Höfnun grunnskóla á eyðingu aðgangs foreldris og barna að upplýsingakerfi Mentor
Mál nr. 2020010599
Persónuvernd hefur komist að þeirri niðurstöðu að höfnun grunnskóla á beiðni foreldris um að gera notandaaðgang hans að upplýsingakerfi Mentor óvirkan og eyða öllum upplýsingum úr kerfinu um börn hans samrýmdist lögum um persónuvernd og vinnslu persónuupplýsinga.
Úrskurður
Hinn 6. maí 2021 kvað Persónuvernd upp svohljóðandi úrskurð í máli nr. 2020010599:
I.
Málsmeðferð
1.
Tildrög máls
Hinn 1. mars 2019 barst Persónuvernd kvörtun frá [A] (hér eftir nefndur „kvartandi“) yfir höfnun [grunnskóla X] og InfoMentor á beiðni hans þess efnis að gera notandaaðgang hans og konu hans að upplýsingakerfi Mentor óvirkan og eyða öllum upplýsingum úr kerfinu um börn þeirra.
Með bréfi kvartanda fylgdu samskipti hans við skólastjóra [grunnskóla X], m.a. svarbréf skólastjórans, þar sem beiðninni er hafnað.
Með bréfi, dags. 14. júní 2019, var [grunnskóla X] boðið að koma á framfæri skýringum vegna kvörtunarinnar. Óskað var frekari frests til að svara kvörtuninni og var hann veittur. Svarað var með bréfi sem barst Persónuvernd hinn 4. september 2019. Einnig var InfoMentor boðið að koma á framfæri skýringum vegna kvörtunarinnar með bréfi, dags. 11. nóvember 2019. Svarað var með bréfi, dags. 29. s.m. Með bréfi, dags. 7. apríl 2020, var kvartanda gefinn kostur á að koma að athugasemdum sínum við sjónarmið [grunnskóla X] og InfoMentor. Bárust þær með tölvupósti þann 23. apríl 2020.
Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.
Meðferð málsins hefur dregist vegna mikilla anna hjá Persónuvernd.
2.
Sjónarmið kvartanda
Kvörtun sína byggir kvartandi á höfnun [grunnskóla X] og InfoMentor á að fara að kröfu hans um að eyða út úr Mentor-upplýsingakerfinu öllum notendaupplýsingum um hann, konu hans og [börn þeirra] í kjölfar öryggisbrests hjá InfoMentor, þar sem gögnum úr upplýsingakerfinu hafi verið hlaðið niður án heimildar. Í ljósi þess að hvorki [grunnskóli X] né InfoMentor geti fullvissað notendur kerfisins um öryggi gagnanna þá kjósi hann að skrá ekki frekari upplýsingar í Mentor og krefst þess að notandaaðgangur hans og konu sinnar verði gerður óvirkur. Einnig gerir kvartandi athugasemdir við að [grunnskóli X] hafi ekki skráð öll vandamál, sem komu upp á skólaárinu, í upplýsingakerfið. Þá telur kvartandi að fyrrgreint kerfi sé ekki notað til samskipta við foreldra þar sem honum berist á degi hverjum um fimm tölvupóstar frá starfsmönnum skólans. Kvartandi krefst þess að [grunnskóla X] verði gert skylt að eiga eingöngu samskipti við foreldra í gegnum Mentor og láti af endurteknum tölvupóstsendingum. Að lokum spyr kvartandi hvort að [grunnskóla X] sé skylt að varðveita samskipti við foreldra og vista þau á Borgarskjalsafni.
3.
