BUU alm. del - svar på spm. 506 om at redegøre for, om den dataopbevaringspraksis og adgang til store mængder data på tidligere elever, som beskrives i artiklen ”Jurist advarer: På Lectio har lærere adgang til tidligere elevers opgaver og karakterer”, er i tråd med GDPR-reglerne, fra justitsministeren
Tilhører sager:
- Hovedtilknytning: BUU alm. del (Spørgsmål 506)
Aktører:
Besvarelse af spørgsmål nr. 506.pdf
https://www.ft.dk/samling/20191/almdel/buu/spm/506/svar/1702795/2265586.pdf
Slotsholmsgade 10 1216 København K. T +45 7226 8400 F +45 3393 3510 www.justitsministeriet.dk jm@jm.dk Slotsholmsgade101216KøbenhavnK.T +4572268400 F +4533933510 www.justitsministeriet.dkjm@jm.dk Hermed sendes besvarelse af spørgsmål nr. 506 (Alm. del), som Folketin- gets Børne- og Undervisningsudvalg har stillet til justitsministeren den 24. september 2020. Spørgsmålet er stillet efter ønske fra Ellen Trane Nørby (V). Nick Hækkerup / Mie Vinkel Sørensen Folketinget Børne- og Undervisningsudvalget Christiansborg 1240 København K DK Danmark Dato: 21. oktober 2020 Kontor: Databeskyttelseskontoret Sagsbeh: Abulfaz Melikov Sagsnr.: 2020-0032/03-0009 Dok.: 1662134 Børne- og Undervisningsudvalget 2019-20 BUU Alm.del - endeligt svar på spørgsmål 506 Offentligt 2 Spørgsmål nr. 506 (Alm. del) fra Folketingets Børne- og Un- dervisningsudvalg: ”Vil ministeren redegøre for, om den dataopbevaringspraksis og adgang til store mængder data på tidligere elever, som beskrives i artiklen ”Jurist advarer: På Lectio har lærere adgang til tidli- gere elevers opgaver og karakterer”, bragt på gymnasiesko- len.dk den 17. september 2020, er i tråd med GDPR-reglerne og retten til hhv. at blive glemt, og at data ikke må opbevares læn- gere end nødvendigt, og vil ministeren videre redegøre for, om data, såfremt data blev pseudonymiseret eller anonymiseret i sin form, i så fald ville kunne opbevares og i givet fald hvor længe?” Svar: 1. Når et gymnasium behandler personoplysninger om bl.a. tidligere elever, skal det ske under iagttagelse af databeskyttelsesreglerne. I spørgsmålet henvises der til en artikel, hvoraf det fremgår, at gymnasielæ- rere via studieadministrationssystemet Lectio bl.a. har adgang til karakterer, skriftlige opgavebesvarelser og fraværsstatistikker for tidligere elever, og at denne adgang også består for så vidt angår sådanne oplysninger om elever, som blev studenter for mere end 10 år siden. Som det bl.a. fremgår af Datatilsynets udtalelse nedenfor, skal personoplys- ninger slettes, når oplysningerne ikke længere kan anses som nødvendige til de formål, hvortil oplysningerne behandles. Et gymnasium er således for- pligtet til løbende at vurdere, om det fortsat er nødvendigt at opbevare per- sonoplysninger om eksempelvis tidligere elever med henblik på, at gymna- siet kan udføre sine opgaver. Det beror på en konkret vurdering, hvornår det ikke længere er nødvendigt at opbevare sådanne oplysninger, og det er op til det enkelte gymnasium som dataansvarlig at foretage denne vurdering. Den nævnte vurdering skal som nævnt foretages løbende og på gymnasiets eget initiativ. En elev eller en tidligere elev kan dog til enhver tid som regi- streret gøre brug af sin ret til sletning (”retten til at blive glemt” i databe- skyttelsesforordningens artikel 17). I sådanne tilfælde vil gymnasiet som dataansvarlig skulle tage stilling til, om en konkret anmodning om at blive slettet kan imødekommes. Det fremgår endvidere af Datatilsynets udtalelse, at databeskyttelsesreg- lerne ikke omfatter personoplysninger, der er anonymiserede, dvs. som er gjort anonyme på en sådan måde, at den registrerede ikke eller ikke længere 3 kan identificeres. Databeskyttelsesreglerne omfatter derimod pseudonymi- serede oplysninger, da disse fortsat anses for at være personoplysninger i databeskyttelsesforordningens forstand. 2. Justitsministeriet har som nævnt til brug for besvarelsen af spørgsmålet indhentet et bidrag fra Datatilsynet, der har oplyst følgende: ”I forhold til den behandling af personoplysninger, der finder sted i Lectio, anser Datatilsynet det enkelte gymnasium for at være dataansvarlig. Det betyder, at det enkelte gymnasium er ansvarlig for at overholde de databeskyttelsesretlige regler i for- bindelse med opbevaring af personoplysninger i Lectio. Det enkelte gymnasium skal således kunne identificere et lovligt grundlag for behandling af personoplysninger i databeskyttel- sesforordningens artikel 6, stk. 1, og i artikel 9, hvis der er tale om behandling af følsomme oplysninger – som f. eks. helbreds- oplysninger. Herudover