Rettslig grunnlag for behandlingen
All behandling av personopplysninger må ha et rettslig grunnlag. Dette slås fast i personvernforordningen artikkel 6, hvor ulike alternativer til rettslig grunnlag også er listet opp.
Les vår generelle veiledning om behandlingsgrunnlag
Rettslig grunnlag for kjernetjenestene i GSFE
Flere av kommunene Datatilsynet undersøkte, benyttet etter vår oppfatning ugyldige rettslige grunnlag. Vi mener for eksempel at kommunene ikke kan benytte samtykke som grunnlag (se artikkel 6 nr. 1 bokstav a), ettersom elevene eller de foresatte ikke har en reell mulighet til å samtykke eller trekke samtykket.
Når kommunene bestemmer at elevene skal benytte Chromebook og GSFE til skolearbeidet, oppfatter vi dette som et vedtak som treffes i ledd av kommunenes offentlige myndighetsutøvelse. Et vedtak defineres i forvaltningsloven § 2 bokstav a (lovdata.no) som «en avgjørelse som treffes under utøving av offentlig myndighet og som generelt eller konkret er bestemmende for rettigheter eller plikter til private personer». Slik vi ser det er vedtaket vi omtaler her truffet med hjemmel i Forskrift om utfylling av dei overordna måla og prinsippa for opplæringa i grunnskolen og i den vidaregåande opplæringa (lovdata.no), jf. opplæringslova § 2-3 (lovdata.no).
Kravene til opplæring i digitale ferdigheter er nærmere spesifisert i Utdanningsdirektoratets rammeverk «Digitale ferdigheter som grunnleggende ferdighet» (udir.no). Avgjørelsen fra kommunene bygger på deres forvaltningsrettslige myndighet, og forplikter elevene til å benytte en løsning som kommunene har bestemt på forhånd, uten at elevene eller de foresatte kan påvirke valget. Behandlingen av elevenes personopplysninger gjennom løsningen blir etter vårt syn en implisitt del av denne myndighetsutøvelsen. Et annet argument for at behandlingen dreier seg om offentlig myndighetsutøvelse er at elevenes ferdigheter og arbeid skal vurderes gjennom deres bruk av løsningen, uavhengig av om det knyttes karakterer til vurderingene.
På bakgrunn av vurderingen vår ovenfor vil gyldig rettslig grunnlag etter forordningen være artikkel 6 nr. 1 bokstav e: «behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt». Man kan også argumentere for at rettslig grunnlag etter artikkel 6 nr. 1 bokstav c kan passe: «behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige». Slik vi ser det er imidlertid ordlyden i bestemmelsen og konteksten av behandlingen mer treffende for artikkel 6 nr. 1 bokstav e.
Med det rettslige grunnlaget i artikkel 6 nr. 1 bokstav e følger en rett til å protestere. Kravene til dette finner vi i forordningen artikkel 21. En protest fra en foresatt må være grunnet i en «særlig situasjon» for eleven. Retten til å protestere skal det informeres uttrykkelig om, se artikkel 21 nr. 4. Informasjonen skal fremlegges på en klar måte og atskilt fra annen informasjon.
Kommunene må kunne garantere at personopplysninger slettes når det ikke lenger foreligger rettslig grunnlag for behandlingen – for eksempel når brukerkontoen til en elev slettes, med mindre det foreligger en arkivplikt for kommunen for disse personopplysningene. Hvis kommunen ikke kan garantere at opplysningene slettes med en gang (men for eksempel innen 180 dager, jf. vilkårene for GSFE) må kommunen kunne redegjøre for årsaken. De registrerte må også informeres om dette.
Rettslig grunnlag for tilleggstjenestene i GSFE
Etter vår oppfatning vil kommunene kun ha anledning til å benytte det rettslige grunnlaget i artikkel 6 nr. 1 bokstav e for kjernetjenestene i GSFE. Dersom det er et ønske om å ta i bruk tilleggstjenestene, som kan innebære profilering av elevene og rettet markedsføring mot elevene, må kommunen ha samtykke fra de foresatte. Dette angir også Google i vilkårene for GSFE.
Forordningens definisjon av samtykke er «enhver frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av personopplysninger som gjelder vedkommende», se artikkel 4 nr. 11. Vilkårene for samtykke følger av artikkel 7.
Les mer om samtykke som behandlingsgrunnlag
Behandling av særlige kategorier av personopplysninger
Behandling av særlige kategorier av personopplysninger er i utgangspunktet forbudt, med mindre noen av unntakene som er angitt i personvernforordningen artikkel 9 (lovdata.no) kommer til anvendelse. Det vil blant annet si at kommunene neppe kan legge opp til behandling av følgende opplysninger om elevene:
- rasemessig eller etnisk opprinnelse
- politisk oppfatning
- religion
- filosofisk overbevisning
- helseopplysninger
- seksuell identitet
- biometri