54 Behandling av personopplysningar
54.1 Innleiing
Dette punktet handlar om reglar om behandling av personopplysningar i grunnskolen og i den vidaregåande opplæringa.
I Prop. 145 L (2020–2021) Endringar i opplæringslova, friskolelova og barnehagelova (behandling av personopplysningar, fjernundervisning o.a.) foreslo departementet ny regulering av behandling av personopplysningar i barnehage, grunnskole og vidaregåande opplæring. Proposisjonen har også ein gjennomgang av generelle reglar for behandling av personopplysningar. Sjå også Innst. 512 L (2020–2021) frå utdannings- og forskningskomiteen. Lovendringane tok til å gjelde 1. august 2021.
I tillegg er behandling av personopplysningar drøfta i samband med
forslaget om å lovfeste ei oppfølgingsplikt ved fråvær (punkt 13.3.4)
forslaget til ein generell regel om fjernundervisning (punkt 15.5.11)
forslaget til reglar om overgang frå barnehagen til skolen og skolefritidsordninga (punkt 23.5.1)
forslaget til reglar om samarbeid mellom velferdstenester (punkt 23.5.2)
forslaget til reglar om overgang frå grunnskolen til den vidaregåande opplæringa (punkt 40.11.4.3)
forslaget til reglar om godkjenning av utanlandsk fag- og yrkesopplæring (punkt 49.5.3)
forslaget til reglar om deltaking i evalueringar og informasjonsinnhenting (punkt 58.5)
reglar for privatskolar om overgang frå grunnskole til vidaregåande opplæring (punkt 66.5.15)
Departementet understrekar at dette ikkje er ei uttømmande liste over regler som føreset behandling av personopplysningar eller i kva situasjonar det er nødvendig å behandle personopplysningar. Lista er ei oversikt over kva punkt i proposisjonen som drøfter personopplysningsspørsmål utover dette punktet.
54.2 Dagens reglar
54.2.1 Personopplysningslova og personvernforordninga
Innledning
Personopplysningslova og EUs personvernforordning (forordning om vern av individ ved behandling av personopplysningar og om fri flyt av slike opplysningar, også kalt GDPR) stiller krav om ein tydeleg og føreseieleg praksis og at behandlingsgrunnlag skal vere klare og tydelege. Personopplysningslova gjennomfører personvernforordninga i norsk rett.
Grunnleggjande prinsipp for behandling av personopplysningar
Reglane for behandling av personopplysningar bygger på nokre grunnleggande prinsipp som er fastsette i artikkel 5 i forordninga. Alle som behandlar personopplysningar, må rette seg etter desse prinsippa, og det er eit krav at den som behandlar personopplysningar, skal kunne dokumentere at prinsippa blir overhaldne.
All behandling av personopplysningar må vere lovleg, rettferdig og gjennomsiktig. Det vil blant anna seie at det må ligge føre eit rettsleg grunnlag før behandlinga av personopplysningar kan skje, eit såkalla behandlingsgrunnlag. Eit sentralt prinsipp er at personopplysningar berre skal behandlast for spesifikke, uttrykkeleg oppgitte og legitime formål, og at personopplysningar ikkje kan gjenbrukast til formål som ikkje er i samsvar med det opphavlege formålet (formålsavgrensing). Prinsippet om dataminimering inneber at mengda innsamla personopplysningar skal avgrensast til det som er nødvendig for å oppnå innsamlingsformålet. Personopplysningar som blir behandla, skal vere korrekte. Opplysningane skal òg oppdaterast dersom det er nødvendig. Prinsippet om lagringsavgrensing inneber at personopplysningar ikkje skal lagrast lenger enn det som er nødvendig for formålet dei blei innhenta for. Personopplysningar skal behandlast slik at integriteten og konfidensialiteten til opplysningane er verna (sikring av personopplysningane). Prinsippet om ansvarlegheit vil seie at den behandlingsansvarlege har ansvar for å overhalde reglane for behandling av personopplysningar og må kunne dokumentere dette.
Krav om behandlingsgrunnlag
For å kunne behandle personopplysningar krevst det eit rettsgrunnlag. Reglane om behandlingsgrunnlag følgjer av forordninga artikkel 6.
Eit samtykke frå den opplysningane gjeld, kan gi den behandlingsansvarlege rettsgrunnlag for å behandle personopplysningar om vedkomande. Dette følgjer av artikkel 6 nr. 1 bokstav a. Eit samtykke etter personvernforordninga må vere ei frivillig, spesifikk, informert og utvitydig viljesytring frå den registrerte der vedkomande ved ei erklæring eller tydeleg stadfesting gir samtykke til behandling av personopplysningar som gjeld han eller henne. Dette er regulert i artikkel 4 nr. 11. Artikkel 7 set opp nærare vilkår for samtykke. Etter fortalepunkt 43 bør samtykke ikkje utgjere eit rettsleg grunnlag for behandlinga dersom det er ein klar skeivskap mellom den registrerte og den behandlingsansvarlege, særleg dersom den behandlingsansvarlege er ei offentleg styresmakt. Ein slik skeivskap kan bety at det er mindre sannsynleg at samtykket er frivillig etter forordninga.
Samtykke er derfor mindre eigna som eit rettsleg grunnlag for behandling av personopplysningar ved utøving av offentleg styresmakt. Årsaka til dette er at eit samtykke truleg ikkje kan reknast som frivillig når opplysningane skal behandlast i samband med å få oppfylt ein rett og anna frå det offentlege. Reguleringa av samtykke inneber at dette først og fremst bør brukast på område som ikkje er offentlegrettsleg regulerte.
