Datatilsynet kritiserar Roskilde Katedralskole för att inte ha genomfört en adekvat riskbedömning och därmed inte ha säkerställt inbyggt dataskydd enligt dataskyddsförordningen (GDPR).
Av beslutet framgår att Datatilsynet den 27 februari 2023 inlett ett ärende på eget initiativ mot Roskilde Domkyrkoskola, eftersom myndigheten genom mediebevakning fått kännedom om att ett antal gymnasieskolor haft för avsikt att använda programvara för att övervaka elevernas tentamen i syfte att förhindra och kontrollera fusk.
Mot denna bakgrund har Datatilsynet beslutat att övervaka ett antal högskolors behandling av personuppgifter i samband med deras användning av programvara för provövervakning. Fokus för målet var gymnasieskolornas efterlevnad av reglerna om behandlingsgrunder, proportionalitetsprincipen, lagringsminimering, informationsskyldighet och inbyggt dataskydd och dataskydd som standard.
Baserat på de inkomna svaren valde Datatilsynet ut enskilda gymnasieskolor för vidare utredning, inklusive Roskilde Domkyrkoskola.
Sammantaget konstaterar Datatilsynet att Roskilde Katedralskole följt reglerna om grunden för behandling, proportionalitetsprincipen, lagringsbegränsning och uppgiftsskyldighet, och att Roskilde Katedralskoles behandling av personuppgifter därmed har följt artiklarna 6.1, 5.1 (c) och (e), 12, 13 och 14 GDPR.
Datatilsynet uppmanar dock Roskilde Katedralskole att överväga om, och i så fall i vilken utsträckning, det är möjligt att göra det informationsmeddelande som ges till eleverna ännu lättare att förstå och använda ett tydligare och enklare språk. Samtidigt uppmanar Datatilsynet skolan att se till att hänvisningarna är korrekta och att endast relevant information tas med.
Datatilsynet har även funnit grund för kritik mot att Roskilde Katedralskole inte har genomfört en adekvat riskbedömning och som en följd av detta inte har vidtagit lämpliga tekniska eller organisatoriska åtgärder för att säkerställa att inte mer information än avsett samlas in. Roskilde Katedralskoles behandling av personuppgifter har därmed inte skett i enlighet med reglerna om inbyggt dataskydd i artikel 25.1 GDPR.
Mot denna bakgrund rekommenderar Datatilsynet att Roskilde Katedralskole, som ett led i sin eventuella framtida användning av tentamensbevakning, genomför en förnyad riskbedömning enligt artikel 25 GDPR som bland annat behandlar de risker som nämns i beslutet och som även i betydligt större utsträckning tar hänsyn till att tentamen, och bevakning, sker med hjälp av elevens egen dator. Gymnasieskolan måste också göra eleverna mer medvetna om de identifierade riskerna, uppmuntra eleverna till och ge konkreta exempel på vilka åtgärder eleverna kan vidta för att undvika att oavsiktligt exponera (privat) information i provsituationen. Det kan till exempel handla om vägledande information om att eleverna kan använda en annan webbläsare under provet som inte innehåller deras privata information.