Barn, unge og skole
-
Lister over elever og barn i offentlige skoler og barnehager er offentlige dokumenter. Hovedregelen er da at så lenge listene bare inneholder navn, adresse, telefonnummer og eventuelt fødselsnummer, er hele listen offentlig og kan oppgis når noen ber om innsyn etter reglene i offentlighetsloven. Skolen må imidlertid vurdere om noen av opplysningene er taushetsbelagt, for eksempel om et barn bor på en barnevernsinstitusjon eller har hemmelig adresse. Slike opplysninger skal ikke leveres ut.
I den enkelte klassen kan skolen levere ut elevlister med kontaktinfo til elevene i klassen slik at det blir lettere for foreldre og elever å ta kontakt med hverandre. Personopplysningsloven tillater at kontaktopplysninger utleveres på denne måten når det er saklig grunn til det.
Skolen må imidlertid ta forholdsregler for å ikke bryte taushetsplikten også når klasselister utleveres. Datatilsynet anbefaler at skolen har en dialog med foreldrene før slike lister deles ut, for å sikre at taushetsbelagte opplysninger ikke blir delt.
-
Barnehager og skoler er ansvarlige for bilder som tas i deres regi. Allerede før bildet i det hele tatt tas, må de ha et samtykke fra de foresatte. Det er et krav at det kommer tydelig frem i samtykkeskjemaet hva de foresatte faktisk samtykker til.
Dette gjelder både dersom bildene bare skal brukes internt eller dersom de skal deles. Det gjelder uavhengig av om bildene skal deles på virksomhetens hjemmeside (med eller uten passord), en blogg, på sosiale medier eller andre nettsider. Det gjelder også uavhengig om bildene publiseres åpent, i lukkede grupper eller via epost. Samtykke fra de foresatte må alltid være på plass.
-
Bilder av elever er personopplysninger. Dersom skolen eller barnehagen ønsker å ta eller dele bilder av barnet krever det samtykke.
-
Hvis formålet med loggføringen er å kontrollere sikkerheten i datasystemet, trenger ikke skolen samtykke fra elever eller foresatte. Ved andre formål må skolen vurdere konkret om de har rettslig grunnlag og oppfyller personvernregelverkets andre krav for loggføringen.
Skolen skal uansett informere elevene tydelig om at de legger igjen spor etter seg når de bruker maskinene. Det skal også opplyses om at sporene vil bli undersøkt, og hvorfor skolen gjør dette.
-
Journalistisk virksomhet er unntatt store deler av personopplysningsloven. Alle journalister må følge "Vær varsom-plakaten", som blant annet har retningslinjer om intervju av barn.
Skolen og barnehagen har imidlertid ansvar for det som skjer der og for delingen av opplysninger de har samlet inn. Dersom det skal tas bilder av elever til journalistiske formål på skole eller i barnehage, må de ansvarlige i virksomheten sørge for å hente inn samtykke fra både foresatte og de aktuelle elevene. Samtykket bør være skriftlig. Datatilsynet anbefaler dessuten at elevenes fulle navn ikke knyttes til bilde.
-
Ja, foresatte kan fotografere eller filme barna sine på arrangementer i skolen eller barnehagen, slik som adventsfest, luciafeiring, fremføringer og lignende. Skolen/barnehagen står imidlertid fritt til å lage egne retningslinjer som er tilpasset forholdene på det enkelte stedet. Det kan for eksempel være fotoforbud.
Husk: Hvis bildene/filmen skal publiseres og det er med andre barn på bildene/filmen, må dere ha samtykke fra disse barnas foresatte først.
-
Skoleeier er ansvarlig. For offentlige grunnskoler er kommunen ansvarlig. For offentlige videregående skoler er fylkeskommunen ansvarlig. For private skoler er det for eksempel daglig leder eller administrerende direktør som har ansvaret.
Det daglige eller praktiske ansvaret for å gjøre vurderinger av personvernkonsekvenser og sikkerhet kan være delegert, men det skal i så tilfelle kommunen som skoleeier ha god oversikt over.