I offentleg forvaltning vil behandlingsgrunnlaga i artikkel 6 nr. 1 bokstav c og e vere mest aktuelle. Samtykke bør ikkje brukast når behandlinga i staden kan ha grunnlag i artikkel 6 nr. 1 bokstav c eller e, noko som til vanleg vil vere tilfellet for behandling av personopplysningar i barnehage og skule.
Artikkel 6 nr. 1 bokstav c gir grunnlag for behandling som er nødvendig for å oppfylle ei rettsleg forplikting som kviler på den behandlingsansvarlege. Artikkel 6 nr. 1 bokstav e gir høve til behandling når dette er nødvendig for å utføre ei oppgåve i allmenta si interesse eller utøve offentleg styresmakt som den behandlingsansvarlege er pålagd. Det følgjer av forordninga artikkel 6 nr. 3 at «grunnlaget for behandlingen» nemnt i nr. 1 bokstav c og e «skal fastsettes» i unionsretten eller i den nasjonale retten i medlemsstatane. Dette inneber at artikkel 6 nr. 1 bokstav c eller e ikkje åleine kan utgjere behandlingsgrunnlag, men at den behandlingsansvarlege i tillegg må kunne vise til eit supplerande grunnlag for behandlinga, som i dette tilfellet må finnast i nasjonal rett som den behandlingsansvarlege er underlagd.
Justis- og beredskapsdepartementet har i forarbeida til personopplysningslova uttalt at det må leggjast til grunn at i alle fall lov- og forskriftsreglar kan utgjere supplerande rettsgrunnlag etter artikkel 6 nr. 3 i forordninga, og at det synest å vere tilstrekkeleg at det supplerande rettsgrunnlaget pålegg den behandlingsansvarlege ei rettsleg forplikting som det er nødvendig å behandle personopplysningar for å oppfylle. Justis- og beredskapsdepartementet har, når det gjeld utøving av offentleg styresmakt etter utlendingslova, lagt til grunn at kravet om supplerande rettsgrunnlag etter artikkel 6 nr. 3 i forordninga synest oppfylt dersom behandlinga går fram av lov, og at det ikkje er nødvendig at det supplerande rettsgrunnlaget uttrykkeleg regulerer behandling av personopplysningar, sjå Prop. 59 L (2017–2018) om endringar i utlendingslova punkt 4.1.3.1.
Kunnskapsdepartementet legg den same vurderinga til grunn når det gjeld utøving av offentleg styresmakt etter lovene på Kunnskapsdepartementets ansvarsområde.
Justis- og beredskapsdepartementet peikar på at forordninga må tolkast og brukast i lys av Grunnlova § 102 og EMK artikkel 8, noko som kan innebere strengare krav til eit tydelegare og meir spesifikt supplerande rettsgrunnlag enn ordlyden i forordninga kan tilseie, sjå Prop. 56 LS (2017–2018) side 33. Punkt 41 i fortalen til personvernforordninga gir uttrykk for at eit supplerande rettsleg grunnlag bør vere tydeleg og presist, slik at behandlinga av personopplysningar er føreseieleg for den registrerte.
Kva krav til klarleik som må stillast til det supplerande rettsgrunnlaget, kjem an på ei konkret vurdering der det blant anna skal leggast vekt på kor inngripande behandlinga er.
Behandlingsgrunnlag for særlege kategoriar av personopplysningar
Det er stilt særlege krav til behandling av såkalla særlege kategoriar av personopplysningar. Forordninga artikkel 9 definerer særlege kategoriar av personopplysningar som opplysningar om
rasemessig eller etnisk opphav
politisk oppfatning
religion
filosofisk overtyding
fagforeiningsmedlemskap
genetiske og biometriske kjenneteikn som eintydig identifiserer ein fysisk person
helseopplysningar
seksuelle forhold ved eller den seksuelle orienteringa til ein fysisk person
Desse personopplysningskategoriane er av natur særleg sensitive og derfor gitt særskilt vern, ettersom samanhengen dei blir behandla i, kan skape alvorleg risiko for dei grunnleggande rettane og fridommane til den enkelte, sjå punkt 51 i fortalen. Forordninga har derfor tilleggsvilkår for behandling av slike opplysningar. Behandling av særlege kategoriar av personopplysningar er i utgangspunktet forbode etter artikkel 9 nr. 1, med mindre ei av unntaksreglane i artikkel 9 nr. 2 opnar for behandlinga, eventuelt i kombinasjon med nasjonale lovreglar.
Særleg aktuell er forordninga artikkel 9 nr. 2 bokstav g, som opnar for behandling som er nødvendig av omsyn til «viktige allmenne interesser». Behandlinga må her skje på «grunnlag av» unionsretten eller nasjonal rett, som skal «stå i et rimelig forhold til det mål som søkes oppnådd, være forenlig med det grunnleggende innholdet i retten til vern av personopplysninger og sikre egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser». Justis- og beredskapsdepartementet har lagt til grunn at det som utgangspunkt må ligge føre ei lov eller forskrift som opnar for behandling av særlege kategoriar av personopplysningar. Forordninga gir ikkje noko eintydig svar på kor klart eller spesifikt slike nasjonale reglar må vere utforma. På same måte som når det gjeld kravet om supplerande rettsgrunnlag etter artikkel 6 nr. 3, må det vurderast konkret om ein regel er tilstrekkeleg for ei gitt behandling. Det at slike opplysningar treng eit særleg vern, kan tilseie at det må krevjast klarare rettsleg grunnlag enn etter artikkel 6 nr. 3. Sensitiviteten til personopplysningane vil i denne samanhengen vere eit moment i vurderinga av arten og omfanget av inngrepet, som igjen har konsekvensar for kva krav som blir stilte til det supplerande rettsgrunnlaget. Nasjonal rett skal sikre «egnede og særlige tiltak» for å verne den registrertes grunnleggende rettigheter og interesser. I den samanheng må det ses hen til at kommunen og fylkeskommunen er forvaltningsorganer som er underlagt forvaltningslovas regler om blant annet taushetsplikt.
