Segir í úttekt sem Persónuvernd gerði að persónuupplýsingar barna njóti sérstakrar verndar. Þegar nota á upplýsingatæknikerfi í grunnskólastarfi sé mikilvægt að hugað sé að þeirri vernd og farið að kröfum persónuverndarlöggjafarinnar til hins ýtrasta.
Hefur Persónuvernd gert Hafnarfjarðarbæ að færa vinnslu persónuupplýsinga grunnskólanemenda í nemendakerfi Google, Google Workspace for Education, til samræmis við persónuverndarlöggjöfina og skal staðfesting á því að farið hafi verið að þessum fyrirmælum berast Persónuvernd eigi síðar en 29. febrúar 2024. Að auki hefur 2.800.000 króna stjórnvaldssekt verið lögð á Hafnarfjarðarbæ. Er Hafnarfjörður eitt fimm sveitarfélaga sem úttekt var gerð hjá og sem hlutu sekt og hlaut Hafnarfjörður næst hæstu sektina.
Úttekt á notkun á Google-nemendakerfinu
Úttektin var þáttur í víðtækara verkefni sem unnið var að frumkvæði Evrópska persónuverndarráðsins. Úttektir Persónuverndar lutu að því hvernig persónuupplýsingar grunnskólanemenda sveitarfélaganna voru unnar í Google-nemendakerfinu. Leiddu úttektirnar í ljós að Google vinnur persónuupplýsingar grunnskólanemenda umfram fyrirmæli sveitarfélaganna og þótti ekki sýnt fram á að sú vinnsla rúmaðist innan þess tilgangs sem sveitarfélögin hafa skilgreint fyrir vinnslu persónuupplýsinga í nemendakerfinu.
Margvísleg brot
Niðurstaða Persónuverndar var að um væri að ræða margvísleg brot Hafnarfjarðarbæjar á persónuverndarlöggjöfinni með notkun nemendakerfisins.
- Þótti Hafnarfjarðarbær ekki hafa uppfyllt ábyrgðarskyldur sínar þegar lagt var mat á og tekin ákvörðun um að nota Google sem vinnsluaðila og vinnslusamningur við Google uppfyllti ekki öll skilyrði persónuverndarlöggjafarinnar.
- Að auki tilgreindi Hafnarfjarðarbær ekki tilgang einstakra vinnsluaðgerða með nægilega skýrum hætti og uppfyllti ekki ábyrgðarskyldur sínar sem lúta að því að persónuupplýsingar grunnskólanemenda skulu ekki unnar í öðrum og ósamrýmanlegum tilgangi en þeim sem sveitarfélagið hefur tilgreint fyrir vinnslunni.
- Enn fremur sinnti Hafnarfjarðarbær ekki skyldum sínum sem lúta að geymslutakmörkun, lágmörkun gagna og innbyggðri og sjálfgefinni persónuvernd.
- Þá gerði Hafnarfjarðarbær ekki tímanlega mat á áhrifum á persónuvernd vegna vinnslunnar auk þess sem mat sveitarfélagsins uppfyllti ekki lágmarkskröfur persónuverndarreglugerðarinnar.
- Hafnarfjarðarbær tryggði jafnframt ekki öruggan flutning persónuupplýsinga til Bandaríkjanna fram til 10. júní sl. þegar jafngildisákvörðun varðandi flutning persónuupplýsinga frá Evrópu til Bandaríkjanna var samþykkt.
Við ákvörðun um sekt var m.a. litið til þess að brot Hafnarfjarðarbæjar vörðuðu persónuupplýsingar barna sem njóta sérstakrar verndar samkvæmt persónuverndarlöggjöfinni, upplýsingar um hrein einkamálefni barna voru skráðar í nemendakerfið og líkur þóttu á að skráðar væru í kerfið viðkvæmar persónuupplýsingar þeirra. Þá var horft til þess að áhætta fylgdi því að persónuupplýsingar væru fluttar til Bandaríkjanna og unnar þar án þess að gripið hefði verið til viðeigandi verndarráðstafana.
