Skriftlig innspill fra Øystein Flø Baste, Ingvild Schiøll Ericson, Kirsten Kolstad Kvalø

Høring: Representantforslag om å ta kommersielle aktører ut av skolen
Innspillsdato: 26.03.2025

Høringssvar til representantforslag om å ta kommersielle aktører ut av skolen

Oppsummering av hovedbudskap

Kommersiell utnyttelse av elevers personopplysninger gjennom digitale læringsverktøy er forbudt etter gjeldende rett. Praksis knyttet til innsamling av elevers personopplysninger for å målrette markedsføring, samt for deling av personopplysninger videre på et kommersielt marked, er regelbrudd som både kan og bør forfølges. Vi stiller oss fullt ut bak representantforslagets målsetning om å begrense trykket fra de kommersielle aktørene i den norske skolen, og kommenterer i vårt høringssvar representantforslagets punkt 1 om annonseblokkering, punkt 5 om håndheving, og punkt 6 om krav til kommersielle kontrakter. 

1. Introduksjon

Vi viser til representantforslag 107 S fra stortingsrepresentantene Kirsti Bergstø, Kari Elisabeth Kaski, Birgit Oline Kjerstad, Ingrid Fiskaa, Kathy Lie og Grete Wold om å ta kommersielle aktører ut av skolen. Som stipendiater i rettsvitenskap på området for barns digitale personvern, har vi følgende kommentarer: 

Vårt hovedbudskap er at kommersiell bruk av elevers personopplysninger i all hovedsak er forbudt etter gjeldende rett. Utfordringene er altså ikke fravær av regulering, men at dagens systemer for kontroll og håndheving er utilstrekkelige og utilgjengelige. Flere av forslagene i representantforslaget vil kunne bidra til å unngå lovbrudd, slik som forslag om nasjonalt testsenter, en nasjonal katalog over digitale tjenester, og utvikling av en personvernnorm for skolesektoren. Vi tar ikke konkret stilling til representantforslagets pkt. 2-4, men støtter på generelt grunnlag alle tiltak som gjør at digitale læringsverktøy blir brukt til sine formål, uten risiko for skadelig innhold, målrettet reklame eller personvernbrudd. Slik situasjonen i skolen er i dag, er det imidlertid også behov for å gjøre noe med de pågående lovbruddene knyttet til kommersielle aktørers rolle i norske klasserom. Vårt høringssvar konsentrerer seg om hvordan slike lovbrudd kan håndheves. 

Digital teknologi kan støtte barns tilgang til utdanning, og bidra til å fremme mange av barns rettigheter knyttet til informasjon, utdanning, ytringsfrihet med mer. Digitalisering av klasserommet utfordrer imidlertid samtidig barns rett til privatliv og personvern, samt rett til beskyttelse fra ulike former for markedsføring. Digital læringsteknologi leveres ofte av selskaper som bygger hele sin forretningsmodell på behandling av brukernes personopplysninger, som Microsoft og Google. Slik teknologi finansieres i stor grad gjennom innsamling av personopplysninger om den enkelte elev. Opplysningene deles ofte videre mellom selskaper på et kommersielt marked, for så å danne grunnlag for målrettet markedsføring. I tillegg til å bryte med sentrale regler for både personvern og markedsføring, er praksisen problematisk i lys av barns rett til vern mot økonomisk utnyttelse etter FNs barnekonvensjon art. 32. Vi viser også til at Norge i år for syvende gang skal eksamineres av FNs barnekomité under den periodiske rapporteringsmekanismen. I den forbindelse har komitéen stilt spørsmål til Norge om hvilke tiltak Norge gjør for å beskytte barn mot personvernkrenkelser, for å sikre barn effektive håndhevingsmuligheter, samt for å beskytte barn mot skadelig innhold og markedsføring.  

FNs barnekomité har uttalt at statene har ansvar for å sikre at bruken av digital læringsteknologi er «etisk og hensiktsmessig for pedagogiske formål og ikke utsetter barn for … misbruk av deres personopplysninger, kommersiell utnyttelse eller andre brudd på deres rettigheter». Til tross for bred enighet om at barn ikke skal utsettes for kommersiell utnyttelse i skolen, har aktører som Personvernkommisjonen, Skjermbrukuvalget, Forbrukerrådet og Datatilsynet vist til at dette er utbredt i norsk skole. Vi stiller oss derfor fullt ut bak representantforslagets initiativ til å bekjempe kommersielle aktørers sentrale rolle i klasserommet. Slik vi ser det, er løsningen i stor grad knyttet til bedre håndheving av dagens regelverk. I det følgende kommenteres spesielt pkt. 1, 5 og 6.   

 

2. Forslagets pkt. 1 - annonseblokkering

Reklame som skaper kommersielt press, og reklame som er målrettet mot elever, er forbudt. Vi støtter derfor representantforslagets pkt. 1 om annonseblokkering på skolens digitale enheter, som et strakstiltak for å sikre etterlevelse av regelverket. 

