Journalnummer: 2024-41-0093.
Resumé
Formålet med tilsynet var overordnet at undersøge skolernes behandling af personoplysninger, særligt med fokus på videregivelse af personoplysninger, indsigt og sletning.
Tilsynet med skolerne har givet Datatilsynet et indblik i skolernes ”modenhedsniveau” i forhold til efterlevelse af reglerne om hjemmel til videregivelse og håndtering af rettighedsanmodninger.
Datatilsynet er i forbindelse med et tilsyn med frie grundskolers behandling af personoplysninger blevet opmærksom på, at en større antal af skolernes privatlivspolitikker, indeholder følgende afsnit:
”Du har ret til at få indsigt i de oplysninger, som vi behandler om dig og en række andre oplysninger. Skolen kan tage et gebyr for dette arbejde. Dette skal være et rimeligt gebyr under hensyn til de administrative omkostninger ved at give de pågældende oplysninger. Datatilsynet skriver på deres hjemmeside, at den private dataansvarlige kan kræve 10 kr. for hver påbegyndt side, men at betalingen ikke kan overstige 200 kr.”
Datatilsynet understreger, at det pågældende afsnit ikke længere er i overensstemmelse med de gældende databeskyttelsesregler, og opfordrer til, at det fjernes fra privatlivspolitikken.
På baggrund af besvarelserne fra skolerne har Datatilsynet derudover kunne konstatere, at der har været behov for nærmere vejledning angående hjemmel til videregivelse og håndtering af rettighedsanmodninger.
I det afsluttende brev til skolerne har Datatilsynet samlet sine generelle observationer og bemærkninger baseret på de modtagne svar.
Afsluttende brev
1. Tilsyn med frie grundskoler afsluttes
Datatilsynet indledte i maj 2024 et tilsyn med 25 udvalgte skoler omfattet af lov om friskoler og private grundskoler m.v.[1] Tilsynets fokusområde har været
- hjemmel til videregivelse af personoplysninger,
- håndtering af anmodninger om indsigt efter databeskyttelsesforordningens[2] artikel 15 og
- sletning efter forordningens artikel 17.
Formålet med tilsynet med skolerne har først og fremmest været – overordnet – at undersøge skolernes behandling af personoplysninger, særligt med fokus på videregivelse, indsigt og sletning. Formået har således været af mere afdækkende karakter, og tilsynet har således ikke konkret forhold sig til enkelte skoler, herunder om enkelte skoler konkret har behandlet personoplysninger i strid med databeskyttelsesreglerne. Datatilsynet har dog – overordnet – konstateret, at der er behov for nærmere vejledning til skolerne på visse af de nævnte områder.
Nedenfor i afsnit 2 har Datatilsynet samlet sine generelle observationer og bemærkninger på baggrund af de svar, som tilsynet har modtaget.
Tilsynet med skolerne har givet Datatilsynet et indblik i skolernes ”modenhedsniveau” i forhold til efterlevelse af reglerne om hjemmel til videregivelse samt håndtering af rettighedsanmodninger. Indsigten herfra vil kunne indgå i Datatilsynets overvejelser om kommende tilsyns- og vejledningsaktiviteter.
Datatilsynet afslutter tilsynssagen med dette brev.
Til brug for skolernes videre arbejde med at sikre, at behandlingen af personoplysninger – også uden for de emner, som tilsynet aktuelt har undersøgt – sker i overensstemmelse med databeskyttelsesreglerne, kan Datatilsynet henvise til tilsynets hjemmeside www.datatilsynet.dk, som indeholder vejledningsmateriale om en række forskellige emner inden for databeskyttelse.
2. Datatilsynets generelle observationer og bemærkninger
2.1. Hjemmel til videregivelse af personoplysninger
2.1.1. Indledende bemærkninger
Et af tilsynets fokusområder har som nævnt været hjemmel til videregivelse af personoplysninger, med et særligt fokus på den elektroniske videregivelse af personoplysninger, der sker fra skolerne til forældre (eller grupper af forældre) via f.eks. e-mail, Forældreintra eller andre platforme (herunder eventuelt kommercielle sociale medier, såsom Facebook, Instagram, mv.). Tilsynet har bl.a. spurgt, hvilke kategorier af personoplysninger skolerne videregiver, til hvilke formål videregivelsen sker, samt med hvilken hjemmel personoplysningerne bliver videregivet.
