Notkun SWIS-skráningarkerfis í grunnskólum.

31.5.2006

Persónuvernd vísar til fyrri samskipta vegna umsóknar Fræðslumiðstöðvar Reykjavíkur og Skólaskrifstofu Hafnarfjarðar, dags. 5. september 2003, um leyfi til vinnslu persónuupplýsinga í skólastarfi samkvæmt svonefndu SWIS-kerfi (School Wide Information System) sem á að gera það kleift að bregðast við hegðunarerfiðleikum nemenda á viðeigandi hátt og koma þannig í veg fyrir eða draga úr slíkum erfiðleikum.

Fram kemur í umsókninni að þessi vinnsla eigi að fara fram næstu fimm árin í tilraunaskyni. Markmiðið sé að auka jákvæð samskipti kennara og nemenda með sérstöku umbunarkerfi sem tekið verði upp samhliða skráningu á agabrotum. Nemendur muni fá umbun fyrir æskilega hegðun, en skýrar, vægar afleiðingar muni fylgja óæskilegri hegðun til að draga úr henni. Vinnslan muni fara þannig fram að þegar upp komi agabrot verði upplýsingar um það skráðar á þar til gert skráningarblað af þeim starfsmanni sem varð vitni að agabrotinu eða tók á því. Á skráningarblaðinu komi fram nafn barns, bekkur, tegund brots (t.d. að ekki hafi verið fylgt fyrirmælum, komið hafi verið of seint eða viðhaft hafi verið ljótt orðbragð), hvar í skólanum brotið átti sér stað, hvaða ástæða kunni að vera fyrir hegðun barns (t.d. hvort ástæðan hafi verið að reyna að fá athygli félaga, komast undan því að vinna ákveðið verkefni eða fá athygli fullorðinna) og afleiðingar sem fylgdu broti. Nemendum verði gert ljóst að í kjölfar agabrots verði upplýsingar um brotið og geranda skráðar. Ekki verði aflað upplýsinga frá öðrum stofnunum. Samþykkis foreldra verði ekki aflað, enda eigi vinnslan stoð í lagaákvæðum sem ekki áskilja samþykki, þ.e. 3. tölul. 1. mgr. 8. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 42. og 43. gr. laga nr. 66/1995 um grunnskóla, og 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000. Niðurstöður úr vinnslunni verði ekki birtar opinberlega nema á ópersónugreinanlegu formi.

Þeir sem sjái um skráningu verði allir bundnir þagnarskyldu samkvæmt samningi við skóla. Eftir hvert skólaár verði skráningarblöð færð í vörslu Fræðslumiðstöðvar Reykjavíkur og Skólaskrifstofu Hafnarfjarðar. Fimm árum eftir skráningu verði þeim eytt. Upplýsingarnar verði tölvuskráðar, en mögulegt verði að eyða persónuauðkennum við lok grunnskólagöngu nemenda. Ópersónugreinanleg gögn verði send í alþjóðlegan gagnagrunn hjá alþjóðlegum háskóla í Bandaríkjunum, þ.e. Oregon University, en margir skólar í Bandaríkjunum og Kanada hafi tekið upp umrædda vinnslu persónuupplýsinga svo að halda megi um og nota gögn um hegðunarfrávik til virkrar ákvarðanatöku. Beri háskólinn ábyrgð á að öllum persónuupplýsingum verði eytt við flutning þeirra í þennan gagnagrunn.

Í útprentun af vefsíðu á vegum þessa háskóla, sem fylgdi umsókninni, kemur fram að upplýsingar, sem fara inn í umræddan, alþjóðlegan gagnagrunn, eru áður færðar inn á lokað vefsvæði vistað af háskólanum. Hafi hver skóli sitt eigið vefsvæði og þurfi notandanafn og lykilorð til að komast þangað inn, auk þess sem gagnasendingar til og frá vefsvæðunum séu dulkóðaðar. Persónuauðkennum verði eytt þegar upplýsingar verði færðar af lokuðum vefsvæðum einstakra skóla yfir í gagnagrunninn. Persónuvernd taldi hins vegar þörf á nánari upplýsingum um vinnslu persónuupplýsinga á Internetinu, m.a. um hvort nauðsynlegt væri að persónuauðkenni yrðu skráð þar, og spurðist fyrir um þær í símtali við starfsmann Fræðslumiðstöðvar Reykjavíkur hinn 3. nóvember 2003, þ.e. Margréti Birnu Þórarinsdóttur. Hún svaraði með bréfi, dags. s.d. Þar segir:

