Umsögn um frumvarp til laga um Miðstöð menntunar og skólaþjónustu
Efni: Umsögn um frumvarp til laga um Miðstöð menntunar og skólaþjónustu.
1.
Persónuvernd vísar til beiðni allsherjar- og menntamálanefndar Alþingis, dags. 10 október 2023 um umsögn um frumvarp til laga um Miðstöð menntunar og skólaþjónustu, (þskj. 241, 238. mál á 154. löggjafarþingi).
2.
Frumvarp sama efnis var lagt fram á 153. löggjafarþingi (956. mál) með heitinu frumvarp til frumvarp til laga um Mennta- og skólaþjónustustofu en náði ekki fram að ganga. Persónuvernd veitti umsögn um frumvarpið, dags. 10. maí 2023. Frumvarpið nú er lagt fram með breyttu heiti og í breyttri mynd. Virðist m.a. hafa verið tekið mið af umsögnum sem bárust allsherjar- og menntamálanefnd við meðferð fyrrgreinds frumvarps á 153. löggjafarþingi. Ekki verður þó séð að teknar hafi verið til greina þær athugasemdir Persónuverndar sem komu fram í umsögn stofnunarinnar í maí 2023, m.a. hvað varðar mat á áhrifum á persónuvernd, vinnsluheimildir og vinnslu viðkvæmra persónuupplýsinga. Af þeim sökum telur Persónuvernd tilefni til að taka hér áður veitta umsögn upp nánast óbreytta.
3.
Mat á áhrifum á persónuvernd
Í 5. gr. frumvarpsins eru ákvæði um vinnslu persónuupplýsinga. Í athugasemdum við ákvæðið í greinargerð frumvarpsins segir að þar sem um sé að ræða sambærilega vinnslu persónuupplýsinga og hafi áður verið á hendi Menntamálastofnunar, með einhverjum aðlögunum þó, hafi ekki verið talin ástæða til að framkvæma mat á áhrifum frumvarpsins á persónuvernd. Samkvæmt 29. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og 35. gr. reglugerðar (ESB) 2016/679 er það hluti af ábyrgðarskyldum ábyrgðaraðila, í þessu tilviki Miðstöðvar menntunar og skólaþjónustu, að framkvæma mat á áhrifum á persónuvernd. Því er löggjafanum ekki skylt að framkvæma slíkt mat við undirbúning lagasetningar en þó getur verið æskilegt að framkvæma mat á því stigi, sér í lagi ef með lögunum er mælt fyrir um tiltekna vinnslu persónuupplýsinga. Þetta er háð mati löggjafans hverju sinni. Í því sambandi skal bent á að sé mat á áhrifum á persónuvernd framkvæmt við almennt áhrifamat í tengslum við lagasetningu er ábyrgðaraðila vinnslu persónuupplýsinga í vissum tilvikum ekki skylt að framkvæma mat á áhrifum á persónuvernd samkvæmt tilvitnuðum ákvæðum persónuverndarlöggjafarinnar, nema löggjafinn telji það nauðsynlegt, sbr. 10. mgr. reglugerðarákvæðisins. Ef skylt er að framkvæma mat á áhrifum á persónuvernd samkvæmt framangreindum ákvæðum og það er ekki gert við undirbúning lagasetningar þarf ábyrgðaraðili hins vegar að framkvæma matið áður en vinnslan hefst. Frekari leiðbeiningar um hvenær skylt er að framkvæma mat á áhrifum á persónuvernd er að finna í auglýsingu nr. 828/2019 um skrá yfir vinnsluaðgerðir sem krefjast ávallt mats á áhrifum á persónuvernd. Samkvæmt ákvæðum 3. gr. auglýsingarinnar skal m.a. ávallt framkvæma mat á áhrifum á persónuvernd þegar um er að ræða vinnslu persónuupplýsinga í því skyni að leggja mat á árangur, líðan eða velferð nemenda á öllum menntastigum og í því skyni að leggja með kerfisbundnum hætti mat á færni, hæfni, útkomu úr prófunum, andlega heilsu eða þroska. Samkvæmt 6. tölul. 2. gr. auglýsingarinnar er einnig líklegt að framkvæma þurfi mat á áhrifum á persónuvernd þegar til stendur að samkeyra skrár, sér í lagi ef unnið er með viðkvæmar persónuupplýsingar eða upplýsingar viðkvæms eðlis, sbr. 4. tölul. sömu greinar.
