Fredericia Gymnasiums brug af Examcookie: Alvorlig kritik for manglende overholdelse af databeskyttelsesregler

Datatilsynet indledte en sag mod Fredericia Gymnasium efter medieomtale om deres brug af programmet Examcookie til at overvåge elevers computeraktivitet under eksamen. Formålet med programmet er at forebygge eksamenssnyd. Programmet registrerer al aktivitet på elevens computer, herunder besøgte URL-adresser, netværksadgange, processorer, clipboard og tager skærmdumps ved større skærmændringer.

Fredericia Gymnasium anførte, at de er dataansvarlige, og Examcookie er databehandler. De behandlede oplysninger omfatter elevernes stamdata (navn, klasse, hold, skole, årgang, UNI-login brugerid og personnummer) samt registreringer af al aktivitet på elevens computer under eksamen. Gymnasiet begrundede behandlingen af personoplysninger med Databeskyttelsesforordningen § 6, stk. 1, litra e, og Databeskyttelsesloven § 7, stk. 4, samt sektorspecifikke regler om at forebygge og opdage snyd i forbindelse med eksaminer.

Fredericia Gymnasium oplyste, at eleverne var blevet informeret om brugen af Examcookie på et fællesmøde og via PowerPoint-præsentationer, der henviste til Examcookies hjemmeside for yderligere information. Gymnasiet erkendte dog, at den givne information ikke levede op til kravene i Databeskyttelsesforordningen § 13.

Afgørelse

Datatilsynet udtalte alvorlig kritik af Fredericia Gymnasiums behandling af personoplysninger, da den ikke var i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 5, stk. 1, litra c, og artikel 13.

• Datatilsynet fandt, at Fredericia Gymnasium ikke i tilstrækkelig grad havde redegjort for, at behandlingen af de indsamlede oplysninger om alle eksaminander var tilstrækkelig, relevant og begrænset til, hvad der var nødvendigt for at opdage og forebygge snyd.
• Datatilsynet fandt, at Fredericia Gymnasium alene havde redegjort for behovet for at hindre eksamenssnyd, men ikke havde godtgjort, at der var behov for monitorering af elevernes private computere i det omfang, det skete ved brug af Examcookie.
• Datatilsynet bemærkede, at Databeskyttelsesloven § 7, stk. 4, ikke kunne udgøre et grundlag for behandling af følsomme personoplysninger ved brugen af Examcookie, og at Fredericia Gymnasium ikke havde godtgjort et andet grundlag for at behandle sådanne oplysninger.
• Datatilsynet fandt, at Fredericia Gymnasium ikke havde iagttaget oplysningspligten i henhold til Databeskyttelsesforordningen § 13.
• Datatilsynet bemærkede, at sagen efterlod et indtryk af, at Fredericia Gymnasium ikke var bevidst om omfanget af behandlingen og måden, hvorpå elevernes personoplysninger blev behandlet, og at det ikke stod Datatilsynet klart, om Fredericia Gymnasium havde overvejet, om brugen af Examcookie kunne ske inden for rammerne af de databeskyttelsesretlige regler.