Datatilsynet har på baggrund af skolernes besvarelser konstateret, at der kan være grundlag for forbedring, når det kommer til at identificere både kategorier af personoplysninger, formål og hjemmel.
Først og fremmest er det vigtigt, at man gør sit forarbejde, inden man når til behandlingen af personoplysninger. Heri ligger bl.a., at det er vigtigt, at man kigger på både de behandlingsaktiviteter, man ønsker at foretage sig, men også på formålet med behandlingerne, samt hvilken type af personoplysninger man gerne vil behandle. Dette gør det lettere både at kunne redegøre for behandlingshjemmel, men også at kunne besvare rettighedsanmodninger og sikre overholdelse af oplysningspligten i henhold til databeskyttelsesforordningens artikel 13 og 14.
Hver enkelt skole kan således med fordel sammenholde sin besvarelse til Datatilsynet med vejledning i dette brev og vejledninger på Datatilsynets hjemmeside, med henblik på at se, om der er steder, hvor skolerne kan tydeliggøre og præcisere, hvilke kategorier af personoplysninger de behandler, samt til hvilket formål oplysningerne behandles.
Datatilsynet har f.eks. bemærket, at en række af skolerne i deres besvarelser ikke har identificeret en specifik hjemmel, hverken i databeskyttelsesreglerne eller i anden lovgivning, til behandling af personoplysninger.
Datatilsynet kan på den baggrund oplyse, at det ikke er nok at forklare, at man behandler bestemte kategorier af oplysninger, fordi det er ”nødvendigt”. Man skal dels kunne forklare, hvorfor det er nødvendigt, samtidig med at man skal kunne henvise til en specifik behandlingshjemmel. Dertil kommer, at det ikke er nok at skrive, at man behandler personoplysninger i henhold til gældende lovgivning. Man bliver nødt til kunne præcisere efter hvilken bestemmelse, man behandler oplysninger.
Datatilsynet kan ligeledes oplyse, at man skal være opmærksom på, at skolernes offentliggørelse af personoplysninger på digitale platforme – f.eks. billeder på Facebook eller Instagram – også er en form for videregivelse af personoplysninger. Datatilsynet kan derfor opfordre til, at man overvejer, hvilke kategorier af personoplysninger man deler på platformene, samt hvilket behandlingsgrundlag, man kan offentliggøre på baggrund af.
Datatilsynet henviser til, at man orienter sig i tilsynets tjekliste for skolers brug af billeder og videoer, som kan findes her: Tjekliste_skoler.pdf (datatilsynet.dk).
2.1.2. Samtykke (databeskyttelsesforordningens artikel 6, stk. 1, litra a)
Datatilsynet har konstateret, at en række skoler har anført, at de til forskellige formål behandler personoplysninger på baggrund af samtykke. Selvom behandling af personoplysninger i mange tilfælde kan ske på baggrund af samtykke, er der en række forhold omkring brugen af samtykke, som man bør have med i sine overvejelser.
Først og fremmest kan det give mening at undersøge nærmere, om samtykke er det korrekte behandlingsgrundlag at basere sin behandling på. Det er Datatilsynets opfattelse, at man som skole i mange tilfælde kan basere sin behandling på andre behandlingsgrundlag, f.eks. efter artikel 6, stk. 1, litra c (retlig forpligtelse) eller e (opgave i samfundets interesse).
Behandling på baggrund af samtykke kan give de registrerede en uberettiget forventning om at have kontrol med, hvordan deres personoplysninger behandles. Er en registreret af den opfattelse, at vedkommendes oplysninger behandles på baggrund af samtykke, kan den registrerede også have en fejlagtig opfattelse af at kunne tilbagekalde sit samtykke når som helst, og dermed stoppe behandlingen af vedkommendes personoplysninger.
