Vejledning om EU-forordning om beskyttelse af persondata
Værktøjer og vejledninger til arbejdet med EU's forordning om beskyttelse af persondata er placeret i et selvstændigt afsnit, se Persondataforordning

Teksten nedenfor er baseret på den nuværende persondatalov og er stadig gældende. Folketinget behandler aktuelt et udkast til ny persondatalov, som vil blive indarbejdet, når den er endeligt vedtaget. EU's Forordning om beskyttelse af persondata udgør i praksis et supplement til persondataloven, der definerer nogle yderligere forpligtelser for skolerne som dataansvarlige.

Persondataloven                  

Behandling
Generelle behandlingsregler

Personoplysninger
Følsomme oplysninger
Oplysninger om andre rent private forhold
Ikke følsomme oplysninger

Personnumre

Sikkerhed

Indsigtsret

Samtykke

Brug for hjælp til implementering?

FAQ til persondataloven
1. Må man registrere elevers religion af hensyn til kosten?
2. Må skolen registrere oplysninger om elevers helbredsforhold?
3. Må skolen udlevere klasselister?
4. Er den skærpede underretningspligt for ansatte på skolen i konflikt med Persondataloven?
5. Hvornår må skolen anvende foto og video uden samtykke?
6. Må skolen oplyse private telefonnumre, e-mail osv. for de ansatte?
7. Hvem må se jobansøgninger eller kende navne på ansøgere til stillinger?
8. Må skolen udlevere lønsedler til skolens tillidsrepræsentant?
9. Hvilke oplysninger må stå i uddannelsesplanerne?
10. Må skolen videregive personoplysninger til kommunen, psykologer og sygehuse, UU-vejledere mv.?
11. Hvilke sikkerhedsforanstaltninger skal skolen overholde ved behandling af personoplysninger?
12. Hvilke rettigheder har elever og forældre i forhold til de oplysninger skolerne har registreret?
13. Hvornår kan der nægtes indsigt i oplysninger?
14. Hvilke oplysninger om elever må skolen behandle?
15. Hvad er en personoplysning?
16. Hvad er et udtrykkeligt samtykke?

Persondataloven
Persondataloven er den centrale lov for, hvornår og hvordan persondata må behandles.
Loven gælder både for offentlige myndigheder, private virksomheder, foreninger mv. Frie skoler skal følge de regler i loven, der gælder for private virksomheder.
Persondataloven gælder som hovedregel for al elektronisk behandling af personoplysninger. Desuden gælder loven for manuel behandling af personoplysninger, som er indeholdt i et register. Det kan f.eks. være personoplysninger, der samles i kartoteker, sagsmapper, ringbind m.v.

Til top

Behandling
Begrebet behandling omfatter enhver måde at håndtere oplysninger om personer på. Det gælder blandt andet indsamling, registrering, systematisering, opbevaring, brug, videregivelse, samkøring og sletning.

Generelle behandlingsregler
Ifølge Persondataloven skal oplysninger behandles i overensstemmelse med god databehandlingsskik. Det betyder bl.a., at der skal være et sagligt formål for enhver behandling af personoplysninger. Om et bestemt formål er sagligt, afhænger først og fremmest af, om der er tale om løsning af en opgave, som det er naturligt for skolen at løse.
Der må ikke indsamles flere oplysninger end nødvendigt. Dette er for at sikre, at der ikke sker en unødvendig dataophobning på skolen. Når det ikke længere er nødvendigt at have oplysningerne, skal de slettes eller anonymiseres.
Oplysninger må heller ikke senere bruges til et formål, som er uforeneligt med det formål, som oplysningerne oprindeligt er indsamlet til. Det må i stort omfang bero på et skøn, hvornår dette er tilfældet.
De generelle behandlingsregler skal altid overholdes, når skolen behandler persondata. Det er således ikke tilladt at omgå disse krav ved f.eks. at få et samtykke til behandling fra de personer, som oplysningerne vedrører, hvis ikke de generelle behandlingsregler er opfyldt.

