GDPR hvordan ivareta personvernet i skole og barnehage
GDPR - hvordan ivareta personvernet i skole og barnehage Arnhild Opstad, IST Group
DPO @ist Data Protection Officer = Personvernombud, artikkel 37 behandlingen utføres av en offentlig myndighet eller et offentlig organ den behandlingsansvarliges eller databehandlerens kjernevirksomhet består av behandlingsaktiviteter som på grunn av sin art, sitt omfang og/eller formål krever regelmessig og systematisk monitorering i stor skala av registrerte behandling i stor skala av særlige kategorier av opplysninger Felles DPO for IST Group fra 1. september 2018 GDPR - Certified Data Protection Officer (www. PEBC. com )
Databehandler (Artikkel 4) Databehandleren behandler personopplysninger på vegne av andre Databehandleren behandler alltid personopplysningene etter instruks fra en annen virksomhet og kan derfor ikke bestemme formål og andre avgjørende elementer ved behandlingen. En databehandler har fått delegert en oppgave om å behandle personopplysninger fra en behandlingsansvarlig. En IT-leverandør kan for eksempel være behandlingsansvarlig for noen opplysninger (for eksempel om egne ansatte), samtidig som de er databehandler for andre opplysninger som behandles på vegne av sine kunder.
Informasjonssikkerhet Personopplysninger skal beskyttes tilfredsstillende mot uberettiget innsyn og endringer. Samtidig skal opplysningene være tilgjengelige for de som trenger opplysningene, når de har behov for dem. Håndtere risikoen for at personopplysninger og andre informasjonsverdier blir ivaretatt på en tilfredsstillende måte. Identifisere hvilke personopplysninger virksomheten har. Deretter gjennomføres en risikovurdering for å avklare om eksisterende sikkerhetstiltak er tilfredsstillende. Dersom risikovurderingen avdekker manglende tiltak Vurderes om nye tiltak skal iverksettes for å oppnå tilfredsstillende sikkerhetsnivå Utarbeide kontrollrutiner som jevnlig følges, for å kontrollere at tiltakene blir fulgt opp og virker etter hensikten. En slik fremgangsmåte som skissert ovenfor vil sammen med tilhørende rutiner kunne utgjøre virksomhetens styringssystem for informasjonssikkerhet. En sentral del av virksomhetens internkontroll. Det er utviklet standarder som beskriver hvordan styringssystem for informasjonssikkerhet skal etableres (ISO 27001)
Hva vil vi oppnå med dette Ivareta personvernprinsippene i størst mulig grad sikre forutsigbarhet og forholdsmessighet for enkeltmennesket
Hva er personopplysninger Personopplysninger er enhver opplysning, informasjon eller vurderinger, som direkte eller indirekte kan knyttes til enkeltpersoner. Navn, alder og fødselsnummer Adresse Telefonnummer og e-postadresse Opplysninger om elevenes underveis- og sluttevalueringer Fravær og anmerkninger Faglig progresjon Spesielle undervisningsbehov Atferdsmønstre og sosiale evner Kommunikasjon mellom elever Kommunikasjon mellom lærer og elev Kommunikasjon mellom barnehage og hjem Informasjon om allergier Logg fra elevenes bruk av skolens nettverk Bilder, videoer eller lydfiler av elever
Definisjonen på personopplysninger er vid, og det er derfor svært mange personopplysninger som behandles i mange forskjellige sammenhenger i grunnopplæringen: Kartlegging av individuelle opplæringsbehov og utforming av individuell opplæringsplan Måling og vurdering av elevenes kompetanse Dokumentering av gitt opplæring Dokumentering av brudd på ordensreglementet, samt sanksjonering Utredning av lærevansker Vedtak om spesialundervisning Årsrapportering Rapportering av omsorgssvikt Registrering av fravær Gjennomføring av elev- og foreldresamtaler Vurdering av permisjonssøknader I skolesektoren vil for eksempel en eksamensbesvarelse være en personopplysning selv om eleven er ikke er kjent for sensor. Eleven vil kunne bli identifisert gjennom sitt kandidatnummer.
