Personvern i skolene

Innhold

Alle ansatte i Skien kommune har taushetsplikt og plikt til å hindre at andre får tilgang til personlig informasjon om elever og deres foresatte. Denne personvernerklæringen skal gi informasjon om hvordan kommunen behandler personopplysninger i kommunens skoler,  og bidra til trygghet og tillit i forhold til at personopplysningene blir ivaretatt på en korrekt og forsvarlig måte. Den er en utdyping i forhold til hvilke personopplysninger som behandles i forbindelse med elevenes skolegang og kommer i tillegg til kommunens generelle personvernerklæring.

 

Opplysninger eller vurderinger som kan knyttes til deg som enkeltperson, kalles personopplysninger.

Kommunedirektøren er ansvarlig for personopplysningene håndteres på riktig måte. Oppgavene knyttet til ansvaret er delegert til rektorene på skolene og systemeiere i Oppvekstadministrasjonen.

Skien kommune og skolene må behandle personopplysninger om elever og deres foresatte for å kunne tilby grunnskoleopplæring, SFO og andre tjenester som "lov om grunnskolen og den videregående opplæringa" (opplæringsloven) pålegger kommunen å yte til sine innbyggere.

Sentrale lover for skolens behandling av personopplysninger

Personopplysningsloven med personvernforordningen (GDPR) styrer hvordan personopplysninger vil bli behandlet. Denne loven krever blant annet at kommunen må ha et lovgrunnlag for å behandle personopplysninger. Skien kommune behandler personopplysninger i forbindelse med elevers skolegang og administrasjon av skolene etter en rettslig forpliktelse som er hjemlet i opplæringsloven.

Forvaltningsloven inneholder generelle regler for hvordan saker skal behandles og hvilke rettigheter man har som en part i saksbehandlingen. Disse rettighetene kommer i tillegg til rettighetene man har etter personopplysningsloven. 

Offentlighetsloven inneholder regler for når et dokument er offentlig tilgjengelig for allmennheten, og når et dokument kan unntas offentlighet. Skien kommune praktiserer meroffentlighet, det vil si at skolene så langt det er mulig etterstreber at dokumenter skal være offentlige.

Arkivloven inneholder regler om hvordan sakens dokumenter skal oppbevares, herunder om lagring i arkivinstitusjon, blant annet hvor lenge opplysninger må oppbevares før de eventuelt kan slettes.

Behandling av opplysninger om elever

Kommunen har fire hovedsystemer hvor det behandles personopplysninger om elever:

  • IST-Everyday Skole er programmet som brukes for å administrere skolegangen til elever. Her registreres navn, fødselsnummer, bo- og postadresser, telefonnummer og e-postadresser. Vurderinger av faglige prestasjoner og karakterer blir også registrert her. Programmet benyttes også til utsendelse og mottak av SMS.

    Programmet er en sky-tjeneste og driftes av IST AS. Alle personopplysninger lagres innenfor Norden.

    Personopplysninger fra IST-skole sendes til FEIDE slik at alle elever får opprettet en FEIDE-ID som brukes til innlogging og tilgangsstyring på læringsressurser. Opplysningene benyttes også av kommunens IT-avdeling til å opprette bruker-ID i kommunens datanettverk og tilganger til Office365. Standpunktskarakterer etter endt skolegang blir overført til Vigo. Personopplysninger i IST-skole er omfattet av kommunens dokumentasjonsplikt og skal arkiveres, de vil derfor ikke bli slettet.

  • Public 360 er kommunens generelle saksbehandlingsprogram og arkivsystem. Her registreres også navn, fødselsnummer, bo- og postadresser. Telefonnumre og e-postadresser kan også forekomme. Det er også her alle brev, dokumenter, referater fra samarbeidsmøter og oppføling av skolemiljø blir lagret.

    Programmet er levert av TietoEvery AS og installert hos kommunens IT-avdeling i Skien. Ansatte hos TietoEvery AS får tilgang til programmet dersom kommunen har behov for bistand for å rette feil.

    Personopplysninger fra programmet publiseres på internett gjennom kommunens postlister. Personopplysninger i Public360 er omfattet av kommunens dokumentasjonsplikt og skal arkiveres, de vil derfor ikke bli slettet.

  • Zokrates er programmet som benyttes for gjennomføring av undervisning og skolearbeid. Her registres navn og e-postadresser og klasse, disse opplysningene hentes fra FEIDE. Det er her innlevering av lekser og andre elevarbeider gjøres og man får også tilbakemelding fra lærere på innleveringene her.

    Zokrates er en sky-tjeneste og benytter Office365. Programmet driftes av Enable AS. Alle opplysningene lagres innenfor EØS-området.

    Opplysninger om hvilke klasse elvene går i hentes fra FEIDE. Personopplysninger i Zokrates skal slettes etter endt skolegang.

  • Office365 fra Microsoft brukes, i tillegg til Zokrates, for å gjennomføre undervisning og skolearbeid, blant annet som e-post og kommunikasjonsløsning. Har kan man gjennomføre lyd- og videosamtaler mellom elever og lærere. Personopplysninger som er registrert her er navn, e-epostadresser, klassetilhørighet, elevarbeider, kommunikasjon (e-post og chat).

    Office365 er en sky-tjeneste og driftes av Microsoft. Alle dataene lagres innenfor EØS. Ansatte hos kommunens IT-avdeling og ansatte hos Microsoft innenfor EØS-området har tilgang til dataene. Personopplysninger i Office365 skal slettes etter endt skolegang.

    Opplysningene hentes fra IST via kommunens Active Directory.

Fødselsnummer til elever behandles for å identifisere eleven og sikre riktig identifikasjon av elevens foresatte.

For gjennomføring av nasjonale prøver og eksamen benytter skolene sky-tjenester fra Utdanningsdirektoratet. Personopplysningene hentes fra FEIDE og elevenes besvarelser.

I tillegg benytter skolene flere pedagogiske programmer i undervisningen. Hvilke programmer som brukes varierer fra skole til skole. Programmene henter personopplysninger fra FEIDE og fra elevenes arbeid i programmene. Mange av disse programmene er sky-tjenester. Kommunen har som krav at alle personopplysninger i disse programmene skal lagres innenfor EØS-området. Personopplysninger i disse programmene skal slettes. Som oftest gjøres det når tilgangene fjernes eller dersom elevene ikke har logget på etter en bestemt tid. For en komplett oversikt over programmene som brukes må den enkelte skolen kontaktes. Eksempler på programmer som benyttes:

  • Lokus
  • Univers
  • Aski Raski
  • Cyberbook
  • Digitale lærebøker fra Unibok
  • Kikora
  • Cappelen Damm undervisning
  • Gyldendal undervisning (Salaby)

Behandling av opplysninger om foresatte

Kommunen har to hovedsystemer hvor det behandles personopplysninger om foresatte:

  • IST-skole er programmet som brukes for å administrere skolegangen. Her registreres navn, fødselsnummer, bo- og postadresser, telefonnummer og e-postadresser. Programmet benyttes også til utsendelse og mottak av SMS.
  • Public 360 er kommunens generelle saksbehandlingsprogram og arkivsystem. Her registreres også navn, fødselsnummer, bo- og postadresser, telefonnumre og e-postadresser. Det er også her alle brev, dokumenter, referater fra samarbeidsmøter og oppføling av skolemiljø blir lagret.

Fødselsnummer til foresatte behandles for å identifisere hvilke elever man er foresatt til og kommunikasjon via digitale postløsninger (f.eks. Altinn)

Foresatte har også tilgang til Zokrates. Påloggingsinformasjon hentes via ID-porten som driftes av Digitaliseringsdirektoratet. Dette er nødvendig for å identifisere hvilke elever man er foresatt til.

Taushetsbelagte opplysninger og samarbeid på tvers

Skolene behandler taushetsbelagte og sensitive personopplysninger for å oppfylle kommunens forpliktelser i opplæringsloven.

