Innhold Forord ....................................... 3 Personvern i skolen ................. 6 1.1
Ny personopplysningslov og EUs personvernforordning (GDPR) ............9
1.2
Personopplysninger etter GDPR .........9
1.3
Behandling av personopplysninger etter GDPR ........................................9 Saksbehandling ............................. 10 Behandling av mange personopplysninger øker risikoen .. 10 Behandling av sensitive personopplysninger ....................... 10 Fødselsnummer ............................. 10 Internkontroll ................................ 11 Risikovurderinger ........................... 11 Personvernforordningens (GDPR) syv grunnkrav for behandling av personopplysninger ................... 11
1.3.1 1.3.2 1.3.3 1.3.4 1.3.5 1.3.6 1.3.7
1.4
Personvern for elever og foreldre i skolen ............................. 14 1.4.1 Skoleeiers ansvar etter GDPR ......... 14 1.4.2 Enkeltpersoners rett til innflytelse .. 14 1.4.3 Retten til at skolen kan behandle personopplysninger ....................... 15 1.5
Elever og foreldres rettigheter......... 15
1.5.1 Rett til innsyn ................................ 15 1.5.2 Rett til begrensning av behandling av personopplysninger ................... 16 1.5.3 Rett til å protestere ........................ 16 1.5.4 Rett til retting eller supplering ....... 17 1.5.5 Rett til sletting ............................... 18 1.6 1.6.1 1.6.2 1.6.3 1.6.4
Kontroll av elever .......................... 18 Kameraovervåkning ....................... 18 Rustesting ..................................... 19 Rusaksjoner uten mistanke ............ 20 Kontroll av IKT-utstyr i skolen ......... 20
1.7
Lov om behandling av personopplysninger (personopplysningsloven) .............. 21
1.8
Generell personvernforordning (GDPR) .......................................... 21
1.9
Spørsmål på Datatilsynet.no .......... 23 Kilder kapittel 1 ............................. 23
Taushetsplikt i skolen ............ 24 2.1
Hvorfor taushetsplikt? ................... 26
2.2 Hovedtyper av taushetsplikt ........... 27 2.2.1 Forvaltningsmessig taushetsplikt .... 27 2.2.2 Yrkesmessig taushetsplikt .............. 27 2.3 Hva har skolen taushetsplikt om? .. 28 2.3.1 Hvem har taushetsplikt i skolen? ... 28 2.3.2 Personopplysninger mottatt i tjenesten ..................................... 29 2.3.3 Plikt til å hindre deling og spredning av taushetsbelagte opplysninger ................................. 29 2.3.4 Brudd på taushetsplikten ............... 30 2.3.5 Mulige ulemper med taushetsplikten .............................. 30 2.4 2.4.1 2.4.2 2.4.3 2.4.4
Unntak fra taushetsplikten ............ 30 Samtykke ...................................... 30 Anonymisering .............................. 32 Lovbestemte unntak ...................... 32 Opplysningene er allment kjent ..... 33
2.5
Internt samarbeid innenfor rammene av taushetsplikt– opplysningsrett .............................. 34
2.6
Eksternt samarbeid innenfor rammene av taushetsplikt .............. 34 2.6.1 Tverretatlig samarbeid ................... 34 2.6.2 Samarbeid med andre skoler ......... 35 2.7
Lovpålagte meldeplikter ................ 35
2.8
Taushetspliktens varighet ............... 35
2.9
Ansatte i skolen som vitne i rettssaker .................................... 36
2.10 Studenter i praksis på skolen ......... 36 2.11 Foreldrenes rett til opplysninger om eleven ................. 36
Oppmerksomhetsplikt, meldeplikt og opplysningsplikt ..................... 40 3.1
Oppmerksomhetsplikt i barnevernsaker ............................ 42
3.2
Vilkårene for meldeplikt til barnevernet ............................... 43 Praktiseringen av meldeplikten ...... 44 Presisering av noen av vilkårene i meldeplikten ............................... 44 Krav til bekymringsmeldingen ........ 48 Når meldeplikten utløses, skal opplysningene gis barneverntjenesten ....................... 49 Informasjon til foreldrene .............. 50 Tilbakemelding fra barneverntjenesten ....................... 50 Har du meldt fra tidligere, men er fortsatt bekymret? ......................... 51
3.2.1 3.2.2 3.2.3 3.2.4
3.2.5 3.2.6 3.2.7 3.3
