Vinnsla persónuupplýsinga í tengslum við rafræna yfirsetu prófa Háskólans í Reykjavík

Mál nr. 2020112830

8.3.2022

Úrskurður

Hinn 8. mars 2022 kvað Persónuvernd upp svohljóðandi úrskurð í máli nr. 2020112830:

I.
Málsmeðferð
1.
Tildrög máls

Hinn 12. nóvember 2020 barst Persónuvernd kvörtun frá [A](hér eftir kvartandi) yfir hljóð- og myndupptöku Háskólans í Reykjavík (HR) á próftíma á heimili hans.

Nánar tiltekið laut kvörtunin að því að HR hefði viðhaft rafræna vöktun með kvartanda á próftíma á heimili hans með fjarfundarbúnaðinum Zoom og með því gert öðrum próftökum mögulegt að viðhafa samhliða upptöku á persónuupplýsingum hans og hugsanlega viðkvæmum persónuupplýsingum eiginkonu hans.

Einnig var kvartað yfir þvinguðu samþykki fyrir vinnslunni, skorti á öryggi persónuupplýsinganna sem unnið var með og ófullnægjandi fræðslu vegna vöktunarinnar. Þá var kvartað yfir því að ekki hefði verið tekið mark á andmælum kvartanda vegna vinnslunnar.

Með kvörtuninni fylgdi skjal með yfirskriftinni „Leiðbeiningar fyrir nemendur í rafrænni yfirsetu“.

Með bréfi, dags. 16. júní 2021, var HR tilkynnt um kvörtunina og gefinn kostur á að tjá sig um hana. Svarbréf, dags. 15. júlí s.á., barst Persónuvernd ásamt afriti af vinnsluskrá og tölvupóstsamskiptum kvartanda við starfsmenn HR, meðal annarra persónuverndarfulltrúa skólans. Með bréfi, dags. 19. ágúst 2021, var kvartanda veitt tækifæri á að tjá sig um fram komnar skýringar HR. Hinn 7. október bárust andmæli kvartanda. Hinn 13. s.m. barst tölvupóstur kvartanda ásamt skjáskoti af tilkynningu HR vegna komandi prófatarnar. Hinn 24. janúar 2022 óskaði Persónuvernd frekari skýringa frá HR vegna sex tilgreindra atriða. Svarbréf HR barst þann 8. febrúar s.á. ásamt mati á áhrifum á persónuvernd (MÁP) vegna vöktunarinnar og skjali með efni tilkynningar til nemenda, dags. 5. nóvember 2020. Hinn 9. febrúar 2022 óskaði Persónuvernd tiltekinna upplýsinga um fræðslu vegna vöktunarinnar í símtali við HR og tímalengd prófsins sem kvörtunin varðaði og barst svar skólans samdægurs.

Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.

Meðferð málsins hefur dregist vegna tafa á svörum frá kvartanda og mikilla anna hjá Persónuvernd.

2.
Sjónarmið kvartanda

Kvartandi byggir kvörtun sína á því að hann hafi verið þvingaður til að samþykkja mynd- og hljóðupptöku á heimili sínu á próftíma og ekki átt annars úrkosti. Upptökurnar hafi farið þannig fram að fjöldi nemenda hafi verið saman á Zoom-fundi og ekki hafi verið unnt að tryggja að nemendur væru ekki með samhliða upptökur í gangi. Maki kvartanda hafi þurft að sækja sér fjarheilbrigðisþjónustu á sama tíma og hafi kvartandi haft af því áhyggjur að viðkvæmar persónuupplýsingar hennar kynnu að rata á upptökur HR eða samnemenda. Seint og um síðir hafi kvartanda verið boðið að taka prófið í vinnuherbergi í skólanum, en vegna áhættuþáttar maka vegna Covid-19 og takmarkaðra upplýsinga um tilhögun sóttvarna þar hafi hann ekki getað þegið aðstöðuna.

Einnig byggir kvartandi á að fræðsla vegna rafrænnar yfirsetu HR hafi verið ófullnægjandi, meðal annars um vinnsluheimildir sem skólinn byggði á og öryggi persónuupplýsinga. Þá hafi ekki verið tekið mark á andmælum hans vegna vinnslunnar. Að lokum vísar kvartandi til þess að framkvæma hefði þurft mat á áhrifum á vinnslu persónuupplýsinga vegna vöktunarinnar áður en vinnslan hófst.

