Úttekt á notkun Kópavogsbæjar á skýjalausn Google í grunnskólastarfi

Mál nr. 2022020414

6.12.2023

Ákvörðun

vegna úttektar á notkun Kópavogsbæjar á skýjalausn Google í grunnskólastarfi í máli nr. 2022020414:

I.

Málsmeðferð og afmörkun máls

Með bréfi Persónuverndar til Kópavogsbæjar 25. febrúar 2022 var boðuð úttekt stofnunarinnar á notkun sveitarfélagsins á skýjaþjónustu (e. cloud based services) í grunnskólastarfi. Úttektin var þáttur í víðtækara verkefni sem unnið var að frumkvæði Evrópska persónuverndarráðsins (hér eftir EDPB) þar sem aðildarríki ráðsins sinna sameiginlegum viðfangsefnum á samræmdan hátt. EDPB setti notkun opinberra aðila á skýjaþjónustu í forgang árið 2022 og af því tilefni ákvað Persónuvernd að beina úttektum að stærri sveitarfélögum landsins og notkun þeirra á skýjaþjónustu í grunnskólastarfi.

Framangreind ákvörðun var einnig tekin með hliðsjón af stefnu Persónuverndar í úttektum og frumkvæðisathugunum fyrir árið 2022. Samkvæmt stefnunni var vinnsla persónuupplýsinga barna í hvers kyns snjalllausnum og hugbúnaðarkerfum í forgangi á því ári en auk þess leggur Persónuvernd ávallt áherslu á persónuvernd barna með hliðsjón af því að persónuupplýsingar þeirra njóta sérstakrar verndar samkvæmt persónuverndarlöggjöfinni. Jafnframt var litið til niðurstöðu frumkvæðisathugunar stofnunarinnar í máli nr. 2021040879, þar sem athuguð var innleiðing skýjalausnar Seesaw Learning Inc. (hér eftir Seesaw) í grunnskólum Reykjavíkurborgar og komist að þeirri niðurstöðu að hún hefði ekki verið í samræmi við persónuverndarlöggjöfina.

Úttektin var framkvæmd með þeim hætti að Persónuvernd sendi Kópavogsbæ spurningalista, með tölvupósti 25. febrúar 2022, sem laut að persónuverndarsjónarmiðum varðandi val og notkun á skýjaþjónustu í grunnskólastarfi. Svör Kópavogsbæjar, ásamt fylgigögnum, bárust 29. apríl og 6. maí s.á.

Með bréfi 19. maí 2022 tilkynnti Persónuvernd Kópavogsbæ að úttektin yrði afmörkuð við notkun sveitarfélagsins á skýjalausnum Seesaw og Google, Google Workspace for Education, í grunnskólastarfi (hér eftir Google-nemendakerfið). Af því tilefni óskaði Persónuvernd frekari upplýsinga og gagna. Svör Kópavogsbæjar, ásamt fylgigögnum, bárust 17. júní s.á. Með hliðsjón af þeim svörum óskaði Persónuvernd jafnframt frekari upplýsinga um notkun sveitarfélagsins á Google-nemendakerfinu, með bréfum til sveitarfélagsins 4. ágúst s.á. og 17. janúar 2023. Svör Kópavogsbæjar bárust 1. september 2022 og 22. febrúar 2023. Ákvörðun þessi varðar eingöngu notkun sveitarfélagsins á Google-nemendakerfinu. Hvað skýjalausn Seesaw varðar er vísað til ákvörðunar stofnunarinnar frá 2. maí 2023 í máli nr. 2022020414.

Í framangreindum bréfum hefur Persónuvernd einkum óskað upplýsinga og gagna sem lúta að:

1. Vinnsluskrá.

2. Vinnslusamningi við Google og öðrum samningum um þjónustuna.

3. Fyrirmælum sem Kópavogsbær hefur gefið Google vegna vinnslunnar.

4. Vinnsluheimild.

5. Mati á áhrifum á persónuvernd.

6. Viðbótarverndarráðstöfunum í tengslum við mögulega miðlun persónuupplýsinga til Bandaríkjanna.

Með bréfi 10. júlí 2023 sendi Persónuvernd Kópavogsbæ skýrslu um úttektina þar sem gerð var grein fyrir niðurstöðum yfirferðar stofnunarinnar á gögnum málsins. Kópavogsbæ var veitt færi á að koma á framfæri athugasemdum við efni skýrslunnar. Að auki var Kópavogsbæ veitt færi á að koma á framfæri athugasemdum vegna mögulegra fyrirmæla Persónuverndar og álagningar stjórnvaldssektar. Með bréfi 31. s.m. óskaði Kópavogsbær nánari upplýsinga og skýringa varðandi tiltekin atriði í skýrslu Persónuverndar. Persónuvernd svaraði með bréfi 30. ágúst s.á. Athugasemdir Kópavogsbæjar við úttektarskýrslu Persónuverndar og andmæli vegna mögulegra fyrirmæla og álagningar stjórnvaldssektar, ásamt fylgigögnum, bárust 15. september s.á.

Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi ákvörðun.

II.

Helstu gögn málsins

1.

Vinnsluskrá

Með svörum Kópavogsbæjar fylgdi vinnsluskrá vegna vinnslu persónuupplýsinga í Google-nemendakerfinu. Samkvæmt vinnsluskránni er unnið með eftirfarandi persónuupplýsingar um nemendur í kerfinu:

1. Grunnskráning nemenda í kerfið: Nöfn nemenda og árgangur. Tekið er fram að upplýsingarnar séu skráðar til að stofna aðgang og tölvupóstfang nemenda. Um sé að ræða grunnupplýsingar til að auðkenna nemendur innan kerfisins.

2. Gerð verkefna í kerfinu: Upplýsingar í tengslum við gerð verkefna, varðveislu þeirra, verkefnaskil nemenda, skipulag og endurgjöf. Fram kemur að form verkefna geti verið skriflegt, myndefni, hljóð eða önnur margmiðlun. Nemendur hafi aðgang að dagatali til að skipuleggja nám sitt og geti deilt verkefnum með öðrum nemendum sé um samvinnu að ræða. Kennari geti gefið almenna endurgjöf og leiðsagnarmat, en einkunnir séu ekki gefnar í kerfinu.

3. Samskiptasvæði nemenda og kennara: Almenn samskipti og leiðbeiningar. Í vinnsluskránni segir að samskipti milli nemenda og kennara séu aðallega í formi leiðbeininga, fyrirmæla og upplýsinga varðandi námið.

4. Samskipti kennara við nemendur í gegnum tölvupóstkerfi: Samskipti og efni sem nemandi skráir í tölvupóst hverju sinni. Fram kemur að öryggi og mögulegar hættur í tengslum við notkun tölvupóstkerfisins séu markvisst kenndar nemendum og frávikagreiningar berist í pósti til umsjónarmanna kerfisins.

5. Lokun á aðgangi: Notanda eytt úr kerfinu eftir að hafa fengið tækifæri til að taka út eigin upplýsingar.

Í vinnsluskránni er sami tilgangur tilgreindur fyrir öllum vinnsluaðgerðum, þ.e. kennslufræðilegur tilgangur og þjónusta við nemendur, en síðarnefnda atriðið er ekki nefnt við vinnsluaðgerðir skv. 4. og 5. lið hér að framan.

2.

Vinnslusamningur og aðrir skilmálar Google

2.1 Vinnslusamningur

Með svörum Kópavogsbæjar fylgdi afrit af vinnslusamningi við Google (e. Data Processing Amendment to Google Workspace and/or Complementary Product Agreement) frá 24. september 2021, en hver og einn grunnskóli sveitarfélagsins hefur gert vinnslusamning fyrir sig. Samkvæmt svörum sveitarfélagsins tók vinnslusamningurinn minniháttar breytingum 14. ágúst 2023. Hér verður eingöngu farið yfir þann samning sem var í gildi þegar úttektin hófst og látið nægja að rekja það helsta sem þar kemur fram.

Vinnslusamningurinn kveður á um gagnkvæmar skuldbindingar Google og viðskiptavinarins, þ.e. grunnskóla Kópavogsbæjar. Samkvæmt samningnum er Google vinnsluaðili persónuupplýsinga viðskiptavinarins og grunnskólar Kópavogsbæjar ábyrgðaraðilar viðkomandi vinnslu. Þá getur viðskiptavinurinn einnig verið vinnsluaðili hins eiginlega ábyrgðaraðila, en í því tilviki er Google undirvinnsluaðili eins og nánar er fjallað um í grein 5.1 í samningnum. Persónuupplýsingar viðskiptavinarins eru skilgreindar í grein 2.1, en þar segir á ensku:

Customer Personal Data means the personal data contained within the Customer Data, including any special categories of personal data defined under European Data Protection Law.

Noti viðskiptavinurinn viðbótarþjónustur Google (e. Additional Products) sé hægt að veita þeirri þjónustu aðgang að upplýsingum sem unnið er með í Google-nemendakerfinu í þeim tilgangi að þjónustur geti virkað saman. Í grein 5.3 í vinnslusamningi aðila er tekið fram að vinnslusamningurinn gildi ekki um vinnslu persónuupplýsinga í þágu viðbótarþjónustu Google, þ. á m. hvað varðar miðlun persónuupplýsinga úr Google-nemendakerfinu til slíkrar viðbótarþjónustu.

Í viðauka 1 við samninginn (e. Appendix 1) er að finna tilgreiningu á tegundum persónuupplýsinga og flokkum skráðra einstaklinga, í samræmi við 3. mgr. 28. gr. reglugerðar (ESB) 2016/679. Þar er m.a. tiltekið að um sé að ræða þær persónuupplýsingar sem er miðlað til Google með skýjaþjónustunni, þ.e. Google-nemendakerfinu, af viðskiptavininum eða notendum kerfisins (e. End Users). Í viðaukanum er jafnframt að finna lýsingu á viðfangsefni vinnslunnar, tímalengd hennar, eðli og tilgangi. Fram kemur að viðfangsefni vinnslunnar sé að veita þjónustuna samkvæmt tilvísuðum þjónustusamningi (e. Google Workspace Service Summary) og tæknilega aðstoð í tengslum við hana. Vinnslan sé í gangi á meðan samningurinn er í gildi milli aðila og þar til persónuupplýsingum viðskiptavinarins hefur verið eytt. Google vinni persónuupplýsingar viðskiptavinarins í þeim tilgangi að veita þjónustuna og tæknilega aðstoð í samræmi við þá skilmála sem gilda.

Í grein 5.2.1 í vinnslusamningi aðila er vikið að því að grunnskólar Kópavogsbæjar skuli gefa Google fyrirmæli um vinnslu persónuupplýsinga viðskiptavinarins, en þar segir á ensku:

Customer's Instructions. Customer instructs Google to process Customer Personal Data only in accordance with applicable law: (a) to provide, secure and monitor, the Services and TSS; (b) as further specified via Customer's use of the Services and any applicable technical support; (c) as documented in the form of the Agreement, including these Terms; and (d) as further documented in any other written instructions given by Customer and acknowledged by Google as constituting instructions for purposes of these Terms (collectively, the "Instructions").

Þá hefur vinnslusamningurinn að geyma ýmis ákvæði sem varða öryggi persónuupplýsinga. Til að mynda segir í grein 7.1.1 að Google muni innleiða og viðhalda öryggisráðstöfunum til að vernda upplýsingar viðskiptavinarins gegn óviljandi eða ólögmætri eyðingu eða því að þær glatist, breytist, verði birtar eða aðgangur verði veittur að þeim í leyfisleysi. Þeim öryggisráðstöfunum er nánar lýst í viðauka 2 við vinnslusamninginn. Í grein 7.1.2 er vikið að því að Google tryggi að þeir starfsmenn, verktakar og undirvinnsluaðilar, sem hafa aðgang að persónuupplýsingum viðskiptavinarins, gangist undir trúnaðarskyldu. Samkvæmt grein 7.5.2 a. er grunnskólum Kópavogsbæjar heimilt að framkvæma eða fá þriðja aðila til að framkvæma úttekt til að sannreyna hlítni Google við vinnslusamninginn.

Vinnslusamningurinn hefur einnig að geyma ákvæði um flutning persónuupplýsinga til þriðju landa. Samkvæmt grein 10.1 er Google heimilt að vinna með upplýsingar viðskiptavinarins í hverju því ríki sem Google eða undirvinnsluaðilar þess hafa staðfestu, að uppfylltum þeim kvöðum sem fram koma í öðrum ákvæðum 10. gr. og frekari kvöðum í þjónustuskilmálum. Í vinnslusamningnum er einnig að finna hlekk á stöðluð samningsákvæði vegna flutnings persónuupplýsinga til þriðju landa. Nánar verður vikið að flutningi persónuupplýsinga til þriðju landa í kafla III. 8. hér á eftir.

Í vinnslusamningnum er að auki fjallað um rétt Google til að nota undirvinnsluaðila við vinnslu persónuupplýsinga og þar er jafnframt hlekkur á yfirlit yfir undirvinnsluaðila Google, sem er aðgengilegt á vefsíðu fyrirtækisins. Samkvæmt grein 11.1 samþykkja grunnskólar Kópavogsbæjar að Google megi nota tilgreinda undirvinnsluaðila. Þá segir í grein 11.4 að Google skuli tilkynna grunnskólum Kópavogsbæjar um nýja undirvinnsluaðila, a.m.k. 30 dögum áður en nýr undirvinnsluaðili hefur vinnslu persónuupplýsinga. Grunnskólarnir hafi 90 daga, frá því að Google tilkynnir um nýja undirvinnsluaðila til að andmæla breytingunni með því að segja upp samningnum þegar í stað.

Þá er í vinnslusamningnum mælt fyrir um að Google muni aðstoða grunnskóla Kópavogsbæjar við að tryggja að skyldur samkvæmt 32.–36. gr. reglugerðar (ESB) 2016/679 séu uppfylltar, þ.e. í tengslum við öryggi vinnslu, tilkynningar um öryggisbresti við meðferð persónuupplýsinga, mat á áhrifum á persónuvernd og fyrirframsamráð, sbr. greinar 7.1.4, 7.2 og 8. Jafnframt er vikið að því í grein 9.2, að Google muni aðstoða grunnskóla Kópavogsbæjar við að svara beiðnum í tengslum við réttindi skráðra einstaklinga.

Loks eru í vinnslusamningnum ákvæði um eyðingu upplýsinga viðskiptavinarins. Samkvæmt grein 6.2 skal Google eyða eða skila upplýsingum viðskiptavinarins í samræmi við fyrirmæli grunnskóla Kópavogsbæjar. Eyðing upplýsinganna getur tekið allt að 180 daga, að því undanskildu að lög áskilji varðveislu upplýsinganna.