Når man behandler personoplysninger på baggrund af samtykke, er det bl.a. en betingelse for at et samtykke er gyldigt, at den registrerede til hver en tid kan tilbagekalde samtykket, hvorefter den dataansvarlige skal stoppe den behandling af personoplysninger, som alene beror på dette samtykke.
Man skal som dataansvarlig også være meget opmærksom på, at man ikke får blandet det databeskyttelsesretlige samtykke sammen med andre typer af samtykker. F.eks. er der forskel på et databeskyttelsesretligt samtykke og et samtykke fra forældremyndighedsindehaveren om, at deres barn gerne må køres i bil.
Betingelserne for, at der er tale om et gyldigt databeskyttelsesretligt samtykke, kan man læse mere om i Datatilsynets vejledning om samtykke her: Vejledning om samtykke (datatilsynet.dk)
2.1.3. Kontrakt (databeskyttelsesforordningens artikel 6, stk. 1, litra b)
En række skoler har oplyst, at de i nogle tilfælde behandler personoplysninger på baggrund af databeskyttelsesforordningens artikel 6, stk. 1, litra b, som handler om opfyldelse af en kontrakt, som den registrerede er part i.
Denne behandlingshjemmel har visse skoler bl.a. peget på i forhold til skolernes indgåelse af indskrivningsaftale med forældre til kommende elever. Andre skoler har peget på ”kontrakt” som behandlingshjemmel uden nærmere at oplyse, hvilken form for kontrakt der danner baggrund for behandlingen af personoplysninger.
Ved brugen af artikel 6, stk. 1, litra b, som behandlingshjemmel, er det vigtigt at være opmærksom på, at der stilles en række betingelser, der skal være opfyldt, for at man kan basere sin behandling på bestemmelsen. Som dataansvarlig skal man således kunne påvise, at a) der foreligger en kontrakt, b) at kontrakten er gyldig i medfør af gældende national aftaleret, og c) at behandlingen af personoplysninger er nødvendig af hensyn til opfyldelse af kontrakten[3].
Kan man som dataansvarlige ikke påvise ovenstående, skal man overveje at finde et andet mere passende behandlingsgrundlag i artikel 6, stk. 1.
I nogle situationer vil man givetvis kunne basere sin behandling på enten artikel 6, stk. 1, litra c (retlig forpligtelse), e (en opgave i samfundets interesse) eller f (interesseafvejning).
Man kan læse mere om brugen af artikel 6, stk. 1, litra b, i EDPB’s retningslinjer for behandling af personoplysninger i henhold til kontrakt, særligt afsnit 2.5. Man kan se bort fra det som er anført specifikt i forhold til levering af online-tjenester i vejledningen. Vejledningen kan findes her: edpb_guidelines-art_6-1-b-adopted_after_public_consultation_da.pdf (europa.eu). Ligeledes henvises der til det vejledende materiale, som findes på Datatilsynets hjemmeside.
2.1.4. Retlig forpligtelse (databeskyttelsesforordningens artikel 6, stk. 1, litra c) og samfundets interesse (databeskyttelsesforordningens artikel 6, stk. 1, litra e)
Datatilsynet har på baggrund af de modtagende besvarelser fundet anledning til at uddybe hjemmelsgrundlagene i artikel 6, stk. 1, litra c og e.
Det forholder sig sådan, at for at kunne anvende de to bestemmelser som behandlingsgrundlag, kræver det, at der findes et supplerende retsgrundlag enten i EU-retten eller i national ret.
Anvendelsen af artikel 6, stk. 1, litra c, kræver således, at der foreligger en retlig forpligtelse i enten EU-retten eller national ret. Det betyder i praksis, at man skal kunne pege på en bestemmelse i f.eks. friskoleloven[4] eller i andet relevant retsgrundlag, der retligt forpligter skolen til at behandle personoplysninger.
For at kunne anvende artikel 6, stk. 1, litra e, kræves det, at behandlingen er forudsat i EU-retten eller national ret. Dette betyder, at man skal kunne pege på et lovgrundlag som årsagen til behandlingen.
Såfremt man som skole baserer sin behandling af personoplysninger på enten artikel 6, stk. 1, litra c eller e, er det således vigtigt, at man også identificere det supplerende retsgrundlag.