Ekkert tjón virtist hafa orðið vegna brotanna
Á hinn bóginn var einnig litið til þess að ekkert tjón virtist hafa orðið vegna brotanna, Hafnarfjarðarbær svaraði erindum Persónuverndar við meðferð málsins með skýrum og greinargóðum hætti og framkvæmdi mat á áhrifum á persónuvernd vegna vinnslunnar eftir að úttektin hófst og endurskoðaði verklag í tengslum við varðveislutíma persónuupplýsinga í kerfinu.
Úttekt boðuð í febrúar 2022
Með bréfi Persónuverndar til Hafnarfjarðarbæjar 25. febrúar 2022 var boðuð úttekt stofnunarinnar á notkun sveitarfélagsins á skýjaþjónustu í grunnskólastarfi. Úttektin var þáttur í víðtækara verkefni sem unnið var að frumkvæði Evrópska persónuverndarráðsins (EDPB) þar sem aðildarríki ráðsins sinna sameiginlegum viðfangsefnum á samræmdan hátt. EDPB setti notkun opinberra aðila á skýjaþjónustu í forgang árið 2022 og af því tilefni ákvað Persónuvernd að beina úttektum að stærri sveitarfélögum landsins og notkun þeirra á skýjaþjónustu í grunnskólastarfi.
Úttektin var framkvæmd með þeim hætti að Persónuvernd sendi Hafnarfjarðarbæ spurningalista, með tölvupósti 25. febrúar 2022, sem laut að persónuverndarsjónarmiðum varðandi val og notkun á skýjaþjónustu í grunnskólastarfi. Svör Hafnarfjarðarbæjar, ásamt fylgigögnum, bárust 29. apríl.
Með bréfi 19. maí 2022 tilkynnti Persónuvernd Hafnarfjarðarbæ að úttektin yrði afmörkuð við notkun sveitarfélagsins á skýjalausn Google, Google Workspace for Education, í grunnskólastarfi (hér eftir Google-nemendakerfið). Af því tilefni óskaði Persónuvernd frekari upplýsinga og gagna. Svör Hafnarfjarðarbæjar, ásamt fylgigögnum, bárust 17. júní. Með hliðsjón af þeim svörum óskaði Persónuvernd jafnframt frekari upplýsinga, með bréfum til sveitarfélagsins 4. ágúst s.á. og 16. janúar 2023. Svör Hafnarfjarðarbæjar bárust 8. september 2022 og 7. febrúar 2023.
Gögn í vinnsluskrá
Með svörum Hafnarfjarðarbæjar fylgdi vinnsluskrá vegna vinnslu persónuupplýsinga í Google-nemendakerfinu. Samkvæmt vinnsluskránni er unnið með eftirfarandi persónuupplýsingar um nemendur í kerfinu:
1. Grunnskráning nemenda í kerfið: Nöfn nemenda og árgangur. Tekið er fram að upplýsingarnar séu skráðar til að stofna aðgang og tölvupóstfang nemenda. Eru þetta grunnupplýsingar til að auðkenna nemendur innan kerfisins.
2. Gerð verkefna í kerfinu: Upplýsingar í tengslum við gerð verkefna, varðveislu þeirra, verkefnaskil nemenda, skipulag og endurgjöf. Fram kemur að form verkefna geti verið skriflegt, myndefni, hljóð eða önnur margmiðlun. Nemendur hafi aðgang að dagatali til að skipuleggja nám sitt og geti deilt verkefnum með öðrum nemendum sé um samvinnu að ræða. Kennari geti gefið almenna endurgjöf og leiðsagnarmat, en einkunnir séu ekki gefnar í kerfinu.
3. Samskiptasvæði nemenda og kennara: Almenn samskipti og leiðbeiningar. Í vinnsluskránni segir að samskipti milli nemenda og kennara séu aðallega í formi leiðbeininga, fyrirmæla og upplýsinga varðandi námið.
4. Samskipti kennara við nemendur í gegnum tölvupóstkerfi: Samskipti og efni sem nemandi skráir í tölvupóst hverju sinni. Fram kemur að öryggi og mögulegar hættur í tengslum við notkun tölvupóstkerfisins séu markvisst kenndar nemendum og frávikagreiningar berist í pósti til umsjónarmanna kerfisins.