Særlige kategorier av personopplysninger (sensitive personopplysninger) Rasemessig eller etnisk opprinnelse Helseopplysninger Politisk oppfatning Religiøs eller livssynsmessig oppfatning Seksuell orientering og seksuelle forhold Fagforeningsmedlemskap Genetiske og biometriske opplysninger som brukes for å identifisere enkeltpersoner (for eksempel bruk av fingeravtrykk for å låse opp en mobil) Strafferettslige forhold (om man har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling)
Artikkel 24 - De behandlingsansvarliges ansvar Gjennomføre egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med denne forordning. tiltak skal gjennomgås på nytt og skal oppdateres ved behov. iverksetting av egnede retningslinjer for vern av personopplysninger
Grunnkrav til behandling Grunnkrav er krav som enhver skole- og barnehageeier må oppfylle for å kunne behandle personopplysninger. Hvis de ikke blir oppfylt, vil det være i strid med personvernet til barn i barnehage og skole, foresatte eller ansatte. Da kan man risikerer bøter. Det er et relativt alvorlige bruddet å ikke oppfylle grunnkravene i personvernforordningen.
Lovlig, rettferdig og gjennomsiktig Behandlingen av personopplysninger skal være lovlig. Det at behandlingen skal være lovlig betyr at skole- og barnehageeier skal ha et rettslig grunnlag for behandlingen av personopplysninger. Det er redegjort mer for dette grunnkravet under rettslig grunnlag for behandling av personopplysninger. Behandlingen av personopplysninger skal være rettferdig. Dette kravet innebærer blant annet at barn i barnehage og skole, foresatte og ansatte sine rimelige forventninger til hva deres personopplysningene skal brukes til, skal respekteres. Rettferdig behandling innebærer også at barn i barnehage og skole, foresatte og ansatte sine rettigheter som registrerte skal ivaretas. Datatilsynet har utarbeidet en egen veileder om temaet. Behandlingen av personopplysninger skal være gjennomsiktig. Dette vil si at skole- og barnehageeier skal være åpne om hva opplysningene brukes til, og at barn i barnehage og skole, foresatte og ansatte skal vite hva som skjer med deres personopplysninger. Datatilsynet har i sin veileder understreket at gjennomsiktighet betyr at behandlingen skal være forståelig for de registrerte; den skal ikke foregå på fordekte eller manipulerende måter.
Formålsbegrensning Personopplysningene skal ikke brukes til noe annet enn det de ble samlet inn for (formålsbegrensning). Enhver behandling av personopplysninger skal ha et klart formål; Personopplysningene skal samles inn og brukes til «noe» konkret. Dette «noe» er formålet med behandlingen. Kravet om formålsbegrensning innebærer at personopplysningene ikke skal gjenbrukes til helt andre ting enn det de opprinnelig ble samlet inn for. Vi sier at de ikke kan brukes til noe som er uforenelig med det opprinnelige formålet. Det at en personopplysning ikke skal brukes til noe som er uforenelig med det opprinnelige formålet, betyr at behandlingsansvarlig har en viss mulighet til å bruke personopplysningene til noe som er innenfor det opprinnelige formålet.
Dataminimering Det skal ikke samles inn flere personopplysninger enn det som er nødvendig for å oppfylle den oppgaven (formålet) som opplysningene er samlet inn for å løse. Hvis en oppgave kan løses uten at man trenger å behandle personopplysninger, skal heller ikke personopplysninger behandles. Dette kalles «dataminimering» . Det er skole- og barnehageeier som skal sørge for det ikke behandles flere personopplysninger om barn i barnehage og skole, foresatte og ansatte, enn det som er nødvendig for å løse en bestemt oppgave. Skole- og barnehageeier skal i den forbindelse iverksette tiltak som ivaretar dataminimering
Riktighet Personopplysningene som behandles skal være korrekte. Det betyr at skole- og barnehageeier skal sørge for at personopplysninger som er feil rettes og oppdateres. Å korrigere personopplysninger om barn i barnehage og skole, foresatte og ansatte i barnehage og skole, er oppgaver som av praktiske hensyn må ligge hos den enkelte skole og barnehage, og ikke hos kommunen som skole- og barnehageeier. Skole- og barnehageeier plikter å legge til rette for at retting og oppdatering kan skje, og å sette føringer for hvordan skoler og barnehager skal arbeide med personopplysninger.
Lagringsbegrensning Personopplysningene som behandles skal ikke lagres lengre enn nødvendig for å oppnå formålet med behandlingen. Dette betyr at skole- og barnehageeier skal sørge for at personopplysningene blir slettet (eller anonymiseres), når det ikke lenger er bruk for dem. Det vil som regel ikke lenger være nødvendig å lagre personopplysningene når formålet med behandlingen er oppfylt.