-
Skoleeieren har plikt til å etablere sikkerhetstiltak for å hindre uautorisert bruk av informasjonssystemet og for å gjøre det mulig å oppdage forsøk på slik bruk. Derfor må for eksempel nettrafikk logges i brannmur og nettfilter, men det er viktig at loggene brukes kun for å administrere systemet og for å avdekke eller oppklare brudd på sikkerheten i systemet. Verktøyene skal ikke brukes til andre formål som å overvåke og kontrollere elevene på en skole.
Det kan være hensiktsmessig å overvåke og begrense nettilgang for elever ved eksamensgjennomføring. I de tilfellene er det viktig å gi god informasjon i forkant av eksamen om hva som gjøres fra skolens side, hva elevene må gjøre og hvor lenge loggene lagres.
Skolene må informere om hva de logger i nettverket, nettfilter og brannmur. Det må også informeres om hva formålet med loggingen er, hva loggingen brukes til, om det er identifiserende eller avidentifiserte opplysninger, hvem som har tilgang til loggene, hvor lenge loggene lagres, samt begrunne lengden på lagringstid. Det vil også være positivt om skolen forteller hva de ikke bruker loggene til.
Informasjon om logging kan stå i en personvernerklæring på skolens nettsider, i IKT-avtaler og i IKT-reglement.
-
Skoleeiere må vite hvem som behandler opplysninger på deres vegne og det er en plikt å etablere databehandleravtaler. De skal være kjent med sikkerhetsarbeidet hos leverandørene gjennom kunnskap om sikkerhetsstrategien til slike virksomheter. De skal også forsikre seg om at informasjonssikkerheten hos leverandøren er tilfredsstillende. Dette kan oppnås ved at skoleeier innhenter resultater fra ledelsesgjennomganger, sikkerhetsrevisjoner og avviksbehandlinger hos leverandøren.
Hensikten med en databehandleravtale er å sikre at personvernregelverket etterleves selv om man benytter databehandlere til å behandle personopplysninger på vegne av den ansvarlige. Gjennom avtalen pålegger den behandlingsansvarlige plikter setter rammene for hva en databehandler har lov til å gjøre.
-
Skolen må ta kontakt med skoleeier, som må gjøre en vurdering av tjenesten.
-
Hva slags personopplysninger et informasjonssystem kan inneholde, er avhengig av formålet med systemet og sikkerhetsnivået. Formålet er avgjørende fordi det ikke er lov å registrere flere eller andre opplysninger enn det som er nødvendig for å oppfylle formålet med registreringen. Sikkerhetsnivået er avgjørende fordi registrering av sensitive personopplysninger krever høyere sikkerhet.
Hvis formålet med bruk av læringsplattform er formidling, besvarelse og retting av elevarbeider, og sikkerhetsnivået er tilpasset behandling av denne type opplysninger, så vil det for eksempel ikke være adgang til å lagre individuelle opplæringsplaner (IOP) her.
-
Hvor lenge det er lov til å lagre opplysninger om elever i skolen er avhengig av om hva som er formålet med at opplysningene ble registrert, og om de er arkivpliktige. Arkivpliktige opplysninger blir lagret på ubestemt tid i kommunen/fylkeskommunens arkiv.
Dersom en elev for eksempel har fått merknader for orden som skal ligge til grunn for vurdering av ordenskarakter, og konklusjonen blir at ordenskarakteren ikke skal settes ned, så bør merknadene slettes. Formålet, nemlig å ha grunnlag for å vurdere ordenskarakteren, er da oppnådd.
-
Skolefoto er en av flere anledninger hvor det er aktuelt å ta bilder i skolesammenheng, og stadig flere barnehager benytter seg også av ekstern fotograf. Et bilde der enkeltpersoner kan kjennes igjen er en personopplysning.
For å kunne ta et bilde og bruke det lovlig, for eksempel i en skolekatalog, må et samtykke innhentes på forhånd enten fra de foresatte (dersom eleven er mindreårig) eller fra eleven selv. En skole eller barnehage kan ikke gi et samtykke på vegne av barna til at det blir tatt bilder.
Skolen/barnehagen må utarbeide samtykkeskjema for signering der et av valgene bør være om man ønsker å benytte seg av fotograf. Dersom de foresatte ikke ønsker at det skal tas bilder, skal barnet eller de foresattes kontaktopplysninger heller ikke sendes til fotografen.