Vinnsla og miðlun skóla á persónuupplýsingum um barn
Mál nr. 2021081617
Ef viðhafa á rafræna vöktun þurfa ábyrgðaraðilar vöktunarinnar að gera viðvart um hana með merki eða á annan áberandi hátt, þannig að einstaklingar er sæta vöktuninni sé ljóst hvar vöktun fer fram. Í þessu tilfelli var fræðslu og merkingum ábótavant og uppfylltu þær ekki skilyrði um persónuvernd og vinnslu persónuupplýsinga.
----
Persónuvernd hefur úrskurðað í máli þar sem kvartað var yfir vinnslu skóla á persónuupplýsingum nemanda og miðlun þeirra til barnaverndarnefndar. Nánar tiltekið var kvartað yfir skoðun og miðlun, þar á meðal munnlegri miðlun, efnis sem varð til við rafræna vöktun og upplýsinga um innihald þess milli starfsmanna skólans en einnig miðlun þess til barnaverndarnefndar sveitafélagsins. Þá var einnig kvartað yfir ófullnægjandi merkingum og fræðslu um rafræna vöktun.
Niðurstaða Persónuverndar var sú að rafræn vöktun skólans samrýmdist ekki ákvæðum laga um persónuvernd og vinnslu persónuupplýsinga um rafræna vöktun og meðferð persónuupplýsinga er verða til við rafræna vöktun, hvað varðar fræðslu og merkingar um vöktunina. Persónuvernd taldi miðlun persónuupplýsinga kvartanda til barnaverndaryfirvalda hafa samrýmst ákvæðum laga um persónuvernd og vinnslu persónuupplýsinga.
Persónuvernd lagði fyrir skólann að uppfæra fræðslu sína um rafræna vöktun, þar á meðal merkingar, þannig að hún uppfylli skilyrði um rafræna vöktun.
Staðfesting á því að farið hafi verið að fyrirmælum skal berast Persónuvernd eigi síðar en 13. júlí 2023.
Úrskurður
um kvörtun yfir vinnslu [skóla] á persónuupplýsingum nemanda skólans og miðlun þeirra til barnaverndarnefndar [...] í máli nr. 2021081617:
I.
Málsmeðferð
Hinn 19. ágúst 2021 barst Persónuvernd kvörtun frá [A], f.h. ólögráða [barns] síns [B] (hér eftir kvartandi), yfir vinnslu [skólans] á myndefni úr rafrænu eftirlitsmyndavélakerfi skólans sem sýnir óviðeigandi tjáningu [kvartanda] sem beint var að einni eftirlitsmyndavélanna. Nánar tiltekið er kvartað yfir skoðun og miðlun, þ. á m. munnlegri miðlun, hins upptekna efnis og upplýsinga um innihald þess milli starfsmanna skólans en einnig miðlun þess til barnaverndarnefndar [...]. Þá er kvartað yfir ófullnægjandi merkingum og fræðslu um hina rafrænu vöktun.
Persónuvernd bauð [skólanum] að tjá sig um kvörtunina með bréfi, dags. 23. ágúst 2021, og bárust svör skólans með bréfi 13. september s.á. Þá var kvartanda veittur kostur á að koma á framfæri athugasemdum við svör [skólans] með bréfi, dags. 15. september 2022, og bárust þær með tölvupósti 20. s.m. Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.
Meðferð málsins hefur tafist vegna mikilla anna hjá Persónuvernd.
___________________
Ágreiningur er um hvort [skólanum] hafi verið heimilt að vinna og miðla persónuupplýsingum um nemanda sinn á milli tiltekinna starfsmanna skólans, og miðla þeim til barnaverndaryfirvalda [...]. Þá greinir aðila jafnframt á um hvort fræðsla og merkingar vegna vöktunarinnar hafi verið fullnægjandi.
Fyrir hönd kvartanda er byggt á að vinnsla [skólans] á persónuupplýsingum í uppteknu efni af [ólögráða einstaklingi] falli ekki undir yfirlýstan tilgang vöktunar skólans, þ.e. öryggis- og eignarvörslu. Þó er fallist á að málefnaleg sjónarmið kunni að hafa búið að baki skoðun myndefnisins, þ.e. að varpa ljósi á brot á umgengnisreglum skólans. Einnig er byggt á því fyrir hönd kvartanda að á fundi sem deildarstjóri unglingadeildar og fjöldi annarra starfsmanna skólans sátu hafi hegðun kvartanda í umrætt sinn verið gerð að umræðuefni og myndefni úr eftirlitsmyndavélum skólans skoðað. Jafnframt hafi upplýsingum um hið upptekna efni verið miðlað munnlega milli deildarstjórans og skólastjórans. Þá er byggt á að miðlun [skólans] á persónuupplýsingum um [kvartanda] til barnaverndarnefndar [...] hafi verið ólögmæt þar sem hin óviðeigandi tjáning hafi farið fram í einrúmi. Fyrir hönd kvartanda er því haldið fram að vinnslan hafi falið í sér persónunjósnir og gróft brot á friðhelgi einkalífs sem vegið hafi gróflega að æru [einstaklingsins]. Að lokum telji [kvartandi] að mörg vöktuð svæði skólans hafi verið ómerkt og að fræðslu um vöktunina hafi verið áfátt.
Af hálfu [skólans] er á því byggt að vöktunin sé til komin vegna þeirrar lagaskyldu skólans að tryggja öryggi skólabarna, verðmæta þeirra sem og eigur skólans. Vöktuð svæði séu merkt með áberandi merkingum sem nemendur og starfsmenn geti greint með einföldum hætti. Jafnframt hafi vöktunin verið tilkynnt í sérstökum skilaboðum með tölvupósti ætluðum foreldrum, nemendum og starfsmönnum. Þá hafi fræðsluefni um vöktunina einnig verið að finna á vefsíðu skólans frá því í janúar 2020.
Myndefni öryggismyndavéla skólans hafi verið skoðað í tilefni þess að farið hafi verið inn á svæði í skólanum sem nemendum var óheimill aðgangur að, læstar útihurðir þar teknar úr lás og aðgangur að skólabyggingunni þannig veittur óviðkomandi. Einnig hafi leit staðið yfir að horfnum lykli sem veitt gat aðgang að tilteknum lokuðum rýmum í skólanum. Umsjónarmaður fasteigna hafi fyrstur skoðað efnið og greint skólastjóra frá því sem þar var að sjá. Skólastjóri hafi skrifað hjá sér málsatvik og sett málið í viðeigandi ferli innan skólans og deildarstjóri unglingadeildar komið að málinu. Engin skjáskot hafi verið tekin eða myndefninu miðlað með öðrum hætti.
Bréf [skólans] til barnaverndarnefndar [...], sem hafi byggt á lögmæltri tilkynningar- og upplýsingaskyldu skólans, hafi varðað nokkurn fjölda atvika er snerti kvartanda, þar á meðal umrætt atvik þar sem [kvartandi] varð uppvís að brotum innan skólans auk hinnar óviðeigandi tjáningar sem beint var að öryggismyndavélunum.
II.
Niðurstaða
1.
Afmörkun máls - Gildissvið - Ábyrgðaraðili
Mál þetta lýtur annars vegar að skoðun og vinnslu persónuupplýsinga nemanda, þ. á m. munnlegri upplýsingagjöf milli starfsmanna [skólans], og hins vegar að miðlun sömu upplýsinga til barnaverndarnefndar [...]. Auk þess varðar málið merkingar og fræðslu skólans vegna rafrænnar vöktunar. Sú vinnsla sem mál þetta varðar fellur því undir gildissvið laganna og reglugerðarinnar og þar með undir valdsvið Persónuverndar.
Starfsmenn lögaðila teljast ekki sjálfstæðir ábyrgðaraðilar á vinnslu persónuupplýsinga þegar þeir framfylgja starfsskyldum sínum. [Skólinn] telst því einn vera ábyrgðaraðili að umræddri vinnslu samkvæmt lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerð (ESB) 2016/679.
Með vísan til þessa er ekki um að ræða eiginlega miðlun persónuupplýsinga, þ.e. frá einum ábyrgðaraðila til annars, þegar starfsmenn skólans upplýstu aðra starfsmenn eða veittu þeim aðgang að persónuupplýsingum í tengslum við starfsemina, heldur verður slík vinnsla talin geta falið í sér notkun persónuupplýsinga um kvartanda.
