Úrskurður um miðlun netfangs frá grunnskóla í þágu rannsóknar
Persónuvernd hefur úrskurðað um að miðlun persónuupplýsinga um kvartanda frá Árbæjarskóla til rannsóknarmiðstöðvar Háskólans á Akureyri (RHA) í tengslum við vísindarannsókn hafi verið heimil. Hins vegar hafi fræðsla RHA til kvartanda ekki verið í samræmi við lög um persónuvernd.
Úrskurður
Á fundi stjórnar Persónuverndar þann 26. október 2016 var kveðinn upp svohljóðandi úrskurður í máli nr. 2015/1352:
I.
Málsmeðferð
1.
Tildrög máls
Þann 22. október 2015 barst Persónuvernd kvörtun [A], dags. 4. júní 2015 (hér eftir nefndur kvartandi), vegna óumbeðinna fjarskipta Rannsóknamiðstöðvar Háskólans á Akureyri (hér eftir RHA), en kvörtunin var framsend frá Póst- og fjarskiptastofnun. Í kvörtuninni segir m.a.:
„Ég tel víst að netfangið mitt hafi komið frá Mentor eða aðilum sem hafa aðgengi að kerfi þeirra, þar sem pósturinn var sendur á netfangið [X], sem er póstfang sem ég hef aðeins notað fyrir Mentor. Á vef Mentor fann ég tvo staði þar sem hægt er að stilla upplýsingar um notanda. Á öðrum staðnum er partur sem heitir „Friðhelgisstillingar“, sem virðast stjórna hvaða upplýsingar sjást á bekkjarlista, sem er aðgengilegur foreldrum og nemendum í viðkomandi bekk. Í eldra viðmóti Mentor fann ég aðra stillingasíðu, sem býður upp á stillingar á hvaða tölvupósta ég vil fá. Þar er ekki spurt um hvort nota megi póstfangið í annað en það sem viðkemur samskiptum við skóla, foreldrafélag eða viðkomandi frístundastarfi nemenda.“
Málið má rekja til rannsóknar sem framkvæmd var af RHA. Markmið rannsóknarinnar var að efla rannsóknir og þekkingu á læsi og stuðla að þróun læsismenntunar í grunnskólum. Tilgangur könnunarinnar var einnig að leita upplýsinga um ýmislegt sem varðar samstarf foreldra við grunnskóla um lestrarnám barnanna, þátttöku foreldra í lestrarnáminu og viðhorf þeirra til framangreindra þátta.
Nánar tiltekið liggur fyrir að hinn [...] 2015 var kvartanda sendur tölvupóstur frá RHA. Í póstinum segir að rannsóknin sé hluti af rannsókn rannsóknarhóps sem samanstandi af sérfræðingum við Háskólann á Akureyri og Menntavísindasvið Háskóla Íslands. Var þess farið á leit við kvartanda að hann tæki þátt í könnunni, en hún væri undir umsjón RHA. Auk framangreindra upplýsinga var tengill á nánari upplýsingar um rannsóknina, rannsóknarhópinn og birt efni úr rannsókninni. Þá fylgdi tengill þar sem kvartanda var boðið að taka ekki þátt í rannsókninni og fá þar af leiðandi ekki ítrekanir vegna hennar.
Í tölvupóstinum var greint frá nafni ábyrgðaraðila og tilgangi rannsóknarinnar. Ekki voru hins vegar veittar upplýsingar um heimilisfang ábyrgðaraðila eða hvaðan upplýsingar um hina skráðu komu.
Í kjölfar móttöku þátttökuboðsins hafði kvartandi samband við verkefnastjóra rannsóknarinnar með tölvupósti og andmælti því að haft væri samband við hann. Tölvupóstur með andmælum kvartanda var einnig sendur á Póst og fjarskiptastofnun auk Persónuverndar þar sem kvartandi óskaði eftir því að stofnanirnar myndu taka málið til meðferðar. Með bréfi, dags. 28. september 2015, tilkynnti Póst- og fjarskiptastofnun kvartanda að stofnunin teldi að efni kvörtunarinnar ætti ekki undir verksvið stofnunarinnar skv. lögum nr. 81/2003 né lögum nr. 69/2003. Með bréfi, dags. 19. október 2015, áframsendi Póst- og fjarskiptastofnun kvörtunina til Persónuverndar til frekari meðferðar.
