Úrlausnir

Aðgangur að upplýsingum hjá Fjölbrautaskóla Suðurlands

Mál nr. 2018/62

15.4.2019

Persónuvernd hefur úrskurðað í máli þar sem kvartað var yfir synjun Fjölbrautaskóla Suðurlands um afhendingu á lykilorði vegna aðgangs að upplýsingum um ólögráða dóttur kvartanda í rafræna upplýsingakerfinu Innu. Í málinu voru upplýsingar um forsjáraðila vegna aðgangs að Innu fengnar beint úr þjóðskrá en algengt er að slíkar upplýsingar séu sóttar í skrána þar sem aðilar eru tengdir saman á grundvelli svokallaðra fjölskyldunúmera. Í samskiptum milli kvartanda og skólans, sem fylgdu með kvörtun, var gerð sú krafa að til að viðkomandi verði bætt við sem forsjáraðila í Innu þurfti skólanum að berast beiðni frá skráðum forsjáraðilum, en í síðari samskiptum hafði skólinn sjálfur samband við skráða forsjáraðila. Að mati Persónuverndar var talið að eðlilegt geti verið að skráðir forsjáraðilar staðfesti að viðkomandi skuli hafa aðgang að persónuupplýsingum um ólögráða börn þeirra, en að jafnframt yrði að bjóða upp á aðrar leiðir fyrir kvartanda til að sannreyna að hann fari í raun með forsjá, s.s. að framvísa forsjárvottorði frá Þjóðskrá Íslands. Þar sem það var ekki gert var Fjölbrautaskóli Suðurlands ekki talinn hafa uppfyllt upplýsingaskyldu sína gagnvart kvartanda.

Úrskurður

Þann 22. mars 2019 kvað Persónuvernd upp svohljóðandi úrskurð í máli nr. 2018/62:

I.

Málsmeðferð

1.

Tildrög máls

Þann 8. janúar 2018 barst Persónuvernd kvörtun frá [A] (hér eftir nefndur kvartandi) yfir synjun Fjölbrautaskóla Suðurlands á beiðni hans um afhendingu á lykilorði vegna aðgangs að upplýsingum um ólögráða dóttur hans í rafræna upplýsingakerfinu Innu.

Í kvörtun segir m.a. að dóttir kvartanda hafi hafið nám við skólann haustið 2017 og að skólinn hafi ekki enn sent honum lykilorð að aðgangi dóttur hans. Fram kemur að kerfið bjóði upp á að foreldrar/forsjáraðilar skrái sig inn með Íslykli en að það virki ekki og að skólinn hafi synjað honum þrisvar sinnum um framangreint lykilorð.

Með kvörtun fylgdu tölvupóstsamskipti milli kvartanda og skólans. Í þeim má m.a. sjá að þann 18. desember 2017 sendi kvartandi tölvupóst á skólann þar sem óskað er eftir umræddu lykilorði. Svar skólans barst með tölvupósti þann 29. s.m. þar sem honum er leiðbeint um að sækja um lykilorð á vefsíðu Innu með því að ýta á hnappinn „Gleymt lykilorð“ og setja inn kennitölu dótturinnar. Þá komi nýtt lykilorð í tölvupósti til hennar. Með tölvupósti sama dag spyr kvartandi hvort skólinn geti sent honum lykilorð.

Í svari skólans þann 3. janúar 2019 segir að þar sem hann sé ekki skráður forsjáraðili skv. Innu geti skólinn ekki sent honum lykilorð. Í svarinu segir einnig að hægt sé að skrá hann sem slíkan en þá þurfi að koma fram beiðni frá þeim sem séu þegar skráðir sem forsjáraðilar og er honum leiðbeint um að óska eftir að þau hafi samband við skólann. Kvartandi svaraði tölvupóstinum sama dag þar sem hann bendir á að forsjáraðilar barnsins séu [B] og kvartandi og að aðrir hafi ekki forsjá. Auk þess gagnrýnir kvartandi vefkerfið Innu og það að honum sé synjað um lykilorð þar sem margoft sé búið að óska eftir að hann verði skráður sem forsjáraðili. Í svari skólans sama dag segir að ekki sé verið að efast um forsjá hans yfir dóttur hans, heldur sé oft deilt um forsjá og að skólinn reyni að komast hjá því að lenda á milli í slíkum deilum. Þá segir að þar sem kvartandi sé ekki skráður forsjáraðili skv. Innu verði haft samband við skráða forsjáraðila og hann skráður sem slíkur í kjölfarið. Í svari kvartanda sama dag segir m.a. að enginn ágreiningur sé um forsjá og að málið varði það að skólinn sé að brjóta lög með að synja beiðni hans um lykilorð fyrir barnið hans þar sem hann sé löglegur forsjáraðili þess.

