Samtykke og samtykke og frivillighet

Ehh… feil samtykke… fnis…

Hvem skal samle inn samtykke når elever skal bruke digitale tjenester som behandler personopplysninger? Spørsmålet høres kanskje banalt ut, men siden jeg nå begynner innlegget med dette spørsmålet så er det vel kanskje ikke det ;-)

I skoleverden er samtykke et ord som dukker opp med jevne mellomrom og som nå i forbindelse med personvernforordningen (GDPR) er høyaktuelt. I GDPR knytter det seg til spørsmålet om lovlighet, altså med hvilken rett du har lov å behandle personopplysninger.

I artikkel 6 i GDPR finner du de ulike kriteriene for lovlig behandling av personopplysninger. Overfor elever er det i praksis punkt 1a) om samtykke og punkt 1c) om lovpålagt oppgave som er de to mulige grunnene for lovlig behandling. Hvis du skal behandle personopplysninger i skolen må du altså enten begrunne det i lovpålagt oppgave, f.eks. Opplæringsloven § 2-3 eller § 13-ett-eller-annet, eller så må det være ved samtykke fra eleven / foresatte. Bruk av de fleste digitale læringsressurser og verktøy kan du definere som lovpålagt oppgave med henvisning til § 2-3. Da trenger du ikke samtykke for å si at elevene kan, eller skal, bruke dem. Om du må bruke samtykke kan selvfølgelig eleven si nei – og da har du ikke lov å bruke personopplysningene til det formål du ønsket.

Poenget er at valg av punkt 1a) eller 1c) i artikkel 6 i GDPR bare sier noe om lovligheten i behandlingen av personopplysningene – at du har lov til å behandle dem. Det er to ulike begrunnelser for å ha lov til å gjøre det samme. Når du har lov er det revnende likegyldig hvilket punkt du brukte. Om du definerer det i lovpålagt oppgave eller har samlet inn samtykke har du et ansvar for at behandlingen av personopplysningene foregår på en korrekt måte. Dette ansvaret følger retten til å behandle opplysningene. Hvis du setter ut behandlingen av personopplysningene til en databehandler, er det det et krav i GDPR at du må ha en avtale med denne slik at du kan sikre at behandlingen foregår på rett måte.

Hvis du vil unngå å ha ansvar for behandlingen må du gjøre noe annet. Da må det du ber eleven om må gjøre være frivillig og et eventuelt samtykke til bruk av personopplysninger må gjøres mellom den enkelte elev og den eksterne tjenesten. Altså er skolen helt ute av loopen! Men frivillighet i skole er ikke enkelt. Frivilligheten skal være reell. Eleven skal ikke på noen måte føle seg presset og det skal ikke på noen måte gå ut over eleven om de ikke ønsker å være med. Elever må kunne si «nei» uten at det blir et problem på noen måte – hverken praktisk, emosjonelt eller sosialt. Jeg håper at de fleste lesere av bloggen ser at dette kan være en utfordring i skolen.

Tommelfinger-regelen blir da – Om du bruker artikkel 6 1a) eller 1c) fra GDPR er revnende likegyldig, bortsett fra at elevene kan si nei til et eventuelt samtykke. Skolen har fremdeles ansvar for hvordan personopplysningene blir brukt. Hvis du pålegger elever å lage en konto hos en tredjepart / databehandler må du begrunne det med artikkel 6 punkt 1c) og du er ansvarlig for hvordan databehandler bruker personopplysningene. Om samtykke samles inn av skolen, sitter skolen med ansvaret for bruk. Om samtykke samles inn av tredjepart/tjenesten, sitter tredjepart med ansvaret – men da må bruken for eleven sin del være frivillig.

Hvis du tror at det å samle inn samtykke til skolen løser behovet for en databehandleravtale – så tar du altså feil. Du kan ikke bruke samtykke for å slippe å ha en databehandleravtale. Da må du over på frivillighet.

Så… praktisk anvendelse i klasserommet – hvis du vil at elevene skal bruke https://bookcreator.com (eller denne eller denne eller denne osv…) må du først bestemme deg for om det skal være frivillig eller ikke. Er det ikke frivillig kan du bruke GDPR artikkel 6 punkt 1c) med henvisning til § 2-3 i Opplæringsloven, som begrunnelse for å behandle personopplysninger. Du må også ha en databehandleravtale med Bookcreator og gjort dine vurderinger etter GDPR for å leve opp til det ansvaret du har for behandlingen av personopplysningene.

Hvis det er frivillig må elevene lage konto hos Bookcreator frivillig og samtykke til Bookcreators betingelser – overfor Bookcreator. Disse elevene kan bruke tjenesten i faget ditt. De andre kan ikke. Så det så…

PS! Dette er en del av en tenkt tankerekke til NKUL seinere i år :-) Alle kommentarer mottas med hjertelig takk!’

Nye opplysninger 22. april 2018 – Bookcreator har nettopp gjort alle nødvendige endringer for å være innenfor GDPR! Nå kan du enkelt få tak i de opplysningene du trenger for å bruke Bookcreator innenfor § 2-3.

3 thoughts on “Samtykke og samtykke og frivillighet”

  1. Google Chrome 64.0.3282.186 Google Chrome 64.0.3282.186 Windows 10 x64 Edition Windows 10 x64 Edition
    Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/64.0.3282.186 Safari/537.36

    Dette gjelder vel ikke tjenester tilknyttet FEIDE, eller?

    1. Google Chrome 65.0.3325.146 Google Chrome 65.0.3325.146 Windows 10 x64 Edition Windows 10 x64 Edition
      Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.146 Safari/537.36

      Eh… jo. Det er ingen forskjell mellom tjenester med FEIDE-pålogging og andre tjenester. Det at en tjeneste støtter FEIDE som autentisering sier ingenting om behandlingsgrunnlaget du trenger for å bruke tjenesten i skolen. Sagt på en annen måte – det er absolutt ingen automatisk godkjenning av tjenester i skolen selv om de støtter FEIDE-pålogging. Du må ha databehandleravtale med tjenestene om du benytter seg av §2-3 som behandlingsgrunnlag – eller elevene/foreldrene må selv godkjenne bruken av tjenesten når de logger på (altså et samtykke overfor tjenesten, ikke skolen). Selvfølgelig fordrer det en del av kommunen hvis de først åpner opp for FEIDE-pålogging til en tjeneste. Det gjør en kommune som regel ikke om det ikke er noe de vil at elever/ansatte skal bruke, så kommuner får tenke nøye igjennom tjenester med åpen FEIDE-pålogging hvor en ikke har en databehandleravtale.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *