Skoler og daginstitutioner

På denne side finder du en samlet adgang til viden om databeskyttelse i skoler og daginstitutioner. Her kan du bl.a. få et overblik over, hvordan elevoplysninger og skolers brug af elektronisk udstyr håndteres - derudover kan du finde tjeklister målrettet både dagsinstitutioner og skoler. Siden indeholder også en bred FAQ med svar på de mest almindelige spørgsmål om databeskyttelse i skolesektoren. Du kan også prøve vores digitale spil Datadysten, hvor elever i mellemtrinnet (4.-6. klasse) kan lære om databeskyttelse på en sjov interaktiv måde.

Elevoplysninger

Reglerne om databeskyttelse bestemmer, hvornår registrering, videregivelse og anden behandling af almindelige personoplysninger, som eksempelvis oplysninger om navn, adresse og skema, må finde sted.

Almindelige personoplysninger kan behandles, hvis behandlingen er nødvendig for, at den dataansvarlige kan forfølge en legitim interesse, som ikke overstiger den registreredes interesser eller rettigheder (interesseafvejning). Hensynet til barnet og den unge skal i denne vurdering tillægges særligt vægt. Det skal derfor være særligt klart, at den dataansvarliges interesse vejer tungere en barnets eller den unges interesse i, at der ikke sker behandling.

Når en skole eller daginstitution behandler oplysninger om elever, skal institutionen, som dataansvarlig, foretage en vurdering af, om elevens interesser går forud for skolen eller daginstitutionens  legitime interesse i at behandle oplysningerne.  Skolerne og daginstitutionerne skal derfor være opmærksom på, at hensynet til barnet og den unge tillægges særlig vægt. Vurderingen afhænger bl.a. af, hvilken form for behandling der er tale om, og hvilke oplysninger behandlingen omfatter.

Offentlige myndigheder kan ikke behandle personoplysninger på baggrund af en interesseafvejning, når behandlingen sker som led i myndighedens udførelse af sine opgaver. Er en skole eller en daginstitution en offentlig myndighed, kan almindelige personoplysninger imidlertid også behandles, hvis behandlingen er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som uddannelsesinstitutionen har fået pålagt.

Behandling af almindelige oplysninger kan i nogle tilfælde også ske, hvis den registrerede har givet sit samtykke til behandlingen.

Det må konkret vurderes, om barnet har tilstrækkelig modenhed og forståelse til selv at give samtykke. Normalt vil et barn på 15 år være tilstrækkelig moden til at kunne give samtykke til, at skolen kan offentliggøre oplysninger om eleven på skolens hjemmeside.

Når en skole eller en daginstitution  behandler oplysninger om elever, skal institutionen blandt andet være opmærksom på, at personoplysninger, som indsamles til ét formål, ikke viderebehandles til et andet formål, der er uforeneligt med det oprindelige, og at behandling af personoplysninger, skal være tilstrækkelig, relevant og begrænset i forhold til, hvad der er nødvendigt i forhold til formålet.

Videregivelse til præster

Datatilsynet har tidligere taget stilling i sager, hvor skoler har videregivet elevoplysninger til præster i forbindelse med minikonfirmand-forberedelse.

Det er således skolen, der skal afgøre, om betingelserne for at videregive elevoplysninger uden samtykke er opfyldt. Det er Datatilsynets opfattelse, at der normalt ikke kan ske videregivelse af oplysninger om elever til præster uden samtykke i forbindelse med minikonfirmand-forberedelse. 

Også i forbindelse med konfirmationsforberedelse er det skolen, der skal afgøre, om der kan ske videregivelse af elevoplysninger uden samtykke. For folkeskoler kan videregivelse ske, hvis skolen vurderer, at videregivelsen er nødvendig af hensyn til udførelsen af en opgave, der hører under offentlig myndighedsudøvelse, som skolen eller præsten, som modtager elevoplysningerne, har fået pålagt.

Skolers brug af elektronisk udstyr

Databeskyttelsesretten finder anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling.

Derfor vil skolerne og dagsinstitutionernes behandling af perssonoplysninger om elever på elektronisk udstyr som udgangspunkt være omfattet af databeskyttelsesretten. Da børn og unge ofte er mindre bevidste om eventuelle risici, konsekvenser, garantier og deres rettigheder hvad angår behandling af personoplysninger, nyder børn og unge en særlig beskyttelse i databeskyttelsesretten. Derfor skal skoler og daginstitutioner , som behandler oplysninger om børn og unge, være særligt opmærksomme på reglerne.

