Skólastarf og persónuupplýsingar

Hér áður fyrr var vinnsla persónuupplýsinga í skólum að mestu bundin við viðveruskráningu og skráningu niðurstöðu prófa og verkefna. Undanfarin ár hafa skólar í mjög svo auknum mæli tekið í notkun tæknilausnir og rafrænan kennsluhugbúnað. Tækniframfarir gera okkur lífið einfaldara og auðveldara á hverjum degi en notkun tækninnar í skólastarfi hefur einnig leitt til aukinnar söfnunar og vinnslu persónuupplýsinga um nemendur, aðstandendur og kennara.

Tæknilausnir er unnt að nota til þess að búa til og miðla stafrænu efni, samkeyra eða greina efni og vista eða deila því yfir Netið. Þessi mikla vinnslu- og samkeyrslugeta upplýsingasamfélagsins getur hringt viðvörunarbjöllum hjá talsmönnum persónuverndar, þ.e. þegar ekki er farið að grundvallarreglum um meðferð persónuupplýsinga. Þá gætu persónuupplýsingar um ólögráða börn verið sendar úr landi, jafnvel utan Evrópu, án vitundar og samþykkis forráðamanna. Oft er hér um að ræða viðkvæmar persónuupplýsingar, svo sem um greiningu, hegðun og heilsufar, sem ekki eiga erindi út fyrir skólann.

Í þessu sambandi er mikilvægt að átta sig á því að sérhver leik-, grunn- eða framhaldsskóli sem vinnur persónuupplýsingar um ólögráða börn í skólastarfi ber ábyrgð á slíkri vinnslu. Það er því á ábyrgð skólastjórnenda í hverjum skóla að tryggja að meðferð persónuupplýsinga sé í samræmi við persónuverndarlög og að öryggi þeirra sé tryggt. Þannig þarf heimild að vera til staðar fyrir allri vinnslu persónuupplýsinga. Um vinnslu persónuupplýsinga er að ræða við notkun á hugbúnaði eða smáforritum frá þriðja aðila, hýsingu í tölvuskýi eða birtingu mynda eða upplýsinga á Facebook. Þegar notast er við tæknilausnir á borð við Dropbox, Google apps eða Facebook eru upplýsingar fluttar úr landi. Þar sem um er að ræða erlend fyrirtæki, flest með starfsemi í Bandaríkjunum, þarf að stíga varlega til jarðar þegar gögn eru flutt þangað. Ef um viðkvæmar persónuupplýsingar er að ræða gæti það verið með öllu óheimilt.

Í framhaldsskólum hérlendis hefur verið notast við vefkerfið Innu, grunnskólar nota flestir Mentor og margir leikskólar hafa tekið í notkun Karellen. Í lok árs 2015 veitti Persónuvernd álit um vinnslu og öryggi persónuupplýsinga í vefkerfinu Mentor, mál nr. 2015/1203. Í álitinu er fjallað með ítarlegum hætti um hvaða atriði það eru sem skólastjórnendur þurfa að huga að við vinnslu persónuupplýsinga í Mentor. Helst ber þar að nefna að skólarnir, hver um sig, teljast ábyrgðaraðilar að vinnslu persónuupplýsinga í skólastarfi, fullnægjandi heimild þarf að vera til staðar fyrir vinnslu þeirra í hvert sinn og öryggi upplýsinga þarf að vera tryggt, m.a. með gerð áhættumats og framkvæmd öryggisráðstafana. Þá beindi Persónuvernd sérstökum tilmælum til skólanna um að skrá ekki viðkvæmar persónuupplýsingar í vefkerfið, nema útbúið yrði sérstakt umhverfi fyrir slíka skráningu sem fullnægi kröfum laga um persónuvernd og meðferð persónuupplýsinga nr. 77/2000. Þá var skólastjórnendum bent á að gæta að meðalhófi og sjónarmiðum um sanngjarna skráningu þegar hún færi fram í vefkerfinu, auk þess sem þeim ber að gæta að lögmæti þeirra upplýsinga sem skráðar eru í kerfið, m.a. með því að setja sér verklagsreglur, þar sem t.d. er fjallað um hvað megi skrá, hvenær megi skrá, einkum í dagbókarflipa kerfisins, hverjum eigi að birta færslur í dagbók, hvernig skuli huga að fræðslu og hvernig eftirliti með framangreindu skuli háttað. Þá var lagt fyrir skólana að tryggja öryggi persónuupplýsinga með fullnægjandi hætti, sem og að semja við vinnsluaðila í samræmi við 13. gr. laga nr. 77/2000.

Þó svo að framangreint álit Persónuverndar hafi eingöngu beinst að grunnskólum sem höfðu tekið í notkun hugbúnað á vegum Mentor ehf. eiga sömu sjónarmið við um alla vinnslu persónuupplýsinga á öllum skólastigum. Þannig þurfa allir skólastjórnendur að ganga úr skugga um að skilyrði persónuverndarlaga séu uppfyllt í hvívetna við vinnslu persónuupplýsinga í skólastarfi.

 

Greinin birtist fyrst í tímaritinu Heimili og skóli sem kom úr í september 2017.





Þetta vefsvæði byggir á Eplica