2.2 Aðrir skilmálar Google

2.2.1 Skilmálar Google um samþykki vegna vinnslu persónuupplýsinga í nemendakerfinu

Þegar viðskiptavinir kaupa aðgang að Google-nemendakerfinu eru þeir upplýstir um skilmála Google um samþykki vegna vinnslu persónuupplýsinga í nemendakerfinu (e. Google Workspace for Education School Consent). Þar segir að skólar kunni að veita Google tilteknar persónuupplýsingar nemenda og kennara, svo sem nafn og netfang þeirra, þegar Google-nemendakerfið er notað. Að auki kunni Google að safna tilteknum persónuupplýsingum beint frá notendum kerfisins, t.d. símanúmeri eða notendamynd (e. profile picture) eða öðrum upplýsingum sem notendur setja á Google-aðgang sinn. Einnig segir í skilmálunum að Google safni upplýsingum um notkun kerfisins, en nánar tiltekið segir á ensku:

Google also collects information based on the use of our services. This includes:

· device information, such as the hardware model, operating system version, unique device identifiers and mobile network information including the user's phone number;

· log information, including details of how a user used our service, device event information and the user's Internet protocol (IP) address;

· location information, as determined by various technologies including IP address, GPS and other sensors;

· unique application numbers, such as application version number; and

· cookies or similar technologies which are used to collect and store information about a browser or device, such as preferred language and other settings.

Skilmálarnir greina frá því að persónuupplýsingar notenda, sem safnað er þegar grunnþjónustur kerfisins eru notaðar (e. Core Services), séu eingöngu nýttar til að veita þá grunnþjónustu. Tekið er fram að upplýsingarnar séu ekki notaðar í markaðstilgangi (e. advertising purposes). Grunnþjónustur kerfisins eru m.a. Gmail, Google Chat, Google Docs, Google Drive og Google Meet. Í lok skilmálanna er að auki tekið fram að Google vinni persónuupplýsingar nemenda í grunnþjónustum Google-nemendakerfisins í samræmi við persónuverndarstefnu Google fyrir nemendakerfið (e. Google Workspace for Education Privacy Notice) og almennu persónuverndarstefnu Google. Nánar tiltekið segir á ensku:

By clicking 'I agree' below, you consent on behalf of your institution to Google’s processing of the personal information of students in the Core Services as described above and in the Google Workspace for Education Privacy Notice and the Google Privacy Policy, and agree to obtain parent or guardian consent for any Additional Services that you allow students under the age of 18 to use.

Þá segir í skilmálunum að almenna persónuverndarstefna Google (e. Google Privacy Policy) gildi um viðbótarþjónustur Google (e. Additional Services) sem viðskiptavinir geta kosið að nota samhliða grunnþjónustum nemendakerfisins.

2.2.2 Grunnþjónustur: Persónuverndarstefnur fyrir Google-nemendakerfið og skýjaþjónustu Google

Í persónuverndarstefnu fyrir Google-nemendakerfið (e. Google Workspace for Education Privacy Notice) er greint frá því að Google safni tvenns konar upplýsingum þegar grunnþjónustur nemendakerfisins eru notaðar, annars vegar persónuupplýsingum viðskiptavinarins (e. Customer Personal Data), sem vinnslusamningur aðila tekur til, og hins vegar þjónustugögnum (e. Service Data). Hvað vinnslu þjónustugagna varðar er vísað til persónuverndarstefnu Google fyrir skýjaþjónustu (e. Google Cloud Privacy Notice). Í þeirri stefnu er að finna nánari lýsingu á vinnslu þjónustugagna, en þar segir á ensku:

Service Data is the personal information Google collects or generates during the provision and administration of the Cloud Services and related technical support, excluding any Customer Data and Partner Data.

Service Data consists of:

· Account information. We collect the data you or your organization provide when creating an account for Cloud Services or entering into a contract with us (username, names, contact details and job titles).

· Cloud payments and transactions. We keep reasonable business records of charges, payments, and billing details and issues.

· Cloud settings and configurations. We record your configuration and settings, including resource identifiers and attributes, and service and security settings for data and other resources.

· Technical and operational details of your usage of Cloud Services. We collect information about usage, operational status, software errors and crash reports, authentication details, quality and performance metrics, and other technical details necessary for us to operate and maintain Cloud Services and related software. This information includes device identifiers, identifiers from cookies or tokens, and IP addresses.

· Your direct communications. We keep records of your communications and interactions with us and our partners (for example, when you provide feedback, ask questions or seek technical support).

Í persónuverndarstefnu fyrir Google-nemendakerfið er tekið fram að þjónustugögn séu fyrst og fremst notuð til þess að veita þjónustuna en einnig í þeim tilgangi sem nánar er lýst í persónuverndarstefnu Google fyrir skýjaþjónustu. Í síðarnefndu stefnunni segir að þjónustugögn séu jafnframt notuð til þess að veita tæknilega aðstoð, betrumbæta þjónustuna og aðra þjónustu sem viðskiptavinir nota, kynna viðskiptavini fyrir nýrri virkni eða skyldri þjónustu, koma í veg fyrir misnotkun á þjónustunni og gera þjónustuna öruggari. Hvað vinnsluheimild varðar er vísað til þess að vinnslan sé ýmist nauðsynleg til að efna samninga við ábyrgðaraðila, vegna lagaskyldu sem hvíli á Google eða í þágu lögmætra hagsmuna fyrirtækisins.

2.2.3 Viðbótarþjónustur: Persónuverndarstefna fyrir Google-nemendakerfið og almenna persónuverndarstefna Google

Í persónuverndarstefnu fyrir Google-nemendakerfið segir að Google safni tvenns konar upplýsingum þegar viðbótarþjónustur eru notaðar samhliða nemendakerfinu, annars vegar persónuupplýsingum sem notendur skrá eða búa til með viðbótarþjónustum og hins vegar upplýsingum sem Google safnar við notkun þjónustunnar. Í lýsingu á þeim upplýsingum sem er safnað þegar viðbótarþjónustur eru notaðar segir nánar tiltekið á ensku:

Google’s Privacy Policy also describes the information we collect as you use our additional services, which includes:

· Your activity while using additional services, which includes things like terms you search for, videos you watch, content and ads you view and interact with, voice and audio information when you use audio features, purchase activity, and activity on third-party sites and apps that use our services.

· Your apps, browsers and devices. We collect the info about your apps, browser, and devices described above in the core services section.

· Your location information. We collect info about your location as determined by various technologies including: GPS, IP address, sensor data from your device, and information about things near your device, such as Wi-Fi access points, cell towers, and Bluetooth-enabled devices. The types of location data we collect depend in part on your device and account settings.

Í persónuverndarstefnu fyrir Google-nemendakerfið segir að markmið framangreindrar vinnslu persónuupplýsinga sé að veita viðbótarþjónustu, bæta þjónustuna, þróa nýja þjónustu, veita persónusniðna þjónustu, greina hvernig þjónusta er notuð og skilvirkni hennar (e. measure performance), eiga samskipti við notendur og vernda Google og notendur þess. Þá er jafnframt greint frá því að sum viðbótarþjónusta kunni að birta auglýsingar en ef notandi er að nota Google Workspace for Education reikning fyrir grunnskólastig (K-12) séu ekki notaðar upplýsingar af aðgangi viðkomandi til að beina að honum persónusniðnum auglýsingum. Aftur á móti kunni Google að beina auglýsingum að notanda, sem byggjast á almennum þáttum eins og leitarfyrirspurnum notandans, tíma dags eða efni þeirra vefsíðu sem hann skoðar. Vísað er til almennu persónuverndarstefnu Google hvað nánari upplýsingar varðar. Í almennu persónuverndarstefnunni er meðal annars umfjöllum um vinnsluheimild. Greint er frá því að vinnslan byggist í einhverjum tilvikum á samþykki hinna skráðu. Að auki kunni vinnsluaðgerðir að vera nauðsynlegar til að efna samninga við ábyrgðaraðila, vegna lagaskyldu sem hvíli á Google eða í þágu lögmætra hagsmuna fyrirtækisins.

III.

Skýringar og sjónarmið Kópavogsbæjar

Í svörum Kópavogsbæjar segir að samkvæmt samningum grunnskóla sveitarfélagsins við Google, sem hafi tekið gildi árið 2015, notist grunnskólar þess við Fundamentals-þjónustuleið Google-nemendakerfisins. Áætlað er að 3.800 grunnskólanemendur hafi notað nemendakerfið skólaárið 2021-2022.

Kópavogsbær andmælir öllu því sem fram kemur í úttektarskýrslu Persónuverndar er varðar möguleg brot á persónuverndarlöggjöfinni og heldur því fram að sveitarfélagið hafi gert allt, sem ætlast megi til, til að tryggja að vinnsla persónuupplýsinga grunnskólanemenda í Google-nemendakerfinu, sem sveitarfélagið er ábyrgðaraðili að, uppfylli í hvívetna ákvæði persónuverndarlaga nr. 90/2018 og persónuverndarreglugerðar (ESB) 2016/679. Í þessum kafla verður gerð grein fyrir helstu skýringum og sjónarmiðum Kópavogsbæjar, sem ákvörðun í málinu byggist á.

1.

Ábyrgð á vinnslu

Í svörum Kópavogsbæjar er tekið fram að sveitarfélaginu séu falin margs konar verkefni á sviði kennslu grunnskólanemenda. Þessi verkefni felist að miklu leyti í vinnslu persónuupplýsinga, m.a. upplýsinga nemendanna sjálfra, og sveitarfélagið sé ábyrgðaraðili þeirrar vinnslu. Í nútímaþjóðfélagi þurfi að nýta upplýsingakerfi til þess að vinna flest þessara verkefna og því kunni að vera nauðsynlegt að leita eftir upplýsingatækniþjónustu, þ. á m. skýjaþjónustu, frá utanaðkomandi þjónustuaðila. Í þeim tilvikum feli sveitarfélagið skýjaþjónustuveitandanum að annast tiltekinn þátt í vinnslunni sem vinnsluaðila.

Greint er frá því að Kópavogsbær sé ábyrgðaraðili að vinnslu persónuupplýsinga nemenda í Google-nemendakerfinu, sjálfstæður eða sameiginlegur með grunnskólum sveitarfélagsins. Hver og einn grunnskóli hafi gert vinnslusamning við Google, en sveitarfélagið hafi tekið að sér að hafa milligöngu fyrir grunnskólana um þá samninga. Samningarnir afmarki þá vinnslu sem Google sé falið að stunda, þ. á m. tilgang vinnslunnar og þær aðferðir sem skuli beita. Google hafi verið falið að vinna með þær persónuupplýsingar í nemendakerfinu sem eru skilgreindar í vinnslusamningnum sem persónuupplýsingar viðskiptavinar (e. Customer Personal Data).

Þá segir að til þess að skýjaþjónustuveitandinn geti boðið upp á og viðhaldið skýjaþjónustunni sé honum nauðsynlegt að stunda einnig ýmiss konar vinnslu með þær persónuupplýsingar, sem honum er falið sem vinnsluaðila að vinna, í öðrum tilgangi, t.a.m. í þeim tilgangi að auka áreiðanleika eða hraða þjónustunnar, breyta högun eða virkni hennar og þróa endurbættar útgáfur af henni. Skýjaþjónustuveitandinn taki í þeim tilvikum sjálfur, án samráðs við viðskiptavini sína, ákvörðun um tilgang og aðferðir við vinnsluna og sé því sjálfstæður ábyrgðaraðili þeirrar vinnslu. Að mati Kópavogsbæjar er Google því sjálfstæður ábyrgðaraðili vinnslu svonefndra þjónustugagna (e. Service Data) í Google-nemendakerfinu. Kópavogsbær hafi enga aðkomu að vinnslu þjónustugagna og því sé andmælt að sveitarfélagið og Google kunni að vera sameiginlegir ábyrgðaraðilar vinnslunnar líkt og koma hafi þótt til skoðunar samkvæmt úttektarskýrslu Persónuverndar.

Kópavogsbær andmælir því að úttektin taki til viðbótarþjónustu Google. Grunnskólarnir séu ábyrgðaraðilar þeirrar viðbótarþjónustu sem þeir ákveði að nota og sveitarfélagið hafi enga aðkomu að samningum grunnskólanna um slíka þjónustu. Er í því sambandi vísað til bréfs Persónuverndar til Akureyrarbæjar, dags. 4. ágúst 2022, þar sem stofnunin ákvað að loka úttekt gagnvart Akureyrarbæ enda hefði sveitarfélagið ekki talist ábyrgðaraðili þeirrar vinnslu sem um ræddi.

2.

Vinnslusamningur

Í svörum Kópavogsbæjar er því andmælt að vinnslusamningur við Google standist ekki ákvæði laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerð (ESB) 2016/679.

Kópavogsbær andmælir því að vinnslusamningurinn útiloki ekki að Google geti unnið persónuupplýsingar umfram fyrirmæli sveitarfélagsins eða grunnskóla þess líkt og vikið var að í úttektarskýrslu Persónuverndar. Samkvæmt grein 5.2 (áður 5.2.1) í vinnslusamningnum gefi Kópavogsbær, eða grunnskólar sveitarfélagsins, Google fyrirmæli um vinnslu upplýsinga viðskiptavinarins, þ. á m. um að vinna einungis með persónuupplýsingar í samræmi við samning aðila og gildandi lög (e. Customer instructs Google to process Customer Data in accordance with the applicable Agreement (including this Addendum) and applicable law only [...]).

Kópavogsbær heldur því einnig fram að hinir rúmu tímafrestir sem mælt er fyrir um í grein 11.4 í vinnslusamningnum, til að andmæla nýjum undirvinnsluaðila, gefi sveitarfélaginu nægan tíma til að koma á framfæri beint við vinnsluaðila andmælum sínum við fyrirhugaðar breytingar á skipan undirvinnsluaðila, áður en til þess kæmi að segja þyrfti upp vinnslusamningnum í mótmælaskyni.

Þá telur Kópavogsbær vandséð hvernig sveitarfélaginu eigi að vera kleift að telja upp í vinnslusamningi, með tæmandi hætti, allar hugsanlegar tegundir persónuauðkenna og annarra persónuupplýsinga sem sveitarfélagið og notendur þess kunni að vinna í Google-nemendakerfinu, með hliðsjón af eðli skýjaþjónustunnar. Að mati sveitarfélagsins sé skilvirkara og skýrara að stýra því í verklagsreglum og með eftirliti hvaða persónuupplýsingar sé heimilt að vinna. Allt að einu sé það afstaða sveitarfélagsins að vinnslusamningur aðila tilgreini öll þau atriði sem áskilið er í 3. mgr. 28. gr. reglugerðar (ESB) 2016/679.