Forordninga artikkel 10 fastset ytterlegare krav til behandling av opplysningar om straffedommar og lovbrot. Behandling av personopplysningar om straffedommar og lovbrot eller tilknytte tryggleikstiltak på grunnlag av artikkel 6 nr. 1 skal berre utførast under kontroll av ei offentleg styresmakt eller dersom behandlinga er tillaten i samsvar med unionsretten eller nasjonal rett i medlemsstatane som sikrar nødvendige garantiar for rettane og fridommane til dei registrerte. Det krevst eit supplerande rettsgrunnlag i nasjonal rett for at slik behandling skal vere tillaten.
Om vidarebehandling
Det følgjer av personvernforordninga artikkel 5 nr. 1 bokstav b at personopplysningar skal samlast inn for «spesifikke, uttrykkelig angitte og berettigede formål og ikke viderebehandles på en måte som er uforenlig med disse formålene».
Med vidarebehandling er det meint behandling av personopplysningar for nye formål, det vil seie andre formål enn innsamlingsformålet. Dersom vidarebehandlinga inneber utlevering frå ein behandlingsansvarleg til ein annan, skjer det ei vidarebehandling hos begge partar. Den som utleverer, vidarebehandlar i form av utlevering. Den som innhentar, vidarebehandlar i form av innhenting og eventuell vidarebruk.
Vidarebehandlinga vil anten vere i samsvar, eller ikkje i samsvar, med innsamlingsformålet. Dersom vidarebehandlinga er i samsvar med det opphavlege formålet, krevst det ikkje noko anna rettsleg grunnlag enn det som ligg til grunn for innsamlinga av personopplysningar, og opplysningane kan delast. Slik vidarebehandling kan altså skje utan eit særskilt rettsgrunnlag.
Ei vidarebehandling som ikkje er i samsvar med innsamlingsformålet, er i utgangspunktet forbode, jf. forordninga artikkel 5 nr. 1 bokstav b. Forbodet gjeld uavhengig av kven som utfører vidarebehandlinga. Artikkel 6 nr. 4 set opp ei ikkje-uttømmande liste med moment det skal leggast vekt på i vurderinga av om vidarebehandlinga er i samsvar med innsamlingsformålet.
For at vidarebehandling som ikkje er i samsvar med innsamlingsformålet, skal vere lovleg, må ho anten ha eit særskilt rettsgrunnlag i nasjonal rett eller vere basert på samtykke frå den registrerte, jf. forordninga artikkel 6 nr. 4.
I Prop. 56 LS (2017–2018) punkt 6.6 side 37 er det lagt til grunn at eit slikt særskilt rettsgrunnlag må knyte seg til sjølve vidarebehandlinga. Finst det ikkje slikt grunnlag for vidarebehandling, må opplysningane samlast inn på nytt dersom dei skal behandlast for eit formål som ikkje er i samsvar med innsamlingsformålet.
Rettsgrunnlag som skal opne for vidarebehandling for formål som ikkje er i samsvar med innsamlingsformålet, må etter artikkel 6 nr. 4 utgjere «et nødvendig og forholdsmessig tiltak i et demokratisk samfunn for å sikre oppnåelse av målene nevnt i artikkel 23 nr. 1». Dette omfattar blant anna «andre viktige mål av generell allmenn interesse», jf. artikkel 23 nr. 1 bokstav e.
Det er noko uklart kva krav personvernforordninga stiller til det supplerande rettsgrunnlaget. I Prop. 56 LS (2017–2018) punkt 6.3.2 side 32–33 er det lagt til grunn at ordlyden i forordninga ikkje tilseier at det gjeld særleg strenge krav til kor spesifikt eit rettsleg grunnlag bør vere, men at forordninga på dette punktet også må tolkast og brukast i tråd med dei menneskerettslege krava til rettsgrunnlag for inngrep i retten til privatliv. Det kan derfor etter omstenda krevjast eit meir spesifikt grunnlag enn det som kan synast å vere minimumskrava etter ordlyden i forordninga.
Personvernforordninga artikkel 9 set opp ytterlegare krav ved behandling av enkelte kategoriar av personopplysningar som blir rekna som særleg sensitive, såkalla «særlige kategorier av personopplysninger».
Forordninga artikkel 9 nr. 2 bokstav g opnar for behandling som er nødvendig av omsyn til «viktige allmenne interesser». Behandlinga må her skje på «grunnlag av» unionsretten eller nasjonal rett som skal «stå i et rimelig forhold til det mål som søkes oppnådd, være forenlig med det grunnleggende innholdet i retten til vern av personopplysninger og sikre egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser». Personopplysningslova § 7 første ledd opnar for behandling av slike opplysningar, men berre etter løyve frå Datatilsynet. Andre supplerande rettsgrunnlag etter artikkel 9 nr. 2 bokstav g må følge av anna lovgiving.