Sjónarmið [grunnskóla X]
Skólastjóri [grunnskóla X] vísar til lagaskyldu um öflun, meðferð, miðlun og vörslu upplýsinga um nemendur í grunnskólum sem hvíli á ábyrgðaraðila, sbr. 2. mgr. 18. gr. laga um grunnskóla nr. 91/2008 og reglugerð nr. 897/2009 um miðlun og meðferð upplýsinga um nemendur í grunnskólum og réttar foreldra til aðgangs að upplýsingum um börn sín. Þá vísar skólastjóri [grunnskóla X] til þess að grunnskólum sé heimilt samkvæmt framangreindri reglugerð að nota rafræn upplýsingakerfi til skráningar og miðlunar upplýsinga um nemendur en einnig til að veita foreldrum aðgang að upplýsingum og eiga við þá samskipti. Þó megi veita foreldrum jafnframt aðgang að upplýsingum með öðrum hætti, s.s. með tölvupósti, símleiðis eða bréfleiðis, komi fram rökstudd beiðni frá foreldrum um það, enda þjóni það hagsmunum og þörfum barnsins. Við slíkar aðstæður skuli tillit tekið til eðlis og mikilvægis þeirra upplýsinga sem um ræðir hverju sinni og hvort sérþarfir barns eða sérstakar aðstæður kalli á að samskipti séu með tilteknum hætti. Mentor-kerfið sé notað í fyrrgreindum tilgangi og það sé mat skólastjórnenda [grunnskóla X] að rafrænt upplýsingakerfi tryggi betur en önnur úrræði aðgang foreldra að upplýsingum um börn sín. Þá sé með kerfinu tryggt að á einum stað komi fram allar helstu upplýsingar er varða skólagöngu nemandans, sem auðveldi starfsfólki skólans að mæta þörfum hvers nemanda. Hafi rafrænt upplýsingakerfi verið tekið upp í grunnskóla veita lögin og reglugerðin ekki heimild til þess að notkun þess í tilviki einstaka nemanda sé alfarið sleppt, enda beri skólastjórnendum að uppfylla strangar reglur um varðveislu opinberra gagna.
Enn fremur vísar skólastjóri [grunnskóla X] til ábyrgðar sinnar, fyrir hönd skólans, á meðferð og vörslu gagna grunnskólans. Í samræmi við lög nr. 77/2014 um opinber skjalasöfn og ákvæði grunnskólalaga og áður tilvitnaðrar reglugerðar hafi umræddar upplýsingar verið vistaðar og varðveittar með rafrænum hætti í Mentor-kerfinu en síðar komið í örugga geymslu Borgarskjalasafns. Hvorki lög nr. 77/2014 eða samþykktir þjóðskjalavarðar kveði á um eyðingu eins og kvartandi óski eftir.
Þá vísar skólastjóri [grunnskóla X] til þess að réttur til eyðingar eða rétturinn til að gleymast eigi ekki við þegar vinnslan sé nauðsynleg til að uppfylla lagaskyldu sem hvíli á ábyrgðaraðilanum vegna verkefnis sem unnið sé í þágu almannahagsmuna eða við beitingu opinbers valds sem ábyrgðaraðili fer með eða þegar vinnslan er nauðsynleg vegna skjalavistunar, m.a. í þágu almannahagsmuna. Því eigi rétturinn til eyðingar í tilviki kvartanda ekki við þar sem [grunnskóli X] sé að uppfylla lagaskyldu en einnig takmarki lagaskylda Borgarskjalasafns um skjalavistun í þágu almannahagsmuna fyrrgreindan rétt.
Loks vísar skólastjóri [grunnskóla X] til þess að vinnsla InfoMentor byggi á vinnslusamningi við grunnskóla borgarinnar og þar komi m.a. fram að vinnsluaðila beri að gera og viðhafa viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að tryggja viðunandi öryggi upplýsinga frá ábyrgðaraðila og vernda þær m.a. gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni, gegn óleyfilegum aðgangi og gegn allri annarri ólögmætri vinnslu.
4.
Sjónarmið InfoMentor
InfoMentor vísar einkum til þess að félagið sé eigandi að, þjónusti og hýsi Mentor-upplýsingakerfið og að öll vinnsla persónuupplýsinga á vegum [grunnskóla X] byggist á fyrirmælum sem skilgreind séu í skriflegum vinnslusamningi. InfoMentor sé því vinnsluaðili í skilningi laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga. Þar sem engin skrifleg fyrirmæli hafi borist um eyðingu upplýsinga frá ábyrgðaraðila, hafi InfoMentor sem vinnsluaðili engar heimildir til að verða við beiðni kvartanda.
II.
Forsendur og niðurstaða
1.
Afmörkun máls
Eins og að framan greinir óskaði kvartandi eftir því að aðgangur hans og konu hans að Mentor yrði gerður óvirkur og að öllum upplýsingum um börn þeirra yrði eytt. Hins vegar áréttar kvartandi í athugasemdum sínum við sjónarmið InfoMentor og [grunnskóla X] er barst Persónuvernd með tölvupósti, hinn 23. apríl 2020, að ósk hans hafi einungis staðið til þess að InfoMentor eyddi aðgangi hans, konu sinnar og barna að Mentor-upplýsingakerfinu en ekki að upplýsingum um börn þeirra yrði eytt.
Í ljósi framangreinds mun Persónuvernd í úrskurði þessum fjalla um heimild grunnskólans til þess að eyða aðgangsupplýsingum kvartanda, þ.e. að gera notandaaðgang hans sem foreldris og barna hans að Mentor-kerfinu óvirkan.
Persónuvernd óskaði, með tölvupósti, hinn 25. mars 2019, eftir undirrituðu umboði kvartanda þess efnis að honum væri heimilt að kvarta fyrir hönd konu sinnar. Þar sem stofnuninni hefur enn ekkert umboð borist, er litið svo á að kvartandi sé að kvarta fyrir eigin hönd og barna sinna.
2.
Gildissvið – Ábyrgðaraðili og vinnsluaðili
Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.
Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 2. tölul. 3. gr. laganna og 1. tölul. 4. gr. reglugerðarinnar.
Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur vinnslan er sjálfvirk eða ekki, sbr. 4. tölul. 3. gr. laganna og 2. tölul. 4. gr. reglugerðarinnar.
Mál þetta lýtur að eyðingu persónuupplýsinga í upplýsingakerfi Mentor og lokun einstakra notendaaðganga að því. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar. Með vísan til niðurstöðu Persónuverndar í málum nr. 2011/1231, 2015/1203 og nr. 2017/673 telst [grunnskóli X] vera ábyrgðaraðili að umræddri vinnslu og InfoMentor ehf. vinnsluaðili sem vinnur með persónuupplýsingar á vegum ábyrgðaraðila, sbr. 7. tölul. 3. gr. laga nr. 90/2018.
3.
3.1.
Heimild til vinnslu persónuupplýsinga
Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018. Má þar nefna að vinna má með persónuupplýsingar sé það nauðsynlegt til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, sbr. 3. tölul. þeirrar greinar eða vinnslan sé nauðsynleg vegna verks sem unnið sé í þágu almannahagsmuna eða við beitingu opinbers valds sem ábyrgðaraðili fer með, sbr. 5. tölul. sömu greinar. Að auki verður vinnsla viðkvæmra persónuupplýsinga að samrýmast einhverju af viðbótarskilyrðum 1. mgr. 11. gr. laganna. Eins og hér háttar til kemur þá einkum til skoðunar 7. tölul. ákvæðisins, þess efnis að vinnsla viðkvæmra persónuupplýsinga sé heimil sé hún nauðsynleg, af ástæðum sem varða verulega almannahagsmuni, og fari fram á grundvelli laga sem kveða á um viðeigandi og sértækar ráðstafanir til að vernda grundvallarréttindi og hagsmuni hins skráða.
Við mat á heimild til vinnslu verður einnig að líta til ákvæða í öðrum lögum sem við eiga hverju sinni. Af hálfu [grunnskóla X] hefur komið fram að gagnkvæm miðlun og skráning ákveðinna upplýsinga um nemendur sé nauðsynleg til þess að skólinn geti uppfyllt skyldur sínar samkvæmt 18. gr. laga nr. 91/2008. Árið 2011 var ákvæði bætt við reglugerð nr. 897/2009 um miðlun og meðferð upplýsinga um nemendur í grunnskólum og rétt foreldra til aðgangs að upplýsingum um börn sín, sbr. reglugerð 657/2011. Heimilaði reglugerðin notkun grunnskóla á rafrænu upplýsingakerfi til skráningar og miðlunar upplýsinga um nemendur og til að eiga samskipti við foreldra. Af því leiðir að grunnskólum er heimilt að skrá persónuupplýsingar um nemendur í rafrænt upplýsingakerfi á borð við Mentor og nota umrætt kerfi til samskipta við foreldra. Þá megi jafnframt veita upplýsingar með öðrum hætti, komi fram rökstudd beiðni foreldra um það enda þjóni það hagsmunum og þörfum barnsins. Ekki liggur fyrir að kvartandi hafi lagt fram beiðni um upplýsingamiðlun með öðrum hætti sem þjóni betur hagsmunum og þörfum barna hans. Í ljósi þess telur Persónuvernd vinnsluna geta stuðst við framangreint ákvæði 3. tölul. 9. gr., sbr. c-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679 og 7. tölul. 1. mgr. 11. gr. laga nr. 90/2018, sbr. g-lið 2. mgr. 9. gr. reglugerðarinnar, sé um viðkvæmar persónuupplýsingar að ræða.
3.2.
Réttur hins skráða til eyðingar persónuupplýsinga
Í málinu liggur fyrir að kvartandi óskaði eftir, bæði við InfoMentor og [grunnskóla X], að notandaaðgangi hans og barna hans í Mentor-kerfinu yrði eytt.