2.
Bréfaskipti
Með bréfi, dags. 30. nóvember 2015, var RHA boðið að koma á framfæri skýringum vegna kvörtunarinnar til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Svarbréf RHA er dagsett 23. desember s.á.
Í bréfi RHA segir að vinnslan eigi sér stoð í 3., 5., 6. og 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000, auk þess sem vinnsla með spurningakönnun geti átt undir 1. tölul. sömu greinar. Þá segir að RHA hafi ekki verið ábyrgðaraðili á netfangaskránni sem innihélt netfang kvartanda. Sem ábyrgðaraðila skrárinnar hafi grunnskólanum borið að veita kvartanda kost á að andmæla afhendingu áður en hún fór fram.
2.1
Með tölvupósti, dags. 25. apríl 2016, upplýsti kvartandi Persónuvernd um að hann ætti barn í Árbæjarskóla og að umræddur tölvupóstur hafi verið sendur vegna þess.
2.2
Með bréfi, dags. 2. maí 2016, var Árbæjarskóla boðið að koma á framfæri athugasemdum við framkomna kvörtun og framkomnar skýringar RHA, en sérstaklega var þess óskað að fram kæmi hvort Árbæjarskóli hefði miðlað netfangi kvartanda til RHA og á grundvelli hvaða heimildar í 8. gr. laga nr. 77/2000 það hefði verið gert. Auk þess var spurt hvort kvartanda hefði verið veitt fræðsla í samræmi við 21. gr. laga nr. 77/2000, og ef svo væri hver hefði þá veitt hana.
Svarað var með bréfi, dags. 25. maí s.á. Þar segir m.a.:
„Þann 27. apríl 2015 berst póstur frá [B], fyrir hönd Rannsókna- og þróunarmiðstöðvar Háskólans á Akureyri, þar sem beðið er um netföng foreldra barna í 1. og 2. bekk, þar sem foreldrar verði spurðir um ýmislegt er lýtur að samstarfi þeirra við skólann, um læsismenntun barnanna og um þátttöku þeirra í læsisnáminu. Í bréfinu kom einnig fram að rannsóknarteymið myndi síðan sjá um frekari tengsl við foreldra. [...]
Aðstoðarskólastjóri er síðan í sambandi við [B] bæði þann 27. og 29. apríl 2015 og sendir henni síðan umbeðin netföng foreldra.
Þann 29. apríl 2015 fær skólastjóri póst frá [B] þar sem þakkað er fyrir netföngin en um leið er bent á að í viðhengi sé bréf til foreldra með upplýsingum um BL-rannsóknina.
Hvorki skólastjóri né aðstoðarskólastjóri muna hvort viðkomandi bréf hafi verið sent viðkomandi foreldrum og finnst frekar líklegra að svo hafi ekki verið enda var gengið út frá því að rannsóknaraðilar yrðu í sambandi við foreldrana eins og áður hafði komið fram í pósti frá þeim.
Ljóst er að í tengslum við ofangreint var foreldrum ekki sent bréf, eins og hefðbundið er hér varðandi hinar ýmsu kannanir og rannsóknir að gefa foreldrum kost á því að hafna þátttöku í ofangreindu.“
2.3
Með bréfi dags, 20. júní 2016, var RHA boðið að koma á framfæri athugasemdum við framkomin svör Árbæjarskóla. Svarað var með bréfi, dags. 5 júlí s.á. þar sem RHA ítrekaði fyrri athugasemdir sínar í málinu.
2.4
Kvartanda var veittur kostur á að koma á framfæri athugasemdum við framkomin svör Árbæjarskóla með bréfi, dags. 21. júlí 2016, ítrekuðu með bréfi, dags. 29. ágúst s.á. Engin svör bárust frá kvartanda.
II.
Forsendur og niðurstaða
1.
Gildissvið laga nr. 77/2000
Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Með hugtakinu „persónuupplýsingar“ er átt við sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laga nr. 77/2000. Með hugtakinu „vinnsla“ er átt við sérhverja aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. sömu greinar.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til telst Árbæjarskóli vera ábyrgðaraðili að miðlun netfangs kvartanda til Rannsóknamiðstöðvar Háskólans á Akureyri (RHA) vegna umræddrar rannsóknar og RHA að eftirfarandi vinnslu, þ.e. sendingu tölvupósts á netfang kvartanda með beiðni um þátttöku í vísindarannsókn.