3.

Aðrir skilmálar Google

Í svörum Kópavogsbæjar er tekið fram að yfirlýsingar sem eru samdar einhliða af Google, án nokkurrar aðkomu sveitarfélagsins, séu ekki hluti af vinnslusamningi við Google, breyti honum ekki, gangi honum ekki framar og dragi því í engu úr þeim skyldum sem lagðar séu á Google sem vinnsluaðila. Vísað er til þess að sveitarfélagið hafi ekki lagt fram þær yfirlýsingar sem Persónuvernd byggir á í úttektarskýrslu sinni, þ. á m. samþykki skóla fyrir notkun nemenda á Google-nemendakerfinu (e. Google Workspace for Education School Consent), persónuverndarstefnu fyrir Google-nemendakerfið (e. Google Workspace for Education Privacy Notice) og persónuverndarstefnu fyrir skýjaþjónustu Google (e. Google Cloud Privacy Notice). Af hálfu sveitarfélagsins er því andmælt að þessar yfirlýsingar verði lagðar til grundvallar í úttektinni. Á hinn bóginn er því ekki andmælt, af hálfu Kópavogsbæjar, að Google vinni persónuupplýsingar í samræmi við nefnda skilmála.

4.

Vinnsla þjónustugagna

Í svörum Kópavogsbæjar segir að sveitarfélagið eigi enga aðkomu að því að semja yfirlýsingar Google um vinnslu þjónustugagna og þær lýsi ekki skyldum sem séu lagðar á sveitarfélagið. Í skilmálunum komi fram að Google vinni þjónustugögn fyrst og fremst til að veita þjónustuna en einnig til að veita tæknilega aðstoð, betrumbæta þjónustuna og aðra þjónustu sem viðskiptavinir nota, kynna nýja virkni fyrir viðskiptavinum eða skylda þjónustu, koma í veg fyrir misnotkun á þjónustunni og gera þjónustuna öruggari. Á hinn bóginn sé það ekki rétt, sem segir í úttektarskýrslu Persónuverndar, að Google vinni þjónustugögn í eigin þágu heldur fari vinnslan fram í þágu viðskiptavinarins og þeirrar þjónustu sem er verið að veita honum.

Líkt og greinir í kafla III. 1. telur Kópavogsbær að Google sé sjálfstæður ábyrgðaraðili vinnslu þjónustugagna. Vísað er til þess að allar ákvarðanir sem lúta að vinnslu þjónustugagna séu teknar eingöngu af Google, án nokkurrar þátttöku sveitarfélagsins. Þjónustugögn séu sérstaklega skilgreind í yfirlýsingum Google sem önnur gögn en þau sem teljast vera upplýsingar viðskiptavinarins (e. Customer Data) og falla þar með utan gildissviðs vinnslusamnings aðilanna, sbr. 1. gr. hans. Sveitarfélagið hafi eðli máls samkvæmt afar takmarkaðar upplýsingar um þær vinnslur sem heyra undir ábyrgð Google.

Í úttektarskýrslu Persónuverndar er fundið að því að vinnsluskrá Kópavogsbæjar tilgreini ekki söfnun persónuupplýsinga nemenda í þjónustugögnum. Í andmælum Kópavogsbæjar vegna skýrslunnar segir að sveitarfélagið sé ekki eigandi umrædds upplýsingakerfis eða ábyrgðaraðili allrar þeirrar vinnslu sem fari fram í kerfinu. Af svörum Kópavogsbæjar má ráða að sveitarfélagið telji ekki ljóst á hvaða grundvelli það geti krafist upplýsinga frá Google til að öðlast yfirsýn yfir alla þá vinnslu sem fer fram í nemendakerfinu.

5.

Vinnsla persónuupplýsinga í þágu viðbótarþjónustu

Af gögnum málsins má ráða að grunnskólar Kópavogsbæjar noti viðbótarþjónusturnar Applied Digital Skills, Blogger, Chrome Web Store, Google Alerts, Google Arts and Culture, Google Bookmarks, Google Books, Google Cloud Platform, Google Cloud Print, Google News, Google Photos, Google Play Console, Google Public Data, Google Search Console, Google Takeout, Google Translate, Google Voice, Managed Google Play, Marterial Gallery, Scholar Profiles, Third-Party App Backups og Youtube.

Sem fyrr segir telur Kópavogsbær grunnskóla sveitarfélagsins vera ábyrgðaraðila vinnslu persónuupplýsinga í þágu viðbótarþjónustu Google. Ekki sé kveðið á um vinnslu persónuupplýsinga í þágu viðbótarþjónustu í vinnslusamningi grunnskólanna við Google, sem Kópavogsbær hafði milligöngu um, sbr. grein 5.3 samningsins. Sveitarfélagið hafi ekki tekið ákvörðun um tilgang og aðferðir við vinnsluna og sé því ekki ábyrgðaraðili hennar. Þá gildi sjálfstæðir skilmálar um viðbótarþjónusturnar (e. Additional Product Terms), en þeir séu ekki hluti af fyrirliggjandi úttekt.

6.

Lögmæti vinnslu

6.1 Vinnsluheimild og tilgangur

Í vinnsluskrá Kópavogsbæjar má finna upplýsingar um tilgang vinnslu persónuupplýsinga í Google-nemendakerfinu, sbr. það sem áður er rakið. Þar kemur að auki fram að vinnslan byggist á 3. og 5. tölul. 9. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsingar, sbr. lög nr. 91/2008 um grunnskóla. Í svörum Kópavogsbæjar er vísað til þess að nauðsynlegt sé að nota upplýsingatæknikerfi við menntun og fræðslu sem krafa er gerð um í aðalnámskrá og þá sérstaklega á sviði upplýsingatæknimála.

6.2 Meðalhóf og lágmörkun gagna

Kópavogsbær andmælir því að það sé hlutverk sveitarfélagsins að sýna fram á að vinnsla persónuupplýsinga grunnskólanemenda í Google-nemendakerfinu takmarkist við það sem er nauðsynlegt miðað við tilgang vinnslunnar, í ljósi þess að sveitarfélagið er hvorki eigandi né rekstraraðili nemendakerfisins. Sveitarfélagið hafi því ekki völd, aðstöðu eða réttindi til að veita upplýsingar um alla vinnslu persónuupplýsinga grunnskólanemenda í kerfinu. Telur sveitarfélagið að sér verði einungis gert að standa skil á upplýsingum um þær vinnslur sem það er ábyrgðaraðili fyrir.

Í skýringum Kópavogsbæjar er vísað til þess að sveitarfélagið hafi gripið til tiltekinna ráðstafana til að lágmarka vinnslu persónuupplýsinga í Google-nemendakerfinu. Allir nemendur hafi verið flokkaðir sem einstaklingar undir 18 ára aldri sem hafi í för með sér að hluti af þjónustu og viðbótum Google sé ekki í boði fyrir nemendur. Að auki hafi Kópavogsbær takmarkað tölvupóstfang nemenda í 4. til 7. bekk með þeim hætti að nemendur geti eingöngu sent og móttekið tölvupóst innan kerfis sveitarfélagsins, þ.e. frá samnemendum og kennurum. Enn fremur segir að Google-nemendakerfið geri notendum kleift að samþykkja eða hafna vinnslu persónuupplýsinga upp að því marki sem það er mögulegt til þess að tæknilegir eiginleikar kerfisins virki. Á hinn bóginn sé sveitarfélaginu ekki skylt að leggja út í kostnað við tæknilegt mat á öllum þáttum Google-nemendakerfisins í því skyni að tryggja að þar séu hvergi valdar stillingar, sem fela í sér vinnslu persónuupplýsinga. Í því mati þyrfti að taka afstöðu til þess hvort vinnslan er nauðsynleg fyrir virkni kerfisins og hvort vinnslan er í raun vinnsla persónuupplýsinga eða ópersónugreinanlegra upplýsinga. Innbyggð og sjálfgefin vernd persónuupplýsinga sé viðhöfð í starfsemi Kópavogsbæjar en sveitarfélagið hafi ekki komið að hönnun Google-nemendakerfisins og verði því ekki gert ábyrgt fyrir öllum þáttum í uppbyggingu þess þó svo að sveitarfélagið hafi tekið kerfið í notkun.

6.3 Varðveislutími persónuupplýsinga

Samkvæmt vinnsluskrá Kópavogsbæjar eru upplýsingar grunnskólanemenda almennt varðveittar í Google-nemendakerfinu á meðan nemandi er við nám í grunnskólum sveitarfélagsins. Upplýsingum nemenda er eytt úr kerfinu þremur mánuðum eftir að skólagöngu lýkur. Námsgögn, sem beri að varðveita samkvæmt lögum nr. 77/2014 um opinber skjalasöfn, séu varðveitt í samræmi við reglur sem þar eiga við. Í úttektarskýrslu Persónuverndar er vikið að því að Kópavogsbær hafi ekki sýnt fram á nauðsyn þess að varðveita upplýsingar nemenda í Google-nemendakerfinu út skólagöngu þeirra. Þessari afstöðu stofnunarinnar er andmælt af hálfu sveitarfélagsins. Vísað er til þess að í úttektinni hafi ekki verið óskað eftir því að sveitarfélagið sýndi fram á slíka nauðsyn en að sveitarfélagið telji tilefni til að endurskoða fyrri framkvæmd með hliðsjón af afstöðu Persónuverndar.

7.

Mat á áhrifum á persónuvernd

Í svörum Kópavogsbæjar frá 16. júní 2022 var greint frá því að sveitarfélagið hefði ekki gert mat á áhrifum á persónuvernd vegna vinnslu persónuupplýsinga í Google-nemendakerfinu. Nemendakerfið hefði verið tekið í notkun í tíð eldri laga um persónuvernd og meðferð persónuupplýsinga en þágildandi lög hafi ekki gert kröfu um slíkt mat. Að auki var greint frá því að sveitarfélagið hefði ákveðið að gera breytingu á þjónustuleið Google-nemendakerfisins og unnið væri að mati á áhrifum á persónuvernd í tengslum við þá breytingu.

Í úttektarskýrslu Persónuverndar er vikið að skyldunni til að framkvæma mat á áhrifum á persónuvernd. Í andmælum Kópavogsbæjar við úttektarskýrsluna er því andmælt að sveitarfélagið hafi ekki uppfyllt skyldur sínar samkvæmt 1. mgr. 29. gr. laga nr. 90/2018, sbr. 1. og 11. mgr. 35. gr. reglugerðar (ESB) 2016/679. Vísað er til leiðbeininga Persónuverndar um mat á áhrifum á persónuvernd, frá október 2018, en þar komi meðal annars fram að gera skuli slíkt mat ef stórfelldar breytingar séu gerðar á langtímavinnslu. Hvað Google-nemendakerfið varðar hafi verið gerðar nokkrar breytingar á þeim skilmálum sem gilda og vinnslusamningi aðila. Að mati sveitarfélagsins hafi hins vegar engar stórfelldar breytingar orðið á þeirri vinnslu sem um ræðir.

8.

Miðlun persónuupplýsinga til Bandaríkjanna

Í svörum Kópavogsbæjar kemur fram að vinnsla persónuupplýsinga nemenda í Google-nemendakerfinu kunni að fari fram í Bandaríkjunum, þó að það hafi ekki verið staðfest. Samkvæmt vinnslusamningi við Google sé heimilt að vinna með upplýsingar viðskiptavinar í hverju því ríki sem Google eða undirvinnsluaðilar þess hafi staðfestu í. Lagðar séu þær skyldur á vinnsluaðila að fara í hvívetna að ákvæðum persónuverndarreglugerðar (ESB) 2016/679 um miðlun persónuupplýsinga út fyrir Evrópska efnahagssvæðið. Öll miðlun upplýsinga til óöruggra þriðju ríkja sé byggð á uppfærðum stöðluðum samningsskilmálum Evrópusambandsins og varin af tæknilegum, lagalegum og skipulagslegum öryggisráðstöfunum.

Í svörum Kópavogsbæjar er jafnframt vísað til þess að Google hafi sett fram lýsingar á viðbótarverndarráðstöfunum sem gripið hafi verið til í tengslum við mögulega miðlun persónuupplýsinga til þriðju landa (e. Safeguards for international data transfers with Google Cloud). Verður hér eingöngu vikið að þeim tæknilegu ráðstöfunum sem þar er lýst.

Í tilvísuðum lýsingum kemur fram að Google skrái aðgang og aðgerðir starfsmanna sinna innan umhverfisins. Einnig kemur fram að gögn séu dulkóðuð í flutningi sem og í hvíld. Notast sé við FIPS 104-2-dulkóðun í flutningi og svonefnt „Application Layer Transport Security“ (ALTS) og „Transport Layer Security“ (TLS). Dulkóðun gagna í hvíld styðjist við „Advanced Encryption Standard“. Dulkóðunarlykillinn sé a.m.k. 128 bita fyrir gögn sem séu varðveitt í Google-nemendakerfinu. Lykillinn sé enn fremur dulkóðaður með öðrum 128 bita lykli sem sé varðveittur af „Google key management service“ (KMS). Google bjóði jafnframt upp á aukastýringar, t.a.m. hafi viðskiptavinir kost á að dulrita eigin gögn og stjórna varðveislu dulkóðunarlykilsins fyrir tilteknar þjónustur.

Í skýringum Kópavogsbæjar segir að Bandaríkin séu nú aðili að sérstöku samkomulagi um flutning persónuupplýsinga frá Evrópu til Bandaríkjanna. Í samkomulaginu felist að Bandaríkin tryggi persónuupplýsingum, sem fluttar eru frá Evrópu til bandarískra fyrirtækja á grundvelli þess, viðunandi vernd í skilningi persónuverndarreglugerðarinnar, sbr. jafngildisákvörðun framkvæmdastjórnar Evrópusambandsins, dags. 10. júlí 2023. Þetta eigi við um fyrirtæki sem gangast með formlegum hætti undir skyldur samkvæmt samkomulaginu og sé Google þar á meðal.

9.

