Vinnsla persónuupplýsinga af hálfu skóla- og frístundasviðs Reykjavíkurborgar og grunnskóla

Mál nr. 2020010730

6.4.2021

Úrskurður

Hinn 10. mars 2021 kvað stjórn Persónuverndar upp svohljóðandi úrskurð í máli nr. 2020010730 (áður 2018081354):

I.

Málsmeðferð

1.

Tildrög máls og málsmeðferð

Hinn 28. ágúst 2018 barst Persónuvernd kvörtun frá [A] (hér eftir kvartandi) yfir skráningu netfangs hans og annarra persónuupplýsinga um hann í upplýsingakerfið Námfúsan, í tengslum við skráningu barns hans í [grunnskólann B hjá Reykjavíkurborg]. Tekur kvörtunin til þess að kvartandi hafi ekki samþykkt umrædda skráningu né hafi honum verið tilkynnt um hana, auk þess sem netfang hans hafi verið aðgengilegt öðrum foreldrum í tölvupósti sem sendur var í gegnum kerfið.

Með bréfum, dags. 15. febrúar 2019, var [grunnskólanum B] og Námfúsum ehf. tilkynnt um kvörtunina og boðið að tjá sig um hana. Svarað var af hálfu [skólans] með bréfi, dags. 15. mars s.á., ásamt fylgigögnum, m.a. afriti af vinnslusamningum skólans við Námfúsan ehf. Svarað var af hálfu Námfúss ehf. með tölvupósti þann 18. s.m. Með bréfi, dags. 19. s.m., var kvartanda boðið að tjá sig um framkomin svör. Svarað var 28. maí s.á. með tölvupósti. Með bréfi, dags. 16. apríl 2020, var Reykjavíkurborg tilkynnt um kvörtunina og boðið að tjá sig um hana. Svarað var með bréfi, dags. 14. maí s.á. Með bréfi, dags. 16. júlí s.á., var kvartanda boðið að tjá sig um framkomin svör Reykjavíkurborgar. Svarað var 28. s.m. með tölvupósti. Með tölvupósti, dags. 6. ágúst s.á., óskaði Persónuvernd eftir frekari upplýsingum frá kvartanda sem svaraði samdægurs.

Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna þótt ekki sé sérstaklega gerð grein fyrir þeim öllum í eftirfarandi úrskurði.

Meðferð málsins hefur dregist vegna verulegra anna hjá Persónuvernd.

2.

Sjónarmið kvartanda

Af hálfu kvartanda er á því byggt að persónuupplýsingar hans hafi verið skráðar í Námfúsan án hans samþykkis, í tengslum við skráningu barns hans í [grunnskólann B], auk þess sem honum hafi ekki verið tilkynnt um skráningu þeirra. Hann hafi ekki skráð barnið til skólavistar þar sem hann sé ekki lögheimilisforeldri þess. Þá hafi netfang hans verið sýnilegt öðrum foreldrum sem eiga börn í sama bekk þegar tölvupóstur var sendur öllum foreldrum úr kerfinu.
Krefst kvartandi þess að öllum persónuupplýsingum hans og barnsins verði eytt úr umræddu kerfi.

3.

Sjónarmið [grunnskólans B]

Í svarbréfi [grunnskólans B], dags. 15. mars 2019, segir meðal annars að kvartandi sé foreldri barns sem skráð hafi verið til náms við skólann í gegnum Rafræna Reykjavík. Við skráningu sé foreldrum veittur kostur á að skrá netföng sem flytjist sjálfkrafa í upplýsingakerfi hvers skóla, sem sé Námfús í þessu tilviki, en vinnslusamningur hafi verið gerður við Námfúsan ehf. Í tilviki kvartanda hafi forsjáraðili barnsins skráð netfang kvartanda við innritun.

Foreldrar með börn í sama bekk hafi haft aðgang að nöfnum, heimilisföngum, símanúmerum og netföngum hver annars. Hins vegar hafi skólinn farið þess á leit við Námfúsan ehf. að aðgengi foreldra að persónuupplýsingum um aðra yrði takmarkað við nöfn bekkjarfélaga barna þeirra. Foreldrum yrði gert kleift að senda tölvupóst sín á milli en aðeins netfang sendanda yrði þá sýnilegt.

