Journalnummer: 2018-432-0017
Resumé
Datatilsynet besluttede i efteråret 2018 at indlede en undersøgelse af offentliggørelsen af personoplysninger i det studieadministrative system Lectio, som anvendes af størstedelen af gymnasieskolerne. Med henblik på undersøgelsens udførelse udvalgte tilsynet et tilfældigt gymnasium, som skulle svare på en række spørgsmål. Under Datatilsynets behandling af sagen besluttede MaCom A/S, der udbyder Lectio, at lægge alle oplysninger i Lectio bag et login.
Tilsynet traf den 4. juli 2019 afgørelse i sagen. Efter tilsynets opfattelse var offentliggørelsen af personoplysninger om tidligere og nuværende læreres og elevers skemaer i det studieadministrative system Lectio – på trods af tilsynets tidligere praksis – ikke sket i overensstemmelse med de databeskyttelsesretlige regler.
Samlet set fandt Datatilsynet, at offentliggørelsen af personoplysninger gik videre, end hvad der var nødvendigt i forhold til formålet med behandlingen, og derfor kunne offentliggørelsen ikke rummes inden for de databeskyttelsesretlige regler. Dette gjaldt både offentliggørelsen som sådan og offentliggørelsens tidsmæssige udstrækning.
Datatilsynet lagde ved vurderingen vægt på, at den tidligere åbenhed på Lectio umiddelbart ikke forfulgte formål, der i tilstrækkelig grad berettigede offentliggørelsen. At oplysningerne ved offentliggørelse var let tilgængelige for elever og lærere ændrede ikke på dette. I forlængelse heraf lagde tilsynet vægt på, at offentliggørelsen i et vist omfang indebar mulighed for misbrug, som følgelig kunne medføre visse risici for de registrerede.
Endelig udtalte Datatilsynet, at de grundlæggende principper for behandling af personoplysninger fortsat skal overholdes i forbindelse med behandlingen af oplysninger bag login. Det indebærer bl.a., at de oplysninger, der er lagt bag login, skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold de(t) formål, hvortil de behandles. Gymnasiet vil således skulle begrænse adgangen til oplysningerne i videst mulige omfang både i forhold til indholdet og den tidsmæssige udstrækning, ligesom det i den forbindelse må overvejes, hvilke oplysninger de enkelte grupper af personer skal have adgang til.
Udtalelsen
Datatilsynet vender hermed tilbage i sagen, som tilsynet har iværksat af egen drift, hvor tilsynet ved brev af 9. oktober 2018 anmodede Rungsted Gymnasium om en udtalelse om offentliggørelsen af personoplysninger via internettet på hjemmesiden www.Lectio.dk (herefter Lectio), der udbydes af MaCom A/S.
Rungsted Gymnasium har ved brev af 6. november 2018 afgivet en udtalelse til sagen.
1. Datatilsynets udtalelse
Efter en gennemgang af sagen finder Datatilsynet, at offentliggørelsen af personoplysninger om tidligere og nuværende læreres og elevers skemaer i det studieadministrative system Lectio ikke er sket i overensstemmelse med de databeskyttelsesretlige regler.
Datatilsynet har imidlertid noteret sig, at MaCom A/S – under sagens behandling – har besluttet at lægge alle oplysninger i Lectio bag et login. Tilsynet foretager sig på denne baggrund ikke yderligere i sagen.
Nedenfor følger en gennemgang af sagen og en nærmere redegørelse for Datatilsynets konklusion.
2. Sagsfremstilling
Det fremgår af sagen, at der på Rungsted Gymnasiums åbne side på Lectio[1] blev offentliggjort – uden krav om login – personoplysninger om tidligere og nuværende læreres og elevers skemaer, herunder oplysninger om læreres tjenestefrihed og elevers prøvetidspunkter. På tidspunktet for indledningen af denne sag var det muligt at tilgå oplysninger tilbage fra skoleåret 2005/06 og frem til skoleåret 2018/19.
Rungsted Gymnasium har til sagen oplyst, at gymnasiet er dataansvarlig for den behandling af personoplysninger, som er beskrevet ovenfor.
Rungsted Gymnasium har endvidere oplyst, at der via Lectio alene offentliggøres personoplysninger omfattet af databeskyttelsesforordningens artikel 6. Gymnasiet har i forlængelse heraf oplyst, at offentliggørelsen af personoplysninger om gymnasiets medarbejdere sker i medfør af forordningens artikel 6, stk. 1, litra b, mens oplysninger om eleverne sker i henhold til forordningens artikel 6, stk. 1, litra e.