Í vinnsluskránni er sami tilgangur tilgreindur fyrir öllum vinnsluaðgerðum, þ.e. kennslufræðilegur tilgangur og þjónusta við nemendur, en síðarnefnda atriðið er ekki nefnt við vinnsluaðgerð skv. 4. lið hér að framan.
Mat Hafnarfjarðarbæjar
Hvað varðar mat á því hvort vinnsluaðgerðir eru nauðsynlegar og hóflegar segir í mati Hafnarfjarðarbæjar að vinnslan lúti að því sem telst nauðsynlegt í kennslufræðilegum tilgangi með hliðsjón af skyldum skóla og aðalnámskrá. Meðferð og vinnsla upplýsinganna takmarkist almennt við tilgang vinnslunnar sem er kennslufræðilegur, en kennslutólin kunni að vinna á ólíkan hátt eftir kennslufræðilegum eiginleikum þeirra. Um varðveislu og eyðingu gagna segir að gögn séu varðveitt meðan nemandi er í grunnskólum Hafnarfjarðar og þeim sé eytt úr kerfinu þremur mánuðum eftir að hann ljúki grunnskólavist. Sú eyðing sé endanleg og engin varðveisla sé á gögnum eftir að aðgangi að kerfi hafi verið eytt, að teknu tilliti til skilaskyldu samkvæmt lögum nr. 77/2014 um opinber skjalasöfn. Þegar nemendur ljúki námi standi þeim til boða að taka til sín gögn á þeim þremur mánuðum sem aðgangur er opinn.
Í matinu er að finna yfirlit yfir áhættu fyrir réttindi og frelsi hinna skráðu og aðgerðir til að bregðast við. Greindir eru 27 áhættuþættir og verður hér aðeins fjallað um þá helstu.
Í fyrsta lagi verður hér nefnd sú áhætta að mögulegt sé að vinnslan sæki upplýsingar umfram heimild. Áhættan er metin há (áhættustig 12 af 16). Til staðar séu almennar reglur um vinnslu persónuupplýsinga sem fjalla m.a. um meðalhóf. Tillaga sveitarfélagsins að frekari aðgerðum snýr að því að uppfæra reglur um notkun skýjalausna, t.d. með því að vekja athygli á aukinni áhættu vegna skráninga á gögnum umfram tilgang/nauðsyn.
Önnur áhætta sem verður hér nefnd er að ábyrgð á vinnsluaðgerðum sé ekki skýr sem geti leitt til þess að ekki sé fylgst nægilega vel með öryggisstillingum og virkni. Í áhættumati sveitarfélagsins segir að sameiginlegir ábyrgðaraðilar, þ.e. sveitarfélagið og grunnskólar þess, hafi ekki gert með sér samkomulag um ábyrgð sem valdi því að skipting ábyrgðar verði óskýr. Áhættan er metin há (áhættustig 8). Miðlægt hlutverk skrifstofu/tölvudeildar sveitarfélagsins sé einnig óskýrt þó verkefnaskipting sé fyrir hendi. Tillaga sveitarfélagsins að aðgerðum er að skilgreina nánar hlutverk og ábyrgð sveitarfélagsins annars vegar og skólanna hins vegar.
Þriðja áhættan sem verður hér nefnd er að gögn séu geymd lengur en þörf er á eða ekki gerð ópersónugreinanleg. Áhættan er metin meðalhá (áhættustig 4). Fram kemur að skilgreina þurfi hversu lengi nauðsynlegt er að varðveita upplýsingar í kerfinu ásamt því að útbúa formlegt vinnulag og bæta við spjaldtölvusamning í samræmi við framkvæmd sveitarfélagsins.
Fjórða áhættan sem verður hér nefnd er ógagnsæ miðlun persónuupplýsinga milli kerfa. Fram kemur að hætta sé á að viðbætur frá Google eða öðrum aðilum, séu þær notaðar, geti lesið og varðveitt gögn og flett upp persónuupplýsingum nemenda. Tekið er fram að App Core, Additional og Market Place viðbætur séu margar en ekki sé ljóst hvort viðbætur eru í raun notaðar af skólunum. Áhættan er metin há (áhættustig 8).