Reglane om behandlingsgrunnlag i artikkel 6 nr. 1 og 3 og vidarebehandling i nr. 4 og om særlege kategoriar av personopplysningar i artikkel 9 gjeld side om side. Ei vidarebehandling av særlege kategoriar av personopplysningar som ikkje er i samsvar med innsamlingsformålet, vil krevje at det ligg føre eit grunnlag etter alle tre reglane, men éin og same lovregel vil kunne oppfylle krava til slikt grunnlag.
54.2.2 Opplæringslova
Reglane i dagens opplæringslov § 15-10 mfl. supplerer personopplysningslova og personvernforordninga. Opplæringslova har supplerande reglar om behandling av personopplysningar i grunnskoleopplæringa og den vidaregåande opplæringa. Opplæringslova § 15-10 har i første ledd ein generell regel som fastslår at kommunar, fylkeskommunar og lærebedrifter skal kunne behandle personopplysningar så langt det er nødvendig for å utføre oppgåver etter opplæringslova. Regelen supplerer behandlingsgrunnlaga i personvernforordninga artikkel 6 nr. 1 bokstav c og e. Regelen gir ikkje i seg sjølv rettsgrunnlag for behandling av personopplysningar, men må sjåast i samanheng med oppgåvene til kommunane, fylkeskommunane og lærebedriftene, som er regulerte i eller med heimel i opplæringslova.
Opplæringslova § 15-10 regulerer i andre og tredje ledd innhenting og deling av personopplysningar ved skolebyte og ved overgang frå grunnskole til vidaregåande opplæring. Fjerde ledd regulerer deling av personopplysningar mellom skolar så langt elevane eller foreldra har gitt løyve til det. Prop. 145 L (2020–2021) har i punkt 2.2.2.2 ein omtale av kva eit slikt løyve inneber, og om retten eleven har til medråderett. Det kjem mellom anna fram at eit vilkår om løyve ikkje inneber same krav som det å gi samtykke etter forordninga. Samtykke er eit behandlingsgrunnlag etter forordninga artikkel 6 nr. 1 bokstav a. Departementet kan gi forskrift om behandlinga av personopplysningar, mellom anna om formålet med behandlinga, behandlingsansvar, kva opplysningar som kan behandlast, kven det kan behandlast personopplysningar om, bruk av automatiserte avgjerder, vidarebehandling, utlevering og tilgang til personopplysningar.
Opplæringslova § 14-4 andre ledd klargjer Utdanningsdirektoratets behandlingsgrunnlag for innsamling, behandling og deling av personopplysningar til bruk i forsking, analyse og statistikk. Paragrafen fastslår at direktoratet kan behandle personopplysningar så langt det er nødvendig for å evaluere opplæringsverksemda som er omfatta av lova. Opplysningane kan også brukast som grunnlag for forsking, analyse og statistikk. Dette omfattar mellom anna å hente inn alle vitnemålsopplysningar frå 10. trinn, resultat for alle elevar i den vidaregåande opplæringa og opplysningar frå nasjonale prøvar og undersøkingar. Paragrafen gir eit supplerande rettsgrunnlag for behandling av personopplysningar i Utdanningsdirektoratets informasjonsinnhenting og evaluering etter første ledd i paragrafen med forskrifter. Departementet kan gi forskrift om kva opplysningar Utdanningsdirektoratet kan behandle, og om behandlinga.
Opplæringslova § 3-14 regulerer nasjonal database for vitnemål og dokumentasjon av kompetanse (NVB). Dette er eit verktøy for opptak til høgare utdanning og for lagring av og tilgang til digitale vitnemål frå vidaregåande opplæring, privatskolar godkjende etter privatskolelova, fagskolar og andre kompetansebevis. Ifølgje paragrafen kan NVB oppbevare og behandle mellom anna kompetansebevis frå vidaregåande opplæring og vitnemål frå fagskolar i tillegg til vitnemål frå vidaregåande opplæring. NVB kan knyte seg til Vitnemålsportalen, som er ein portal på internett utvikla av Sikt – Kunnskapssektorens tjenesteleverandør, på oppdrag frå Kunnskapsdepartementet der ein sjølv kan hente ut resultata sine frå høgare utdanning og dele dei med studiestader, arbeidsgivarar eller andre.
Etter opplæringslova § 3-14 andre ledd skal alle vidaregåande skolar rapportere alle vitnemål og kompetansebevis frå vidaregåande opplæring til NVB. I dag blir berre rapportert vitnemål i databasen. Utvidinga frå å rapportere vitnemål til også å rapportere kompetansebevis vil bli gjennomført etter kvart som NVB blir vidareutvikla. NVB er også tenkt å vere eit verktøy (kontrollmotor) for at skolar kan kontrollere om elevar har fagkombinasjonar som vil gi dei studiekompetanse.
Opplæringslova § 15-9 handlar om innhenting av opplysningar frå Folkeregisteret. Her er det fastsett at «[o]ffentlege myndigheiter kan utan hinder av teieplikt innhenta opplysningar frå Folkeregisteret når det er nødvendig for å utføra oppgåver etter denne lova. Departementet gir forskrift om kva for opplysningar som kan innhentast».