Í svari skólans þann 4. janúar 2019 segir að þegar nemandi sé skráður í Innu komi nöfn forsjáraðila sjálfkrafa úr þjóðskrá, en ef forsjáraðili sé búsettur á öðrum stað en viðkomandi nemandi sé hann ekki sjálfkrafa skráður sem forsjáraðili barnsins. Þegar upplýsingar berist um að nafn viðkomandi vanti sem forsjáraðila sé því bætt við sé þess óskað. Í svari kvartanda sama dag er lýst yfir furðu á fyrirkomulagi kerfisins. Í svarinu segir að kvartandi telji að hann hafi fullan rétt á aðgangi á grundvelli tengsla og laga og að hann bíði eftir því að kerfið verði lagað á þann hátt að hann geti skráð sig inn á sínum eigin Íslykli.

2.

Bréfaskipti

Með bréfi, dags. 27. mars 2018, var Fjölbrautaskóla Suðurlands boðið að koma á framfæri skýringum vegna kvörtunarinnar til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Svar barst með tölvupósti þann 6. apríl 2018 þar sem segir að búið sé að verða við ósk kvartanda og að skólinn telji málið því afgreitt af sinni hálfu.

Með bréfi, dags. 3. maí 2018, var kvartanda boðið að tjá sig um svör skólans og var hann m.a. spurður hvort hann teldi ágreining enn vera til staðar milli hans og skólans. Svar kvartanda barst með tölvupósti þann 13. maí s.á. Í svari kvartanda segir að hann hafi aldrei móttekið lykilorð frá skólanum auk þess sem gagnrýnt er að allir foreldrar landsins séu skyldaðir til að nota vefkerfi þar sem allt sé í lausu lofti í persónuverndarmálum og það gagnrýnt að höfundar þess séu ekki látnir svara fyrir málið.

Með bréfi, dags. 20. júlí 2018, var skólanum boðið að tjá sig um svar kvartanda, en sérstaklega var óskað upplýsinga um hvort, og þá með hvaða hætti, kvartanda hefði verið veittur aðgangur að upplýsingum um dóttur sína. Þá var þess óskað að skólinn upplýsti um dagsetningu þess, sem og gagna sem til væru og kynnu að varpa frekara ljósi á málið.

Svar skólans barst með tölvupósti þann 9. ágúst 2018. Í viðhengi með tölvupóstinum voru þau samskipti milli skólans og kvartanda sem rakin eru að framan, en jafnframt segir að samskipti hafi átt sér stað símleiðis. Þá segir að kvartanda hafi verið bætt við í Innu sem aðstandanda og geti hann því sótt um að fá lykilorð sent í tölvupósti. Með tölvupóstinum fylgdi jafnframt skjáskot úr Innu þar sem sést að kvartanda hefur verið bætt við sem aðstandenda í Innu, en auk hans eru [C] og [B] skráð sem aðstandendur.

Með bréfi, dags. 5. október 2018, var kvartanda boðið að tjá sig um framkomin svör skólans. Svar kvartanda barst með tölvupósti þann 19. nóvember s.á. Í svarinu ítrekar kvartandi fyrri athugasemdir um að hann hafi aldrei móttekið lykilorð frá Innu, auk þess sem hann ítrekar fyrri gagnrýni um að persónuverndarmál séu í lausu lofti í vefkerfi sem hannað sé fyrir alla landsmenn. Þá segir einnig að ljóst sé að skólinn hafi ítrekað brotið á rétti hans með því að hafa ekki sent honum lykilorð að Innu þar sem hann sé forsjáraðili barnsins.

II.

Forsendur og niðurstaða

1.

Lagaskil

Mál þetta varðar kvörtun sem barst Persónuvernd þann 8. janúar 2018 og lýtur bæði að atvikum sem gerðust fyrir gildistöku núgildandi laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, þann 15. júlí 2018, sem og ástandi sem er enn til staðar, þ.e. að Fjölbrautaskóli Suðurlands hafi ekki sent kvartanda lykilorð að vefkerfinu Innu. Umfjöllun og efni þessa úrskurðar verða því byggð á ákvæðum laga nr. 90/2018.

2.

Gildissvið laga nr. 90/2018

Ábyrgðaraðili

Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá. Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling, en einstaklingur telst persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, s.s. með tilvísun í auðkenni eins og nafn, kennitölu, staðsetningargögn, netauðkenni eða einn eða fleiri þætti sem einkenna hann í líkamlegu, lífeðlisfræðilegu, erfðafræðilegu, andlegu, efnalegu, menningarlegu eða félagslegu tilliti, sbr. 2. tölulið 3. gr. laganna. Þá er með vinnslu átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur sem vinnslan er sjálfvirk eða ekki, s.s. söfnun, skráningu, flokkun, kerfisbindingu, varðveislu, aðlögun eða breytingu, heimt, skoðun, notkun, miðlun með framsendingu, dreifingu eða aðrar aðferðir til að gera upplýsingarnar tiltækar, samtengingu eða samkeyrslu, aðgangstakmörkun, eyðingu eða eyðileggingu, sbr. 4. tölulið sömu greinar. Af þessu öllu er ljóst að mál þetta lýtur að vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við þann sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga. Eins og hér háttar til telst Fjölbrautaskóli Suðurlands vera ábyrgðaraðili að umræddri vinnslu.

3.

Lögmæti vinnslu

Í málinu kemur fram að upplýsingar um forsjáraðila, vegna aðgangs að vefkerfinu Innu, voru fengnar beint úr þjóðskrá, en algengt er að slíkar upplýsingar séu sóttar í skrána þar sem aðilar eru tengdir saman á grundvelli svokallaðra fjölskyldunúmera. Persónuvernd telur rétt að benda á, með hliðsjón af úrskurði stofnunarinnar í máli nr. 2015/526, að notkun fjölskyldunúmers er ekki til þess fallin að tengja börn við foreldra eða forsjáraðila með áreiðanlegum hætti miðað við tilgang vinnslunnar. Miðlun persónuupplýsinga, án sannreyningar, til einstaklings sem skráður er á fjölskyldunúmer barns, fer því í bága við kröfuna um áreiðanleika persónuupplýsinga skv. 4. tölul. 1. mgr. 8. gr. laga nr. 90/2018.

Með hliðsjón af framangreindu er vakin athygli á því að í tölvupósti kvartanda til skólans þann 3. janúar 2018 segir að skráðir forsjáraðilar barnsins séu kvartandi og [B]. Í skjáskoti sem barst Persónuvernd með tölvupósti þann 9. ágúst s.á. má sjá að auk þeirra er [C] skráður aðstandandi. Bendir Persónuvernd á að gæta þarf þess að skráðar upplýsingar um þá sem heimild hafi til að fá upplýsingar um ólögráða nemendur, s.s. á grundvelli 28. gr. barnalaga nr. 76/2003, séu áreiðanlegar. Berist skólanum ábending um að aðili sem skráður er forsjáraðili fari ekki með forsjá barns þarf að gæta þess að persónuupplýsingum sé ekki miðlað til viðkomandi án þess að fullnægjandi heimild standi til hennar, s.s. á grundvelli samþykkis forsjáraðila.

Í málinu er einnig kvartað yfir því að kvartanda hafi ekki verið veittur aðgangur að upplýsingum um dóttur sína í gegnum vefkerfið Innu þar sem Fjölbrautaskóli Suðurlands sendi honum ekki lykilorð að vefkerfinu.

Við umrædda vinnslu persónuupplýsinga ber meðal annars að fara að ákvæðum 17. gr. laga nr. 90/2018, sbr. 12. og 15. gr. reglugerðar (ESB) nr. 2016/679, þar sem fjallað er um meginreglur um gagnsæi upplýsinga og rétt hins skráða til upplýsinga og aðgangs. Í 17. gr. segir m.a. að ábyrgðaraðili skuli gera viðeigandi ráðstafanir til að tryggja gagnsæi upplýsinga og tilkynningar til skráðs einstaklings samkvæmt fyrirmælum 12. gr. reglugerðarinnar svo að hann geti neytt upplýsingaréttar síns og réttar til aðgangs. Í 12. gr. reglugerðarinnar segir m.a. að ábyrgðaraðili skuli auðvelda skráðum einstaklingi að neyta réttar síns skv. 15.-22. gr. reglugerðarinnar. Í 15. gr. reglugerðarinnar er kveðið á um að skráður einstaklingur skuli hafa rétt til að fá staðfestingu á því frá ábyrgðaraðila hvort unnið sé með persónuupplýsingar er varða hann sjálfan, sem og aðgang að þeim upplýsingum. Upplýsingarétturinn samkvæmt framangreindu er bundinn við hinn skráða, en aðrir en hinn skráði geta þó fylgt réttinum eftir, hafi þeir til þess sérstakt umboð eða sé að lögum skylt að gera það. Ef hinn skráði er barn og nýtur forsjár fer forsjáraðili með lögformlegt fyrirsvar fyrir hönd hans, sbr. 28. gr. barnalaga nr. 76/2003. Verður því talið að kvartanda sé heimilt að fá aðgang að upplýsingum um ólögráða börn sem hann fer með forsjá yfir.

Í tölvupóstsamskiptum milli Fjölbrautaskóla Suðurlands og kvartanda sem fylgdu með kvörtun segir m.a. að skráðir aðstandendur geti óskað eftir að fá lykilorð sent í gegnum vefkerfið Innu. Einnig segir að þegar nemandi sé fyrst skráður í Innu skráist nöfn forsjáraðila sjálfvirkt í kerfið með tengingu við þjóðskrá. Í tilvikum þar sem forsjáraðili sé búsettur á öðrum stað en viðkomandi nemandi sé nafn hans sem forsjáraðila barns ekki sjálfkrafa skráð. Þegar skólanum berist upplýsingar um að nafn einstaklings vanti sem forsjáraðila barns sé því aftur á móti bætt við Innu sé þess óskað. Í samskiptum milli skólans og kvartanda kemur einnig fram að einungis skráðir forsjáraðilar geti óskað eftir því að nýjum forsjáraðila sé bætt við og var kvartanda bent á að hafa samband við skráða forsjáraðila. Í síðari samskiptum býðst skólinn til að hafa samband við skráða forsjáraðila og kemur fram að honum verði bætt við í kjölfarið. Með svari skólans þann 9. ágúst 2018 fylgdi skjáskot úr vefkerfinu þar sem kvartandi hefur verið skráður sem aðstandandi í Innu. Tekur skólinn fram í því sambandi að hann hafi þar með getað sótt um lykilorð í gegnum vefkerfið. Að mati Persónuverndar verður að telja að frá þeim tíma hafi skólinn veitt honum aðgang að upplýsingum um dóttur hans í Innu. Ekki kom fram hvenær honum var bætt við sem aðstandanda í Innu, þrátt fyrir að Persónuvernd hafi óskað eftir þeim upplýsingum.

Að mati Persónuverndar verður ekki talið að í samskiptum kvartanda og skólans hafi falist synjun á aðgangsorði að vefkerfinu Innu og þar með upplýsingum um dóttur hans. Í samskiptunum er þess í stað leitað leiða til að sannreyna að hann fari í raun með forsjá yfir viðkomandi nemanda.

Í samskiptunum er þó gerð sú krafa að til að viðkomandi sé bætt við sem forsjáraðila í Innu þurfi skólanum að berast beiðni frá skráðum forsjáraðilum, en í síðari samskiptum hafði skólinn sjálfur samband við skráða forsjáraðila. Persónuvernd telur að til að ganga úr skugga um að óviðkomandi sé ekki veittur aðgangur að persónuupplýsingum geti verið eðlilegt að óska eftir að skráðir forsjáraðilar staðfesti að viðkomandi skuli hafa aðgang að persónuupplýsingum um ólögráða börn þeirra. Að mati Persónuverndar verður þó jafnframt að bjóða upp á aðrar leiðir fyrir kvartanda til að sannreyna að hann fari í raun með forsjá, s.s. að framvísa forsjárvottorði frá Þjóðskrá Íslands. Þar sem það var ekki gert verður Fjölbrautaskóli Suðurlands ekki talinn hafa uppfyllt upplýsingaskyldu sína gagnvart kvartanda. Skal skólinn eigi síðar en 1. maí nk. upplýsa Persónuvernd um til hvaða ráðstafana hann hafi gripið til að tryggja að hinir skráðu geti neytt réttinda sinna skv. 17. gr. laga nr. 90/2018, sbr. nánar 12. og 15. gr. reglugerðar (ESB) nr. 2016/679.

Ú r s k u r ð a r o r ð:

Fjölbrautaskóli Suðurlands uppfyllti ekki kröfur 17. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga í samskiptum við [A] vegna aðgangs að upplýsingum um ólögráða dóttur hans í vefkerfinu Innu.

Fjölbrautaskóli Suðurlands skal eigi síðar en 1. maí nk. senda Persónuvernd upplýsingar um til hvaða ráðstafana hann hafi gripið til að tryggja að hinir skráðu geti nýtt sér réttindi sín skv. 17. gr. laga nr. 90/2018, sbr. nánar 12. og 15. gr. reglugerðar (ESB) nr. 2016/679.



Var efnið hjálplegt? Nei