"Eins og við ræddum um í síma er ljóst að þeir aðilar sem standa að SWIS vefnum hafa aðgang að öllum gögnum því þeir setja upp og viðhalda vefnum ásamt því að úthluta aðgangsorðum. Eins og fram kemur í yfirlýsingu um trúnað (confidentiality statement) [þ.e. framangreindri útprentun] sem fylgdi með [umsókninni] nota aðstandendur SWIS aldrei gögn á þann hátt að hægt sé að tengja þau við nöfn. Upplýsingar sem eru notaðar eru alltaf kóðaðar þannig að ekki er hægt að rekja upplýsingar. Aðgangur erlendis felst þá fyrst og fremst í því að þeir sem sinna viðhaldi vefsins geta skoðað upplýsingar um einstaka nemendur ef þeir hafa áhuga á því."

Persónuvernd taldi, eftir að hafa borist þetta bréf, að frekari upplýsinga væri enn þörf. Leitaði hún því uppi þá heimasíðu sem framangreind útprentun er af, en á útprentuninni sést ekki hver vefslóðin er. Á heimasíðunni www.swis.org, er að finna ítarlega lýsingu á skráningarkerfinu. Einnig er þar sýnishorn af því hvernig upplýsingar skrást inn í kerfið með tilbúnum upplýsingum. Af því sýnishorni, sem og öðru því sem fram hefur komið í málinu, er ljóst að um mjög víðtæka vinnslu persónuupplýsinga á Internetinu er að ræða. Á heimasíðunni er hægt að fá ítarlegar lýsingar á fjölda og tegund agabrota einstakra nemenda og hvar þau hafa átt sér stað, auk upplýsinga um kynþátt nemenda. Einnig má fá fram margvíslegar tölfræðilegar upplýsingar, m.a. um tíðni brota hjá einstökum kynþáttum. Ljóst er að slíkar upplýsingar geta verið persónugreinanlegar ef aðeins einn eða fáir nemendur af tilteknum kynþætti eru í viðkomandi skóla.

Í ljósi framangreinds taldi Persónuvernd nauðsynlegt að fá ítarlegri upplýsingar um skráningarkerfið. Með bréfi, dags. 18. nóvember 2003, óskaði stofnunin því eftir að nánar yrði greint frá eftirfarandi atriðum:

Nauðsyn svo mikillar skráningar á persónuupplýsingum sem hér um ræddi, sbr. 3. tölul. 1. mgr. 7. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga þar sem kveðið er á um að við vinnslu persónuupplýsinga skuli þess gætt að þær séu nægilegar, viðeigandi og ekki umfram það sem nauðsyn krefur.

Hvernig umsækjendur teldu 42. og 43. gr. laga nr. 66/1995 um grunnskóla, sbr. og 3. tölul. 1. mgr. 8. gr. laga nr. 77/2000, veita heimild til vinnslunnar, sem og hvernig þeir teldu skilyrði 7. tölul. 1. mgr. 8. gr. fyrir vinnslu persónuupplýsinga vera fullnægt.

Hvar væri að finna heimild til vinnslu viðkvæmra persónuupplýsinga, þ.e. um refsiverða háttsemi, sbr. b-lið 2. gr. laga nr. 77/2000, sbr. 9. gr. sömu laga, en sum hegðunarfrávik gætu falið í sér refsiverð brot, s.s. skemmdarverk.

Hvort nauðsynlegt væri að skrá persónuauðkenni, s.s. nöfn, á Internetið, þ.e. hvort ekki nægði að þar væru skráð númer en í hverjum skóla væri til greiningarlykill.

Hvernig öryggi upplýsinga yrði tryggt, einkum persónugreinanlegra upplýsinga á Internetinu væri talið nauðsynlegt að skrá þar persónuauðkenni.

 Á fundi hinn 3. desember 2003, sem haldinn var að tillögu Persónuverndar, veittu Margrét Birna Þórarinsdóttir, sálfræðingur hjá Fræðslumiðstöð Reykjavíkur, Sigþór Arnar Guðmundsson, deildarstjóri tölvudeildar fræðslumiðstöðvarinnar, og Anna María Frímannsdóttir, sálfræðingur hjá Skólaskrifstofu Hafnarfjarðar, skýringar um ofangreind atriði. Bárust þær síðan Persónuvernd í formi bréfs frá Margréti Birnu, dags. 9. janúar 2004. Þar segir:

"SWIS-skráningarkerfi gerir skólum kleift að safna markvisst upplýsingum um hegðunarfrávik nemenda svo hægt sé að bregðast við á viðeigandi hátt og stuðla að fyrirbyggjandi aðgerðum. Svo skráðar upplýsingar komi að gagni og séu nýtanlegar til markvissrar vinnslu er nauðsynlegt að ákveðnar persónuupplýsingar séu skráðar samhliða agabrotum (sbr. 1. gr. laga nr. 66/1995 og reglugerð nr. 270/2000 um skólareglur í grunnskóla).

