Datatilsynet har truffet afgørelse i en sag, hvor tre gymnasier har anmeldt et brud på persondatasikkerheden til Datatilsynet vedrørende MaCom A/S, der som databehandler har videregivet dele af elevernes opgavebesvarelser til forskere fra Datalogisk Institut ved Københavns Universitet til brug for udvikling af plagiatprogrammer.
Datatilsynet har i afgørelsen fastslået, at MaCom har handlet i strid med de databeskyttelsesretlige regler ved at have videregivet uddrag af opgavebesvarelser til forskerne uden at have fået instruks herom fra de dataansvarlige.
Datatilsynet fandt, at opgavebesvarelser kan anses som personoplysninger, idet de er udtryk for opgavebesvarerens tankegang, dømmekraft og kritiske sans. Datatilsynet fandt endvidere, at uddrag af opgavebesvarelser, som videregives med henblik på udvikling af plagiatprogrammer, må betragtes som pseudonymiserede personoplysninger, idet uddragene må have kvaliteter, som kan identificere personer på baggrund af tankegang, dømmekraft, kritisk sans, og idet MaCom fortsat opbevarede opgavebesvarelserne i deres helhed i et andet, lukket, system, hvorfor uddragene kunne henføres til en bestemt registreret.
I forhold til graden af alvor har Datatilsynet i sin vurdering lagt vægt på, at MaCom ikke kunne redegøre for antallet af uddrag, som blev videregivet, eller antal af gange videregivelsen fandt sted. Datatilsynet betragter det imidlertid som formildende omstændigheder, at oplysningerne er blevet videregivet i videnskabeligt øjemed og med et samfundsmæssigt formål, at videregivelse er sket ved fremmøde og ikke ved udlevering, samt at videregivelsen er sket i pseudonymiseret form.
Læs mere
Læs selve afgørelsen her.
Læs mere om, hvad personoplysninger er.