Hugtakið vinnsla er skilgreint í 4. tölul. 3. gr. laganna sem aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort sem vinnslan er sjálfvirk eða ekki, svo sem söfnun, skráning, flokkun, kerfisbinding, varðveisla, aðlögun eða breyting, heimt, skoðun, notkun, miðlun með framsendingu, dreifing eða aðrar aðferðir til að gera upplýsingarnar tiltækar, samtenging eða samkeyrsla, aðgangstakmörkun, eyðing eða eyðilegging.
Af framangreindu má ráða að munnleg miðlun persónuupplýsinga, ein og sér, fellur almennt ekki undir gildissvið laganna heldur þurfa upplýsingarnar með einhverjum hætti að vera á stafrænu eða skráðu formi. Ræðst það því af atviksbundnu mati á því hvort persónuupplýsingar, sem miðlað var munnlega, væru í beinum, sérstökum og nægjanlegum tengslum við skrá í skilningi 4. gr. laga nr. 90/2018. Ef slíkt náið samhengi er á milli munnlegrar miðlunar og skrár er talið að miðlunin geti fallið undir hugtakið vinnslu í skilningi 4. tölul. 3. gr. laga 90/2018. Eins og hér háttar til verður ekki annað ráðið af málsatvikum en að þær upplýsingar sem unnið var með, og kvörtunin tekur til, hafi átt uppruna sinn í uppteknu efni úr eftirlitsmyndavélakerfi skólans. Telst því hér vera um að ræða vinnslu persónuupplýsinga sem fellur undir gildissvið laga nr. 90/2018, eins og það er afmarkað í 4. gr. þeirra, og þar með undir valdsvið Persónuverndar.
2.
Lögmæti vinnslu
Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðar (ESB) 2016/679. Má þar nefna að vinna má með persónuupplýsingar sé það nauðsynlegt til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, sbr. 3. tölul. lagaákvæðisins og c-lið reglugerðarákvæðisins, eða vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra, einkum þegar hinn skráði er barn, sbr. 6. tölul. lagaákvæðisins og f-lið reglugerðarákvæðisins.
Við mat á heimild til vinnslu verður einnig að líta til ákvæða í öðrum lögum sem við eiga hverju sinni. Koma hér einkum til skoðunar lög nr. 80/2002 um barnavernd. Verður viðeigandi ákvæða laganna getið hér að neðan eftir því sem við á.
Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að samrýmast öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Meginreglurnar kveða meðal annars á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða (1. tölul. lagaákvæðisins); að þær skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); og að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.).
Þegar atvik máls þessa áttu sér stað voru í gildi reglur Persónuverndar nr. 837/2006 um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun, sbr. 5. mgr. 14. gr. laga nr. 90/2018, og verður því leyst úr málinu með vísan til þeirra eftir því sem við á, en þær voru síðar felldar úr gildi með gildistöku nýrra reglna nr. 50/2023 um rafræna vöktun.
2.1.
Rafræn vöktun [grunnskóla]og vinnsla skólans á uppteknu efni
Rafræn vöktun er ávallt háð því að hún fari fram í málefnalegum tilgangi, sbr. 1. mgr. 14. gr. laga nr. 90/2018, og uppfylli eitthvert heimildarákvæða 9. gr. laganna og 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Þá sagði meðal annars í 3. mgr. 7. gr. reglna nr. 837/2006 að persónuupplýsingar sem til yrðu við rafræna vöktun mætti aðeins nota í þágu tilgangsins með söfnun þeirra og aðeins að því marki sem þess gerðist þörf í þágu tilgangsins, en í því felst meðal annars að vöktunarefni átti ekki að skoða nema sérstakt tilefni gæfist til og aðeins af þeim sem höfðu heimild til þess.
Fyrir liggur í málinu að rafræn vöktun [skólans] fer fram í öryggis- og eignarvörsluskyni. Almennt hefur verið talið að vöktun í framangreindum tilgangi sé heimil að nánari skilyrðum laganna uppfylltum og að hún geti stuðst við 6. tölul. 9. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, sbr. einnig f-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679.