  • Elever som ikke har eller ikke kan få tilfredsstillende utbytte av ordinær undervisning har rett til spesialundervisning (§§ 5-1 til 5-9). Det skal i den sammenheng vurderes:
    • elevens utbytte av den ordinære opplæringen
    • lærevansker og andre særlige forhold som er viktig for opplæringen
    • realistiske opplæringsmål for eleven
    • om man kan hjelpe eleven innenfor det ordinære opplæringstilbudet
    • hvilken opplæring som gir et forsvarlig opplæringstilbud
  • Skolene har plikt til å sikre og følge opp at elever har et trygt og godt psykososialt skolemiljø (§§ 9A-1 til 9A-16). Ved mistanke eller kjennskap til at elever ikke har et trygt og godt skolemiljø skal skolen undersøke dette.  Skolen skal sikre at de involverte elevene blir hørt.
  • Ansatte i skolen har meldeplikt til barneverntjenesten (§5-3) dersom det foreligger:
    • mistanke om mishandling eller alvorlig omsorgssvikt
    • mistanke om at barn ikke får behandling for en livstruende eller alvorlig sykdom eller skade, om et barn med nedsatt funksjonsevne ikke får dekt særlige behov
    • alvorlige atferdsvansker i form av alvorlig eller gjentatt kriminalitet, misbruk av rusmidler eller andre former for normløs atferd.
    • når det er grunn til å tro at et barn blir eller vil bli utnyttet til menneskehandel
  • Skolen skal samarbeide med andre offentlige tjenester:
    • ved utarbeidelse og oppfølging av individuell plan som er hjemlet etter en annen lov enn opplæringsloven. (§15-5)
    • om vurdering og oppfølging av barn og unge med helsemessige, personlige, sosiale eller emosjonelle vanskeligheter (§15-8)
  • For å sikre elevenes helse behandler skolene også opplysninger om allergier og sykdommer som vil kunne innvirke sterkt på elevens hverdag, f.eks.:
    • alvorlige matallergier
    • epilepsi

Utlevering av personopplysninger

For å kunne overføre personopplysninger til tredjepart, for eksempel en annen avdeling i kommunen, må skolene ha et rettslig grunnlag. Overføring av personopplysninger til tredjepart kan for eksempel være:

  • Oversendelse av klagesaker og dokumentasjon til klageinstans (for eksempel Fylkesmannen i Vestfold  og Telemark).
  • Utlevering av opplysninger til offentlige myndigheter som NAV og ligningsmyndigheter.
  • Utlevering av opplysninger til Statens lånekasse for utdanning.
  • Utlevering av opplysninger til buss/taxi-sentral i forbindelse med skoleskyss.
  • Registrering av karakterer i Vigo (fylkeskommunen).
  • Oversendelse av klasselister til skolehelsetjenesten.

Media og allmennhetens rett til innsyn

Skolenes saksdokumenter skal ifølge offentlighetsloven være tilgjengelige for offentligheten med mindre det er lovpålagt taushetsplikt. Alle som ber om innsyn vil kunne få tilgang til innholdet i dokumenter. Din henvendelse vil være offentlig og hvem som helst kan dermed be om innsyn i dokumenter. Dette gjelder uavhengig om du henvender deg via brev, e-post eller telefon.

En journal er et register over saksdokumenter som behandles i et organ. Skolenes postjournaler ligger tilgjengelige på Skien kommunes nettside for postjournaler. Saksbehandler er ansvarlig for at dokumentasjonen er korrekt og tilstrekkelig. Arkivtjenesten gjennomfører en kvalitetssikring av offentlig journal før publisering.

Forespørsler om innsyn håndteres etter reglene i offentlighetsloven.

Klasselister

I utgangspunktet er elev- eller klasselister offentlige etter offentlighetsloven, og omfattet av innsynsrett.

Listene kan inneholde:

  • Navn
  • Adresse
  • Telefonnummer
  • E-post

Dette vil ikke si at elevlistene uten videre kan leveres ut fritt til hvem som helst.

Barn og unge anses av personopplysningsloven som en sårbar gruppe som har ekstra behov for beskyttelse av personopplysninger. Klasselister kan derfor ikke publiseres åpent på internett. Personnummer til barn og unge anses også som sensitivt av kommunen og vil derfor ikke bli utlevert uten saklig begrunnelse.

Kommunen har taushetsplikt og kan ikke utlevere hemmelige telefonnummer og/eller adresser, eller bostedsadresse som røper et forhold som er personlig f.eks. om vedkommende bor på en barneverninstitusjon. I de tilfeller hvor adressen er sperret (hemmelig) er navnet også taushetsbelagt. Dersom det i klasselisten fremkommer at eleven får tilrettelagt undervisning på grunn av ulike handikap eller atferdsproblemer er dette også taushetsbelagt.

Klasselister med navn og kontaktinformasjon kan leveres ut til foresatte og medelever dersom de ikke inneholder taushetsbelagt informasjon. Foresatte skal i forkant gjøres kjent med dette og kunne komme med innsigelser mot dette for å sikre at taushetsbelagte opplysninger ikke blir delt.

De ulike skolene kan ha forskjellig praksis i hvordan de håndterer og eventuelt deler klasselister.