Tilgangur þess að hafa bekkjarlista aðgengilega sé einkum sá að stuðla að og efla tengsl og samstarf foreldra, gera þeim kleift að aðstoða börn sín við félagslega tengslamyndun við skólafélaga og tryggja öryggi þeirra. Ekki hafi verið afhentar upplýsingar umfram nauðsyn í þágu þess tilgangs.

Í bréfinu segir enn fremur að söfnun upplýsinga um foreldra og forsjáraðila byggi á ákvæði 2. mgr. 18. gr. laga nr. 91/2008, um grunnskóla, sem kveði á um að foreldrar skuli veita grunnskóla upplýsingar um barn sitt sem nauðsynlegar séu fyrir skólastarfið og velferð barnsins. Á grundvelli ákvæðisins og 4. mgr. 27. gr. sömu laga hafi verið sett reglugerð nr. 897/2009, um miðlun og meðferð upplýsinga um nemendur í grunnskólum og rétt foreldra til aðgangs að upplýsingum um börn sín. Í 8. gr. reglugerðarinnar komi fram að grunnskólum sé heimilt að nota rafrænt upplýsingakerfi til skráningar og miðlunar upplýsinga um nemendur samkvæmt reglugerðinni. Enn fremur geti skóli notað slíkt kerfi til að veita foreldrum aðgang að upplýsingum og til samskipta við þá. Með vísan til þessa sé það mat [grunnskólans B] að vinnsla persónuupplýsinga í Námfúsum byggi á 3. tölul. 9. gr. laga nr. 90/2018, sem heimilar vinnslu persónuupplýsinga sé hún nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila.

Þá segir í bréfinu að samkvæmt 1. mgr. 2. gr. laga nr. 91/2008 sé það hlutverk grunnskóla í samvinnu við heimilin að stuðla að alhliða þroska allra nemenda og þátttöku þeirra í lýðræðisþjóðfélagi sem sé í sífelldri þróun. Auk þess komi fram í 3. mgr. 2. gr. laganna að grunnskóli skuli stuðla að góðu samstarfi heimilis og skóla með það að markmiði að tryggja farsælt skólastarf, almenna velferð og öryggi nemenda. Þessu til stuðnings er á það bent að í 1. og 3. málsl. 1. mgr. 18. gr. laganna sé kveðið á um að foreldrar skuli gæta hagsmuna barna sinna á skólaskyldualdri og að þeir eigi rétt á upplýsingum um skólastarfið og skólagöngu barna sinna. Það sé jafnframt mat [grunnskólans B] að til þess að unnt sé að ná markmiði grunnskólalaga um að tryggja farsælt skólastarf, almenna velferð og öryggi nemenda sé það órjúfanlegur hluti af skólastarfinu að foreldrar geti átt samskipti sín á milli án aðkomu grunnskólans og hafi því aðgang að grunnupplýsingum um börn í sama bekk og foreldra þeirra.

Í bréfinu segir enn fremur að öllum foreldrum sé kynnt notkun Námfúss á skólakynningu að hausti. Þar komi jafnframt fram að foreldrar geti haft samband við aðra foreldra í gegnum kerfið. Á vefsíðu [grunnskólans B] komi fram að skólinn noti Námfúsan auk þess sem þar sé að finna starfsáætlun hans. Í henni komi fram að í Námfúsum hafi foreldrar aðgang að upplýsingum um foreldra bekkjarfélaga barns síns, s.s. símanúmer, heimilisföng og netföng. Við lok umsóknarferlis í Rafrænni Reykjavík segi jafnframt: „Umsóknin er móttekin og vistuð hjá Reykjavíkurborg. Allar upplýsingar þessarar umsóknar eru aðgengilegar grunnskólanum sem sótt er um í. Við samþykkt umsóknar færist hún inn í rafrænt skráningarkerfi grunnskólans Námfús/Mentor. Grunnskólinn prentar umsóknina út og er hún varðveitt hjá Reykjavíkurborg, að síðustu hjá Borgarskjalasafni.“

4.

Sjónarmið Námfúss ehf.

Í tölvupósti Námfúss ehf. frá 18. mars 2019 segir meðal annars að félagið líti svo á að umkvörtunarefnið sé tvíþætt. Annars vegar lúti það að því að netfang kvartanda hafi verið skráð í upplýsingakerfið Námfúsan. Hins vegar sé kvartað yfir því að netföng viðtakenda hafi verið aðgengileg þegar foreldrar áttu í tölvupóstsamskiptum fyrir tilstilli upplýsingakerfisins Námfúss.

