den enkeltes innflytelse over og kontroll med hvordan skoleeier håndterer opplysninger om han eller henne.

Personopplysninger
I personopplysningsloven defineres personopplysninger som alle opplysninger eller vurderinger som kan knyttes til enkeltpersoner. Personopplysninger kan foreligge som tekst, bilder, lyd- eller videoopptak.

Behandlinger
Med behandling av personopplysninger menes alle former for bruk av slike opplysninger eller vurderinger, for eksempel innsamling, lagring, utlevering, publisering, analyse/sammenstilling eller sletting.

Sensitive personopplysninger
Personopplysningsloven definerer visse typer opplysninger eller vurderinger som sensitive. Dette gjelder opplysninger eller vurderinger om helse, religion og livssyn, etnisitet eller rasemessig bakgrunn, seksuell legning, politiske holdninger, straffbare forhold og fagforeningsmedlemskap.

For behandling av sensitive personopplysninger kreves vanligvis konsesjon fra Datatilsynet.

Plikter

Personopplysningsloven definerer visse plikter som skoleeier skal oppfylle ved elektronisk behandling av opplysninger om elever, ansatte og foreldre/foresatte.

Følgende er de viktigste pliktene som skoleeier har:

  • Skoleeier må ha en lovlig grunn (hjemmel) for å behandle personopplysninger om elever,ansatte og foreldre/foresatte.
  • Skoleeier kan ikke behandle personopplysninger uten at det er fastsatt hva opplysningene skal brukes til på forhånd.
  • Skoleeier kan ikke uten videre behandle personopplysninger til helt andre formål enn det som opprinnelig ble fastsatt.
  • Skoleeier skal sørge for at personopplysningene som behandles har god kvalitet (tilstrekkelige og relevante, korrekte og oppdaterte).
  • Skoleeier kan ikke oppbevare personopplysninger lengre enn hva som er nødvendig for å oppnå formålet de ble innsamlet for (med mindre de skal arkiveres).
  • Skoleeier skal melde inn behandling av visse typer ikke-sensitive personopplysninger til Datatilsynet.
  • Skoleeier skal søke om konsesjon for behandling av visse typer sensitive personopplysninger.
  • Skoleeier skal sørge for at informasjonssikkerheten ved behandling av personopplysninger er tilfredsstillende.
  • Skoleeier skal inngå og følge opp avtaler med eksterne virksomheter (private eller offentlige) som behandler personopplysninger på oppdrag fra skoleeier (databehandlere).
  • Skoleeier skal etablere internkontroll for å sikre at plikter og rettigheter etter personopplysningsloven blir overholdt

Hjemmelsgrunnlag for behandling

For å kunne behandle personopplysninger, må skolen ha en hjemmel for behandlingen og grunnkravene til behandlingen må være oppfylt. Det er flere krav og vilkår som må oppfylles når sensitive personopplysninger behandles. En hjemmel for behandling kan være

Samtykke
Hvis skolen samler inn og behandler opplysningene på grunnlag av samtykke, kan opplysningene bare brukes slik samtykket beskriver. Dersom samtykke legges til grunn, må samtykket være frivillig, uttrykkelig og informert. Personopplysningsloven § 2 nr. 7. Et samtykke kan trekkes tilbake når som helst. Dette innebærer at de opplysningene, som ble behandlet på grunnlag av samtykket, ikke kan brukes lenger.

Hjemmelsgrunnlag etter opplæringsloven og privatskoleloven
Opplæringsloven og privatskoleloven har bestemmelser som forutsetter at skolen og skoleeierne behandler personopplysninger, for eksempel om elevvurderinger og kommunikasjon med eleven og foreldrene. Selv om behandling av personopplysninger ikke er nevnt, gir lovene likevel hjemmel til behandlinger som er nødvendige for å oppnå formålet. Hjemmelen følger da av bestemmelsene i disse lovene kombinert med bestemmelser i personopplysningsloven § 8

Nødvendighetsvilkår
Et eksempel på et nødvendighetsvilkår er å kunne utføre en oppgave av allmenn interesse, eller utlevering for å ivareta en berettiget interesse. Skoleeier kan også bruke en av nødvendighetsvilkårene i personopplysningsloven § 8 bokstav a-f. Et eksempel på en nødvendighetsvilkår er å ivareta en rettslig forpliktelse. Skolen må være oppmerksomme på at dette er strenge rettslige krav. Hvis skolen bruker nødvendighetskriteriene som behandlingsgrunnlag, må skolen sette seg godt inn i regelverket.

Sammensatt hjemmelsgrunnlag
Hjemmelsgrunnlaget kan være sammensatt av ulike grunnlag. For eksempel kan lagring av elevoppgaver ha hjemmel i opplæringsloven, mens nettprat på en læringsplattform krever et samtykke fra hver elev (eventuelt foreldre). En utlevering av opplysninger til foreldre kan være hjemlet i både opplæringsloven (eller privatskoleloven), og av foreldreansvaret, jamfør barneloven §§ 30 flg. Det er imidlertid viktig å være oppmerksom på at det her gjelder et «proporsjonalitetsprinsipp», som innebærer at det vil kreves klarere hjemmel jo større personvernrettslige konsekvenser behandlingen vil innebære for eleven.