Andmæli vegna mögulegrar álagningar sektar

Með úttektarskýrslu Persónuverndar var Kópavogsbæ veittur andmælaréttur vegna mögulegra fyrirmæla og beitingar stjórnvaldssektar. Í skýrslunni er það rakið að fyrirliggjandi gögn hafi þótt benda til þess að sveitarfélagið hefði brotið gegn ákvæðum 5., 6., 25., 26., 28., 30., 35., 44. og 46. gr. reglugerðar (ESB) 2016/679 en brot gegn þeim ákvæðum geta varðað sektum samkvæmt 2. og 3. mgr. 46. gr. laga nr. 90/2018, sbr. 4. og 5. mgr. 83. gr. reglugerðarinnar. Í úttektarskýrslunni eru einnig rakin þau atriði sem Persónuvernd taldi geta leitt til þess að sekt yrði lögð á og haft áhrif á fjárhæð sektar, samkvæmt 1. mgr. 47. gr. laga nr. 90/2018, sbr. 2. mgr. 83. gr. reglugerðarinnar.

Kópavogsbær vísar til þess að sveitarfélagið hafi sýnt mikinn samstarfsvilja gagnvart Persónuvernd og svarað öllum erindum stofnunarinnar við meðferð málsins með skýrum og greinargóðum hætti. Einnig telji sveitarfélagið ekki tilefni til að álykta á þann veg að það hafi brotið gegn ákvæðum persónuverndarlöggjafarinnar. Að auki sé rétt að hafa í huga að Persónuvernd hafi hingað til ekki beitt vægari úrræðum í málinu. Enn fremur beri að hafa hliðsjón af meðferð sambærilegra mála á hinum Norðurlöndunum, t.d. í Danmörku, þar sem samband þarlendra sveitarfélaga hafi haft rúman tíma til að koma á framfæri við persónuverndaryfirvöld tillögum af hálfu sveitarfélaga um endurbætur.

­-

Hvað varðar einstök atriði sem eru nefnd í úttektarskýrslu Persónuverndar er í fyrsta lagi að nefna að umrædd vinnsla lýtur að persónuupplýsingum barna, sem njóta sérstakrar verndar samkvæmt persónuverndarlöggjöfinni, og teljast brot á vinnslu þeirra því alvarleg, sbr. 1. tölul. 1. mgr. 47. gr. laga nr. 90/2018 og a-lið 2. mgr. 83. gr. reglugerðarinnar. Í skýrslunni er einnig vísað til þess að með hliðsjón af virkni Google-nemendakerfisins og aldri nemenda þyki líkur standa til þess að viðkvæmar persónuupplýsingar eða upplýsingar viðkvæms eðlis séu skráðar í kerfið. Í andmælum Kópavogsbæjar er tekið fram að sveitarfélagið leggi bann við vinnslu viðkvæmra persónuupplýsinga í Google-nemendakerfinu og hafi eftirlit með því að banninu sé framfylgt. Að auki bendir sveitarfélagið á að ósannað sé að viðkvæmar persónuupplýsingar hafi verið skráðar í nemendakerfið og ekkert hafi komið fram um ætlun til að skrá slíkar upplýsingar.

Í öðru lagi er á því byggt í úttektarskýrslu Persónuverndar að vinnsluheimild sé ekki fyrir hendi hvað varðar söfnun persónuupplýsinga í þágu viðbótarþjónustu Google og þjónustugagna í öðrum og ósamrýmanlegum tilgangi en þeim sem tilgreindur hefur verið fyrir vinnslu persónuupplýsinga í nemendakerfinu af hálfu Kópavogsbæjar. Vinnsla umræddra persónuupplýsinga þyki enn fremur ekki samrýmast meginreglum um gagnsæi, meðalhóf og lágmörkun gagna og þyki brotin að þessu leyti alvarleg, sbr. 1. tölul. 1. mgr. 47. gr. laganna og a-lið 2. mgr. 83. gr. reglugerðarinnar. Í andmælum Kópavogsbæjar segir að sveitarfélagið verði ekki gert ábyrgt fyrir málefnalegri vinnslu sem fer fram af hálfu annars sjálfstæðs ábyrgðaraðila. Að auki er því andmælt að Persónuvernd sé heimilt að færa sama meinta brotið, þ.e. vinnslu Google, sem fellur ekki undir vinnslusamning aðila, undir langan lista af meintum brotum. Slíkt samræmist ekki 2. mgr. 47. gr. laga nr. 90/2018.

Í þriðja lagi er á því byggt í úttektarskýrslu Persónuverndar að brot Kópavogsbæjar þyki umfangsmikil, þar sem 3.800 grunnskólanemendur hafi notað Google-nemendakerfið skólaárið 2021-2022, sbr. 1. tölul. 1. mgr. 47. gr. laganna og a-lið 2. mgr. 83. gr. reglugerðarinnar. Í andmælum Kópavogsbæjar er bent á að ekki komi fram á hverju mat Persónuverndar sé byggt. Kópavogsbær telji að til þess að hægt sé að komast að þeirri niðurstöðu að um umfangsmikil brot sé að ræða samkvæmt 1. tölul. 1. mgr. 47. gr. laganna þurfi að fara fram hlutlægt mat byggt á gagnsæjum tölulegum upplýsingum. Samkvæmt tölulegum upplýsingum frá Hagstofu Íslands hafi hlutfall nemenda sveitarfélagsins, sem hafi notað Google-nemendakerfið, verið 8% af heildarfjölda nemenda í grunnskólum á landinu skólaárið 2021-2022 og 13% af nemendum á höfuðborgarsvæðinu. Sveitarfélagið telji hlutfallið ekki umfangsmikið í þessu samhengi.

Í fjórða lagi er því andmælt sem fram kemur í úttektarskýrslu Persónuverndar að áhætta fylgi því að persónuupplýsingar séu fluttar til Bandaríkjanna og unnar þar án þess að gripið hafi verið til viðeigandi verndarráðstafna og að brotið teljist alvarlegt af þeim sökum, sbr. 1. og 4. tölul. 1. mgr. 47. gr. laganna og a- og d- lið 2. mgr. 83. gr. reglugerðarinnar. Kópavogsbær telji alls óútskýrt af hálfu Persónuverndar hvers vegna þetta meinta brot teljist alvarlegt af þeim sökum einum, óháð því hvers eðlis það er. Fyrir liggi ítarleg lýsing á þeim viðbótarverndarráðstöfunum sem hafi verið viðhafðar við vinnsluna fram að því að svonefndur friðhelgisrammi (e. Privacy Framework) hafi tekið gildi.

Í fimmta lagi er í úttektarskýrslu Persónuverndar byggt á því að brot Kópavogsbæjar hafi verið framin af stórfelldu gáleysi, sbr. 2. tölul. 1. mgr. 47. gr. laganna og b-lið 2. mgr. 83. reglugerðarinnar. Er vísað til þess að stofnunin hafi birt leiðbeiningar 7. janúar 2022, í kjölfar ákvörðunar í máli nr. 2021040879, um innleiðingu upplýsingatæknikerfa þar sem unnið er með persónuupplýsingar barna en að ekki verði séð að Kópavogsbær hafi haft hliðsjón af þeim hvað varðar vinnslu persónuupplýsinga í Google-nemendakerfinu. Af hálfu Kópavogsbæjar er þessari afstöðu eindregið andmælt. Tekið er fram að hlíting við umræddar leiðbeiningar hafi ekki verið hluti af fyrirliggjandi úttekt. Við innleiðingu Google-nemendakerfisins hafi ekki verið fyrir að fara öðrum leiðbeiningum en almennum leiðbeiningum um skýjalausnir sem gefnar hafi verið út af fjármála- og efnahagsráðuneytinu í samvinnu við Persónuvernd í árslok 2016. Eftir að nemendakerfið hafi verið tekið í notkun hafi verið lögð áhersla á að hafa hliðsjón af viðeigandi leiðbeiningum, ákvörðunum og lýsingu á góðum starfsháttum.

Loks er þeirri sektarfjárhæð, sem er tilgreind í úttektarskýrslunni, mótmælt sem óhóflega hárri, einkum með hliðsjón af ákvörðunum Persónuverndar í máli nr. 2022020414 varðandi notkun Kópavogsbæjar á Seesaw-nemendakerfinu og í máli nr. 2020010355 varðandi InfoMentor ehf.

IV.

Niðurstaða

1.

Afmörkun máls

Ákvörðun þessi lýtur að vinnslu persónuupplýsinga grunnskólanemenda Kópavogsbæjar í Google-nemendakerfinu, sbr. skilgreiningar 2. og 4. tölul. 3. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og 1. og 2. tölul. 4. gr. reglugerðar (ESB) 2016/679, í samræmi við gildissvið laganna og reglugerðarinnar, sbr. 1. mgr. 4. gr. laganna.

Nemendakerfið er „SaaS“-skýjalausn (e. Software as a Service), þ.e. lausn sem veitir notendum möguleikann á að nota tiltekinn hugbúnað eftir þörfum. Sveitarfélagið hefur áætlað að 3.800 nemendur hafi notað kerfið skólaárið 2021-2022.

Af gögnum málsins má ráða að í grunnþjónustu nemendakerfisins eru unnar annars vegar persónuupplýsingar viðskiptavinarins (e. Customer Personal Data), sem vinnslusamningur aðila tekur til, og hins vegar persónuupplýsingar í þjónustugögnum (e. Service Data), sem fjallað er um í skilmálum Google, t.d. í skilmálum Google um samþykki vegna vinnslu persónuupplýsinga í nemendakerfinu (e. Google Workspace for Education School Consent), persónuverndarstefnu Google fyrir skýjaþjónustu (e. Google Cloud Privacy Notice) og persónuverndarstefnu fyrir Google-nemendakerfið (e. Google Workspace for Education Privacy Notice).

Persónuupplýsingar viðskiptavinarins eru, samkvæmt skilgreiningu vinnslusamnings, þær persónuupplýsingar sem grunnskólar Kópavogsbæjar eða notendur Google-nemendakerfisins miðla til Google með nemendakerfinu. Í vinnsluskrá Kópavogsbæjar eru tilgreindar þær persónuupplýsingar sem skráðar eru í kerfið. Samkvæmt vinnsluskránni fer úrlausn verkefna fram í kerfinu og kennarar geta gefið almenna endurgjöf og leiðsagnarmat. Að auki geta nemendur og kennarar haft samskipti í gegnum samskiptasvæði og tölvupóstkerfi.

Samkvæmt persónuverndarstefnu Google fyrir skýjaþjónustu eru þjónustugögn persónuupplýsingar sem Google safnar eða sem verða til við skýjaþjónustu fyrirtækisins. Nánar tiltekið er um að ræða notendaupplýsingar (e. Account information), t.d. notendanöfn og nöfn, upplýsingar um stillingar á þjónustunni (e. Cloud settings and configurations), tæknilegar upplýsingar og greiningargögn (e. Technical and operational details of your usage of Cloud Services), t.d. auðkenni tækis, auðkenni frá vafrakökum og IP-tölur, og bein samskipti notenda við Google, t.d. í tengslum við tæknilega aðstoð (e. Your direct communications).

Samkvæmt skilmálum Google um samþykki vegna vinnslu persónuupplýsinga í nemendakerfinu safnar Google enn fremur upplýsingum, m.a. um þau tæki sem kerfið er notað í, hvernig kerfið er notað, staðsetningu tækja eins og hún ákvarðast af mismunandi tækni, þ. á m. IP-tölu, GPS og öðrum nemum, tungumálastillingar og aðrar stillingar. Eru þessar upplýsingar nýttar til að veita grunnþjónustu í kerfinu.

Af gögnum málsins má ráða að grunnskólar Kópavogsbæjar noti viðbótarþjónusturnar Applied Digital Skills, Blogger, Chrome Web Store, Google Alerts, Google Arts and Culture, Google Bookmarks, Google Books, Google Cloud Platform, Google Cloud Print, Google News, Google Photos, Google Play Console, Google Public Data, Google Search Console, Google Takeout, Google Translate, Google Voice, Managed Google Play, Marterial Gallery, Scholar Profiles, Third-Party App Backups og Youtube samhliða notkun Google-nemendakerfisins. Samkvæmt persónuverndarstefnu fyrir Google-nemendakerfið safnar Google persónuupplýsingum sem notendur skrá eða búa til þegar viðbótarþjónustur Google eru notaðar og upplýsingum um notkun þeirrar þjónustu, m.a. leitarfyrirspurnir notandans, myndbönd sem horft er á eða annað efni sem notandinn skoðar, upplýsingum um smáforrit (e. Your activity while using additional services), vafra og tæki (e. Your apps, browsers and devices) og staðsetningarupplýsingum (e. Your location information). Í stefnunni segir að tegundir þeirra staðsetningarupplýsinga sem er safnað fari að hluta til eftir stillingum notenda og því í hvers konar tæki nemendakerfið er notað.

Með hliðsjón af skilgreiningu persónuverndarlöggjafarinnar á persónuupplýsingum, sbr. 2. tölul. 3. gr. laga nr. 90/2018 og 1. tölul. 4. gr. reglugerðar (ESB) 2016/679, telur Persónuvernd að verkefni og önnur gögn sem nemendur skrá í Google-nemendakerfið teljist ávallt til persónuupplýsinga þeirra ef unnt er að tengja þau við tiltekinn nemanda, þó að það sé e.t.v. ekki á allra færi. Með sömu röksemdum teljast upplýsingar sem fela í sér endurgjöf kennara við verkefni nemenda einnig vera persónuupplýsingar nemendanna ef unnt er að tengja þær við tiltekinn nemanda. Það sama á við um þjónustugögn og önnur gögn sem eru unnin í Google-nemendakerfinu, t.d. notendaupplýsingar, tæknilegar upplýsingar, greiningarupplýsingar og staðsetningarupplýsingar, sem unnt er að tengja við tiltekna nemendur.

2.

