Datatilsynet udtaler alvorlig kritik af et gymnasiums behandling af personoplysninger

Anvendte program for at forebygge og undgå snyd under eksamen

Fredericia Gymnasium brugte Examcookie i forbindelse med afholdelse af skriftlige eksaminer, da programmet i sin enkelthed går ud på at monitorere eksaminandernes computeraktiviteter under eksaminerne for derved nemmere at kunne forebygge og/eller undgå snyd.

Fredericia Gymnasium har over for Datatilsynet oplyst, at de oplysninger, som blev behandlet i Examcookie, var stamdata på eleverne (navn, klasse, skole, personnummer mv.) og ellers de oplysninger, som blev registreret som led i brugen af programmet (aktive URL-adresser, clipboard, skærmprint mv.). Fredericia Gymnasium forklarede endvidere, at behandlingen af de oplysninger, der blev indsamlet med Examcookie, skete med hjemmel i databeskyttelsesforordningens § 6, stk. 1, litra e, samt sektorspecificeret regler om forebyggelse og opdagelse af snyd ved eksaminer.

Ikke tilstrækkelig iagttagelse af dataminimeringsprincippet

Selvom Fredericia Gymnasium begrundede deres behandling i databeskyttelseslovens regler, vurderede Datatilsynet, at gymnasiets forklaring ikke var tilstrækkelig.

Datatilsynet lagde blandt andet vægt på, at Fredericia Gymnasium alene havde redegjort for, at der var et behov for at kunne hindre eksamenssnyd, men ikke redegjort nærmere for, at der var et behov for monitorering af eksaminandernes private computere i det omfang, som det skete ved brugen af Examcookie. Med dette mente Datatilsynet, at Fredericia Gymnasium ikke tilstrækkeligt havde redegjort for, at den behandling, som skete, var tilstrækkelig, relevant og begrænset til, hvad der var nødvendigt for at opnå formålet, dvs. for at hindre eksamenssnyd.

Mangelfulde oplysninger

De mangelfulde og modstridende oplysninger efterlod Datatilsynet med et indtryk af, at Fredericia Gymnasium ikke havde været bevidst om omfanget af den behandling og måde, hvorpå elevernes personoplysninger blev behandlet ved brugen af Examcookie.

Datatilsynet var ligeledes i tvivl om, hvorvidt Fredericia Gymnasium rent faktisk havde overvejet, om brugen af Examcookie kunne ske inden for databeskyttelseslovens regler. Datatilsynet udtalte i den forbindelse, at dette alene var nok til at give anledning til kritik af Fredericia Gymnasium.

Fredericia Gymnasium havde endvidere ikke iagttaget deres oplysningspligt efter databeskyttelseslovens § 13 ved at have afholdt fællesmøde for eleverne vedrørende brugen af Examcookie samt henvist dem til Examcookies hjemmeside.

Det skal du være opmærksom på som dataansvarlig

Afgørelsen viser blandt andet, at man som dataansvarlig skal have styr på de retlige grundlag for at behandle personoplysninger (altså efter hvilken bestemmelse i lovgivningen) og herunder også sine begrundelser for brugen heraf.

Det er ikke nok, at man som dataansvarlig redegør for, at der er et behov. Man skal også kunne gå dybere ind i en begrundelse for, hvorfor netop den påtænkte handling er et tilstrækkeligt, relevant og nødvendigt middel for at nå/løse formålet eller problemet, ligesom man altid skal gøre sig nogle overvejelser om (og dokumentere disse), hvorvidt man ville kunne opnå det samme ved at indhente færre oplysninger, end det man rent faktisk gør.

Har du spørgsmål eller brug for rådgivning i forbindelse med databeskyttelsesreglerne, er du altid velkommen til at kontakte vores persondatateam.