Úrskurður um skráningu grunnskóla á upplýsingum í Mentor
Mál nr. 2017/994
Persónuvernd hefur úrskurðað að skráning grunnskóla á upplýsingum í Mentor um son kvartanda hafi ekki samrýmst lögum nr. 77/2000. Hefur verið lagt fyrir skólann að senda Persónuvernd staðfestingu á því að upplýsingarnar hafi verið teknar úr Mentor og færðar yfir í umhverfi þar sem öryggi er nægilega tryggt, auk lýsingar á nauðsynlegum öryggisráðstöfunum.
Úrskurður
Á fundi stjórnar Persónuverndar þann 30. apríl 2018 var kveðinn upp svohljóðandi úrskurður í máli nr. 2017/994:
I.
Málsmeðferð
1.
Tildrög máls
Þann 18. júlí 2017 barst Persónuvernd kvörtun frá [X] (hér eftir nefnd kvartandi) fyrir hönd ólögráða sonar hennar, A, yfir skráningu í Mentor-kerfi grunnskólans [Y].
Í kvörtun segir meðal annars að veikindi hafi hrjáð A um þriggja mánaða skeið haustið 2014, en hann er fæddur árið 2001. Vegna þessa hafi hann misst u.þ.b. þrjátíu daga úr skóla á tímabilinu, en kvartandi hafi skilað inn læknisvottorðum vegna veikindanna. Kvartandi hafi rætt við A um að skólinn hefði áhyggjur af ástundun hans og að skólastjóri myndi væntanlega skrifa bréf til Barnaverndar Reykjavíkur vegna þessa. Hann hafi ákveðið, ásamt bróður sínum B, sem fæddur er árið 1999, að ræða málið við skólastjóra og námsráðgjafa skólans. Skólastjóri hafi í framhaldinu ritað dagbókarfærslu í Mentor um A, þar sem fram hafi komið að A hafi spurt hvers vegna móður hans hefði verið hótað í skólanum. Skólastjóri hafi sagt A að þetta væri rangt. Vissulega hefði skólastjóri rætt við móður hans daginn áður vegna þess að skólinn hefði áhyggjur af miklum fjarvistum hans frá skóla. Auðvitað vonuðu allir að hann færi að hressast, en skólastjóra bæri að tilkynna þetta til Barnaverndar Reykjavíkur og yrði það gert. Námsráðgjafi hafi ennfremur ritað dagbókarfærslu í Mentor hjá B, þar sem fram hafi komið að B hefði komið áhyggjufullur til námsráðgjafa og sagt að móðir hans hefði sagt að taka ætti A af henni. Hann hefði einnig sagt að móðir hans og A væru grátandi heima út af þessu. Fram kom að námsráðgjafi hefði rætt vel við B og sagt að þetta væri ekki rétt, en að skólanum bæri skylda til að senda Barnavernd Reykjavíkur tilkynningu vegna slæmrar mætingar nemenda. Tilgangurinn væri ekki að taka A af móður sinni.
Kvartandi kveðst hafa séð færslurnar í Mentor hjá drengjunum og rætt þær við þá, en þeim hafi brugðið við að sjá að þessar upplýsingar hefðu verið skrifaðar niður. Telur kvartandi að þarna hafi verið um að ræða trúnaðarbrest og að skólanum hafi verið óheimilt að skrá þessar upplýsingar í Mentor.
2.
Bréfaskipti
Með bréfi, dags. 21. júlí 2017, var [Y] boðið að koma á framfæri skýringum vegna kvörtunarinnar til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Í svarbréfi [Y], dags. 15. ágúst 2017, segir að móðir A hafi áður kvartað yfir málinu við yfirstjórn Skóla- og frístundasviðs Reykjavíkurborgar, sem hafi ekki séð ástæðu til að gera athugasemd við vinnubrögð skólans, eins og fram hafi komið í kvörtun. Hafi skólinn engu við þá afgreiðslu að bæta.
Með bréfi, dags. 15. september 2017, var kvartanda boðið að koma á framfæri athugasemdum sínum við framkomnar skýringar [Y]. Í svarbréfi kvartanda, dags. 24. september 2017, eru fyrri sjónarmið ítrekuð.
II.
Forsendur og niðurstaða
1.
Gildissvið laga nr. 77/2000
Lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda um sérhverja rafræna vinnslu persónuupplýsinga og handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna. Persónuupplýsingar eru skilgreindar í 1. tölul. 2. gr. laganna sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Hugtakið vinnsla er skilgreint sem sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laganna. Í athugasemdum við það ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að hér ræðir um meðferð persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til telst [Y] vera ábyrgðaraðili að umræddri vinnslu.
2.
Lögmæti vinnslu og öryggi persónuupplýsinga
Öll vinnsla persónuupplýsinga verður að samrýmast einhverri af kröfum 8. gr. laga nr. 77/2000. Þegar stjórnvöld vinna með persónuupplýsingar í tengslum við lögbundið hlutverk sitt getur vinnslan stuðst við 3. tölul. 1. mgr. 8. gr. laganna, en þar segir að vinnsla sé heimil sé hún nauðsynleg til að fullnægja lagaskyldu. Við mat á því hvort slík skylda sé til staðar verður að líta til þeirra lagareglna sem við eiga. Ef um viðkvæmar persónuupplýsingar er að ræða þarf einnig að uppfylla eitthvert af skilyrðum 1. mgr. 9. gr. laganna. Þá getur ákvæði 7. tölul. 1. mgr. 9. gr. laganna átt við, þess efnis að vinnsla persónuupplýsinga er heimil sé hún nauðsynleg til að gæta lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða vegi þyngra. Á meðal þeirra upplýsinga, sem eru viðkvæmar samkvæmt lögunum, eru upplýsingar um heilsuhagi, sbr. c-lið 8. tölul. 2. gr. laganna. Fyrir liggur að skráðar voru upplýsingar um son kvartanda þess efnis að vonandi færi hann að hressast. Er þar um að ræða viðkvæmar persónuupplýsinga samkvæmt framangreindu, en að auki skal tekið fram að þó svo að upplýsingar falli ekki undir skilgreiningu fyrrgreinds töluliðar 2. gr. laganna getur þurft að gæta sérstakrar varúðar við meðferð þeirra umfram það sem almennt gildir. Ljóst er að upplýsingar um að aðstæður á heimili kunni að kalla á afskipti barnaverndaryfirvalda teljast þess eðlis að slíkrar varúðar þurfi að gæta.
Auk vinnsluheimildar samkvæmt ákvæðum 8. og 9. gr. laga nr. 77/2000 verður öll vinnsla persónuupplýsinga að fullnægja grunnkröfunum um gæði gagna og vinnslu samkvæmt 1. mgr. 7. gr. laganna, þ.e. um að við vinnslu persónuupplýsinga skal þess gætt að þær séu unnar með sanngjörnum, málefnalegum og lögmætum hætti og í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.); að þær séu fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.), að þær séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.); að þær séu meðal annars áreiðanlegar og að upplýsingar, sem eru óáreiðanlegar eða ófullkomnar miðað við tilgang vinnslu þeirra, séu afmáðar eða leiðréttar (4. tölul.); sem og að þær skulu varðveittar á því formi að ekki sé unnt að persónugreina hina skráðu lengur en þörf krefur í ljósi tilgangs vinnslu (5. tölul.).
Eins og hér háttar koma ákvæði í lögum nr. 91/2008 um grunnskóla jafnframt til skoðunar. Þá ber að líta til reglugerðar nr. 897/2009, um miðlun og meðferð upplýsinga um nemendur í grunnskólum og rétt foreldra til aðgangs að upplýsingum um börn sín, sem sett var á grundvelli 2. mgr. 18. gr. þeirra laga. Árið 2011 var ákvæði bætt við reglugerðina, sbr. reglugerð nr. 657/2011, um skráningu upplýsinga og samskipti við foreldra. Í ákvæðinu segir: „Grunnskólum er heimilt að nota rafrænt upplýsingakerfi til skráningar og miðlunar upplýsinga um nemendur samkvæmt þessari reglugerð. Ennfremur getur skóli notað slíkt kerfi til þess að veita foreldrum aðgang að upplýsingum og til samskipta við þá. Komi fram rökstudd beiðni frá foreldrum um að aðgangur að upplýsingum verði jafnframt veittur með öðrum hætti, s.s. með tölvupósti, símleiðis eða bréfleiðis, skal starfsfólk skóla leitast við að verða við slíkum beiðnum, enda þjóni það hagsmunum og þörfum barnsins. Tillit skal tekið til eðlis og mikilvægis þeirra upplýsinga sem um ræðir hverju sinni og hvort sérþarfir barns eða sérstakar aðstæður kalli á að samskipti séu með tilteknum hætti.“ Af framangreindu ákvæði leiðir að grunnskólum er heimilt að skrá persónuupplýsingar um nemendur í rafrænt upplýsingakerfi á borð við Mentor. Hvað varðar það álitaefni hvaða persónuupplýsingar megi skrá í slíkt kerfi, hvernig það skuli gert, og fyrirkomulag skráningarinnar að öðru leyti ber ábyrgðaraðili ábyrgð á því að ákvæðum laga nr. 77/2000 sé fullnægt.
Persónuvernd hefur talið að það kunni að teljast málefnalegt og í samræmi við ákvæði 8. gr. laga nr. 77/2000 að skrá tilteknar persónuupplýsingar um nemendur í rafrænt upplýsingakerfi á borð við Mentor, til að mynda grunnupplýsingar um nemanda, þ.e. nafn, kennitölu, heimilisfang og tengiliðaupplýsingar um nánustu aðstandendur, einkunnir, fjarvistir, heimavinnu og almenna umfjöllun um atburði í skólanum, sbr. álit stjórnar Persónuverndar frá 22. september 2015 í máli nr. 2015/1203.
