Journalnummer: 2018-432-0015
Resumé
Datatilsynet indledte i august 2018 en sag af egen drift mod Fredericia Gymnasium, da Datatilsynet gennem medieomtale var blevet bekendt med Fredericia Gymnasiums og en række andre gymnasiers brug af Examcookie.
Examcookie er et program, som har til formål at monitorere elevers computeraktivitet under en eksamen for at sikre, at eksamen foregår efter de gældende regler.
Datatilsynet traf den 16. maj afgørelse i sagen. Datatilsynet fandt, at Fredericia Gymnasium ikke i tilstrækkelig grad havde redegjort for, at behandlingen af de indsamlede oplysninger om alle eksaminander var tilstrækkelig, relevant og begrænset til, hvad der var nødvendigt i forhold til formålet om at opdage og forebygge eksamenssnyd. Endvidere fandt Datatilsynet, at Fredericia Gymnasium ikke havde iagttaget oplysningspligten.
Datatilsynet bemærkede, at sagen efterlod et indtryk af, at Fredericia Gymnasium ikke var bevidst om omfanget af behandlingen og måden, hvorpå elevernes personoplysninger blev behandlet, og at det ikke stod Datatilsynet klart, om Fredericia Gymnasium havde overvejet, om brugen af Examcookie kunne ske inden for rammerne af de databeskyttelsesretlige regler. Dette fandt Datatilsynet i sig selv kunne have givet anledning til kritik.
Afgørelse
Datatilsynet vender hermed tilbage i sagen, hvor tilsynet den 23. august 2018 indledte en sag af egen drift mod Fredericia Gymnasium, da Datatilsynet gennem medieomtale var blevet bekendt med Fredericia Gymnasiums og en række andre gymnasiers brug af Examcookie.
Datatilsynet bemærker, at persondataloven pr. 25. maj 2018 er blevet ophævet og erstattet af databeskyttelsesforordningen[1] og databeskyttelsesloven[2]. Denne afgørelse er derfor truffet efter reglerne i databeskyttelsesforordningen og –loven.
Afgørelsen er truffet under hensyntagen til, at en del af sagen angår forhold, der tidsmæssigt ligger forud for, at databeskyttelsesforordningen fik virkning, og databeskyttelsesloven trådte i kraft.
1. Afgørelse
Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Fredericia Gymnasiums behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 5, stk. 1, litra c, og artikel 13.
Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.
2. Sagens omstændigheder
2.1. Sagsfremstilling
Datatilsynet blev ved medieomtale bekendt med, at Fredericia Gymnasium og en række andre gymnasier gjorde brug af Examcookie, hvorefter tilsynet indledte en undersøgelse af egen drift om Fredericia Gymnasiums behandling af personoplysninger i forbindelse med brugen heraf.
Examcookie er et program, som har til formål at monitorere elevers computeraktivitet under en eksamen for at sikre, at eksamen foregår efter gældende regler. Programmet downloades på elevens computer, inden eksamen starter. Det fremgår af Examcookies hjemmeside, at programmet afsluttes og som udgangspunkt slettes efter eksamen.
Programmet registrerer al aktivitet på computeren, herunder aktive URL-adresser, netværksadgange, processorer, clipboard og tager skærmdumps ved større skærmændringer.
En skoles eksamensansvarlige får ifølge Examcookies hjemmeside fuldt overblik over den aktivitet, der foregår på elevernes computere under eksamen. Efter eksamen sorterer programmet automatisk elevernes data, og det viser enhver kommunikation med omverdenen eller brug af ikke-tilladte hjælpemidler.
Til brug for sagens behandling anmodede Datatilsynet ved brev af 23. august 2018 Fredericia Gymnasium om en udtalelse. Fredericia Gymnasium afgav en sådan udtalelse ved brev af 6. september 2018.
Efterfølgende fandt Datatilsynet behov for yderligere udtalelser fra Fredericia Gymnasium, da gymnasiet ved den første udtalelse ikke havde besvaret tilsynets spørgsmål. Fredericia Gymnasium fremkom med yderligere udtalelser den 25. oktober og den 4. december 2018 og den 7. februar 2019.
2.2. Fredericia Gymnasiums bemærkninger
Fredericia Gymnasium har anført, at gymnasiet er dataansvarlig for behandlingen af personoplysninger, der sker i forbindelse med overvågningen af eksaminanders computere under prøveafholdelse, og at Examcookie er Fredericia Gymnasiums databehandler.
De oplysninger, der behandles i Examcookie, opdeles i to grupper: elevernes stamdata og de oplysninger, der registreres i forbindelse med eksamen. Stamdata opbevares krypteret og de andre oplysninger ukrypteret hos Microsoft Azure i 3 måneder på servere i Holland og Tyskland.
Fredericia Gymnasium har oplyst, at følgende personoplysninger bliver behandlet i forbindelse med brugen af Examcookie:
-
Kursistens fulde navn
-
Kursistens klasse og hold
-
Kursistens skole og årgang
-
Kursistens UNI-login brugerid
-
Kursistens personnummer
Fredericia Gymnasium har oplyst, at der kun er én person, der kan logge på i en administratorfunktion og dermed se oplysninger om eleverne.
Administrator har mulighed for at sætte et filter i Examcookies, som oplysningerne vises igennem. Filtret sættes op af administratoren selv. Der er forskellige parametre i filtret, som kan anvendes, f.eks. søgeord som Facebook og Google. Herefter vises der en oversigt over de elever, der falder ind under kriterierne. Fredericia Gymnasium har oplyst, at der fra administratormodulet er mulighed for at udskrive og downloade data til en lokal computer.
Fredericia Gymnasium har benyttet Examcookie ved afvikling af terminsprøver og sommereksamen i skoleåret 2017/2018.
Fredericia Gymnasium har anført, at gymnasiets grundlag for behandling af almindelige personoplysninger er databeskyttelsesforordningens artikel 6, stk. 1, litra e. Gymnasiet har endvidere henvist til sektorspecifikke regler om at forebygge og opdage snyd i forbindelse med eksaminer[3].
Fredericia Gymnasium har endvidere anført, at der som udgangspunkt ikke behandles følsomme personoplysninger. Det kan imidlertid ikke udelukkes, at der i forbindelse med brugen af Examcookies vil blive behandlet følsomme personoplysninger. Fredericia Gymnasium finder, at gymnasiets behandlingsgrundlag for behandling af disse følsomme personoplysninger er databeskyttelseslovens § 7, stk. 4.
Fredericia Gymnasium har anført, at behandlingen af personoplysninger, der finder sted ved brugen af Examcookie, sker i overensstemmelse med de grundlæggende principper i databeskyttelsesforordningens artikel 5.
Om oplysning til eleverne har Fredericia Gymnasium anført, at eleverne på et fællesmøde fik information om brugen af Examcookie. Eleverne er endvidere inden hver eksamen blevet gjort opmærksom på, hvad Examcookie gør. Til brug for orienteringen har gymnasiet via PowerPoint henvist til Examcookies hjemmeside for nærmere information.
Fredericia Gymnasium har i den forbindelse beklaget, at den information, der er givet, ikke lever op til kravene i databeskyttelsesforordningens artikel 13.
3. Begrundelse for Datatilsynets afgørelse
3.1.
Datatilsynet finder, at den omhandlede behandling af personoplysninger om skolens elever er omfattet af databeskyttelsesforordningen og databeskyttelsesloven, jf. henholdsvis artikel 2, stk. 1, og § 1, stk. 2.
Datatilsynet lægger på baggrund af Fredericia Gymnasiums udtalelse til grund, at Fredericia Gymnasium er dataansvarlig for den behandling af personoplysninger, der sker i forbindelse med overvågningen af eksaminanders computere under prøveafholdelse.
Der behandles foruden elevernes navn, klasse, hold, skole, årgang, UNI-login brugerid og personnummer også oplysninger i form af registreringer af al aktivitet på elevens computer under eksamen. Datatilsynet lægger dermed til grund, at Fredericia Gymnasium behandler almindelige personoplysninger omfattet af databeskyttelsesforordningens artikel 6 og oplysninger om personnummer omfattet af databeskyttelseslovens § 11 om eksaminanderne.
Datatilsynet anser formålet med behandlingen af personoplysninger for alene at være at opdage og undgå eksamenssnyd.
Almindelige ikke-følsomme personoplysninger kan efter databeskyttelsesforordningens artikel 6, stk. 1, litra e, behandles, hvis behandlingen er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.
Det er Datatilsynets opfattelse, at Fredericia Gymnasium med hjemmel i forordningens artikel 6, stk. 1, litra e, kan behandle almindelige ikke-følsomme personoplysninger med henblik på at undgå eksamenssnyd.
Datatilsynet finder endvidere, at Fredericia Gymnasium kan behandle elevernes personnumre efter databeskyttelseslovens § 11, stk. 1, da disse behandles med henblik på entydig identifikation af eleverne.
3.2.
De grundlæggende principper for behandling af personoplysninger, som følger af databeskyttelsesforordningens artikel 5, skal iagttages i forbindelse med enhver behandling af personoplysninger.
Dette indebærer bl.a., at personoplysninger altid skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles, jf. artikel 5, stk. 1, litra c (princippet om dataminimering).
Datatilsynet finder, at Fredericia Gymnasium ikke i tilstrækkelig grad har redegjort for, at behandlingen af de indsamlede oplysninger om alle eksaminander har været tilstrækkelig, relevant og begrænset til, hvad der er nødvendigt i forhold til formålet om at opdage og forebygge snyd, jf. databeskyttelsesforordningens artikel 5, stk. 1, litra c.
Datatilsynet finder, at Fredericia Gymnasium alene har redegjort for, at der er et behov for at kunne hindre eksamenssnyd, men at det ikke er godtgjort at der er behov for monitorering af elevernes private computere i det omfang, det sker ved brug af Examcookie.
Datatilsynet har herved lagt vægt på, at Fredericia Gymnasium ikke har foretaget en konkret vurdering af, hvilke oplysninger der behandles i forhold til de formål, hvortil oplysningerne behandles. Datatilsynet har endvidere lagt vægt på, at Fredericia Gymnasium ikke har redegjort for, at alle de indsamlede personoplysninger har været nødvendige for at opfylde Fredericia Gymnasiums formål med at opdage og forebygge snyd.
3.3.
Datatilsynet bemærker, at Fredericia Gymnasium har oplyst, at det ikke kan udelukkes, at der sker behandling af oplysninger omfattet af forordningens artikel 9, eksempelvis ved registrering af skærmprint af en elevs aktiviteter på elevens computer under en eksamen.
Fredericia Gymnasium har henvist til, at disse oplysninger i givet fald behandles efter databeskyttelseslovens § 7, stk. 4.
Denne bestemmelse har karakter af en opsamlingsbestemmelse med et snævert anvendelsesområde, der navlig forudsættes anvendt til bl.a. behandling af personoplysninger med henblik på sundhedssikkerhed, overvågning og varsling, forebyggelse eller kontrol af overførbare sygdomme og andre alvorlige trusler mod sundheden.
Datatilsynet bemærker i den forbindelse, at databeskyttelseslovens § 7, stk. 4, ikke kan udgøre et grundlag for behandling af følsomme personoplysninger ved brugen af Examcookie. Datatilsynet finder endvidere, at Fredericia Gymnasium ikke i øvrigt har godtgjort, at gymnasiet har et grundlag for at behandle følsomme personoplysninger omfattet af forordningens artikel 9.
3.4.
Når Fredericia Gymnasium indsamler personoplysninger hos eleverne, har gymnasiet pligt til at give eleverne en række oplysninger, jf. databeskyttelsesforordningens artikel 13.
Datatilsynet finder, at Fredericia Gymnasium ikke har iagttaget forordningens artikel 13.
Datatilsynet lægger herved bl.a. vægt på, at eleverne alene har fået en generel introduktion til programmet ved et fællesmøde samt en henvisning til de oplysninger, som følger af Examcookies egen hjemmeside.
Datatilsynet har noteret sig, at Fredericia Gymnasium har oplyst, at gymnasiet er opmærksom på, at oplysningspligten efter forordningens artikel 13 ikke er blevet iagttaget, og at Fredericia Gymnasium vil sikre, at man fremadrettet lever op til bestemmelsens krav.
3.5.
En dataansvarlig har en forpligtelse til at kunne dokumentere sin efterlevelse af databeskyttelsesforordningen og databeskyttelsesloven.
Datatilsynet bemærker på baggrund af mangelfulde og til tider modstridende oplysninger fra Fredericia Gymnasium, at sagen efterlader et indtryk af, at Fredericia Gymnasium ikke har været bevidst om omfanget af behandlingen og måden, hvorpå elevernes personoplysninger behandles ved brugen af programmet Examcookie.
Endvidere står det ikke klart, hvorvidt Fredericia Gymnasium faktisk har overvejet, om brugen af Examcookie kunne ske inden for rammerne af de databeskyttelsesretlige regler, hvilket Datatilsynet finder, i sig selv kan give anledning til kritik.
3.6.
På baggrund af ovenstående finder Datatilsynet således grundlag for at udtale alvorlig kritik af, at Fredericia Gymnasiums behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 5, stk. 1, litra c, og artikel 13.
4. Afsluttende bemærkninger
Det bemærkes, at Datatilsynet med nærværende afgørelse ikke har taget stilling til, om Fredericia Gymnasiums databehandleraftale med Examcookie lever op til kravene i databeskyttelsesforordningens artikel 28.
Afslutningsvis skal Datatilsynet oplyse, at tilsynet under sagens behandling har overvejet at politianmelde Fredericia Gymnasium med henblik på, at politiet kunne efterforske sagen nærmere, da Fredericia Gymnasiums svar ikke var fyldestgørende, og da Fredericia Gymnasium har givet modstridende oplysninger. Efter flere høringer af Fredericia Gymnasium finder Datatilsynet imidlertid, at sagen er tilstrækkelig oplyst til, at tilsynet kan træffe afgørelse.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).
[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).
[3] Bekendtgørelse nr. 1276 af 27. november 2017 om visse regler om prøver og eksamen i de gymnasiale uddannelser