Almennt um vinnslu persónuupplýsinga grunnskólanemenda í upplýsingatæknikerfum

Persónuvernd hefur áður fjallað um þau sjónarmið sem leggja verður til grundvallar við skýringu laga nr. 90/2018 og reglugerðar (ESB) 2016/679 þegar persónuupplýsingar barna eru unnar í upplýsingatæknikerfum í grunnskólastarfi. Vísast í þessu sambandi til umfjöllunar í kafla II. 2. í ákvörðun stofnunarinnar í máli nr. 2021040879. Í niðurlagi kaflans segir meðal annars:

[Þ]rátt fyrir að upplýsingatæknikerfi geti nýst kennurum, foreldrum og skólabörnum í skólastarfi og notkun þeirra verið þáttur í og aðstoðað við menntun barnanna þá fylgi[r] notkun þeirra áhætta fyrir grundvallarréttindi barnanna. Með hliðsjón af ungum aldri og þroska barnanna, þeirri stöðu sem þau eru í gagnvart skólunum, magni þeirra gagna sem hætta er á að safnist yfir skólagöngu þeirra, viðkvæmu eðli upplýsinganna sem kunna að vera skráðar, áhrifum upplýsingasöfnunarinnar á sjálfsmynd barnanna og aðgangi aðila á einkamarkaði að þessum upplýsingum, verður að fylgja ákvæðum persónuverndarlöggjafarinnar til hins ýtrasta þegar stafrænar lausnir eru innleiddar í skólastarf. Á það við um öll ákvæði persónuverndarlöggjafarinnar en sérstaklega skal nefnt hversu áríðandi það er að meginregla um meðalhóf og lágmörkun gagna sé virt. Persónuupplýsingar skólabarna sem safnað er í hvers konar upplýsingatæknikerfi skulu vera nægilegar, viðeigandi og takmarkast við það sem er nauðsynlegt miðað við tilgang vinnslunnar. Til þess að þessi meginregla sé virt í raun skal tilgangur með vinnslu persónuupplýsinganna vera skilgreindur þröngt og afmarkandi. Að öðrum kosti er ekki unnt að skilgreina hvaða persónuupplýsingar eru beinlínis nauðsynlegar fyrir vinnsluna. Þá verður að hafa í huga að þrátt fyrir að vinnsla persónuupplýsinga teljist hentug fyrir kennslu þá felst ekki sjálfkrafa í því að vinnslan sé nauðsynleg í þeim tilgangi.

3.

Ábyrgðaraðili og vinnsluaðili

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 og reglugerð (ESB) 2016/679 er nefndur ábyrgðaraðili. Er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 6. tölul. 3. gr. laganna og 7. tölul. 4. gr. reglugerðarinnar.

Ef tveir eða fleiri ábyrgðaraðilar ákveða sameiginlega tilgang vinnslu og aðferðir við hana skulu þeir teljast vera sameiginlegir ábyrgðaraðilar, sbr. 23. gr. laganna og 1. mgr. 26. gr. reglugerðarinnar.

Vinnsluaðili er einstaklingur, lögaðili, stjórnvald eða annar aðili sem vinnur með persónuupplýsingar á vegum ábyrgðaraðila, sbr. 7. tölul. 3. gr. laganna og 8. tölul. 4. gr. reglugerðarinnar.

3.1 Ábyrgð á vinnslu

Samkvæmt leiðbeiningum EDPB nr. 7/2020, um hugtökin ábyrgðaraðili og vinnsluaðili, eins og þær voru uppfærðar 7. júlí 2021, ber, við ákvörðun um hver telst vera ábyrgðaraðili vinnslu og hver telst vera vinnsluaðili, ekki einungis að líta til þeirra gagna sem fyrir liggja, til að mynda vinnslusamnings, heldur einnig hvernig fyrirkomulagi hafi raunverulega verið háttað, þ.e. hver hafi í reynd tekið ákvörðun um tilgang og aðferðir við vinnslu persónuupplýsinga.

Persónuvernd telur ljóst, af gögnum málsins, að Kópavogsbær tók ákvörðun um að nota Google-nemendakerfið í grunnskólum sveitarfélagsins og hafði milligöngu um samninga grunnskóla sveitarfélagsins við Google. Þá bera gögn málsins með sér að Kópavogsbær hefur tekið ákvörðun um ýmsar stillingar í nemendakerfinu og tekið afstöðu til þess hvaða vinnsla er þar heimil. Með því að ákveða að nota tiltekið upplýsingatæknikerfi í grunnskólastarfi til að veita nemendum kennslu, og beina nemendum í að nota það kerfi, ákveður Kópavogsbær í reynd tilgang og aðferðir við vinnslu persónuupplýsinga nemendanna í kerfinu. Að mati Persónuverndar er Kópavogsbær því ábyrgðaraðili vinnslu persónuupplýsinga nemenda í Google-nemendakerfinu.

Kópavogsbær hefur andmælt því að teljast ábyrgðaraðili vinnslu þjónustugagna og annarra gagna, sem fer fram í þágu þess að unnt sé að veita grunnþjónustu í Google-nemendakerfinu (hér eftir allt tilgreint sem þjónustugögn), samkvæmt skilmálum Google, þar sem fyrirtækið ákveði eitt tilgang og aðferðir þeirrar vinnslu. Að auki hefur Kópavogsbær andmælt því að teljast ábyrgðaraðili að vinnslu persónuupplýsinga í þágu viðbótarþjónustu Google, þar sem vinnslusamningur um Google-nemendakerfið taki ekki til þeirrar vinnslu.

Samkvæmt a-lið 3. mgr. 28. gr. og 29. gr. reglugerðar (ESB) 2016/679, sbr. 3. mgr. 25. gr. laga nr. 90/2018, skal vinnsluaðili því aðeins vinna persónuupplýsingar, sem hann hefur aðgang að í umboði ábyrgðaraðila, að fyrir liggi fyrirmæli ábyrgðaraðilans, nema honum sé það skylt samkvæmt lögum Sambandsins eða lögum aðildarríkis. Vinnsluaðili getur því ekki tekið ákvörðun um að vinna þær persónuupplýsingar, sem hann kemst yfir sem vinnsluaðili, frekar í öðrum tilgangi án samráðs við hinn upphaflega ábyrgðaraðila.

Samkvæmt þeim gögnum sem liggja fyrir í málinu og skýringum Kópavogsbæjar hefur sveitarfélagið ekki gefið Google fyrirmæli um vinnslu þjónustugagna. Þá liggur ekki fyrir samkomulag um vinnslu þessara gagna í samræmi við ákvæði 26. gr. reglugerðar (ESB) 2016/679, sbr. 23. gr. laga nr. 90/2018. Að því virtu og með hliðsjón af framangreindum ákvæðum fellst Persónuvernd á þau sjónarmið Kópavogsbæjar að Google teljist ábyrgðaraðili vinnslu persónuupplýsinga grunnskólanemenda sveitarfélagsins í þjónustugögnum. Með sömu rökum verður Google talið ábyrgðaraðili að vinnslu persónuupplýsinga í þágu viðbótarþjónustu, enda liggja ekki fyrir fyrirmæli sveitarfélagsins eða grunnskóla þess eða samkomulag milli þessara aðila hvað þá vinnslu varðar.

Á hinn bóginn ber Kópavogsbær ábyrgð á því að persónuupplýsingar grunnskólanemenda sveitarfélagsins séu unnar í Google-nemendakerfinu, enda er það sveitarfélagið sem tekur ákvörðun um notkun kerfisins. Þrátt fyrir að Google setji fram tilgang og aðferðir við vinnslu tiltekinna gagna, samkvæmt framansögðu, leysir það ekki Kópavogsbæ undan ábyrgðarskyldum sínum, líkt og rakið verður í næstu köflum hér á eftir.

Þar sem úttekt þessi beinist eingöngu að Kópavogsbæ verður ekki fjallað frekar um ábyrgð Google í þessu sambandi.

3.2 Ábyrgðarskylda Kópavogsbæjar við val á skýjaþjónustu og samningsgerð

Ábyrgðaraðili vinnslu persónuupplýsinga ber ábyrgð á því að vinnslan sé ávallt í samræmi við meginreglur um persónuvernd og skal geta sýnt fram á það, sbr. 8. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og 5. gr. reglugerðar (ESB) 2016/679. Ábyrgðaraðili skal, í því sambandi, gera viðeigandi tæknilegar og skipulagslegar ráðstafanir sem taka mið af eðli, umfangi, samhengi og tilgangi vinnslu og áhættu fyrir réttindi og frelsi skráðra einstaklinga til að tryggja og sýna fram á að vinnsla persónuupplýsinga uppfylli kröfur reglugerðarinnar, sbr. 23. gr. laga nr. 90/2018 og 1. mgr. 24. gr. reglugerðarinnar.

Ef tveir eða fleiri ábyrgðaraðilar ákveða sameiginlega tilgang vinnslunnar og aðferðir við hana skulu þeir teljast vera sameiginlegir ábyrgðaraðilar, sbr. 1. mgr. 26. gr. reglugerðarinnar og 23. gr. laganna. Þeir skulu, á gagnsæjan hátt, ákveða ábyrgð hvers um sig á því að skuldbindingar samkvæmt reglugerðinni séu uppfylltar með samkomulagi sín á milli nema og að því marki sem ábyrgð hvers ábyrgðaraðila um sig er ákveðin í lögum Sambandsins eða lögum aðildarríkis sem ábyrgðaraðilarnir heyra undir.

Þegar öðrum er falin vinnsla fyrir hönd ábyrgðaraðila skal ábyrgðaraðilinn einungis leita til vinnsluaðila sem veita nægilegar tryggingar fyrir því að þeir geri viðeigandi tæknilegar og skipulagslegar ráðstafanir til að vinnslan uppfylli kröfur reglugerðarinnar og að vernd réttinda hins skráða sé tryggð, sbr. 1. mgr. 25. gr. laga nr. 90/2018 og 1. mgr. 28. gr. reglugerðarinnar. Vinnsla af hálfu vinnsluaðila skal falla undir samning eða aðra réttargerð samkvæmt lögum, sem skuldbindur vinnsluaðila gagnvart ábyrgðaraðilanum og þar sem tilgreint er m.a. viðfangsefni og tilgangur vinnslu, skyldur og réttindi ábyrgðaraðila og að vinnsluaðili vinni einungis persónuupplýsingar samkvæmt skjalfestum fyrirmælum ábyrgðaraðila, sbr. 3. mgr. 25. gr. laganna og 3. mgr. 28. gr. reglugerðarinnar.

Líkt og rakið er í fyrrgreindum leiðbeiningum EDPB nr. 7/2020 (efnisgrein 83) ætti ábyrgðaraðili, þegar hann felur tilteknum þjónustuveitanda vinnslu persónuupplýsinga, að meta vandlega hvort þjónustuveitandinn gerir honum kleift að sinna ábyrgðarskyldum sínum með fullnægjandi hætti, að virtu eðli, umfangi, samhengi og tilgangi vinnslunnar og að teknu tilliti til mögulegrar áhættu sem fylgir vinnslunni fyrir hina skráðu. Í leiðbeiningunum segir einnig (efnisgreinar 37 og 84) að ábyrgðaraðili verði að taka endanlega ákvörðun um að samþykkja, með virkum hætti, hvernig vinnslan fer fram hjá vinnsluaðila, a.m.k. að meginstefnu til. Í einhverjum tilvikum kann að vera eðlilegt fyrir vinnsluaðila að geta tekið sjálfstæðar ákvarðanir í tengslum við vinnsluna en þá ætti það að vera ljóst hvaða tilvik það eru og að hvaða marki það þykir eðlilegt að þessar ákvarðanir falli í skaut vinnsluaðila.

Af þeim dæmum sem eru sett fram í leiðbeiningunum (efnisgrein 81 og 84) má einnig ráða að þegar sveitarfélög semja við skýjaþjónustuveitendur, í sambærilegum tilgangi og hér er til umfjöllunar, heyrir það undir ábyrgð sveitarfélagsins, sem ábyrgðaraðila vinnslunnar, að gera fullnægjandi vinnslusamning og tryggja að þær persónuupplýsingar sem eru unnar á þess ábyrgð séu eingöngu unnar í þeim tilgangi sem sveitarfélagið hefur tilgreint fyrir vinnslunni. Einnig verður ráðið, af tilvísuðum dæmum, að þegar þjónustuveitandi ákveður upp á sitt einsdæmi að nota persónuupplýsingar, sem hann fær aðgang að á grundvelli vinnslusamnings við ábyrgðaraðila, t.d. til að þróa eigin starfsemi, teljist þjónustuveitandinn ábyrgðaraðili þeirrar vinnslu en vinnslan felur þá jafnframt í sér brot á reglugerð (ESB) 2016/679.

Að öllu framangreindu virtu og með hliðsjón af atvikum þessa máls heyrir það undir ábyrgðarskyldur Kópavogsbæjar að velja skýjaþjónustuveitanda sem gerir sveitarfélaginu kleift að sinna skyldum sínum samkvæmt persónuverndarlöggjöfinni með fullnægjandi hætti, að því virtu að um er að ræða vinnslu persónuupplýsinga barna í skólastarfi. Samkvæmt því hefði Kópavogsbær átt að tryggja, þegar samið var við Google um vinnslu persónuupplýsinga grunnskólanemenda sveitarfélagsins, að upplýsingarnar yrðu eingöngu unnar í þeim tilgangi sem sveitarfélagið tilgreindi fyrir vinnslunni. Að því marki sem nauðsynlegt gæti talist að Google tæki sjálfstæðar ákvarðanir um vinnslu persónuupplýsinga vegna þjónustu sinnar við Kópavogsbæ og reksturs kerfisins, hefði sveitarfélagið auk þess átt að taka afstöðu til þess að hvaða marki slíkt væri nauðsynlegt og heimilt.

Þar sem ekki er fjallað um vinnslu þjónustugagna eða vinnslu persónuupplýsinga í þágu viðbótarþjónustu Google í vinnslusamningi um Google-nemendakerfið eða í sérstöku samkomulagi sameiginlegra ábyrgðaraðila, og með vísan til þess sem fram kemur í skýringum Kópavogsbæjar um að allar ákvarðanir sem lúti að vinnslu þjónustugagna séu teknar eingöngu af Google án nokkurrar þátttöku sveitarfélagsins og að sveitarfélagið hafi afar takmarkaðar upplýsingar um vinnsluna, er það niðurstaða Persónuverndar að Kópavogsbær hafi ekki sinnt ábyrgðarskyldum sínum samkvæmt 8. gr., 23. gr. og 1. mgr. 25. gr. laga nr. 90/2018, sbr. 5. gr., 1. mgr. 24. gr. og 1. mgr. 28. gr. reglugerðar (ESB) 2016/679.

Samkvæmt a-lið 3. mgr. 28. gr. reglugerðarinnar, sbr. 3. mgr. 25. gr. laganna, skal vinnslusamningur ábyrgðar- og vinnsluaðila einkum mæla fyrir um að vinnsluaðili vinni einungis persónuupplýsingar samkvæmt skjalfestum fyrirmælum ábyrgðaraðila nema vinnsluaðila sé annað skylt samkvæmt lögum en þá skal hann upplýsa ábyrgðaraðila um það áður en vinnsla hefst. Þar sem fyrirliggjandi vinnslusamningur útilokar ekki að Google vinni persónuupplýsingar frekar, umfram fyrirmæli Kópavogsbæjar, eins og gögn málsins bera með sér að Google geri í raun, er það jafnframt niðurstaða Persónuverndar að vinnslusamningurinn samrýmist ekki framangreindum ákvæðum.