Til top

Personoplysninger
Ud over ovenstående generelle behandlingsregler, som altid skal være opfyldt, er der yderligere betingelser, som skal være opfyldt, før skolen må behandle personoplysninger. Betingelserne er forskellige alt efter, hvor følsomme oplysninger det drejer sig om. Persondataloven opdeler personoplysninger i følgende tre kategorier af oplysninger:

 
Følsomme oplysninger
I loven er det bestemt, at oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold er følsomme. Disse oplysninger må som udgangspunkt ikke behandles.
Dog er der visse undtagelser. Som den væsentligste kan nævnes, at skolen må behandle oplysningen, hvis den person, den vedrører, har givet udtrykkeligt samtykke til det. Det kan f.eks. være tilfældet, hvis skolen skal registrere en oplysning om sygdom hos en elev for at kunne tage helbredsmæssige hensyn til f.eks. kost eller medicinering. Kravet om udtrykkelighed betyder, at et stiltiende eller indirekte samtykke ikke er tilstrækkeligt.
En anden undtagelse er, at der må behandles helbredsmæssige oplysninger, hvis det er nødvendigt, for at et retskrav kan fastlægges, f.eks. hvis det er nødvendigt, for at skolen eller et forsikringsselskab kan afgøre, om personen har krav på erstatning.
Reglerne afskærer ikke skolen fra at registrere elevers og deres forældres statsborgerskab og fødeland med henblik på at modtage korrekte tilskud.

Til top

Oplysninger om andre rent private forhold
Andre typer af oplysninger om rent private forhold anses også for følsomme. Det kan være oplysninger om strafbare forhold, væsentlige sociale problemer og lignende følsomme privatlivsoplysninger, f.eks. om interne familieforhold, tvangsfjernelser mv. Skolen må behandle denne type oplysninger, hvis den person, som oplysningen vedrører, har givet sit udtrykkelige samtykke til det.
Uden samtykke kan behandling kun undtagelsesvis ske. Det er i så fald en betingelse, at det er nødvendigt for at varetage en berettiget interesse, og denne interesse klart overstiger hensynet til den registrerede. Videregivelse af disse oplysninger vil normalt kun kunne ske med den registreredes samtykke, eller hvis skolen skal give oplysningerne videre som følge af regler i andre love eller bekendtgørelser.
Skolen skal således udvise særlig omtanke, når denne type oplysninger behandles. Dette gælder også, når behandlingen foretages af den enkelte lærer, f.eks. ved systematisk registrering i lærerens notesbog om en elevs sociale adfærd, kompetencer mv. Det skal også nøjes overvejes, hvem der eventuelt skal have kendskab til oplysningerne. Det er ikke nødvendigvis alle andre lærere på skolen.
Skolen kan videregive oplysninger om elevers (og forældres) rent private forhold til andre interessenter i det omfang, det tjener et sagligt formål, f.eks. ved skoleskift. Det vil almindeligvis kræve samtykke.

Til top

Ikke følsomme oplysninger
De oplysningstyper, der ikke vedrører rent private forhold, kan kaldes almindelige personoplysninger. Almindelige personoplysninger kan f.eks. være identifikationsoplysninger, oplysninger om økonomiske forhold, kundeforhold eller andre lignende ikke følsomme oplysninger.
Disse oplysninger må behandles i en række tilfælde. Bl.a. andet må de behandles, hvis der er givet samtykke, eller hvis det er nødvendigt for at kunne opfylde en aftale, som personen er part i. F.eks. er det nødvendigt at behandle oplysninger i forbindelse med optagelse på venteliste, kontraktindgåelse og fremsendelse af fakturaer.
Behandling må også ske, hvis det følger af loven. Skolen skal f.eks. i henhold til skattelovgivningen indberette indkomstoplysninger om de ansatte til Skat.
Skolen må også behandle almindelige personoplysninger, hvis det er nødvendigt for at varetage en berettiget interesse, og denne interesse overstiger hensynet til personens interesser. Skolen skal foretage afvejningen mellem interesserne. Denne vurdering afhænger af mange forskellige forhold, bl.a. formålet med behandlingen. F.eks. er det tilladt at føre sædvanlige personaleregistre og registre over skolens elever. En skole kan også udlevere klasselister til elever og forældre i klassen. Der må dog ikke være personnumre, hemmelige telefonnumre eller hemmelige adresser på disse lister.

