GDPR Learning Hub

Meny
  • Ta quizer
  • Last ned brukerveiledninger
  • Kjøp kurs
  • Kjøp maler
  • GDPR-kursene er under oppbygging

Business life

Behandle personopplysninger i skoler og barnehager

Behandling av personopplysninger i skoler og barnehager skjer regelmessig. I tillegg finnes det forskjellige typer behandling. For eksempel oppmøtelister, vurderingsdokumenter og personlige utviklingsplaner.

Barn er en ekstra gruppe som fortjener beskyttelse

Barn er en ekstra gruppe som fortjener beskyttelse, og derfor er reglene i GDPR strengere når det gjelder behandling av barns personopplysninger. Enten de er private eller offentlige skoler/barnehager i EU/EØS, må de overholde GDPR (General Data Protection Regulation) ved behandling av personopplysninger. 

Er lærere i din skole eller barnehage kontrollører?

Nei, behandlingsansvarlig er ikke lærere, rektor eller andre ansatte ved skolen, men organisasjonen selv. Det er med andre ord skolene og barnehagene som har ansvaret for å etterleve reglene i GDPR. Derfor kan ikke lærere holdes personlig ansvarlig dersom de behandler personopplysninger på feil måte, med mindre det foreligger en straffbar handling. På den annen side må de som arbeider i organisasjonen følge instruksjonene gitt av kontrolleren. 

What breaches of the GDPR can lead to an administrative fine?

To andre EU-bestemmelser

  • AI-regelverket
  • Regulering av opplysninger

Hva med behandling av personopplysninger i skoler og barnehager?

Skoler og barnehager som er behandlingsansvarlige må følge reglene i GDPR ved behandling av personopplysninger. De må blant annet overholde de grunnleggende databeskyttelsesprinsippene og ha et juridisk grunnlag for alle individuelle behandlingsoperasjoner. I tillegg må de sette inn hensiktsmessige tekniske og organisatoriske tiltak for å beskytte personopplysninger, for å beskytte rettighetene til de registrerte, etc. 

Dette er noen av de juridiske grunnlagene som skoler og barnehager vanligvis bruker for ulike typer behandling:

Measures that companies need to take to comply with GDPR
Oppgaver av offentlig interesse

Oppgaver av offentlig interesse: For å bruke dette juridiske grunnlaget må behandlingen reguleres av nasjonal eller EU-lov. En skole kan for eksempel ha en generell interesse av å styre elevenes oppmøte. Det samme gjelder dokumentasjon av studentenes kunnskaper før utviklingssamtaler.

What is the definition of anonymised data?
Utøvelse av offentlig myndighet

Utøvelsen av offentlig myndighet innebærer at staten tar en avgjørelse på en person i samsvar med loven. I skoler og barnehager kan dette skje når de vurderer elever, eller bestemmer seg for spesiell støtte til barn i skole eller barnehage.

Subjektivt integritetskänsliga personuppgifter
Samtykke

Samtykke er i de fleste tilfeller ikke et hensiktsmessig rettslig grunnlag for å støtte behandling i skoler og barnehager. På den annen side kan det være hensiktsmessig i visse tilfeller. For eksempel er det hensiktsmessig å be om samtykke fra foreldre for å tillate sine barn å delta i skolefotografering.

Berettiget interesse

Offentlige skoler har ikke lov til å støtte deres behandling på juridisk grunnlag av legitim interesse når de utfører sitt oppdrag. Private operatører, derimot, kan gjøre det, men de bør unngå det.

Barn fortjener spesiell beskyttelse under GDPR

Ved behandling av barns personopplysninger er det viktig å huske på at de fortjener spesiell beskyttelse. Dette skyldes hovedsakelig at barn kan finne det vanskeligere å forstå sine rettigheter angående deres personopplysninger. I tillegg kan de ikke fullt ut forstå risikoen som behandlingen av deres personopplysninger kan utgjøre. 