Rungsted Gymnasium har anført, at MaCom A/S efter gymnasiets opfattelse også er ansvarlig for offentliggørelsen af personoplysninger, da MaCom A/S ikke tidligere har imødekommet gymnasiets behov og krav om lukning af adgangen til personoplysninger på Lectios forside uden login, ligesom MaCom A/S tidligere har afslået gymnasiets anmodning om at fjerne gymnasiet fra forsiden på Lectios hjemmeside.
Rungsted Gymnasium har i forlængelse heraf oplyst, at det efter modtagelse af Datatilsynets brev af 9. oktober 2018 lykkedes Rungsted Gymnasium at få MaCom A/S til at fjerne skemaer fra tidligere skoleår fra den åbne del af hjemmesiden. Gymnasiet fjernede endvidere linket til Lectio på gymnasiets egen hjemmeside for at begrænse adgangen til de offentligt tilgængelige oplysninger og har bestræbt sig på manuelt at minimere mængden af oplysninger i skemaerne for indeværende skoleår.
Rungsted Gymnasium har endvidere generelt oplyst om de tiltag, som gymnasiet i øvrigt har iværksat med henblik på at højne databeskyttelsen for både elever og lærere.
Under Datatilsynets behandling af denne sag har MaCom A/S besluttet at lægge alle oplysninger i Lectio bag et login. Rungsted Gymnasium har herom oplyst, at MaCom fremadrettet vil oprette ”skillevægge” bag loginfunktionen, og at Rungsted Gymnasium – indtil MaCom A/S har foretaget alle nødvendige ændringer – har fastsat sine egne procedurer for behandlingen af oplysninger i Lectio.
3. Relevante retsregler
Databeskyttelsesforordningen finder anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikke-automatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register, jf. forordningens artikel 2, stk. 1.
Behandling af almindelige, ikke-følsomme oplysninger må finde sted, hvis én af følgende betingelser i databeskyttelsesforordningens artikel 6, stk. 1, litra a-f, er opfyldt:
- Den registrerede har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke formål.
- Behandling er nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en kontrakt.
- Behandling er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige.
- Behandling er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser.
- Behandling er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.
- Behandling er nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, der kræver beskyttelse af personoplysninger, går forud herfor, navnlig hvis den registrerede er et barn.
Artikel 6, stk. 1, litra f, gælder ikke for behandlinger, som offentlige myndigheder foretager som led i udførelsen af deres opgaver.
Behandling af personoplysninger skal i øvrigt altid ske i overensstemmelse med de grundlæggende principper i databeskyttelsesforordningens artikel 5.
Det betyder bl.a., at oplysninger skal:
- behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede (»lovlighed, rimelighed og gennemsigtighed«)
- indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål (»formålsbegrænsning«)
- være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles (»dataminimering«)
- opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles (»opbevaringsbegrænsning«).
4. Baggrunden for Datatilsynets konklusion
Datatilsynet tager i det følgende alene stilling til den offentliggørelse af personoplysninger, som gjorde sig gældende på tidspunktet for tilsynets indledning af denne sag.
Datatilsynet finder – i overensstemmelse med Rungsted Gymnasiums tilkendegivelse herom – at gymnasiet var dataansvarlig for den omhandlede offentliggørelse af personoplysninger på Lectio, jf. definitionen i forordningens artikel 4, nr. 7, mens MaCom A/S agerer databehandler for gymnasiet, jf. definitionen i artikel 4, nr. 8.
Datatilsynet bemærker, at Rungsted Gymnasiums bemærkninger om MaCom A/S’ manglende vilje til at ændre systemet i overensstemmelse med gymnasiets ønsker efter Datatilsynets opfattelse ikke har betydning for den nærværende sag, der vedrører gymnasiets forpligtelser som dataansvarlig for den omhandlede behandling af personoplysninger.
Datatilsynet lægger på baggrund af sagens oplysninger til grund, at der ikke blev offentliggjort personoplysninger omfattet databeskyttelsesforordningens artikel 9, der vedrører behandling af særlige kategorier af personoplysninger (følsomme oplysninger). Det betyder, at der alene skal findes et behandlingsgrundlag i forordningens artikel 6.