Som følgje av folkeregistreringslova må heimelen for utlevering av opplysningar frå Folkeregisteret som er omfatta av teieplikt, stå i regelverket som gjeld for dei ulike saksområda. Paragrafen vart innført med verknad frå 1. oktober 2018. Det kjem fram i Prop. 86 L (2017–2018) Endringer i sameloven mv. (konsultasjoner) at grunngivinga for forskriftsheimelen er:
Kunnskapsdepartementet ser det slik at det ikkje er ynskjeleg å gje ein generell heimel i lova som opnar for å hente inn opplysningar som er omfatta av teieplikta i folkeregisterloven. Det er likevel slik at kva for opplysningar som er naudsynte for å utføre oppgåver etter barnehageloven, opplæringslova eller friskolelova, kan endra seg over tid og på grunn av andre endringar i desse lovene og i dei tilhøyrande forskriftene. Kunnskapsdepartementet meiner difor det bør gå klart fram i forskrift kva.
Slik forskrift er gitt i forskrift til opplæringslova § 22 A-1.
54.3 Høyringsforslaget
I høyringa foreslo departementet
å vidareføre reglane om behandling av personopplysningar og om den nasjonale databasen for vitnemål og dokumentasjon av kompetanse
å vidareføre heimelen for innhenting av opplysningar frå Folkeregisteret
Opplæringslovutvalet avgrensa i NOU 2019: 23 langt på veg mot behov for endringar i opplæringslova som følgje av gjennomføringa av EUs personvernforordning. Utvalet foreslo derfor ikkje nye reglar i opplæringslova, sjå NOU 2019: 23, kapittel 3.3.3.
54.4 Høyringsinstansanes syn
54.4.1 Generelt
Av dei om lag 16 høyringsinstansane som har uttalt seg, støttar nesten alle heilt eller delvis forslaget om å vidareføre reglane om behandling av personopplysningar og om den nasjonale databasen for vitnemål og dokumentasjon av kompetanse.
Blant høyringsinstansane som støttar forslaga, er Vestfold og Telemark fylkeskommune, Aukra kommune, Bergen kommune, Lunner kommune, Nittedal kommune, Time kommune,og Utdanningsforbundet. Viken fylkeskommune støttar også forslaga, men ønskjer at supplerande reglar blir utarbeidde i forskrift, då dei foreslåtte reglane om behandling av personopplysningar og innhenting av opplysningar frå Folkeregisteret elles kan tolkast vidare enn dagens reglar. Også Oslo kommune støttar i hovudsak forslaga, men uttaler at det er krevjande å kommentere forslaga utan å ha vurdert eit forslag til forskriftsreglar.
54.4.2 Reglane om behandling av personopplysningar
Enkelte høyringsinstansar har innspel til forslaget om å vidareføre reglane om behandling av personopplysningar. Datatilsynet meiner at forslaget til § 25-1 i for liten grad speglar av forpliktingane skolen eller skoleeigar har etter personvernregelverket. Datatilsynet meiner mellom anna at lova bør innehalde ei klar tilvising til personvernforordninga artikkel 24 og artikkel 32. Dette er for å gjere tydeleg at det eksisterer eit regelverk utover opplæringslova som kommunen og fylkeskommunen må oppfylle for å sikre at behandlinga av personopplysningar er tillaten. Datatilsynet meiner også at det er behov for fleire reglar i lova, eventuelt i forskrift, som kan gi behandlingsgrunnlag til mellom anna bruk av opplysningar samla inn i skolesamanheng til andre formål, som til dømes utvikling og bruk av kunstig intelligens. Datatilsynet erfarer at gjeldande opplæringslov ikkje opnar for utlevering eller bruk av elevopplysningar til dette formålet, og oppmodar departementet til å vurdere om det er behov for ein særleg heimel til dette formålet.
Enkelte høyringsinstansar har spørsmål til korleis personvernet skal varetakast ved behandling av personopplysningar utanfor kommunen og fylkeskommunen. Norsk leirskoleforening oppmodar departementet til å sjå på korleis utveksling av nødvendige personopplysningar ved leirskoleopphald kan gå føre seg på rett måte. Trygg Trafikk set spørjeteikn ved korleis personvernet skal varetakast ved delegering av mynde til å gjere vedtak, til dømes til selskap som administrerer skyss (kollektivselskap). Direktoratet for høgare utdanning og kompetanse (HK-dir) foreslår at § 25-1 også bør gi heimel til «andre offentlege organ» og «private einingar som utfører oppgåver etter lova på vegner av offentlege organ», slik at paragrafen gi heimel for den nødvendige behandlinga av personopplysningar for alle aktuelle offentlege organ og private einingar.
54.4.3 Den nasjonale databasen for vitnemål og dokumentasjon av kompetanse
Viken fylkeskommune meiner at forslaget til § 25-2 om reglar om den nasjonale databasen for vitnemål og annan dokumentasjon av oppnådd kompetanse frå vidaregåande opplæring forenklar og sikrar rett dokumentasjon til elevar og privatistar. Fylkeskommunen viser til at det er positivt at også kompetansebevis skal omfattast av ordninga.
Møre og Romsdal fylkeskommune meiner at det bør komme fram at vitnemål og kompetansebevis som hovudregel skal vere digitale og berre blir skrivne ut på papir ved førespurnad. Fylkeskommunen meiner at ein slik hovudregel vil lette den administrative byrda og vere bra for miljøet. Fylkeskommunen meiner vidare at det er ein fordel om digitale vitnemål og kompetansebevis også har ein funksjon i utlandet, særleg innanfor Europa. Fylkeskommunen ber vidare departementet sjå på om digitale vitnemål og kompetansebevis også kan delast til utlandet, særleg innanfor Europa. Fylkeskommunen viser til at dette allereie er mogleg for vitnemål frå høgare utdanning gjennom tidsavgrensa delingslenkjer frå vitnemålsportalen.