3.
Sjónarmið HR

HR byggir á því að vegna Covid-19-faraldursins og skjótra breytinga stjórnvalda á sóttvarnartakmörkunum hafi yfirstjórn skólans, í samráði við forstöðumenn kennslu- og upplýsingatæknisviðs og persónuverndarfulltrúa skólans, tekið þá ákvörðun með hagsmuni nemenda og skólans að leiðarljósi að notast við fjarfundarbúnað við próftöku haustið 2020. Eftir mat á þeim lausnum sem til greina komu hafi HR komist að þeirri niðurstöðu að nota forritið Zoom, sem talið var uppfylla best kröfur skólans, en jafnframt hafi reynsla nemenda af notkun þess forrits haft vægi við valið.

Fram kom í skýringum HR að í upphafi hvers prófs hafi manntal verið tekið. Á meðan það hafi farið fram hafi verið óskað eftir að nemendur hefðu kveikt á hljóðnema og hafi hljóðupptaka þá farið fram. Utan þess hafi eingöngu verið um myndupptöku að ræða á próftíma. Stillingum forritsins hafi verið þannig háttað að einungis gestgjafi hafi getað viðhaft upptöku í búnaðinum.

Fræðsla um fyrirkomulag rafrænnar yfirsetu prófa hafi verið tvíþætt, hún hafi annars vegar farið fram með tölvupósti sem sendur var á nemendur en hins vegar hafi það verið á ábyrgð hvers kennara að útskýra fyrirkomulagið fyrir nemendum sínum. Nemendur hafi þannig fengið greinargóðar leiðbeiningar um framkvæmd prófa og notkun lausnarinnar, þar á meðal skýr fyrirmæli um að beina myndavélinni að sér einum í þeim tilgangi að hægt væri að fylgjast með nemanda við próftöku. Því hafi HR talið útilokað að annað heimilisfólk eða heimilisaðstæður sæjust í mynd eða viðkvæmar persónuupplýsingar rötuðu inn í upptökur. Auk þess hafi tölvupóstur verið sendur nemendum þann 5. nóvember 2020 þar sem þeim sem ekki höfðu aðstöðu til að taka próf heima var boðin aðstaða í skólanum til próftöku. Kvartanda hafi verið boðið slíkt úrræði en ekki þegið það.

Tilgangur vinnslunnar hafi verið að koma í veg fyrir prófsvindl og tryggja gæði náms við HR. Ekki hafi verið nægur tími til að endursemja öll lokapróf með það í huga að hafa þau í formi heimaprófa. HR byggir vinnslu persónuupplýsinga vegna rafrænnar yfirsetu á lögmætum hagsmunum skólans, sbr. 6. tölul. 9. gr. laga nr. 90/2018, sbr. einnig f-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Skólinn hafi haft ríkari hagsmuni af því að tryggja gæði náms og áreiðanlegar niðurstöður lokaprófa heldur en nemendur af því að vinnslan færi ekki fram vegna mögulegra óþæginda vegna hennar. Eingöngu hafi verið unnið með nauðsynlegar persónuupplýsingar til að ná tilganginum. Ekki hafi verið fyrirhugað að vinna með viðkvæmar persónuupplýsingar og hafi leiðbeiningar til nemenda um skamma hljóðupptöku og stillingu myndavélar átt að tryggja það.

Í skýringum HR kemur einnig fram að öryggi persónuupplýsinganna hafi verið tryggt. Það hafi verið niðurstaða HR að undangengnu mati á áhrifum á persónuvernd að notkun lausnarinnar hafi samrýmst lögum og reglum um persónuvernd.