2.1.5. Interesseafvejningsreglen (databeskyttelsesforordningens artikel 6, stk. 1, litra f)
Hvis man som dataansvarlig vil anvende artikel 6, stk. 1, litra f, som behandlingsgrundlag, skal man være opmærksom på, at tre betingelser skal være opfyldt.
Først og fremmest skal behandling ske med henblik på at forfølge en legitim interesse. Man skal som dataansvarlig derfor identificere hvilken legitim interesse, man gerne vil forfølge.
Dernæst skal behandlingen være nødvendig.
”Den sidste betingelse for at kunne anvende den såkaldte interesseafvejningsregel er, at den registreredes interesser eller grundlæggende rettigheder ikke går forud for de legitime interesser, som den dataansvarlige forfølger med behandlingen, dvs. hvis den registreredes interesse i, at personoplysninger ikke behandles, ”er større” end den dataansvarliges interesse i, at oplysningerne behandles, er betingelsen ikke opfyldt. Man skal således rent faktisk afveje på den ene side, sin interesse som dataansvarlig i at behandle oplysningerne, overfor – på den anden side – den registreredes interesse i at oplysningerne ikke behandles.
For hver behandlingsaktivitet man vil basere på interesseafvejningsreglen, skal man sikre, at betingelserne er opfyldt. I mange tilfælde kan man overveje, om et behandlingsgrundlag snarere findes i artikel 6, stk. 1, litra c eller e, fremfor i litra f.
2.2. Behandling af særlige kategorier af personoplysninger (artikel 9)
Visse typer af personoplysninger nyder særlig beskyttelse i databeskyttelsesreglerne. Det gælder f.eks. oplysninger om race og etnisk oprindelse, religiøs eller filosofisk overbevisning, helbredsoplysninger og seksuel orientering. Disse typer personoplysninger kaldes ”særlige kategorier” af personoplysninger.
Når det kommer til behandlingen af disse særlige kategorier af personoplysninger – de såkaldt følsomme personoplysninger – skal man være opmærksom på, at der som udgangspunkt efter artikel 9, stk. 1, er et forbud mod behandling. Det er således kun, hvis man kan identificere en undtagelse i artikel 9, stk. 2, litra a-j, at man må behandle denne type af personoplysninger.
Derfor er det vigtigt, at man er ekstra opmærksom på, både at få identificeret om, og i så fald hvilke, særlige kategorier af personoplysninger man behandler, samt afdækker, efter hvilken undtagelse i artikel 9, stk. 2, som finder anvendelse.
Det vil således ikke være nok, når der kommer til behandling af særlige kategorier af personoplysninger, at anføre, at ”det er nødvendigt”, samt henvise et hjemmelsgrundlag efter artikel 6. Man skal også have identificeret en af de undtagelser, der fremgår af artikel 9, stk. 2.
Hvis man behandler særlige kategorier af personoplysninger, og såfremt man ikke klart har identificeret en relevant undtagelse i artikel 9, stk. 2, skal man hurtigst muligt forholde sig hertil.
2.3. Håndtering af rettighedsanmodninger
2.3.1. Indledende bemærkninger
En række af de spørgsmål, som skolerne er blevet bedt om at besvare, handler om skolernes håndtering af indsigts- og sletteanmodninger. Særligt er skolerne blevet bedt om at fremsende deres retningslinjer og procedurer for, hvordan skolerne håndterer rettighedsanmodninger, og såfremt der ikke er udarbejdet retningslinjer eller procedurer for håndteringen, er skolerne bedt om nærmere at redegøre for, hvordan rettighedsanmodningerne håndteres.