Til top

Personnumre
Personnumre må skolen som hovedregel kun behandle, når det følger af en lov, eller hvis den registrerede har givet udtrykkeligt samtykke hertil, og det tjener saglige formål. F.eks. følger det af skattelovgivningen, at skolen skal indberette personnumre til Skat.

Til top

Sikkerhed
Skolen skal sørge for, at oplysninger ikke kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.
Dette er først og fremmest et krav om, at uvedkommende ikke må kunne skaffe sig adgang til fortrolige oplysninger om andre menneskers forhold.
Personer eller virksomheder, der arbejder for skolen, må kun behandle personoplysninger efter instruks fra skolen. Instruksen kan følge af en bestemt stillingsfunktion. Ansatte på skolen må ikke bruge oplysningerne til andet end det, som skolen har bestemt. Navnlig må oplysningerne ikke bruges til den ansattes egne private formål eller for andre dataansvarlige.

Til top

Indsigtsret
En person har ret til at få oplysninger om, hvilke oplysninger skolen behandler om pågældende. Personen kan også gøre indsigelse mod behandlingen, få forkerte oplysninger slettet og tilbagekalde et samtykke.

Til top

Samtykke
Myndige personer giver samtykke på egne vegne. Forældre giver samtykke på deres børns vegne, dog bør større børn give samtykke sammen med forældrene. Det skal være klart, hvad der gives samtykke til, og det bør være skriftligt. Et samtykke kræver en aktiv tilkendegivelse, dvs. det er ikke et samtykke, at man har haft mulighed for at sige fra uden at benytte sig af det.
Er skolen i tvivl om, hvorvidt en oplysning må behandles, kan skolen rette henvendelse til Datatilsynet.

 

Brug for hjælp til implementering?
Et alternativ til at implementere den nye persondataforordning selv, er at få hjælp til det.
DP-Solutions har udarbejdet et ”gør det meste selv ”-kursus målrettet høj- og efterskoler. Efterskoleforeningen har sammen med FFD aftalt en fast pris for skolerne.
Efter gennemførelse af kurset garanterer DP-Solutions, at den deltagende skole overholder den nye persondataforordning.
Dette blandt andet ved, at skolen har fået udarbejdet den lovpligtige fortegnelse, der er dokumentation for overholdelsen af persondataforordningen.

3 kursus- og arbejdsdage, undervisningsmateriale, skabeloner og online support.
Pris: 13.300 kr. inkl. moms – 5000 kr. for ekstra deltagere.
Se mere og tilmeld jer de løbende kursusoptag her

Til top

FAQ til persondataloven
Skrivere:
Christian Petersen Efterskoleforeningen
Casper Graff- Pereira Højskoleforeningen
Cecil Christensen Friskoleforeningen
Christian Schultz Foreningen af Husholdnings- og Håndarbejdsskolerne

1. Må man registrere elevers religion af hensyn til kosten?
Hvis en elev f.eks. ikke spiser svinekød pga. religiøs overbevisning, er det både sagligt og nødvendigt, at dem der har med elevens forplejning at gøre ved, at eleven ikke spiser svinekød. Men det er faktisk ikke nødvendigt at vide, hvorfor personen ikke spiser svinekød. At personen er muslim, og derfor ikke spiser svinekød, falder under reglerne om følsomme oplysninger, og bør derfor ikke registreres. Køkkenpersonalet har kun brug for at vide, at der skal være et alternativ til svinekød på menuen. Det vil derfor være tilstrækkeligt at registrere, at eleven ikke spiser svinekød.

Til top

2. Må skolen registrere oplysninger om elevers helbredsforhold?
Det kan være nødvendigt for skolen at være bekendt med en elevs sygdom for at kunne tage hensyn hertil eller være opmærksom på problemer. Sådanne oplysninger må kun registreres, hvis der er givet samtykke hertil.
Hvis en elev ikke kan tåle at spise bestemte typer af fødevarer som følge af sygdom, vil det være tilstrækkeligt for køkkenpersonalet at vide, at eleven ikke kan tåle disse produkter. De nærmere oplysninger om sygdommen er derimod ikke nødvendige at behandle i denne forbindelse.

