Úrlausnir

Miðlun Fjölbrautaskólans í Ármúla á upplýsingum í Skinnu

7.5.2010

Persónuvernd barst erindi frá Fjölbrautaskólanum í Ármúla þar sem óskað var eftir afstöðu hennar til þess að upplýsingum um nemendur skólans væri miðlað til menntamálaráðuneytisins. Hafði ráðuneytið farið fram á upplýsingarnar til að geta skráð þær í gangagrunninn Skinnu. Persónuvernd leit til þess að reglugerð skv. 2. mgr. 55. gr. laga nr. 92/2008 hafði ekki verið sett. Í ljósi þess taldi Persónuvernd að ekki væri fyrir hendi nauðsynleg heimild að lögum í skilningi 3. tölul. 1. mgr. 8. gr. til umræddrar vinnslu.

Ákvörðun

Hinn 19. apríl 2010 komst stjórn Persónuverndar að svohljóðandi niðurstöðu í máli nr. 2009/209:

I.

Grundvöllur máls og bréfaskipti

Þann 16. febrúar 2009 barst Persónuvernd bréf frá Fjölbrautarskólanum við Ármúla varðandi miðlun tiltekinna persónuupplýsinga um nemendur við skólann til menntamálaráðuneytisins. Vísað var til bréfs frá ráðuneytinu þar sem umræddra upplýsinga var óskað. Í því bréfi ráðuneytisins var m.a. vísað til þess að ráðuneytið myndi færa upplýsingarnar í gagna- og upplýsingakerfið Skinnu.

Í 55. gr. laga nr. 92/2008 um framhaldsskóla segir að menntamálaráðuneytið annist söfnun og miðlun upplýsinga um skólahald og skólastarf á framhaldsskólastigi sem varða lögbundið eftirlitshlutverk þess og að framhaldsskólar skuli gera ráðuneytinu árlega eða oftar, sé þess óskað, grein fyrir framkvæmd skólahalds. Í 2. mgr. segir síðan að ráðherra setji í reglugerð nánari fyrirmæli um upplýsingaskyldu framhaldsskóla um skólahald og enn fremur aðra kerfisbundna skráningu skóla og meðferð persónuupplýsinga, þar á meðal um námsferil nemenda.

Með bréfi til menntamálaráðuneytisins, dags. 2. apríl 2009, óskaði Persónuvernd eftir upplýsingum frá ráðuneytinu um hvað liði setningu slíkrar reglugerðar á grundvelli framangreinds ákvæðis. Ekkert svar barst og var þess ítrekað óskað með bréfi 2. október 2009. Hinn 15. október barst Persónuvernd svar menntamálaráðuneytisins. Í því sagði að umrædd reglugerð hafði ekki verið sett en að ráðgert væri að hún yrði sett fyrir árslok 2009.

Persónuvernd sendi Fjölbrautaskólanum í Ármúla bréf, dags. 16. október 2009, þar sem svar ráðuneytisins var kynnt og farið var yfir þau heimildarákvæði sem uppfylla þarf fyrir umræddri miðlun persónuupplýsinga. Persónuvernd barst svar frá Fjölbrautarsskólanum í Ármúla með tölvupósti þann 22. október 2009. Þar sagði að hann hefði fengið fyrirmæli um að senda upplýsingar í gagnagrunn ráðuneytisins (Skinnu). Þar sagði ennfremur:

„Gögnin varða nemendur okkar, þar sem m.a. koma fram námsferlar þeirra, einkunnir, fjarvistir, forföll, námsmat og úrsagnir. Hluti þessara gagna eru viðkvæmar persónuupplýsingar, svo sem einkunnir, fjarvistir, forföll (veikindaforföll) og úrsagnir. Samkvæmt fyrirskipun ráðuneytisins eigum við að leyfa aðgang að þessum gögnum fyrir 1. nóvember nk með því að merkja við ákveðið hak í í INNU.

[A] var á fundi með mér hér í skólanum í morgun og tjáði mér að hann væri búinn að fá grænt ljós hjá Persónuvernd fyrir þessari vinnslu. Hann sagði jafnframt að með því að haka við leyfi fyrir flutningi úr Innu yfir í Skinnu væri ég að fullnægja öllum skilyrðum sem Persónuvernd setur.