Varðandi fyrra atriðið segir í svarinu að þegar barn er skráð í skóla í gegnum Rafræna Reykjavík færist upplýsingar um þann, sem framkvæmir skráninguna, sjálfkrafa inn í það upplýsingakerfi sem skólinn notar.

Um síðara atriðið segir í svarinu að netföng notenda hafi verið höfð sýnileg þegar foreldrar hafi sent tölvupóst sín á milli í því skyni að þeir gætu svarað hver öðrum, t.d. vegna skipulagningar viðburða sem tengist skólanum. Fyrirkomulaginu hafi verið breytt á þann hátt að nú séu aðeins netföng sendenda sýnileg, nema skólastjórnandi óski sérstaklega eftir öðru, og að viðtakendur geti nú aðeins svarað sendanda. Allar upplýsingar um aðstandendur nemenda hafi nú verið faldar öðrum notendum kerfisins samkvæmt beiðni skólastjóra [grunnskólans B] en aðstandendur í öðrum skólum hafi aðgang að upplýsingum um nöfn, netföng og símanúmer annarra aðstandenda sem eiga börn í sama bekk.

5.

Sjónarmið Reykjavíkurborgar

Í svarbréfi Reykjavíkurborgar, dags. 14. maí 2020, segir meðal annars að vinnsla persónuupplýsinga í Rafrænni Reykjavík og miðlun upplýsinganna til skólastjórnunarkerfisins Námfúss byggi á þeim sjónarmiðum sem fram komu í svari [grunnskólans B], sem rakin voru í kafla I.3.

Vinnsla persónuupplýsinga á vettvangi rafrænna skólastjórnunarkerfa byggi á ákvæði 2. mgr. 18. gr. laga nr. 91/2008, sbr. 1. málsl. 7. gr. reglugerðar nr. 897/2009. Því telji borgin vinnsluna lögmæta með vísan til 3. mgr. 9. gr. laga nr. 90/2018. Um skráningu persónuupplýsinga í Rafræna Reykjavík sé vísað til meginreglna IX. kafla stjórnsýslulaga nr. 37/1993 og litið sé svo á að skráning barna í grunnskóla á þeim vettvangi byggi á sömu vinnsluheimild.

Þá er í bréfinu rakið að þegar sótt sé um skólavist af hálfu foreldra eða forsjáraðila í Rafrænni Reykjavík sé veitt fræðsla til umsækjenda á fjórum mismunandi stigum um miðlun grunnupplýsinga í rafrænt upplýsingakerfi. Því sé það afstaða borgarinnar að persónuupplýsingar séu unnar í samræmi við 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018.

II.

Forsendur og niðurstaða

1.

Afmörkun máls

Mál þetta varðar skráningu persónuupplýsinga um kvartanda, þ. á m. netfang hans, í Rafræna Reykjavík og miðlun þeirra í upplýsingakerfið Námfúsan í tengslum við innritun barns hans í [grunnskólann B]. Málið lýtur jafnframt að því að upplýsingarnar hafi verið varðveittar og gerðar aðgengilegar öðrum í upplýsingakerfinu.

Lítur Persónuvernd svo á að kvörtunin lúti að lögmæti umræddrar vinnslu og að í beiðni kvartanda um eyðingu umræddra upplýsinga felist krafa um að ábyrgðaraðilum verði veitt slík fyrirmæli á grundvelli 4. og 6. tölul. 42. gr. laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga. Hins vegar liggur hvorki fyrir að kvartandi hafi beint kröfu að skóla- og frístundasviði Reykjavíkurborgar eða [grunnskólanum B] um eyðingu, sbr. 20. gr. laganna og 17. gr. reglugerðar (ESB) 2016/679, eða komið á framfæri andmælum vegna þeirrar vinnslu sem hér er til umfjöllunar, sbr. 21. gr. laganna og 21. gr. reglugerðarinnar. Er því ekki fært að líta svo á að kvörtunin varði rétt kvartanda samkvæmt tilvitnuðum ákvæðum. Tekur úrskurður þessi því ekki til þess atriðis.