Tillaga sveitarfélagsins að aðgerðum er að útbúa verklag um notkun viðbóta og reglubundna rýni á þeim viðbótum sem eru í notkun hjá skólunum. Einnig segir að nýta skuli áhættugreiningar Sambands íslenskra sveitarfélaga fyrir viðbótarsmáforrit sem gætu tengst Google umhverfinu. Loks verður hér nefnd sú áhætta að erlendar eftirlitsstofnanir fái aðgang að persónuupplýsingum í Google-nemendakerfinu. Google veiti ekki möguleika á að gefa ófrávíkjanleg fyrirmæli um staðsetningu á varðveislu gagna. Því kunni gögn að vera varðveitt utan Evrópska efnahagssvæðisins. Í áhættumati er áhættan metin lág (áhættustig 2). Unnið sé að því að fara yfir í Plus áskriftarleið nemendakerfisins, sem gefi kost á að staðsetja gögn innan Evrópska efnahagssvæðisins. Í niðurstöðu matsins segir að persónuupplýsingar nemenda séu nægilega tryggðar með þeim öryggisráðstöfunum sem skilgreindar hafi verið og gripið verði til.
Hafnarfjarðarbær andmælir öllu því sem fram kemur í úttektarskýrslu Persónuverndar er varðar möguleg brot á persónuverndarlöggjöfinni
Í svörum Hafnarfjarðarbæjar segir að samkvæmt samningi sveitarfélagsins við Google, sem hafi tekið gildi 26. apríl 2017, notist grunnskólar þess við Fundamentals-þjónustuleið Google-nemendakerfisins. Áætlað er að 3.000-3.250 grunnskólanemendur hafi notað nemendakerfið skólaárið 2021-2022.
Hafnarfjarðarbær andmælir öllu því sem fram kemur í úttektarskýrslu Persónuverndar er varðar möguleg brot á persónuverndarlöggjöfinni og heldur því fram að sveitarfélagið hafi gert allt, sem ætlast megi til, til að tryggja að vinnsla persónuupplýsinga grunnskólanemenda í Google-nemendakerfinu, sem sveitarfélagið er ábyrgðaraðili að, uppfylli í hvívetna ákvæði persónuverndarlaga nr. 90/2018 og persónuverndarreglugerðar (ESB) 2016/679. Í þessum kafla verður gerð grein fyrir helstu skýringum og sjónarmiðum Hafnarfjarðarbæjar, sem ákvörðun í málinu byggist á.
Hafnarfjarðarbær andmælir því að úttektin taki til viðbótarþjónustu Google. Grunnskólarnir séu ábyrgðaraðilar þeirrar viðbótarþjónustu sem þeir ákveði að nota og sveitarfélagið hafi enga aðkomu að samningum grunnskólanna um slíka þjónustu. Er í því sambandi vísað til bréfs Persónuverndar til Akureyrarbæjar, dags. 4. ágúst 2022, þar sem stofnunin ákvað að loka úttekt gagnvart Akureyrarbæ enda hefði sveitarfélagið ekki talist ábyrgðaraðili þeirrar vinnslu sem um ræddi.
Í svörum Hafnarfjarðarbæjar er því andmælt að vinnslusamningur sveitarfélagsins við Google standist ekki ákvæði laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerð (ESB) 2016/679.
Hafnarfjarðarbær andmælir því að vinnslusamningurinn útiloki ekki að Google geti unnið persónuupplýsingar umfram fyrirmæli sveitarfélagsins, líkt og vikið var að í úttektarskýrslu Persónuverndar. Samkvæmt grein 5.2 (áður 5.2.1) í vinnslusamningnum gefi Hafnarfjarðarbær Google fyrirmæli um vinnslu upplýsinga viðskiptavinarins, þ. á m. um að vinna einungis með persónuupplýsingar í samræmi við samning aðila og gildandi lög.
Hafnarfjarðarbær heldur því einnig fram að hinir rúmu tímafrestir sem mælt er fyrir um í grein 11.4 í vinnslusamningnum, til að andmæla nýjum undirvinnsluaðila, gefi sveitarfélaginu nægan tíma til að koma á framfæri beint við vinnsluaðila andmælum sínum við fyrirhugaðar breytingar á skipan undirvinnsluaðila, áður en til þess kæmi að segja þyrfti upp vinnslusamningnum í mótmælaskyni.
Þá telur Hafnarfjarðarbær vandséð hvernig sveitarfélaginu eigi að vera kleift að telja upp í vinnslusamningi, með tæmandi hætti, allar hugsanlegar tegundir persónuauðkenna og annarra persónuupplýsinga sem sveitarfélagið og notendur þess kunni að vinna í Google-nemendakerfinu, með hliðsjón af eðli skýjaþjónustunnar. Að mati sveitarfélagsins sé skilvirkara og skýrara að stýra því í verklagsreglum og með eftirliti hvaða persónuupplýsingar sé heimilt að vinna. Allt að einu sé það afstaða sveitarfélagsins að vinnslusamningur aðila tilgreini öll þau atriði sem áskilið er í 3. mgr. 28. gr. reglugerðar (ESB) 2016/679.
Fækka þeirri viðbótarþjónustu sem Google er mögulegt að nýta
Í svörum Hafnarfjarðarbæjar segir að grunnskólar sveitarfélagsins noti viðbótarþjónusturnar Google Earth, Google Maps, Google Photos og Youtube.
Sem fyrr segir telur Hafnarjarðarbær grunnskóla sveitarfélagsins vera ábyrgðaraðila vinnslu persónuupplýsinga í þágu viðbótarþjónustu Google. Ekki sé kveðið á um vinnslu persónuupplýsinga í þágu viðbótarþjónustu í vinnslusamningi Hafnarfjarðarbæjar og Google, sbr. grein 5.3 samningsins. Sveitarfélagið hafi ekki tekið ákvörðun um tilgang og aðferðir við vinnsluna og sé því ekki ábyrgðaraðili hennar. Þá gildi sjálfstæðir skilmálar um viðbótarþjónusturnar (e. Additional Product Terms), en þeir séu ekki hluti af fyrirliggjandi úttekt.
Við meðferð málsins greindi Hafnarfjarðarbær frá því að sveitarfélagið hefði ákveðið að fækka þeirri viðbótarþjónustu Google sem mögulegt er að nýta.
Mótmælir sekt
Með úttektarskýrslu Persónuverndar var Hafnarfjarðarbæ veittur andmælaréttur vegna mögulegra fyrirmæla og beitingar stjórnvaldssektar. Í skýrslunni er það rakið að fyrirliggjandi gögn hafi þótt benda til þess að sveitarfélagið hefði brotið gegn ákvæðum 5., 6., 25., 26., 28., 30., 35., 44. og 46. gr. reglugerðar (ESB) 2016/679 en brot gegn þeim ákvæðum geta varðað sektum samkvæmt 2. og 3. mgr. 46. gr. laga nr. 90/2018, sbr. 4. og 5. mgr. 83. gr. reglugerðarinnar. Í úttektarskýrslunni eru einnig rakin þau atriði sem Persónuvernd taldi geta leitt til þess að sekt yrði lögð á og haft áhrif á fjárhæð sektar, samkvæmt 1. mgr. 47. gr. laga nr. 90/2018, sbr. 2. mgr. 83. gr. reglugerðarinnar.
Hafnarfjarðarbær vísar til þess að sveitarfélagið hafi sýnt mikinn samstarfsvilja gagnvart Persónuvernd og svarað öllum erindum stofnunarinnar við meðferð málsins með skýrum og greinargóðum hætti. Einnig telji sveitarfélagið ekki tilefni til að álykta á þann veg að það hafi brotið gegn ákvæðum persónuverndarlöggjafarinnar. Að auki sé rétt að hafa í huga að Persónuvernd hafi hingað til ekki beitt vægari úrræðum í málinu. Enn fremur beri að hafa hliðsjón af meðferð sambærilegra mála á hinum Norðurlöndunum, t.d. í Danmörku, þar sem samband þarlendra sveitarfélaga hafi haft rúman tíma til að koma á framfæri við persónuverndaryfirvöld tillögum af hálfu sveitarfélaga um endurbætur.
