Journalnummer: 2025-41-0140.
Resumé
Datatilsynet har afsluttet sit tilsyn med skolefotoudbyderes behandling af personoplysninger. Tilsynene havde fokus på ansvars- og rollefordelingen mellem skolefotoudbyderen og skolerne, særligt i forhold til sikring af de registreredes rettigheder, og udbydernes opbevaring og sletning af oplysninger.
Formål og overordnede observationer
Formålet med tilsynene var at kortlægge og opnå viden om skolefotoudbyderes behandlingsaktiviteter og deres iagttagelse af de registreredes rettigheder.
Det gennemgåede materiale viser generelt, at skolefotoudbyderne har godt styr på reglerne.
Opbevaringsperioder og opfølgning
Datatilsynet fandt i forhold til én af skolefotoudbyderne anledning til at anmode udbyderen om at tilpasse sin opbevaringsperiode. Dette skyldes, at der ikke forelå et egentligt forretningsmæssigt behov for genbestillinger, som kunne begrunde, at skolefotografier blev opbevaret i op til ti år efter fotograferingstidspunktet. Udbyderen har efterfølgende oplyst, at opbevaringsperioden vil blive nedsat til tre år.
Tilsynene er en del af Datatilsynets planlagte tilsynsaktiviteter og har omfattet skolefotoudbyderne Eftertid A/S, Modul Foto ApS, Frandsen Fotografi ApS, Rosenfeldt Fotografi ApS og Aalborg Skolefoto.
Datatilsynet har samlet sine generelle observationer og bemærkninger til skolefotoudbyderne i et afsluttende brev, som kan læses nedenfor.
Afsluttende brev
1. Skolefotoudbyderens rolle og behandlingsgrundlag
1.1. Når der skal tages skolefotos, sker der som regel et samarbejde mellem den enkelte skole og en skolefotoudbyder. Skolen faciliterer kontakten til udbyderen, som herefter indgår nærmere fotoaftaler med hhv. skolen og forældre. Skolen har i den forbindelse behov for fotos til brug for skoledriften, hvorimod de enkelte elever og forældre har en særskilt interesse i at købe de enkelte fotos til privat brug.
For at de forskellige ydelser kan leveres, skal udbyderen behandle oplysninger om elever og forældre. Udbyderen skal f.eks. vide, hvem der skal fotograferes og hvilken klasse, de går i. Derudover skal de f.eks. have kontaktoplysninger for relevante forældre for eleverne, så kontrakten (købet) kan gennemføres. I praksis fungerer leveringen af ydelsen ved, at skolen i et vist omfang bistår skolefotoudbyderen, eleverne og forældrene med at udveksle oplysningerne.
Som eksemplificeret i Datatilsynets vejledende tekst om rollefordeling, når private er leverandører til det offentlige, er en skolefotoudbyder og en skole selvstændige dataansvarlige for den behandling af personoplysninger, der finder sted som led i klasse- og portrætfotografi.
Dette skyldes, at parterne selvstændigt fastsætter formålet og midlerne for behandlingen og dermed ikke har behov for nærmere at instruere hinanden om behandlingen. Skolefotoudbyderens formål med behandlingen er at levere et produkt til hhv. elever (forældre) og skolen, hvorimod skolens formål med behandlingen er at anvende de pågældende fotos til brug for skoledriften.[1]
Skolefotoudbyderne har i overensstemmelse hermed givet udtryk for, at de som det klare udgangspunkt betragter sig selv som selvstændige dataansvarlige i forhold til skolerne.
Der kan imidlertid opstå tvivl om rollefordelingen, når skolefotoudbyderen leverer fotos og udarbejder årbøger til brug for skolens interne drift.
Datatilsynet understreger, at en skolefotoudbyder også i disse situationer vil agere som selvstændig dataansvarlig. Det skyldes, at formålet med behandlingen fortsat er at levere et produkt. Dette uanset om skolen måtte have særlige ønsker til årsbøgers udtryk eller lignende. Disse særlige ønsker og bestillinger skal derfor ikke forveksles med en databeskyttelsesretlig instruks i forbindelse med indgåelsen af databehandleraftaler. Dette som følge af, at der netop ikke er tale om en databehandlerkonstruktion mellem skolen og udbyderen.
Den omstændighed, at en skolefotoudbyder efter opfordring fra skolen anvender digitale skoleplatforme, f.eks. MU-elev, til brug for levering af produkterne, ændrer ligeledes ikke ved rollefordelingen.
