Miðlun grunnskóla á viðkvæmum persónuupplýsingum um barn
Mál nr. 2020041451
Persónuvernd hefur úrskurðað um miðlun viðkvæmra persónuupplýsinga um nemanda í tölvupósti, frá skólastjóra grunnskóla til foreldra annarra nemenda, í tengslum við úrvinnslu á eineltismáli.
Persónuvernd komst að þeirri niðurstöðu að ekki hafi verið heimild til miðlunar grunnskólans á persónuupplýsingum um barn kvartenda til viðtakenda tölvupóstsins með þeim hætti sem gert var og vinnslan því ekki samrýmst lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679. Í ljósi eðlis þeirra gagna sem um var að ræða taldi Persónuvernd það vera ámælisvert að grunnskólinn hafi ekki tryggt viðeigandi öryggi upplýsinganna líkt og áskilið er í persónuverndarlögum.
Úrskurður
Hinn 14. mars 2022 kvað Persónuvernd upp svohljóðandi úrskurð í máli nr. 2020041451:
I.
Málsmeðferð
1.
Tildrög máls
Hinn 17. apríl 2020 barst Persónuvernd kvörtun frá [A] og [B] (hér eftir nefnd kvartendur) yfir því að [grunnskóli] hefði sent tölvupóst, sem innihélt viðkvæmar upplýsingar um barn þeirra, til foreldra tveggja annarra barna sem gengu í sama skóla.
Með bréfi, dags. 5. október 2020, var [grunnskólanum] boðið að koma á framfæri skýringum vegna kvörtunarinnar. Svarað var með bréfi, dags. 6. nóvember 2020. Með tölvupósti þann. 24. mars 2021 tilkynnti Persónuvernd um fyrirhugaða vettvangsathugun. Þann 14. apríl 2021 fór Persónuvernd í vettvangsathugun á starfsstöð [sveitarfélagsins] og skoðaði gögn. Með tölvupósti þann 27. mars 2021 lögðu kvartendur fram viðbót við kvörtun sína.
Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.
Málið hefur dregist vegna mikilla anna hjá Persónuvernd.
2.
Sjónarmið kvartenda
Af hálfu kvartenda hefur komið fram að þau telji að þáverandi skólastjóri [grunnskólans] hafi sent viðkvæmar persónuupplýsingar um barn þeirra sem gengur í [grunnskóla] til foreldra tveggja annarra barna í sama skóla. Tölvupósturinn varðaði eineltismál sem unnið var að hjá skólanum. Í kvörtuninni segir að kvartendur telji að ekki sé hægt að fullyrða að viðkomandi hafi ekki lesið póstinn eða að póstinum hefði verið eytt. Við málsmeðferðina bættu kvartendur við kvörtun sína skjáskoti úr gögnum sem þau fengu afhent hjá [sveitarfélaginu] og telja kvartendur með vísan til þess sem þar kemur fram að pósturinn sem var sendur hafi verið lesinn.
3.
Sjónarmið [grunnskóla]
Af hálfu [grunnskólans] hefur komið fram að barn kvartenda sé nemandi í skólanum og hafi meint eineltismál verið til meðferðar þar í langan tíma. Til ýmissa úrræða hafi verið gripið í því skyni að leita lausna á málinu. Meðal annars hafi verið óskað eftir áliti fagráðs eineltismála hjá Menntamálastofnun á stöðu málsins í skólanum og hafi fagráðið veitt ráðgefandi álit með tillögum til úrbóta. Í kjölfarið hafi skólinn unnið að aðgerðaáætlun í málinu varðandi þrjá nemendur skólans, þ.m.t. barn kvartenda. Fyrir mistök hafi aðgerðaáætlunin, sem send hefði verið fagráði eineltismála og innihélt viðkvæmar upplýsingar um greiningu barns kvartenda, verið send í viðhengi með tölvupósti þann [dags.] til foreldra hinna tveggja barnanna sem áætlunin tók til, þ.e. fjögurra einstaklinga, án þess að tilteknar upplýsingar um barn kvartenda hefðu verið afmáðar úr skjalinu. Láðst hefði að athuga að útbúa hefði þurft þrjú mismunandi eintök, eitt fyrir hvern aðila, þar sem upplýsingar um önnur börn væru afmáð. Í stað þess hefði sama skjalið verið sent á foreldra allra þriggja barnanna sem komu að málinu. Í svörum skólans kemur fram að um leið og atvikið hafi uppgötvast hafi tölvupósturinn verið afturkallaður og rétt skjal sent. Haft hafi verið samband við viðtakendur póstsins og þeir staðfest að hafa ekki lesið tölvupóstinn og að þeir myndu eyða honum ef afturköllun gengi ekki eftir. Því næst hafi málið verið tilkynnt til Persónuverndar sem öryggisbrestur. Kvartendur hafi þá verið upplýstir um málið og beðnir afsökunar af skólanum og [sveitarfélaginu]. Fyrir liggi hins vegar að viðtakendur tölvupóstsins hafi verið viðloðandi meint eineltismál frá því að það kom fyrst upp, átt fjölda funda og samtöl við skólastjórnendur, fulltrúa sveitarfélagsins og ráðgjafa. Eðli máls samkvæmt hafi þeir því haft upplýsingar um efni málsins áður en tölvupósturinn var sendur.
4.
Vettvangsathugun Persónuverndar
Þann 14. apríl 2021 fóru tveir starfsmenn Persónuverndar í vettvangsathugun á [ skrifstofu sveitarfélagsins] þar sem m.a. persónuverndarfulltrúi [sveitarfélagsins] og skólastjóri [grunnskólans] voru viðstaddir og svöruðu spurningum. Í athuguninni var skoðað fylgiskjal það sem fjallað er um í kvörtun þessari, þ.e. aðgerðaáætlun skólans, sem send var foreldrum tveggja annarra barna og mat lagt á efni þess.