gælder de grundlæggende principper for behandling af personoplysninger i forordningens artikel 5. Heraf følger bl.a. et princip om ”dataminimering” og et princip om ”opbevarings- begrænsning”. Datatilsynet har den 16. juli 2019 offentliggjort en udtalelse1 om offentligt tilgængelige oplysninger på Lectio.dk vedrørende tid- ligere og nuværende elever og lærere på et konkret gymnasium. Datatilsynet udtalte bl.a. følgende: ”Afslutningsvis henleder Datatilsynet opmærksom- heden på, at bl.a. de grundlæggende principper for be- handling af personoplysninger indeholdt i databe- skyttelsesforordningens artikel 5 fortsat skal overhol- des i forbindelse med behandlingen af oplysninger bag login. Det indebærer bl.a., at de oplysninger, der er lagt bag login, skal være tilstrækkelige, relevante og begræn- set til, hvad der er nødvendigt i forhold de(t) formål, hvortil de behandles. Rungsted Gymnasium vil såle- des skulle begrænse adgangen til oplysningerne i vi- dest muligt omfang både i forhold til indholdet og den tidsmæssige udstrækning, ligesom det i den forbin- delse må overvejes, hvilke oplysninger de enkelte grupper af personer skal have adgang til.” 1 https://www.datatilsynet.dk/tilsyn-og-afgoerelser/afgoerelser/2019/jul/ny-udtalelse-om- offentligt-tilgaengelige-personoplysninger-paa-lectiodk. 4 I udtalelsen lagde Datatilsynet til grund, at gymnasiet behand- lede oplysninger i Lectio på grundlag af artikel 6, stk. 1, litra e. Det fremgår af denne bestemmelse, at behandling af personop- lysninger kan ske, hvis behandlingen er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige er blevet pålagt. Opbevaring af oplysninger om tidligere elever i Lectio forud- sætter således, at opbevaringen er nødvendig i forhold til udfø- relse af gymnasiets opgaver. Det følger af databeskyttelsesforordningens artikel 5, stk. 1, litra c, at personoplysninger, der behandles, skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles (princippet om dataminimering). Endvidere følger det af databeskyttelsesforordningens artikel 5, stk. 1, litra e, at personoplysninger skal opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles (princippet om op- bevaringsbegrænsning). Et gymnasium er således forpligtet til løbende at vurdere, om det fortsat er nødvendigt at opbevare oplysninger om eksempel- vis tidligere elever med henblik på, at gymnasiet kan udføre sine opgaver. I det omfang oplysningerne ikke kan anses som nød- vendige, skal oplysningerne slettes. Det følger af de nævnte be- stemmelser, at den dataansvarlige ikke skal afvente, at en regi- streret anmoder om sletning, før sletning iværksættes. For så vidt angår retten til at blive glemt (retten til sletning) fremgår det af databeskyttelsesforordningens artikel 17, stk. 1, at den dataansvarlige som udgangspunkt skal slette personop- lysninger, hvis én af en række betingelser er opfyldt. En betin- gelse for sletning kan bl.a. være, at den dataansvarliges formål med at behandle personoplysningerne ikke længere er aktuelt. En registreret kan gøre brug af sin ret til sletning ved at rette henvendelse til den dataansvarlige – i dette tilfælde det enkelte gymnasium – som herefter skal tage stilling til og besvare an- modningen. Personoplysninger er i databeskyttelsesforordningens artikel 4, nr. 1, defineret som enhver form for information om en identifi- ceret eller identificerbar fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlinei- dentifikator eller et eller flere elementer, der er særlige for denne 5 fysiske persons fysiske, fysiologiske, genetiske, psykiske, øko- nomiske, kulturelle eller sociale identitet. Pseudonymisering er i databeskyttelsesforordningen artikel 4, nr. 5, defineret som behandling af personoplysninger på en så- dan måde, at personoplysningerne ikke længere kan henføres til en bestemt registreret uden brug af supplerende oplysninger, forudsat at sådanne supplerende oplysninger opbevares separat og er underlagt tekniske og organisatoriske foranstaltninger for at sikre, at personoplysningerne ikke henføres til en identificeret eller identificerbar fysisk person. Pseudonymiserede oplysninger er – i modsætning til anonymi- serede oplysninger – fortsat omfattet af databeskyttelsesreg- lerne. Personoplysninger, der er anonymiserede, således at in- gen fysiske personer kan identificeres ud fra oplysningerne eller i kombination med andre oplysninger, er ikke (længere) omfat- tet af reglerne om databeskyttelse og vil derfor kunne opbevares uden de begrænsninger, der følger af de databeskyttelsesretlige regler.”