En student vid ett universitet på Island skickade in ett klagomål till den isländska dataskyddsmyndigheten för GDPR överträdelse. Studenten menade att läraren övervakade elevernas användning av studenthanteringssystemet Canvas och använde detta som underlag för betygsättning. Detta utan att informera eleverna om det. Dessutom lade studenten till ett ytterligare klagomål kring att universitetet inte gav tillräcklig information om att utvärdering av eleverna själva skulle användas vid betygssättning.
Universitetet svarar myndigheten och konstaterar att den isländska dataskyddslagen ger universitetet tillstånd att behandla elevers personuppgifter. Att bevaka elevens användning av Canvas anser universitetet vara nödvändigt för att kunna utvärdera elevens prestation. Dock menar universitetet att denna information skulle framgå på Canvas, men att sidan varit inaktiv. Universitetet ger inga bevis gällande klagomålet på elevutvärdering som visar att eleverna informerades korrekt.
Dataskyddsmyndigheten konstaterar att universitetet inte har informerat om att de övervakar elevernas användande av Canvas. Myndigheten menar att det strider mot principen om korrekthet och öppenhet i GDPR. Det strider dessutom mot den registrerades rätt till insyn samt rätt till information och tillgång till personuppgifterna som behandlas enligt GDPR. Den isländska dataskyddsmyndigheten konstaterar därför att universitetet har begått en GDPR överträdelse genom att inte korrekt informera eleverna om vilka personuppgifter som kommer behandlas och ligga till grund för examineringen.