Samanber 3. tölul. 1. mgr. 7. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga er talið að vinnsla persónuupplýsinga sem farið er fram á sé nægjanleg, viðeigandi og ekki umfram það sem nauðsyn krefur. Persónuupplýsingar sem alla jafna eru skráðar á internetgrunn SWIS-skráningarkerfis eru m.a. nafn, kyn, bekkur, kynþáttur. Svo draga megi úr persónulegum upplýsingum og ekki sé skráð meira en nauðsyn krefur, hefur verið fallið frá því að skrá nöfn nemenda beint í SWIS-skráningarkerfi. Þess í stað verður öllum nemendum í hverjum grunnskóla sem notar SWIS-skráningarkerfi úthlutað númer sem skráð er á vefinn í stað nafna. Ennfremur er ekki talin nauðsyn á að skrá upplýsingar um kynþátt nemenda í grunnskólum og því verða slíkar upplýsingar ekki skráðar. Að lokinni skólagöngu barnsins (hvort sem henni lýkur vegna aldurs eða flutnings) verður auðkennum barns í greiningarlyklinum eytt. Í hverjum grunnskóla munu tveir til þrír aðilar sjá um skráningu gagna og mun greiningarlykillinn verða í varðveislu þeirra. Skráningaraðilum verður úthlutað lykilorði til þess að komast inn í gagnagrunninn. Breytist hlutverk skráningaraðila (hann fer í önnur störf eða hættir) verður lykilorði hans eytt. Skráningaraðilar munu ennfremur skrifa undir yfirlýsingu um trúnað.

Upplýsingar sem skráðar verða og eru taldar nauðsynlegar fyrir tilgang vinnslunnar eru kyn, bekkur og agabrot (hvar þau eiga sér stað, mögulegar ástæður og afleiðingar).

Samanber b-lið 2. gr. laga nr. 77/2000 verður öll vinnsla að fullnægja einhverjum skilyrða sem kveðið er á um í 9. gr. laga nr. 77/2000, auk einhvers þeirra skilyrða sem kveðið er á um í 8. gr. sömu laga. Vinnslan er talin heimil með vísan í 7. lið 8. gr. laga nr. 77/2000 um að vinnslan sé nauðsynleg til að ábyrgðaraðili eða þriðji maður eða aðilar sem upplýsingum er miðlað til geti gætt lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða sem vernda ber samkvæmt lögum vegi þyngra. Samkvæmt 2. lið 9. gr. laga 77/2000 er talið að sérstök heimild standi til vinnslunnar samkvæmt öðrum lögum, þ.e. 43. gr. laga 66/1995.

Í 43. gr. laga 66/1995 segir að sérfræðiþjónusta skóla skuli stuðla að því að kennslufræðileg og sálfræðileg þekking nýtist sem best í skólastarfinu. Starfsmönnum sérfræðiþjónustu er ætlað að vinna að forvarnastarfi með athugunum og greiningu á nemendum sem eiga í sálrænum eða félagslegum erfiðleikum hafi þessir erfiðleikar áhrif á nám nemenda og gera tillögur um úrbætur í forvarnarstarfi. Svo vinna megi að forvörnum og úrbótum er nauðsynlegt að skrá á markvissan hátt gögn um hegðun, viðhorf og líðan barna í skólum. SWIS-skráningarkerfið gerir þeim aðilum sem starfa að forvörnum innan skóla kleift að athuga á kerfisbundinn hátt hegðunarfrávik."