InfoMentor er, sem fyrr segir, vinnsluaðili sem vinnur með persónuupplýsingar samkvæmt fyrirmælum ábyrgðaraðila sem fram koma í vinnslusamningi. InfoMentor hefur því engar sjálfstæðar heimildir til að eyða persónuupplýsingum eða gera einstakan notandaaðgang óvirkan.
Um réttinn til eyðingar er kveðið á um í 20. gr. laga nr. 90/2018 og 17.-19. gr. reglugerðar (ESB) 2016/679. Í 1. mgr. 20. gr. laganna kemur m.a. fram að hinn skráði eigi rétt á að ábyrgðaraðili eyði persónuupplýsingum um hann án ótilhlýðilegrar tafar (réttur til að gleymast) samkvæmt nánari skilyrðum 17. gr. reglugerðarinnar. Slíkur réttur er þó ekki án takmarkana. Réttur til eyðingar á ekki við þegar vinnsla er nauðsynleg til að uppfylla lagaskyldu um vinnslu sem hvílir á ábyrgðaraðila, sbr. b-lið 3. mgr. 17. gr. reglugerðarinnar eða þegar vinnslan er nauðsynleg vegna skjalavistunar í þágu almannahagsmuna, sbr. d-lið sömu málsgreinar.
Líkt og fram hefur komið af hálfu skólastjóra [grunnskóla X] er varðveisluskylda skólans lögbundin samkvæmt lögum nr. 77/2014 um opinber skjalasöfn. Skólastjóri ber ábyrgð á meðferð og vörslu upplýsinganna, uns þær eru afhentar skjalasafni, sbr. 1. mgr. 9. gr. reglugerðar nr. 897/2009, þ.m.t. að hún uppfylli lög nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og lög nr. 77/2014. Samkvæmt 1. mgr. 24. gr. laga nr. 77/2014 er afhendingarskyldum aðilum óheimilt að ónýta eða farga nokkru skjali í skjalasöfnum sínum nema það sé gert á grundvelli samþykktar þjóðskjalavarðar, reglna Þjóðskjalasafns Íslands, skv. 23. gr. eða 2. mgr. 24. gr. sömu laga, eða á grundvelli sérstaks lagaákvæðis.
Þessu til viðbótar segir í 1. mgr. 14. gr. laga nr. 91/2008 um grunnskóla, að nemendur beri ábyrgð á eigin námi og á framkomu sinni og samskiptum með hliðsjón af aldri og þroska. Þá kemur fram að foreldrar barna á skólaskyldualdri beri ábyrgð á námi barna sinna og að þeim beri að fylgjast með námsframvindu þeirra í samvinnu við þau og kennara þeirra, sbr. 1. mgr. 19. gr. sömu laga.
Samkvæmt framangreindum ákvæðum grunnskólalaga bera nemendur sjálfir ábyrgð á námi sínu en foreldrum ber að gæta hagsmuna barna sinna og að fylgjast með námsframvindu þeirra í samvinnu við þau. Af því leiðir að það er skylda forsjáraðila barns að viðhafa fyrrgreind gagnkvæm samskipti við starfsmenn grunnskóla til þess að geta, með fullnægjandi hætti, gætt hagsmuna barns síns. Þá er ljóst að barn, sem náð hefur tilteknum þroska, getur ekki borið ábyrgð á eigin námi nema því sé veittur aðgangur að upplýsingum um sig, námsframvindu sína og skólastarfið.
Það er mat Persónuverndar að með því að veita foreldri og nemanda aðgang að Mentor-upplýsingakerfinu sé [grunnskóli X] að fullnægja framangreindri lagaskyldu. Það að eyða eða óvirkja notandaaðgang kvartanda eða barna hans telur Persónuvernd að gangi gegn lagaskyldu grunnskólans og fyrrnefndum rétti kvartanda og barna hans. Er framangreint jafnframt í samræmi við fyrri niðurstöður í málum Persónuverndar er varða upplýsingakerfi grunnskólanna.
Að framangreindu virtu er það niðurstaða Persónuverndar að vinnsla, varðveisla og höfnun á eyðingu notandaaðgangs kvartanda og barna hans samrýmist lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.
Ú r s k u r ð a r o r ð:
Vinnsla [grunnskóla X] á persónuupplýsingum um [A] og börn hans sem og höfnun grunnskólans á að eyða notandaaðgangi þeirra úr Mentor-upplýsingakerfinu samrýmist lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.
F.h. Persónuverndar,
Helga Þórisdóttir Vigdís Eva Líndal