Í málinu er óumdeilt að kvartandi fór tiltekið kvöld inn á svæði sem [viðkomandi] var ekki heimill aðgangur að. Umrætt kvöld voru útihurðir teknar úr lás og var skólinn þannig óvarinn fyrir aðgangi óviðkomandi sem stefndi eigum skólans í hættu. Til að kanna hvað fram fór þetta tiltekna kvöld og hverjir hafi verið að verki skoðaði umsjónarmaður fasteigna efni öryggismyndavéla skólans. Með vísan til framangreinds atviks telur Persónuvernd að sérstakt tilefni hafi gefist til skoðunar efnisins í þeim yfirlýsta tilgangi sem að framan greinir og af aðila sem til þess hafi haft heimild.
Í kjölfar öryggisatviksins hafi skólastjóri og yfirmaður unglingadeildar fundað og rætt mál kvartanda. Persónuvernd telur að þessi vinnsla starfsmanna skólans á persónuupplýsingum kvartanda vegna brota [nemandans] á reglum skólans hafi farið fram í málefnalegum tilgangi og í þágu hins yfirlýsta tilgangs með söfnun þeirra og aðeins að því marki sem þess hafi gerst þörf í þágu tilgangsins.
Að framangreindu virtu er það mat Persónuverndar að rafræn vöktun og vinnsla innan [skólans] á persónuupplýsingum kvartanda úr uppteknu efni úr eftirlitskerfis skólans hafi getað stuðst við heimild í 6. tölul. 9. gr. laga nr. 90/2018, sbr. einnig f-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679.
2.2.
Merkingar og fræðsla um rafræna vöktun
Í 4. mgr. 14. gr. laga nr. 90/2018 er mælt fyrir um að þegar rafræn vöktun fari fram á vinnustað eða á almannafæri skuli með merki eða á annan áberandi hátt gera glögglega viðvart um vöktunina og hver sé ábyrgðaraðili hennar. Jafnframt bar að fræða þá sem sæta vöktun, þar á meðal í skólum, í samræmi við þau fyrirmæli sem fram komu í 10. gr. reglna nr. 837/2006, sbr. nú 8. gr. reglna nr. 50/2023.
Auk framangreinds gilda um rafræna vöktun almennar kröfur um fræðslu um vinnslu persónuupplýsinga, sbr. einkum 13. gr. reglugerðar (ESB) 2016/679 og 2. mgr. 17. gr. laga nr. 90/2018. Af ákvæðunum leiðir að veita ber fræðslu áður en hlutaðeigandi einstaklingur sætir vöktun og þarf hún að gefa skýra mynd af vöktuninni, þ. á m. tilgangi hennar, hvernig hún fari fram, hvernig aðgangi að vöktunarefni sé háttað og hversu lengi það sé varðveitt.
Af gögnum málsins má ráða að [grunnskólinn] hafi sent forráðamönnum nemenda, starfsmönnum og nemendum sjálfum sérstakan tölvupóst þar sem tilkynnt var um rafræna vöktun skólans og hver sé tilgangur hennar. Í umræddum upplýsingapósti er vísað á frekari upplýsingar um vöktunina á vef skólans auk rafræns tengils á reglur [sveitarfélagsins] um rafræna vöktun öryggismyndavéla. Í tölvupóstinum er staðsetning myndavélanna tilgreind innan skólabyggingarinnar, þ.e. við innganga og anddyri skólans. Þá kemur fram í skýringum [skólans] að fræðsluefni um vöktunina hafi verið aðgengilegt á vef skólans frá því í janúar 2020.
Með bréfi [grunnskólans] fylgdu myndir af merkingum um rafræna vöktun við innganga skólans og á skólabyggingunni utanverðri. Af umræddum myndum verður ekki annað ráðið en að eftirlitsmyndavélar séu víðar en eingöngu í anddyri skólans og við innganga, þar á meðal á göngum skólans. Myndir af merkingum á þeim svæðum fylgdu ekki svörum [skólans]. Þá kemur ekki fram á merkingunum hver ábyrgðaraðili vöktunarinnar er líkt og kveðið er á um í 4. mgr. 14. gr. laga nr. 90/2018.
Það er mat Persónuverndar að upplýsingar og fræðsluefni um rafræna vöktun [grunnskólans] hafi ekki verið í fullu samræmi við þá vöktun sem fram fer í reynd á vegum skólans. Fræðsla [skólans] um rafræna vöktun fullnægði því ekki ákvæðum 13. gr. reglugerðar (ESB) 2016/679, 1., og 2. mgr. 17. gr. laga nr. 90/2018 og 10. gr. þágildandi reglna nr. 837/2006. Auk þess uppfylltu merkingar skólans um rafræna vöktun ekki skilyrði 4. mgr. 14. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.