Þegar gögn málsins eru virt í heild þykir ekki fært að líta svo á að kvartað sé yfir vinnslu persónuupplýsinga um barn kvartanda, þrátt fyrir framangreinda kröfu hans um eyðingu þeirra upplýsinga. Samkvæmt því takmarkast úrskurður þessi við lögmæti vinnslu persónuupplýsinga um kvartanda.

2.

Gildissvið – Ábyrgðaraðili

Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.

Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 2. tölul. 3. gr. laganna og 1. tölul. 4. gr. reglugerðarinnar.

Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur sem vinnslan er sjálfvirk eða ekki, sbr. 4. tölul. 3. gr. laganna og 2. tölul. 4. gr. reglugerðarinnar.

Að því virtu sem greinir í kafla II.1. og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar. Eins og hér háttar til telst skóla- og frístundasvið Reykjavíkurborgar vera ábyrgðaraðili að þeirri vinnslu sem fólst í að afla og móttaka persónuupplýsingar um kvartanda, sem færðar voru inn í Rafræna Reykjavík í tengslum við skráningu námsvistar barns hans við [grunnskólann B], og að miðla upplýsingunum til skólans. Á hinn bóginn telst [grunnskólinn B] vera ábyrgðaraðili þeirrar vinnslu persónuupplýsinga sem felst í því að varðveita þær í upplýsingakerfinu Námfúsum og gera þær aðgengilegar öðrum.

Samkvæmt 7. tölul. 3. gr. laga nr. 90/2018 telst sá einstaklingur eða lögaðili, stjórnvald eða annar aðili sem vinnur með persónuupplýsingar á vegum ábyrgðaraðila vera vinnsluaðili, sbr. 8. tölul. 4. gr. reglugerðarinnar. Að virtum gögnum málsins þykir verða að leggja til grundvallar að Námfús ehf. teljist vinna þær persónuupplýsingar kvartanda sem skráðar eru í upplýsingakerfið Námfúsan á vegum [grunnskólans B]. Telst Námfús ehf. því vinnsluaðili í framangreindum skilningi.

3.

Lögmæti vinnslu

3.1.

Lagaumhverfi

Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Má þar nefna að vinna má með persónuupplýsingar sé það nauðsynlegt til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, sbr. 3. tölul. lagaákvæðisins og c-lið reglugerðarákvæðisins, en með því er átt við hvers konar skyldu sem leiðir af lagasetningu. Þá má vinna með persónuupplýsingar sé vinnslan nauðsynleg vegna verks sem unnið er í þágu almannahagsmuna eða við beitingu opinbers valds sem ábyrgðaraðili fer með, sbr. 5. tölul. lagaákvæðisins og e-lið reglugerðarákvæðisins.

Við mat á heimild til vinnslu samkvæmt tilvitnuðum ákvæðum ber að líta til ákvæða í öðrum lögum sem við eiga hverju sinni. Samkvæmt 1. málsl. 1. mgr. 2. gr. laga um grunnskóla, nr. 91/2008, er það hlutverk grunnskóla, í samvinnu við heimilin, að stuðla að alhliða þroska allra nemenda og þátttöku þeirra í lýðræðisþjóðfélagi. Þá ber grunnskóla samkvæmt 3. mgr. sömu greinar að stuðla að góðu samstarfi heimilis og skóla með það að markmiði að tryggja farsælt skólastarf, almenna velferð og öryggi nemenda. Samkvæmt 1. mgr. 5. gr. laganna er rekstur grunnskóla á ábyrgð sveitarfélaga og bera þau meðal annars ábyrgð á öflun og miðlun upplýsinga og framkvæmd grunnskólastarfs í sveitarfélaginu.

Jafnframt er til þess að líta að í 2. mgr. 18. gr. laga nr. 91/2008 segir meðal annars að foreldrum sé skylt að veita grunnskóla upplýsingar um barn sitt sem nauðsynlegar eru fyrir skólastarfið og velferð barnsins. Um persónuupplýsingar sem þannig sé aflað eða fylgt hafi barni úr leikskóla sé krafist fullrar þagnarskyldu og málsmeðferðar í samræmi við gildandi lög um persónuvernd og vinnslu persónuupplýsinga. Foreldrum skuli gerð grein fyrir þessum upplýsingum. Meðferð upplýsinga skuli vera á hendi skólastjóra eða annarra sérfræðinga á vegum sveitarfélagsins samkvæmt nánari ákvörðun þess. Ráðherra setji reglugerð um meðferð, eyðingu og miðlun upplýsinga og um rétt foreldra til aðgangs að upplýsingum um börn sín.

