19 sep. 2022
En gruppe unge kvinder lærer programmering

Undervisningssektoren i Datatilsynets søgelys

EY Danmark
Af EY Danmark

EY er en af verdens førende organisationer inden for revision, skat, transaktioner og rådgivning.

19 sep. 2022
Relaterede emner Law
Upvote

Vis materialer

Undervisningssektorens behandling af elevernes personoplysninger har for alvor fået Datatilsynets opmærksomhed.

Opsummering: 
  • Datatilsynet har på det seneste truffet afgørelse i adskillige sager, der omhandler behandling af børns persondata særligt indenfor undervisningssektoren.
  • De konkrete afgørelser vedrører bl.a. en kommunes brug af Google Chromebook, et forlags screeningstest af elever samt skolers brug af billeder af elever (Aula).

Tilbage i starten af 2021 blevet Datatilsynet mødt med en skarp kritik af ikke at gøre nok på området for beskyttelse af børns persondata. De seneste afgørelser fra Datatilsynet tegner dog et klart billede af, at behandlingen af børns persondata, særligt indenfor undervisningssektoren, er et fokusområde for Datatilsynet. 

Ifølge GDPR har børn krav på en særlig beskyttelse af deres data. ”Det er naturligt, fordi de i mindre grad end voksne kan overskue konsekvenserne af deres brug af bl.a. digitale tjenester," har Cristina Angela Gulisano, direktør i Datatilsynet, tidligere udtalt. 

GDPR stiller store krav til private virksomheder såvel som offentlige organisationer, og det gælder naturligvis også kommunerne og skolerne. De skal bl.a. sikre, at data om elevers forhold kun er tilgængelig for netop de medarbejdere, som har et aktuelt behov for de specifikke data, og at der er implementeret tilstrækkelig teknisk og organisatoriske sikkerhedsforanstaltninger omkring elevernes persondata, så data ikke kommer i hænderne på uvedkommende.  

I forhold til konkrete sager har Datatilsynet på det seneste bl.a. truffet afgørelse/udtalt sig i adskillige sager, der omhandler behandling af børns persondata indenfor undervisningssektoren. De konkrete afgørelser er kort skitserede nedenfor. 

Kommunes brug af Google Chromebook 

Datatilsynet har truffet den første afgørelse i en række af sager, der vedrører brugen af Google Chromebooks og G Suite for Education (nu kaldet Workspace) til undervisning i folkeskolen. Brugen af Google Chromebooks er udbredt på landsplan, men konkret har Datatilsynet haft en verserende sag i Helsingør Kommune. 

Det fremgår bl.a. af sagen, at eleven i forbindelse med brugen af Google Chromebooks skulle oprette en Google-konto ved anvendelse af elevens fulde navn. Disse kontooplysninger var herefter blevet videregivet af Google til YouTube, hvilket Helsingør Kommune ikke var vidende om. Videregivelsen skete uden elevens samtykke, og der blev på den baggrund indgivet en klage fra en forælder over Helsingør Kommunes behandling af persondata.  

Datatilsynet meddelte derfor bl.a. Helsingør Kommune et påbud om at bringe behandlingerne ved brug af Google Chromebooks i overensstemmelse med databeskyttelsesforordningen ved bl.a. at foretage en risikovurdering og eventuelt en konsekvensanalyse. I efterfølgende afgørelser har Datatilsynet udtalt alvorlig kritik og nedlagt forbud mod overførsel til tredjelande og mod Helsingør Kommunes brug af Google Workspace. 

Senest har Datatilsynet suspenderet det gældende forbud indtil den 5. november 2022, men har samtidig givet påbud om lovliggørelse af brugen. Et tilsvarende påbud er givet til Aarhus Kommune.

Et forlags screeningstest af elever 

Datatilsynet har truffet afgørelse i en sag, der vedrører et forlags udbud af servicen, Systime Screening, der anvendes af lærere på skoler til at oprette screeningstest af elever for faglige- eller færdighedsmæssige styrker og svagheder. 