Det betyder især, at skolerne og daginstitutionerne skal have sin it-sikkerhed for øje. Datatilsynet kan i den forbindelse henvise til tilsynets vejledning om behandlingssikkerhed.

Datatilsynet har i en række sager taget stilling til kontrol af elevers brug af elektronisk udstyr.

Det er Datatilsynets opfattelse, at søgehistorikken på en pc eller en tablet, hvorigennem det vil være muligt at finde oplysninger om, hvilke hjemmesider den enkelte elev eller andre brugere af en pc eller tablet har besøgt på internettet, indeholder personoplysninger omfattet af databeskyttelsesretten.

En kontrol af elevers computere, uanset om det er skolens eller elevernes egne computere, vil derfor efter Datatilsynets opfattelse være en elektronisk behandling af personoplysninger omfattet af databeskyttelsesretten. Såfremt der udføres kontrol af elevers pc brug, skal reglerne derfor overholdes.

Børn og unge fortjener ligeså meget respekt for deres privatliv som voksne. Det er derfor vigtigt, at hvis der udføres kontrol af elevers brug af elektronisk udstyr, at særligt reglerne om god databehandlingsskik, saglig behandling af personoplysninger og kravet om proportionalitet overholdes.

Børn og unge kampagne 2022

Lær dine rettigheder at kende: Spil Datadysten!

Datatilsynet har lanceret et nyt digitalt spil om databeskyttelse, der både er sjovt og lærerigt! Spillet indgår i en undervisningspakke, som er målrettet 10-12 årige børn på mellemtrinnet (4.-6. klasse). Alle er velkomne til at teste sin viden om databeskyttelse. Kan du vinde den store guldpokal? Så kast dig ud i Datadysten nu!

Til skoleeleven: Spil Datadysten her Til underviseren

Tjeklister

Relateret emne

Datatilsynet har sin helt egen Børn og unge-side, hvor du kan finde en masse information om børns rettigheder, deling af billeder på sociale medier og meget mere.
Du kan besøge siden her.

FAQ

Herunder har vi samlet en række ofte stillede spørgsmål om GDPR, som er særligt relevante for skolesektoren. 

Borgere har ret til at vide, hvordan deres oplysninger bliver behandlet, og af hvem. Denne oplysningsret, som følger af artikel 13 og 14 i databeskyttelsesforordningen, er en central del af enhver dataansvarliges forpligtelse til at sikre gennemsigtighed.

Gennemsigtighedsprincippet indebærer, at enhver information, der gives til den registrerede om behandlingen af deres personoplysninger, skal være let tilgængelig, nem at forstå og formuleret i et klart og enkelt sprog. Oplysninger gives typisk skriftligt i en privatlivspolitik og kan, hvor det er relevant, suppleres med ikke-skriftlige virkemidler (f.eks. skilte om TV-overvågning eller infografikker, der viser, hvem oplysninger deles med).

Skoler skal være opmærksomme på, at børn nyder en særlig beskyttelse under databeskyttelsesforordningen. Det betyder, at information og kommunikation, der er rettet mod børn, skal være formuleret så klart og enkelt, at barnet let kan forstå den.

Læs mere om de grundlæggende principper, du som dataansvarlig skal overholde her.

En privatlivspolitik skal klart og letforståeligt forklare, hvilke personoplysninger skolen indsamler, og hvorfor. Det kan både være oplysninger om elever og deres forældre. Privatlivspolitikken er samtidig en måde, hvorpå skolen kan opfylde sin oplysningspligt efter databeskyttelsesforordningen. Den skal blandt andet angive skolens lovlige behandlingsgrundlag efter artikel 6, stk. 1, hvem oplysninger deles med, og hvor længe de opbevares, inden de slettes sikkert.

En privatlivspolitik bør suppleres af en opbevaringspolitik. Den skal også oplyse de registrerede om, hvordan de kan udøve deres rettigheder efter databeskyttelsesforordningen, f.eks. ved kontakt til skolens databeskyttelsesrådgiver (DPO) eller et andet relevant kontaktpunkt.

Her kan du se, hvordan Datatilsynets privatlivspolitik er opbygget

Personoplysninger må kun opbevares, så længe de er nødvendige for det formål, de blev indsamlet til. Dette følger af artikel 5, stk. 1, litra e, i databeskyttelsesforordningen.

Skoler bør derfor fastsætte opbevaringsperioder for hver kategori af personoplysninger, de behandler, og beskrive dette i en opbevaringspolitik. En opbevaringsperiode defineres som den tidsramme, hvorefter personoplysninger slettes sikkert.

Databeskyttelsesforordningen fastsætter ikke konkrete tidsgrænser for forskellige typer oplysninger. Det er den dataansvarliges ansvar at vurdere, hvor længe oplysninger er nødvendige til det konkrete formål. Skoler må ikke gemme personoplysninger på ubestemt tid ”for en sikkerheds skyld”. Det skal kunne dokumenteres, at de fastsatte opbevaringsperioder er nødvendige og proportionale. Der skal også tages højde for eventuelle tidsfrister fastsat i anden lovgivning.

Som god praksis bør skoler regelmæssigt gennemføre audits af de oplysninger, de indsamler, og af de procedurer, de anvender til at beskytte dem. De skal sikre, at opbevaringspolitikken følges i praksis.

Det er vigtigt, at skoler medtager alle registre, både fysiske og digitale. Hvis oplysninger ikke længere er nødvendige, skal de slettes ved hjælp af en sikker metode, f.eks. makulering eller en ekstern leverandør til sikker bortskaffelse. Udsmidning af dokumenter i almindelige affaldsspande betragtes ikke som en sikker metode.

Læs mere om sletning af personoplysninger her

Skoler skal først vurdere, om samtykke overhovedet er det rette behandlingsgrundlag for en given aktivitet. Efter artikel 7 i databeskyttelsesforordningen skal et samtykke være frivilligt givet og kunne trækkes tilbage.

En skole kan eksempelvis indhente samtykke fra forældre ved skoleårets start til visse behandlingsaktiviteter, f.eks. ved fotografering. Skolen skal dog overveje, om aktiviteterne kan ændre sig i løbet af året, og om der dermed kræves et nyt samtykke.

Databeskyttelsesforordningen tillader ikke ”pakket” samtykke. Hvis en skole f.eks. arrangerer en tur til et aktivitetscenter, er samtykke til at deltage i turen ikke det samme som samtykke til at videregive barnets oplysninger til aktivitetscentret. Efter artikel 7, stk. 2 og 4, skal samtykke være klart adskilt og specifikt.

Det betyder ikke, at skolen skal have flere forskellige dokumenter. Men det samme dokument skal tydeligt adskille de enkelte formål, der kræver samtykke. Eksempelvis giver samtykke til at deltage i en tur ikke samtidig samtykke til at offentliggøre billeder fra turen. Her kræves særskilt og udtrykkeligt samtykke.

Hvis skolen vil basere en behandling på samtykke efter artikel 6, stk. 1, litra a, skal det sikres, at samtykket indhentes i overensstemmelse med artikel 7. Hvis det ikke er muligt for en forælder (eller barnet selv, hvis relevant) at trække samtykket tilbage, er samtykke ikke det rette behandlingsgrundlag.

Endelig skal skolen være opmærksom på, at det beror på en konkret vurdering, om et barn selv har den nødvendige modenhed til at give et gyldigt samtykke, eller om samtykket i stedet skal indhentes fra forældremyndighedsindehaverne.

Læs Datatilsynets vejledning om samtykke her.

 

Et brud på persondatasikkerheden betyder et brud på sikkerheden, der fører til hændelig eller ulovlig destruktion, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger.

Et brud kan dække langt mere end blot ”tab” af oplysninger. Brud kan ske både som følge af fejl (f.eks. en e-mail sendt til en forkert modtager) og som følge af bevidste handlinger.

Et brud kan f.eks. være:

  • at oplysninger går tabt, ødelægges, ændres eller videregives uden tilladelse,
  • at nogen får adgang til oplysninger uden bemyndigelse,
  • at oplysninger gøres utilgængelige, f.eks. ved kryptering fra ransomware, eller
  • at oplysninger slettes ved en fejl.

En skole er forpligtet til at anmelde et brud til Datatilsynet, medmindre skolen kan påvise, at bruddet sandsynligvis ikke indebærer en risiko for de berørtes rettigheder eller frihedsrettigheder. Det er skolens ansvar at vurdere risikoen.

Hvis bruddet kan indebære en risiko, skal anmeldelsen ske uden unødig forsinkelse og senest 72 timer efter, at skolen er blevet opmærksom på bruddet. Denne 72-timersfrist gælder også, selvom skolen holder ferie.

Læs mere om håndtering af brud på persondatasikkerheden her.