Fram kemur að HR hafi notað staðbundinn aðgang að Zoom (e. On-premise) sem sé rekinn og hýstur af Háskóla Íslands (HÍ) í tengslum við rekstur Rannsókna- og háskólanetsins á Íslandi (RHnet). HÍ/RHnet hafi aftur gert samning við NorduNet, sem sé rannsóknanet fyrir háskóla á Norðurlöndum, sem gert hafi höfuðáskriftarsamning (e. Master Subscription Agreement) við Zoom. Upptökurnar hafi verið hýstar hjá HÍ og aðeins IP-tölur og lýsigögn varðandi fundinn hafi verið hýstar í skýjalausn Zoom í Evrópu á grundvelli samnings milli NorduNet og Zoom. Gengið hafi verið frá vinnslusamningi við HÍ í samræmi við kröfur persónuverndarlaga. Netumferð hafi verið SSL-varin og gagnastraumar funda dulkóðaðir. Aðgangstakmarkanir hafi verið með þeim hætti að sá einstaklingur sem sinnti rafrænni yfirsetu og kerfisstjórar HR með stjórnendaaðgang hafi einir haft aðgang að Zoom-kerfinu á vegum HR og notast hafi verið við sterk lykilorð. Upptökum hafi verið eytt 30 dögum eftir próftökudag og engin afrit hafi verið varðveitt. Efnið hafi eingöngu verið skoðað kæmi upp rökstuddur grunur um svindl í prófi og þá hafi deildarstjóri einn aðgang að upptökunni.

II.
Forsendur og niðurstaða
1.
Afmörkun máls

Eins og að framan greinir er meðal annars kvartað yfir vinnslu viðkvæmra persónuupplýsinga maka kvartanda sem kvartandi telur að hugsanlega hafi ratað inn á hljóð- og/eða myndupptöku í rafrænni yfirsetu prófs á heimili hans.

Þar sem ekki var lagt fram umboð maka kvartanda með kvörtuninni verður litið svo á að kvartandi sé að kvarta fyrir eigin hönd og er framangreindum hluta kvörtunarinnar því vísað frá. Þess ber jafnframt að geta að í málinu liggur fyrir að hljóðupptaka hafi eingöngu verið í upphafi próftíma á meðan manntal fór fram en ekki að því loknu. Því liggur ekki fyrir að unnið hafi verið með persónuupplýsingar maka kvartanda á þann hátt sem vísað er til í kvörtuninni.

2.
Gildissvið – Ábyrgðaraðili

Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.

Rafræn vöktun er skilgreind í 9. tölul. 3. gr. laga nr. 90/2018 sem vöktun sem er viðvarandi eða endurtekin reglulega og felur í sér eftirlit með einstaklingum með fjarstýrðum eða sjálfvirkum búnaði og fer fram á almannafæri eða á svæði sem takmarkaður hópur fólks fer um að jafnaði. Hugtakið tekur til vöktunar sem leiðir, á að leiða eða getur leitt til vinnslu persónuupplýsinga og sjónvarpsvöktunar sem fer fram með notkun sjónvarpsmyndavéla, vefmyndavéla eða annars samsvarandi búnaðar, án þess að fram fari söfnun myndefnis eða aðrar aðgerðir sem jafngilda vinnslu persónuupplýsinga.

Rafræn yfirseta prófsins sem um ræðir fór þannig fram að eftirlit var haft með hverjum nemanda allan próftökutímann. Með hliðsjón af framangreindu er það mat Persónuverndar að um viðvarandi vöktun hafi verið að ræða sem fellur undir áðurnefnda skilgreiningu á rafrænni vöktun samkvæmt lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.

Mál þetta lýtur að hljóð- og myndupptöku við rafræna yfirsetu prófs í tvær klukkustundir og þrjátíu mínútur. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Eins og hér háttar til telst Háskólinn í Reykjavík vera ábyrgðaraðili að umræddri vinnslu.

