Datatilsynet har fattat ett beslut i ett fall där tre högskolor anmält ett dataintrång till den danska dataskyddsmyndigheten angående MaCom A/S som, i egenskap av personuppgiftbiträde, vidarebefordratlämnat ut delar av gymnasieelevers provsvar till forskare på Institutionen för datavetenskap vid Köpenhamns universitet för utveckling av ett plagieringsprogram.
I beslutet har Datatilsynet fastställt att MaCom agerat i strid med dataskyddslagstiftningens regler genom att överföra utdrag ur provsvaren till forskarna utan att ha fått detta uppdrag av de personuppgiftsansvariga skolorna.
Datatilsynet ansåg att provsvar kan betraktas som personuppgifter, eftersom de återspeglar elevens tänkesätt, omdöme och kritiska mening. Vidare konstaterade Datatilsynet att utdrag ur provsvaren som lämnats ut för utveckling av plagieringsprogrammet måste betraktas som pseudonymiserade personuppgifter i dataskyddsförordningens (“GDPR”) mening, eftersom utdragen kan identifiera enskilda personer, och då MaCom behållt provsvaren i sin helhet i ett annat slutet system.
Datatilsynet betonade, i förhållande till graden av överträdelsens allvar, att MaCom inte kunnat redogöra för antalet utdrag som lämnats ut eller hur många gånger detta ägt rum. Datatilsynet anser dock att det förelegat förmildrande omständigheter eftersom informationen som lämnats ut använts för vetenskapliga ändamål och för ett samhälleligt syfte, samt att utlämnandet gjorts i pseudonymiserad form.