Grunnkrav til behandling av personopplysninger

I tillegg til at skoleeier må ha hjemmel for å behandle personopplysninger, er det andre grunnkrav i personopplysningsloven § 11 som må være oppfylt for at det skal være lov å behandle personopplysninger.

Saklig begrunnet formål
Innsamling av personopplysninger har ofte flere formål. Hvert av formålene må defineres for at skolen skal kunne vurdere om det faller inn under behandlingsgrunnlaget. Formålene må være saklig begrunnet og uttrykkelig angitt. Det er ulovlig å behandle personopplysninger uten at det er fastsatt hva opplysningene skal brukes til på forhånd.

Ikke andre formål
Det skal ikke bruke opplysningene til noe annet enn det uttrykkelig angitte formålet, som skal være saklig begrunnet i skoleeiers virksomhet. Et eksempel er å levere ut opplysningene til kommersielle aktører.

Tilstrekkelige og relevante for formålet
Skoleeier skal sørge for at personopplysningene som behandles er tilstrekkelige og relevante for formålet med behandlingen.

Korrekte, oppdaterte og ikke lagres lengre enn nødvendig
Skoleeier skal sørge for at opplysningene som lagres i systemet er korrekte og oppdaterte, og at de ikke lagres lengre enn det som er nødvendig for å oppnå formålet eller formålene med systemet. Dette innebærer for eksempel at skoleeier må slette opplysninger til elever som slutter ved skolen. Se § 28 første ledd. Skolen må også være oppmerksomme på arkivlovens bestemmelser når det gjelder sletting.

Krav til internkontroll

Skoleeier må sørge for at skolene har kontroll på hvilke personopplysninger og sensitive personopplysninger som behandles. Det stilles ekstra strenge krav når det gjelder sensitive personopplysninger. Skoleeier skal også sørge for at skolene ivaretar opplysningene på en sikker måte. Behandling av personopplysninger skal inngå i skoleeiers internkontrollsystem og det skal gjøres en risikovurdering.

Gjennomføre en risikovurdering

Personopplysningsloven § 13 og personopplysningsforskriften kapittel 2 stiller krav til at skoleeier gjennomfører en risikovurdering. Det skal alltid gjennomføres en risikovurdering når opplysninger om enkeltpersoner behandles digital. Gjennom risikovurderingen skal skoleeier forvisse seg om at opplysninger om den enkelte elev, foreldre, lærer, leder eller administrativt ansatt er tilfredsstillende sikret. Det innebærer å sikret at:

  • Uvedkommende ikke får tilgang til opplysningene.
  • At opplysninger ikke uønsket blir endret eller slettet.
  • At opplysningene er tilgjengelig for de som har rettmessig behov for tilgang.

For nærmere opplysinger om gjennomføring av en risikovurdering kan du se op veilederen: Sikker håndtering av personopplysninger i skolen. Dette er en praktisk veileder som kan benyttes av skoleeiere for å ivareta sine plikter etter personopplysningsloven og forskriften.

Skolens plikter som behandlingsansvarlig

Skoleeier er behandlingsansvarlige for brukernes personopplysninger, mens eksterne leverandører av tjenester til bruk i undervisningen er databehandlere. Bruk av slike tjenester innebærer derfor at tjenesteleverandørene behandler personopplysninger som skoleeier er rettslig hovedansvarlig for.

Som behandlingsansvarlig er skoleeier pålagt å inngå databehandleravtaler med hver enkelt databehandler. I avtalene skal det det stilles krav til hvordan tjenesteleverandørene håndterer opplysninger om brukerne og til sikringen av opplysningene.

Skoleeier har også et ansvar for å følge opp at vilkårene i avtalene blir overholdt av databehandlerne.

Det er laget en egen mal som kan benyttet som utgangspunkt for å inngå en databehandleravtale. Denne ble i utgangspunktet laget for tjenesteleverandører knyttet til Feide, men kan også benyttes for andre tjenester. Mal for databehandleravtale

Rettigheter

Personopplysningsloven definerer visse rettigheter som elever, ansatte og foreldre/foresatte har overfor skoleeier når skoleeier behandler opplysninger om dem. Skoleeier plikter å ivareta disse rettighetene.

Følgende er de viktigste rettighetene som elever, ansatte og foreldre/foresatte har:

  • De skal få vite hvilke opplysninger om dem som skoleeier behandler. 
  • De skal få vite hva skoleeier bruker opplysningene til. 
  • De skal få vite litt om hvordan skoleeier sikrer opplysningene. 
  • De skal få vite hvem skoleeier eventuelt utleverer opplysningene til.
  • De skal få innsyn i egne opplysninger dersom de krever det.
  • De kan kreve at skoleeier retter eller sletter opplysninger om dem selv.

Råd og veiledning

Selv om det er skoleeier som er ansvarlig for at plikter og rettigheter i personopplysningsloven overholdes, vil mye av det daglige arbeidet med å ivareta reglene foregå på den enkelte skole.

Senter for IKT i utdanningen kan bistå både skoleeiere og den enkelte skole med råd og veiledning om hvordan reglene i lovverket skal forstås og praktiseres. Det finnes også en rekke nyttig ressurser under Kurs og opplæring og Veiledere.