2.
Lögmæti vinnslu
2.1.
Lagaumhverfi

Til að rafræn vöktun sé heimil verður að vera fullnægt skilyrðum 14. gr. laga nr. 90/2018. Í 1. mgr. ákvæðisins er kveðið á um að rafræn vöktun sé ávallt háð því skilyrði að hún fari fram í málefnalegum tilgangi. Eins og fram hefur komið er hér um að ræða rafræna vöktun sem leiðir til vinnslu persónuupplýsinga. Svo að vinnsla slíkra upplýsinga sé heimil verður einhverju þeirra skilyrða, sem kveðið er á um í 9. gr. laga nr. 90/2018 og 6. gr. reglugerðar (ESB) 2016/679, einnig að vera fullnægt. Slík heimild getur til að mynda verið samþykki þess sem sætir vöktuninni, sbr. 1. tölul. 9. gr. laganna, en eins og hér háttar til kemur slíkt samþykki ekki til greina vegna þess aðstöðumunar sem er milli ábyrgðaraðila og kvartanda, enda gæti það ekki talist óþvingað, sbr. skilgreiningu á hugtakinu samþykki í 8. tölul. 3. gr. laganna. Í ljósi málavaxta kemur því helst til skoðunar hvort vinnslan geti stuðst við 6. tölul. 9. gr. laga nr. 90/2018, sbr. einnig f-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679 um að vinnslan sé nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra.

Þá verður almennt að gæta að því við rafræna vöktun að glögglega sé gert viðvart um hana, svo sem með merki eða á annan áberandi hátt, og upplýst um hver ábyrgðaraðili hennar sé, sbr. 4. mgr. 14. gr. laga nr. 90/2018.

Auk framangreindra skilyrða verður vinnsla persónuupplýsinga að samrýmast öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða (1. tölul. lagaákvæðisins og a-liður reglugerðarákvæðisins); að þær skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul. lagaákvæðisins og b-liður reglugerðarákvæðisins); að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul. lagaákvæðisins og c-liður reglugerðarákvæðisins) og að þær skuli unnar með þeim hætti að viðeigandi öryggi persónuupplýsinganna sé tryggt (6. tölul. lagaákvæðisins og f-liður reglugerðarákvæðisins).

2.2.
Vinnsluheimildir

Líkt og greinir að framan þarf rafræn vöktun að fullnægja skilyrðum 14. gr. laga nr. 90/2018 svo hún teljist heimil, meðal annars um að hún fari fram í málefnalegum tilgangi. Samkvæmt skýringum HR var tilgangur rafrænnar yfirsetu að koma í veg fyrir prófsvindl og tryggja öryggi og áreiðanleika niðurstöðu prófúrlausna og þar með gæði náms við HR. Persónuvernd telur að tilgangur HR teljist málefnalegur og uppfylli skilyrði 1. mgr. framangreinds ákvæðis. Þá er það mat Persónuverndar að í ljósi framangreindra hagsmuna HR hafi vinnslan getað stuðst við vinnsluheimild í 6. tölul. 9. gr. laganna og f-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, sem heimilar vinnslu með vísan til lögmætra hagsmuna, svo sem áður var rakið.

Í skýringum HR kemur fram að vegna skjótra breytinga á sóttvarnarráðstöfunum stjórnvalda hafi ekki gefist tími til að breyta staðprófum skólans í heimapróf án yfirsetu. Fallast má á að eins og hér háttar til hafi rafræn yfirseta prófa á heimilum nemenda verið nauðsynleg í þágu þeirra hagsmuna HR að koma í veg fyrir prófsvindl og tryggja áreiðanleika prófa og þar með gæði námsins við hinar breyttu aðstæður. Jafnframt verður ekki séð að hagsmunir eða grundvallarréttindi og frelsi nemenda, sem krefjast verndar persónuupplýsinga, hafi vegið þyngra en hagsmunirnir af vinnslunni. Þá kemur fram í skýringum HR að þeim sem ekki hafi haft aðstöðu heima fyrir hafi boðist að taka prófin í vinnuherbergi í skólanum. Kvartanda bauðst slíkt úrræði en kaus að þiggja það ekki.

Í ljósi framangreinds er það mat Persónuverndar að vinnslan hafi samrýmst 1. mgr. 14. gr. og að hún hafi getað stuðst við 6. tölul. 9. gr. laga nr. 90/2018, sbr. f-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679.

2.3.
Öryggi gagnanna

Samkvæmt 6. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og f-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679 skulu persónuupplýsingar unnar með þeim hætti að öryggi þeirra sé tryggt. Við mat á viðunandi öryggi skal hafa hliðsjón af þeirri áhættu sem vinnslan hefur í för með sér, einkum að því er varðar óviljandi eða ólögmæta vinnslu persónuupplýsinga eða að þær glatist, breytist, verði birtar eða aðgangur veittur að þeim í leyfisleysi, sbr. 2. mgr. 32. gr. reglugerðarinnar.