Først skal skolen vurdere risikoen ved bruddet og overveje, om det sandsynligvis indebærer en risiko for de berørtes rettigheder og frihedsrettigheder. Hvis det er tilfældet, skal Datatilsynet anmeldes uden unødig forsinkelse og senest 72 timer efter, at skolen blev opmærksom på bruddet.

Hvis der konstateres en risiko – uanset om den vurderes som høj eller lav – skal det anmeldes til Datatilsynet. Det er et lovkrav.

Hvis risikoen vurderes som høj, er skolen også forpligtet til at underrette de berørte personer.

Det anbefales, at skoler udarbejder en politik for håndtering af brud på persondatasikkerheden, så der på forhånd er klare procedurer for, hvordan man reagerer og rapporterer ved et brud.

Læs mere om, hvordan du skal forholde dig som dataansvarlig ved et sikkerhedsbrud

Skoler skal være opmærksomme på, at billeder eller optagelser, hvor personer kan identificeres, udgør personoplysninger efter databeskyttelsesreglerne.

Før en skole beslutter at indføre TV-overvågning, bør den overveje:

  • om der er et klart formål med overvågningen,
  • hvilket behandlingsgrundlag der er efter artikel 6,
  • om overvågning er nødvendig for at opnå formålet, og
  • om overvågning er proportionelt i forhold til formålet.

Der gælder et særligt højt beskyttelsesniveau, når overvågningen omfatter børn, da børn har ret til særlig beskyttelse under databeskyttelsesforordningen.

Før behandlingen sættes i gang, bør skolen gennemføre en konsekvensanalyse (DPIA). Analysen kan hjælpe med at identificere og håndtere de databeskyttelsesrisici, som overvågningen kan medføre, og samtidig dokumentere, at skolen overholder databeskyttelsesforordningen.

Herudover skal skolen være opmærksom på, at TV-overvågning også er reguleret af TV-overvågningsloven, som bl.a. stiller krav til skiltning om overvågningen og til, hvor længe optagelserne må opbevares. Optagelserne må endvidere ikke offentliggøres eller videregives uden lovligt grundlag.

Læs mere om, hvordan man laver en konsekvensanalyse her.

Skoler kan have en lovbestemt forpligtelse til at dele oplysninger med tredjeparter i særlige tilfælde.

For at sikre lovligheden bør skolen:

  • kende det retlige grundlag og formålet med politiets anmodning,
  • sikre, at de oplysninger, der udleveres, er nødvendige og proportionale i forhold til formålet, og
  • som god praksis at indhente anmodningen skriftligt.

Læs Datatilsynets vejledning om udveksling af personoplysninger med politiet her.

Efter artikel 12, stk. 3, i databeskyttelsesforordningen skal en dataansvarlig give den registrerede besked om, hvordan en anmodning om indsigt (artikel 15) er håndteret, uden unødig forsinkelse og senest én måned efter modtagelsen.

Fristen kan forlænges med op til to måneder, hvis anmodningen er særlig kompleks eller omfatter mange oplysninger. I så fald skal den registrerede have besked om forlængelsen og årsagen hertil senest én måned efter modtagelsen.

Fristen på én måned gælder for alle registreredes rettigheder efter artiklerne 15–22 i databeskyttelsesforordningen – ikke kun indsigt.

Læs Datatilsynets vejledning om de registreredes rettigheder her - særligt fra side 25 om retten til indsigt.  

Nej. Det fremgår af databeskyttelsesforordningens artikel 12, stk. 3, at der gælder en frist på én måned fra modtagelsen af en indsigtsanmodning til at svare den registrerede. Fristen løber, uanset om skolen holder lukket i ferieperioder.

Fristen kan forlænges med op til to måneder, hvis anmodningen er kompleks eller omfattende. Den registrerede skal dog have besked om forlængelsen og årsagen senest én måned efter modtagelsen.

For at sikre, at skolen kan overholde reglerne, anbefales det at tjekke skolens indbakke/postkasse jævnligt – også i ferieperioder.

Ja, et barn kan i princippet selv anmode om indsigt, og skolen kan svare direkte til barnet, hvis barnet forstår, hvad anmodningen indebærer, og hvis det er i barnets bedste interesse.

Som god praksis kan skoler dog opfordre børn til at inddrage en forælder eller værge.

 

Man kan til enhver tid trække sit samtykke tilbage. Det følger af databeskyttelsesforordningens artikel 7, stk. 3.

Hvis en skole ikke kan imødekomme en tilbagetrækning af samtykke, var samtykke ikke det rette behandlingsgrundlag fra begyndelsen. Skolen bør i så fald vurdere, om et andet behandlingsgrundlag efter artikel 6 er mere passende.