Til top

3. Må skolen udlevere klasselister?
Skolen kan udlevere navne- og adresselister på elever til en relevant personkreds, der efter konkret vurdering normalt vil omfatte andre forældre. Hemmelige telefonnumre og beskyttede adresseoplysninger og personnumre skal dog betragtes som private personoplysninger, der kun kan udleveres til myndigheder og personer med et relevant arbejdsmæssigt behov.

Til top

4. Er den skærpede underretningspligt for ansatte på skolen i konflikt med Persondataloven?
Nej. Persondataloven hindrer ikke, at ansatte på skolen overholder deres underretningspligt overfor kommunen, når de gennem deres arbejde får kendskab til forhold, der giver anledning til formodning om, at et barn eller en ung under 18 år har behov for særlig støtte.

Til top

5. Hvornår må skolen anvende foto og video uden samtykke?
Skolen må anvende billeder af personer på Internettet eller i trykte medier, men bortset fra situationsbilleder skal skolen indhente samtykke fra de portrætterede først. Om brugen af et billede eller video er til hjemmesiden, intranettet eller en brochure/et katalog gør ingen forskel.
Generelt skal man skelne mellem dels situationsbilleder og portrætter og mellem det harmløse og det udleverende. Klassebilledet, årgangsbilledet, fotografier fra aktiviteter, udflugter, fester eller kantinen er situationsbilleder, hvor det er aktiviteten og ikke personerne, der er vigtige. Det kræver ikke samtykke. Men der kan være situationer, hvor nogle føler sig udstillet alligevel, og man skal være opmærksom på, hvordan billedet fremstiller de portrætterede.
Alt andet, herunder altid video, kræver samtykke, fordi personerne i disse bliver vigtigere end gengivelsen af en generel situation eller aktivitet.

Til top

6. Må skolen oplyse private telefonnumre, e-mail osv. for de ansatte?
Skolen må offentliggøre arbejdsrelaterede oplysninger om de ansatte på sin hjemmeside på Internettet. Omvendt må oplysninger af mere privat karakter kun offentliggøres med samtykke fra den pågældende. Oplysninger af mere privat karakter er for eksempel et portrætbillede af den ansatte, en privat adresse, e-postadresse eller et privat telefonnummer. Arbejdspladsen må kun offentliggøre disse oplysninger, hvis der fra hver enkelt ansat er givet udtrykkeligt samtykke hertil.

 

7. Hvem må se jobansøgninger eller kende navne på ansøgere til stillinger?
Skolens ansatte og bestyrelsesmedlemmer er omfattet af reglerne om tavshedspligt. Dette gælder således også ansættelsesudvalget. Det betyder, at ansættelsesudvalget skal behandle alle ansøgninger fortroligt og ikke må videregive oplysninger (navne el. andre personlige forhold) på ansøgere eller drøfte udvalgets arbejde med uvedkommende.
Ansøgninger må ikke være tilgængelige for medarbejdere, der ikke er med i ansættelsesudvalget.

Til top

8. Må skolen udlevere lønsedler til skolens tillidsrepræsentant?
Tillidsrepræsentanten har i forbindelse med forhandlinger af tillæg brug for at kende oplysninger om lønforholdene på skolen, herunder den enkelte medarbejders løn. Skolen skal give tillidsrepræsentanten disse oplysninger, f.eks. i et regneark, men bør ikke udlevere lønsedler med bl.a. personnumre.

Til top

9. Hvilke oplysninger må stå i uddannelsesplanerne?
Uddannelsesplanen skal bl.a. indeholde elevens præsentation af sig selv, herunder oplysninger om faglige, sociale og uformelle kompetencer samt arbejdsvaner, og planen skal beskrive forhold, der givere anledning til særlig opmærksomhed ved elevens start på en ungdomsuddannelse, herunder behov for særlige støtte foranstaltninger på ungdomsuddannelsen med nødvendig dokumentation. Planen skal også indeholde omlysninger om elevens valg af ungdomsuddannelse, elevens generelle overvejelser om valg af uddannelse og erhverv og vejlederens generelle bemærkninger hertil. Planen skal omfatte både faglige og personlige udviklingsmuligheder og danne grundlag for tilrettelæggelse af den enkeltes elevs undervisning og uddannelsesvalg.
Der er hjemmel i Vejledningsloven § 2b til at videresende uddannelsesplanen til den næste uddannelsesinstitution eller i mangel af denne til Ungdommens Uddannelsesvejledning i elevens hjemkommune.

