Universitetet i Oslo har finkjemmet jussen og funnet flere hull i Kunnskapsdepartementets vurderinger av klasselistesaken. Ledelsen nekter å godta at hensynet til en kommersiell aktør skal veie tyngre enn studenters personvern.
Storforlangende. Det var før jul at enmannsfirmaet Rekruttering as krevde en sammenstilling fra uiO som omfatter i alt 57 000 studenter med adresser, emner og eksamensdato tilbake fra midt på 90-tallet.Ola Sæther, Uniforum
Holder på sitt. UiO holder fast ved at kandidatopplysninger er interne dokumenter, og nekter å gi seg i klasselistesaken.
UiO opprettholder sitt avslag på Drøbak-firmaet Rekruttering as´ krav om innsyn i UiOs datalister. I et brev til Kunnskapsdepartementet forklarer ledelsen hvorfor. Samtidig sås det tvil om hvorvidt firmaet har lov til å behandle personopplysninger.
- Spørsmålet om UiO medvirker til ulovligheter gjennom en eventuell utlevering, har ikke vært problematisert av Kunnskapsdepartementet, skriver universitetsdirektør Gunn-Elin Aa. Bjørneboe og studiedirektør Monica Bakken i sin seks sider lange argumentasjon for hvorfor firmaets klage avvises.
Krav om 57 000 navn
Det var før jul at enmannsfirmaet krevde en sammenstilling fra UiO som omfatter i alt 57 000 personer med adresser, emner og eksamensdato tilbake fra midt på 90-tallet.
“Dette vil være sammenlignbart med telefonkatalogen for Tromsø”, skriver universitetstoppene.
Studentopplysningene er lagret elektronisk i databasen Felles Studentsystem (FS) ved UiO. Offentlighetsloven gir en hver rett til å kreve innsyn i en sammenstilling som er elektronisk lagret, så lenge den er enkel å sette opp.
Ingen blankofullmakt
Trumfkortet til Rekruttering as, som eies og drives av pensjonist Kjell F. Klynderud, er at Kunnskapsdepartementet i fjor ga ham medhold i nøyaktig tilsvarende sak ved NTNU. I sin klage til UiO har han anført at UiOs resonnement for avslaget er for teoretisk til å ta stilling til. Selv om han fikk medhold av KD i saken mot NTNU, kan han ikke hevde at det allerede foreligger en praksis hele sektoren må følge, understreker UiO-ledelsen.
De har finkjemmet jussen som anvendes i saken. I brevet redegjør UiO for flere forhold som KD ikke la vekt på da departementet overprøvde NTNU som nektet å levere ut klasselister sist sommer.
Følsomme opplysninger
For det første anfører UiO at opplysninger som telefonnummer, adresse og epost kan avsløre forhold som må anses personlig og som det kan foreligge taushetsplikt for. Videre slår de fast at sammenstillingen Klynderud ber om, ikke lar seg gjøre med enkle fremgangsmåter. Dette er et vilkår for at opplysningene kan kreves utlevert i medhold av Offentlighetsloven.
Studentbefolkningen er mangfoldig. Adresser kan røpe om personer bor på institusjon eller i fengsel. Noen vil ha behov for beskyttelse mot trakassering. Det kan finnes utenlandske enkeltstudenter som ikke ønsker at representanter fra hjemlandet skal vite hvor de bor eller studerer. UiO mener studentene skal ha tillit til at slike opplysninger ikke utleveres.
Tar måneder å sile
Et tillitsbrudd kan føre til at studenter vegrer seg for å gir fra seg informasjon. Det igjen vil hemme universitetets administrasjon av studiene fremover. Hemmelige adresser, telefonnumre og personsensitive opplysninger må lukes ut av sammenstilte lister.
Å sile lister med 57 000 navn, betyr at vilkåret om at opplysningene skal være enkle å sammenstille, ikke vil være oppfylt, mener UiO.
- Dette vil ta flere måneder, i følge universitetsdirektørene, som holder fast ved at dette er grunnlag nok for å holde samtlige opplysninger tilbake.
Gal bruk av direktiv
Videre hevder UiO at personverndirektivet ikke er korrekt gjennomført i norsk rett. I KDs tolkning av denne saken har Offentlighetsloven overstyrt Personopplysningsloven. UiOs ledelse mener loven må tolkes innskrenkende og i samsvar med EUs personverndirektiv og annen bakgrunnsrett.
I henhold til direktivet er utlevering av personopplysninger fra et register det samme som behandling. Behandling “skal være hjemlet i lov og være nødvendig for å oppfylle et mål av allmenn interesse”.
UiO viser også til to relevante dommer fra EU-domstolen, som slår fast at personvern er en grunnrettighet. Toppene ved UiO skriver at måten Offentlighetsloven og personopplysningsloven så langt er blitt praktisert på, har gått på tvers av rettsoppfatningen til studenter og mange andre.
De gjør det også klart at “Hensynet til at kommersielle aktører skal kunne samle inn informasjon for å utføre tjenester som rekruttering ikke kan veie tyngre enn hensynet til studentenes lovfestede og ulovfestede personvern”.
Påpeker logisk brist
Offentlighetsloven åpner for å unnta dokumenter som er utarbeidet til intern saksbehandling. UiO argumenterer for at kandidatopplysningene i Felles Studentsystem er interne dokumenter, uavhengig av om de finnes kun i elektronisk form eller er skrevet ut på papir.
UiO mener KDs tolkning av lovverket i saken med NTNU betyr at dersom listene hadde vært skrevet ut på papir, ville de kvalifisert som organinterne dokumenter. Dermed kunne de vært unntatt offentlighet.
Forskjellen mellom elektronisk lagrede opplysninger og utskrift der opplysningene er sammenstilt, er altså kun lagringsmåten og selve sammenstillingen.
UiO påpeker at det fremstår som høyst ulogisk at selve sammenstillingen av opplysningene skal medføre at de tidligere elektronisk lagrede dokumentene “mister sin interne karakteristikk”.
Tvil om lovlighet
UiOs ledelse slår fast at det er meget stor tvil knyttet til om Rekruttering as har et behandlingsgrunnlag etter personopplysningsloven, slik firmaet påberoper seg. Også for å lagre opplysninger må det foreligge et behandlingsgrunnlag.
- For aktuelle sensitive personopplysninger foreligger det overhode ikke et slikt grunnlag, skriver UiO.
Universitetet har ikke funnet at Rekruttering as har sendt melding eller konsesjonssøknad til Datatilsynet. UiO slutter dermed at firmaet, etter hva som er kjent, ikke har lovlig behandlingsgrunnlag for å bruke opplysningene om studentene slik de gjør.
UA skrev torsdag at Datatilsynet gjennomførte et tilsyn hos firmaet i Drøbak samme dag. Firmaets rettslige grunnlag for å behandle personopplysninger er ett av flere forhold som undersøkes.