Nánar er fjallað um öryggi persónuupplýsinga í 2. þætti IV. kafla reglugerðarinnar. Samkvæmt 1. mgr. 32. gr. reglugerðarinnar, sbr. 1. mgr. 27. gr. laga nr. 90/2018, skulu ábyrgðaraðili og vinnsluaðili gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja viðunandi öryggi persónuupplýsinga miðað við áhættuna, með hliðsjón af nýjustu tækni, kostnaði við framkvæmd, eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu, mislíklegri og misalvarlegri, fyrir réttindi og frelsi einstaklinga.

Lýsingu HR á öryggisráðstöfunum vegna notkunar á Zoom er að finna í kafla I.3 framar í úrskurðinum. Með vísan til þess sem þar kemur fram er það mat Persónuverndar að ekki verði séð að öryggi umræddra gagna hafi talist ófullnægjandi þannig að vinnslan gengi gegn framangreindum ákvæðum laga nr. 90/2018 og reglugerðar (ESB) 2016/679.

2.4.
Fræðsla, viðvaranir um rafræna vöktun og meginreglur

Ein af meginreglum persónuverndarlöggjafarinnar um vinnslu persónuupplýsinga er að þess skuli gætt að þær séu unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða, sbr. 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og a-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Þá er áskilið í 2. tölul. ákvæðisins að persónuupplýsingar séu fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi, og í 3. tölul. þess er kveðið á um að persónuupplýsingar skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar. Með vísan til alls framangreinds er það mat Persónuverndar að ekki verði séð að vinnslan hafi brotið gegn meginreglum laganna og reglugerðarinnar um tilgang og meðalhóf.

Til að meta hvort skilyrðið um gagnsæi hafi verið uppfyllt getur þurft að líta til ákvæða um fræðsluskyldu, sbr. 17. gr. laga nr. 90/2018 og 12.-14. gr. reglugerðar (ESB) 2016/679. Þá er fjallað um fræðslu og upplýsingaskyldu vegna rafrænnar vöktunar í 10. gr. reglna nr. 837/2006 um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun.

Þegar persónuupplýsinga er aflað hjá hinum skráða, með rafrænni vöktun eins og hér háttar til, fer um fræðsluskyldu samkvæmt 13. gr. reglugerðarinnar. Í 13. gr. reglugerðarinnar kemur meðal annars fram að við söfnun persónuupplýsinganna skuli ábyrgðaraðili skýra hinum skráða frá tilganginum með fyrirhugaðri vinnslu persónuupplýsinganna og hver lagagrundvöllur hennar er, sbr. c-lið 1. mgr. ákvæðisins. Þegar vinnslan byggist á f-lið 1. mgr. 6. gr. reglugerðarinnar skuli ábyrgðaraðili einnig upplýsa um það hvaða lögmætu hagsmunir það eru sem ábyrgðaraðili eða þriðji aðili gætir, sbr. d-lið 1. mgr. sama ákvæðis. Einnig ber að upplýsa um viðtakendur eða flokka viðtakenda persónuupplýsinganna, ef einhverjir eru, sbr. e-lið ákvæðisins. Þá kemur fram í 2. mgr. 13. gr. reglugerðarinnar að til viðbótar við þær upplýsingar, sem um getur í 1. mgr. skuli ábyrgðaraðilinn, á þeim tíma þegar persónuupplýsingunum er safnað, veita hinum skráða tilgreindar frekari upplýsingar sem nauðsynlegar eru til að tryggja sanngjarna og gagnsæja vinnslu, meðal annars um aðgangsrétt hins skráða að eigin persónuupplýsingum, rétt hans til að andmæla vinnslunni, rétt til að leggja fram kvörtun hjá eftirlitsyfirvaldi og upplýsingar um það hvort einstaklingi sé skylt að láta persónuupplýsingar í té og mögulegar afleiðingar þess ef hann veitir ekki upplýsingarnar.