Á grundvelli ákvæðis 2. mgr. 18. gr. laga nr. 91/2008 hefur verið sett reglugerð um miðlun og meðferð upplýsinga um nemendur í grunnskólum og rétt foreldra til aðgangs að upplýsingum um börn sín, nr. 897/2009. Í 1. mgr. 5. gr. reglugerðarinnar er tilgreint hvaða persónuupplýsingar um grunnskólanemendur geti talist til nauðsynlegra upplýsinga en til þeirra teljast meðal annars persónuupplýsingar sem afla þarf við undirbúning ákvarðana um réttindi og skyldur nemenda samkvæmt lögum nr. 91/2008 eða til að stjórnvöld geti sinnt skyldum sínum samkvæmt sömu lögum. Ákvæði 2. mgr. 18. gr. laganna og 1. mgr. 5. gr. reglugerðarinnar taka samkvæmt orðanna hljóðan einvörðungu til upplýsinga um grunnskólanemendur en ekki til upplýsinga um foreldra þeirra. Í athugasemdum við ákvæði 18. gr. í frumvarpi því er varð að lögum nr. 91/2008 segir að til þess að skólaganga barns geti gengið sem eðlilegast fyrir sig verði stjórnendur grunnskóla að hafa réttar og sem bestar upplýsingar um barn og líðan þess. Ljóst sé í því sambandi að upplýsingar sem teljast nauðsynlegar við ákvörðun um rétt eða skyldu nemenda geti fallið hér undir og enn fremur upplýsingar sem teljast nauðsynlegar fyrir skólastjórnendur til þess að rækja skyldur sínar samkvæmt frumvarpinu.

Árið 2011 var ákvæði bætt við reglugerð 897/2009, sbr. 1. gr. reglugerðar nr. 657/2011, um skráningu upplýsinga og samskipti við foreldra. Í ákvæðinu segir að grunnskólum sé heimilt að nota rafræn upplýsingakerfi til skráningar og miðlunar upplýsinga um nemendur samkvæmt fyrrnefndu reglugerðinni. Enn fremur geti skóli notað slíkt kerfi til þess að veita foreldrum aðgang að upplýsingum og til samskipta við þá.

Loks er til þess að líta að samkvæmt 9. gr. laga nr. 91/2008 skal foreldrafélag starfa við grunnskóla. Er skólastjóri ábyrgur fyrir stofnun þess og ber honum að sjá til þess að félagið fái aðstoð eftir þörfum. Hlutverk foreldrafélags er að styðja við skólastarfið, stuðla að velferð nemenda og efla tengsl heimila og skóla.

Persónuvernd telur leiða af tilvitnuðum ákvæðum laga nr. 91/2008 og reglugerðar nr. 897/2009 að sveitarfélögum beri að reka grunnskóla í þágu lögfests tilgangs, sem tekur meðal annars til þess að stuðla að þroska barna og tryggja almenna velferð þeirra og öryggi. Ber foreldrum að láta grunnskóla í té upplýsingar um börn sín sem nauðsynlegar eru fyrir skólastarfið og velferð barnsins, sbr. 2. mgr. 18. gr. laganna, og er öflun umræddra upplýsinga á ábyrgð sveitarfélags, sbr. 1. mgr. 5. gr. þeirra. Er grunnskólum heimilt að notast við rafræn upplýsingakerfi í þessu skyni. Þá ber grunnskóla að koma á fót foreldrafélagi og veita því aðstoð eftir þörfum en hlutverk slíkra félaga er meðal annars að efla tengsl heimila og skóla.

Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að fullnægja öllum grunnkröfum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða, sbr. 1. tölul. ákvæðisins, og að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar, sbr. 3. tölul. þess. Ábyrgðaraðili ber ábyrgð á að vinnsla persónuupplýsinga uppfylli ávallt framangreind ákvæði og skal geta sýnt fram á það, sbr. 2. mgr. sömu lagagreinar.

Við túlkun meginreglu 1. tölul. ákvæðisins, sem lýtur að sanngjarnri og gagnsærri vinnslu persónuupplýsinga, er nauðsynlegt að líta til ákvæða laganna og reglugerðarinnar um fræðsluskyldu ábyrgðaraðila gagnvart hinum skráðu. Samkvæmt 2. mgr. 17. gr. laga nr. 90/2018 á hinn skráði rétt til upplýsinga um vinnslu persónuupplýsinga sem aflað er hjá öðrum en honum sjálfum samkvæmt nánari fyrirmælum 14. gr. reglugerðar (ESB) 2016/679. Af c-lið 5. mgr. reglugerðarákvæðisins leiðir þó að upplýsingarétturinn á ekki við þegar skýrt er mælt fyrir um öflun eða miðlun upplýsinganna í lögum sem kveða á um viðeigandi ráðstafanir til að vernda lögmæta hagsmuni hins skráða.

3.2.

Niðurstaða

Að mati Persónuverndar má leggja til grundvallar að grunnskóla geti verið nauðsynlegt að vinna með samskiptaupplýsingar foreldra grunnskólabarna í þágu framkvæmdar lögbundins hlutverks og verkefna skólanna samkvæmt þeim ákvæðum sem rakin voru í kafla II.3.1. Ekki verður hins vegar ráðið af lögum að skylt sé að notast við upplýsingar um netföng í þessu skyni. Verður þó að líta svo á að ábyrgðaraðilar hafi nokkuð svigrúm til að ákvarða hverju sinni hvers konar upplýsingar er þörf á að vinna með í þágu þeirrar lögbundnu þjónustu sem þeim er skylt að veita.

Með vísan til framangreinds, og að virtum athugasemdum Reykjavíkurborgar og [grunnskólans B], er það niðurstaða Persónuverndar að sú vinnsla skóla- og frístundasviðs Reykjavíkurborgar sem fólst í að afla og miðla áfram til [grunnskólans] þeim persónuupplýsingum um kvartanda sem eru hér til umfjöllunar, sem og varðveisla [grunnskólans] á umræddum upplýsingum í rafræna upplýsingakerfinu Námfúsum, hafi getað stuðst við 5. tölul. 9. gr. laga nr. 90/2018 og e-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, sem heimilar vinnslu persónuupplýsinga sé hún nauðsynleg vegna verks sem unnið er í þágu almannahagsmuna eða við beitingu opinbers valds.

Hvað varðar þá vinnslu [grunnskólans B], sem fólst í að gera persónuupplýsingar kvartanda aðgengilegar öðrum foreldrum í upplýsingakerfinu Námfúsum, telur Persónuvernd umrædd lagaákvæði, sbr. meðal annars 9. gr. 91/2008, þó ekki taka jafn skýrlega til þess að grunnskóla beri að hafa milligöngu um samskipti foreldra á þann hátt sem hér er lýst.

Þegar metið er hvort vinnsla skóla- og frístundasviðs Reykjavíkurborgar og [grunnskólans B] samrýmdist meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679, ber sem áður segir að líta til ákvæða löggjafarinnar um fræðsluskyldu gagnvart hinum skráða. Eins og hér háttar til telur Persónuvernd ekki fært að líta svo á að þau lagaákvæði sem vinnslan grundvallast á, sbr. umfjöllun í kafla II.3.1., mæli með skýrum hætti fyrir um öflun og miðlun umræddra persónuupplýsinga kvartanda. Ber þegar af þeirri ástæðu að leggja til grundvallar að undanþága c-liðar 5. mgr. 14. gr. reglugerðar (ESB) 2016/679 hafi ekki átt við vegna þeirrar vinnslu sem hér er til umfjöllunar. Þá verður ekki talið að aðrar undanþágur, sem tilgreindar eru í 5. mgr. 14. gr., geti átt hér við. Af því leiðir að ábyrgðaraðilum bar að veita kvartanda fræðslu til samræmis við 1.-4. mgr. ákvæðisins, að því marki sem hann hafði ekki þegar fengið upplýsingarnar, sbr. a-lið 5. mgr. 14. gr. reglugerðarinnar.

