BUU, Alm.del - 2019-20 - Endeligt svar på spørgsmål 506: Spm. om at redegøre for, om den dataopbevaringspraksis og adgang til store mængder data på tidligere elever, som beskrives i artiklen Jurist advarer: På Lectio har lærere adgang til tidligere elevers opgaver og karakterer, er i tråd med GDPR-reglerne, til justitsministeren

Børne- og Undervisningsudvalget 2019-20
BUU Alm.del
Offentligt

Folketinget

Børne- og Undervisningsudvalget

Christiansborg

1240 København K

DK Danmark

Dato:

Kontor:

Sagsbeh:

Sagsnr.:

Dok.:

21. oktober 2020

Databeskyttelseskontoret

Abulfaz Melikov

2020-0032/03-0009

1662134

Slotshmgade1026Købnv.TF

w.justimnerdk

[email protected]

+4572680391

Hermed sendes besvarelse af spørgsmål nr. 506 (Alm. del), som Folketin-

gets Børne- og Undervisningsudvalg har stillet til justitsministeren den 24.

september 2020. Spørgsmålet er stillet efter ønske fra Ellen Trane Nørby

(V).

Nick Hækkerup

Mie Vinkel Sørensen

Slotsholmsgade 10

1216 København K.

T +45 7226 8400

F +45 3393 3510

www.justitsministeriet.dk

[email protected]

BUU, Alm.del - 2019-20 - Endeligt svar på spørgsmål 506: Spm. om at redegøre for, om den dataopbevaringspraksis og adgang til store mængder data på tidligere elever, som beskrives i artiklen Jurist advarer: På Lectio har lærere adgang til tidligere elevers opgaver og karakterer, er i tråd med GDPR-reglerne, til justitsministeren

Spørgsmål nr. 506 (Alm. del) fra Folketingets Børne- og Un-

dervisningsudvalg:

”Vil

ministeren redegøre for, om den dataopbevaringspraksis og

adgang til store mængder data på tidligere elever, som beskrives

i artiklen ”Jurist advarer: På Lectio

har lærere adgang til tidli-

gere elevers opgaver og karakterer”, bragt på gymnasiesko-

len.dk den 17. september 2020, er i tråd med GDPR-reglerne og

retten til hhv. at blive glemt, og at data ikke må opbevares læn-

gere end nødvendigt, og vil ministeren videre redegøre for, om

data, såfremt data blev pseudonymiseret eller anonymiseret i sin

form, i så fald ville kunne opbevares og i givet fald hvor længe?”

Svar:

Når et gymnasium behandler personoplysninger om bl.a. tidligere elever,

skal det ske under iagttagelse af databeskyttelsesreglerne.

I spørgsmålet henvises der til en artikel, hvoraf det fremgår, at gymnasielæ-

rere via studieadministrationssystemet Lectio bl.a. har adgang til karakterer,

skriftlige opgavebesvarelser og fraværsstatistikker for tidligere elever, og at

denne adgang også består for så vidt angår sådanne oplysninger om elever,

som blev studenter for mere end 10 år siden.

Som det bl.a. fremgår af Datatilsynets udtalelse nedenfor, skal personoplys-

ninger slettes, når oplysningerne ikke længere kan anses som nødvendige til

de formål, hvortil oplysningerne behandles. Et gymnasium er således for-

pligtet til løbende at vurdere, om det fortsat er nødvendigt at opbevare per-

sonoplysninger om eksempelvis tidligere elever med henblik på, at gymna-

siet kan udføre sine opgaver. Det beror på en konkret vurdering, hvornår det

ikke længere er nødvendigt at opbevare sådanne oplysninger, og det er op

til det enkelte gymnasium som dataansvarlig at foretage denne vurdering.

Den nævnte vurdering skal som nævnt foretages løbende og på gymnasiets

eget initiativ. En elev eller en tidligere elev kan dog til enhver tid som regi-

streret gøre brug af

sin ret til sletning (”retten til at blive glemt”

i databe-

skyttelsesforordningens artikel 17). I sådanne tilfælde vil gymnasiet som

dataansvarlig skulle tage stilling til, om en konkret anmodning om at blive

slettet kan imødekommes.

Det fremgår endvidere af Datatilsynets udtalelse, at databeskyttelsesreg-

lerne ikke omfatter personoplysninger, der er anonymiserede, dvs. som er

gjort anonyme på en sådan måde, at den registrerede ikke eller ikke længere

kan identificeres. Databeskyttelsesreglerne omfatter derimod pseudonymi-

serede oplysninger, da disse fortsat anses for at være personoplysninger i

databeskyttelsesforordningens forstand.

Justitsministeriet har som nævnt til brug for besvarelsen af spørgsmålet

indhentet et bidrag fra Datatilsynet, der har oplyst følgende:

”I forhold til den behandling af personoplysninger, der finder

sted i Lectio, anser Datatilsynet det enkelte gymnasium for at

være dataansvarlig. Det betyder, at det enkelte gymnasium er

ansvarlig for at overholde de databeskyttelsesretlige regler i for-

bindelse med opbevaring af personoplysninger i Lectio.

Det enkelte gymnasium skal således kunne identificere et lovligt

grundlag for behandling af personoplysninger i databeskyttel-

sesforordningens artikel 6, stk. 1, og i artikel 9, hvis der er tale

om behandling af følsomme oplysninger

–

som f. eks. helbreds-

oplysninger.

