Datatilsynet mottok en klage fra foreldre på Arendal kommunes behandling av personopplysninger ved bruk av kartleggingsverktøyet Spekter. Spekter er et spørreskjema som brukes for å avdekke mobbing og kartlegge læringsmiljøet i en skoleklasse. Foreldrene reagerte på at skolen satte i gang en spørreundersøkelse hvor alle elevene ble bedt om å svare på spørsmål om mobbing, samt navngi medelever som mobber og blir mobbet.
Datatilsynet påla i 2019 Arendal kommune å avslutte bruken av Spekter slik det var gjennomført på det tidspunktet, samt slette alle opplysninger som var hentet inn med verktøyet. I vedtaket ble det slått fast at behandlingen var i strid med personvernforordningen ved at den manglet rettslig grunnlag, og at den dessuten brøt med grunnleggende prinsipper for vern av personopplysninger og informasjonssikkerhet.
Medhold hos nemnda i hovedspørsmålet
Arendal kommune klagde på vedtaket og saken ble sendt til Personvernnemnda for endelig avgjørelse. Nemnda konkluderer med følgende:
- Arendal kommune har behandlingsgrunnlag for å benytte kartleggingsverktøyet Spekter i skolene i personvernforordningen artikkel 6 nr. 1 bokstav c, jf. opplæringsloven kapittel 9 A.
- Arendal kommune må, for lovlig å kunne benytte Spekter i framtiden, etablere internkontrolldokumentasjon og rutiner som sikrer etterlevelse av personvernforordningen.
– Personvernnemnda har gjort en grundig vurdering, og de har konkludert annerledes enn oss. Dette har vært en vanskelig sak der også vi i Datatilsynet har vært i tvil, sier direktør Bjørn Erik Thon.
– Vi konstaterer at nemnda pålegger kommunen å etablere internkontrolldokumentasjon og rutiner for bruk av undersøkelsen, noe som også innebærer rutiner som viser hvordan de de registrertes rettigheter blir ivaretatt, noe vi ser på som positivt. Vi merker oss også at nemnda oppfordrer til bruk av teknologier med innebygd personvern ved utformingen av slike datainnsamlingsverktøy.
Rettsgrunnlag i opplæringsloven
Personvernnemnda skriver blant annet følgende i sin vurdering:
«Alle de opplysningene som etterspørres i spørreskjemaet i Spekter (...), er opplysninger som etter nemndas vurdering er relevante og nødvendige for at kommunen skal oppfylle sin plikt etter loven til å arbeide systematisk for å sikre et trygt og godt skolemiljø. Det er derfor ikke noe med karakteren av de opplysningene som samles inn som gjør at rettsgrunnlaget i opplæringsloven ikke er tilstrekkelig hjemmel for å samle inn og behandle opplysningene.»
Oppfyller ikke krav i personvernforordningen
Derimot mener nemnda at kommunens bruk av Spekter ikke oppfyller de øvrige reglene i personvernforordningen slik personvernprinsippene, og da særlig åpenhetsprinsippet. Dette prinsippet er helt grunnleggende for de de registrertes rettigheter som for eksempel retten til retting, sletting og innsyn. For at kommunen lovlig skal kunne benytte kartleggingsverktøyet Spekter i framtiden, må det derfor utarbeides skriftlige rutiner som sikrer etterlevelse av disse reglene.
Fritekstfelt åpner for mulig innsamling av særlige kategorier av personopplysninger
Nemnda legger til grunn at kartleggingen i utgangspunktet ikke spør etter særlige kategorier av personopplysninger: «Mobbing av en elev kan imidlertid få konsekvenser for vedkommendes helseforhold, og opplysninger om dette kan derfor i noen tilfeller utgjøre en helseopplysning. I og med at det i kartleggingen også benyttes muligheter for fritekst, kan ikke skolen være sikker på at man ikke også får inn opplysninger som faller inn under artikkel 9. Dette er imidlertid ikke opplysninger som er etterspurt og skolen må derfor ikke ha behandlingsgrunnlag i artikkel 9 for selve innsamlingen av data i Spekter."
Bør benytte personvernfremmende teknologi
Nemnda bemerker at ved utformingen av datainnsamlingsverktøy som Spekter så kan den behandlingsansvarlige sørge for at det benyttes personvernfremmende teknologier som for eksempel å begrense muligheten for fritekst. Dette vil være særlig viktig når verktøyet er rettet inn mot barn og benyttes til å kartlegge et tema som for mange er nettopp svært sensitivt og vanskelig.
Nemnda understreker at muligheten for at man mottar særlige kategorier av opplysninger skjerper kravene til den behandlingsansvarlige sine vurdering av personvernkonsekvensene, kravene til informasjonssikkerhet og etablering av rettssikkerhetsgarantier for de registrerte.
Les hele vedtaket (personvernnemnda.no)