---- 

Som vist nedenfor i punkt 3, er det forbudt å samle personopplysninger gjennom digitale læringsverktøy for å målrette markedsføring til elevene. Allerede av den grunn er målrettet markedsføring på skolens digitale enheter forbudt, og kan og bør forfølges som personvernbrudd. 

I tillegg har barn et særlig vern mot enkelte former for markedsføring. Kommunen og fylkeskommunen skal etter opplæringsloven § 27-1 sørge for at elevene ikke utsettes for reklame som er egnet til å skape et kommersielt press, eller som i stor grad kan påvirke holdninger, oppførsel og verdier. Dette forklares i lovens forarbeider med at «det ikkje er tillate med reklame som kan ha uheldig påverknad på elevane». Det er godt dokumentert at slik uheldig påvirkning finner sted i dag, ved at barn eksempelvis mottar reklame for slanking og skjønnhetsoperasjoner. Opplæringslovens forbud underbygges av barns særlige vern etter personvernforordningen og markedsføringsloven kapittel 4, samt et forbud mot profilering av barn for målrettet markedsføring i forordning for digitale tjenester art. 28 nr. 2, som det jobbes for å gjennomføre i Norge.  

Mye av dagens praksis strider mot ovennevnte regler. Vi støtter derfor at annonseblokkering innføres på skolens enheter som et strakstiltak, for å sikre etterlevelse av dagens regelverk. 

 

 

3. Forslagets pkt. 5: - håndheving av dagens regelverk 

Innsamling av elevers personopplysninger gjennom digitale læringsverktøy for målrettet markedsføring og andre kommersielle formål er klart forbudt etter gjeldende rett. Regelbruddene både kan og bør forfølges, i tråd med representantforslaget pkt. 5. Det bør utredes nærmere hvordan håndhevingen og kontrollen kan styrkes. 

---- 

Barn har både rett og plikt til å gå på skolen, og de er avhengige av at skolen ivaretar deres personopplysninger i samsvar med regelverket. All behandling av personopplysninger krever et rettslig grunnlag etter personvernforordningen art. 6. Som generelt utgangspunkt forankres bruken av digitale løsninger i skolesektoren i opplæringsloven og personvernforordningens art. 6 første ledd bokstav e. Bestemmelsen legitimerer databehandling som er nødvendig for å «utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet», og sikrer at databehandling som er nødvendig for å levere lovpålagt undervisning etter opplæringsloven er tillatt. Databehandling som ikke er nødvendig for å oppfylle de lovhjemlede formål, kan derimot ikke forankres i bestemmelsen. Da det aldri vil være nødvendig etter opplæringsloven å målrette markedsføring eller å dele elevers personopplysninger på et kommersielt marked, er slik databehandling heller ikke lovlig etter bestemmelsen. Også andre behandlingsgrunnlag etter art. 6, som berettiget interesse (bokstav f) og rettslige plikter (bokstav c) krever at databehandlingen er nødvendig for et nærmere definert formål. På grunn av manglende nødvendighet og forankring i lovverket, vil heller ikke disse kunne legitimere behandling av elevers personopplysninger for kommersielle formål. Også samtykke som behandlingsgrunnlag (bokstav a) er i all hovedsak uanvendelig, da et samtykke som avgis for å delta i lovpålagt undervisning sjelden kan anses frivillig.2  

Datainnsamling for målrettet markedsføring og andre kommersielle formål for selskapenes inntjening er følgelig klart forbudt etter gjeldende rett. Regelbruddene både kan og bør forfølges, se representantforslagets pkt. 5.   

Selv om eksisterende regler i EUs personvernforordning kan synes uoversiktlige, er reglene – sett i sammenheng – likevel egnet til å verne om elevenes personvern. Problemet er at dagens mekanismer for kontroll og håndheving er utilstrekkelige og utilgjengelige. Det nytter ikke at regelverket er på plass all den tid det ikke blir håndhevet og personvernbrudd ikke får konsekvenser. Foresatte/elever kan kreve oppreisningserstatning for personvernbrudd etter personvernforordningen artikkel 82. Dagens ordning for håndheving av personvernbrudd baserer seg imidlertid i stor grad på at elever og eller foreldre selv klager inn brudd til Datatilsynet. Vi skjønner alle at barn har dårlige forutsetninger for å forfølge staten, Apple, Microsoft eller Google, enten det gjelder klage til Datatilsynet eller søksmål for domstolene. Det er heller ikke lett for et barn å skjønne når en skole eller barnehage begår personvernbrudd, og hvordan barnet i så fall skal gå frem for å klage. Foreldre kan forfølge saken på et barns vegne, men det er verken sikkert at deres interesser sammenfaller med barnets, eller at foreldrene selv finner frem i det juridiske landskapet. Personvernkommisjonen (NOU 2022: 11) uttalte at bare «spesialister» er i stand til å finne frem til klagemulighetene. Derfor mener vi organisasjoner vil spille en avgjørende rolle ved å klage inn personvernbrudd.  

Organisasjoner kan klage inn personvernbrudd til Datatilsynet på vegne av foresatte/elever. Dette krever imidlertid at sistnevnte har samtykket til å la seg representere av organisasjonen. Etter dagens regelverk kan ikke organisasjoner klage inn brudd uten slikt samtykke.  