Þá er til þess að líta að samkvæmt 39. lið formálsorða reglugerðarinnar ætti hinum skráða að vera það ljóst þegar persónuupplýsingum um hann er safnað, þær notaðar, skoðaðar eða unnar á annan hátt, og að hvaða marki persónuupplýsingar eru eða munu verða unnar.

Í 10. gr. reglna nr. 837/2006, um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun, er fjallað um fræðslu- og upplýsingaskyldu. Þar kemur meðal annars fram að ábyrgðaraðili að rafrænni vöktun skuli veita fræðslu til þeirra sem henni sæta. Einnig kemur fram að fræðslan skuli taka til tilgangs vöktunarinnar, hverjir hafi eða kunni að fá aðgang að upplýsingum sem safnist og hversu lengi þær verði varðveittar. Þá eru í ákvæðinu tilgreind atriði í átta töluliðum sem einnig ber að fræða um.

Í erindi kvartanda er því lýst að hann hafi, fyrir próftökutíma, ekki fengið fullnægjandi upplýsingar um framkvæmd vöktunar og réttindi sín vegna rafrænnar yfirsetu á vegum HR. Hann hafi meðal annars fengið ófullnægjandi upplýsingar um það hvort vöktun færi eingöngu fram í rauntíma (án söfnunar myndefnis) eða hvort um myndupptöku væri að ræða, hvernig hljóðupptöku væri háttað, hvort samnemendur hans gætu samhliða tekið upp fundinn á próftíma og hvernig öryggi persónuupplýsinganna væri tryggt.

Í skýringum HR kemur fram að fræðsla gagnvart nemendum um rafræna yfirsetu hafi annars vegar farið fram með leiðbeiningablaði sem nemendum var sent með tölvupósti og hins vegar hafi kennarar frætt nemendur sína um fyrirkomulagið með hliðsjón af upplýsingablaði sem kennurum hafi verið fengið. Þá kom fram í svörum HR við fyrirspurn Persónuverndar að í leiðbeiningunum til nemenda kæmi fram að þeir ættu eingöngu að hafa kveikt á hljóðnema á meðan tekið væri manntal í upphafi prófs. Upptaka á hljóði í prófinu sjálfu hefði þannig ekki farið fram og því hefðu umhverfishljóð hjá nemendum ekki getað ratað inn á upptökur.

Í málinu liggur fyrir að kvartanda barst skjal með yfirskriftinni „Leiðbeiningar fyrir nemendur í rafrænni yfirsetu“. Þá óskaði hann upplýsinga um framkvæmd prófsins og réttindi sín vegna hinnar rafrænu yfirsetu með tölvupóstum 4., 6., 10. og 11. nóvember 2020. Bárust svör HR 6. og 9. og 10. s.m., en skólinn svaraði ekki bréfi kvartanda, dags. 11. s.m.

Í leiðbeiningarskjali nemenda kemur fram hvernig nemendum ber að haga sér í rafrænni yfirsetu og hvað þeir þurfi að gera til að taka próf með marktækum hætti. Um er að ræða tæknilegar leiðbeiningar um framkvæmdina en ekki fræðslu til nemenda um réttindi sín vegna hennar. Hins vegar er í umræddum leiðbeiningum tilgreint að fundirnir séu teknir upp, hvert markmið vöktunarinnar sé og að upptökunum sé eytt innan mánaðar frá próftökudegi. Þá segir í þriðja lið leiðbeininganna: „Hafið kveikt á myndavél og hljóðnema. Ekki er heimilt að vera með gervibakgrunn og filter.“ Í fimmta lið leiðbeininganna segir: „Yfirseta tekur manntal. Nemendur þurfa að hafa skilríki með mynd tilbúin og sýna í myndavél þegar nafn þeirra er lesið upp“.

Í upplýsingaskjali kennara er hvorki að finna upplýsingar um réttindi nemenda vegna hinnar rafrænu yfirsetu né er þess getið að miðla beri efni skjalsins til þeirra. Þá liggur ekkert fyrir í málinu sem staðfestir að kennarar hafi sérstaklega frætt kvartanda um réttindi sín vegna vöktunarinnar.