Herudover gælder de grundlæggende principper for behandling

af personoplysninger i forordningens artikel 5. Heraf følger bl.a.

et princip om ”dataminimering” og et princip om ”opbevarings-

begrænsning”.

Datatilsynet har den 16. juli 2019 offentliggjort en udtalelse

offentligt tilgængelige oplysninger på Lectio.dk vedrørende tid-

ligere og nuværende elever og lærere på et konkret gymnasium.

Datatilsynet udtalte bl.a. følgende:

”Afslutningsvis henleder Datatilsynet opmærksom-

heden på, at bl.a. de grundlæggende principper for be-

handling af personoplysninger indeholdt i databe-

skyttelsesforordningens artikel 5 fortsat skal overhol-

des i forbindelse med behandlingen af oplysninger

bag login.

Det indebærer bl.a., at de oplysninger, der er lagt bag

set til, hvad der er nødvendigt i forhold de(t) formål,

hvortil de behandles. Rungsted Gymnasium vil såle-

des skulle begrænse adgangen til oplysningerne i vi-

dest muligt omfang både i forhold til indholdet og den

tidsmæssige udstrækning, ligesom det i den forbin-

delse må overvejes, hvilke oplysninger de enkelte

grupper af personer skal have adgang til.”

https://www.datatilsynet.dk/tilsyn-og-afgoerelser/afgoerelser/2019/jul/ny-udtalelse-om-

offentligt-tilgaengelige-personoplysninger-paa-lectiodk.

I udtalelsen lagde Datatilsynet til grund, at gymnasiet behand-

lede oplysninger i Lectio på grundlag af artikel 6, stk. 1, litra e.

Det fremgår af denne bestemmelse, at behandling af personop-

lysninger kan ske, hvis behandlingen er nødvendig af hensyn til

udførelse af en opgave i samfundets interesse eller som henhører

under offentlig myndighedsudøvelse, som den dataansvarlige er

blevet pålagt.

Opbevaring af oplysninger om tidligere elever i Lectio forud-

sætter således, at opbevaringen er nødvendig i forhold til udfø-

relse af gymnasiets opgaver.

Det følger af databeskyttelsesforordningens artikel 5, stk. 1, litra

c, at personoplysninger, der behandles, skal være tilstrækkelige,

relevante og begrænset til, hvad der er nødvendigt i forhold til

de formål, hvortil de behandles (princippet om dataminimering).

Endvidere følger det af databeskyttelsesforordningens artikel 5,

stk. 1, litra e, at personoplysninger skal opbevares på en sådan

måde, at det ikke er muligt at identificere de registrerede i et

længere tidsrum end det, der er nødvendigt til de formål, hvortil

de pågældende personoplysninger behandles (princippet om op-

bevaringsbegrænsning).

Et gymnasium er således forpligtet til løbende at vurdere, om

det fortsat er nødvendigt at opbevare oplysninger om eksempel-

vis tidligere elever med henblik på, at gymnasiet kan udføre sine

opgaver. I det omfang oplysningerne ikke kan anses som nød-

vendige, skal oplysningerne slettes. Det følger af de nævnte be-

stemmelser, at den dataansvarlige ikke skal afvente, at en regi-

streret anmoder om sletning, før sletning iværksættes.

For så vidt angår retten til at blive glemt (retten til sletning)

fremgår det af databeskyttelsesforordningens artikel 17, stk. 1,

at den dataansvarlige som udgangspunkt skal slette personop-

lysninger, hvis én af en række betingelser er opfyldt. En betin-

gelse for sletning kan bl.a. være, at den dataansvarliges formål

med at behandle personoplysningerne ikke længere er aktuelt.

En registreret kan gøre brug af sin ret til sletning ved at rette

henvendelse til den dataansvarlige

–

i dette tilfælde det enkelte

gymnasium

–

som herefter skal tage stilling til og besvare an-

modningen.

Personoplysninger er i databeskyttelsesforordningens artikel 4,

nr. 1, defineret som enhver form for information om en identifi-

ceret eller identificerbar fysisk person, der direkte eller indirekte

kan identificeres, navnlig ved en identifikator som f.eks. et

navn, et identifikationsnummer, lokaliseringsdata, en onlinei-

dentifikator eller et eller flere elementer, der er særlige for denne

fysiske persons fysiske, fysiologiske, genetiske, psykiske, øko-

nomiske, kulturelle eller sociale identitet.

Pseudonymisering er i databeskyttelsesforordningen artikel 4,

nr. 5, defineret som behandling af personoplysninger på en så-

dan måde, at personoplysningerne ikke længere kan henføres til

en bestemt registreret uden brug af supplerende oplysninger,

forudsat at sådanne supplerende oplysninger opbevares separat

og er underlagt tekniske og organisatoriske foranstaltninger for

at sikre, at personoplysningerne ikke henføres til en identificeret

eller identificerbar fysisk person.

Pseudonymiserede oplysninger er

–

i modsætning til anonymi-

serede oplysninger

–

fortsat omfattet af databeskyttelsesreg-

lerne. Personoplysninger, der er anonymiserede, således at in-

gen fysiske personer kan identificeres ud fra oplysningerne eller

i kombination med andre oplysninger, er ikke (længere) omfat-

tet af reglerne om databeskyttelse og vil derfor kunne opbevares

uden de begrænsninger, der følger af de databeskyttelsesretlige

regler.”