Logging av aktivitet i datanettverk og på datamaskiner

Kommunen er forpliktet til å sikre behandlingen av personopplysninger med tilstrekkelig tekniske tiltak og har i den sammenhengen en berettiget interesse av logging av datatrafikk og aktivitet på datamaskiner som kan være skadelig for drift av kommunens IT-løsninger og beskyttelse av informasjon. I den forbindebindelse blir:

  • all tilkobling av datamaskiner, nettbrett og mobiltelefoner på kommunens trådløse nettverk logget. Tidspunkt for tilkobling, mac-adresse, ip-adresse, navn på datamaskin, nettbrett eller mobiltelefon, navn på bruker som er knyttet til utstyret blir logget. Opplysningene er kun tilgjengelig for enkelte ansatte ved kommunens IT-avdeling.
  • all datatrafikk ut og inn av kommunens datanettverk som går gjennom brannmurer logget. Det logges fra hvilken ip-adresse trafikken kommer fra og til hvilken ip-adresse den går, navn på datamaskin og brukernavnet som er knyttet til denne maskinen. Opplysningene er kun tilgjengelig for enkelte ansatte ved kommunens IT-avdeling.
  • skadelig programvare på datamaskinen logget i kommunens antivirus-løsning. Det logges hvilken skadelige programvare som er oppdaget på hvilken maskin og hvilken brukerkonto som er knyttet til datamaskinen. Opplysningene er kun tilgjengelig for enkelte ansatte ved kommunens IT-avdeling.
  • all installert programvare på datamaskiner kartlegget og lagret i kommunens system for installasjon av programvare. Datamaskinene kan knyttes opp mot brukerkonto. Opplysningene er kun tilgjengelig for enkelte ansatte ved kommunens IT-avdeling.
  • generell bruk av datamaskinen logget lokalt på datamaskinen. Deler av disse loggene kan kun åpnes av IKT-kontakter eller IT-avdelingen.
  • utskiftsjobber logget dersom skolen benytter «Smartprint» til utskrift. Navn på den som har skrevet ut, tidspunkt og navn på dokumentet som er skrevet ut blir logget. Opplysningene er kun tilgjengelig for enkelte ansatte ved kommunens IT-avdeling.

Skolene får kun tilgang til disse loggene dersom det er mistanke om brudd på skolenes reglement eller lovbrudd. Som hovedregel skal elever varsles om dette i forkant og slik tilgang skal dokumenteres.

Skadelig programvare og datatrafikk som oppdages automatisk utløser også et varsel hos kommunens IT-avdeling.  IT-avdelingen vil da vurdere om situasjonen krever at elevers filområder, e-post og/eller logger må åpnes for å forhindre skade og sikre kommunens datanettverk og datasystemer. Dette skal dokumenteres og varsles i etterkant.

Dersom det ved gjennomgang av loggene avdekkes forhold som kommunen mener er brudd på norsk lov vil loggene kunne utleveres til politiet som en del av en anmeldelse.

Politiet kan også kreve utlevering av loggene ved etterforskning av straffbare handlinger. Før slik utlevering foretas må det foreligge en rettskjennelse.

Logging av aktiviteter i programmer

De aller fleste dataprogrammer som er sky-tjenester logger hvem som gjør hva når i programmet. Ofte logges det også fra hvor man kobler på programmet. Disse loggene er kun tilgjengelig for de i kommunen som er ansvarlig for programmene og leverandørenes driftspersonell. Det føres ofte automatisk egne logger over hvem som har vært inne og sett på disse loggene.

Følgende vil kunne være tilgjengelig ved f.eks. opplasting av et dokument i Zokrates eller sending av en e-post i Office365:

  • Den lokale IP-adressen til datamaskinen du jobbet på.
  • Den offentlig IP-adressen til routeren som knytter deg til internett.
  • Brukernavn du logget på med.
  • Tidspunkt du logget på.
  • Hva du gjorde i programmet mens du var logget på.
  • Hvem du sendte e-post til.
  • Tidspunkt du logget av.

Dine rettigheter

For en mer detaljert gjennomgang av rettigheter knyttet til personopplysningsloven anbefales det å lese kommunens generelle personvernerklæring.

