Logo hvid paa blaa Facebook Mynewsdesk
 

Nye regler for behandling og arkivering af elev- og personaleoplysninger

    11. februar 2016
  • fb
  • tw
  • li
  • em
  • Nye regler for behandling og arkivering af elev- og personaleoplysninger

    På alle skoler behandles der dagligt personoplysninger i større eller mindre mængder. Personoplysninger dækker over oplysninger om både personale, elever og forældre. Med vedtagelsen af en ny persondataforordning vil det på størstedelen af de frie skoler være nødvendigt at overveje hvordan man opbevarer og behandler personoplysninger og hvilke oplysninger man indsamler i forbindelse både elever, forældre og ansatte skolen. Efter flerårige forhandlinger mellem EU-Parlamentet, Rådet og EU-Kommissionen blev den nye persondataforordning vedtaget i december 2015. Med den stilles der på flere punkter højere krav til skolernes behandling af data i forbindelse med eksempelvis indmelding/udmelding af elever, arkivering og opbevaring af personaleoplysninger. Grundet de strammere krav vil det på flere skoler være nødvendigt, at ændre på den hidtidige praksis for håndtering, behandling og opbevaring af oplysninger. I den forbindelse kan der eksempelvis stilles spørgsmål til:

    • Hvordan opbevarer vi elevmapper?
    • Hvad spørger vi til ved indskrivning på skolen?
    • Hvordan opbevarer vi personaleoplysninger?
    • Hvor længe opbevarer vi oplysningerne?
    • Har vi en procedure for sletning af unødvendige oplysninger?
    • Har vi en procedure ved sikkerhedsbrist?


    Ændringer som skolen skal være opmærksom på

    Samtykkekrav

    Med den nye forordning skal der gives et udtrykkeligt og formålsbegrænset samtykke til behandling af oplysninger. Hvis der ikke længere er noget formål, eller formålet ændres, mister samtykkeerklæringen sin gyldighed. Samtykkeerklæringen skal være tydeligt adskilt fra den øvrige tekst og det skal oplyses at samtykket kan tilbagekaldes. Samtykket til registrering og brug af oplysninger skal afgives af personen oplysningerne omhandler medmindre der er tale om en elev under 18 år. Er det en elev under 18 år er det elevens forældre, som skal give samtykke til registrering og brug af oplysninger.
    Ved indmeldelse kan en f. eks. samtykkeerklæring være en del af indmeldelsesblanketten så skolen har lov til at registrere fødselsdato, adresse og lignende på eleven.

    Indsigt i egne oplysninger

    Den registrerede, eksempelvis en elev og dennes forældre, har ret til, at blive informeret om hvordan deres oplysninger behandles og hvilke oplysninger skolen har. Informationen skal være lettilgængelig, klar og forståelig. En begæring om indsigt i hvilke oplysninger skolen har og hvordan de bruges, skal besvares inden for 4 uger og må ikke medføre omkostninger for den registrerede person.

    Sletning af oplysninger

    Med implementeringen af den nye forordning skal skolen indføre en mekanisme eller politik som sikrer, at slettefrister overholdes og en periodisk evaluering af nødvendigheden af den fortsatte opbevaring af oplysninger. En mekanisme kan være et automatisk system, som sikrer sletningen af unødvendige oplysninger eller det kan f. eks. være en regel om, at man årligt gennemgår elevmapper og personalemapper og kasserer unødvendige oplysninger.

    Underretningspligt

    Ved ”alvorlige sikkerhedsbrud” skal Datatilsynet informeres. Hvor alvorligt et brud skal være for at være omfattet af ”alvorligt sikkerhedsbrud” er ikke nærmere defineret endnu, men indbrud i skolens arkiv eller hacking af skolens system vil sandsynligvis være omfattet. Hvis sikkerhedsbruddet kan have konsekvenser for den/de registrerede skal den/de berørte personer også underrettes.

    Typer af oplysninger

    Der arbejdes med forskellige typer af oplysninger og dermed også forskellige krav til skolen i forbindelse med registrering.

    Almindelige oplysninger - Persondatalovens § 6

    Navn, adresse, personnummer, skattemæssige oplysninger, bankoplysninger, uddannelse, påtaler, advarsler m.v.

    Et ansættelsesbevis eller en indmeldelsesblanket vil her blive anset som en samtykkeerklæring til behandling af oplysningerne.

    Følsomme oplysninger - Persondatalovens § 7

    Racemæssig eller etnisk baggrund, politisk eller religiøs overbevisning, fagforeningsmæssige tilhørsforhold, seksuelle forhold.

    Følsomme oplysninger kræver udtrykkeligt samtykke før behandling og forudgående tilladelse fra Datatilsynet. I praksis vil det ofte være i forbindelse med indmelding af en elev, at eksempelvis oplysninger om religion kan komme på tale. En skole bør generelt afholde sig fra at føre registre over den type oplysninger.

    Private oplysninger – Persondatalovens § 8 stk. 4

    Rent private forhold (eksempelvis alkoholmisbrug), personlighedstests, strafbare forhold.

    Private oplysninger kræver udtrykkeligt samtykke medmindre de er nødvendige for at varetage en berettiget interesse, som klart overstiger hensynet til medarbejderen eller eleven. Registrering af private oplysninger kan være berettiget i ganske særlige tilfælde. Her kan det eksempelvis være ved mistanke om tyveri fra skolen eller overgreb på en eller flere elever. Er der en velbegrundet mistanke om, at en ansat stjæler fra skolen vil denne type oplysninger ikke være omfattet af retten til indsigt i egne oplysninger da det kan skade en eventuel efterforskning.

    Hvornår skal det være på plads?

    Forordningen er gældende for hele EU, men giver også mulighed for, at de enkelte lande kan have mere omfattende regler for eksempelvis rapportering til en offentlig myndighed i forbindelse med behandling af persondataoplysninger i ansættelsesforhold. Der er en ikrafttrædelsesfrist på to år og den forventes derfor først at være gældende i Danmark i 2018. Det betyder også, at det på nuværende tidspunkt er usikkert præcis hvordan reglerne i Danmark bliver og hvordan de kommer til at påvirke arbejdet på de frie grundskoler. På trods af usikkerheden er der dog flere af ændringerne på de ovenstående områder, som skolens ledelse og administration allerede nu kan begynde at indarbejde i den daglige drift.