For å styrke håndhevingsmekanismene har vi i en annen sammenheng foreslått at norske myndigheter må ta i bruk adgangen som følger av personvernforordningen artikkel 80 nr. 2. Denne bestemmelsen gir myndighetene adgang til å fastsette at organisasjoner har rett til å klage på vegne av barn/foresatte uten samtykke. Med en slik rett kan aktører som Barneombudet, Redd Barna og Forbrukerrådet klage inn saker til Datatilsynet og domstolene på barns vegne, og med dette drive rettsutviklingen fremover. Det kan føre til prinsipielle avklaringer med virkning for den enkelte og de mange, og til at brudd på barns personvern kan få reelle konsekvenser. Forslaget vårt ligger på regjeringens nettsider om innspill til etterkontroll av personopplysningsloven.

Datatilsynet kan iverksette undersøkelser på eget initiativ, etter avviksmelding fra en behandlingsansvarlig, eller på annen oppfordring. Vi ser det som positivt at Datatilsynet våren 2025 igangsatte et tilsyn av skolene. Likevel vil det være behov for å styrke de permanente mekanismene for håndheving og kontroll.    

Vi vil løfte frem tre poeng som kan bidra til å fremme kontroll og håndheving av dagens personvernregelverk i skolen.  

  •  Forbedret tilgang til informasjon  

Det er avgjørende å sikre enkel og tydelig informasjon om personvernrettigheter, samt hvilke instanser man kan henvende seg til ved brudd. Dette inkluderer å formidle rettighetene på en måte som er forståelig for både elever og foresatte, slik at de vet hvordan de skal gå frem ved personvernbrudd. 

Dessuten opplever vi at det mangler åpenhet om hvilke personopplysninger som blir samlet inn og til hvilke formål opplysningene blir benyttet. Forståelig og tilgjengelig informasjon om behandling av personopplysninger er derfor en forutsetning.  

  •  Muligheter til å melde inn brudd  

Innføring av en brukervennlig løsning, for eksempel via en nettportal, kan gjøre det lettere for foresatte og elever å melde inn personvernbrudd. Dette kan bidra til økt registrering og håndtering av slike brudd, og dermed sørge for at regelverket følges og håndheves mer effektivt. 

  •  Styrket tilsyn av barns personvern 

 Behovet for å styrke tilsynet med barns personvern er prekært. Dette krever målrettet innsats og øremerkede midler til tilsynsmyndighetene. Tilsynsvirksomheten spiller også en viktig rolle for å avdekke personvernbrudd, og dette vil kunne gi viktig kunnskap om hvordan forebyggingen skal innrettes.  

 

4. Forslagets pkt. 6 – om reklameforbud i kommersielle kontrakter

 

Det er forbudt å samle personopplysninger gjennom digitale læringsverktøy som brukes til målrettet markedsføring. Det er altså ikke et spørsmål om slik praksis skal forbys, men hvordan man skal sikre gjennomføring av et allerede eksisterende forbud i de kommersielle kontraktene.  

--- 

Målrettet markedsføring mot skoleelever, bygger på innsamling av personopplysninger gjennom digitale læringsverktøy. Som vist i høringssvarets pkt. 3 må enhver innsamling av personopplysninger forankres i et behandlingsgrunnlag etter personvernforordningen art. 6. Da bestemmelsen ikke åpner for datainnsamling for markedsføringsformål, er det allerede i dag forbudt å inngå avtaler som bygger på slik praksis.  

Konsekvensen av at slike avtaler er forbudt, er at praksis med forankring i slike avtaler kan påberopes og håndheves – både som brudd på personvernregler, samt etter nasjonale avtalerettslige gyldighetsregler. 

Det må i tillegg utredes hvordan man sikrer at avtaler som inngås ikke strider mot gjeldende rett. Personvernkommisjonen pekte på åpenbare problemer knyttet til fravær av forhandlingsmakt der den enkelte kommune eller skoleeier skal inngå kommersielle avtaler med sterke aktører, som Google og Microsoft. Å tilby barns personopplysninger for markedsføringsformål er imidlertid ikke en rett skoleeier gyldig kan forhandle bort. Det må følgelig sikres at de kommersielle avtalene ikke inneholder klausuler som åpner for slik praksis, og det bør i tillegg inntas som eksplisitte forutsetninger at slik praksis ikke skal finne sted. Vi støtter derfor at det utredes nærmere hvordan man mest hensiktsmessig sikrer at den enkelte kommune, uavhengig av kompetanse og ressurser, kan ivareta elevenes interesser overfor leverandørene. Spørsmålet om en nasjonal tjenestekatalog og et nasjonalt testsenter kan i den anledning være forhold som utredes nærmere.  

 Vi oppfordrer til at det utredes nærmere hvordan man sikrer at avtaler om levering av digitale læringsverktøy inngås under forutsetning av at innsamling av personopplysninger for målrettet markedsføring i skolen ikke skal finne sted.