Samtykke og samtykke og frivillighet

Hvem skal samle inn samtykke når elever skal bruke digitale tjenester som behandler personopplysninger? Spørsmålet høres kanskje banalt ut, men siden jeg nå begynner innlegget med dette spørsmålet så er det vel kanskje ikke det ;-)

I skoleverden er samtykke et ord som dukker opp med jevne mellomrom og som nå i forbindelse med personvernforordningen (GDPR) er høyaktuelt. I GDPR knytter det seg til spørsmålet om lovlighet, altså med hvilken rett du har lov å behandle personopplysninger.

I artikkel 6 i GDPR finner du de ulike kriteriene for lovlig behandling av personopplysninger. Overfor elever er det i praksis punkt 1a) om samtykke og punkt 1c) om lovpålagt oppgave som er de to mulige grunnene for lovlig behandling. Hvis du skal behandle personopplysninger i skolen må du altså enten begrunne det i lovpålagt oppgave, f.eks. Opplæringsloven § 2-3 eller § 13-ett-eller-annet, eller så må det være ved samtykke fra eleven / foresatte. Bruk av de fleste digitale læringsressurser og verktøy kan du definere som lovpålagt oppgave med henvisning til § 2-3. Da trenger du ikke samtykke for å si at elevene kan, eller skal, bruke dem. Om du må bruke samtykke kan selvfølgelig eleven si nei – og da har du ikke lov å bruke personopplysningene til det formål du ønsket.

Poenget er at valg av punkt 1a) eller 1c) i artikkel 6 i GDPR bare sier noe om lovligheten i behandlingen av personopplysningene – at du har lov til å behandle dem. Det er to ulike begrunnelser for å ha lov til å gjøre det samme. Når du har lov er det revnende likegyldig hvilket punkt du brukte. Om du definerer det i lovpålagt oppgave eller har samlet inn samtykke har du et ansvar for at behandlingen av personopplysningene foregår på en korrekt måte. Dette ansvaret følger retten til å behandle opplysningene. Hvis du setter ut behandlingen av personopplysningene til en databehandler, er det det et krav i GDPR at du må ha en avtale med denne slik at du kan sikre at behandlingen foregår på rett måte.

Hvis du vil unngå å ha ansvar for behandlingen må du gjøre noe annet. Da må det du ber eleven om må gjøre være frivillig og et eventuelt samtykke til bruk av personopplysninger må gjøres mellom den enkelte elev og den eksterne tjenesten. Altså er skolen helt ute av loopen! Men frivillighet i skole er ikke enkelt. Frivilligheten skal være reell. Eleven skal ikke på noen måte føle seg presset og det skal ikke på noen måte gå ut over eleven om de ikke ønsker å være med. Elever må kunne si «nei» uten at det blir et problem på noen måte – hverken praktisk, emosjonelt eller sosialt. Jeg håper at de fleste lesere av bloggen ser at dette kan være en utfordring i skolen.

Tommelfinger-regelen blir da – Om du bruker artikkel 6 1a) eller 1c) fra GDPR er revnende likegyldig, bortsett fra at elevene kan si nei til et eventuelt samtykke. Skolen har fremdeles ansvar for hvordan personopplysningene blir brukt. Hvis du pålegger elever å lage en konto hos en tredjepart / databehandler må du begrunne det med artikkel 6 punkt 1c) og du er ansvarlig for hvordan databehandler bruker personopplysningene. Om samtykke samles inn av skolen, sitter skolen med ansvaret for bruk. Om samtykke samles inn av tredjepart/tjenesten, sitter tredjepart med ansvaret – men da må bruken for eleven sin del være frivillig.

Hvis du tror at det å samle inn samtykke til skolen løser behovet for en databehandleravtale – så tar du altså feil. Du kan ikke bruke samtykke for å slippe å ha en databehandleravtale. Da må du over på frivillighet.

Så… praktisk anvendelse i klasserommet – hvis du vil at elevene skal bruke https://bookcreator.com (eller denne eller denne eller denne osv…) må du først bestemme deg for om det skal være frivillig eller ikke. Er det ikke frivillig kan du bruke GDPR artikkel 6 punkt 1c) med henvisning til § 2-3 i Opplæringsloven, som begrunnelse for å behandle personopplysninger. Du må også ha en databehandleravtale med Bookcreator og gjort dine vurderinger etter GDPR for å leve opp til det ansvaret du har for behandlingen av personopplysningene.

Hvis det er frivillig må elevene lage konto hos Bookcreator frivillig og samtykke til Bookcreators betingelser – overfor Bookcreator. Disse elevene kan bruke tjenesten i faget ditt. De andre kan ikke. Så det så…

PS! Dette er en del av en tenkt tankerekke til NKUL seinere i år :-) Alle kommentarer mottas med hjertelig takk!’

Nye opplysninger 22. april 2018 – Bookcreator har nettopp gjort alle nødvendige endringer for å være innenfor GDPR! Nå kan du enkelt få tak i de opplysningene du trenger for å bruke Bookcreator innenfor § 2-3.