Samkvæmt 2. mgr. og d-lið 3. mgr. 28. gr. reglugerðar (ESB) 2016/679, sbr. 3. mgr. 25. gr. laga nr. 90/2018, skal vinnsluaðili tilkynna ábyrgðaraðilanum um allar fyrirhugaðar breytingar á undirvinnsluaðilum sem fela í sér að bætt er við vinnsluaðilum eða þeim skipt út og gefa þannig ábyrgðaraðilanum tækifæri til að andmæla slíkum breytingum.

Í ákvæði 11.4 b. í fyrirliggjandi vinnslusamningi segir að Google tilkynni viðskiptavini um nýjan undirvinnsluaðila og viðskiptavinurinn hafi 90 daga til að andmæla breytingunni með því að segja upp samningnum þegar í stað. Í framkomnum skýringum Kópavogsbæjar er því haldið fram að framangreindur tímafrestur gefi sveitarfélaginu nægan tíma til að koma á framfæri andmælum sínum við fyrirhugaðar breytingar á undirvinnsluaðilum. Að virtum fyrrgreindum leiðbeiningum EDPB nr. 7/2020 (efnisgrein 158) og með hliðsjón af skýrslu ráðsins frá 17. janúar 2023 vegna samræmdra eftirlitsaðgerða með notkun opinberra aðila á skýjaþjónustu, fellst Persónuvernd á þau sjónarmið Kópavogsbæjar.

4.

Lögmæti vinnslu

Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Að auki verður vinnsla viðkvæmra persónuupplýsinga að samrýmast einhverju af viðbótarskilyrðum 1. mgr. 11. gr. laganna, sbr. 2. mgr. 9. gr. reglugerðarinnar. Við mat á heimild til vinnslu verður einnig að líta til ákvæða annarra laga sem við eiga hverju sinni.

Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að samrýmast öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða (1. tölul. lagaákvæðisins), að þær skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.), að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.), að þær skuli varðveittar í því formi að ekki sé unnt að bera kennsl á skráða einstaklinga lengur en þörf krefur miðað við tilgang vinnslu (5. tölul.) og að þær skuli unnar með þeim hætti að viðeigandi öryggi persónuupplýsinganna sé tryggt (6. tölul.). Þá skulu ábyrgðaraðilar geta sýnt fram á að vinnsla persónuupplýsinga samrýmist ávallt þessum meginreglum, sbr. 2. mgr. 8. gr. laganna og 2. mgr. 5. gr. reglugerðarinnar.

4.1 Vinnsluheimild og tilgangur

Ábyrgðaraðili skal ákveða skýrt tilgreindan, lögmætan og málefnalegan tilgang vinnslu persónuupplýsinga og tryggja að þær séu unnar með lögmætum hætti og eingöngu í tilgreindum tilgangi, sbr. 1. og 2. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og a- og b-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Í því felst að vinnsla persónuupplýsinga þarf að byggjast á viðeigandi vinnsluheimildum og þurfa ábyrgðaraðilar að geta sýnt fram á að öllum skilyrðum tiltekinnar vinnsluheimildar sé fullnægt, sbr. 2. mgr. tilvísaðra greina. Til þess að vinnsla persónuupplýsinga sé lögmæt þarf tilgangur hennar og vinnsluheimildir að liggja fyrir áður en vinnsla hefst.

Kópavogsbær byggir vinnslu persónuupplýsinga grunnskólanemenda í Google-nemendakerfinu á 3. og 5. tölul. 9. gr. laga nr. 90/2018, sbr. lög nr. 91/2008 um grunnskóla. Í svörum Kópavogsbæjar er vísað til þess að nauðsynlegt sé að nota upplýsingatæknikerfi við menntun og fræðslu sem krafa er gerð um í aðalnámskrá og þá sérstaklega á sviði upplýsingatæknimála.

Við mat á því hvort vinnsla persónuupplýsinga getur stuðst við 3. tölul. 9. gr. laga nr. 90/2018, sbr. c-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, þarf að hafa í huga að vinnsluheimildin gerir almennt ráð fyrir því að lög mæli fyrir um að tiltekin vinnsla persónuupplýsinga skuli fara fram eða að nauðsyn vinnslunnar verði leidd af ákvæðum laga sem gilda um starfsemi ábyrgðaraðila. Eins og hér háttar til er það mat Persónuverndar að slík lagaskylda verði ekki leidd af tilvísuðum ákvæðum laga nr. 91/2008. Þegar byggt er á 5. tölul. 9. gr. laganna, sbr. e-lið 1. mgr. 6. gr. reglugerðarinnar, er aftur á móti gert ráð fyrir að stjórnvöld hafi ákveðið svigrúm til að meta hvaða vinnsla er nauðsynleg til að framfylgja lögbundnum verkefnum viðkomandi stjórnvalds með vísan til almannahagsmuna og beitingar opinbers valds. Persónuvernd hefur byggt á því í fyrri niðurstöðum sínum að sveitarfélög geti stutt vinnslu persónuupplýsinga grunnskólanemenda í upplýsingatæknikerfum við heimild 5. tölul. 9. gr. laganna, sbr. e-lið 1. mgr. 6. gr. reglugerðarinnar, í ljósi þeirra verkefna sem þeim eru falin með lögum nr. 91/2008 og réttarheimildum sem settar eru með stoð í þeim lögum. Vísast um þetta atriði til kafla III. 4.1 í fyrrgreindri ákvörðun stofnunarinnar í máli nr. 2021040879.

Krafa vinnsluheimildarinnar um að vinnsla sé nauðsynleg í tilteknum tilgangi og í þágu tilgreindra hagsmuna endurspeglar meginreglu persónuverndarlöggjafarinnar um meðalhóf. Það ræðst af aðstæðum hverju sinni hvort vinnsla telst nauðsynleg. Ábyrgðaraðilum er falið visst mat í þeim efnum en þeir þurfa að meta nauðsyn fyrir hvern og einn þátt vinnslunnar í þágu skilgreinds tilgangs. Matið, fyrir hvern og einn þátt vinnslunnar, ræðst svo af hagsmunum af tilteknu verki og hvort hægt er að gæta þeirra hagsmuna með einhverjum þeim hætti sem felur í sér takmarkaðri vinnslu persónuupplýsinga. Við það mat ber meðal annars að líta til umfangs vinnslunnar og eðlis og efnis þeirra upplýsinga sem unnið er með. Þannig ber t.a.m. að gera ríkari kröfur að því er varðar nauðsyn vinnslu upplýsinga um hrein einkamálefni einstaklinga sem er sanngjarnt og eðlilegt að fari leynt. Vinnsla viðkvæmra persónuupplýsinga þarf að auki að samrýmast einhverju af viðbótarskilyrðum 1. mgr. 11. gr. laga nr. 90/2018, sbr. 2. mgr. 9. gr. reglugerðar (ESB) 2016/679. Þá hefur Persónuvernd einnig lagt til grundvallar, við mat á nauðsyn vinnslu, að rétt sé að líta til þess hvort hinir skráðu eru börn, enda njóta persónuupplýsingar þeirra sérstakrar verndar, sbr. 38. lið formálsorða reglugerðarinnar. Í því sambandi verður, hvað umrædda vinnslu varðar, m.a. að líta til aldurs og þroska barnanna, þeirrar stöðu sem þau eru í gagnvart skólanum sínum, magns þeirra gagna sem hætta er á að safnist yfir skólagöngu þeirra, og aðgangs Google að persónuupplýsingum þeirra til vinnslu í eigin þágu.

Til þess að unnt sé að meta nauðsyn vinnslu, sem og að tryggja gagnsæi hennar, þarf tilgangur vinnslunnar jafnframt að vera skýrt afmarkaður til að komið sé í veg fyrir að fella megi næstum hvað sem er undir hann.

Í fyrirliggjandi vinnsluskrá er sami tilgangur tilgreindur fyrir öllum vinnsluaðgerðum, þ.e. kennslufræðilegur tilgangur og þjónusta við nemendur. Að mati Persónuverndar er tilgangur vinnslunnar skilgreindur með of almennum hætti til þess að unnt sé að meta hvort tiltekinn vinnsluþáttur tiltekinna persónuupplýsinga er í raun nauðsynlegur. Með hliðsjón af því hvernig önnur sveitarfélög, sem sæta sömu úttekt, hafa tilgreint tilgang einstakra vinnsluaðgerða í Google-nemendakerfinu, telur Persónuvernd þó unnt að líta svo á að vinnsla persónuupplýsinga viðskiptavinarins, þ.e. þeirra persónuupplýsinga sem fyrirliggjandi vinnslusamningur nær til, geti talist nauðsynleg vegna verkefnis sem er unnið í þágu almannahagsmuna eða við beitingu opinbers valds, sem Kópavogsbær fer með samkvæmt lögum nr. 91/2008, og því verið heimil á grundvelli 5. tölul. 9. gr. laga nr. 90/2018, sbr. e-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679.

Hvað varðar vinnslu persónuupplýsinga í þjónustugögnum og í þágu viðbótarþjónustu Google áréttar Persónuvernd niðurstöðu sína um ábyrgðarskyldur Kópavogsbæjar sem lýst er í kafla IV. 3.2.

Þegar Kópavogsbær ákveður að taka í notkun skýjaþjónustu í grunnskólastarfi og beina nemendum í að nota það kerfi, ber sveitarfélagið ábyrgð á því að persónuupplýsingar nemendanna séu ekki notaðar í öðrum og ósamrýmanlegum tilgangi en þeim sem er tilgreindur fyrir vinnslunni, sbr. 2. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og b-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Á það einnig við um vinnslu persónuupplýsinga í þjónustugögnum og í þágu viðbótarþjónustu Google. Í því sambandi ber Kópavogsbæ að meta hvort einstakir vinnsluþættir, í tengslum við þá vinnslu, samrýmast þeim tilgangi sem er forsenda söfnunar persónuupplýsinganna í upphafi, í samræmi við 4. mgr. 6. gr. reglugerðar (ESB) 2016/679. Það að Google setji fram tilgang og aðferðir við umrædda vinnslu leysir Kópavogsbæ ekki undan þeirri ábyrgðarskyldu. Af framangreindum ákvæðum leiðir jafnframt að vinnsla persónuupplýsinga í þjónustugögnum og í þágu viðbótarþjónustu Google, í öðrum og ósamrýmanlegum tilgangi en þeim sem er að baki söfnun upplýsinganna, getur ekki talist heimil á grundvelli 9. gr. laga nr. 90/2018 og 1. mgr. 6. gr. reglugerðar (ESB) 2016/679.

Af persónuverndarstefnu Google fyrir skýjaþjónustu (e. Google Cloud Privacy Notice) er ljóst að persónuupplýsingum er safnað í þjónustugögnum í öðrum tilgangi en að veita skýjaþjónustuna og tæknilega aðstoð í tengslum við hana, s.s. til að betrumbæta þjónustuna og aðra þjónustu sem viðskiptavinir nota og kynna nýja virkni fyrir viðskiptavinum og skylda þjónustu. Af persónuverndarstefnu fyrir Google-nemendakerfið (e. Google Workspace for Education Privacy Notice) er jafnframt ljóst að persónuupplýsingum er safnað í þágu viðbótarþjónustu í öðrum tilgangi, s.s. til að betrumbæta þjónustuna, þróa nýja þjónustu, veita persónusniðna þjónustu og greina hvernig þjónustan er notuð. Þá liggur fyrir, samkvæmt skilmálum Google um samþykki vegna vinnslu persónuupplýsinga í nemendakerfinu (e. Google Workspace for Education School Consent), að fyrirtækið safnar m.a. upplýsingum um staðsetningu tækja eins og hún ákvarðast af mismunandi tækni, þ. á m. IP-tölu, GPS og öðrum nemum, í því skyni að veita grunnþjónustu í kerfinu. Ekki er þó skýrt frekar hvernig þessar upplýsingar nýtast í þeim tilgangi og hefur Kópavogsbær ekki tekið sjálfstæða afstöðu til þess hvort vinnsla þeirra er nauðsynleg í þeim tilgangi sem sveitarfélagið hefur tilgreint fyrir vinnslu persónuupplýsinga í nemendakerfinu.

Að öllu framangreindu virtu er það niðurstaða Persónuverndar að Kópavogsbær hefur ekki gætt þess að persónuupplýsingar grunnskólanemenda sveitarfélagsins í Google-nemendakerfinu séu ekki unnar í öðrum og ósamrýmanlegum tilgangi en þeim sem sveitarfélagið hefur tilgreint fyrir vinnslu persónuupplýsinga í kerfinu og sem leiða má af verkefnum sveitarfélagsins samkvæmt lögum nr. 91/2008 um grunnskóla, sbr. 2. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og b-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, sbr. og 4. mgr. 6. gr. reglugerðarinnar.

4.2 Meðalhóf og lágmörkun gagna

Persónuupplýsingar skulu vera nægilegar, viðeigandi og takmarkast við það sem er nauðsynlegt miðað við tilgang vinnslunnar, sbr. 3. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og c-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679.

Í 1. og 2. mgr. 24. gr. laganna og 1. og 2. mgr. 25. gr. reglugerðarinnar er kveðið á um innbyggða og sjálfgefna persónuvernd. Samkvæmt ákvæðum um innbyggða persónuvernd skal ábyrgðaraðili gera tæknilegar og skipulagslegar ráðstafanir sem hannaðar eru til að framfylgja meginreglum um persónuvernd, þ. á m. lágmörkun gagna, og fella nauðsynlegar verndarráðstafanir inn í vinnsluna til að uppfylla kröfur reglugerðar (ESB) 2016/679. Ákvæðin um sjálfgefna persónuvernd kveða á um að ábyrgðaraðili skuli gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja að sjálfgefið sé að einungis þær persónuupplýsingar séu unnar sem nauðsynlegar eru vegna tilgangs vinnslunnar hverju sinni. Þessi skylda gildir um það hversu miklum persónuupplýsingum er safnað, að hvaða marki er unnið með þær, hversu lengi þær eru varðveittar og aðgang að þeim.

Í þessu sambandi verða áréttaðar framangreindar niðurstöður Persónuverndar, sbr. kafla IV. 3.2 og 4.1, sem lúta að ábyrgðarskyldum Kópavogsbæjar hvað viðkemur vinnslu Google á persónuupplýsingum grunnskólanemenda sveitarfélagsins samkvæmt eigin skilmálum. Verður sveitarfélagið enn fremur ekki talið hafa uppfyllt ábyrgðarskyldur sínar sem lúta að innbyggðri og sjálfgefinni persónuvernd samkvæmt framangreindum ákvæðum þar sem ekki hafa verið gerðar viðeigandi skipulagslegar ráðstafanir til að framfylgja meginreglum um persónuvernd og til að tryggja að einungis sé unnið með persónuupplýsingar grunnskólanemenda að því marki sem nauðsynlegt er vegna tilgreinds tilgangs.

