Enhver behandling av personopplysninger som har grunnlag i GDPR artikkel 6(1) bokstav e) eller f) gir den registrerte rett til å protestere mot behandlingen av grunner knyttet til den registrertes særlige situasjon. Dersom den særlige situasjonen veier tyngre enn den behandlingsansvarliges (her kommunen) interesse for å gjennomføre behandlingen, skal behandlingen opphøre eller tilpasses den registrertes særlig behov.

Den registrerte skal gjøres oppmerksom på retten til å protestere senest på tidspunkt før første behandling av personopplysningene. Informasjon skal legges frem på en klar måte, og atskilt fra annen informasjon. Informasjon kan for eksempel gis i en egen personvernerklæring for skole. 

Informasjon om din rett til å protestere finner du på Datatilsynet sine nettsider

Det er viktig å påpeke at retten til protest i utgangspunktet ikke er en generell rett til å protestere på bruken av et system som helhet, men en rett til å protestere på en konkret behandling av personopplysninger i systemet.

Kommunen mottar ulike typer henvendelser fra innbyggere, og det kan være utfordrende å skille mellom hva de ulike henvendelsene gjelder. Det kan dreie seg om  

• generelle spørsmål om en tjeneste  
• klage på bruk  
• varsel om avvik eller annet  

GDPR gir den registrerte flere rettigheter, som til dels vil flyte over i hverandre når en innbygger tar kontakt. For eksempel kan det være uklart hvorvidt det dreier seg om retten til informasjon, innsyn, retting, sletting, begrensning eller retten til protest.  

En tommelfingerregel på om henvendelsen er en protest er at  

1. behandlingen er lovlig (skolen har et gyldig behandlingsgrunnlag) og  

1. henvendelsen gjelder individuelle forhold.  

Dette beskrives ytterligere i de påfølgende stegene. 

Forvaltningsloven gir føringer for hvordan kommunen skal behandle innkomne henvendelser. Ved spørsmål om innsyn er det Offentleglova som trer inn. Kommunen skal svare ut så raskt som mulig, minimum med et midlertidig svar etter 3-5 dager. 

Det første spørsmålet man bør spørre seg etter å ha mottatt en henvendelse fra innbygger knyttet til behandling av personopplysninger, er om behandlingen har et behandlingsgrunnlag – altså er behandlingen lovlig?  

Et behandlingsgrunnlag er et rettslig grunnlag for å behandle personopplysninger etter GDPR artikkel 6(1). For skolen er behandlingsgrunnlaget som oftest knyttet til at behandlingen er nødvendig for utøvelse av offentlig myndighet (bokstav e) som skolen er pålagt gjennom opplæringsloven.  

Er du usikker på hva som er behandlingsgrunnlaget, sjekk kommunens behandlingsprotokoll5 eller ta kontakt med personvernombudet. Dersom det ikke foreligger et behandlingsgrunnlag er behandlingen ulovlig og skal behandles som et avvik (utfall 1). 

Den registrerte har bare rett til å protestere når behandlingsgrunnlaget er GDPR artikkel 6(1) bokstav e) eller f). Noe av det som gjør retten til å protestere så vanskelig, er at den gjelder når behandlingen er lovlig. Skolen har lov til å behandle personopplysningene fordi man har et behandlingsgrunnlag. Likevel har den registrerte rett til å protestere på behandlingen, og få gjennomslag på visse vilkår. Disse vilkårene kommer vi tilbake til i steg 4. Dersom behandlingsgrunnlaget er GDPR artikkel (1) bokstav e) eller f) går du derfor videre til valg 2 for å vurdere om henvendelsen gjelder individuelle hensyn. 

For å kunne bruke et system der det behandles personopplysninger, må en ha et gyldig behandlingsgrunnlag. Dersom det ikke foreligger et gyldig behandlingsgrunnlag, må henvendelsen behandles som et avvik. Dersom behandlingsgrunnlaget ikke er identifisert på forhånd, kan en lukke avviket ved å identifisere riktig behandlingsgrunnlag. Grunnlaget finner en for eksempel i Arkivlova, Opplæringsloven eller Forvaltningsloven. 

Behandlingen må være registrert i behandlingsprotokollen. Dersom en har behandlingsgrunnlag, men behandlingen ikke er protokollført, kan man lukke avviket gjennom å registrere behandlingen i behandlingsprotokollen. 

Dersom det viser seg at det ikke foreligger behandlingsgrunnlag, er bruken av systemet ulovlig og må avvikles. Kommunen/skolen må ha rutiner for å avvikle system, for å sikre at personopplysninger slettes, eventuelt hentes ut dersom opplysningene skal beholdes. 

Retten til å protestere i GDPR artikkel 21(1) er ikke absolutt. Det er en rettighet som bare gjelder hvis den registrerte kan peke på «grunner knyttet til vedkommendes særlige situasjon». Det må altså foreligge særlige individuelle forhold hos den registrerte som tilsier at behandlingen skal stoppes for den personen som har protestert. 