Ég vil gjarnan fá þetta staðfest hjá þér áður en ég samþykki þennan flutning.“

Með bréfi, dags. 23. október 2009, bar Persónuvernd framangreint undir ráðuneytið. Ekkert svar barst og var þess ítrekað óskað símleiðis. Svar barst með bréfi dags. 31. mars 2010. Í því sagði m.a.:

„Mennta- og menningarmálaráðuneytið þarf að fá upplýsingar um námsferil nemenda til að geta sinnt lögbundnu eftirlitshlutverki sínu, sbr. 8. gr. II. kafla laga nr. 77/2000. Auk þess fá skólarnir greitt rekstrarfé til skólahalds á grundvelli þessara upplýsinga. Áður hafði mennta- og menningarmálaráðuneytið beinan aðgang að þessum upplýsingum úr gagnagrunninum Innu en ráðuneytið átti hann og hann var sá gagnagrunnur sem flestir framhaldsskólarnir notuðu. Frá öðrum skólum fengust þessar upplýsingar beint frá skólunum í gegnum excel skjöl.

Núverandi gagnagrunnur dulkóðar gögnin á meðan flutningi þeirra stendur til að tryggja öryggi gagnanna. Einnig eru gögnin í gagnagrunni sem hefur fínkornátta aðgangsstýringu sem þýðir að enginn kemst í gögnin nema sá sem er að vinna með þau á ákveðinn hátt, t.d. fá einungis fáir starfsmenn ráðuneytisins aðgang að þessum gagnagrunni og þá aðeins að þeim gögnum sem þeir þurfa að vinna með. Unnin hefur verið öryggisúttekt á gagnagrunninum og skv. henni telst slík stýring nægileg til að tryggja öryggi gagnanna“

II.

Forsendur og niðurstaða

1.

Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Í athugasemdum við 2. tölul. 2. gr. í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að mál þetta lýtur að vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

2.

Svo að vinna megi með persónuupplýsingar verður ávallt að vera fullnægt einhverju skilyrðanna í 8. gr. laga nr. 77/2000. Sé um að ræða viðkvæmar persónuupplýsingar þarf að auki að vera fullnægt einhverju viðbótarskilyrðanna fyrir vinnslu slíkra upplýsinga sem mælt er fyrir um í 9. gr. sömu laga. Auk þess sem heimild verður að vera til vinnslu í 8. og 9. gr. verður öllum grunnkröfum 1. mgr. 7. gr. laga nr. 77/2000 að vera fullnægt eins og ávallt við vinnslu persónuupplýsinga, þ. á m. að þess skuli gætt við meðferð slíkra upplýsinga að þær séu unnar með sanngjörnum, málefnalegum og lögmætum hætti að öll meðferð þeirra sé í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.); að þær séu fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); og að þær séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.).

2.1.

Í máli þessu er til skoðunar hvort heimild standi til þess að persónuupplýsingum um nemendur við Fjölbrautarskólann í Ármúla sé miðlað til menntamálaráðuneytisins, þ. á m. upplýsingum um námsferla, einkunnir, fjarvistir, forföll, námsmat og úrsagnir, í þeim tilgangi að þær verði færðar í miðlægan gagnagrunn sem ráðuneytið rekur. Að mestu leyti er um almennar upplýsingar að ræða. Einnig er þó að einhverju marki um viðkvæmar persónuupplýsingar að ræða. Þarf því bæði að standa heimild til vinnslu samkvæmt 8. og 9. gr. laga nr. 77/2000. Forsenda þess að lagt sé mat á hvort heimild standi til vinnslu viðkvæmra upplýsinga, sbr. 9. gr., er að uppfyllt sé eitthvert af skilyrðum 1. mgr. 8. gr.

2.2.

