Hei !
Behandlingsgrunnlaget blir alltid en stor diskusjon. Og det er en grunn til det. Et gyldig behandlingsgrunnlag er en forutsetning for å behandle personopplysninger lovlig.
I sluttrapporten til Prosjektet «Aktivitetsdata for vurdering og tilpassing» (AVT) som var i Datatilsynets Sandkasse for Kunstig Intelligens, var behandlingsgrunnlag «det mest diskuterte temaet» i dialogen mellom tilsynet og prosjektet.
Sluttrapporten slo også fast at «det er ingen tvil om at kommunene har rettslig grunnlag til å behandle elevenes personopplysninger, både for å tilpasse opplæringen og gi vurdering i fagene.»
Så hvorfor bruker vi tid på å diskutere hva som er «riktig» behandlingsgrunnlag i den nasjonale DPIAen?
To muligheter i GDPR
Som Datatilsynet var inne på i sluttrapporten til AVT, er det for bruk av barns personopplysninger i skolen ikke diskusjon om man har et supplerende behandlingsgrunnlag i norsk lov. For det har man. Spørsmålet er hvilken bestemmelse i GDPR artikkel 6 henger man det supplerende grunnlaget på?
Og her har forskjellige kommuner forskjellige svar. Men det står mellom artikkel 6 nr. 1 bokstav c) og artikkel 6 nr. 1 bokstav e).
Bokstav c) kan brukes når «behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige». Og de som velger dette alternativet, fokuserer på hvordan det å gi barn et skoletilbud er en rettslig forpliktelse for kommunen.
Men bokstav e) kan brukes når «behandlingen er nødvendig for å (…) utøve offentlig myndighet som den behandlingsansvarlige er pålagt». De som velger dette behandlingsgrunnlaget, legger vekt på at grunnskoleopplæring er en offentlig myndighetsoppgave som alle norske kommuner er pålagt.
Hva skal vi anbefale i DPIAen
Vi har tidligere snakket om 80-20 prosent tilnærmingen vår til DPIAen. Dette innebærer kort fortalt at vi skal ferdigstille så mye vi kan av DPIAen, men at det fortsatt vil være deler av den som kommunen som behandlingsansvarlig må tilpasse til egne forhold.
Vi tenker at vi ikke skal anbefale ett behandlingsgrunnlag fremfor det andre. Dette fordi når alt kommer til alt, er det du som kommune og behandlingsansvarlig som har myndighet til å bestemme ditt eget behandlingsgrunnlag. Uansett hva vi sier.
På denne måten ønsker vi at kommunene kan ta veloverveide valg av behandlingsgrunnlag som bidrar til et godt personvern i skolen.
Hvis denne problemstillingen hadde vært mer usikker, kan det godt være at vi hadde valgt en annen løsning. Men for å parafrasere Datatilsynet i AVT-rapporten, når det ikke er noen tvil om at norske kommuner har et supplerende behandlingsgrunnlag, har vi i nasjonal DPIA-prosjektet valgt å sette inn støtet på andre deler av DPIAen.
Jeg ønsker deg en riktig god, personvernvennlig helg!
Vennlig hilsen
Ida Thorsrud
prosjektleder nasjonal DPIA