Vinnsla persónuupplýsinga af hálfu menntastofnunar
Mál nr. 2021030666
Almennt fellur munnleg miðlun persónuupplýsinga ekki undir gildissvið laga um persónuvernd. Upplýsingarnar þurfa að vera með einhverjum hætti á rafrænu eða skráðu formi.
Í þessu tilfelli var persónuupplýsingum miðlað munnlega á fundi en þar sem upplýsingarnar áttu uppruna sinn í kennslumati sem varðveitt er í skráningarkerfum skólans var talið að um vinnslu persónuupplýsinga væri að ræða. Allir viðtakendur upplýsinganna störfuðu hins vegar innan sama ábyrgðaraðila og því var ekki talið að um væri að ræða miðlun upplýsinga.
----
Persónuvernd úrskurðaði í máli þar sem kvartað var yfir vinnslu persónuupplýsinga af hálfu menntastofnunar. Nánar tiltekið var kvartað yfir því að farið hafi verið yfir niðurstöður kennslumats er varðaði kennslu kvartanda við skólann á fundi en ágreiningur var uppi um hvort heimilt hefði verið að fara yfir það fyrir framan þá er viðstaddir voru á fundinum.
Niðurstaða Persónuverndar var sú að heimilt hefði verið að greina frá niðurstöðum kennslumatsins á fundinum og því samrýmst lögum um persónuvernd og vinnslu persónuupplýsinga.
Úrskurður
um kvörtun yfir vinnslu persónuupplýsinga af hálfu [menntastofnunarinnar X] í máli nr. 2021030666:
I.
Málsmeðferð
Hinn 11. mars 2021 barst Persónuvernd kvörtun frá [A] (hér eftir kvartandi) yfir vinnslu persónuupplýsinga um hann af hálfu [menntastofnunarinnar X] (hér eftir X). Nánar tiltekið var kvartað yfir því að þáverandi [stjórnandi X] hefði á fundi, þann 9. apríl 2019, rakið fyrir fundarmenn niðurstöðu úr kennslumati sem varðaði kennslu kvartanda við skólann.
Persónuvernd sendi kvartanda bréf, dags. 25. apríl 2022, þar sem óskað var eftir nánari upplýsingum frá honum um miðlun umræddra persónuupplýsinga og barst svar frá lögmanni kvartanda með bréfi, dags. 20. júní s.á. Í kjölfarið bauð Persónuvernd [X] að tjá sig um kvörtunina með bréfi, dags. 27. júní s.á., og bárust svör skólans með bréfi, dags. 9. september s.á. Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.
Meðferð málsins hefur tafist vegna mikilla anna hjá Persónuvernd.
___________________
Ágreiningur er um hvort þáverandi [stjórnandi X] hafi verið heimilt að vitna til niðurstöðu kennslumats varðandi kennslu kvartanda við skólann á fundi, þann 9. apríl 2019, þar sem viðstaddir voru, auk kvartanda og þáverandi [stjórnanda X], [stjórnandi Z] og [starfsmaður Y] hjá [X].
Kvartandi telur að þáverandi [stjórnandi X] hafi brotið trúnað við sig og þar með persónuverndarlög þegar hann hafi miðlað upplýsingum um niðurstöðu kennslumats varðandi kennslu kvartanda til fundarmanna á fundinum án hans samþykkis. Kvartandi vísar til þess að mikill trúnaður ríki um slík kennslumöt og aðeins [stjórnandi X] og viðkomandi kennari eigi að fá afrit af niðurstöðu kennslumats.
Í svarbréfi [X] kemur fram að kvartandi hafi verið boðaður til fundarins í þeim tilgangi að ræða kvartanir sem þáverandi [stórnanda X] hefðu borist vegna framkomu og námsmats kvartanda gagnvart nemendum. Af hálfu [X] hafi þáverandi [stjórnandi X] og [stjórnandi Z] setið fundinn. Einnig hafi verið mælst til þess að [starfsmaður Y] sæti fundinn. [X] vísar til þess að engir óviðkomandi aðilar hafi setið fundinn og allir fundarmenn hafi verið bundnir lögmæltri þagnarskyldu embættismanna eða starfsmanna ríkisins um það sem rætt var, sbr. 18. gr. laga um réttindi og skyldur starfsmanna ríkisins, nr. 70/1996. [X] vísar einnig til þess að aðeins hafi verið um munnlega miðlun persónuupplýsinga að ræða, sem byggðar hafi verið á minni þáverandi [stjórnanda X], og því ekki um vinnslu persónuupplýsinga í skilningi 4. tölul. 3. gr. laga nr. 90/2018 að ræða.