54.4.4 Kommunane si plikt til personvernkonvensensvurderingar
KS og Oslo kommune peikar på at det er tyngjande og samfunnsøkonomisk ugunstig at kvar enkelt kommune er pålagd å utføre personvernkonsekvensvurderingar (personvernforordninga artikkel 35) for alle applikasjonar. Desse høyringsinstansane viser til at størsteparten av slike tenester er hyllevareprodukt baserte på fellesløysinga Feide som sikrar lik behandling på tvers av skoleeigarar. Etter undersøkingar utførte av KS har kommunane i gjennomsnitt teke i bruk over hundre ulike digitale læringsressursar. KS ber departementet vurdere nærare om det i ny opplæringslov skal opnast for at det skal givast i oppdrag til nasjonalt styringsnivå å gjennomføre generelle vurderingar av personvernkonsekvensar for utvalde digitale løysingar som blir brukte i opplæringa, for å lette ressursbruken i kommunane, jf. personvernforordninga artikkel 35 nr. 10. Oslo kommune ber om at denne moglegheita blir nytta, i det minste for digitale læremiddel og verktøy, der gevinstpotensialet er størst.
54.4.5 Heimel for innhenting av opplysningar frå Folkeregisteret
Det er svært få høringsinstansar som uttalar seg om forslaget til heimel for innhenting av opplysningar frå Folkeregisteret. Dei få som har uttalt seg støttar i all hovudsak forslaget.
54.5 Departementets vurdering
54.5.1 Generelt
Reglane om behandling av personopplysningar i dagens opplæringslov vart innførte i 2021. Hovudformålet med innføringa var å tilpasse opplæringslova til personvernregelverket (personvernlova og EUs personvernforordning), sjå Prop. 145 L (2020–2021). Der blir ein del generelle spørsmål knytte til personvern i skolen drøfta.
Departementet foreslår å vidareføre dagens reglar om behandling av personopplysningar. Departementet meiner at lovforslaget samla sett er innanfor dei rammene som personvernforordninga set for nasjonal lovgiving. Departementet meiner vidare at behandling av personopplysningar i forbindelse med oppgåvene som vert pålagde i lovforslaget kan skje innanfor rammene av Grunnlova, EMK og personvernforordninga.
Departementet er opptatt av personvernet til elevane. Det er avgjerande at personvernet til elevane blir varetatt når kommunar og fylkeskommunar tar i bruk digitale verktøy i undervisninga, administrasjonen og i kommunikasjonen med elevar og foreldre.
Personvernkommisjonen har også gitt mykje merksemd til personvernet til barn og unge i utgreiinga si Ditt personvern – vårt felles ansvar (NOU 2022: 11), overlevert i september 2022.
Personvernkommisjonen hadde som mandat mellom anna å kartleggje situasjonen for personvern i Noreg og å trekkje fram dei viktigaste utfordringane og utviklingstrekka generelt og på fleire delområde. Personvernkommisjonen vart vidare beden om å kartleggje korleis personvernet til barn og unge blir varetatt i Noreg, irekna vurdere ivaretakinga av personvernet til barn i barnehage- og skolesektorane og bruken av «gratis» applikasjonar i skolane der det blir betalt med barn sine personopplysningar.
Når det gjeld personvernssituasjonen for barn og unge, konkluderer personvernkommisjonen mellom anna med at skolane i stor grad har gjennomført omfattande endringar for å digitalisere skolekvardagen, men at skolane ikkje har hatt kompetanse og ressursar til å sørgje for at personvernet blir varetatt. Personvernkommisjonen viser også til at bruk av kommersielle verktøy i skolen i mange tilfelle inneber at det blir samla inn personopplysningar til formål utover å levere tenesta til elevane, som til dømes til marknadsføring. Personvernkommisjonen peikar også på utfordringar knytte til digital læringsanalyse og at bruken av slike tenester kan føre til mogleg diskriminering, skeive resultat og nedkjølingseffektar på oppførselen til elevane. Utgreiinga inneheld ei rekkje forslag til tiltak, mellom anna at det blir utarbeidd ein heilskapleg og offensiv statleg personvernpolitikk i skole- og barnehagesektoren.
Utgreiinga til personvernkommisjonen har vore på høyring med frist 10. februar 2023. Regjeringa vil vurdere korleis utgreiinga og innspela bør følgjast opp.
Nokre av utfordringane personvernkommisjonen peikar på, blir behandla av ei ekspertgruppe nedsett av Kunnskapsdepartementet 10. september 2021 for å vurdere bruken av digital læringsanalyse i grunnopplæringa, høgare yrkesfagleg utdanning og høgare utdanning. Ekspertgruppa skal gi departementet betre grunnlag for avgjerder om digital læringsanalyse i kunnskapssektoren. Dei skal vurdere pedagogiske, etiske, juridiske og personvernmessige spørsmål ved bruk av digital læringsanalyse og gi råd om behov for utvikling av regelverket og innspel om god praksis. Ekspertgruppa leverte ein delrapport 1. juni 2022, og sluttrapporten skal vere ferdig innan 1. juni 2023.
Kunnskapsdepartementet vil våren 2023 i samarbeid med KS leggje fram ein strategi for digital kompetanse og infrastruktur i barnehage og skole for å få til betre heilskapleg samordning og samarbeid mellom offentlege og private aktørar og langsiktig målretta innsats. Det er mellom anna behov for å styrkje kunnskap og kompetanse i bruk av digitale læremiddel og læringsressursar i skolen. Den digitale praksisen i skolen skal vere kunnskapsbasert, inkluderande og personvernorientert.