Det bør være et rettferdig lesespråk

Barn har rett til informasjon om hvordan de skal behandle sine personopplysninger, som skal gis i en lett tilgjengelig og forståelig form. Språket som opplysningene utarbeides på, skal være det nasjonale språket i den staten der barna er bosatt. Den må heller ikke formuleres på en komplisert måte, og teksten må ikke være for lang. Det er viktig at den behandlingsansvarlige sørger for at barn forstår informasjonen om behandlingen av deres personopplysninger og deres rettigheter.

Kan skoler og barnehager behandle sensitive personopplysninger?

Sensitive personopplysninger er forbudt å behandle etter den generelle regelen fastsatt i artikkel 9 i GDPR. Det finnes imidlertid unntak som tillater behandling. Vær oppmerksom på at det er viktig å huske på at reglene er strengere ved behandling av sensitive personopplysninger. For eksempel må skolen få på plass hensiktsmessige tekniske og organisatoriske tiltak for å beskytte de sensitive personopplysningene. I tillegg må det være nødvendig å behandle dataene for det aktuelle formålet. 

Dette er to eksempler på at skoler og barnehager vanligvis behandler sensitive personopplysninger: 

Sykefravær

Sykefraværsdata fra de som jobber i skolen/barnehagen er data som avslører informasjon om en persons helse, som er sensitive personopplysninger under GDPR. Det er for eksempel viktig å ikke sende lønnsslippen ukryptert hvis den inneholder informasjon om sykefravær.

Tilpasset skole/førskole

Elever som går på en tilpasset klasse på en skole eller i en tilpasset skole/barnehage for eksempel for barn som lider av sykdom eller funksjonshemming, betyr at skolen behandler sensitive personopplysninger om elevene.

Digital utdanning

Digital undervisning ble mer vanlig etter 2020 og stiller krav til personverninteressene til både elever og lærere. Skolene må analysere hvilke personopplysninger som er nødvendige å behandle for å gjennomføre undervisningen. I tillegg er det viktig å analysere hvilket program skolen bruker til digital undervisning, da noen programmer kan tilhøre bedrifter i et tredjeland. I slike tilfeller gjelder det spesifikke regler som er strengere, da det ofte også innebærer deling av data med tredjeland. 

I noen tilfeller er det ikke nødvendig for elevene å være synlig i sammenheng med fjernundervisning, i så fall bør de ikke. Et bilde som gjør det mulig å identifisere en elev er også personopplysninger. 

Myndighetene må ha databeskyttelsesansvarlige

Myndighetene må alltid oppnevne en personvernombud, og det samme gjelder for kommunale skoler. Elever, foreldre og lærere kan kontakte databeskyttelsesansvarlig med hensyn til behandling av deres personopplysninger. Selv private skoler kan ha databeskyttelsesansvarlige, men dette er ikke alltid et krav.

Togpersonale innen databeskyttelse

For at de ansatte skal kunne utføre sine oppgaver i samsvar med GDPR, er det viktig å lære dem opp. I tillegg bør personalet motta skriftlige instruksjoner om behandling av personopplysninger. For eksempel, hvordan å handle når et brudd på personopplysninger oppstår. Både lærere og elever må få instruksjoner om bruk av utstyr og andre elementer i digital undervisning for å unngå datainnbrudd.

Informasjon om GDPR

Utdanne personell i databeskyttelsesarbeid

For at de ansatte skal kunne utføre sine oppgaver i samsvar med GDPR, er det viktig å utdanne dem. I tillegg bør personalet motta skriftlige instruksjoner om behandling av personopplysninger. For eksempel hvordan de skal handle når et brudd på personopplysninger oppstår. Både lærere og elever trenger instruksjoner om hvordan man bruker utstyr og andre ting i digital undervisning, for å unngå brudd på personopplysninger.

Lyst til å lære mer?

Les mer
Skroll til toppen