1.2. Skolefotoudbyderen og skolens selvstændige dataansvar indebærer, at parterne hver især skal sikre et lovligt grundlag for behandlingen.
For skolefotoudbyderen er det særlig relevant at overveje i hvilket omfang virksomhedens behandling af oplysninger om elever og forældre kan ske af hensyn til nødvendigheden af opfyldelsen af de kontrakter, der indgås med de registrerede, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra b.
Skolefotoudbyderen kan endvidere overveje i hvilket omfang behandlingen derudover kan ske på grundlag af interesseafvejningsreglen i databeskyttelsesforordningens artikel 6, stk. 1, litra f. Skolefotoudbyderen vil i den forbindelse skulle foretage en afvejning af virksomhedens legitime interesse i behandlingen over for hensynet til eleven og forældrene.
Datatilsynet bemærker i den forbindelse, at det ofte ikke vil være hensigtsmæssigt at basere behandlingen på et samtykke, når der er et andet behandlingsgrundlag, som behandlingen kan ske efter. Skolefotoudbyderen skal dog være opmærksom på ikke at fotografere og opbevare fotos af elever, der er fritaget for fotograferingen.
Skolefotoudbyderes behandling af CPR-numre – f.eks. som led i udarbejdelse og levering af studiekort – forudsætter efter Datatilsynets opfattelse imidlertid et særskilt samtykke, jf. databeskyttelseslovens § 11, stk. 2, nr. 2
2. Sikring af de registreredes rettigheder
2.1. Skolefotoudbyderen er som selvstændig dataansvarlig forpligtet til at give den registrerede en række oplysninger i forbindelse med indsamlingen af oplysningerne, jf. databeskyttelsesforordningens artikel 13 og 14.
Den dataansvarlige skal bl.a. oplyse om den registreredes rettigheder, når det er nødvendigt for at sikre en rimelig og gennemsigtig behandling.
De registreredes rettigheder fremgår af databeskyttelsesforordningens artikel 12-22 og omfatter bl.a. retten til indsigt, sletning, berigtigelse og begrænsning af behandling.
2.2. Datatilsynet har noteret sig, at udvekslingen af oplysninger mellem forældre, skole og skolefotoudbyder sker på forskellig vis, herunder ved brug af digitale skoleplatforme, fremsendelse af e-mails eller som krypteret filoverførsel.
Datatilsynet har endvidere noteret sig, at skolerne har administratorrettigheder til de fælles platforme. Skolefotoudbyderen kan således blot uploade det relevante materiale, men ikke slette eller rette i materialet, når først det er lagt op.
Datatilsynet bemærker, at skolefotoudbyderne har ansvaret for at sikre håndhævelsen af de registreredes rettigheder for så vidt angår skolefotoudbyderens egne systemer og medier (f.eks. USB-stik).
Når en skolefotoudbyder har overført et foto og oplysninger om eleven og forældrene til en skoleplatform, og senere imødekommer en eventuel anmodning om sletning, berigtigelse eller begrænsning af behandling af oplysningerne, er skolefotoudbyderen imidlertid forpligtet til at rette henvendelse til skolen herom, jf. databeskyttelsesforordningens artikel 19. Det samme gør sig gældende med oplysninger, der på anden vis er blevet videregivet til skolen, f.eks. ved e-mail.
2.3. De registreredes rettigheder er personlige, hvilket indebærer, at det som det klare udgangspunkt tilkommer den registrerede selv at udøve sine rettigheder.
Et barn kan i forlængelse heraf udøve sine egne rettigheder, hvis barnet har et tilstrækkeligt modenhedsniveau. I modsat fald udøver forældrene rettighederne på barnets vegne. Forældre kan i øvrigt udøve rettighederne på deres barns vegne, når det utvivlsomt er i barnets interesse.
Det er Datatilsynets opfattelse, at børn normalt fra 15-års-alderen opfylder modenhedskriteriet.
Skolefotoudbydere skal derfor sikre sig, at de i forbindelse med iagttagelsen af oplysningspligten og håndteringen af anmodninger om de registreredes rettigheder tager højde for elevernes modenhedsniveau. Dette indebærer eksempelvis, at oplysningspligten som udgangspunkt skal iagttages direkte over for elever, der er fyldt 15 år.
Datatilsynet bemærker, at det er særlig vigtigt, at meddelelser til børn vedrørende de registreredes rettigheder er kortfattede, lettilgængelige og letforståelige, og i øvrigt er skrevet i et klart og enkelt sprog.
