Et forlags screeningstest af elever
Datatilsynet har truffet afgørelse i en sag, der vedrører et forlags udbud af servicen, Systime Screening, der anvendes af lærere på skoler til at oprette screeningstest af elever for faglige- eller færdighedsmæssige styrker og svagheder.
Besvarelsen af screeningstestene var ikke underlagt nogen adgangsbegrænsninger, ligesom de links, der gav adgang til testene bestod af forkortede URL’er. Dette medførte, at lærere fik uautoriseret adgang til elevers persondata, herunder elevers navn, e-mail og screeningresultat.
Datatilsynet har udtalt alvorlig kritik af forlaget for ikke at tage højde for URL-manipulation i indretningen af URL’en og dermed ikke levede op til kravet om passende sikkerhed i GDPR. Dette skyldtes, at indretningen ikke tog højde for URL-manipulation, der er almindelig kendt og let burde imødekommes, samt at testenes formål var at behandle beskyttelsesværdige personoplysninger.
Forlaget, herunder Systime, anvendes af en række kommuner, herunder i alt 128 skoler, hvorefter forlaget, som databehandler, behandler persondata på vegne af og efter instrukser fra skolerne. I sådanne situationer har skolerne også et ansvar for, at databehandleren behandler oplysningerne forsvarligt.
Når skolerne gør brug af databehandlere, skal skolerne for det første sikre, at der er indgået en såkaldt databehandleraftale, og for det andet sikre, at der føres en passende kontrol med databehandleraftalen, herunder at databehandleren implementerer passende tekniske og organisatoriske sikkerhedsforanstaltninger med fokus på bl.a. risikoen for de registrerede.
Skolers brug af billeder af elever
Datatilsynet har i forbindelse med Aulas annoncering af en ændring i deres platform modtaget adskillige henvendelser fra forældre med spørgsmål om samtykke til skolernes brug af billeder af elever. På den baggrund har Datatilsynet meldt ud, at det som udgangspunkt ikke kræver et samtykke, men at offentlig myndighedsudøvelse kan være et oplagt retligt grundlag for skolens behandling af billeder.
Det betyder dog ikke, at skolerne frit kan tage billeder og bruge dem til hvad som helst eller dele dem med hvem som helst. Tværtimod skal skolerne forholde sig konkret til, om billederne i det hele taget er relevante at bruge, ligesom de skal undgå at dele billeder, der udstiller børnene, om de fortsat skal opbevares eller slettes. Hvis nogle forældre af forskellige årsager ikke ønsker, at der bliver taget billeder af deres barn, bør skole foretage en konkret vurdering af, om billederne skal fjernes.
Vejledning om behandling af børns personoplysninger
Datatilsynets øgede fokus på behandling af børns persondata understreges tillige ved, at Det Europæiske Databeskyttelsesråd på et møde med Datatilsynet i oktober 2021 vedtog et mandat til udarbejdelse af en vejledning om behandling af børns personoplysninger.
I forbindelse med udarbejdelse af vejledningen er Datatilsynet blevet udpeget som ”rapporteur” i den nedsatte arbejdsgruppe, hvilket betyder, at Datatilsynet får en aktiv rolle i det internationale samarbejde omkring udarbejdelsen af vejledningen.
På trods af, at GDPR har et særligt fokus på beskyttelse af børns persondata, specificerer GDPR imidlertid ikke, hvordan de specifikke regler skal fortolkes og anvendes i praksis. Den nye vejledning skal medvirke til at præcisere dette, og det er således afgørende – også inden for undervisningssektoren – at holde sig ajour med sådanne nye vejledninger.
Kontakt:
Bodil Hald Brabæk, Executive Director, Head of Data Privacy, EY Law, tlf. 2529 3268
Kamilla Mondrup, Manager, Data Privacy, EY Law, tlf. 4045 0785