Miðlun grunnskóla á persónuupplýsingum nemanda til ráðgjafarfyrirtækis
Mál nr. 2020031243
Persónuvernd hefur úrskurðað í máli þar sem kvartað var yfir því að grunnskóli hefði miðlað viðkvæmum persónuupplýsingum um barn kvartenda til ráðgjafarfyrirtækis eftir að ákvörðun var tekin um að fyrirtækið kæmi ekki lengur að máli barnsins sem var til meðferðar hjá skólanum. Í úrskurðinum er komist að þeirri niðurstöðu að skólanum hafi ekki verið heimilt að halda áfram miðlun persónuupplýsinga um nemandann til sjálfstætt starfandi ráðgjafarfyrirtækis eftir að ákvörðun var tekin um að fyrirtækið kæmi ekki lengur að máli nemandans. Breytti þar engu þótt viðtakandi tölvupóstsins hefði þegar verið upplýstur um málið og því ekki um nýjar upplýsingar að ræða nema að takmörkuðu leyti.
Úrskurður
Hinn 7. apríl 2021 kvað Persónuvernd upp svohljóðandi úrskurð í máli nr. 2020031243:
I.
Málsmeðferð
1.
Tildrög máls
Hinn 21. mars 2020 barst Persónuvernd kvörtun frá [A] og [B] (hér eftir nefnd kvartendur) yfir því að [grunnskólinn X] hefði sent tölvupóst sem innihélt viðkvæmar upplýsingar um barn þeirra til ráðgjafarfyrirtækis eftir að samstarfi skólans við fyrirtækið lauk.
Með tölvupósti frá Persónuvernd til kvartenda þann 29. september 2020 var umkvörtunarefnið afmarkað nánar og barst svar frá kvartendum með tölvupósti þann 5. október s.á. Með bréfi, dags. 5. október 2020, var [grunnskólanum X] boðið að koma á framfæri skýringum vegna kvörtunarinnar. Svarað var með bréfi, dags. 6. nóvember 2020.
Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.
2.
Sjónarmið kvartenda
Af hálfu kvartenda hefur komið fram að fyrirtækið KVAN hafi verið fengið til að vinna að eineltismáli barns kvartenda sem gengur í [grunnskólann X]. Í [...] hafi verið tekin sameiginleg ákvörðun af fræðslusviði [bæjarfélagsins Y, [grunnskólanum X] og kvartendum um að eineltisteymi skólans tæki við málinu af KVAN og að fyrirtækið kæmi ekki frekar að málinu. Þremur vikum eftir þá ákvörðun [...], hafi starfsmaður KVAN sent tölvupóst á starfsmann [grunnskóla X] og spurt um stöðu mála barns kvartenda. Samdægurs hafi starfsmaður skólans svarað tölvupóstinum og veitt upplýsingar um stöðu málsins, án samþykkis kvartenda. Í tölvupóstinum hafi komið fram nafn barnsins og viðkvæmar persónuupplýsingar um það.
Kvartendur hafi fyrst fengið vitneskju um þetta eftir að þau hafi óskað eftir aðgangi að öllum gögnum um sig og barn sitt hjá [grunnskólanum X].
3.
Sjónarmið [grunnskóla X]
Af hálfu [grunnskólans X] hefur komið fram að leitað hafi verið til ráðgjafarfyrirtækisins KVAN í tengslum við eineltismál barns kvartenda hjá skólanum. Ráðgjafi KVAN hafi unnið að málinu [í nokkra mánuði] eða þar til ákveðið hafi verið að KVAN kæmi ekki frekar að málinu og að eineltisteymi [grunnskólans X] tæki við því. Þremur vikum síðar hafi starfsmaður KVAN sent tölvupóst til starfsmanns [grunnskólans X] og spurt um stöðu mála. Starfsmaður skólans hafi svarað tölvupóstinum en starfsmaðurinn hafi ekki verið meðvitaður um að samstarfi við KVAN hefði verið hætt og hann hefði því verið í góðri trú í samskiptum sínum við KVAN. Í tölvupóstinum hafi ekki komið fram neinar nýjar persónuupplýsingar sem viðkomandi starfsmaður KVAN hafi ekki þegar haft vitneskju um. Þrátt fyrir það hafi sveitarfélagið beðið kvartendur afsökunar.