Opplysningsplikt til barnevernet .................................. 51 3.3.1 Klage på et pålegg om å gi opplysninger til barnevernet .......... 51 3.4
Oppmerksomhetsplikt og opplysningsplikt til sosialtjenesten . 52
3.5
Meldeplikt til rektor dersom en ansatt krenker en elev .............. 52
3.6 Meldeplikt til politiet ..................... 52 3.6.1 Plikt til å anmelde straffbare handlinger ..................................... 53 3.6.2 Meldeplikt ved avvergelse av kjønnslemlestelse .......................... 53
Spørsmål og svar på Datatilsynet.no ....................... 54 Utdrag fra aktuelt lovverk ... 63 Lov om behandling av personopplysninger ................... 63 Utvalgte artikler fra GDPR ........................ 69 Forvaltningsloven, utdrag ......................... 84 Helsepersonelloven, utdrag ...................... 87 Opplæringsloven, utdrag ......................... 89 Forskrift til opplæringsloven, utdrag ........................................... 91 Friskoleloven, utdrag ................................ 92 Straffeloven, utdrag ................................. 92 Barnevernloven, utdrag ............................ 94 Barneloven, utdrag .................................. 99 Vergemålsloven, utdrag ......................... 102 Barnekonvensjonen, utdrag ................... 102
1.6.3 Rusaksjoner uten mistanke Noen skoler driver med såkalt forebyggende rusaksjoner der politiet kommer inn i klasserommene med politihunder som snuser på elever og sekker. Aksjonene finner sted uten at noen er mistenkt for bruk, oppbevaring eller salg av narkotika. Elever som blir utsatt for vilkårlige aksjoner som dette, skal være klar over følgende:
• Alvorlig inngrep Å ransake elever, eller å la en hund undersøke sekken til eleven, er et alvorlig inngrep i elevens private sfære.
• Skriftlig samtykke I et stortingsvedtak heter det at politiet må hente inn skriftlig samtykke fra elever før det gjennomføres eventuelle personverninngripende rusaksjoner ved skolene. Er elevene under 16 år, må foreldrene samtykke.
• Ingen forklaringsplikt Eleven trenger ikke å begrunne hvorfor han eller hun ikke ønsker å la seg rusteste.
• Ingen konsekvenser av å si nei Skolen kan ikke sanksjonere overfor elever som eventuelt ikke samtykker til rustesting. 1.6.4 Kontroll av IKT-utstyr i skolen Eksempler på kontrolltiltak av IKT-utstyr i skolen kan være loggføring av elevenes internettbruk, eller bruk av klassestyringsverktøy som gjør det mulig for læreren å gå inn på elevenes PC i sanntid. Skoleeier kan loggføre internettbruk når formålet er å kontrollere sikkerheten i informasjonssystemet. Skoleeier må imidlertid passe på å informere elever og foreldre tydelig om at elevene legger spor etter seg når de bruker IKT-utstyr på skolens nett. Skoleeier skal også opplyse om i hvilke tilfeller disse sporene vil bli undersøkt, og om hvorfor skolen gjør dette. Bruk av klassestyringsverktøy som gjør det mulig for læreren å gå inn på elevenes PC i sanntid, må være godkjent av eleven i det enkelte tilfellet. Også for disse verktøyene må skoleeier informere elever og foreldre tydelig om hvordan verktøyene fungerer, i hvilke tilfeller de blir tatt i bruk, og hvilke regler som gjelder for bruken.
20
KaPittel1
1.7
Lov om behandling av personopplysninger (personopplysningsloven)
En oversikt over lovens kapitler og noen aktuelle paragrafer: Kapittel 1. Personvernforordningen Kapittel 2. Lovens saklige og geografiske virkeområde Kapittel 3. Utfyllende regler om behandling av personopplysninger § 5. Barns samtykke i forbindelse med informasjonssamfunnstjenester § 12. Bruk av fødselsnummer og andre entydige identifikasjonsmidler Kapittel 4. Unntak fra den registrertes rettigheter Kapittel 5. Personvernombud Kapittel 6. Tilsyn og klage § 20. Datatilsynet § 22. Personvernnemnda Kapittel 7. Sanksjoner og tvangsmulkt Kapittel 8. Uekte kameraovervåkningsutstyr mv.
1.8
Generell personvernforordning (GDPR)
En oversikt over noen kapitler og aktuelle artikler: KAPITTEL II Prinsipper Artikkel 5. Prinsipper for behandling av personopplysninger Artikkel 7. Vilkår for samtykke
PeRsonveRn i sKolen
21
skolen gjelder dette for psykologer i PPT og ansatte i skolehelsetjenesten når disse gir behandling og helsehjelp.