Som beskrevet ovenfor har Rungsted Gymnasium anført, at behandlingsgrundlaget for gymnasiets offentliggørelse af personoplysninger om gymnasiets medarbejdere sker i medfør af databeskyttelsesforordningens artikel 6, stk. 1, litra b, mens oplysninger om eleverne sker i henhold til forordningens artikel 6, stk. 1, litra e.
Efter forordningens artikel 6, stk. 1, litra b, er en behandling af personoplysninger lovlig, hvis behandlingen er nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en kontrakt. Det er Datatilsynets opfattelse, at denne bestemmelse ikke kan udgøre grundlaget for den omhandlede offentliggørelse af personoplysninger om gymnasiets lærere. Dette skyldes, at det efter tilsynets opfattelse ikke kan anses for nødvendigt i det konkrete tilfælde at offentligøre personoplysninger med henblik på opfyldelsen af en ansættelseskontrakt.
Datatilsynet finder, at behandlingen bør vurderes efter forordningens artikel 6, stk. 1, litra e, hvorefter en behandling af personoplysninger er lovlig, hvis behandlingen er nødvendig af hensyn til udførelse af en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.
Bestemmelsen i forordningens artikel 6, stk. 1, litra e, skal ses i sammenhæng med de grundlæggende principper for behandling af personoplysninger indeholdt i forordningens artikel 5. Efter artikel 5, stk. 1, litra c, er behandling af personoplysninger således undergivet et proportionalitetsprincip, mens en behandling efter bestemmelsens litra e er underlagt en generel opbevaringsbegrænsning.
Samlet set finder Datatilsynet, at den omhandlede offentliggørelse af personoplysninger gik videre, end hvad der var nødvendigt i forhold til formålet med behandlingen, hvorfor offentliggørelsen ikke ses at kunne rummes inden for de databeskyttelsesretlige regler. Dette gælder både offentliggørelsen som sådan og offentliggørelsens tidsmæssige udstrækning.
Datatilsynet har i den forbindelse lagt vægt på, at den tidligere åbenhed på Lectio umiddelbart ikke forfulgte sådanne formål, der i tilstrækkelig grad berettigede offentliggørelsen. At oplysningerne ved offentliggørelse var let tilgængelige for elever og lærere ændrer ikke herved. I forlængelse heraf har tilsynet lagt vægt på, at offentliggørelsen i et vist omfang indebar mulighed for misbrug, som følgelig kunne medføre visse risici for de registrerede.
Datatilsynet bemærker, at tilsynet tidligere har udtalt sig om behandlingen af personoplysninger i Lectio.[2] I den seneste udtalelse (j.nr. 2009-24-0028) fandt tilsynet, at det pågældende gymnasium havde en berettiget interesse i at kunne offentliggøre lærerskemaer på Lectio, og at hensynet til den registrerede ikke oversteg denne interesse, hvorfor behandlingen kunne rummes inden for persondatalovens[3] § 6, stk. 1, nr. 7 (interesseafvejningsreglen).
På trods heraf finder Datatilsynet – af de grunde som er anført ovenfor – at offentliggørelsen ikke kunne rummes inden for databeskyttelsesforordningens og databeskyttelseslovens rammer. Denne udtalelse er således udtryk for en fornyet vurdering af offentliggørelsen af personoplysninger på Lectio.
Afslutningsvis henleder Datatilsynet opmærksomheden på, at bl.a. de grundlæggende principper for behandling af personoplysninger indeholdt i databeskyttelsesforordningens artikel 5 fortsat skal overholdes i forbindelse med behandlingen af oplysninger bag login.
Det indebærer bl.a., at de oplysninger, der er lagt bag login, skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold de(t) formål, hvortil de behandles. Rungsted Gymnasium vil således skulle begrænse adgangen til oplysningerne i videst mulige omfang både i forhold til indholdet og den tidsmæssige udstrækning, ligesom det i den forbindelse må overvejes, hvilke oplysninger de enkelte grupper af personer skal have adgang til.
5. Afsluttende bemærkninger
Datatilsynet anser hermed sagen for afsluttet og foretager sig herefter ikke yderligere i sagen.
[1] https://www.lectio.dk/lectio/59/default.aspx.
[2] Henholdsvis j.nr. 2004-312-0045 og 2009-24-0028.
[3] Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer (ophævet).