Skjalið sem rætt er um í málinu innihélt persónuupplýsingar um barn kvartenda, þar á meðal upplýsingar um greiningu sem barnið hafði fengið, ásamt upplýsingum um að auka þyrfti fræðslu hjá starfsfólki skólans um þessa tilteknu greiningu.
II.
Forsendur og niðurstaða
1.
Gildissvið – Ábyrgðaraðili
Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.
Mál þetta lýtur að miðlun persónuupplýsinga um barn kvartenda af hálfu [grunnskólans] og fellur því undir valdsvið Persónuverndar.
Eins og hér háttar til verður [grunnskóli] talinn ábyrgðaraðili að umræddri vinnslu, sbr. 6. tölul. 3. gr. laga nr. 90/2018, sbr. 7. tölul. 4. gr. reglugerðarinnar.
2.
Niðurstaða
Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðar (ESB) 2016/679. Má þar nefna að vinna má með persónuupplýsingar sé það nauðsynlegt til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, sbr. 3. tölul. 9. gr. laganna og c-lið 1. mgr. 6. gr. reglugerðarinnar, eða sé vinnslan nauðsynleg við beitingu opinbers valds, sbr. 5. tölul. lagaákvæðisins og e-lið reglugerðarákvæðisins. Að auki verður vinnsla viðkvæmra persónuupplýsinga, svo sem persónuupplýsinga sem varða líkamlegt eða andlegt heilbrigði einstaklings, að samrýmast einhverju af viðbótarskilyrðum 1. mgr. 11. gr. laganna, sbr. 9. gr. reglugerðarinnar.
Við mat á því hvort heimild stendur til vinnslunnar verður einnig að líta til ákvæða í öðrum lögum sem við eiga hverju sinni. Hér koma helst til skoðunar lög nr. 91/2008 um grunnskóla og reglur settar samkvæmt þeim, t.d. reglugerð um ábyrgð og skyldur aðila skólasamfélagsins í grunnskólum nr. 1040/2011.
Þó fallast megi á að grunnskóla beri skylda til að bregðast við og vinna úr eineltismálum í samræmi við framangreint verður ekki séð að [grunnskólanum] hafi verið heimilt að senda foreldrum annarra barna viðkvæmar persónuupplýsingar um barn kvartenda. Sem fyrr segir fóru fulltrúar Persónuverndar í vettvangsathugun og skoðuðu umrætt skjal og staðfestu að viðhengi tölvupóstsins innihélt persónuupplýsingar um barn kvartenda ásamt upplýsingum um tiltekna greiningu, sem að mati Persónuverndar voru settar fram með þeim hætti að líklegt væri að þær væru tengdar barni kvartenda. Viðhengið var sent viðtakendum án þess að framangreindar upplýsingar hefðu verið afmáðar eða gerðar ópersónugreinanlegar.
Þá hefur [grunnskólinn] viðurkennt að um mistök hafi verið að ræða en tilkynnt var um öryggisbrest sama dag og pósturinn var sendur, þ.e. [dags.]. Tilkynningin var uppfærð þann [dags.] s.á. Með bréfi, dags. [...], var [grunnskólanum] tilkynnt um að ekki væri talið tilefni til að aðgerða af hálfu Persónuverndar vegna öryggisbrestsins miðað við þær upplýsingar sem veittar hefðu verið í tilkynningunni. Í bréfinu kom þó jafnframt fram að kæmu fram nýjar upplýsingar, sem og ef kvörtun bærist frá einstaklingi vegna öryggisbrestsins, kynni málið að verða tekið upp að nýju, og var það gert þegar kvörtun kvartenda barst. Framangreind tilkynning verður því ekki talin hafa sérstaka þýðingu við úrlausn þessa máls.
Samkvæmt framangreindu verður ekki talið að heimild hafi verið til miðlunar [grunnskólans] á persónuupplýsingum um barn kvartenda til viðtakenda tölvupóstsins með þeim hætti sem í kvörtun greinir. Þegar af þeirri ástæðu telur Persónuvernd að vinnsla [grunnskólans] á persónuupplýsingum um barn kvartenda hafi ekki samrýmst lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679. Breytir þar engu þótt viðtakendur tölvupóstsins kunni að hafa haft vitneskju um innihald skjalsins að einhverju leyti, líkt og ábyrgðaraðili hefur haldið fram, en Persónuvernd er ekki unnt að sannreyna það. Í ljósi eðlis þeirra gagna sem um ræðir telur Persónuvernd það vera ámælisvert að [grunnskólinn] hafi ekki tryggt viðeigandi öryggi upplýsinganna líkt og áskilið er í 6. tölul. 1. mgr. 8. gr., 23., 24. og 27. gr. laga nr. 90/2018, sbr. f-lið 1. mgr. 5. gr., 24., 25. og 32. gr. reglugerðar (ESB) 2016/679.
Eins og mál þetta er vaxið er niðurstaða Persónuverndar sú að ekki séu forsendur til beitingar sektarheimildar, sbr. 46. gr. laga nr. 90/2018.
Ú r s k u r ð a r o r ð:
Miðlun [grunnskólans] á persónuupplýsingum um barn [A] og [B] með tölvupóstsendingu til foreldra tveggja annarra barna í skólanum þann [dags.] samrýmdist ekki lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerð (ESB) 2016/679.
Persónuvernd, 14. mars 2022
Helga Sigríður Þórhallsdóttir Steinunn Birna Magnúsdóttir