Rett til informasjon og innsyn

Du har krav på å få vite hvordan skolene behandler personopplysninger. Du har også rett til å få innsyn i hvilke personopplysninger som skolen har registrert om deg. Personopplysningsloven legger noen begrensninger på hvilke opplysninger du har rett til å få innsyn i og utlevert, den vanligste begrensningen er dersom opplysningene er underlagt taushetsplikt. I disse tilfellene vil du kunne ha krav på innsyn etter forvaltningsloven eller etter egne regler i den aktuelle loven som pålegger taushetsplikt.

Rett til korrigering

Hvis noen av personopplysningene som er registrert om deg er feil, har du krav på å få dem rettet. Ta kontakt med den aktuelle skolen hvis du mener vi har registrert personopplysninger om deg som bør korrigeres. Opplysninger som er lagret med bakgrunn i arkivlova rettes ved at kommunen tilføyer de riktige opplysningene. De opplysningene som er feil vil bli bevart for å kunne dokumentere feilen. Dersom skolen har utlevert opplysninger som er feilaktige til en annen avdeling i kommunen eller tredjepart, må skolen sørge for å videreformidle de riktige opplysningene.

Rett til å begrense behandlingen

Du kan kreve at behandlingen av personopplysningene om deg begrenses blant annet dersom du mener opplysningene er feil eller at kommunen behandler opplysningene ulovlig. Begrenset behandling vil si at personopplysningene fortsatt blir lagret, men at mulighetene for å bruke dem i andre systemer blir begrenset.
Hvis du benytter deg av retten til å begrense behandlingen, vil begrensningen gjelde inntil vi eventuelt har rettet personopplysningene dine, eller vi har fått vurdert om innsigelsen din er berettiget.
Du kan også kreve at begrensningen av personopplysningene skal gjelde permanent. Da må vilkårene i personopplysningsloven og GDPR artikkel 18 være oppfylt.

Rett til sletting

Du har, i noen tilfeller, rett til at vi sletter personopplysninger om deg.
Vær oppmerksom på at lovverket i enkelte tilfeller gir oss anledning til å gjøre unntak fra retten til sletting. For eksempel gjelder det når vi er nødt til å lagre personopplysninger for å oppfylle en oppgave vi er pålagt av opplæringsloven, eller for å ivareta viktige samfunnsinteresser som arkivering, forskning og statistikk.
Hvis du ønsker at vi skal slette enkelte av personopplysningene. Det er viktig at du begrunner hvorfor du ønsker sletting, og eventuelt hvilke personopplysninger du ønsker å få slettet. Vi vil da vurdere om din begrunnelse er i tråd med loven.

Rett til å fremme innsigelse

Du kan ha rett til å fremme en innsigelse mot behandlingen – altså protestere – hvis du har et særskilt behov for å få stanset behandlingen av personopplysningene om deg. Beskyttelsesbehov og fortrolig adresse er eksempler der du kan benytte innsigelsesretten. Vilkårene går frem av GDPR artikkel 21.
Hvis vilkårene for å fremme en innsigelse er oppfylt og vår vurdering er at du har rett til å protestere mot behandlingen, vil behandlingen av personopplysningene om deg stanse. Du vil da også kunne kreve sletting av opplysningene.
Dersom vi lagrer personopplysningene dine for å oppfylle en oppgave vi er pålagt etter opplæringsloven, eller for å ivareta viktige samfunnsinteresser, kan vi likevel gjøre unntak fra sletting.

Gjøre dine krav på dine rettigheter

Kommunen ønsker at man benytter et eget skjema for å gjøre gjeldende sine rettigheter. Skjemaet er tilgjengelig i kommunens skjemaportal.

Kontakt personvernombud

Har du spørsmål om Skien kommunes behandling av personopplysninger,  ta gjerne kontakt med vårt personvernombud, Grim Eide, på e-post: pvo@skien.kommune.no eller på telefon 477 13 095.

Klageadgang

Dersom du har opplevd noe du mener er et brudd på regelverket, kan du kontakte Datatilsynet ved å sende en skriftlig klage til postadresse:

Datatilsynet, Postboks 458 Sentrum, 0105 Oslo.

Datatilsynet vil så vurdere om saken skal følges videre.

Før du klager til Datatilsynet, vil det i mange tilfeller være lurt at du først retter spørsmål til den myndigheten, virksomheten eller organisasjonen som du mener har brutt personopplysningsloven. Dersom virksomhetens forklaring kommer frem i en eventuell klage til oss i etterkant, vil det kunne bidra til en raskere og mer effektiv saksbehandling. Ta kontakt med virksomhetens personvernombud for bistand.

Til toppen