Einnig hefur Persónuvernd talið að það kunni að samrýmast reglugerð nr. 897/2009, lögum nr. 91/2008 um grunnskóla og 9. gr. laga nr. 77/2000 að skrá viðkvæmar persónuupplýsingar, til dæmis um greiningar eða heilsufarsupplýsingar, um nemendur eða aðstandendur þeirra, í rafræn upplýsingakerfi. Það yrði hins vegar ávallt háð því skilyrði að farið yrði að öllum kröfum laga nr. 77/2000, þ. á m. varðandi öryggi, m.a. aðgangsstýringar, innra eftirlit og gerð vinnslusamnings sbr. 11.-13. gr. laganna og reglur Persónuverndar nr. 299/2001. Þá ber ábyrgðaraðila meðal annars að fara að fyrrnefndum kröfum 1. mgr. 7. gr. laganna, þ. á m. um að gætt sé meðalhófs og varðandi varðveislu persónuupplýsinga. Nánari útfrærslu á þeim kröfum er að finna í 1. mgr. 26. gr. laga nr. 77/2000 þar sem mælt er fyrir um skyldu til að eyða persónuupplýsingum þegar ekki er lengur málefnaleg ástæða til að varðveita þær. Málefnaleg ástæða getur m.a. byggst á fyrirmælum í lögum. Ljóst er að ríkar skyldur hvíla á stjórnvöldum til varðveislu gagna á grundvelli laga nr. 77/2014 um opinber skjalasöfn, en þar er meðal annars mælt fyrir um bann við eyðingu gagna hjá stjórnvöldum nema með leyfi þjóðskjalavarðar, samkvæmt reglum sem Þjóðskjalasafn Íslands setur eða samkvæmt sérstakri lagaheimild, sbr. 24. gr. laganna. Hefur Persónuvernd talið, með hliðsjón af þessu, að mikilvægt sé að ábyrgðaraðilar að vinnslu persónuupplýsinga í Mentor hafi ákvæði laga nr. 77/2014 í huga þegar skráðar eru persónuupplýsingar í kerfið.
Í ljósi eðlis þeirra upplýsinga sem hér um ræðir telur Persónuvernd, í ljósi framangreinds, að skráning þeirra í Mentor hafi ekki samrýmst 7. gr. laga nr. 77/2000, en telja ber ljóst að ekki hafi verið farið að 1. og 3. tölul. 1. mgr. þeirrar greinar um sanngirni og meðalhóf. Þá er til þess að líta að í framangreindu áliti Persónuverndar í máli nr. 2015/1203 beindi stofnunin þeim tilmælum til ábyrgðaraðila að skrá ekki viðkvæmar persónuupplýsingar í Mentor, nema útbúið yrði sérstakt umhverfi fyrir slíka skráningu sem fullnægði kröfum Persónuverndar. Ekki liggur fyrir að það hafi verið gert. Með hliðsjón af því, og þegar einnig er litið til þess að óháð skilgreiningu laga nr. 77/2000 á viðkvæmum persónuuppýsingum ræddi hér um upplýsingar sem njóta þurftu sérstakrar verndar, telur Persónuvernd ekki hafa verið farið að fyrrgreindum kröfum um öryggi persónuupplýsinga samkvæmt lögum nr. 77/2000 og reglum nr. 299/2001.
Þegar litið er til alls sem að ofan er rakið telur Persónuvernd að umrædd skráning [Y] á persónuupplýsingum í Mentor-kerfið um son kvartanda hafi ekki samrýmst lögum nr. 77/2000. Í ljósi 24. gr. laga nr. 77/2014 getur Persónuvernd ekki mælt fyrir um eyðingu þeirra. Með vísan til 1. mgr. 40. gr. laga nr. 77/2000 er hins vegar lagt fyrir [Y] að taka umræddar upplýsingar úr Mentor og færa þær yfir í umhverfi þar sem öryggi er nægilega tryggt. Skal skólinn senda Persónuvernd staðfestingu á því að hafi verið gert eigi síðar en 16. maí nk., auk lýsingar á nauðsynlegum öryggisráðstöfunum.
Meðferð máls þessa hefur dregist vegna anna hjá stofnuninni.
Ú r s k u r ð a r o r ð:
Skráning [Y] á upplýsingum í Mentor um son [X] samrýmdist ekki lögum nr. 77/2000. Skal skólinn eigi síðar en 16. maí nk. hafa sent Persónuvernd staðfestingu á því að upplýsingar hafi verið teknar úr Mentor og færðar yfir í umhverfi þar sem öryggi er nægilega tryggt, auk lýsingar á nauðsynlegum öryggisráðstöfunum.