4.
Vinnsluheimildir
Með vísan til 5. og 6. gr. frumvarpsins og athugasemda við 5. gr. í greinargerð þess, áréttar Persónuvernd að heimildir til vinnslu persónuupplýsinga eru tæmandi taldar í 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Í ákvæðum sérlaga er hægt að setja grundvöll fyrir vinnsluheimild, t.d. skv. 3. og 5. tölul. 9. gr. laga nr. 90/2018, sbr. c- og e-liði 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, en þar er ekki hægt að lögfesta aðrar vinnsluheimildir en þær sem kveðið er á um í fyrrgreindum ákvæðum persónuverndarlöggjafarinnar.
Til þess að vinnsla persónuupplýsinga sé heimil þarf hún enn fremur að samrýmast öllum meginreglum um persónuvernd, sbr. 1. mgr. 8. gr. laga nr. 90/2018 og 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Samkvæmt þeim skulu persónuupplýsingar m.a. fengnar í skýrt tilgreindum og lögmætum tilgangi og ekki unnar í öðrum ósamrýmanlegum tilgangi og vera nægilegar, viðeigandi og ekki umfram það sem er nauðsynlegt miðað við tilgang vinnslunnar. Með ákvæðum sérlaga er ekki hægt að mæla fyrir um undantekningar frá meginreglunum umfram það sem kveðið er á um í 23. gr. reglugerðar (ESB) 2016/679.
Í 1. mgr. 5 gr. frumvarpsins segir að Miðstöð menntunar og skólaþjónustu sé heimil vinnsla persónuupplýsinga að því marki sem nauðsynlegt er til að sinna lögbundnu hlutverki sínu, þ.m.t. vegna námsmats, innritunar í framhaldsskóla og ráðgjafar í einstaklingsmálum. Með hliðsjón af því sem hér á undan greinir skal vinnsla persónuupplýsinga vegna námsmats tekin sem dæmi. Í frumvarpinu eru ekki frekari ákvæði um framkvæmd námsmats en í samráðskafla greinargerðar frumvarpsins segir að við ritun þess hafi komið fram ábending um mikilvægi þess að sérstaklega væri tilgreint að Miðstöð menntunar og skólaþjónustu hefði heimildir til að vinna persónuupplýsingar í tengslum við námsmat. Í 3. kafla greinargerðarinnar, um meginefni frumvarpsins, segir svo að í verkefnum stofnunarinnar felist að hún byggi upp og haldi utan um námsmat í grunnskólum. Einnig kemur fram í sama kafla að hlutverk Miðstöðvar menntunar og skólaþjónustu er að styðja við skóla og starfsfólk skóla á grundvelli þess að vera miðlæg þekkingarmiðstöð. Í því geti til dæmis falist leiðbeiningar, stuðningur og ráðgjöf vegna faglegs starfs, kennslu, námsmats, úrræða skólaþjónustu o.fl. en slíkur miðlægur stuðningur leiðir til aukins samræmis í framkvæmd.
Það er mat Persónuverndar að af ákvæðum frumvarpsins og umfjöllun í greinargerð þess er ekki ljóst hvernig námsmat á vegum Miðstöðvar menntunar og skólaþjónustu yrði framkvæmt, hvers vegna stofnuninni yrði nauðsynlegt að vinna persónuupplýsingar við að byggja upp og halda utan um námsmatið eða hvort ná mætti sama tilgangi á grundvelli ópersónugreinanlegra gagna. Þrátt fyrir ákvæði 1. mgr. 5. gr. frumvarpsins er því óljóst hvort Miðstöð menntunar og skólaþjónustu yrði heimil vinnsla persónuupplýsinga vegna námsmats á grundvelli persónuverndarlaga.