En protest vil ikke få gjennomslag dersom den bare inneholder argumenter som generelt taler for at en behandling skal stoppe. En protest som viser til at digitalisering generelt er uønsket, uten å peke på andre personlige grunner hos den registrerte, vil ikke være en protest etter GDPR artikkel 21(1). En slik generell henvendelse, er mest sannsynlig en klage og skal ikke behandles som en protest etter GDPR.  

Den som henvender seg, kan altså ikke nekte å bruke en digital løsning (eksempelvis Google Workspace for Education) så lenge skolen har et behandlingsgrunnlag og en lovlig bruk. Det kan tenkes at deler av bruken av systemet er utfordrende på en særlig måte for et individ. Eksempler på dette kan være bruk av kamera i undervisning, bruk av bilder eller en digital aktivitet som blir særlig vanskelig for en enkelt elev. 

For å kunne vurdere om det må tas individuelle hensyn trenger kommunen tilgang til opplysninger om den enkeltes situasjon. Kommunen bør derfor vurdere å ta direkte kontakt med avsender av henvendelsen dersom det er uklart hvilke individuelle hensyn som ligger til grunn. Dette kan skje gjennom telefon. Du kan også ta kontakt med lærer eller andre personer på skolen som kjenner eleven. Merk at her må en finne en god balanse mellom det å få nok informasjon og det å ikke kreve for mye informasjon.

Henvendelser som ikke gjelder individuelle hensyn, behandles som en vanlig henvendelse, for eksempel der innbyggeren stiller spørsmål ved bruken av en digital tjeneste.  

Forvaltningsloven gir rammer for hvordan disse henvendelsene skal behandles. Vis gjerne til informasjon som skole/kommune selv har gjort tilgjengelig på sine nettsider og lignende.  

Det er viktig å svare i et klart og tilgjengelig språk. Det er i de fleste tilfeller ikke tilstrekkelig å vise til leverandøren sin egen informasjon. Denne informasjonen er ofte i et språk som er vanskelig å forstå og tar heller ikke høyde for kommunens spesifikke bruk av tjenesten. Om det ikke finnes offentlig informasjon om kommunens/skolens bruk av en tjeneste bør dette gjøres tilgjengelig. 

Vi anbefaler også å vise til kommunens rutiner for digitale tjenester; eksempelvis at en inngår databehandleravtaler, gjennomfører risikovurderinger (ROS) og har rutiner for bruk av tjenesten. Det kan også være lurt å vise til avtalefestede rutiner hos både kommune og leverandør for å slette personopplysninger etter bruk. 

Uavhengig av om protesten blir innvilget eller ikke, må skolen umiddelbart begrense behandlingen av personopplysningene6 frem til det er gjennomført en interesseavveining mellom den registrertes særlige situasjon (individuelle hensyn) og den behandlingsansvarliges berettigede grunner for behandlingen (behandlingsgrunnlaget). Denne avveiningen kommer vi tilbake til i steg 4.  

I praksis betyr dette at skolen i den aktuelle perioden kun kan behandle personopplysninger etter samtykke fra den registrerte. Merk at det her gjøres et unntak i GDPR for lagring. Skolen skal under saksbehandlingen derfor ikke slette alle personopplysningene om eleven, men elevens bruk av systemet bør begrenses frem til saken er ferdig behandlet.  

For digitale systemer kan det være flere måter å begrense bruken på, alt etter hva protesten dreier seg om. Siden det er et enkeltindivid som protesterer, vil begrensningen i utgangspunktet kun gjelde enkeltindividet. En måte å begrense behandlingen kan være å pause aktiviteten det protesteres på (for eksempel kamera, spørreskjema etc.). Det innebærer at lærere/skoler for en periode endrer praksis, til protesten er avklart. Ved behov kan IT involveres, og gjerne fjerne tilgangen til enkelte tjenester.  

Gitt at behandlingen er lovlig, er det fornuftig å tenke seg nøye om før en eventuelt stanser hele bruken, eller deaktiverer brukeren fra hele systemet. Som nevnt, er det konkrete behandlinger i et system det kan protesteres på, ikke den generelle bruken av systemet. 

Hvis en behandlingsansvarlig (skolen) skal avvise en protest, må den vise at det foreligger «tvingende berettigede grunner for behandlingen som går foran den registrertes interesser.» 

GDPR artikkel 6(1) e) er det behandlingsgrunnlaget offentlige organer som hovedregel bruker for sine behandlinger av personopplysninger når de er pålagt oppgaver med hjemmel i lov. Det som skiller dette behandlingsgrunnlaget fra GDPR artikkel 6(1) c) «rettslig forpliktelse», er at det offentlige organet er gitt forholdsvis stor frihet i å bestemme hvordan oppgaven de er pålagt skal løses.  

Kommunen har et altså et handlingsrom. Den behandlingsansvarlige kan for eksempel bestemme hvilke midler eller verktøy den skal bruke for å løse den lovpålagte oppgaven. Den registrerte kan protestere på hvordan oppgaven kommunen er lovpålagt å gjennomføre løses, men ikke oppgaven i seg selv.  