Til top

10. Må skolen videregive personoplysninger til kommunen, psykologer og sygehuse, UU-vejledere mv.?
Videregivelse skal som al anden behandling af persondata overholde god databehandlingsskik, dvs. databehandlingen skal være rimelig og lovlig. Herudover gælder bl.a. yderligere, at man ikke må videregive andet end nødvendige oplysninger.
Videregivelse af almindelige personoplysninger kan bl.a. ske ved samtykke, eller hvis det kræves af lovgivningen. De kan også videregives, for at modtageren kan forfølge en berettiget interesse, hvis hensynet til den registrerede ikke overstiger denne interesse.
Videregivelse af oplysninger om rent private forhold kræver særlig omtanke og kræver samtykke. Oplysningerne kan dog også videregives, når det sker for at for varetage offentlige eller private interesser, herunder hensynet til den pågældende selv, der klart overstiger hensynet til de interesser, der begrunder hemmeligholdelse.
Hvis der er tale om følsomme oplysninger (race, etnisk baggrund, politisk, religiøs filosofisk overbevisning, fagforeningens forhold, helbredsmæssige eller seksuelle forhold) kan de videregives med samtykke. De kan dog videregives uden samtykke, hvis det er nødvendig for at beskytte vitale interesser i tilfælde, hvor den pågældende ikke fysisk eller juridisk er i stand til at give sit samtykke.

Til top

11. Hvilke sikkerhedsforanstaltninger skal skolen overholde ved behandling af personoplysninger?
Skolen skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes, forringes eller kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Adgang til elektroniske oplysninger bør således sikres forsvarligt med passwords o. lign.
Iværksættelse af de fornødne sikkerhedsforanstaltninger er særligt påkrævet, hvis behandlingen omfatter fremsendelse af oplysninger i et net. Efter Datatilsynets opfattelse bør der ved transmission af oplysninger om personnumre over det åbne Internet som minimum foretages kryptering. Der bør foretages stærk kryptering, hvis der er tale om personfølsomme oplysninger (fx racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, helbredsmæssige og seksuelle forhold).

Til top

12. Hvilke rettigheder har elever og forældre i forhold til de oplysninger skolerne har registreret?
Forældre og større børn har ret til at få oplyst, hvilke oplysninger skolen har registreret om dem. Hverken forældre eller elever kan få indsigt i registrerede oplysninger om andre forældre og elever.
Skolen skal give indsigt til personer under 18 år. Det er dog ikke muligt at opstille generelle regler for, hvilken nederste aldersgrænse der skal accepteres, idet det må bero på en konkret bedømmelse af vedkommendes modenhed, hvorvidt der bør gives indsigt. Som regel må unge fra ca. 15 år antages selvstændigt at kunne fremsætte en indsigtsbegæring.
For så vidt angår behandling af oplysninger vedrørende børn kan forældremyndighedens indehaver normalt begære indsigt på barnets vegne. Der kan dog være tilfælde, hvor det kun er eleven, der bør have indsigt i oplysningerne.
Det forhold, at skolen imødekommer indsigtsbegæringer fra personer under 18 år, bevirker ikke uden videre, at forældremyndighedens indehaver udelukkes fra at anmode om indsigt på barnets vegne. Det vil ofte være således, at såvel den unge som forældremyndighedens indehaver har ret til indsigt med hensyn til de oplysninger, der behandles om den unge.
Som forældremyndighedsindehaver og elev har man ret til:
• at tilbagekalde samtykke til registrering og brug (fx af portrætfotos)
• at modtage besked om, hvad skolen har registreret
• at søge indsigt i registrerede personoplysninger
• at gøre indsigelse mod registrering og brug
• at få rettet eller slettet forkerte eller vildledende oplysninger samt at andre orienteres herom
• at klage over skolens registrering og brug af personoplysninger til datatilsynet.