Af framangreindu er ljóst að vinnsla persónuupplýsinga, þ. á m. miðlun þeirra, í þágu umræddrar vísindarannsóknar fellur undir gildissvið laga nr. 77/2000.
2.
Lögmæti vinnslu
Öll vinnsla almennra persónuupplýsinga verður að samrýmast einhverri af kröfum 8. gr. laga nr. 77/2000. Þá þarf vinnsla viðkvæmra persónuupplýsinga, sbr. upptalningu 8. tölul. 2. gr. sömu laga á slíkum upplýsingum, jafnframt að fullnægja einhverju þeirra skilyrða sem kveðið er á um í 1. mgr. 9. gr. laganna. Þær persónuupplýsingar um kvartanda sem kvörtun þessi lýtur að eru ekki viðkvæmar samkvæmt áðurnefndri upptalningu. Er því eingöngu þörf á að meta hvort vinnsla þeirra hafi átt sér stoð í 8. gr. laganna.
Í 5. tölul. 1. mgr. 8. gr. segir að vinnsla persónuupplýsinga sé heimil vegna verks sem unnið er í þágu almannahagsmuna. Í athugasemdum við þetta ákvæði í frumvarpi því sem varð að lögum nr. 77/2000 kemur fram að töluliðurinn geti átt við um vinnslu sem fer fram í sagnfræðilegum, tölfræðilegum eða vísindalegum tilgangi.
Eins og fyrr greinir lýtur mál þetta að vinnslu persónuupplýsinga um kvartanda í tengslum við vísindarannsókn á læsiskennslu á yngsta stigi grunnskóla. Í ljósi þessa telur Persónuvernd vinnsluna heimila á grundvelli framangreinds ákvæðis 8. gr. laga nr. 77/2000.
3.
Fræðsla
Ávallt ber að gæta að því við vinnslu persónuupplýsinga að fullnægt sé öllum kröfum 1. mgr. 7. gr. laga nr. 77/2000, en þar er meðal annars mælt fyrir um að persónuupplýsingar skuli unnar með sanngjörnum, málefnalegum og lögmætum hætti og í samræmi við vandaða vinnsluhætti persónuupplýsinga, sbr. 1. tölul. ákvæðisins. Samkvæmt 2. mgr. 7. gr. ber ábyrgðaraðili ábyrgð á því að eftir þessum kröfum sé farið. Forsenda þess að vinnsla teljist sanngjörn samkvæmt framangreindu er að hún sé gagnsæ gagnvart hinum skráða en í því felst m.a. að hinn skráði viti um vinnsluna og hafi fengið fræðslu um hana, sbr. m.a. 21. gr. laga nr. 77/2000.
Nánar tiltekið er í 21. gr. laganna lögð sú skylda á ábyrgðaraðila að láta hinn skráða vita þegar hann aflar persónuupplýsinga frá öðrum en honum og ber ábyrgðaraðila að greina honum frá þeim atriðum sem talin eru upp í 3. mgr. ákvæðisins. Nánar tiltekið skal greina frá nafni og heimilisfangi ábyrgðaraðila, tilgangi vinnslunnar og öðrum upplýsingum, að því marki sem þær eru nauðsynlegar, með hliðsjón af þeim sérstöku aðstæðum sem ríkja við vinnslu upplýsinganna, svo að hinn skráði geti gætt hagsmuna sinna, s.s. um hvaðan persónuupplýsingar koma, sbr. b-lið 3. tölul. 3. mgr. 21. gr.
Eins og fyrr greinir hafði tölvupóstur, sem sendur var kvartanda með boði um þátttöku í umræddri vísindarannsókn, að geyma upplýsingar um nafn ábyrgðaraðila og tilgang rannsóknarinnar. Ekki voru hins vegar veittar upplýsingar um heimilisfang ábyrgðaraðila eða hvaðan upplýsingarnar komu. Þar sem þær upplýsingar vantaði var fræðsla til kvartanda ekki í samræmi við lög nr. 77/2000.
Ú r s k u r ð a r o r ð:
Miðlun Árbæjarskóla á persónuupplýsingum um [A] til rannsóknarmiðstöðvar Háskólans á Akureyri var heimil. Fræðsla rannsóknarmiðstöðvarinnar til hans samrýmdist ekki lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.