Í svari Reykjavíkurborgar kemur fram að þeim sem sækja um grunnskólavist barna í gegnum Rafræna Reykjavík sé veitt fræðsla um vinnslu persónuupplýsinga þeirra á nokkrum stigum í umsóknarferlinu. Hins vegar verður ekki séð að þeim foreldrum sem ekki sækja um skólavist fyrir börn sín sé veitt fræðsla um vinnslu persónuupplýsinga þeirra í tengslum við slíkar umsóknir. Þegar litið er til þess telur Persónuvernd verða að leggja til grundvallar að skóla- og frístundasvið Reykjavíkurborgar hafi ekki veitt kvartanda fræðslu um þá vinnslu persónuupplýsinga sem hér er til umfjöllunar og borgin bar ábyrgð á, sbr. umfjöllun í kafla II.2., í samræmi við 2. mgr. 17. gr. laga nr. 90/2018 og 14. gr. reglugerðar (ESB) 2016/679. Af því leiðir jafnframt að skóla- og frístundasvið Reykjavíkurborgar hefur ekki sýnt fram á að hún hafi gætt að gagnsæiskröfu 1. tölul. 1. mgr. 8. gr. laganna gagnvart kvartanda við vinnsluna, sbr. 2. mgr. sömu greinar.

Í svari [grunnskólans B] segir meðal annars að öllum foreldrum sé kynnt notkun Námfúss á skólakynningu að hausti, auk þess sem kennurum beri samkvæmt starfsmannahandbók skólans að upplýsa foreldra um notkun upplýsingakerfisins. Þá kemur fram í starfsáætlun skólans, sem er aðgengileg á vefsíðu hans, að í kerfinu geti foreldrar nálgast upplýsingar um símanúmer, heimilisföng og netföng foreldra bekkjarfélaga þeirra og að foreldrar geti notað kerfið til að eiga samskipti sín í milli.

Í gögnum málsins liggur ekkert fyrir um hvaða upplýsingar um vinnslu persónuupplýsinga foreldrar fá á skólakynningum, að því frátöldu að þar er tekið fram að foreldrar geti haft samskipti sín í milli í gegnum Námfúsan. Þá er til þess að líta að í starfsmannahandbók skólans er aðeins vikið að því með almennum hætti að kennurum beri við móttöku nýrra nemenda að „segja frá Námfús[um]“ . Þar er hins vegar ekki getið um skyldu kennara til að upplýsa foreldra um þá vinnslu persónuupplýsinga sem fram fer í upplýsingakerfinu. Loks bendir Persónuvernd á að þær upplýsingar um vinnsluna sem fram komu í starfsáætlun skólans voru takmarkaðar og fullnægðu ekki nema að litlu leyti kröfum 1. og 2. mgr. 14. gr. laganna, nánar tiltekið einvörðungu d- og e-lið 1. mgr. þeirrar greinar. Þegar litið er til þessara atriða telur Persónuvernd verða að leggja til grundvallar að [grunnskólinn B] hafi ekki veitt kvartanda fræðslu um þá vinnslu persónuupplýsinga sem hér er til umfjöllunar og skólinn bar ábyrgð á, sbr. umfjöllun í kafla II.2., í samræmi við 2. mgr. 17. gr. laga nr. 90/2018 og 14. gr. reglugerðar (ESB) 2016/679. Af því leiðir jafnframt að [grunnskólinn B] hefur ekki sýnt fram á að hann hafi gætt að gagnsæiskröfu 1. tölul. 1. mgr. 8. gr. laganna gagnvart kvartanda við vinnsluna, sbr. 2. mgr. sömu greinar.

Með vísan til alls framangreinds er það niðurstaða Persónuverndar að vinnsla skóla- og frístundasviðs Reykjavíkurborgar og [grunnskólans B] á persónuupplýsingum kvartanda hafi ekki samrýmst 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og a-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, sbr. einnig 2. mgr. 17. gr. laganna og 14. gr. reglugerðarinnar.

Samkvæmt 1. mgr. 21. gr. reglugerðar (ESB) 2016/679, sbr. einnig 1. mgr. 21. gr. laga nr. 90/2018, á skráður einstaklingur rétt á að andmæla hvenær sem er, vegna sérstakra aðstæðna sinna, vinnslu persónuupplýsinga er varða hann sjálfan og sem byggist m.a. á e-lið 1. mgr. 6. gr. hennar. Ábyrgðaraðili skal þá ekki vinna persónuupplýsingarnar frekar nema hann geti sýnt fram á mikilvægar lögmætar ástæður fyrir vinnslunni sem ganga framar hagsmunum, réttindum og frelsi hins skráða eða því að stofna, hafa uppi eða verja réttarkröfur. Svo sem vísað var til í kafla II.1 hér að framan verður ekki ráðið af gögnum málsins að kvartandi hafi komið andmælum á framfæri við ábyrgðaraðila vegna umræddrar vinnslu, sbr. framangreind ákvæði, eða að ábyrgðaraðilar hafi tekið afstöðu til slíkra andmæla. Ekki er því unnt að taka til úrlausnar í máli þessu hver réttindi kvartanda samkvæmt ákvæðunum eru.

Þá skal tekið fram að [grunnskólinn B] hefur nú að nokkru leyti mætt afstöðu kvartanda hvað varðar birtingu persónuupplýsinga hans gagnvart öðrum foreldrum, enda eru netföng foreldra ekki lengur sýnileg öðrum foreldrum í Námfúsum nema þegar foreldrar kjósa sjálfir að svara tölvupósti sem sendur er úr kerfinu.

3.3.

Fyrirmæli

Í samræmi við framangreinda niðurstöðu, og með vísan til 4. tölul. 42. gr. laga nr. 90/2018, er lagt fyrir skóla- og frístundasvið Reykjavíkurborgar að veita skráðum einstaklingum, sem borgin aflar upplýsinga um frá öðrum í tengslum við skráningu barna þeirra í grunnskóla, eftirleiðis fræðslu um vinnslu þeirra upplýsinga til samræmis við tilvitnuð ákvæði laganna og reglugerðarinnar. Með vísan til sama ákvæðis er lagt fyrir [grunnskólann B] að veita skráðum einstaklingum, sem hafa ekki skráð börn sín í skólann, eftirleiðis fræðslu um vinnslu persónuupplýsinga þeirra í rafrænum upplýsingakerfum sem skólinn notar til samræmis við tilvitnuð ákvæði laganna og reglugerðarinnar. Skulu skóla- og frístundasvið Reykjavíkurborgar og [grunnskólinn B] senda Persónuvernd staðfestingu á að farið hafi verið að þessum fyrirmælum, ásamt lýsingu á framkvæmd fræðslunnar og upplýsingum um efni hennar, eigi síðar en 12. apríl 2021.

Eins og hér háttar til, og með hliðsjón af þeim fyrirmælum sem lögð eru fyrir skóla- og frístundasvið Reykjavíkurborgar og [grunnskólann B] hér að framan, telur Persónuvernd hins vegar ekki tilefni til að veita ábyrgðaraðilum fyrirmæli um eyðingu umræddra persónuupplýsinga um kvartanda til samræmis við kröfugerð hans. Þá er að mati Persónuverndar ekki þörf á að veita [grunnskólanum B] sérstök fyrirmæli vegna birtingar persónuupplýsinga kvartanda í upplýsingakerfinu Námfúsum í ljósi þess að þær eru ekki lengur aðgengilegar öðrum foreldrum nema kvartandi sendi sjálfur tölvupóst úr kerfinu.

Ú r s k u r ð a r o r ð:

Vinnsla skóla- og frístundasviðs Reykjavíkurborgar og [grunnskólans B] á persónuupplýsingum um [A] í tengslum við skólavist barns hans samrýmdist ekki lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerð (ESB) 2016/679.

Lagt er fyrir skóla- og frístundasvið Reykjavíkurborgar að veita skráðum einstaklingum, sem borgin aflar upplýsinga um frá öðrum í tengslum við skráningu barna þeirra í grunnskóla, eftirleiðis fræðslu um vinnslu þeirra upplýsinga til samræmis við 2. mgr. 17. gr. laga nr. 90/2018 og 14. gr. reglugerðar (ESB) 2016/679.

Lagt er fyrir [grunnskólann B] að veita skráðum einstaklingum, sem hafa ekki skráð börn sín í skólann, eftirleiðis fræðslu um vinnslu persónuupplýsinga þeirra í rafrænum upplýsingakerfum sem skólinn notar til samræmis við 2. mgr. 17. gr. laga nr. 90/2018 og 14. gr. reglugerðar (ESB) 2016/679.

Eigi síðar en 12. apríl 2021 skulu skóla- og frístundasvið Reykjavíkurborgar og [grunnskólinn B] senda Persónuvernd staðfestingu á að farið hafi verið að þessum fyrirmælum, ásamt lýsingu á framkvæmd fræðslunnar og upplýsingum um efni hennar.

Í Persónuvernd, 10. mars 2021

Ólafur Garðarsson
starfandi formaður

Björn Geirsson                                   Vilhelmína Haraldsdóttir

Þorvarður Kári Ólafsson