Datatilsynet kan konkludere, at langt de fleste skoler har udarbejdet retningslinjer og procedurer, eller har redegjort for håndteringen. Til de få skoler, der endnu ikke har hverken retningslinjer eller kan beskrive fremgangsmåden for håndteringen af rettighedsanmodninger, kan Datatilsynet opfordre til, at man gør sig nogle tanker om, hvordan man skal håndtere en anmodning. Til brug herfor, kan man med fordel læse Datatilsynets vejledning om de registreredes rettigheder, som kan findes her: Registreredes rettigheder.pdf (datatilsynet.dk)
2.3.2. Anmodninger om indsigt
Datatilsynet er blevet opmærksom på, at der i en stor del af privatlivspolitikkerne, som skolerne har fremsendt, fremgår nedenstående afsnit:
”Du har ret til at få indsigt i de oplysninger, som vi behandler om dig og en række andre oplysninger. Skolen kan tage et gebyr for dette arbejde. Dette skal være et rimeligt gebyr under hensyn til de administrative omkostninger ved at give de pågældende oplysninger. Datatilsynet skriver på deres hjemmeside, at den private dataansvarlige kan kræve 10 kr. for hver påbegyndt side, men at betalingen ikke kan overstige 200 kr.”
Datatilsynet har ligeledes forstået det således, at afsnittet fremgår af Danmarks Private Skolers skabelon til en privatlivspolitik.
Datatilsynet opfordrer til, at man fjerner afsnittet fra sine privatlivspolitikker og fra sine procedurer omkring besvarelsen af anmodninger om indsigt.
Datatilsynet skal understrege at afsnittet ikke længere er i overensstemmelse med de gældende databeskyttelsesregler. Teksten på Datatilsynets hjemmeside er således også fjernet.
Ovenstående afsnit udspringer af bekendtgørelse om betaling for private dataansvarliges skriftlige meddelelser om indsigt[5], som er vedtaget i medfør af persondataloven[6]. Både bekendtgørelsen og persondataloven blev ophævet da databeskyttelsesforordningen og -loven trådte i kraft den 25. maj 2018.
Reglerne har siden 2018 været sådan, at enhver foranstaltning der træffes i henhold bl.a. artikel 15 og 17 (retten til indsigt og sletning), er gratis.
Det fremgår således af databeskyttelsesforordningens artikel 12, stk. 5, at
” […] enhver meddelelse og enhver foranstaltning, der træffes i henhold til artikel 15-22 og 34, er gratis. Hvis anmodninger fra en registreret er åbenbart grundløse eller overdrevne, især fordi de gentages, kan den dataansvarlige enten:
a) opkræve et rimeligt gebyr under hensyntagen til de administrative omkostninger ved at give oplysninger eller meddelelser eller træffe den ønskede foranstaltning, eller
b) afvise at efterkomme anmodningen.
Bevisbyrden for, at anmodningen er åbenbart grundløs eller overdreven, påhviler den dataansvarlige.”
2.3.3. Anmodninger om sletning
Hvad angår håndteringen af sletteanmodninger, kan Datatilsynet understrege, at selvom de registrerede altid har ret til at anmode om sletning, er retten til sletning ikke ubetinget. Man skal som dataansvarlig ikke altid slette oplysninger, bare fordi en registreret anmoder om det.
Det følger af artikel 17, stk. 1, at man som dataansvarlig kun har pligt til at slette oplysninger, hvis et af seks forhold gør sig gældende. Dette blandt andet, hvis det ikke længere er nødvendigt at behandle de pågældende personoplysninger til at opfylde de formål, hvortil de er indsamlet, eller hvis personoplysningerne bliver behandlet på baggrund af den registreredes samtykke, og den registrerede trækker sit samtykke tilbage.
Der kan således være en række tilfælde, hvor man som dataansvarlig ikke nødvendigvis skal slette personoplysninger, som man behandler om en registreret, som har anmodet om sletning. Modtager man en anmodning om sletning, skal man gennemgå de oplysninger, man behandler, og vurdere, om der er pligt til at slette oplysningerne.
[1] Lovbekendtgørelse nr. 161 af 21. februar 2024 om friskoler og private grundskoler m.v.
[2] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)
[3] EDPB-retningslinjer 2/2019 for behandling af personoplysninger i henhold til artikel 6, stk. 1, litra b), i GDPR i forbindelse med levering af online-tjenester til registrerede af 8. oktober 2029, version 2.0.
[4] Lovbekendtgørelse nr. 161 af 21. februar 2024 om friskoler og private grundskoler
[5] BEK nr. 533 af 15. juni 2000 (historisk)
[6] Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger (historisk)