Ekki verður séð að sú vinnsla, sem umsókn Fræðslumiðstöðvar Reykjavíkur og Skólaskrifstofu Hafnarfjarðar lýtur að, sé leyfisskyld nema hvað einn þátt hennar varðar, þ.e. skráningu upplýsinga um nemendur í SWIS-skráningarkerfið, sem felur í sér flutning persónuupplýsinga til Bandaríkjanna, en komið verður að því nánar í lið 2 hér að neðan. Hins vegar er ljóst að um tilkynningarskylda vinnslu er að ræða, sbr. 1. mgr. 31. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga þar sem kveðið er á um að sérhver ábyrgðaraðili, sem beitir rafrænni tækni við vinnslu persónuupplýsinga, skuli tilkynna vinnsluna til Persónuverndar. Nánari ákvæði um tilkynningarskylduna eru í 32. gr. laganna, sem og 2. og 4.–6. gr. reglna nr. 90/2001 um tilkynningarskylda og leyfisskylda vinnslu persónuupplýsinga. Er nauðsynlegt að umrædd vinnsla verði tilkynnt Persónuvernd í samræmi við þessi ákvæði áður en hún hefst. Á heimasíðu stofnunarinnar, www.personuvernd.is, er að finna tilkynningareyðublað (undir hnappinum "Tilkynningar") og má senda það beint af heimasíðunni.

Svo að vinnsla persónuupplýsinga sé heimil þarf hún ávallt að fullnægja einhverju af skilyrðum 8. gr. laga nr. 77/2000. Sé unnið með viðkvæmar persónuupplýsingar, sbr. 8. tölul. 2. gr. sömu laga, verður einhverju af skilyrðum 9. gr. laganna að vera fullnægt að auki. Persónuvernd telur ljóst að til þess geti komið að í SWIS-skráningarkerfinu verði unnið með viðkvæmar persónuupplýsingar, þ.e. upplýsingar um hegðunarfrávik nemenda sem geta falið í sér refsiverð brot, s.s. skemmdarverk.

Í 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000 er kveðið á um að vinnsla persónuupplýsinga sé heimil sé hún nauðsynleg til að gæta lögmætra hagsmuna, enda vegi grundvallarréttindi og frelsi hins skráða ekki þyngra. Í 2. tölul. 1. mgr. 9. gr. laganna er og kveðið á um að vinnsla viðkvæmra persónuupplýsinga sé heimil standi til hennar sérstök lagaheimild. Persónuvernd telur ljóst að skilyrðum þessara ákvæða sé fullnægt um umrædda vinnslu, enda á hún stoð í sérlögum, sbr. 41. gr. laga nr. 66/1995 um grunnskóla, þar sem kveðið er á um skyldu nemenda til að hlíta fyrirmælum skólastarfsfólks og viðbrögð og viðurlög við hegðunarfrávikum, sem og 42. og 43. gr. sömu laga, þar sem kveðið er á um sérfræðiþjónustu í skólum. Með stoð í 41. gr. laganna hefur og verið sett reglugerð um skólareglur í grunnskóla, nr. 270/2000, þar sem kveðið er nánar á um viðbrögð og viðurlög við hegðunarfrávikum. Verður því að telja umrædda vinnslu heimila.

Einnig þarf hins vegar að vera fullnægt kröfum annarra ákvæða laga nr. 77/2000 en þeim sem fram koma í 8. og 9. gr., þ. á m. 1. tölul. 1. mgr. 7. gr., um að vinnsla persónuupplýsinga skal vera sanngjörn, málefnaleg, lögmæt og í samræmi við vandaða vinnsluhætti persónuupplýsinga; 2. tölul. 1. mgr. 7. gr., um að persónuupplýsinga skal aflað í skýrum, yfirlýstum og málefnalegum tilgangi; 3. tölul. 1. mgr. 7. gr., um að persónuupplýsingar skulu vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er vegna tilgangs vinnslu; og 5. tölul. 1. mgr. 7. gr., um að persónuupplýsingar skulu varðveittar í því formi að ekki sé unnt að bera kennsl á hina skráðu lengur en þörf krefur. Þessi ákvæði fela í sér þá meðalhófsreglu að ekki skal unnið með persónuupplýsingar nema á því sé þörf og að þær skulu því m.a. ekki varðveittar lengur en nauðsynlegt er. Fram hefur komið að persónuauðkennum á greiningarlykli fyrir upplýsingar, sem skráðar verða í SWIS-skráningarkerfið, verður eytt þegar nemandi fer í annan skóla eða lýkur námi. Svokölluð skráningarblöð, þ.e. pappírsgögn, sem upplýsingar verða skráðar á, verði hins vegar varðveitt í fimm ár en þó aðeins einn vetur í skólunum sjálfum. Að þeim tíma liðnum verði þau flutt til Fræðslumiðstöðvar Reykjavíkur og Skólaskrifstofu Hafnarfjarðar. Ekki verði skráður kynþáttur nemenda. Miðað við þessar forsendur um hvernig standa á að vinnslunni telur Persónuvernd að nægilega sé fullnægt þeim kröfum sem fram koma í framangreindum ákvæðum.