Í 3. mgr. 5. gr. frumvarpsins. er mælt fyrir um að heimilt sé að miðla persónuupplýsingum milli Miðstöðvar menntunar og skólaþjónustu og annarra aðila á sviði fræðslu- og menntamála ef það samrýmist lögbundnu hlutverki beggja aðila, þ.m.t. með samkeyrslu skráa. Í athugasemdum við ákvæðið í greinargerð frumvarpsins segir að umræddur hópur takmarkist, eðli málsins samkvæmt, af því að ekki er unnt að deila upplýsingum nema báðir aðilar hafi heimild til vinnslu þeirra. Í því sambandi eru fyrrgreind sjónarmið áréttuð. Þá telur Persónuvernd að tilgangur miðlunar sé hér ekki nægilega skýrt afmarkaður, sér í lagi með hliðsjón af því að sérstök áhætta fyrir réttindi skráðra einstaklinga getur falist í samkeyrslu skráa. Yrði samkvæmt því að skoða lögmæti hverrar slíkrar vinnsluaðgerðar sjálfstætt hverju sinni.
Í 6. gr. frumvarpsins eru ákvæði um miðlun upplýsinga til Miðstöðvar menntunar og skólaþjónustu samkvæmt kröfu stofnunarinnar. Í ákvæðinu segir að stofnuninni sé heimilt að krefja tilgreinda aðila um upplýsingar og gögn sem hún telur nauðsynleg til að sinna hlutverki sínu. Í athugasemdum við ákvæðið í greinargerð frumvarpsins segir að með ákvæðinu sé stofnuninni veitt heimild til að ákvarða forsendur og umfang upplýsingamiðlunar á grundvelli ákvæðisins. Í ákvæðinu felist að skylda er lögð á þessa aðila til að verða við beiðnum stofnunarinnar um tilgreindar upplýsingar innan ákveðins tíma. Að því leyti sem hér getur verið um persónuupplýsingar að ræða verður að horfa til þess að ef tilgreindir aðilar, sem eru krafðir um gögn, teljast ábyrgðaraðilar vinnslu persónuupplýsinganna, felst það í ábyrgðarskyldum þeirra samkvæmt persónuverndarlöggjöfinni að meta hvort fullnægjandi heimild er fyrir miðluninni á grundvelli 9. gr. og, eftir atvikum, 1. mgr. 11. gr. laga nr. 90/2018, sbr. sambærileg ákvæði reglugerðar (ESB) 2016/679. Eiga þá sömu sjónarmið við og fyrr hafa verið reifuð um að til þess að miðlun persónuupplýsinganna teljist heimil þarf hún einnig að samrýmast öllum meginreglum um persónuvernd. Kemur þá m.a. til skoðunar hvort tilgangur miðlunarinnar sé nægilega skýrt afmarkaður til þess að unnt sé að meta nauðsyn hennar, sem og hvaða persónuupplýsingar eru nægilegar og viðeigandi miðað við þann tilgang. Að mati Persónuverndar liggur það ekki skýrt fyrir af ákvæði 6. gr. frumvarpsins.
Loks skal það áréttað að í reglugerðarheimild skv. 4. mgr. 5. gr. frumvarpsins getur ekki falist heimild fyrir ráðherra til að mæla fyrir um almennar vinnsluheimildir, sem eru, sem fyrr greinir, tæmandi taldar í persónuverndarlöggjöfinni.
4.
Skilyrði vinnslu viðkvæmra persónuupplýsinga
Með vísan til framangreindrar umfjöllunar er einnig tilefni til að árétta að til þess að vinnsla viðkvæmra persónuupplýsinga sé heimil þarf hún að styðjast við heimild skv. 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, og uppfylla að auki eitthvert af viðbótarskilyrðum 1. mgr. 11. gr. laganna, sbr. 2. mgr. 9. gr. reglugerðarinnar. Ákvæði 2. mgr. 5. gr. og 6. gr. frumvarpsins geta þar af leiðandi ekki verið grundvöllur fyrir vinnslu viðkvæmra persónuupplýsinga nema þá og því aðeins að vinnslan uppfylli þau skilyrði persónuverndarlöggjafarinnar sem að framan greinir. Kemur í þessu tilviki helst til skoðunar 7. tölul. 1. mgr. 11. gr. laga nr. 90/2018, sbr. g-lið 2. mgr. 9. gr. reglugerðar (ESB) 2016/679, sem kveður á um að vinnsla viðkvæmra persónuupplýsinga geti verið heimil ef hún er nauðsynleg af ástæðum sem varða verulega almannahagsmuni og fer fram á grundvelli laga sem kveða á um viðeigandi og sértækar ráðstafanir til að vernda grundvallarréttindi og hagsmuni hins skráða.