[X] vísar jafnframt til þess að kennslumat sé mikilvægur hluti af mælaborði skólans um frammistöðu kennara og almennt um kennsluhætti og framkomu kennara gagnvart nemendum. Kennslumat sé þannig hluti af gæðastjórnun og mati á árangri og gæðum skólastarfs. Tilgangurinn með kennslumati sé meðal annars að ná þeim markmiðum sem mælt er fyrir um í 40. gr. laga nr. 92/2008, um framhaldsskóla, til að tryggja að starfsemi skólans sé í samræmi við ákvæði laga, reglugerða, aðalnámskrár og þá til að auka gæði náms og skólastarfs og tryggja að réttindi nemenda séu virt og að þeir fái þá þjónustu sem þeir eiga rétt á samkvæmt lögum. Vinnsla kennslumats sé liður í innra mati skólans sem skólanum beri að framkvæma með reglubundnum hætti, samkvæmt ákvæði 41. gr. laga um framhaldsskóla. Með vísan til þess byggir [X] á því að vinnsla persónuupplýsinga sem komi fram í kennslumati styðjist við 3. tölul. 9. gr. laga nr. 90/2018, sbr. c-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Þá er einnig byggt á því að [stjórandi X], sé heimilt að fela [öðrum stjórnendum] skólans verkefni þar sem unnið er með niðurstöður kennslumats kennara skólans. Liggi það í hlutverki [stjórnanda X] sem [...] að ákveða hvernig störfum og verkefnum stofnunarinnar er sinnt og af hverjum. Að mati [X] teljist því aðgangur eða upplýsingar sem [stjórnandi X] veitir tilteknum starfsmönnum skólans um kennslumat annarra starfsmanna, í tengslum við störf eða verkefni þeirra innan sama ábyrgðaraðila, hvorki sjálfstæð vinnsla né miðlun persónuupplýsinga. [X] vísar ennfremur til þess að kvartandi hafi sjálfur sent þáverandi [stjórnanda X] og [stjórnanda Z] tölvupóst, dags. 27. mars 2019, þar sem hann hafi meðal annars deilt útdrætti kennslumats síns og hafi kvartandi þannig sjálfur upplýst þáverandi [stjórnanda Z] um einstaka niðurstöður kennslumatsins að eigin frumkvæði fyrir fundinn þann 9. apríl 2019.
II.
Niðurstaða
1.
Gildissvið
Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 4. gr. laganna. Þá er hugtakið vinnsla skilgreint í 4. tölul. 3. gr. laganna sem aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort sem vinnslan er sjálfvirk eða ekki, svo sem söfnun, skráning, flokkun, kerfisbinding, varðveisla, aðlögun eða breyting, heimt, skoðun, notkun, miðlun með framsendingu, dreifing eða aðrar aðferðir til að gera upplýsingarnar tiltækar, samtenging eða samkeyrsla, aðgangstakmörkun, eyðing eða eyðilegging.
Af framangreindu má ráða að munnleg miðlun persónuupplýsinga, ein og sér, fellur almennt ekki undir gildissvið laganna heldur þurfa upplýsingarnar með einhverjum hætti að vera á stafrænu eða skráðu formi. Í málinu liggur fyrir að þáverandi [stjórnandi Z] og [starfsmaður Y] hjá skólanum voru veittar upplýsingar um niðurstöðu kennslumats vegna kennslu kvartanda. Verður ekki annað ráðið af málsatvikum en að upplýsingarnar hafi átt uppruna sinn í tilteknu kennslumati sem er varðveitt í skráningarkerfum skólans. Allir viðtakendur upplýsinganna störfuðu innan sama ábyrgðaraðila og telst því ekki um miðlun persónuupplýsinga að ræða, sbr. nánari umfjöllun í kafla II.2, heldur verður vinnslan talin hafa falið í sér notkun persónuupplýsinga um kvartanda. Telst því hér vera um að ræða vinnslu persónuupplýsinga sem fellur undir gildissvið laga nr. 90/2018 eins og það er afmarkað í framangreindum ákvæðum og þar með undir valdsvið Persónuverndar.
2.
Lögmæti vinnslu
Mál þetta lýtur að vinnslu persónuupplýsinga um kvartanda af hálfu þáverandi [stjórnanda X]. Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar. [X] telst vera ábyrgðaraðili að umræddri vinnslu samkvæmt lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerð (ESB) 2016/679, enda almennt litið svo á að ábyrgðaraðili sé hlutaðeigandi stofnun eða fyrirtæki en ekki einstaka starfsmenn, hvort sem um ræðir stjórnendur eða almenna starfsmenn.
Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðar (ESB) 2016/679. Má þar nefna að vinna má með persónuupplýsingar sé það nauðsynlegt til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, sbr. 3. tölul. lagaákvæðisins og c-lið reglugerðarákvæðisins. Við mat á heimild til vinnslu getur einnig þurft að líta til ákvæða í öðrum lögum sem við eiga hverju sinni. Koma hér einkum til skoðunar lög nr. 92/2008, um framhaldsskóla.
Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að samrýmast öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679. Meginreglurnar kveða meðal annars á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða, sbr. 1. tölul. lagaákvæðisins og a-liðar reglugerðarákvæðisins, að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar, sbr. 3. tölul. lagaákvæðisins og c-lið reglugerðarákvæðisins, og að persónuupplýsingar skuli unnar með þeim hætti að viðeigandi öryggi þeirra sé tryggt, sbr. 6. tölul. lagaákvæðisins og f-lið reglugerðarákvæðisins.
Þær persónuupplýsingar um kvartanda sem kvörtun málsins lýtur að eiga uppruna sinn í kennslumati vegna kennslu kvartanda við [X]. Um heimild til vinnslu hvað varðar gerð kennslumats vísar [X] til VII. kafla laga nr. 92/2008, um framhaldsskóla. Í 41. gr. laganna um innra mat er kveðið á um skyldu framhaldsskóla til að meta með kerfisbundnum hætti árangur og gæði skólastarfs á grundvelli 40. gr. með virkri þátttöku starfsmanna, nemenda og foreldra eftir því sem við á. Af framangreindum ákvæðum laga nr. 92/2008 telur Persónuvernd að [X] sé heimil sú vinnsla persónuupplýsinga um kvartanda sem felst í gerð kennslumats, sbr. 3. tölul. 9. gr. laga nr. 90/2018 og c-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679.
Í 6. gr. laga nr. 92/2008 um framhaldsskóla segir að hlutverk skólameistara sé að stjórna daglegum rekstri og starfi framhaldsskóla og gæta þess að skólastarfið sé í samræmi við lög, reglugerðir, aðalnámskrá og önnur gildandi fyrirmæli á hverjum tíma, ásamt því að hafa frumkvæði að umbótastarfi innan skólans. Fram hefur komið af hálfu [X] að kennslumat sé mikilvægur hluti af innra mati skólans, m.a. varðandi mat á frammistöðu kennara, kennsluhætti og framkomu þeirra gagnvart nemendum. Með hliðsjón af þeim skyldum sem lagðar eru á framhaldsskóla að framkvæma reglulega innra mat á árangri og gæðum skólastarfs verður talið að nauðsynlegt geti verið fyrir skólastjórnendur að vinna frekar með niðurstöður kennslumats í starfi sínu.
Samkvæmt framangreindu er ljóst að á [stjórnendum] hvíla ákveðnar skyldur í tengslum við rekstur framhaldsskóla. Að mati Persónuverndar getur nauðsynleg vinnsla persónuupplýsinga við daglegan rekstur framhaldsskóla, þ.m.t. að [stjórnendur] veiti tilteknum starfsmönnum upplýsingar um niðurstöður kennslumats kennara, stuðst við 3. tölul. 9. gr. laga nr. 90/2018, að því gefnu að gætt sé að öðrum ákvæðum laganna. Kemur hér einkum til skoðunar 6. tölul. 1. mgr. 8. gr. laganna um öryggi við vinnslu persónuupplýsinga. Eins og hér háttar til er það mat Persónuverndar að þáverandi [stjórnandi X] hafi á fundi, þann 9. apríl 2019, ekki veitt neinum óviðkomandi aðila aðgang að persónuupplýsingum kvartanda heldur aðeins þeim starfsmönnum skólans sem þurftu upplýsingarnar starfa sinna vegna.
Að framangreindu virtu er það niðurstaða Persónuverndar að vinnsla persónuupplýsinga um kvartanda, sem fólst í að greina [stjórnanda Z] og [starfsmanni Y] hjá [X] frá niðurstöðum úr kennslumati sem varðaði kennslu kvartanda við skólann, hafi samrýmst lögum lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679.
Ú r s k u r ð a r o r ð:
Vinnsla [X] á persónuupplýsingum um [A] samrýmdist ákvæðum laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerð (ESB) 2016/679.
Persónuvernd, 23. nóvember 2022
Helga Sigríður Þórhallsdóttir Edda Þuríður Hauksdóttir