Hvað flutning upplýsinga til Bandaríkjanna varðar, þ.e. með skráningu þeirra í SWIS-skráningarkerfið, sem hýst er af háskólanum í Oregon, verður að vera fullnægt einhverju af skilyrðum 30. gr. laga nr. 77/2000 fyrir flutningi persónuupplýsinga til þriðja lands, þ.e. lands sem ekki veitir sambærilega vernd og þau lönd, þ. á m. Ísland, sem miða löggjöf sína við tilskipun Evrópuþingsins og ráðsins nr. 95/46/EB um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga. Skilyrði 30. gr., sem byggjast á 26. gr. tilskipunarinnar, eru tvenns konar, þ.e. annars vegar efnislegar heimildir, sem taldar eru upp í 1. mgr., og hins vegar leyfi sem Persónuvernd getur veitt þegar kröfum engrar þeirra er fullnægt.

Persónuvernd telur ljóst að engin af heimildum 1. mgr. 30. gr. eigi við. Reynir því hér á hvort skilyrðum fyrir veitingu leyfis samkvæmt 2. mgr. 30. gr. sé fullnægt. Þar er áskilið að sérstök rök mæli með veitingu leyfis og skal þá m.a. litið til eðlis upplýsinga, fyrirhugaðs tilgangs vinnslu og hve lengi hún varir. Þetta verður að túlka í ljósi 2. mgr. 26. gr. tilskipunarinnar þar sem kveðið er á um það skilyrði leyfis að ábyrgðaraðili að vinnslu persónuupplýsinga skuli veita nægilegar tryggingar fyrir vernd friðhelgi einkalífs og grundvallarréttindum og -frelsi manna og beitingu samsvarandi réttinda.

Ljóst er að einn mikilvægasti þátturinn í mati á því hvort nægilegar tryggingar séu veittar er öryggi persónuupplýsinga. Um skyldur ábyrgðaraðila hvað það varðar er fjallað í 11. gr. laga nr. 77/2000. Segir í 2. mgr. 11. gr. að beita skuli ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra. Af gögnum málsins er ljóst að beita á eftirfarandi öryggisráðstöfunum:

 

Persónuvernd telur ofangreindar öryggisráðstafanir nægilegar til að fullnægja kröfum 11. gr. laga nr. 77/2000 hvað varðar tölvuskráðar upplýsingar. Ekki liggur hins vegar fyrir hvernig öryggi pappírsgagna, annarra en greiningarlykils, verður tryggt. Þetta hefur hins vegar ekki áhrif á hvort telja skuli nægilegar tryggingar hafa verið settar fyrir friðhelgi einkalífs í skilningi 2. mgr. 26. gr. tilskipunar 95/46/EB, sbr. 2. mgr. 30. gr. laga nr. 77/2000. Í ljósi framangreindra öryggisráðstafana, sem og þess sem komið hefur fram um lögmæti tilgangs vinnslunnar, telur Persónuvernd því skilyrðum fyrir veitingu leyfis samkvæmt 2. mgr. 30. gr. laganna vera fullnægt. Nauðsynlegt er hins vegar að gerður verði skriflegur samningur við háskólann í Oregon um hýsinguna, sbr. 13. gr. laga nr. 77/2000 þar sem áskilið er að ábyrgðaraðili geri slíkan samning við vinnsluaðila, þ.e. þann sem vinnur með persónuupplýsingar á vegum ábyrgðaraðila, sbr. 5. tölul. 2. gr. laga nr. 77/2000. Á þar m.a. að koma fram að vinnsluaðila sé einungis heimilt að starfa í samræmi við fyrirmæli ábyrgðaraðila og að ákvæði laga nr. 77/2000 um skyldur ábyrgðaraðila gildi einnig um þá vinnslu sem vinnsluaðili annast, sbr. 2. mgr. 13. gr. Loks er skylt að láta Persónuvernd í té öryggisstefnu, áhættumat og lýsingu á öryggisráðstöfunum, sbr. 5. mgr. 11. gr. laga nr. 77/2000, sbr. 3. gr. reglna nr. 299/2000 um öryggi persónuupplýsinga þar sem kveðið á um skyldu til skjalfestingar upplýsingaöryggis.

Með vísan til ofangreinds tilkynnist hér með: