Journalnummer: 2019-431-0045
Resume
Datatilsynet har truffet afgørelse i en sag, hvor tre gymnasier har anmeldt et brud på persondatasikkerheden til Datatilsynet vedrørende MaCom A/S, der som databehandler har videregivet dele af elevernes opgavebesvarelser til forskere fra Datalogisk Institut ved Københavns Universitet til brug for udvikling af plagiatprogrammer.
Datatilsynet har i afgørelsen fastslået, at MaCom har handlet i strid med de databeskyttelsesretlige regler ved at have videregivet uddrag af opgavebesvarelser til forskerne uden at have fået instruks herom fra de dataansvarlige.
Datatilsynet fandt, at opgavebesvarelser kan anses som personoplysninger, idet de er udtryk for opgavebesvarerens tankegang, dømmekraft og kritiske sans. Datatilsynet fandt endvidere, at uddrag af opgavebesvarelser, som videregives med henblik på udvikling af plagiatprogrammer, må betragtes som pseudonymiserede personoplysninger, idet uddragene må have kvaliteter, som kan identificere personer på baggrund af tankegang, dømmekraft, kritisk sans, og idet MaCom fortsat opbevarede opgavebesvarelserne i deres helhed i et andet, lukket, system, hvorfor uddragene kunne henføres til en bestemt registreret.
I forhold til graden af alvor har Datatilsynet i sin vurdering lagt vægt på, at MaCom ikke kunne redegøre for antallet af uddrag, som blev videregivet, eller antal af gange videregivelsen fandt sted. Datatilsynet betragter det imidlertid som formildende omstændigheder, at oplysningerne er blevet videregivet i videnskabeligt øjemed og med et samfundsmæssigt formål, at videregivelse er sket ved fremmøde og ikke ved udlevering, samt at videregivelsen er sket i pseudonymiseret form.
Afgørelse
Datatilsynet vender hermed tilbage til sagen, hvor tilsynet gennem tre anmeldelser om brud på persondatasikkerheden i henhold til databeskyttelsesforordningens[1] artikel 33 er blevet bekendt med, at MaCom A/S som databehandler for en række uddannelsesinstitutioner (Paderup Gymnasium, Aalborg Katedralskole og Århus Akademi) (herefter de dataansvarlige) har videregivet oplysninger om elever til forskere.
Datatilsynet tager ved denne afgørelse alene stilling til, hvorvidt der er sket en videregivelse af oplysninger uden en dokumenteret instruks, jf. databeskyttelsesforordningens artikel 28, stk. 3, litra a. Datatilsynet har således ved denne afgørelse ikke taget stilling til, hvorvidt MaCom kunne behandle oplysninger i henhold til artikel 6, stk. 1, litra a-f, hvis MaCom A/S havde været dataansvarlig.
1. Afgørelse
Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at MaCom A/S behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 28, stk. 3.
Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.
2. Sagsfremstilling
Det fremgår af sagen, at MaCom A/S har udviklet og leverer driften af skoleadministrationssystemet Lectio. MaCom A/S er, som led i driften af Lectio, databehandler for en række gymnasier og erhvervsskoler, herunder de dataansvarlige, bl.a. i forbindelse med behandling af opgavebesvarelser.
Henholdsvis den 15. og den 16. august 2019 anmeldte de dataansvarlige brud på persondatasikkerheden til Datatilsynet, idet de var blevet opmærksom på, at MaCom A/S havde givet forskere fra det Datalogiske Institut ved Københavns Universitet (herefter DIKU) adgang til information fra opgavebesvarelser. Den enkelte dataansvarlige var ikke blevet gjort opmærksom på videregivelsen og havde ikke givet tilladelse til videregivelsen.
Videregivelsen af oplysningerne er sket ved, at forskerne ved fysisk fremmøde hos MaCom A/S har fået adgang til data/oplysninger i form af uddrag af opgavebesvarelser. Uddragene af opgavebesvarelserne er opbevaret i elektronisk kopi, der er indlagt på et selvstændigt og lukket medie, som ikke har adgang til MaCom A/S’ it-system og øvrige data.
Af sagen fremgår, at MaCom A/S ikke er i besiddelse af en oversigt over antallet af oplysninger, som er stillet til rådighed for Datalogisk Institut, eller en oversigt over antallet af gange dette har fundet sted, idet de pågældende data/oplysninger løbende er blevet slettet i det lukkede medie/datarum. Projektet på Datalogisk Institut har været i kraft siden sommeren 2016 med planlagt afslutning i marts 2020. Det er over et år siden forskerne i projektet har haft adgang til oplysninger, og de vil ikke få det, så længe denne sag verserer.