2.3.
Miðlun persónuupplýsinga kvartanda til barnaverndaryfirvalda í [...]
Í IV. kafla laga nr. 80/2002 um barnavernd er sérstaklega fjallað um tilkynningarskyldu við barnaverndaryfirvöld. Í 2. mgr. 17. gr. laganna er skólastjórum og öðrum þar tilgreindum aðilum sem afskipti hafa af börnum sérstaklega gert skylt, telji þeir aðstæður barna vera með þeim hætti sem tilgreint er í 16. gr. laganna, að tilkynna það barnaverndaryfirvöldum. Eins og að framan greinir, með vísan til þessa atviks og annarra atvika er vörðuðu kvartanda, mat skólastjóri [grunnskólans] aðstæður [kvartanda] þannig að tilefni væri til að senda tilkynningu til barnaverndaryfirvalda.
2.4.
Niðurstaða
Með vísan til alls framangreinds er það niðurstaða Persónuverndar að rafræn vöktun [grunnskólans] hafi byggt á heimild í 6. tölul. 9. gr. laga nr. 90/2018, sbr. einnig f-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Þá hafi vöktunin farið fram í málefnalegum tilgangi og hennar hafi verið sérstök þörf til að að tryggja öryggi skólabarna, verðmæta þeirra og eigur skólans.
Hins vegar hafi fræðslu og merkingum vegna vöktunarinnar verið ábótavant, með vísan til 13. gr. reglugerðar (ESB) 2016/679, 1., og 2. mgr. 17. gr. laga nr. 90/2018 og 10. gr. þágildandi reglna nr. 837/2006. Auk þess uppfylltu merkingar skólans um rafræna vöktun ekki skilyrði 4. mgr. 14. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.
Með vísan til þess samrýmdist rafræn vöktun [skólans] ekki lögum nr. 90/2018, reglugerð (ESB) 2016/679 og þágildandi reglum nr. 837/2006 um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun.
Þá er það niðurstaða Persónuverndar að miðlun skólans á persónuupplýsingum kvartanda til barnaverndaryfirvalda hafi samrýmst lögum nr. 90/2018 og reglugerð (ESB) 2016/679.
Í samræmi við framangreinda niðurstöðu, og með vísan til 4. tölul. 42. gr. laga nr. 90/2018, sbr. d-lið 2. mgr. 58. gr. reglugerðar (ESB) 2016/679, skal [grunnskólinn] uppfæra fræðslu sína um rafræna vöktun skólans, þ. á m. merkingar, þannig að hún uppfylli skilyrði 13. gr. reglugerðar (ESB) 2016/679, 4. mgr. 14. gr., 1., og 2. mgr. 17. gr. laga nr. 90/2018 og 8. gr. núgildandi reglna nr. 50/2023 um rafræna vöktun.
Skal staðfesting á því að farið hafi verið að þessum fyrirmælum berast Persónuvernd eigi síðar en 13. júlí 2023.
Ú r s k u r ð a r o r ð:
Rafræn vöktun [grunnskólans] samrýmdist ekki ákvæðum laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, reglugerðar (ESB) 2016/679 og þágildandi reglna nr. 837/2006 um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun, hvað varðar fræðslu um vöktunina og merkingar um hana.
Miðlun persónuupplýsinga kvartanda til barnaverndaryfirvalda [...] samrýmdist ákvæðum laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679.
Með vísan til 4. tölul. 42. gr. laga nr. 90/2018, sbr. d-lið 2. mgr. 58. gr. reglugerðar (ESB) 2016/679, er lagt fyrir [grunnskólann] að uppfæra fræðslu sína um rafræna vöktun skólans, þ. á m. merkingar, þannig að hún uppfylli skilyrði 13. gr. reglugerðar (ESB) 2016/679, 4. mgr. 14. gr., 1., og 2. mgr. 17. gr. laga nr. 90/2018 og 8. gr. núgildandi reglna nr. 50/2023 um rafræna vöktun.
Skal staðfesting á því að farið hafi verið að þessum fyrirmælum berast Persónuvernd eigi síðar en 13. júlí 2023.
Persónuvernd, 13. júní 2023
Helga Sigríður Þórhallsdóttir Rebekka Rán Samper