II.
Forsendur og niðurstaða
1.
Gildissvið – Ábyrgðaraðili
Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.
Mál þetta lýtur að miðlun persónuupplýsinga um barn kvartenda af hálfu [grunnskólans X] og fellur því undir valdsvið Persónuverndar.
Miðlun persónuupplýsinganna fór fram af hálfu [grunnskólans X] og verður [grunnskólinn X] því talinn ábyrgðaraðili að umræddri vinnslu, sbr. 6. tölul. 3. gr. laga nr. 90/2018, sbr. 7. tölul. 4. gr. reglugerðarinnar.
2.
Niðurstaða
Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðar (ESB) 2016/679. Má þar nefna að vinna má með persónuupplýsingar sé það nauðsynlegt til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, sbr. 3. tölul. 9. gr. laganna (sbr. c-lið 1. mgr. 6. gr. reglugerðarinnar), eða við beitingu opinbers valds, sbr. 5. tölul. lagaákvæðisins (sbr. e-lið reglugerðarákvæðisins). Að auki verður vinnsla viðkvæmra persónuupplýsinga, svo sem persónuupplýsinga sem varða líkamlegt eða andlegt heilbrigði einstaklings, að samrýmast einhverju af viðbótarskilyrðum 1. mgr. 11. gr. laganna, sbr. 9. gr. reglugerðarinnar.
Við mat á því hvort heimild stendur til vinnslunnar verður einnig að líta til ákvæða í öðrum lögum sem við eiga hverju sinni. Hér koma helst til skoðunar lög nr. 91/2008 um grunnskóla og reglur settar samkvæmt þeim, t.d. reglugerð um ábyrgð og skyldur aðila skólasamfélagsins í grunnskólum nr. 1040/2011.
Þó fallast megi á að grunnskóla beri skylda til að bregðast við og vinna úr eineltismálum í samræmi við framangreint verður ekki séð að skólanum sé heimilt að halda áfram miðlun persónuupplýsinga um nemendur til sjálfstætt starfandi ráðgjafarfyrirtækis eftir að ákvörðun hefur verið tekin um að fyrirtækið komi ekki lengur að málinu. Persónuvernd telur ámælisvert í ljósi eðlis þeirra gagna sem um ræðir að [grunnskólinn X] hafi ekki tryggt að allir starfsmenn sem hafi komið að máli barns kvartenda hafi verið upplýstir um að samstarfi við KVAN væri lokið. Breytir þar engu þótt viðtakandi tölvupóstsins hafi þegar verið upplýstur um málið og því ekki um nýjar upplýsingar að ræða nema að takmörkuðu leyti.
Samkvæmt
framangreindu verður ekki talið að heimild hafi verið til miðlunar [grunnskólans
X] á persónuupplýsingum um barn kvartenda til ráðgjafarfyrirtækisins KVAN eftir
að samstarfi við það lauk. Þegar af þeirri ástæðu telur Persónuvernd að vinnsla
[grunnskóla X] á persónuupplýsingum um barn kvartenda hafi ekki samrýmst lögum nr. 90/2018,
um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679.
Ú r s k u r ð a r o r ð:
Miðlun
[grunnskólans X] á persónuupplýsingum um barn [A og B] með
tölvupóstsendingu til KVAN [...] samrýmdist ekki lögum nr. 90/2018, um
persónuvernd og vinnslu persónuupplýsinga, og reglugerð (ESB) 2016/679.
Persónuvernd, 7. apríl 2021
Helga Þórisdóttir Helga Sigríður Þórhallsdóttir