2.4. Ud fra de oplysninger, Datatilsynet har modtaget, ses skolefotoudbyderne generelt at have modtaget få – hvis ikke ingen – anmodninger om indsigt i de personoplysninger, udbyderen behandler. Det samme er tilfældet for sletteanmodninger, som er i omegnen af en håndfuld hvert år, og som bl.a. er begrundet i, at forældre ikke ønsker, at fotos opbevares hos udbyderen, eller at de videregives til skolen. ”Formelle” anmodninger om berigtigelse ses også sjældent, og forespørgsler, der går på, f.eks. rettelse af et navn, klassetrin, alias til børn, eller rettelse af forkerte kontaktoplysninger håndteres snarere i praksis via mere uformel kundedialog.
Datatilsynet har ikke nærmere kortlagt baggrunden for de konkrete antal, herunder om det lave antal anmodninger – set i lyse af det samlede antal registrerede overstiger flere hundredtusinder af børn – f.eks. blot skyldes, at forældre er tilfredse med behandlingen, eller om det skyldes manglende viden hos forældrene og elever om deres rettigheder. Uanset er det klart, at skolefotoudbyderne i forbindelse med, at de iagttager oplysningspligten, bl.a. skal sørge for at orientere forældrene om, hvilke rettigheder de har, herunder hvordan de udøver dem.
3. Opbevaringsbegrænsning
3.1. Det følger af databeskyttelsesforordningens artikel 5, stk. 1, litra e, at oplysningerne ikke må opbevares længere, end det er nødvendigt i forhold til de formål oplysningerne behandles til.
Den dataansvarlige skal endvidere i medfør af databeskyttelsesforordningens artikel 5, stk. 2, påvise overholdelsen af artikel 5, stk. 1.
Visse særlove, herunder bogføringsloven, indeholder særlige regler, der fastsætter opbevaringsperiodens længde.
3.2. Fire ud af fem skolefotoudbydere har oplyst at have en opbevaringsperiode for fotos og dertilhørende identifikationsoplysninger på 1-3 år. En enkelt skolefotoudbyder oplyste at have en opbevaringsperiode på 10 år
Skolefotoudbyderne har primært gjort gældende, at det overordnede formål med opbevaringen er at give deres kunder – forældre og elever – mulighed for at genbestille skolefotos.
Datatilsynet bemærker, at formålet i sig selv er sagligt. Nødvendighedskravet forudsætter imidlertid et dokumenteret forretningsmæssigt behov for genbestillinger.
Det fremgår af besvarelserne, at de fleste anmodninger om genbestillinger vedrører fotos fra det forrige skoleår, og at der for fotos, der er ældre end 2-3 år ikke er et egentligt forretningsmæssigt behov for opbevaringen af hensyn til genbestillinger.
Det beror dog på en konkret vurdering hos den enkelte skolefotoudbyder, hvor længe oplysningerne skal opbevares, og de anførte 2-3 år er således alene et pejlemærke på baggrund af Datatilsynets iagttagelser. Vurderingen vil endvidere skulle foretages løbende af hensyn til, at det konkrete forretningsmæssige behov hos kunder kan ændre sig over tid.
En enkelt skolefotoudbyder har peget på hensynet til at kunne tilgodese skolernes behov for genbestillinger, herunder som led i understøttelsen af skolernes kulturelle arv.
Datatilsynet anerkender, at der i forbindelse med levering af fotos til skoler kan ske fejl, og at opbevaring af fotos efter leveringsdatoen derfor kan tjene et forsikringshensyn. Datatilsynet finder imidlertid, at hensynet ikke i sig selv kan begrunde længerevarende opbevaringsperioder. Dette af hensyn til, at en skole som selvstændig dataansvarlig generelt må forventes at kunne sikre tilgængeligheden af de modtagne fotos til brug for deres egne formål.
Dertil kommer, at børn nyder en særlig beskyttelse i en databeskyttelsesretlig kontekst, jf. præambelbetragtning nr. 38 til databeskyttelsesforordningen.
Som øvrige formål, der lægger til grund for opbevaringsperioden, har skolefotoudbyderne i tråd med ovenstående peget på håndtering af eventuelle fejl og reklamationer samt betalingsopfølgninger til deres kunder. Dette som følge af, at fejl og reklamationer typisk først opdages efter den første levering af skolefotos.
[1] Datatilsynets vejledende tekst om rollefordeling, når private er leverandører til det offentlige, eksempel 8, side 7.