Konfidensialitet og integritet (fortrolighet) Personopplysningene som behandles skal beskyttes slik at uvedkommende ikke får tilgang til personopplysningene og slik at personopplysningene ikke endres utilsiktet. I dette ligger det blant annet at personopplysninger skal sikres i forhold til risiko. Jo mer sensitive personopplysningene er, jo bedre skal de sikres. Konfidensialitet Skole- og barnehageeier skal sørge for at bare de som trenger tilgang til personopplysningene får tilgang til dem. Skole- og barnehageeier skal med andre ord ha et bevisst forhold til hvem som får og hvem som ikke får tilgang til systemer som inneholder personopplysninger. Dette kalles tilgangsstyring. Integritet Skole- og barnehageeier skal ha et bevisste forhold til hvem som skal ha adgang til å endre personopplysninger om barn i skole og barnehage, foresatte og ansatte som er lagret i ulike systemer. Det er ikke gitt at alle brukere som har tilgang til et system hvor personopplysninger lagres har behov for å endre personopplysningene. Det er skole- og barnehageeiers ansvar å sette føringer for hvem som skal ha hvilke tilganger slik at personopplysninger ikke endres eller slettes uten at det er grunnlag for det.
Ansvarlighet Skole- og barnehageeiere skal etterleve personvernforordningen. Dette kan virke selvsagt, men personvernforordningen slår fast at det er den behandlingsansvarlige som er ansvarlig for å etterleve personvernforordningen. Ansvarlighet innebærer at skole- og barnehageeier skal Dokumentere at personopplysninger behandles i samsvar med reglene i personvernforordningen. Det er ikke nok at man ha ansvaret – man må vise at man faktisk tar ansvaret. Ansvarlighet innebærer blant annet at skole- og barnehageeier skal Etablere nødvendige organisatoriske og tekniske tiltak for å sikre at personvernforordningen etterleves. Hva som er et nødvendig tiltak vil avhenge av personvernrisiko, noe som betyr at skole- og barnehageeier må gjennomføre risikovurderinger.
Hva betyr det i praksis? Det vil si at barnehage- og skoleeier er ansvarlig for at reglene følges, ikke den enkelte barnehage eller skole (for private enheter kan dette være annerledes) Likevel vil mye av det daglige arbeidet med å ivareta reglene foregå på den enkelte skole og i den enkelte barnehage Personvernombudet i kommunen eller fylkesmannen kan bistå skoleeiere, skoler og barnehager med råd og veiledning om hvordan reglene i lovverket skal forstås og praktiseres. Datatilsynet har veiledningsansvaret Det nye lovverket ivareta personvernet til barn i barnehage og skole, ansatte og foresatte ved å styrke den enkeltes innflytelse over og kontroll med hvordan deres personopplysninger blir behandlet.
Plikt til internkontroll Kontroll på hvilke personopplysninger som behandles. Det betyr at barnehage- og skoleeier må dokumentere at personvernforordningen etterleves ved å opprette «internkontroll» . Dette innebærer å sette arbeidet med personvern i system for å gi barnehage- og skoleeier en sikkerhet for at personopplysninger behandles i tråd med regelverket. Innebærer blant annet at barnehage- og skoleeier skal sørge for at risikovurderinger av sikkerheten til personopplysningene gjennomføres og at nødvendige tekniske eller organisatoriske sikringstiltak iverksettes.
Rettslig grunnlag Det er et av grunnkravene for å kunne behandle personopplysninger etter personvernforordningen. Et rettslig grunnlag kan for eksempel være lovhjemmel, enten i form av et pålegg eller som en hjemmel i forbindelse med utøvelse av et offentlig tjenestetilbud • Ikke nok å si at man som behandlingsansvarlig trenger å behandle personopplysninger for å løse en oppgave som er i allmennhetens interesse eller for å utøve offentlig myndighet. Kreves at man kan vise til lovhjemmel. • For skole- og barnehageeier som behandlingsansvarlig, vil det rettslige grunnlaget som regel være opplæringsloven eller barnehageloven. Både opplæringsloven og barnehageloven pålegger skoler, barnehager og skole- og barnehageeier en rekke oppgaver som forutsetter behandling av personopplysninger.
