Bruk av skytjenester i skolen

Prinsipper for behandling av personopplysninger

Personvernforordningen artikkel 5 inneholder overordnede prinsipper som gjelder for all behandling av personopplysninger. Alle prinsippene er likeverdige, men undersøkelsene våre gir grunn til å utdype innholdet i noen av prinsippene overfor kommunene.

Les mer om personvernprinsippene

  1. Det første prinsippet angir at personopplysninger skal behandles på en lovlig, rettferdig og åpen måte overfor de registrerte.
    Prinsippet har en viktig indre sammenheng. I tillegg til at all behandlingen skal ha et rettslig grunnlag, betyr dette at behandlingen som helhet skal være nødvendig, forholdsmessig og forutsigbar for den registrerte.

    At personopplysninger skal behandles på en åpen måte innebærer blant annet at foresatte skal ha den informasjonen de trenger for å ivareta sine barns rettigheter og friheter i tilknytning til behandling av deres personopplysninger. Informasjonen skal gis før behandlingen starter, og kravene til informasjonen er nærmere spesifisert i artiklene 12-14. Vi kommer nærmere tilbake til dette i kapittelet «Informasjon til elevene og de foresatte».
  2. All behandling av personopplysninger skal ha spesifikke og uttrykkelige angitte formål.
    Disse skal være angitt før behandlingen starter. Grunnen til at formålene skal være spesifikke er blant annet at den registrerte skal være beskyttet mot formålsutglidning – at opplysninger viderebehandles på en måte som er uforenlig med de opprinnelige formålene. Det er ikke tilstrekkelig å angi «skolen skal oppfylle kravene i læreplanen» som formål, ei heller «elevene skal læres opp i digitale ferdigheter».

    Definisjon av formål for behandlingen har også relevans i forhold til å føre protokoll over behandlingsaktiviteter. Denne plikten går vi nærmere inn på i kapittelet «Protokoll over behandlingsaktiviteter», hvor vi også utdyper noe mer om formålsdefinering.
  3. Gjennom prinsippet om dataminimering fastslås det at personopplysninger skal «være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for».
    Prinsippet må ses i sammenheng med formålsdefinisjonene. Ut i fra formålene skal det være mulig å definere hvilke personopplysninger som er nødvendige å behandle og hvilke personopplysninger det ikke er anledning til å behandle. Kravet om nødvendighet skal tolkes snevert – «kjekt å ha» er altså ikke synonymt med «nødvendig».

    I praksis bør kommunene kunne argumentere godt for hvorfor de ulike kategoriene av personopplysninger er nødvendige å behandle. Kravet til dataminimering innebærer blant annet at skolene må vurdere følgende problemstillinger, og svarene avhenger av konkrete forhold i den enkelte kommune eller på den enkelte skole:
    • Er det nødvendig å benytte elevens fulle navn i løsningen, eller er det tilstrekkelig med fornavn, initialer eller pseudonymer?
    • Er det nødvendig å knytte bilder av elevene til brukerkontoene?
    • Er det nødvendig at alle elever har tilgang til hverandres kontaktinformasjon, eller skal tilgangen begrenses etter klasse, klassetrinn eller skole?
    • Er det nødvendig at elevene er søkbare i systemet eller skal elevene utveksle kontaktinformasjon på andre måter?
  4. Videre fastslår prinsippet om lagringsbegrensning at personopplysninger skal lagres slik at det ikke er mulig å identifisere de registrerte lengre enn formålene tilsier.
    Det innebærer for eksempel at kommunene må forsikre seg om at Google sletter elevenes personopplysninger i løsningen.

    Når det gjelder sletting av personopplysninger, opplyser Google i sin Data Processing Amendment (DPA – databehandlertillegg) at dataene slettes innen 180 dager (merk at å være omfattet av DPA er «opt-in»). Google opplyser ikke om grunnen til at de bruker opptil 180 dager på å slette dataene. Hensynet til sikkerhetskopier kan være en slik grunn, altså at det kan være vanskelig å skille ut opplysninger om enkeltpersoner fra sikkerhetskopier. For eksempel bør skolene kreve at Google informerer om grunnen til at det kan ta opptil 180 dager å slette. Hvis ikke er det vanskelig å vurdere om Google behandler personopplysninger lengre enn nødvendig, eller til andre formål.
  5. Ansvarlighetsprinsippet angir at den behandlingsansvarlige både er ansvarlig for og skal kunne påvise at prinsippene overholdes.
    Bestemmelsen slår altså fast at det er den behandlingsansvarlige som har hovedansvaret for å i ivareta de registrertes personvern, og at den behandlingsansvarlige skal kunne dokumentere at prinsippene etterleves.