2.1. MaCom A/S’ bemærkninger
Therkildsen Advokater har på vegne af MaCom A/S overordnet anført, at der konkret er tale om data/oplysninger, som ikke indeholder personoplysninger, og som det ligeledes ikke er muligt på nogen måde at henføre til en eller flere bestemte personer, hvorfor der ikke er tale om personoplysninger i databeskyttelsesforordningens forstand.
MaCom A/S har bemærket, at det videnskabelige formål med videregivelsen primært har været, at udvikle effektive algoritmer, der kan afsløre plagiater, eksempelvis i det tilfælde, hvor en studerende har skrevet af fra en tidligere afleveret opgave eller fået en anden person til at skrive en opgave.
Herudover har MaCom A/S anført, at MaCom A/S dagligt laver nye versioner af det studieadministrative system Lectio for at sikre, at de uddannelsesinstitutioner, der abonnerer, til stadighed lever op til de krav, der pålægges. Funktionalitet til at afsløre plagiat må anses som samfundsrelevant, politisk ønskværdig og nødvendig over for uddannelsesinstitutionerne, som har stor fokus på eksamenssnyd.
3. Begrundelse for Datatilsynets afgørelse
Datatilsynet lægger til grund, at der er sket en videregivelse af dele af opgavebesvarelser fra MaCom A/S til forskere fra DIKU.
Det følger af EU-Domstolens dom af 20. december 2017 i C-434/16 (Peter Nowak sagen), at en opgavebesvarelse kan anses som personoplysninger, som defineret i databeskyttelsesforordningens artikel 4, nr. 1, jf. direktiv 95/45. Det følger således af præmis 37, at ”… for det første afspejler indholdet af denne besvarelse deltagerens viden og kompetence inden for et givent område samt i givet fald hans tankegang, dømmekraft og kritiske sans”.
Datatilsynet lægger på den baggrund til grund, at der er tale om personoplysninger, jf. databeskyttelsesforordningens artikel 4, nr. 1, når en opgavebesvarelse behandles i sin helhed.
Det følger endvidere af EU-Domstolens dom af 19. oktober 2016 i C-582/14 (Breyer sagen) præmis 40, at der ved identificerbar person forstås en person, der ikke bare direkte, men også indirekte kan identificeres. Det følger videre af dommens præmis 44, at kvalificeringen af en oplysning som en personoplysning ikke kræver, at alle de oplysninger, der gør det muligt at identificere den registrerede, skal befinde sig hos en enkelt person.
Datatilsynet finder på denne baggrund, at MaCom A/S’ behandling af uddragene af opgavebesvarelserne skal anses som en behandling af pseudonymiserede personoplysninger, jf. databeskyttelsesforordningens artikel 4, nr. 5.
Datatilsynet har herved lagt vægt på, at MaCom A/S forsat opbevarede opgavebesvarelserne i deres helhed i deres eget, for forskerne, lukkede system, hvorigennem de enkelte registrerede kunne identificeres. Behandlingen af uddragene af opgavebesvarelserne har haft til formål at undgå plagiat og derved sikre, at en given besvarelse er udtryk for prøvedeltagerens egen tankegang, dømmekraft og kritiske sans. Uddragene af opgavebesvarelserne har dermed haft et sådant omfang, at plagiatsystemet skulle kunne genkende de enkelte besvarelser fra hinanden, hvorfor uddragene fortsat havde en sådan detaljeret karakter at de, ved brug af supplerende oplysninger, ville kunne henføres til en bestemt registreret.
Datatilsynet lægger endvidere til grund, at der ikke har foreligget en instruks fra den dataansvarlige til MaCom A/S om, at en videregivelse måtte finde sted, ligesom tilsynet lægger til grund, at der ikke i den forelagte databehandleraftale findes en beføjelse til, at MaCom A/S kunne behandle oplysninger, i form af opgavebesvarelser, med henblik på videregivelse.
Det følger af databeskyttelsesforordningens artikel 28, stk. 3, litra a, at en databehandler kun må behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige.
På baggrund af ovenstående finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at MaCom A/S behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 28, stk. 3.
Datatilsynet har herved lagt vægt på, at der er sket en behandling af personoplysninger uden den behørige instruks fra den pågældende dataansvarlige.
Datatilsynet har ved valg af graden af kritik i skærpende retning lagt vægt på, at MaCom A/S ikke kan redegøre for antallet af oplysninger, som er stillet til rådighed, eller antallet af gange videregivelsen har fundet sted.
Datatilsynet har i formildende retning lagt vægt på, at videregivelse er sket i videnskabeligt øjemed og med et samfundstjenesteligt formål, at der er tale om videregivelse af uddrag, at videregivelse er sket ved fremmøde og ikke ved udlevering, og at videregivelsen er sket i pseudonymiseret form.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).