Danmark: Datatilsynet uttrycker kritik mot MaCom för att ha överlämnat gymnasieelevers provsvar

Datatilsynet har fattat ett beslut i ett fall där tre högskolor anmält ett dataintrång till den danska dataskyddsmyndigheten angående MaCom A/S som, i egenskap av personuppgiftbiträde, vidarebefordratlämnat ut delar av gymnasieelevers provsvar till forskare på Institutionen för datavetenskap vid Köpenhamns universitet för utveckling av ett plagieringsprogram.

I beslutet har Datatilsynet fastställt att MaCom agerat i strid med dataskyddslagstiftningens regler genom att överföra utdrag ur provsvaren till forskarna utan att ha fått detta uppdrag av de personuppgiftsansvariga skolorna.

Datatilsynet ansåg att provsvar kan betraktas som personuppgifter, eftersom de återspeglar elevens tänkesätt, omdöme och kritiska mening. Vidare konstaterade Datatilsynet att utdrag ur provsvaren som lämnats ut för utveckling av plagieringsprogrammet måste betraktas som pseudonymiserade personuppgifter i dataskyddsförordningens (“GDPR”) mening, eftersom utdragen kan identifiera enskilda personer, och då MaCom behållt provsvaren i sin helhet i ett annat slutet system.

Datatilsynet betonade, i förhållande till graden av överträdelsens allvar, att MaCom inte kunnat redogöra för antalet utdrag som lämnats ut eller hur många gånger detta ägt rum. Datatilsynet anser dock att det förelegat förmildrande omständigheter eftersom informationen som lämnats ut använts för vetenskapliga ändamål och för ett samhälleligt syfte, samt att utlämnandet gjorts i pseudonymiserad form.

Mer information

Myndighet: Datatilsynet

Land: Danmark

Lagrum: Art. 6 GDPR

Sanktionsavgift: N/A

Mottagare: MaCom A/S

Beslutsnummer: 2019-431-0045

Beslutsdatum: 2020-06-18

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

03 OKT

Artificiell intelligens & personuppgifter

En genomgång av de viktigaste reglerna för artificiell intelligens ur ett dataskyddsperspektiv.

05 OKT

NIS 2-direktivet – Cybersäkerhet i praktiken

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

07 MAR

Molntjänster & tredjelandsöverföringar

En genomgång av de viktigaste reglerna för tredjelandsöverföringar vid användning av molntjänster enligt GDPR.