Í áðurnefndum tölvupóstum persónuverndarfulltrúa HR til kvartanda 6. og 9. nóvember 2020 er meðal annars upplýst um tilgang og markmið með rafrænni yfirsetu, lagagrundvöll vinnslunnar og varðveislutíma gagnanna. Kvartanda var einnig bent á réttinn til að kvarta til Persónuverndar vegna vinnslunnar auk þess sem honum var boðið á fund með rektor skólans til að fara yfir rafræna yfirsetu prófa hjá HR. Þá var honum boðið að bóka vinnuherbergi í skólanum til próftöku. Kvartandi þáði fund með rektor að próftíma loknum en hafnaði bókun vinnuherbergis.

Af framangreindu er ljóst að nemendum HR var eingöngu leiðbeint um að hafa kveikt á hljóðnema en ekki um að slökkva á hljóðnema að manntali loknu. Þá var ekki upplýst um að hljóðupptaka færi einungis fram á meðan tekið væri manntal. Í leiðbeiningunum er ekki fjallað um stillingu kerfisins sem veitir gestgjafa einum kost á að taka upp fundinn eða þá lagaheimild sem vinnslan grundvallast á. Hvorki er í leiðbeiningunum tilgreint hvernig HR muni tryggja öryggi persónuupplýsinga nemenda né er þar fjallað um rétt nemenda til aðgangs að persónuupplýsingum sínum. Ekki er heldur fjallað um rétt nemenda til að andmæla vinnslunni eða til að leggja fram kvörtun hjá eftirlitsyfirvaldi. Þá eru þar ekki upplýsingar um það hvort nemanda sé skylt að láta persónuupplýsingar í té og mögulegar afleiðingar þess ef hann veitir ekki upplýsingarnar.

Þá er í framangreindum svörum persónuverndarfulltrúans hvergi að finna staðfestingu á að myndupptaka fari fram á próftíma í rafrænni yfirsetu. Ekki er heldur á það minnst að hljóðupptaka vari aðeins á meðan manntal fari fram.

Þegar litið er til þess hve takmarkaðar upplýsingar leiðbeiningarskjal nemenda, upplýsingaskjal kennara og tölvupóstar persónuverndarfulltrúa HR höfðu að geyma um vinnslu persónuupplýsinga og réttindi nemenda vegna rafrænnar yfirsetu prófa er það mat Persónuverndar að HR hafi ekki sýnt fram á að skólinn hafi uppfyllt fræðsluskyldu sína sem ábyrgðaraðili, sbr. 13. gr. reglugerðar (ESB) 2016/679, sbr. einnig 17. gr. laga nr. 90/2018. Þegar af þeirri ástæðu verður ekki séð að HR hafi við vinnslu persónuupplýsinga kvartanda gætt þess að þær hafi verið unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða, sbr. 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og a-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679.

2.5.
Andmæli vinnslu persónuupplýsinga

Af tölvupóstum kvartanda til HR þann 4., 6., 10. og 11. nóvember 2020 mátti ráða að kvartandi andmælti vinnslu á persónuupplýsingum um sig. Hinum skráða er heimilt að andmæla vinnslu persónuupplýsinga um sig þegar vinnslan byggir á lögmætum hagsmunum, sbr. f-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Ábyrgðaraðili skal þá ekki vinna persónuupplýsingarnar frekar nema hann geti sýnt fram á mikilvægar lögmætar ástæður fyrir vinnslunni sem ganga framar hagsmunum, réttindum og frelsi hins skráða eða því að stofna, hafa uppi eða verja réttarkröfur, sbr. 21. gr. reglugerðarinnar. Einnig skal ábyrgðaraðili veita skráðum einstaklingi upplýsingar um aðgerðir, sem gripið er til vegna slíkrar beiðni, án ótilhlýðilegrar tafar og hvað sem öðru líður innan mánaðar frá viðtöku beiðninnar, samkvæmt 3. mgr. 12. gr. reglugerðarinnar.

Fyrir liggur að HR greip til ráðstafana í kjölfar erinda kvartanda og bauð honum upp á annan valkost sem fól í sér próftöku í vinnuherbergi í skólanum. Kvartandi hafnaði boðinu og kaus að taka prófið með rafrænni yfirsetu á heimili sínu.