54.5.2 Reglane om behandling av personopplysningar
Departementet foreslår å vidareføre reglane om behandling av personopplysningar i grunnskolen og den vidaregåande opplæringa, med nokre språklege endringar.
Kommunane og fylkeskommunane behandlar mange personopplysningar i samband med at dei tilbyr grunnskoleopplæring og vidaregåande opplæring og oppfyller krav i opplæringslova. Behandlinga er nødvendig for å sikre interessene til dei personopplysningane gjeld. Det rettslege grunnlaget for å behandle personopplysningar følgjer av dei lovfesta oppgåvene som skal utførast. Dei lovfesta oppgåvene gir samtidig rammene for kva opplysningar som kan behandlast, og i kva utstrekning. Kva for personopplysningar kommunen og fylkeskommunen kan behandle, må vurderast konkret ut frå formålet med den enkelte forpliktinga eller oppgåva. Personopplysningar kan behandlast berre så lenge det er nødvendig. Kva som er nødvendig, må igjen sjåast i lys av at rett til utdanning er ein menneskerett, sjå mellom anna Grunnlova § 109, FNs barnekonvensjon artikkel 28 nr. 1, og Den europeiske meneskerettskonvensjon protokoll nr. 1 artikkel 2.
Departementet meiner det er viktig og nødvendig å vidareføre reglane som gir eit tydeleg supplerande rettsgrunnlag for behandling av personopplysningar i grunnskolen og den vidaregåande opplæringa. På området til opplæringslova er det særleg viktig med eit tydeleg rettsgrunnlag ettersom dei opplysningane gjeld, som hovudregel er barn og unge.
Til innspelet frå Datatilsynet om at lovforslaget i for liten grad speglar av forpliktingane til skolen etter personvernregelverket, viser departementet til at det vil vere ei dobbeltregulering å lovfeste at kommunar og fylkeskommunar skal følgje personvernregelverket. Det følgjer av personopplysningslova § 1 at personvernforordninga gjeld som norsk lov. Å sørgje for at kommunar og fylkeskommunar følgjer lover og forskrifter, er ei oppgåve for internkontrollen til kommunane etter kommunelova § 25-1. Departementet viser også til at forslaget til §§ 25-1 allereie inneheld referansar til personvernforordninga artikkel 9 og 10, for å presisere kva type opplysningar som blir tillatne behandla i samband med dei ulike formåla som er lista i lovteksten. Departementet meiner at det er tydeleg ut frå desse tilvisingane at det eksisterer eit personvernregelverk utover paragrafen i opplæringslova som kommunane og fylkeskommunane må følgje.
Når det gjeld innspelet frå Datatilsynet om at det er behov for fleire lovregler som kan gi behandlingsgrunnlag for bruk av opplysningar samla inn i skolesamanheng til andre formål, mellom anna for kunstig intelligens, vil departementet ved behov komme tilbake til dette på eit seinare tidspunkt. Departementet viser til ekspertgruppa for digital læringsanalyse, sjå omtale i punkt 54.5.1.
Enkelte høyringsinstansar har spørsmål til korleis personvernet skal varetakast ved behandling av personopplysningar utanfor kommunen og fylkeskommunen. Departementet meiner det ikkje er behov for å innføre særskilde reglar om dette. Departementet viser til omtalen i Prop. 145 L (2020–2021), pkt. 2.4.5.5, underpunktet Deling av opplysningar med andre som utfører oppgåver for skoleeigaren (s. 56–57):
I enkelte tilfelle bruker kommunen og fylkeskommunen andre rettssubjekt til å utføre oppgåver. Det vil derfor kunne vere behov for å dele personopplysningar som oppdragstakaren treng for å utføre oppgåvene sine. Eit eksempel er fylkeskommunens bruk av transportselskap for å ta hand om elevar med rett til skoleskyss. Eit anna eksempel er der kommunen bruker ein privat aktør (for eksempel eit foreldredrive SFO) for å oppfylle plikta til å gi tilbod om skolefritidsordning i samsvar med opplæringslova § 13-7. Den private aktøren vil ha same behov som kommunen sjølv for å behandle personopplysningar om det enkelte barnet, foreldra og andre. Skolane vil òg ha behov for å dele personopplysningar om elevane med andre verksemder dersom skolane skal ta i bruk digitale verktøy.
Det følgjer av kommunelova § 5-4 at kommunestyret og fylkestinget kan delegere styresmakt til andre rettssubjekt i saker som gjeld lovpålagde oppgåver, «så langt lovgivningen åpner for det». Dersom det er skoleeigaren som avgjer formålet med behandlinga og kva midlar som skal brukast, vil skoleeigaren vere behandlingsansvarleg.
Det inneber ikkje at skoleeigaren må ta alle avgjerder om tekniske eller organisatoriske forhold, men typisk ta avgjerder om kva for opplysningar som skal behandlast, når opplysningane skal slettast og liknande. Formålet må vere innanfor dei behandlingsgrunnlaga som skoleeigaren har.