Besvarelsen af screeningstestene var ikke underlagt nogen adgangsbegrænsninger, ligesom de links, der gav adgang til testene bestod af forkortede URL’er. Dette medførte, at lærere fik uautoriseret adgang til elevers persondata, herunder elevers navn, e-mail og screeningresultat. 

Datatilsynet har udtalt alvorlig kritik af forlaget for ikke at tage højde for URL-manipulation i indretningen af URL’en og dermed ikke levede op til kravet om passende sikkerhed i GDPR. Dette skyldtes, at indretningen ikke tog højde for URL-manipulation, der er almindelig kendt og let burde imødekommes, samt at testenes formål var at behandle beskyttelsesværdige personoplysninger. 

Forlaget, herunder Systime, anvendes af en række kommuner, herunder i alt 128 skoler, hvorefter forlaget, som databehandler, behandler persondata på vegne af og efter instrukser fra skolerne. I sådanne situationer har skolerne også et ansvar for, at databehandleren behandler oplysningerne forsvarligt.  

Når skolerne gør brug af databehandlere, skal skolerne for det første sikre, at der er indgået en såkaldt databehandleraftale, og for det andet sikre, at der føres en passende kontrol med databehandleraftalen, herunder at databehandleren implementerer passende tekniske og organisatoriske sikkerhedsforanstaltninger med fokus på bl.a. risikoen for de registrerede. 

Skolers brug af billeder af elever 

Datatilsynet har i forbindelse med Aulas annoncering af en ændring i deres platform modtaget adskillige henvendelser fra forældre med spørgsmål om samtykke til skolernes brug af billeder af elever. På den baggrund har Datatilsynet meldt ud, at det som udgangspunkt ikke kræver et samtykke, men at offentlig myndighedsudøvelse kan være et oplagt retligt grundlag for skolens behandling af billeder. 

Det betyder dog ikke, at skolerne frit kan tage billeder og bruge dem til hvad som helst eller dele dem med hvem som helst. Tværtimod skal skolerne forholde sig konkret til, om billederne i det hele taget er relevante at bruge, ligesom de skal undgå at dele billeder, der udstiller børnene, om de fortsat skal opbevares eller slettes. Hvis nogle forældre af forskellige årsager ikke ønsker, at der bliver taget billeder af deres barn, bør skole foretage en konkret vurdering af, om billederne skal fjernes. 

Vejledning om behandling af børns personoplysninger 

Datatilsynets øgede fokus på behandling af børns persondata understreges tillige ved, at Det Europæiske Databeskyttelsesråd på et møde med Datatilsynet i oktober 2021 vedtog et mandat til udarbejdelse af en vejledning om behandling af børns personoplysninger. 

I forbindelse med udarbejdelse af vejledningen er Datatilsynet blevet udpeget som ”rapporteur” i den nedsatte arbejdsgruppe, hvilket betyder, at Datatilsynet får en aktiv rolle i det internationale samarbejde omkring udarbejdelsen af vejledningen. 

På trods af, at GDPR har et særligt fokus på beskyttelse af børns persondata, specificerer GDPR imidlertid ikke, hvordan de specifikke regler skal fortolkes og anvendes i praksis. Den nye vejledning skal medvirke til at præcisere dette, og det er således afgørende – også inden for undervisningssektoren – at holde sig ajour med sådanne nye vejledninger. 

Kontakt:

Bodil Hald Brabæk, Executive Director, Head of Data Privacy, EY Law, tlf. 2529 3268
Kamilla Mondrup, Manager, Data Privacy, EY Law, tlf. 4045 0785

Sammendrag

De seneste afgørelser fra Datatilsynet tegner et klart billede af, at behandlingen af børns persondata, særligt indenfor undervisningssektoren, er blevet et stort fokusområde for Datatilsynet. EY anbefaler, at uddannelsesinstitutionerne sætter fokus på efterlevelse af GDPR, herunder særligt gennemførelse af den lovpligtige kortlægning og risikovurderinger samt sikring af databehandlerrelationerne. 

Om denne artikel

EY Danmark
Af EY Danmark

EY er en af verdens førende organisationer inden for revision, skat, transaktioner og rådgivning.

Related topics Law
Upvote