Úrlausnir
Öryggi við geymslu og aðgangsstýringu viðkvæmra persónuupplýsinga hjá grunnskóla talið fullnægjandi
Mál nr. 2020112901
Persónuvernd hefur úrskurðað í máli vegna kvörtunar yfir því hvernig öryggi við geymslu og aðgangsstýringu viðkvæmra persónuupplýsinga um barn kvartanda hjá grunnskóla (ábyrgðaraðila) væri háttað. Kvartað var yfir því að skólinn haldi ekki skrá yfir hverjir fái aðgang að heilsufarsupplýsingum nemenda til lestrar eða í hvaða tilgangi. Af hálfu skólans var á því byggt að gögnin séu geymd á pappír í læstum skjalaskáp á skrifstofu deildarstjóra og eingöngu kennarar viðkomandi nemanda fái aðgang að gögnum og þá aðeins þar inni. Af hálfu skólans var talið að verklagið væri í samræmi við upplýsingaöryggisstefnu nemendaskrár skólans, áhættumat nemendaskrár fyrir skólann og reglubók með öryggisreglum fyrir grunnskóla um nemendaskrá. Persónuvernd taldi að varðveisla grunnskólans og verklag við aðgang að umræddum gögnum uppfyllti þær öryggiskröfur sem gerðar væru til ábyrgðaraðila til að tryggja fullnægjandi öryggi persónuupplýsinga samkvæmt lögum.
Úrskurður
Hinn 25. maí 2021 kvað Persónuvernd upp svohljóðandi úrskurð í máli nr. 2020112901:I.
Málsmeðferð
1.
Tildrög máls
Hinn 20. nóvember 2020 barst Persónuvernd kvörtun frá [A] (hér eftir nefndur kvartandi) yfir því hvernig öryggi við geymslu og aðgangsstýringu viðkvæmra persónuupplýsinga um barn hans hjá [grunnskólanum X] væri háttað.Með bréfi, dags. 8. febrúar 2021, var [grunnskólanum X] boðið að koma á framfæri skýringum vegna kvörtunarinnar. Svarað var með bréfi, dags. 4. mars s.á. Með bréfi, dags. 8. apríl 2021, óskaði Persónuvernd eftir frekari upplýsingum frá [grunnskólanum X]. Svarað var með tölvupósti þann 23. s.m.
Við úrlausn málsins hefur verið tekið tillit til framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.
2.
Sjónarmið kvartanda
Kvartandi gerir athugasemdir við hvernig öryggi við geymslu og aðgangsstýringu viðkvæmra heilsufarsupplýsinga um barn hans hjá [grunnskólanum X] sé háttað þar sem skólinn haldi ekki utan um hverjir fái aðgang að gögnunum til lestrar eða í hvaða tilgangi slíkur aðgangur sé veittur hverju sinni.3.
Sjónarmið [grunnskólans X]
Af hálfu [grunnskólans X] hefur komið fram að gögnin sem kvörtunin varðar séu geymd á pappír í læstum skjalaskáp á skrifstofu deildarstjóra sérkennslu. Eingöngu kennarar viðkomandi nemanda fái aðgang að greiningargögnum og þá aðeins á þeirri skrifstofu en óheimilt sé að fara með gögnin út af skrifstofunni. Þá segir að ekki hafi verið haldin skrá yfir hverjir lesi gögnin.II.
Forsendur og niðurstaða
1.
Gildissvið – Ábyrgðaraðili
Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.Mál þetta lýtur að vinnslu persónuupplýsinga um barn kvartanda hjá [grunnskólanum X] og fellur því undir valdsvið Persónuverndar. Eins og hér háttar til telst [grunnskólinn X] vera ábyrgðaraðili að umræddri vinnslu, sbr. 6. tölul. 3. gr. laga nr. 90/2018, sbr. 7. tölul. 4. gr. reglugerðarinnar.
2.
Niðurstaða
Öll vinnsla persónuupplýsinga verður að fullnægja öllum grunnkröfum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679. Af því leiðir meðal annars að ábyrgðaraðila ber að tryggja öryggi persónuupplýsinga, sbr. 6. tölul. 1. mgr. 8. gr. laga nr. 90/2018. Í öryggi persónuupplýsinga felst meðal annars að persónuupplýsingum sé leynt gagnvart óviðkomandi en að þær séu jafnframt aðgengilegar þeim sem nauðsynlega þurfa á þeim að halda. Nánari ákvæði er varða öryggi persónuupplýsinga er að finna í 23., 24. og 27. gr. laga nr. 90/2018, en samkvæmt þeim skal ábyrgðaraðili gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar sem taka mið af eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu fyrir réttindi og frelsi skráðra einstaklinga, sbr. nánari fyrirmæli 32. gr. reglugerðarinnar. Samkvæmt 2. mgr. 32. gr. reglugerðarinnar skal þegar viðunandi öryggi er metið einkum hafa hliðsjón af þeirri áhættu sem vinnslan hefur í för með sér, einkum að því er varðar óviljandi eða ólögmæta eyðingu persónuupplýsinga, sem eru sendar, geymdar eða unnar á annan hátt, eða að þær glatist, breytist, verði birtar eða veittur aðgangur að þeim í leyfisleysi.Í máli þessu liggja fyrir meðal gagna málsins upplýsingaöryggisstefna nemendaskrár í [grunnskólanum X] frá 23. maí 2018, áhættumat nemendaskrár fyrir [grunnskólann X] frá 14. júní 2018 og reglubók með öryggisreglum fyrir grunnskóla um nemendaskrá. Þá hefur komið fram af hálfu [grunnskólans X] að þær upplýsingar sem kvörtunin varðar séu geymdar á pappír í læstum skjalaskáp á skrifstofu deildarstjóra sérkennslu. Aðeins kennarar nemandans fái aðgang að gögnunum og þá aðeins á þeirri skrifstofu en óheimilt sé að fara með gögnin út af skrifstofunni. Er sú framkvæmd í samræmi við framangreind málsgögn.
Eins og hér háttar til verður, að mati Persónuverndar, talið að varðveisla [grunnskólans X] og verklag við aðgang að umræddum gögnum uppfylli þær öryggiskröfur sem gerðar eru til ábyrgðaraðila til að tryggja fullnægjandi öryggi persónuupplýsinga samkvæmt lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerð (ESB) 2016/679.
Að framangreindu virtu er niðurstaða Persónuverndar sú að vinnsla [grunnskólans X] á persónuupplýsingum um barn kvartanda hafi samrýmst lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.
Ú r s k u r ð a r o r ð:
Varðveisla gagna [grunnskólans X] á persónuupplýsingum um barn [A] samrýmist kröfum laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, um öryggi persónuupplýsinga.
Persónuvernd, 25. maí 2021
Helga Þórisdóttir Vigdís Eva Líndal