Úrlausnir

Álit um vinnslu og öryggi persónuupplýsinga í vefkerfinu Mentor

28.9.2015

Persónuvernd hefur veitt álit um vinnslu og öryggi persónuupplýsinga í vefkerfinu Mentor. Vefkerfið er notað af flestum grunnskólum landsins, en athugun Persónuverndar beindist að fimm grunnskólum sem valdir voru af handahófi. Niðurstaða stofnunarinar er sú að vinnsla persónuupplýsinga í vefkerfinu samrýmist ekki lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, m.a. með vísan til öryggiskrafna laganna. Beinir Persónuvernd sérstökum tilmælum til skólanna um úrbætur sem tengjast vinnslu og öryggi persónuupplýsinga í vefkerfinu Mentor.
Persónuvernd hefur veitt álit um vinnslu og öryggi persónuupplýsinga í vefkerfinu Mentor. Vefkerfið er notað af flestum grunnskólum landsins, en athugun Persónuverndar beindist að fimm grunnskólum sem valdir voru af handahófi.

Í álitinu kemur m.a. fram að hver og einn skóli er talinn ábyrgðaraðili þeirrar vinnslu sem fram fer í Mentor og að vinnsla persónuupplýsinga geti verið heimil á grundvelli 8. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Telur Persónuvernd að vinnsla viðkvæmra persónuupplýsinga sé óheimil nema uppfylltar séu aðrar kröfur laga nr. 77/2000, einkum um öryggi og gerð vinnslusamnings við vinnsluaðilann Mentor ehf. Þá hafði enginn þeirra ábyrgðaraðila, sem athugun Persónuverndar náði til, útbúið gögn um öryggisstefnu, áhættumat, öryggisráðstafanir eða fyrirkomulag við innra eftirlit um öryggi persónuupplýsinga, sem þeim er skylt að gera skv. lögum nr. 77/2000 og reglum nr. 299/2001 um öryggi persónuupplýsinga. Með vísan til þessa telur Persónuvernd að vinnsla persónuupplýsinga í vefkerfinu Mentor í skólunum samrýmist ekki lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga og reglum nr. 299/2001 um öryggi persónuupplýsinga.

Beinir Persónuvernd sérstökum tilmælum til skólanna um að skrá ekki viðkvæmar persónuupplýsingar í vefkerfið Mentor, nema útbúið verði sérstakt umhverfi fyrir slíka skráningu sem fullnægi kröfum laga nr. 77/2000. Einnig ber ábyrgðaraðilum að gæta að meðalhófi og sjónarmiðum um sanngjarna skráningu þegar hún fer fram í vefkerfinu, auk þess sem þeim ber að gæta að lögmæti þeirra upplýsinga sem skráðar eru í kerfið, m.a. með því að setja sér verklagsreglur, þar sem t.d. er fjallað um hvað megi skrá, hvenær megi skrá (einkum í dagbókarflipa kerfisins), hverjum eigi að birta færslur í dagbók, hvernig skuli huga að fræðslu og hvernig eftirliti með framangreindu skuli háttað. Þá er lagt fyrir ábyrgðaraðila að útbúa öryggisstefnu, áhættumat, öryggisráðstafanir, lýsingu á fyrirkomulagi innra eftirlits sem og að semja við vinnsluaðila í samræmi við 13. gr. laga nr. 77/2000. Ber að skila framangreindum gögnum til Persónuverndar eigi síðar en 1. apríl 2016.

Í kjölfar niðurstöðu Perónuverndar sendi stofnunin afrit af áliti sínu til mennta- og menningarmálaráðuneytisins, Sambands íslenskra sveitarfélaga og Mentor ehf., til upplýsinga. Í bréfi Persónuverndar til ráðuneytisins og Sambands íslenskra sveitarfélaga segir m.a. að stofnunin telji þörf á aðkomu ráðuneytisins og/eða Sambands íslenskra sveitarfélaga við undirbúning þeirra úrbóta sem þörf er á samkvæmt álitinu, svo að unnt sé að tryggja að þær verði gerðar með samræmdum hætti hjá sveitarfélögum á landsvísu. Lýsir Persónuvernd sig reiðubúna til að koma að samvinnu við hlutaðeigandi aðila í tengslum við framangreint, sé þess óskað.

Álit Persónuverndar í máli nr. 2015/1203.


Var efnið hjálplegt? Nei