Með vísan til framangreinds og málsgagna að öðru leyti er það mat Persónuverndar að þrátt fyrir að HR hafi ekki svarað efnislega hverju erindi kvartanda fyrir sig hafi skólinn, eins og hér háttar til, brugðist við andmælum kvartanda með fullnægjandi hætti. Verður því ekki talið að HR hafi brotið gegn skyldu sinni samkvæmt 21. gr. laga nr. 90/2018 og 21. gr. reglugerðar (ESB) 2016/679, sbr. einnig 12. gr. reglugerðarinnar.

3.
Samantekt og fyrirmæli

Að framangreindu virtu telur Persónuvernd að vinnsla HR á persónuupplýsingum kvartanda vegna rafrænnar yfirsetu prófa á heimili hans hafi getað stuðst við 6. tölul. 9. gr. laga nr. 90/2018 og f-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679 um að vinna megi með persónuupplýsingar sé það nauðsynlegt vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir, nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra.

Það er og mat Persónuverndar að HR hafi gripið til fullnægjandi úrræða til að tryggja öryggi persónuupplýsinga sem söfnuðust við umrædda vinnslu. Þá hafi HR brugðist við með fullnægjandi hætti vegna andmæla kvartanda með því að bjóða honum að taka prófið í vinnuherbergi skólans, sbr. 21. gr. laganna og 12. og 21. gr. reglugerðarinnar.

Hins vegar verður ekki séð að HR hafi rækt skyldu sína til að upplýsa og fræða nemendur sem vöktuninni sættu um réttindi sín vegna hennar með fullnægjandi hætti, sbr. 13. gr. reglugerðar (ESB) 2016/679 og 17. gr. laga nr. 90/2018. Vegna framangreinds skorts á fræðslu telur Persónuvernd að vinnslan hafi ekki samrýmst meginreglu um lögmæti, sanngirni og gagnsæi, sbr. 1. tölul. 1. mgr. 8. gr. laganna og a-lið 1. mgr. 5. gr. reglugerðarinnar.

Í samræmi við þessa niðurstöðu, og með vísan til 4. tölul. 42. gr. laga nr. 90/2018, er hér með lagt fyrir Háskólann í Reykjavík að veita nemendum sínum eftirleiðis fræðslu um þá vinnslu persónuupplýsinga þeirra sem kann að eiga sér stað í tengslum við rafræna yfirsetu í prófum, til samræmis við 13. gr. reglugerðar (ESB) 2016/679.

Eigi síðar en 8. apríl 2022 skal Háskólinn í Reykjavík senda Persónuvernd staðfestingu á að farið hafi verið að þessum fyrirmælum, ásamt lýsingu á framkvæmd fræðslunnar og upplýsingum um efni hennar.

Með hliðsjón af atvikum málsins, þ. á m. því álagi sem skólasamfélagið var undir á þeim tíma sem málsatvik áttu sér stað, sem og þeim brotum sem um ræðir, var ekki talið tilefni til þess að setja mál þetta í sektarfarveg, sbr. 1. mgr. 47. gr. laga nr. 90/2018.

Ú r s k u r ð a r o r ð:

Vinnsla Háskólans í Reykjavík á persónuupplýsingum um [A] vegna rafrænnar yfirsetu í prófi samrýmdist ekki ákvæðum laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, um fræðsluskyldu og gagnsæi.

Með vísan til 4. tölul. 42. gr. laga nr. 90/2018, er hér með lagt fyrir Háskólann í Reykjavík að veita nemendum sínum eftirleiðis fræðslu um þá vinnslu persónuupplýsinga þeirra sem kann að eiga sér stað í tengslum við rafræna yfirsetu í prófum, til samræmis við 13. gr. reglugerðar (ESB) 2016/679.

Eigi síðar en 8. apríl 2022 skal Háskólinn í Reykjavík senda Persónuvernd staðfestingu á að farið hafi verið að þessum fyrirmælum, ásamt lýsingu á framkvæmd fræðslunnar og upplýsingum um efni hennar.

Ólafur Garðarsson

formaður

Björn Geirsson                  Vilhelmína Haraldsdóttir

Þorvarður Kári Ólafsson