Retten til sletning (artikel 17) gælder i følgende tilfælde:

  • oplysningerne ikke længere er nødvendige til det formål, de blev indsamlet til,
  • den registrerede trækker sit samtykke tilbage, og der ikke er andet behandlingsgrundlag,
  • den registrerede gør indsigelse mod behandlingen, og der ikke er tungtvejende legitime grunde til at fortsætte,
  • oplysningerne behandles til direkte markedsføring,
  • oplysningerne er behandlet ulovligt,
  • oplysningerne skal slettes for at overholde en retlig forpligtelse, eller
  • oplysningerne er indsamlet i forbindelse med informationssamfundstjenester til børn.

Retten til sletning er ikke absolut og gælder ikke, hvis behandlingen er nødvendig af hensyn til de undtagelser, der er nævnt i artikel 17, stk. 3, og i national ret.

Skolen skal vurdere anmodninger om sletning konkret i hvert enkelt tilfælde og give den registrerede besked, hvis en undtagelse finder anvendelse.

Lyt til Datatilsynets podcast om samtykke her

Ifølge databeskyttelsesforordningens artikel 16 har den registrerede ret til at få urigtige oplysninger rettet uden unødig forsinkelse. Hvis oplysningerne er ufuldstændige, har den registrerede ret til at få dem suppleret, herunder ved at afgive en forklaring.

Retten til rettelse er ikke absolut og afhænger af de konkrete omstændigheder. Den gælder kun, hvis oplysningerne faktisk er forkerte. Hvis oplysningerne er baseret på en subjektiv eller faglig vurdering og den registrerede blot er uenig, gælder retten normalt ikke. I sådanne tilfælde kan skolen i stedet udarbejde et såkaldt berigtigelsesnotat, hvor uenigheden registreres sammen med udtalelsen.

Retten kan begrænses i henhold til national lovgivning. Hvis skolen begrænser retten, skal den registrerede informeres om den specifikke bestemmelse, der danner grundlag for begrænsningen.

Læs Datatilsynets vejledning om de registreredes rettigheder her - særligt fra side 30 om retten til berigtigelse

Skolens politikker og procedurer skal skabe klarhed og ensartethed ved at forklare, hvad der skal gøres, og hvorfor.

Databeskyttelsesforordningen kræver, at dataansvarlige har passende politikker. For skoler er de vigtigste politikker:

  • En privatlivspolitik
  • En opbevaringspolitik

Derudover kan det være relevant at have politikker om:

  • TV-overvågning
  • Brug af IT
  • Brug af private enheder
  • Håndtering af anmodninger om indsigt og rettigheder generelt
  • Optagelse/indskrivning

Politikker bør løbende revideres og opdateres, da de er ”levende dokumenter”.

Det er ikke forbudt, men det kræver særlige sikkerhedsforanstaltninger. Efter artikel 24 i databeskyttelsesforordningen skal skolen iværksætte passende tekniske og organisatoriske foranstaltninger for at beskytte oplysninger.

Det anbefales, at skolen fremmer brugen af skolens egne enheder og e-mailkonti frem for private, da skolen har bedre mulighed for at sikre kontrol og beskyttelse.

Databeskyttelsesreglerne forbyder ikke i sig selv, at man tager billeder eller videooptagelser. Ifølge artikel 2, stk. 2, litra c, i databeskyttelsesforordningen gælder reglerne ikke for behandling af personoplysninger, der foretages af en person som led i rent private eller familiemæssige aktiviteter - eller til personligt brug. Denne undtagelse kaldes ofte husholdningsundtagelsen.

Det betyder, at GDPR som udgangspunkt ikke finder anvendelse, når man tager og deler billeder i en privat sammenhæng – f.eks. til personligt brug eller som led i en social aktivitet uden forbindelse til arbejde, forretning eller andre professionelle formål.

Sociale medier er en naturlig del af de unges hverdag, derfor vil mange billeder ofte ende med at blive delt online. Det forbyder GDPR ikke, da private aktiviteter også kan omfatte brug af sociale medier. Hvis et billede af en elev bliver delt online, og en anden elev eller forælder ikke er tryg ved det, er det god skik at fjerne billedet, hvis der bliver bedt om det.

Nogle skoler vælger at have egne regler for fotografering og brug af mobiltelefoner på skolens område for at undgå uenigheder og misforståelser. Det står den enkelte skole frit for at fastsætte sådanne retningslinjer.