Að einhverju leyti er gerð grein fyrir nauðsyn vinnslu viðkvæmra persónuupplýsinga og þeim almannahagsmunum sem vinnslan varðar í athugasemdum við 5. gr. frumvarpsins. Að mati Persónuverndar hefði sú umfjöllun þó mátt vera ítarlegri, sér í lagi hvað varðar þá almannahagsmuni sem þykja vera af vinnslunni. Hvað varðar skilyrðið um viðeigandi og sértækar ráðstafanir til verndar réttindum og hagsmunum hins skráða er helst að líta til meginreglna um persónuvernd. Tilgangur vinnslu viðkvæmra persónuupplýsinga ætti því, sem dæmi, að vera skýr af lögunum og fyrir liggja mat á nauðsyn með hliðsjón af þeim tilgangi. Að mati Persónuverndar er almenn tilvísun til lögbundins hlutverks Miðstöðvar menntunar og skólaþjónustu ekki fullnægjandi í því sambandi. Með svo almennum tilgangi er enda ekki hægt að meta nauðsyn vinnslu í hverju tilviki fyrir sig og þar af leiðandi hvort farið sé að meginreglunni um lágmörkun gagna. Sem fyrr segir er að einhverju leyti gerð grein fyrir þessum atriðum í athugasemdum við 5. gr. frumvarpsins en að mati Persónuverndar þarf að liggja skýrar fyrir í lagatexta í hvaða tilgangi heimilt eigi að vera að vinna viðkvæmar persónuupplýsingar. Gera hefði mátt grein fyrir mati á almannahagsmunum og nauðsyn í athugasemdum greinargerðar. Til þess að skilyrðinu um viðeigandi og sértækar ráðstafanir sé fullnægt getur enn fremur verið tilefni til að kveða á um viðeigandi öryggisráðstafanir í lögunum sem og aðrar verndarráðstafanir í samræmi við meginreglur um persónuvernd.
Að því leyti sem 6. gr. frumvarpsins er ætlað að taka til viðkvæmra persónuupplýsinga vísast til umfjöllunar í 4. kafla þessarar umsagnar og þess sem hér að framan greinir um 5. gr. frumvarpsins. Hvorki í ákvæði 6. gr. né í athugasemdum við ákvæðið í greinargerð með frumvarpinu er leitast við að gera grein fyrir skýrt afmörkuðum tilgangi miðlunar persónuupplýsinga eða færð rök fyrir þeim almannahagsmunum sem búa að baki eða nauðsyn vinnslunnar. Af því leiðir að leggja yrði atvikabundið mat á þessa þætti.
5.
Vinnsla upplýsinga um refsiverða háttsemi
Ekki eru jafnstrangar kröfur gerðar til meðferðar upplýsinga um refsiverða háttsemi eins og gerðar eru varðandi viðkvæmar persónuupplýsingar. Við miðlun þeirra þarf þó að huga að því að eitthvert skilyrða 2. mgr. 12. gr. laga nr. 90/2018 eigi við. Til þess að þau geti átt við þarf tilgangur miðlunarinnar að vera skýrt afmarkaður. Það kann að vera nauðsynlegt að mæla fyrir um þann tilgang í lögum en skilyrði 2. mgr. 12. gr. bera einnig með sér að nægilegt geti verið að slíkan tilgang megi leiða af lögum. Í því sambandi geta skýringar í greinargerð frumvarps eftir atvikum verið ákvæðum laga til fyllingar og til leiðbeiningar fyrir þá sem bera ábyrgð á vinnslu upplýsinganna.
6.
Ekki eru að öðru leyti gerðar athugasemdir við efni frumvarpsins en með vísan til framangreinds leggur Persónuvernd til að ákvæði 5. og, eftir atvikum, 6. gr. verði endurskoðuð sem og skýringar í athugasemdum við ákvæðin í greinargerð frumvarpsins.
Verði frekari umsagnar óskað um einstök atriði verður hún fúslega veitt.
F.h. Persónuverndar,
Valborg Steingrímsdóttir Ína B. Grétarsdóttir