Að því er varðar skilyrði 1. mgr. 8. gr. laga nr. 77/2000 ber að líta til 3. tölul. um að vinnsla sé heimil sé hún nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila. Með lagaskyldu er átt við hvers konar skyldu sem leiðir af lagasetningu, m.a. samkvæmt reglugerðum eða öðrum stjórnvaldsfyrirmælum sem eiga sér stoð í lögum. Í 55. gr. laga nr. 92/2008 um framhaldsskóla segir að menntamálaráðuneytið annist söfnun og miðlun upplýsinga um skólahald og skólastarf á framhaldsskólastigi sem varða lögbundið eftirlitshlutverk þess og að framhaldsskólar skuli gera ráðuneytinu árlega eða oftar, sé þess óskað, grein fyrir framkvæmd skólahalds.

Af gögnum máls þessa má ráða að gert er ráð fyrir því að menntamálaráðuneytið reki upplýsingakerfi varðandi framhaldsskóla og framhaldsskólanemendur. Til þess að undirbyggja það hefur verið sett ákvæði í 55. gr. laga nr. 92/2008. Verður það upplýsingakerfi ekki útfært fyrr en sett hefur verið reglugerð í samræmi við ákvæðið. Við hönnun upplýsingakerfisins þarf síðan að uppfylla skilyrði reglugerðarinnar.

Í 2. mgr. ákvæðis 55. gr. laga nr. 92/2008 er mælt svo fyrir að ráðherra setji í reglugerð fyrirmæli um upplýsingaskyldu framhaldsskóla um skólahald og enn fremur um aðra kerfisbundna skráningu skóla og meðferð persónuupplýsinga, þar á meðal upplýsinga um námsferil nemenda. Í skýringum við ákvæðið í athugasemdum sem fylgdu frumvarpi því er varð að þessum lögum kemur fram að eðlilegt þyki að sett sé reglugerð um þetta efni svo tryggt verði að öll vinnsla persónuupplýsinga varðandi nemendur, námsferil þeirra og einkahagi standist lög um persónuvernd og meðferð persónuupplýsinga. Meðan umrædd reglugerð hefur ekki verið sett hafa ekki verið settar nauðsynlegar reglur svo hægt sé að hefja kerfisbundna skráningu í umræddan gagnagrunn. Verður því ekki talið að fyrir hendi sé nauðsynleg heimild að lögum í skilningi 3. tölul. 1. mgr. 8. gr. til umræddrar vinnslu.

Af hálfu menntamálaráðuneytisins hefur verið vísað til þess að því sé nauðsyn á upplýsingum um nemendur vegna lögboðins eftirlitshlutverks þess. Samkvæmt 6. tölul 1. mgr. 8. gr. er stjórnvöldum heimilt að vinna með almennar persónuupplýsingar sé vinnslan nauðsynleg við beitingu opinbers valds sem ábyrgðaraðili, eða þriðji maður sem upplýsingum er miðlað til, fer með. Undir þetta fellur vinnsla sem er nauðsynleg við töku stjórnvaldsákvarðana og önnur vinnsla persónuupplýsinga sem telst til stjórnsýslu svo sem við opinbera þjónustustarfsemi. Ekki liggur fyrir að framangreint skilyrði sé uppfyllt, en af hálfu menntamálaráðuneytisins hafa engar skýringar borist eða rök fyrir því að ráðuneytinu sé, í tengslum við töku stjórnvaldsákvarðana eða framkvæmd annarrar lögmæltrar stjórnsýslu, þörf á að fá frá Fjölbrautarskólanum við Ármúla svo ítarlegar upplýsingar um nemendur skólans sem um ræðir í máli þessu, þ. á m. um fjarvistir nemenda, forföll, námsmat og úrsagnir.

N i ð u r s t a ð a

Að virtu framangreindu, og því að ekki hefur verið sett reglugerð á grundvelli 55. gr. laga nr. 92/2008, og í ljósi skýringa við það ákvæði í athugasemdum sem fylgdu frumvarpi því er varð að umræddum lögum, verður ekki talið að fyrir hendi sé nauðsynleg heimild að lögum í skilningi 3. tölul. 1. mgr. 8. gr. til umræddrar vinnslu.





Var efnið hjálplegt? Nei