Ákvörðun stjórnvalssektar
Við ákvörðun um hvort beita skal stjórnvaldssekt og hver fjárhæð hennar skal vera, skal tekið tillit til þeirra þátta sem taldir eru upp í 1. mgr. 47. gr. laga nr. 90/2018, sbr. 2. mgr. 83. gr. reglugerðar (ESB) 2016/679. Með hliðsjón af þeim ákvæðum telur Persónuvernd að eftirfarandi atriði verði metin Hafnarfjarðarbæ til málsbóta við ákvörðun um hvort beita skal stjórnvaldssekt og hver fjárhæð hennar skal vera:
- Ekkert liggur fyrir um að tjón hafi orðið vegna vinnslu persónuupplýsinga grunnskólanemenda Hafnarfjarðarbæjar í Google-nemendakerfinu, sbr. 1. tölul. 1. mgr. 47. gr. laganna og a-lið 2. mgr. 83. gr. reglugerðarinnar.
- Hafnarfjarðarbær hefur svarað erindum Persónuverndar við meðferð málsins með skýrum og greinargóðum hætti, sbr. 6. tölul. 1. mgr. 47. gr. laganna og f- og lið 2. mgr. 83. gr. reglugerðarinnar.
- Eftir að úttektin hófst hefur Hafnarfjarðarbær endurskoðað verklag í tengslum við varðveislutíma persónuupplýsinga í Google-nemendakerfinu og framkvæmt mat á áhrifum á persónuvernd vegna vinnslunnar, sbr. 6. tölul. 1. mgr. 47. gr. laganna og f-lið 2. mgr. 83. gr. reglugerðarinnar.
Þá telur Persónuvernd að eftirfarandi atriði leiði frekar til þess að stjórnvaldssekt verði lögð á Hafnarfjarðarbæ og hafi áhrif til hækkunar hennar:
- Brot Hafnarfjarðarbæjar þykja alvarleg með hliðsjón af því að þau varða persónuupplýsingar barna í skólastarfi, sbr. 1. og 7. tölul. 1. mgr. 47. gr. laganna og a- og g-lið 2. mgr. 83. gr. reglugerðarinnar.
Persónuupplýsingar barna njóta sérstakrar verndar samkvæmt persónuverndarlöggjöfinni þar sem þau kunna að vera síður meðvituð um áhættu, afleiðingar og viðkomandi verndarráðstafanir og réttindi sín í tengslum við vinnslu persónuupplýsinga, sbr. 38. lið formála reglugerðarinnar. Einnig er að líta til þess hvaða möguleika grunnskólanemendur hafa í raun til að hafna eða takmarka vinnslu persónuupplýsinga sinna í upplýsingatæknikerfi sem skóli þeirra hefur tekið ákvörðun um að nota. Að þessu virtu er brýnt að sveitarfélagið hafi yfirsýn yfir þá vinnslu persónuupplýsinga sem fer fram í því kerfi sem það kýs að nota og missi ekki stjórn á persónuupplýsingum barnanna. - Brot Hafnarfjarðarbæjar þykja alvarleg með hliðsjón af eðli þeirra persónuupplýsinga grunnskólanemenda sem eru unnar í Google-nemendakerfinu, sbr. 1. og 7. tölul. 1. mgr. 47. gr. laganna og a- og g-lið 2. mgr. 83. gr. reglugerðarinnar.Í fyrsta lagi er heimilt að skrá í kerfið upplýsingar um endurgjöf kennara við verkefni nemenda. Þykir slík vinnsla vera líkleg til að hafa í för með sér mikla áhættu fyrir réttindi og frelsi einstaklinga, samkvæmt ákvæðum 4. og 9. tölul. 3. gr., sbr. 1. og 2. gr. auglýsingar Persónuverndar nr. 828/2019 um skrár yfir vinnsluaðgerðir sem krefjast ávallt mats á áhrifum á persónuvernd.
