INDHOLD - GDPR
Behandling af personoplysninger i skoler og børnehaver
Behandling af personoplysninger i skoler og børnehaver finder sted regelmæssigt. Derudover er der forskellige typer af behandlinger. For eksempel deltagerlister, karakterer og personlige udviklingsplaner.
Børn er en ekstra beskyttende gruppe
Børn er en ekstra beskyttelsesværdig gruppe, og derfor er reglerne i GDPR strengere, når det kommer til behandling af børns personoplysninger. Uanset om det er private eller offentlige skoler/børnehaver inden for EU/EØS-området, skal de overholde GDPR, når de behandler personoplysninger.
Er lærerne på skolen eller i børnehaven registeransvarlige?
Nej, det er ikke lærerne, rektoren eller andet personale på skolen, der er ansvarlige for personoplysninger, men i stedet selve organisationen, der har denne rolle. Det er med andre ord skolerne og børnehaverne som organisationer, der er ansvarlige for at overholde reglerne i GDPR.
Lærere kan derfor ikke gøres personligt ansvarlige, hvis de behandler personoplysninger forkert, medmindre der er tale om en strafbar handling. De personer, der arbejder i organisationen, skal dog følge den dataansvarliges instrukser.
To andre EU-forordninger
- AI-forordningen
- Databeskyttelsesforordningen
Hvad med behandlingen af personoplysninger i skoler og børnehaver?
Skoler og børnehaver, der er dataansvarlige, skal overholde reglerne i GDPR, når de behandler personoplysninger. De skal bl.a. overholde de grundlæggende databeskyttelsesprincipper og have et retsgrundlag for alle individuelle behandlingsaktiviteter. Desuden skal de træffe passende tekniske og organisatoriske foranstaltninger for at beskytte personoplysninger, overholde de registreredes rettigheder osv.
Disse er nogle retsgrundlag, som skoler og børnehaver normalt bruger til forskellige typer behandlinger:
Opgaver af almen interesse
Oplysninger af offentlig interesse: For at kunne anvende dette retsgrundlag skal behandlingen reguleres af national lovgivning eller EU-lovgivning. For eksempel kan en skole have en generel interesse i at administrere elevernes fremmøde. Det samme gælder dokumentation af elevernes viden forud for udviklingsdiskussioner.
Udøvelse af offentlig myndighed
Udøvelse af offentlig myndighed betyder, at staten træffer afgørelse om en person i overensstemmelse med loven. I skoler og børnehaver kan dette ske, når de bedømmer elever eller beslutter sig for særlig støtte til børn i skole eller børnehave.
Samtykke
Samtykke er i de fleste tilfælde ikke et passende retsgrundlag for at støtte behandlinger i skoler og børnehaver. Det kan dog være hensigtsmæssigt i nogle tilfælde. For eksempel er det tilrådeligt at anmode om samtykke fra forældre, for at deres børn skal medtages i skolefotografering.
Legitim interesse
Offentlige skoler har ikke lov til at støtte deres behandling på det juridiske grundlag for legitim interesse i udførelsen af deres mission. Private operatører kan dog gøre det, men de bør undgå det.
Børn er særligt værdige til beskyttelse i henhold til GDPR
Ved behandling af børns personoplysninger er det vigtigt at huske på, at de er særligt beskyttelsesværdige. Dette skyldes primært, at børn kan have sværere ved at forstå, hvilke rettigheder de har i forhold til deres personoplysninger. Derudover forstår de muligvis ikke fuldt ud de risici, der er forbundet med behandlingen af deres personoplysninger.
Det skal være et letlæseligt sprog.
Børn har ret til oplysninger om, hvordan deres personoplysninger vil blive behandlet, og oplysningerne skal gives på en let tilgængelig måde og formuleres på en måde, som børn forstår. Det sprog, som oplysningerne er affattet på, er det nationale sprog i det land, hvor børnene bor. Det må heller ikke formuleres på en kompliceret måde, og teksten må ikke være for lang. Det er vigtigt, at den dataansvarlige sikrer, at børn forstår oplysningerne om behandlingen af deres personoplysninger og deres rettigheder.
Kan skoler og børnehaver behandle følsomme personoplysninger?
I henhold til den generelle regel i databeskyttelsesforordningens artikel 9 er det forbudt at behandle følsomme personoplysninger. Der er dog undtagelser, der tillader behandlingen. Bemærk, at det er vigtigt at huske på, at reglerne er strengere ved behandling af følsomme personoplysninger. Skolen skal f.eks. træffe passende tekniske og organisatoriske foranstaltninger for at beskytte følsomme personoplysninger. Desuden skal det være nødvendigt at behandle oplysningerne til det pågældende formål.
Dette er to eksempler på, hvornår skoler og børnehaver normalt behandler følsomme personoplysninger:
Sygeorlov
Data om sygefravær fra dem, der arbejder på skolen / børnehaven, er en opgave, der afslører oplysninger om en persons helbred, hvilket er følsomme personoplysninger i henhold til GDPR. For eksempel er det vigtigt ikke at sende en lønseddel ukrypteret, hvis den indeholder oplysninger om sygefravær.
Tilpasset skole/førskole
Elever, der går i en tilpasset klasse på en skole eller i en tilpasset skole/børnehave, f.eks. børn, der lider af sygdom eller handicap, betyder, at skolen behandler følsomme personoplysninger om eleverne.
Digital uddannelse
Digital undervisning blev mere almindelig efter 2020 og stiller krav til både elevers og læreres privatlivsinteresser. Skolerne skal analysere, hvilke personoplysninger der er nødvendige at behandle for at kunne gennemføre undervisningen. Derudover er det vigtigt at analysere, hvilket program skolen bruger til digital undervisning, da nogle programmer kan tilhøre virksomheder i et tredjeland. I sådanne tilfælde gælder der særlige regler, der er strengere, da det ofte også indebærer datadeling med tredjelande.
I nogle tilfælde er det ikke nødvendigt, at eleverne er synlige i forbindelse med fjernundervisning, og i så fald bør de ikke være synlige. Et billede, der gør det muligt at identificere en studerende, er også personoplysninger.
Myndighederne skal have databeskyttelsesansvarlige
Myndighederne skal altid udpege en databeskyttelsesansvarlig, og det samme gælder for kommunale skoler. Studerende, forældre og lærere kan kontakte den databeskyttelsesansvarlige for spørgsmål vedrørende behandling af personoplysninger. Private skoler kan også have databeskyttelsesansvarlige, men dette er ikke altid et krav.
Uddannelse af personale i databeskyttelsesarbejde
For at medarbejderne kan udføre deres opgaver i overensstemmelse med GDPR, er det vigtigt at uddanne dem. Desuden bør personalet modtage skriftlige instrukser vedrørende behandlingen af personoplysninger. F.eks. hvordan de skal forholde sig, når der sker et brud på persondatasikkerheden. Både lærere og elever har brug for vejledning i, hvordan man bruger udstyr og andre ting i digital undervisning for at undgå brud på persondatasikkerheden.
Oplysninger om GDPR
Uddannelse af personale i databeskyttelsesarbejde
For at medarbejderne kan udføre deres opgaver i overensstemmelse med GDPR, er det vigtigt at uddanne dem. Desuden bør personalet modtage skriftlige instrukser vedrørende behandlingen af personoplysninger. F.eks. hvordan de skal forholde sig, når der sker et brud på persondatasikkerheden. Både lærere og elever har brug for vejledning i, hvordan man bruger udstyr og andre ting i digital undervisning for at undgå brud på persondatasikkerheden.