Eksempel fra barnehagen
Eksempel fra skolen
Andre rettslige grunnlag Nødvendig for å beskytte vitale interesser Dette behandlingsgrunnlaget er svært snevert. Det må være snakk om behandling av personopplysninger i forbindelse med liv og død eller fare for helsa. Dette behandlingsgrunnlaget kan normalt ikke brukes for å legitimere masseinnhenting av personopplysninger. Der dette er nødvendig, bør behandlingen ha hjemmel i lov i tråd med «nødvendig for rettslig plikt» eller «nødvendig for oppgave i offentlig interesse eller utøvelse av offentlig myndighet» . Nødvendig for å ivareta legitime interesser (berettiget interesse) Interesse som veier tyngre enn hensynet til den enkeltes personvern. Den berettigede interessen må være lovlig, klart definert på forhånd, reell og saklig begrunnet i virksomheten. Den aktuelle behandlingen av personopplysninger må være nødvendig for denne interessen. Det vil si at virksomheten må vurdere om den kan oppnå formålet på en måte som bedre varetar personvernet. Man må altså velge den behandlingen som er minst inngripende. Samtykke For at et samtykke skal være gyldig, må det være:
https: //mitti. se/nyheter
https: //www. datainspektionen. se/nyheter/facial-recognition-in-school-renders-swedens-first-gdpr-fine/
https: //www. technologyreview. com/f/614469/france-plans-to-use-facial-recognition-to-let-citizens-access-government-services
Protokoll over behandlingsaktiviteter Alle virksomheter som behandler personopplysninger, skal føre en protokoll over behandlingsaktiviteter som utføres under deres ansvar. Artikkel 30 Navnet på og kontaktopplysningene til den behandlingsansvarlige, og, dersom det er relevant, den felles behandlingsansvarlige, den behandlingsansvarliges representant og personvernombudet. Formålene med behandlingen. En beskrivelse av kategoriene av registrerte og kategoriene av personopplysninger Kategoriene av mottakere som personopplysningene er blitt eller vil bli utlevert til, herunder mottakere i tredjestater eller internasjonale organisasjoner. Dersom det er relevant, overføringer av personopplysninger til en tredjestat eller en internasjonal organisasjon, herunder identifikasjon av nevnte tredjestat eller internasjonale organisasjon og, ved overføringer nevnt i artikkel 49 nr. 1 annet ledd, dokumentasjon på nødvendige garantier. Dersom det er mulig, de planlagte tidsfristene for sletting av de forskjellige kategoriene av opplysninger. Dersom det er mulig, en generell beskrivelse av de tekniske og organisatoriske sikkerhetstiltak
Eksempelmal fra Datatilsynet
DPIA - vurdering av personvernkonsekvenser En vurdering av personvernkonsekvenser (Data Protection Impact Assessment DPIA) er en plikt etter Artikkel 35 der risikoen er vurdert som høy Skal sikre at personvernet til de som er registrert i løsningen ivaretas. Prosessen skal gjennomføres for behandling av personopplysninger vedrørende å evaluere læring, mestring og trivsel i skoler eller barnehager. Dette inkluderer alle utdanningsnivåer, fra barnehage, barne- og ungdomsskole, videregående skoler og høyere utdanning. (Sårbare registrerte og systematisk monitorering. ) En konkret vurdering av personvernkonsekvenser for å finne de ekstra tiltakene som må til for å redusere en høy risiko til akseptabelt nivå. Krever at dere iverksetter nødvendige tiltak for å oppfylle de registrertes rettigheter utover minimumskravene, når behandlingen utgjør en særskilt risiko for de registrerte (basert på art, omfang, formål og sammenheng). • Med nødvendige tiltak menes tiltak som går utover det som kreves av lovens ordlyd, men som etter en forholdsmessighetsvurdering er nødvendig for å sikre balansen mellom personverninteresser og virksomhetens interesser.
Forhåndsdrøftelse med Datatilsynet Når man har utført en DPIA og man ikke klarer å redusere risiko til et akseptabelt nivå
Rutiner for avvikshåndtering
NÅR? Det har skjedd et brudd på personopplysningssikkerheten i din virksomhet • Vurder risikoen for de registrerte Avvik skal alltid håndteres internt Dersom det ikke meldes til Datatilsynet eller at de berørte ikke varsles, skal det begrunnes i en intern avviksrapport i egen virksomhet. Frist 72 timer for varsel til Dattilsynet Meldingen skal være skriftlig, men Datatilsynet kan varsles først på telefon dersom det er viktig at de blir raskt kjent med avviket, for eksempel dersom avviket vil medføre at de mottar henvendelser via andre kanaler.
Kilder: https: //www. udir. no/regelverk-og-tilsyn/personvern-for-barnehage-og-skole/slikbehandler-du-personopplysninger-gdpr/ https: //www. datatilsynet. no/rettigheter-og-plikter/virksomhetenes-plikter/
- Slides: 37