Opplæringsforskrifta
§ 20-2 Styrt tilgang til personopplysningar
Kommunen og fylkeskommunen skal sørgje for tilgangsstyring, slik at dei som arbeider for verksemda, berre har tilgang til personopplysningar dersom og så langt dei treng opplysningane til formål som er nemnde i opplæringslova § 25-1. Kommunen og fylkeskommunen skal sørgje for at dei som arbeider for verksemda, har nødvendig kunnskap om personvern og informasjonstryggleik før dei får tilgang til personopplysningar.
Krava i første ledd gjeld personopplysningar som fell inn under personopplysningsloven.
Merknader til forskriften
Paragrafen er gitt med hjemmel i § 25‑1 sjette ledd og viderefører § 22A‑2 i den tidligere forskriften.
Første ledd presiserer kravene til tilgangsstyring og opplæring, som følger av blant annet GDPR artikkel 5 nr. 1 bokstav f. Det er kommunen og fylkeskommunen som har ansvar å sørge for at kravene til tilgangsstyring og nødvendig opplæring følges, se GDPR artikkel 5 nr. 2.
Andre ledd presiserer at kravene gjelder for behandling av personopplysninger slik disse er definert i personopplysningsloven, se GDPR artikkel 4 nr. 1. Personopplysningsloven gjelder «helt eller delvis automatisert behandling av personopplysninger og ved ikke-automatisert behandling av personopplysninger som inngår eller skal inngå i et register», se personopplysningsloven § 2 første ledd og GDPR artikkel 2.