Ny udtalelse om offentligt tilgængelige personoplysninger på Lectio.dk

Dato: 16-07-2019

Offentliggørelsen af personoplysninger om tidligere og nuværende læreres og elevers skemaer i Lectio er ikke sket i overensstemmelse med de databeskyttelsesretlige regler.

Datatilsynet besluttede i efteråret 2018 at indlede en undersøgelse af offentliggørelsen af personoplysninger i det studieadministrative system Lectio, som anvendes af størstedelen af gymnasieskolerne. Med henblik på undersøgelsens udførelse udvalgte tilsynet et tilfældigt gymnasium, som skulle svare på en række spørgsmål. Under Datatilsynets behandling af sagen besluttede MaCom A/S, der udbyder Lectio, at lægge alle oplysninger i Lectio bag et login.

Udtalelsen

Tilsynet traf den 4. juli 2019 afgørelse i sagen. Efter tilsynets opfattelse var offentliggørelsen af personoplysninger om tidligere og nuværende læreres og elevers skemaer i det studieadministrative system Lectio – på trods af tilsynets tidligere praksis – ikke sket i overensstemmelse med de databeskyttelsesretlige regler.

Samlet set fandt Datatilsynet, at offentliggørelsen af personoplysninger gik videre, end hvad der var nødvendigt i forhold til formålet med behandlingen, og derfor kunne offentliggørelsen ikke rummes inden for de databeskyttelsesretlige regler. Dette gjaldt både offentliggørelsen som sådan og offentliggørelsens tidsmæssige udstrækning.

Datatilsynet lagde ved vurderingen vægt på, at den tidligere åbenhed på Lectio umiddelbart ikke forfulgte formål, der i tilstrækkelig grad berettigede offentliggørelsen. At oplysningerne ved offentliggørelse var let tilgængelige for elever og lærere ændrede ikke på dette. I forlængelse heraf lagde tilsynet vægt på, at offentliggørelsen i et vist omfang indebar mulighed for misbrug, som følgelig kunne medføre visse risici for de registrerede.

Endelig udtalte Datatilsynet, at de grundlæggende principper for behandling af personoplysninger fortsat skal overholdes i forbindelse med behandlingen af oplysninger bag login. Det indebærer bl.a., at de oplysninger, der er lagt bag login, skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold de(t) formål, hvortil de behandles. Gymnasiet vil således skulle begrænse adgangen til oplysningerne i videst mulige omfang både i forhold til indholdet og den tidsmæssige udstrækning, ligesom det i den forbindelse må overvejes, hvilke oplysninger de enkelte grupper af personer skal have adgang til.

Du kan læse selve udtalelsen her.