Hva betyr de nye personvernreglene for deg?

Hvorfor nye regler?

image1.png

Det er flere grunner til at vi får nye personvernregler, men det viktigste er faktisk at de eksisterende nærmer seg 20 år, og mye har endret seg i disse årene. Spesielt har det skjedd mye når det gjelder hvordan vi registrerer, lagrer og deler informasjon, slik at det nå er behov for tydelige regler for å beskytte personlig informasjon. Det nye regelverket har et klart kundefokus og setter personen i sentrum. Regelverket vil omfatte alle land i EU og EØS.

Du finner mye god informasjon på Datatilsynets sider: 

www.datatilsynet.no/regelverk-og-skjema

Hvordan påvirker de nye reglene skolen/SFO-en vår?

image3.png

Personvernlovgivningen forholder seg kun til informasjon som kan brukes til å identifisere en spesifikk person – som navn, fødselsdato, personnummer, bankinformasjon og bilder. Dere skal ikke bare tenke på data dere har om barn og foreldre, men også ansatte og andre kontakter. Dere skal kun registrere, oppbevare og bruke data som er nødvendig for oppfylle kravene til god og trygg drift av skolen/SFO. Tenk gjennom hvem i skolen/SFO som har tilgang til personopplysninger. Sørg for at disse ansatte er godt kjent med de nye reglene.

Å begrense antall ansatte som har tilgang til personopplysninger vil redusere risiko og gjøre det enklere å følge opp at regler og prosedyrer følges.

Er det personopplysninger som alle ansatte har tilgang til? Hvis det er mulig å redusere denne informasjonen til det absolutt nødvendige, vil du også redusere risiko.

 

Personvernerklæring og Samtykke

image5.png

Det er ikke sikkert at det er nødvendig å endre nåværende arbeidsprosesser, men dere må forstå det ansvaret dere faktisk har når det gjelder data dere oppbevarer om barn, foreldre og ansatte. Dessverre er det ikke slik at dere nå utstyres med en punktvis liste som dere kan sjekke av, men dere må kunne dokumentere at dere har iverksatt tilstrekkelige tiltak for en trygg håndtering av de personopplysningene dere oppbevarer.
 

 

 

 

Hva skal vi være bevisst på?

image4.png

Du må innhente uttrykkelig samtykke fra en person (eller foresatt) for å kunne registrere og bruke personopplysninger. Barn kan ikke gi samtykke til bruk av egne data før de er fylt 15 år. Dette betyr at du må innhente uttrykkelig samtykke fra foresatte både til å bruke barnas og de foresattes personopplysninger. Et uttrykkelig samtykke betyr at det kreves en aktiv handling fra den som gir sitt samtykke. For skole/SFO kan det mest praktiske være at foresatte og ansatte krysser av i og/eller signerer et skjema eller annet elektronisk eller fysisk formular («jeg har lest og godtar…»). Sørg for at personvernerklæringer som allerede er i bruk oppdateres i henhold til dette.

Merk at de nye reglene krever at personvernerklæringen skal være transparent, forståelig og lett tilgjengelig. Det skal fremgå tydelig hvilke data du innhenter, hvordan de skal brukes og hvem de vil bli delt med.

Dersom nåværende foreldre allerede har signert eller på annen måte godtatt en personvernerklæring, behøver du ikke be dem om ny aksept dersom den eksisterende erklæringen allerede inneholder et uttrykkelig samtykke og ellers inneholder nødvendig informasjon i henhold til nytt regelverk.  Aksepterte/signerte personvernerklæringer må oppbevares av skolen /SFO, enten i fysisk eller elektronisk arkiv.

 

Eksempel på personvernerklæring

Her er et eksempel på hvordan skole/SFO kan formulere en personvernerklæring:

I NN SFO tar vi personvern på alvor og vil bare bruke dine personopplysninger til vår kommunikasjon med deg og til å ivareta ditt barn. Kommunikasjon skjer vanligvis gjennom FamWeek, men vi kan også ha behov for å kontakte deg via telefon eller annen epost. Personopplysningene blir lagret i vårt interne datasystem, dette har kun autorisert personell tilgang til. Personopplysninger blir ikke delt med tredjepart.

Ved å krysse av i boksen nedenfor, aksepterer du at du har lest, forstått og godtar ovenstående tekst.

Jeg aksepterer

 

Trenger vi et Personvernombud?

image6.png

Konserner eller offentlige myndigheter med underliggende etater kan ha ett felles ombud, forutsatt at ombudet er lett tilgjengelig for alle konsernets etableringer. Dette indikerer at det ikke blir et krav at alle skoler/SFO skal ha eget personvernombud. Men uansett kan det være en fordel at en utpekt ansatt har grundig forståelse av regelverket og kan sikre at dette er implementert og fulgt opp i skolen/SFO.

 

 

 

Foresatte og ansattes rettigheter


De nye personvernreglene inneholder 7 rettigheter for personer:

  1. Rett til å bli informert
    Dette dekkes av personvernerklæringen. Foresatte og ansatte skal være informert om hvilke data du innhenter, hva du skal bruke dem til og hvem de skal deles med.

  2. Rett til tilgang på egne data
    Foresatte og ansatte kan når som helst be om tilgang til sine data. Ved forespørsel må du kunne fremskaffe alle data du har registrert om dem. De kan stille spørsmål til behovet for dataene, og du må kunne dokumentere slikt behov.
    For eksempel vil skole/SFO måtte vite foresattes navn og adresse og ev annen kontaktinformasjon, men har ikke behov for å vite bilnummer eller -farge eller fars favorittlag i fotball – dette vil bli oppfattet som upassende og til og med ulovlig.

  3. Rett til korreksjoner av egne data
    Personopplysninger må korrigeres dersom de er feilaktige eller mangelfulle. I FamWeek kan foresatte selv enkelt oppdatere eller korrigere personopplysninger de har registrert.

  4. Rett til å slette egne data
    Foresatte og ansatte kan kreve at deres personopplysninger blir slettet dersom det ikke lenger er behov for dem. Skoler/SFO har vanligvis egne retningslinjer om hvor lenge visse opplysninger skal beholdes.

  5. Rett til å nekte bruk av egne data
    Foresatte og ansatte kan nekte at deres personopplysninger blir benyttet, både til rapportering og i kommunikasjon.

  6. Rett til å nekte bruk av egne data til andre formål
    Foresatte og ansatte kan nekte at deres personopplysninger blir benyttet for særskilte formål som undersøkelser, forskning, markedsføring etc. Du må derfor kunne dokumentere gyldig grunn for å kunne bruke dataene til slike formål

  7. Rett til ikke å bli gjenstand for automatiserte avgjørelser og profilering
    Automatiserte avgjørelser er beslutninger som utelukkende baseres på maskinell behandling. Det betyr at det er maskiner og ikke personer som tar avgjørelsen. Profilering kan være et eksempel på slik automatisk avgjørelse. Med profilering menes å utføre en maskinell analyse for å vurdere en persons helse, økonomiske situasjon, arbeidsprestasjoner, interesser, adferd eller lignende. Dette er i hovedsak relevant for organisasjoner som driver med markedsføring, og det er svært lite sannsynlig at dette blir aktuelt for skole/SFO.

Kilder: www.datatilsynet.no/regelverk-og-skjema og www.connectchildcare.com

image2 (2).png