2.3
Hva har skolen taushetsplikt om?
Opplæringsloven § 15-1 inneholder bestemmelser om taushetsplikten i skolen ved å vise til reglene i forvaltningsloven §§ 13–13e. Her heter det at den som utfører tjenester eller arbeid etter opplæringsloven, har en forvaltningsmessig taushetsplikt etter forvaltningsloven. Denne plikten gjelder dermed for alle ansatte i skolen og alle andre som utfører tjenester for skolen. Den forvaltningsmessige taushetsplikten gjelder også for alle ansatte i PPT, med unntak av psykologer når de gir behandling. Da vil psykologene ha en yrkesmessig taushetsplikt som er mer vidtrekkende. Taushetspliktens innhold for skolen framgår av forvaltningsloven § 13 første ledd nr. 1. Alle som utfører tjenester eller arbeid for skolen, plikter å hindre at andre får adgang eller kjennskap til det han eller hun i forbindelse med arbeidet eller tjenesten får vite om «noens personlige forhold». Taushetsplikten omfatter som utgangspunkt alle opplysninger som sier noe om enkeltpersoner, kalt personidentifiserbare opplysninger. I det daglige tenker man på at dette omfatter svært ømtålige personopplysninger, men forvaltningsloven § 13 første ledd skiller ikke mellom ømtålige opplysninger og «ufarlige» opplysninger. Taushetsplikten gjelder i prinsippet alle personopplysninger. Kort sagt kan vi si at taushetsplikten gjelder personopplysninger som en person ikke vil at folk flest skal vite. «Noens personlige forhold» kan være både positive og negative forhold vedrørende hjemmesituasjonen, familien, fysisk og psykisk helse, følelsesliv, oppførsel, holdninger og innstillinger, seksuell legning og økonomi. Forvaltningsloven § 13 andre ledd regner ikke opplysninger om blant annet fødselsdato og personnummer, statsborgerforhold og bosted som personlige opplysninger som er underlagt taushetsplikt. Et unntak er dersom disse opplysningene røper opplysninger man anser som personlige, f.eks. at eleven bor i fosterhjem eller på en institusjon, eller at en elev har et statsborgerskap som kan medføre fare for represalier – da er de taushetsbelagte. 2.3.1 Hvem har taushetsplikt i skolen? Alle ansatte i administrasjonen, lærere, assistenter, vikarer, studenter, vaktmester og andre som er tilsatt ved skolen, har taushetsplikt. I tillegg gjelder det også de som utfører tjenester for skolen. Taushetsplikten gjelder derfor også foreldre som er engasjert i skolens organiserte aktiviteter som klassetur, leirskole o.l. Den gjelder også de eksterne medlemmene i skolens råd og utvalg, fordi de utfører tjenester for skolen. Elever under 18 år kan derimot ikke pålegges taushetsplikt.
28
KaPittel2
2.3.2 Personopplysninger mottatt i tjenesten Taushetsplikten gjelder for opplysninger som lærere og andre i skolen mottar i utøvelsen av sitt arbeid eller sin tjeneste. Forvaltningsloven § 13 bruker uttrykket «det han i forbindelse med tjenesten eller arbeidet får vite». Det lærere og andre i skolen på fritiden får vite om en person, faller utenfor taushetspliktens bestemmelser. Læreren kan likevel i noen tilfeller ha taushetsplikt om opplysninger hun eller han mottar utenfor tradisjonell jobbsammenheng, for eksempel hvis en elev eller foreldre betror seg til ham eller henne bare fordi hun eller han er læreren til eleven, selv om hun eller han formelt sett ikke er på jobb. 2.3.3 Plikt til å hindre deling og spredning av taushetsbelagte opplysninger Taushetsplikt i skolen innebærer at man ikke skal dele eller spre taushetsbelagt informasjon om elever og foreldre. Aktivt brudd på taushetsplikten betyr at man i skriftlig eller muntlig form gir taushetsbelagt informasjon til noen som ikke skal få tilgang til denne informasjonen. Det er ikke bare aktive brudd på taushetsplikten som rammes av regelverket. Lærere og andre i skolen har plikt til å vise aktsomhet for å hindre spredning av personopplysninger til uvedkommende, og å hindre at andre får tilgang til taushetsbelagte opplysninger. I henhold til § 13c skal dokumenter og annet materiale som inneholder taushetsbelagte opplysninger, oppbevares på betryggende måte. taushetsPliKt i sKolen
29
Oppmerksomhetsplikt, meldeplikt og opplysningsplikt
Ansatte i skolen har i tillegg til taushetsplikt oppmerksomhetsplikt, meldeplikt og opplysningsplikt. Bestemmelser i opplæringsloven §§ 15-3 og 15-4 (og friskoleloven §§ 7-4 og 7-5) handler om
• oppmerksomhetsplikt i barnevernsaker • meldeplikt til barnevernet • opplysningsplikt etter pålegg fra barneverntjenesten eller andre barnevernmyndigheter
• oppmerksomhetsplikt overfor forhold som bør føre til tiltak fra sosialtjenesten • opplysningsplikt til sosialtjenesten Bestemmelser i opplæringsloven § 9A-5 (og friskoleloven § 2-4) tar for seg varslingsplikt til rektor dersom en som arbeider på skolen, får mistanke om eller kjennskap til at en annen som arbeider på skolen, utsetter en elev for krenking som mobbing, vold, diskriminering og trakassering. Bestemmelser i straffeloven §§ 196 og 284 omhandler meldeplikt til politiet
• for å avverge straffbare handlinger • for å avverge kjønnslemlestelser Skoleeier er ansvarlig for at skolens ansatte har tilstrekkelige forutsetninger for å kunne oppfylle disse pliktene. Skoleeier bør derfor ha prosedyrer for hvordan personalet oppfyller pliktene de har etter opplæringsloven § 13-10. Skoleeier bør også ha rutiner for å informere de ansatte om at disse pliktene er et personlig ansvar som påhviler den enkelte ansatte.
3.1
Oppmerksomhetsplikt i barnevernsaker
Skolens ansatte er i sin daglige kontakt med elevene på skolen pålagt å være oppmerksom på forhold som kan føre til tiltak fra barneverntjenesten (opplæringsloven § 15-3).
42
KaPittel3
Denne oppmerksomhetsplikten i seg selv utløser verken en rett eller en plikt til at ansatte i skolen må gi opplysninger til barneverntjenesten, men alle ansatte må være oppmerksomme slik at de kan oppdage forhold som utløser meldeplikt. For at skolens ansatte skal kunne oppfylle sin oppmerksomhetsplikt, må de ha kunnskap om hvilke forhold som kan føre til tiltak fra barneverntjenesten, og hvilke forhold som er så alvorlige at meldeplikten utløses.
3.2
Vilkårene for meldeplikt til barnevernet
Meldeplikten på eget initiativ til barneverntjenesten etter opplæringsloven § 15-3 og i barnevernloven § 6-4 inntrer i de alvorlige tilfellene hvor det er fare for at barnet tar vesentlig skade. Meldeplikten innebærer et unntak fra den lovbestemte taushetsplikten. Meldeplikten gjelder for alle ansatte i skolen når:
• det er grunn til å tro at et barn blir eller vil bli mishandlet, utsatt for alvorlige mangler ved den daglige omsorgen eller annen alvorlig omsorgssvikt • det er grunn til å tro at et barn har en livstruende eller annen alvorlig sykdom eller skade og ikke kommer til undersøkelse eller behandling, eller at et barn med nedsatt funksjonsevne eller et spesielt hjelpetrengende barn ikke får dekket sitt særlige behov for behandling eller opplæring • et barn viser alvorlige atferdsvansker i form av alvorlig eller gjentatt kriminalitet, misbruk av rusmiddel eller en annen form for utpreget normløs atferd • det er grunn til å tro at et barn blir eller vil bli utnyttet til menneskehandel
oPPMeRKsoMhetsPliKt, MelDePliKt oG oPPlysninGsPliKt
43
Les mer: • Anbefalinger for hva netteier må ta stilling til når private pc-er brukes på virksomhetens nett https://www.datatilsynet.no/personvern-pa-ulike-omrader/skole-barn-unge/ pc-bruk/ Hvilket ansvar har skolen for publisering av elevene i pressen? Journalistisk virksomhet er unntatt store deler av personopplysningsloven. Alle journalister må følge «Vær varsom-plakaten», som blant annet har retningslinjer om intervju av barn. Dersom du skal ta bilder av elevene til journalistiske formål, må skolen sørge for å innhente samtykke fra de foresatte til de aktuelle elevene dersom elevene er under 15 år. Samtykket bør være skriftlig. Datatilsynet anbefaler dessuten at elevenes fulle navn ikke knyttes til bilde. Les mer: • Tips til hva en samtykkeerklæring bør inneholde https://www.datatilsynet.no/personvern-pa-ulike-omrader/skole-barn-unge/ samtykkeskjema/ Kan foresatte fotografere barna på skolen eller i barnehagen? Ja, foresatte kan fotografere eller filme barna sine på arrangementer i skolen eller barnehagen, slik som adventsfest, luciafeiring, fremføringer osv. Skolen/ barnehagen står imidlertid fritt til å lage egne retningslinjer som er tilpasset forholdene på det enkelte stedet. Det kan for eksempel være fotoforbud. Men; hvis bildene/filmen skal publiseres på Internett og det er med andre barn på bildene/filmen, må man ha samtykke fra disse barnas foresatte først. Les mer: • Om bilder av barn på nett https://www.datatilsynet.no/personvern-pa-ulike-omrader/ internett-og-apper/bilder-pa-nett/bilder-av-barn/ • Hva en samtykkeerklæring bør inneholde https://www.datatilsynet.no/personvern-pa-ulike-omrader/skole-barn-unge/ samtykkeskjema/ For å logge inn på læringsplattformen har vi brukernavn og passord. Er det sikkert nok? For elevers og foresattes tilgang til læringsplattformen, anser vi normalt innlogging ved brukernavn og passord som tilstrekkelig sikkert. For ansattes tilgang til læringsplattformen og skoleadministrativt system, mener vi at det må kreves en sterkere autentisering – og særlig når tilgang er mulig fra eksterne nett eller elevnett. Grunnen til at vi krever strengere sikkerhet
58
KaPittel4
ved ansattes innlogging utenfor skolens nettverk, er at en ansatt ved innlogging på en læringsplattform eller skoleadministrativt system får tilgang til personopplysninger om svært mange barn. Dersom uvedkommende klarer å skaffe seg et brukernavn og passord er det mulig, uten flere hindre, å logge seg på systemet fra hvor som helst, og det kan de gjøre når som helst. Brukernavn er ofte statisk og lett å gjette seg til. Passord er også mulig å finne ut av. Uten et tiltak i tillegg til brukernavn og passord, er opplysningene om barna ikke godt nok beskyttet. Sterk autentisering hindrer at noen som får tak i brukernavn og passord, klarer å skaffe seg tilgang til systemet. Med sterk autentisering mener vi for eksempel bruk av kodebrikke eller sikkerhetskode tilsendt på SMS, i tillegg til brukernavn og passord. Dette kan også realiseres i en fjernarbeidsløsning med sterk autentisering, og påfølgende tilgang til for eksempel læringsplattform, skoleadministrative system eller annet pedagogisk verktøy på nett. Hvem er ansvarlig når en skole tar i bruk ny programvare som inneholder personopplysninger, som for eksempel et nytt digitalt læringsverktøy? Skoleeier er ansvarlig. For offentlige grunnskoler er kommunen ansvarlig. For offentlige videregående skoler er fylkeskommunen ansvarlig. For private skoler er det for eksempel daglig leder eller administrerende direktør som har ansvaret. Kan skolen overvåke elevenes IKT-bruk? Skoleeieren har plikt til å etablere sikkerhetstiltak for å hindre uautorisert bruk av informasjonssystemet og for å gjøre det mulig å oppdage forsøk på slik bruk. Derfor må for eksempel nettrafikk logges i brannmur og nettfilter, men det er viktig at loggene brukes kun for å administrere systemet og for å avdekke eller oppklare brudd på sikkerheten i systemet. Verktøyene skal ikke brukes til andre formål som å overvåke og kontrollere elevene på en skole. Det kan være hensiktsmessig å overvåke og begrense nettilgang for elever ved eksamensgjennomføring. I de tilfellene er det viktig å gi god informasjon i forkant av eksamen om hva som gjøres fra skolens side, hva elevene må gjøre og hvor lenge loggene lagres. Skolene må informere om hva de logger i nettverket, nettfilter og brannmur. Det må også informeres om hva formålet med loggingen er, hva loggingen brukes til, om det er identifiserende eller avidentifiserte opplysninger, hvem som har tilgang til loggene, hvor lenge loggene lagres, samt begrunne lengden på lagringstid. Det vil også være positivt om skolen forteller hva de ikke bruker loggene til. Informasjon om logging kan stå i en personvernerklæring på skolens nettsider, i IKT-avtaler og i IKT-reglement.
59