Til top

13. Hvornår kan der nægtes indsigt i oplysninger?
Den registrerede har ikke krav på indsigt, hvis vedkommendes interesse i at få kendskab til oplysningerne findes at burde vige for afgørende hensyn til private interesser, herunder hensynet til den pågældende selv.
Efter en konkret vurdering vil det være muligt at nægte indsigt i oplysninger, hvis dette ville medføre, at skolens forretningsgrundlag, forretningspraksis eller knowhow derved ville lide væsentlig skade. Det vil endvidere efter en konkret vurdering være muligt at nægte indsigt i interne vurderinger af, hvorvidt skolen på basis af foreliggende oplysninger vil indgå et kontraktforhold, ændre et bestående kontraktforhold, stille vilkår for fortsættelse, eventuelt helt opsige et kontraktforhold og lignende tilfælde. På samme måde vil det efter omstændighederne være muligt at nægte indsigt i f.eks. et notat, der vurderer, hvorvidt der er udsigt til, at en bestemt retssag mod en person kan vindes, eller i et internt notat i en sag, der påpeger mulige tegn på fx svig.

Til top

14. Hvilke oplysninger om elever må skolen behandle?
En skole må behandle en række almindelige oplysninger om eleverne, deres forældre og andre relevante kontaktpersoner. Skolerne har en saglig begrundelse for at indhente oplysninger om navne, adresser, telefonnumre, e-mail-adresser m.v. Sådanne almindelige personoplysninger kan indhentes og registreres uden skriftligt samtykke. CPR-numre vil også kunne behandles, når det er nødvendigt af hensyn til indberetninger mv.
Skolen vil også have en saglig grund til at behandle oplysninger om hvem, der har forældremyndigheden, elevers adfærd, sygdomsfravær, karakterer, tidligere skolegang, pædagogisk-psykologiske undersøgelser samt i øvrigt enhver anden oplysning, der har en naturlig sammenhæng med undervisningen og administrationen på den pågældende skole. Kun personer på skolen med relevant behov herfor, har adgang til disse oplysninger. En skole er berettiget til at videregive oplysninger af denne art til andre relevante institutioner, når det er nødvendigt og sagligt, f.eks. når en elev skifter skole, men videregivelsen kræver samtykke fra forældrene.

Til top

15. Hvad er en personoplysning?
Ifølge persondataloven forstås ved personoplysninger ”Enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede).” Omfattet af begrebet personoplysninger er herefter oplysninger, som kan henføres til en fysisk person, selv om det forudsætter kendskab til personnummer, registreringsnummer eller lignende særlige identifikationer som f.eks. løbenummer. Det er uden betydning, om identifikationsoplysningen er alment kendt eller umiddelbart tilgængelig. Også de tilfælde, hvor det kun for den indviede vil være muligt at forstå, hvem en oplysning vedrører, er omfattet af definitionen.

Til top

16. Hvad er et udtrykkeligt samtykke?
Persondata loven bruger udtrykket udtrykkeligt samtykke.
Et samtykke er enhver frivillig, specifik og informeret viljestilkendegivelse, hvorved den registrerede indvilliger i, at oplysninger, der vedrører den pågældende selv, gøres til genstand for behandling.
At samtykket skal være udtrykkeligt betyder, at der ikke kan indhentes et stiltiende eller indirekte samtykke. Der ligger ikke heri et egentlig krav om skriftlighed, men da bevisbyrden for, at der foreligger et samtykke, der opfylder lovens krav, påhviler skolen, kan det anbefales, at et samtykke afgives skriftligt.
I kravet om, at et samtykke skal være specifikt, ligger, at samtykket skal være konkretiseret, således at det klart og utvetydigt fremgår, hvad der meddeles samtykke til, herunder hvilke oplysninger der må behandles på baggrund af samtykket, af hvem og til hvilke formål. Herudover skal der i forbindelse med samtykke gives tilstrækkelig information om samtykkets rækkevidde, således at den, der afgiver samtykket er klar over, hvad dette indebærer.
Et samtykke kan tilbagekaldes.

Til top