Skoler og daginsitutioner

Elevoplysninger

Reglerne om databeskyttelse bestemmer, hvornår registrering, videregivelse og anden behandling af almindelige personoplysninger, som eksempelvis oplysninger om navn, adresse og skema, må finde sted.

Behandling af almindelige oplysninger kan blandt andet ske, hvis den registrerede har givet sit samtykke til behandlingen.

Det må konkret vurderes, om barnet har tilstrækkelig modenhed og forståelse til selv at give samtykke. Normalt vil et barn på 15 år være tilstrækkelig moden til at kunne give samtykke til, at skolen kan offentliggøre oplysninger om eleven på skolens hjemmeside.

Almindelige personoplysninger kan også behandles, hvis behandlingen er nødvendig for, at den dataansvarlige kan forfølge en legitim interesse, som ikke overstiger den registreredes interesser eller rettigheder (interesseafvejning). Hensynet til barnet og den unge skal i denne vurdering tillægges særligt vægt. Det skal derfor være særligt klart, at den dataansvarliges interesse vejer tungere en barnets eller den unges interesse i, at der ikke sker behandling.

Når en uddannelsesinstitution behandler oplysninger om elever, skal institutionen, som dataansvarlig, foretage en vurdering af, om elevens interesser går forud for skolens legitime interesse i at behandle oplysningerne. Uddannelsesinstitutionen skal derfor være opmærksom på, at hensynet til barnet og den unge tillægges særlig vægt. Vurderingen afhænger bl.a. af, hvilken form for behandling der er tale om, og hvilke oplysninger behandlingen omfatter.

Offentlige myndigheder kan ikke behandle personoplysninger på baggrund af en interesseafvejning, når behandlingen sker som led i myndighedens udførelse af sine opgaver. Er en uddannelsesinstitution en offentlig myndighed, kan almindelige personoplysninger imidlertid også behandles, hvis behandlingen er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som uddannelsesinstitutionen har fået pålagt.

Når en uddannelsesinstitution behandler oplysninger om elever, skal institutionen blandt andet være opmærksom på, at personoplysninger, som indsamles til ét formål, ikke viderebehandles til et andet formål, der er uforeneligt med det oprindelige, og at behandling af personoplysninger, skal være tilstrækkelig, relevant og begrænset i forhold til, hvad der er nødvendigt i forhold til formålet.

Videregivelse til præster

Datatilsynet har tidligere taget stilling i sager, hvor skoler har videregivet elevoplysninger til præster i forbindelse med minikonfirmand-forberedelse.

Det er således skolen, der skal afgøre, om betingelserne for at videregive elevoplysninger uden samtykke er opfyldt. Det er Datatilsynets opfattelse, at der normalt ikke kan ske videregivelse af oplysninger om elever til præster uden samtykke i forbindelse med minikonfirmand-forberedelse. 

Også i forbindelse med konfirmationsforberedelse er det skolen, der skal afgøre, om der kan ske videregivelse af elevoplysninger uden samtykke. For folkeskoler kan videregivelse ske, hvis skolen vurderer, at videregivelsen er nødvendig af hensyn til udførelsen af en opgave, der hører under offentlig myndighedsudøvelse, som skolen eller præsten, som modtager elevoplysningerne, har fået pålagt.

Uddannelsesinstitutionernes brug af elektronisk udstyr

Databeskyttelsesretten finder anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling.

Derfor vil uddannelsesinstitutioners behandling af personhenførbare oplysninger om elever på elektronisk udstyr som udgangspunkt være omfattet af databeskyttelsesretten. Da børn og unge ofte er mindre bevidste om eventuelle risici, konsekvenser, garantier og deres rettigheder hvad angår behandling af personoplysninger, nyder børn og unge en særlig beskyttelse i databeskyttelsesretten. Derfor skal uddannelsesinstitutioner, som behandler oplysninger om børn og unge, være særligt opmærksomme på reglerne.

Det betyder især, at uddannelsesinstitutionen skal have sin it-sikkerhed for øje. Datatilsynet kan i den forbindelse henvise til tilsynets vejledning om behandlingssikkerhed.

Datatilsynet har i en række sager taget stilling til kontrol af elevers brug af elektronisk udstyr.

Det er Datatilsynets opfattelse, at søgehistorikken på en pc eller en tablet, hvorigennem det vil være muligt at finde oplysninger om, hvilke hjemmesider den enkelte elev eller andre brugere af en pc eller tablet har besøgt på internettet, indeholder personoplysninger omfattet af databeskyttelsesretten.

En kontrol af elevers computere, uanset om det er skolens eller elevernes egne computere, vil derfor efter Datatilsynets opfattelse være en elektronisk behandling af personoplysninger omfattet af databeskyttelsesretten. Såfremt der udføres kontrol af elevers pc brug, skal reglerne derfor overholdes.

Børn og unge fortjener ligeså meget respekt for deres privatliv som voksne. Det er derfor vigtigt, at hvis der udføres kontrol af elevers brug af elektronisk udstyr, at særligt reglerne om god databehandlingsskik, saglig behandling af personoplysninger og kravet om proportionalitet overholdes.