Det andre rettssubjektet, ofte ein privat aktør, vil vere databehandlar for skoleeigaren. Personvernforordninga stiller krav til databehandlarforholdet, først og fremst at partane må inngå ein databehandlaravtale. Sjå meir om forholdet mellom behandlingsansvarleg og databehandlar i punkt 2.1.1.4 Reglane om teieplikt i forvaltningslova vil også gjelde for dei som utfører oppdrag for skoleeigaren. Kva for opplysningar ein databehandlar kan behandle, og korleis, må vurderast ut frå behandlingsgrunnlaget skoleeigaren har, og det oppdraget databehandlaren har fått. Dersom ein privat aktør er å rekne som behandlingsansvarleg fordi denne aktøren avgjer formålet med behandlinga og kva midlar som skal brukast, må denne private aktøren ha eit eige behandlingsgrunnlag, for eksempel samtykke.
For leirskolar tilseier reglane at leirskolen normalt vil vere databehandlar for kommunen, som vil vere behandlingsansvarleg.
54.5.3 Den nasjonale databasen for vitnemål og dokumentasjon av kompetanse
Departementet foreslår å vidareføre reglane om den nasjonale databasen for vitnemål og dokumentasjon av kompetanse. Reglane vart tekne inn i opplæringslova i 2021 med bakgrunn i Prop. 145 L (2020–2021) og har til hensikt å gi eit tydelegare supplerande rettsgrunnlag for behandling av personopplysningar. Departementet viser til at forslaget om å vidareføre reglane har fått brei støtte av høyringsinstansane som har uttalt seg.
Departementet foreslår å ikkje vidareføre reguleringa av kven som er behandlingsansvarlig for databasen og korleis opplysningane i databasen kan brukast som grunnlag for analyse, statistikk og forskning. Departementet meiner at det er meir tenleg å regulere desse spørsmåla i forskrift, og foreslår derfor ein noko utvida forskriftsheimel.
Det er gjort enkelte språklege endringar som ikkje er meint å endre rettstilstanden.
Forslaget frå høyringsinstansane om digitale vitnemål vil departementet vurdere å kome tilbake til i arbeidet med forskrifter til lova. Lova set i dag ikkje krav til utforminga av vitnemål. Når det gjeld deling av vitnemål til utlandet så opnar forslaget til § 25-2 fjerde ledd også for slik deling.
54.5.4 Personvernkonvensutgreiingane kommunane gjer
Til Oslo kommune og KS sitt forslag om at det bør givast i oppdrag til nasjonalt styringsnivå å gjennomføre generelle vurderingar av personvernkonsekvensar, meiner departementet at forslaget ikkje verkar å vere praktisk mogleg å gjennomføre med dagens regelverk for behandling av personopplysningar.
Personvernforordninga artikkel 35 nr. 10 gir unntak frå å gjennomføre ei personvernkonsekvensvurdering etter artikkel 35 nr. 1 til 7 dersom ei rekkje vilkår er oppfylte:
10. Dersom behandling i henhold til artikkel 6 nr. 1 bokstav c) eller e) har et rettslig grunnlag i unionsretten eller retten i medlemsstaten som den behandlingsansvarlige er underlagt, og nevnte rett regulerer den eller de aktuelle spesifikke behandlingsaktivitetene, og det allerede er utført en vurdering av personvernkonsekvenser som en del av en generell konsekvensvurdering i forbindelse med vedtakelse av nevnte rettslige grunnlag, får nr. 1-7 ikke anvendelse, med mindre medlemsstatene anser det nødvendig å utføre en slik vurdering før behandlingsaktivitetene.
Slik departementet ser det, føreset unntak frå å gjennomføre vurdering i samsvar med art. 35 nr. 10 at bruken av dei konkrete læremidla er spesifikt regulert i lov eller forskrift, der det i tillegg har vorte utført ei vurdering av personvernkonsekvensar som del av ei generell konsekvensvurdering i samband med vedtakinga av reglane. Departementet ser det slik at det ikkje aktuelt å regulere kvart enkelt digitale læremiddel i forskriftform. Kommunane og fylkeskommunane som behandlingsansvarlege kan derfor ikkje fritakast frå plikta til å utarbeide konsekvensvurderingar i samsvar med personvernforordninga.
Kommunane har etter personvernregelverket behandlingsansvaret, og har etter dette også ansvaret for å gjennomføre dei nødvendige personvernkonsekvensvurderingane. Departementet har forståing for at det er ressurskrevjande for kommunane å utarbeide konsekvensvurderingar i samband med dei ulike digitale læremidla, men departementet meiner at det er viktig at kommunane har god oversikt over dei moglege personvernkonsekvensane som dei ulike læremidla medfører for elevane. Endringar i ansvaret her vil vidare kunne ha konsekvensar for kommunane sitt ansvar for val av læremiddel og læringsressursar i skolen m.v. Det er vidare høve for kommunane å samarbeide om slike vurderingar.
54.5.5 Heimel for innhenting av opplysningar frå Folkeregisteret
Departementet meiner at offentlege styresmakter framleis skal kunne innhente opplysningar frå Folkeregisteret utan hinder av teieplikta når det er nødvendig for å utføre oppgåver etter den nye lova. Det bør framleis gå klart fram av regelverket kva opplysningar som kan innhentast frå Folkeregisteret. Departementet meiner dei nærare reglane bør komme fram i forskrift, og foreslår derfor å vidareføre både heimelen til å innhente opplysningar og forskriftsheimelen.
54.6 Departementets forslag
Departementet foreslår
å vidareføre reglane om behandling av personopplysningar, sjå forslaga til §§ 25-1
å vidareføre reglane om den nasjonale databasen for vitnemål og annan dokumentasjon av kompetanse, sjå forslag til § 25-2
å vidareføre heimelen for innhenting av opplysningar frå Folkeregisteret, sjå forslaget til § 25-3