Hvis en registrert har en særlig situasjon som tilsier at en behandling bør stoppe, vil den behandlingsansvarlige som hovedregel måtte stoppe behandlingen. Det betyr at den behandlingsansvarlige vil kunne komme i en situasjon hvor den på en og samme tid både må løse den lovpålagte oppgaven, og samtidig ikke behandle personopplysningene til den registrerte som har protestert. Den behandlingsansvarlige trenger imidlertid ikke gi den registrerte gjennomslag for protesten dersom det foreligger "tvingende berettigede grunner».  

Den behandlingsansvarlige har bevisbyrden og må derfor vurdere om det foreligger «tvingende berettigede grunner» som veier tyngre enn grunner knyttet til den registrertes særlige situasjon, dersom en protest ikke skal tas til følge.  

Dersom behandlingsgrunnlaget er GDPR artikkel 6(1) e) «utøvelse av offentlig myndighet» med supplerende hjemmelsgrunnlag i nasjonal lovgivning (eksempelvis Opplæringsloven), vil det i seg selv tale for at det foreligger en «tvingende berettiget grunn». Du kan lese mer om hvorfor det er slik i denne artikkelen.  

Det betyr imidlertid ikke at en behandlingsansvarlig kan legge til grunn at det alltid foreligger «tvingende berettigede grunner» når en registrert protesterer på en behandling som har hjemmel i artikkel 6(1) e). Den behandlingsansvarlige må fortsatt dokumentere at den har gjort en konkret skjønnsmessig vurdering hvor den enkelte registrertes spesielle forhold veies opp mot interessene den behandlings-ansvarlige har til å fortsette behandlingen. Dette er spesielt viktig når «tvingende berettigede grunner» påberopes og protesten avvises.  

Dersom interesseavveiningen viser at den registrertes grunner knyttet til sin særlige situasjon veier tyngre enn skolens grunner for behandlingen, skal protesten innvilges.  

Dersom protesten innvilges, skal det iverksettes relevante tiltak og behandlingen skal opphøre.  

Dersom protesten ikke innvilges, skal dette redegjøres for i et skriftlig svar til den registrerte i form av et enkeltvedtak (se utfall 3).  

Dersom den registrerte benytter seg av retten til å protestere, må skolen svare på protesten uten ugrunnet opphold, altså så raskt det lar seg gjøre. Dette er normalt senest innen én måned.  

Skolen må i svaret sitt redegjøre for hvordan skolen er pålagt i lov eller forskrift (som oftest opplæringsloven) å behandle personopplysningene til vedkommende, og hvordan dette hensynet er veid opp mot den registrertes særlige situasjon.  

Dersom protesten ikke innvilges, skal skolen fortelle den registrerte hvordan hen kan klage på vedtaket.  

Dersom kommunen vurderer det slik at det ikke foreligger særlige hensyn hos den registrerte som gjør at protesten skal tas til følge, vil det likevel i mange tilfeller være fornuftig å vurdere ulike tiltak for å imøtekomme henvendelsen. Eksempler på dette gis under.  

Eksempel 1: Protest på bruk av kamera i Google Meet 

Mulige tiltak:  

• Ha kun på kamera i starten av timen, i forbindelse med opprop 
• Vurder om den enkelte elev kan ha kamera av gjennom hele møtet 
• Fjerne eleven sin tilgang til Google Meet (fra IT) 
• Deaktivere eleven i hele systemet 

Eksempel 2: Protest på innleveringer av oppgaver med bilde/lyd av en elev 

Mulige tiltak 

• Sørge for at eleven kan velge en annen måte å levere inn på, som ikke involverer bilde/lyd 
• Gå i dialog med eleven - hva kan være en god løsning? 
• Ikke gi denne typen oppgaver til noen i klassen for en periode 
• Vurdere om eleven skal ha tilgang til tjenester med innspilling av bilde/lyd, eller om denne skal fjernes 

Som eksemplene viser, er det mange mulige tiltak en kan vurdere uten at konsekvensen nødvendigvis blir for stor. Årsaken til protesten for det enkelte individet vil være et godt grunnlag for å finne mulige tiltak. Under disse vurderingene er det fornuftig å være i kommunikasjon med den som protesterer. 

Dersom retten til å protestere skal innvilges kan ikke behandlingsansvarlig lenger gjennomføre behandlingen av personopplysningene som den registrerte har protestert på. Ettersom lagring av personopplysninger er en behandlingsaktivitet, innebærer dette at opplysningene som behandles må slettes.  

Merk at personopplysningene ikke skal slettes dersom de er arkivverdige, noe som ofte er tilfellet i offentlig sektor.  

Dersom den registrerte benytter seg av retten til å protestere, må skolen svare på protesten uten ugrunnet opphold, altså så raskt det lar seg gjøre. Dette er normalt senest innen én måned.  

Skolen må i svaret sitt redegjøre for hvordan skolen er pålagt i lov eller forskrift (som oftest opplæringsloven) å behandle personopplysningene til vedkommende, og hvordan dette hensynet er veid opp mot den registrertes særlige situasjon.  

Dersom protesten innvilges, skal behandlingen av personopplysninger som det protesteres på, opphøre.