Í öðru lagi verður einnig að telja að þær persónuupplýsingar, sem felast í verkefnum nemenda, geti falið í sér persónuupplýsingar um hrein einkamálefni nemendanna og eru almennt gerðar ríkari kröfur hvað varðar vinnslu slíkra upplýsinga í samræmi við meginreglur um persónuvernd, skv. 1. mgr. 8. gr. laga nr. 90/2018 og 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Persónuvernd hefur byggt á því að gera skuli ríkari kröfur til vinnslu persónuupplýsinga um hrein einkamálefni eða upplýsinga viðkvæms eðlis í fyrri niðurstöðum sínum, m.a. í úrskurði stofnunarinnar frá 19. maí 2003, í máli nr. 2003/103, sem svo er vísað til í ákvörðun stofnunarinnar frá 3. maí 2022, í máli nr. 2021040879. Af athugasemdum við 9. gr. frumvarps sem varð að lögum nr. 90/2018 má ráða að það hafi ekki verið vilji löggjafans að bregða frá fyrri framkvæmd hvað þetta varðar.
Í þriðja lagi telur Persónuvernd að með hliðsjón af virkni Google-nemendakerfisins og aldri nemenda standi líkur til þess að viðkvæmar persónuupplýsingar, eins og þær eru skilgreindar í 3. tölul. 3. gr. laga nr. 90/2018, séu skráðar í kerfið, þótt ekkert liggi fyrir um að viðkvæmar persónuupplýsingar grunnskólanemenda Hafnarfjarðarbæjar hafi í raun verið skráðar í Google-nemendakerfið. Er sú áhætta ekki síst fyrir hendi þegar litið er til þess að samkvæmt mati sveitarfélagsins á áhrifum á persónuvernd eru engar ráðstafanir tilgreindar til að draga úr líkum á því að það verði gert.
Áhættan sem fylgir skráningu upplýsinga samkvæmt framangreindu er enn meiri þegar horft er til þeirrar vinnslu persónuupplýsinga sem Google viðhefur samkvæmt eigin skilmálum. Að öllu þessu virtu var aðgæsluskylda og ábyrgð Hafnarfjarðarbæjar töluvert meiri en ella. - Mikil áhætta fylgdi því að persónuupplýsingar væru fluttar til Bandaríkjanna og unnar þar án þess að gripið hefði verið til viðeigandi verndarráðstafana, sbr. dóm Evrópudómstólsins frá 16. júlí 2020 í máli nr. C-311/18 (Schrems II), enda höfðu bandarískar eftirlitsstofnanir, á þeim tíma sem um ræðir, víðtækar heimildir að lögum til að nota persónuupplýsingar sem voru fluttar til Bandaríkjanna, án þess að þurfa að gæta að persónuvernd hlutaðeigandi einstaklinga. Brot þar að lútandi telst því alvarlegt, sbr. 1. og 4. tölul. 1. mgr. 47. gr. laga nr. 90/2018 og a- og d-liði 2. mgr. 83. gr. reglugerðar (ESB) 2016/679.
- Brot Hafnarfjarðarbæjar þykja umfangsmikil með hliðsjón af því að 3.000-3.250 grunnskólanemendur sveitarfélagsins notuðu Google-nemendakerfið skólaárið 2021-2022, sbr. 1. tölul. 1. mgr. 47. gr. laganna og a-lið 2. mgr. 83. gr. reglugerðarinnar.
Með hliðsjón af öllu framangreindu og að teknu tilliti til fyrri niðurstaðna Persónuverndar sem lúta að notkun upplýsingatæknikerfa í starfi grunnskóla er það niðurstaða stofnunarinnar að leggja beri stjórnvaldssekt á Hafnarfjarðarbæ. Þykir hún hæfilega ákveðin 2.800.000 krónur.
Úrskurðarorð
Vinnsla persónuupplýsinga grunnskólanemenda í Google-nemendakerfinu á vegum Hafnarfjarðarbæjar samrýmist ekki lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerð (ESB) 2016/679.
Lagt er fyrir Hafnarfjarðarbæ að færa vinnsluna til samræmis við löggjöfina. Staðfesting á því að farið hafi verið að þessum fyrirmælum skal berast Persónuvernd eigi síðar en 29. febrúar 2024.
Lögð er 2.800.000 króna stjórnvaldssekt á Hafnarfjarðarbæ. Sektina skal greiða í ríkissjóð innan mánaðar frá dagsetningu ákvörðunar þessarar, sbr. 6. mgr. 46. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.
Úrskurðinn í heils sinni má finna hér.
