Lovguiden Logo

Command Palette

Search for a command to run...

Alvorlig kritik til MaCom A/S for uautoriseret videregivelse af elevers opgavebesvarelser

Dato

18. juni 2020

Eksterne links

Læs hele sagen

Kategorier

AfgørelsePrivate virksomhederAlvorlig kritikAnmeldt brud på persondatasikkerhedenDatabehandler

Lovreferencer

Databeskyttelsesloven § 5, stk. 1Forvaltningsloven § 9a

Sagen omhandler en anmeldelse af et brud på persondatasikkerheden, hvor MaCom A/S, som databehandler for flere gymnasier, har videregivet uddrag af elevers opgavebesvarelser til forskere fra Datalogisk Institut ved Københavns Universitet (DIKU) med henblik på at udvikle plagiatprogrammer.

Parternes synspunkter

  • De dataansvarlige (gymnasierne) anmeldte bruddet, da de ikke var informeret om eller havde givet tilladelse til videregivelsen.
  • MaCom A/S anførte, at de videregivne data ikke indeholdt personoplysninger og ikke kunne henføres til bestemte personer. De fremhævede det videnskabelige formål med at udvikle algoritmer til at afsløre plagiat, hvilket de anså for samfundsrelevant og politisk ønskværdigt.

Datatilsynets undersøgelse

Datatilsynet har undersøgt, om videregivelsen af oplysninger er sket uden en dokumenteret instruks fra de dataansvarlige, jf. Databeskyttelsesforordningen artikel 28, stk. 3, litra a. Tilsynet har ikke taget stilling til, om MaCom A/S kunne have behandlet oplysningerne, hvis de havde været dataansvarlige.

Datatilsynet har truffet afgørelse om, at MaCom A/S har handlet i strid med Databeskyttelsesforordningen artikel 28, stk. 3, ved at videregive personoplysninger uden dokumenteret instruks fra de dataansvarlige. Datatilsynet udtaler alvorlig kritik af MaCom A/S.

Begrundelse for afgørelsen:

  • Datatilsynet anser opgavebesvarelser for at være personoplysninger, da de afspejler den studerendes viden, kompetencer, tankegang og dømmekraft.
  • Uddrag af opgavebesvarelser betragtes som pseudonymiserede personoplysninger, da MaCom A/S fortsat opbevarede de fulde opgavebesvarelser, hvilket gjorde det muligt at identificere de registrerede.
  • Der forelå ingen instruks fra de dataansvarlige til MaCom A/S om at videregive oplysningerne, og databehandleraftalen gav ikke MaCom A/S beføjelse til at behandle oplysninger med henblik på videregivelse.
  • Datatilsynet har lagt vægt på, at MaCom A/S ikke kunne redegøre for omfanget af de videregivne oplysninger.
  • Det er formildende, at videregivelsen skete i videnskabeligt øjemed, ved fremmøde, og i pseudonymiseret form.

Lignende afgørelser