Af svörum Kópavogbæjar er þó ljóst að sveitarfélagið hefur takmarkað vinnslu persónuupplýsinga í Google-nemendakerfinu með ýmsum valkvæðum stillingum og stýringum í lausninni, sbr. nánari umfjöllun í kafla III. 6.2 hér að framan. Með hliðsjón af því er fallist á þau sjónarmið Kópavogsbæjar að sveitarfélagið hafi gripið til ýmissa aðgerða sem takmarka vinnslu persónuupplýsinga í þágu innbyggðrar og sjálfgefinnar persónuverndar.

4.3 Varðveislutími persónuupplýsinga

Persónuupplýsingar skulu varðveittar í því formi að ekki sé unnt að bera kennsl á skráða einstaklinga lengur en þörf krefur miðað við tilgang vinnslunnar, sbr. 5. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og e-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Upplýsingar má með öðrum orðum ekki varðveita á persónugreinanlegu formi lengur en nauðsyn krefur í ljósi þess tilgangs sem var með söfnun þeirra og vinnslu. Samkvæmt ábyrgðarskyldu 2. mgr. 8. gr. laganna og 2. mgr. 5. gr. reglugerðarinnar þurfa ábyrgðaraðilar að geta sýnt fram á að þessu sé fylgt. Samkvæmt því sem þegar hefur verið rakið í kafla IV. 4.1 hér á undan er mikilvægt að tilgangur vinnslunnar sé skýrt afmarkaður til að unnt sé að meta nauðsyn varðveislu. Þá taka ákvæði um sjálfgefna persónuvernd einnig til þess hversu lengi persónuupplýsingar eru varðveittar, sbr. umfjöllun í kaflanum hér á undan.

Líkt og greinir í kafla IV. 4.1 hefur Kópavogsbær ekki tilgreint tilgang vinnslunnar með nægilega skýrum hætti. Samkvæmt vinnsluskrá fyrir umrædda vinnslu voru gögn nemenda almennt varðveitt í Google-nemendakerfinu þar til skólagöngu þeirra lyki án þess að lagt væri mat á það að hvaða leyti sá langi varðveislutími samrýmdist tilgreindum tilgangi. Var þessi framkvæmd ekki í samræmi við 5. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og e-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, sbr. og 2. mgr. 24. gr. laganna og 2. mgr. 25. gr. reglugerðarinnar um sjálfgefna persónuvernd.

Samkvæmt svörum Kópavogsbæjar telur sveitarfélagið tilefni til að endurskoða fyrri framkvæmd með hliðsjón af afstöðu Persónuverndar. Persónuvernd áréttar mikilvægi þess sveitarfélagið tilgreini tilgang vinnslunnar nægilega skýrt til þess að unnt sé að meta nauðsyn varðveislunnar hverju sinni.

Hvað varðar varðveislutíma Google á þeim persónuupplýsingum grunnskólanemenda sem fyrirtækið vinnur samkvæmt eigin skilmálum liggur ekki annað fyrir en það sem segir í persónuverndarstefnu Google fyrir skýjaþjónustu (e. Google Cloud Privacy Notice), en þar segir að upplýsingarnar séu varðveittar eins lengi og Google telji nauðsynlegt í tilgreindum tilgangi, t.d. til að koma í veg fyrir svik og misnotkun. Telur Persónuvernd að það heyri undir ábyrgðarskyldu Kópavogsbæjar, í samræmi við fyrrgreindar niðurstöður, að afla sér allra upplýsinga um varðveislutíma persónuupplýsinga grunnskólanemenda sveitarfélagsins sem eru unnar af Google og taka skýra afstöðu þar að lútandi.

5.

Mat á áhrifum á persónuvernd

Ef líklegt er að vinnsla persónuupplýsinga geti haft í för með sér mikla áhættu fyrir réttindi og frelsi einstaklinga, einkum þar sem beitt er nýrri tækni og með hliðsjón af eðli, umfangi, samhengi og tilgangi vinnslunnar, skal ábyrgðaraðili láta fara fram mat á áhrifum fyrirhugaðra vinnsluaðgerða á vernd persónuupplýsinga áður en vinnslan hefst og getur eitt mat tekið til nokkurra svipaðra vinnsluaðgerða sem geta haft í för með sér svipaða áhættuþætti, sbr. 1. mgr. 29. gr. laga nr. 90/2018 og 1. mgr. 35. gr. reglugerðar (ESB) 2016/679.

Með vísan til umfjöllunar í kafla IV. 2., sem og til þess að um er að ræða flókna tækni, skýjaþjónustu, sem beitt er á nýjan hátt, þ.e. til að veita skólabörnum kennslu, þykir ljóst að vinnslan krefst mats á áhrifum á persónuvernd, sbr. 8. tölul. 3. gr. auglýsingar nr. 828/2019, sbr. 1. og 2. mgr. 29. gr. laga nr. 90/2018 og 1. og 4. mgr. 35. gr. reglugerðar (ESB) 2016/679. Þar að auki er leyfilegt að færa endurgjöf kennara við verkefni nemenda inn í Google-nemendakerfið, samkvæmt vinnsluskrá Kópavogsbæjar, en skylt er að framkvæma mat á áhrifum þeirra vinnsluaðgerða, sbr. 4. og 9. tölul. auglýsingar nr. 828/2019.

Í samræmi við 1. mgr. 29. gr. laga nr. 90/2018 og 1. mgr. 35. gr. reglugerðarinnar skal ábyrgðaraðili láta fara fram mat á áhrifum fyrirhugaðra vinnsluaðgerða á vernd persónuupplýsinga, áður en vinnslan hefst. Ákvæðið á sér ekki beina hliðstæðu í eldri lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Þess er þó að geta að í 11. gr. þeirra laga var mælt fyrir um áhættumat, öryggi og gæði persónuupplýsinga.

Vinnuhópur skv. 29. gr. tilskipunar ESB gaf út leiðbeiningar 4. apríl 2017 um mat á áhrifum á persónuvernd (e. Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is „likely to result in a high risk“ for the purposes of Regulation 2016/679), síðast breytt 4. október 2017, WP248. Í leiðbeiningunum er vikið að því að ábyrgðaraðila kunni að vera skylt að framkvæma mat á áhrifum á persónuvernd vegna vinnslu sem hófst áður en reglugerð (ESB) 2016/679 tók gildi, að því gefnu að vinnsluaðgerðir hafi tekið breytingum frá því áhætta var metin, t.d. hvað varðar umfang, tilgang, varðveislutíma, öryggisráðstafanir o.s.frv., og líklegt er að þær breytingar hafi í för með sér mikla áhættu. Er þetta í samræmi við ákvæði 11. mgr. 35. gr. reglugerðarinnar en þar segir að ábyrgðaraðili skuli endurskoða hvort vinnsla fer fram í samræmi við mat á áhrifum á persónuvernd, a.m.k. þegar breyting verður á þeirri áhættu sem fylgir vinnsluaðgerðum.

Með hliðsjón af framangreindu er til þess að líta að skilmálar fyrir Google-nemendakerfið hafa tekið ýmsum breytingum síðustu ár og sú tækni sem er til skoðunar er í stöðugri þróun. Líkt og Kópavogsbær bendir á í svarbréfi sínu 29. apríl 2022 er sú þróun á forræði skýjaþjónustuveitandans og telur Persónuvernd að það hefði átt að kalla á nýtt og skjalfest áhættumat við gildistöku laga nr. 90/2018, að virtum ríkari ábyrgðarskyldum samkvæmt lögunum og reglugerð (ESB) 2016/679. Hefði enn fremur verið tilefni til að leggja nýtt mat á áhættu af umræddri vinnslu í kjölfar dóms Evrópudómstólsins frá 16. júlí 2020 í máli nr. C-311/18 (Schrems II), þar sem ógilt var ákvörðun framkvæmdastjórnar Evrópusambandsins um friðhelgisskjöld (e. Privacy Shield). Af dómnum má ráða að mikil áhætta fylgdi því að persónuupplýsingar væru fluttar til Bandaríkjanna og unnar þar án þess að gripið væri til viðeigandi verndarráðstafana enda höfðu bandarískar eftirlitsstofnanir, á þeim tíma sem um ræðir, víðtækar heimildir að lögum til að nota upplýsingarnar án þess að þurfa að gæta að persónuvernd hlutaðeigandi einstaklinga.

Persónuvernd áréttar í þessu sambandi þau sjónarmið sem rakin eru í kafla IV. 3.2. um ábyrgðarskyldur ábyrgðaraðila, sem fela m.a. í sér að hann skal gera viðeigandi tæknilegar og skipulagslegar ráðstafanir sem taka mið af eðli, umfangi, samhengi og tilgangi vinnslu og áhættu fyrir réttindi og frelsi skráðra einstaklinga til að tryggja og sýna fram á að vinnsla persónuupplýsinga uppfylli kröfur reglugerðarinnar, sbr. 23. gr. laga nr. 90/2018 og 1. mgr. 24. gr. reglugerðarinnar. Í því felst meðal annars að bera kennsl á og lágmarka áhættu í tengslum við vinnslu persónuupplýsinga.

Með hliðsjón af framangreindu telur Persónuvernd að Kópavogsbær hafi verið skylt að framkvæma mat á áhrifum á persónuvernd vegna vinnslu persónuupplýsinga grunnskólanemenda í Google-nemendakerfinu eftir gildistöku laga nr. 90/2018, þrátt fyrir að sveitarfélagið hafi tekið kerfið í notkun í gildistíð eldri laga nr. 77/2000.

-

Samkvæmt 1. mgr. 30. gr. laga nr. 90/2018, sbr. 1. mgr. 36. gr. reglugerðar (ESB) 2016/679, skal ábyrgðaraðili hafa samráð við Persónuvernd, ef mat á áhrifum á persónuvernd gefur til kynna að vinnsla muni hafa mikla áhættu í för með sér.

Persónuvernd telur tilefni til að árétta mikilvægi þess að samráðs sé leitað við stofnunina, ef talið er að vinnslunni fylgi mikil áhætta fyrir hina skráðu og ef vafi leikur á um að unnt sé að draga úr áhættunni með fullnægjandi ráðstöfunum af hendi ábyrgðaraðila.

Í þessu sambandi eru áréttuð þau sjónarmið sem rakin eru í kafla IV. 2. um vinnslu persónuupplýsinga barna í skólastarfi. Einnig er að líta til eðlis þeirra upplýsinga sem eru unnar í Google-nemendakerfinu, þ.e. endurgjöf eða mat kennara á verkefnum og aðrar persónuupplýsingar sem varða hrein einkamálefni nemendanna, s.s. í verkefnum þeirra, sem og áhættunnar á því að viðkvæmar persónuupplýsingar verði skráðar í kerfið. Að teknu tilliti til einstakra ákvæða í skilmálum Google, t.d. um vinnslu upplýsinga um staðsetningu tækja eins og hún ákvarðast af mismunandi tækni, þ. á m. IP-tölu, GPS og öðrum nemum, í því almenna skyni að veita grunnþjónustu, er enn fremur að líta til fullyrðinga Kópavogsbæjar í framkomnum skýringum. Segir þar, nánar tiltekið, að sveitarfélagið hafi engin völd, aðstöðu eða réttindi til að veita upplýsingar um alla vinnslu persónuupplýsinga grunnskólanemenda í Google-nemendakerfinu, að sveitarfélagið hafi enga aðkomu haft að því að semja einhliða skilmála Google, þar sem frekari vinnslu persónuupplýsinga grunnskólanemendanna er lýst, og að það sé staðreynd, m.a. samkvæmt yfirlýsingum Google, að ekki sé hægt að veita neina skýjaþjónustu, af því tagi sem hér um ræðir, án vinnslu upplýsinga, eins og þeirra sem eru skilgreindar sem þjónustugögn í skilmálum Google.

Telur Persónuvernd að allt það sem hér hefur verið rakið hefði átt að leiða til þess að Kópavogsbær hefði samráð við Persónuvernd vegna umræddrar vinnslu persónuupplýsinga.

6.

Miðlun persónuupplýsinga til þriðju landa

Miðlun persónuupplýsinga til þriðju landa, þ.e. landa utan Evrópska efnahagssvæðisins, er eingöngu heimil ef farið er að ákvæðum V. kafla reglugerðar (ESB) 2016/679, sem ætlað er að tryggja fullnægjandi vernd við miðlun persónuupplýsinga til þriðju landa eða alþjóðastofnana, sbr. 44. gr. reglugerðarinnar. Í tilvísuðu ákvæði segir jafnframt að beita skuli öllum ákvæðum kaflans þannig að tryggja megi að ekki sé grafið undan vernd einstaklinga sem tryggð er með reglugerðinni.

Samkvæmt 1. mgr. 45. gr. reglugerðarinnar er miðlun persónuupplýsinga til þriðju landa eða alþjóðastofnana heimil ef framkvæmdastjórnin hefur ákveðið að þriðja landið, yfirráðasvæði eða einn eða fleiri tilgreindir geirar innan viðkomandi þriðja lands eða umrædd alþjóðastofnun tryggi fullnægjandi vernd. Slík miðlun þarfnast ekki sérstakrar heimildar. Ef ekki liggur fyrir jafngildis-ákvörðun samkvæmt 45. gr. reglugerðarinnar getur ábyrgðaraðili eða vinnsluaðili aðeins miðlað persónuupplýsingum til þriðja lands hafi hann gert viðeigandi verndarráðstafanir og með því skilyrði að fyrir hendi séu framfylgjanleg réttindi og skilvirk lagaleg úrræði fyrir skráða einstaklinga, sbr. 1. mgr. 46. gr. reglugerðarinnar.

Samkvæmt ákvæði 10.1 í fyrirliggjandi vinnslusamningi getur vinnsla persónuupplýsinga farið fram í þeim löndum þar sem Google eða undirvinnsluaðilar fyrirtækisins hafa aðstöðu. Af gögnum málsins er enn fremur ljóst að Google og hluti undirvinnsluaðila fyrirtækisins hafa aðstöðu í Bandaríkjunum. Í skýringum Kópavogsbæjar kemur fram að Google geti ekki staðfest hvort gögn sem unnin eru í Google-nemendakerfinu eru vistuð eða að öðru leyti unnin í Bandaríkjunum.

Með hliðsjón af framangreindu telur Persónuvernd ekki útilokað að persónuupplýsingar grunnskólanemenda Kópavogsbæjar í Google-nemendakerfinu séu unnar í Bandaríkjunum.

Jafngildisákvörðun varðandi flutning persónuupplýsinga frá Evrópu til Bandaríkjanna var samþykkt af framkvæmdastjórn Evrópusambandsins 10. júlí 2023. Miðlun persónuupplýsinga til Bandaríkjanna féll því ekki undir fyrrgreinda 45. gr. reglugerðarinnar á þeim tíma þegar úttekt þessi hófst og fram til 10. júlí sl.

Samkvæmt fyrirliggjandi vinnslusamningi var á þessum tíma treyst á staðlaða samningsskilmála vegna miðlunar persónuupplýsinga til þriðju landa, sbr. c-lið 2. mgr. 46. gr. reglugerðar (ESB) 2016/679. Auk þess hefur Kópavogsbær vísað til lýsinga Google á þeim viðbótarverndarráðstöfunum sem eru viðhafðar vegna miðlunar persónuupplýsinga til þriðju landa.

Í dómi Evrópudómstólsins frá 16. júlí 2020 í máli nr. C-311/18 (Schrems II) er tekið fram að við miðlun persónuupplýsinga til þriðju landa þurfi að tryggja sambærilega vernd og almenna persónuverndarreglugerðin kveður á um, óháð því hvaða ákvæði V. kafla reglugerðar (ESB) 2016/679 stuðst er við, en slíkt leiði af 44. gr. reglugerðarinnar. Styðjist ábyrgðaraðili við staðlaða samningsskilmála við flutning persónuupplýsinga til þriðja lands þarf hann því að tryggja í framkvæmd að skilmálarnir veiti sambærilega vernd og almenna persónuverndarreglugerðin kveður á um. Við ákvörðun um hvort undirgangast skal slík ákvæði þurfa ábyrgðaraðilar að leggja mat á hvort viðtökulandið veitir fullnægjandi vernd. Í því sambandi var í dómi Evrópudómstólsins sérstaklega nefnt að í Bandaríkjunum hefðu eftirlitsstofnanir víðtækar heimildir, samkvæmt lögum, til að nota persónuupplýsingar sem fluttar væru frá Evrópusambandinu til Bandaríkjanna án þess að þurfa að gæta að persónuvernd einstaklinga. Af dómnum má jafnframt ráða að stöðluð samningsákvæði hafi ekki getað komið í veg fyrir slíkan aðgang erlendra eftirlitsstofnana og því hefðu ábyrgðaraðilar getað þurft að innleiða viðbótarverndarráðstafanir samhliða stöðluðum samnings­skilmálum til að tryggja í framkvæmd að skilmálarnir veittu sambærilega vernd.

Í tilmælum EDPB frá 18. júní 2020 nr. 1/2020 um ráðstafanir til flutnings persónuupplýsinga úr landi (e. Recommendations on measures that supplement transfer tools to ensure compliance with EU level of protection of personal data) eru nánari upplýsingar um hvers ábyrgðaraðilum ber að gæta við flutning persónuupplýsinga til þriðju landa, meðal annars með hliðsjón af framangreindum dómi Evrópudómstólsins. Hvað varðar mögulegan aðgang erlendra eftirlitsstofnana að persónuupplýsingum sem miðlað er til þriðju landa segir í tilmælunum að samningsbundnar og skipulagslegar viðbótarráðstafanir dugi almennt ekki til að koma í veg fyrir slíkan aðgang, heldur þurfi jafnframt að innleiða tæknilegar ráðstafanir, svo sem dulkóðun. Í tilmælunum er jafnframt lögð áhersla á að haldið sé utan um dulkóðunarlykla á ábyrgan hátt og af traustum aðilum innan Evrópska efnahagssvæðisins eða annarra ríkja sem tryggja persónuupplýsingum fullnægjandi vernd.

Af lýsingum Google er ljóst að persónuupplýsingar eru dulkóðaðar í gagnagrunni Google-nemendakerfisins, sem og í flutningi. Google key management service (KMS) varðveitir dulkóðunarlykilinn en viðskiptavinir eiga einnig kost á að stjórna varðveislu lykilsins fyrir tiltekna þjónustu. Kópavogsbær hefur ekki sýnt fram á að sveitarfélagið hafi nýtt þann möguleika. Persónuvernd telur því að leggja verði til grundvallar að dulkóðunarlykillinn hafi verið varðveittur af Google KMS, sem er á hendi sömu fyrirtækjasamstæðu og annaðist hýsingu og dulkóðun persónuupplýsinga fyrir hönd Kópavogsbæjar. Að mati Persónuverndar dregur það fyrirkomulag verulega úr verndargildi dulkóðunarinnar. Þá verður ekki séð að aðrar tæknilegar ráðstafanir, s.s. aðgangsstýringar, sem viðhafðar eru í Google-nemendakerfinu, hafi getað komið í veg fyrir aðgang erlendra eftirlitsstofnana að persónuupplýsingum sem miðlað er til þriðju landa.

Með hliðsjón af því sem hér hefur verið rakið telur Persónuvernd að Kópavogsbær hafi ekki sýnt fram á að hafa gert fullnægjandi viðbótarverndarráðstafanir í tengslum við flutning persónuupplýsinga til Bandaríkjanna, fram til 10. júlí 2023. Því hafi sveitarfélagið ekki uppfyllt skilyrði 46. gr. reglugerðar (ESB) 2016/679, og hafi miðlun persónuupplýsinga til Bandaríkjanna, á grundvelli vinnslusamnings sveitarfélagsins við Google, þar af leiðandi verið andstæð 44. gr. reglugerðarinnar.

7.

Samantekt niðurstöðu

Persónuvernd hefur komist að þeirri niðurstöðu að vinnsla persónuupplýsinga grunnskólanemenda í Google-nemendakerfinu á vegum Kópavogsbæjar hafi ekki verið í samræmi við ákvæði persónuverndarlöggjafarinnar.

Í fyrsta lagi telst Kópavogsbær ekki hafa uppfyllt ábyrgðarskyldur sínar þegar lagt var mat á og tekin ákvörðun um að nota Google sem vinnsluaðila umræddrar vinnslu, sbr. 8. gr., 23. gr. og 1. mgr. 25. gr. laga nr. 90/2018 og 5. gr., 1. mgr. 24. gr. og 1. mgr. 28. gr. reglugerðar (ESB) 2016/679.

Í öðru lagi telst fyrirliggjandi vinnslusamningur ekki uppfylla skilyrði a-liðar 3. mgr. 28. gr. reglugerðarinnar, sbr. 3. mgr. 25. gr. laganna.

Í þriðja lagi telst Kópavogsbær ekki hafa tilgreint tilgang einstakra vinnsluaðgerða með nægilega skýrum hætti og ekki uppfyllt ábyrgðarskyldur sínar sem lúta að því að persónuupplýsingar grunnskólanemenda sveitarfélagsins séu ekki unnar í öðrum og ósamrýmanlegum tilgangi en þeim sem sveitarfélagið hefur tilgreint fyrir vinnslunni, sbr. 2. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og b-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, sbr. og 4. mgr. 6. gr. reglugerðarinnar.

Í fjórða lagi telst Kópavogsbær ekki hafa uppfyllt ábyrgðarskyldur sínar sem lúta að lágmörkun gagna og innbyggðri og sjálfgefinni persónuvernd samkvæmt 3. tölul. 1. mgr. 8. gr. og 1. og 2. mgr. 24. gr. laga nr. 90/2018, sbr. c-lið 1. mgr. 5. gr. og 1. og 2. mgr. 25. gr. reglugerðar (ESB) 2016/679.

Í fimmta lagi telst Kópavogsbær ekki hafa uppfyllt ábyrgðarskyldur sínar sem lúta að geymslutakmörkun og sjálfgefinni persónuvernd samkvæmt 5. tölul. 1. mgr. 8. gr. og 2. mgr. 24. gr. laga nr. 90/2018, sbr. e-lið 1. mgr. 5. gr. og 2. mgr. 25. gr. reglugerðar (ESB) 2016/679.

Í sjötta lagi gerði Kópavogsbær ekki mat á áhrifum á persónuvernd fyrir umrædda vinnslu samkvæmt 1. og 11. mgr. 35. gr. reglugerðar (ESB) og 1. mgr. 29. gr. laga nr. 90/2018, og uppfyllti því ekki ábyrgðarskyldur sínar samkvæmt 23. gr. laganna og 1. mgr. 24. gr. reglugerðarinnar.

Í sjöunda lagi tryggði Kópavogsbær ekki öruggan flutning persónuupplýsinga til Bandaríkjanna, sbr. 46. gr. reglugerðar (ESB) 2016/679, og braut því gegn 44. reglugerðarinnar.

V.

Beiting fyrirmæla og stjórnvaldssekta

1.

Fyrirmæli

Í samræmi við þessa niðurstöðu, og með vísan til 4. tölul. 42. gr. laga nr. 90/2018, sbr. d-lið 2. mgr. 58. gr. reglugerðar (ESB) 2016/679, er hér með lagt fyrir Kópavogbæ að færa vinnslu persónuupplýsinga grunnskólanemenda í Google-nemendakerfinu til samræmis við löggjöfina.

Í því sambandi vill Persónuvernd draga fram þau atriði sem stofnunin telur sérstaklega áríðandi að huga að til þess að heimilt geti verið fyrir sveitarfélagið að halda áfram notkun Google-nemendakerfisins. Rétt er að taka fram að með hliðsjón af jafngildisákvörðun framkvæmdastjórnar Evrópusambandsins, dags. 10. júlí 2023, um flutning persónuupplýsinga frá Evrópu til Bandaríkjanna kemur ekki til skoðunar að beina fyrirmælum til Kópavogsbæjar sem lúta að öruggum flutningi persónuupplýsinga til Bandaríkjanna.

Telur Persónuvernd ekki tilefni til að mæla fyrir um stöðvun vinnslu í Google-nemendakerfinu ef Kópavogsbær telur mögulegt að færa vinnsluna til samræmis við persónuverndarlöggjöfina samkvæmt eftirfarandi:

1. Kópavogsbær kortleggi hvaða vinnsla persónuupplýsinga grunnskólanemenda sveitarfélagsins fer í raun fram í Google-nemendakerfinu og í hvaða tilgangi. Á það við um allar vinnsluaðgerðir, hvort sem þær eru á hendi sveitarfélagsins eða Google.

2. Kópavogsbær skjalfesti mat sitt á einstökum vinnsluaðgerðum, samkvæmt lið 1, til samræmis við ákvæði 2. og 3. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og b- og c-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, sbr. og 4. mgr. 6. gr. reglugerðarinnar, þ. á m. mat á því, í hvaða tilvikum Google getur tekið sjálfstæðar ákvarðanir í tengslum við vinnslu, sem fer fram samkvæmt fyrirmælum sveitarfélagsins, og að hvaða marki.

3. Kópavogsbær geri viðeigandi breytingar á vinnslusamningi við Google í samræmi við ákvæði 28. gr. reglugerðar (ESB) 2016/679, sbr. 3. mgr. 25. gr. laga nr. 90/2018. Í vinnslusamningi sé tilgreint með skýrum og gagnsæjum hætti um hvaða vinnslu er samið og tekin af öll tvímæli um að önnur vinnsla, en sú sem Kópavogsbær veitir fyrirmæli um og er í samræmi við tilgreindan tilgang, fari ekki fram.

4. Kópavogsbær framkvæmi mat á áhrifum á persónuvernd í samræmi við liði 1 og 2 og til samræmis við 7. mgr. 35. gr. reglugerðar (ESB) 2016/679 og 1. mgr. 29. gr. laga nr. 90/2018.

Staðfesting á því að farið hafi verið að þessum fyrirmælum skal berast Persónuvernd eigi síðar en 29. febrúar 2024.

2.

Stjórnvaldssekt

Samkvæmt 1. mgr. 46. gr. laga nr. 90/2018 getur Persónuvernd lagt stjórnvaldssekt á hvern þann ábyrgðaraðila sem brýtur gegn einhverju þeirra ákvæða reglugerðarinnar sem talin eru upp í 2. og 3. mgr. sömu lagagreinar.

Sekt samkvæmt 2. mgr. 46. gr. laganna getur numið allt frá 100.000 krónum til 1,2 milljarða króna eða allt að 2% af árlegri heildarveltu fyrirtækis á heimsvísu, þegar brotið hefur verið gegn meðal annars 28. og 35. gr. reglugerðar (ESB) 2016/679.

Sekt samkvæmt 3. mgr. 46. gr. laganna getur numið frá 100.000 krónum til 2,4 milljarða króna eða allt að 4% af árlegri heildarveltu fyrirtækis á heimsvísu, þegar brotið hefur verið gegn meðal annars 5., 44. og 46. gr. reglugerðarinnar.

Með hliðsjón af framkvæmdinni í þeim löndum sem eru bundin af reglugerðinni liggur fyrir að sektir sem eru lagðar á opinbera aðila eru mun lægri en þær sem lagðar eru á stórfyrirtæki með mikla veltu. Einnig er ljóst að þó að unnt sé að sekta fyrir mörg brot, samkvæmt bæði 2. og 3. mgr. 46. gr. laganna, í einu og sama málinu myndi samanlögð sekt fyrir brotin aldrei verða hærri en samkvæmt efri mörkum sektarramma 3. mgr. þeirrar greinar.

Við ákvörðun um hvort beita skal stjórnvaldssekt og hver fjárhæð hennar skal vera, skal tekið tillit til þeirra þátta sem taldir eru upp í 1. mgr. 47. gr. laga nr. 90/2018, sbr. 2. mgr. 83. gr. reglugerðar (ESB) 2016/679. Með hliðsjón af þeim ákvæðum telur Persónuvernd að eftirfarandi atriði verði metin Kópavogsbæ til málsbóta við ákvörðun um hvort beita skal stjórnvaldssekt og hver fjárhæð hennar skal vera:

1. Ekkert liggur fyrir um að tjón hafi orðið vegna vinnslu persónuupplýsinga grunnskólanemenda Kópavogsbæjar í Google-nemendakerfinu, sbr. 1. tölul. 1. mgr. 47. gr. laganna og a-lið 2. mgr. 83. gr. reglugerðarinnar.

2. Kópavogsbær hefur svarað erindum Persónuverndar við meðferð málsins með skýrum og greinargóðum hætti, sbr. 6. tölul. 1. mgr. 47. gr. laganna og f- og lið 2. mgr. 83. gr. reglugerðarinnar.

3. Eftir að úttektin hófst hefur Kópavogsbær tekið í notkun Plus-þjónustuleið Google-nemendakerfisins til þess að ná betri stjórn á staðsetningu gagna, sbr. 6. tölul. 1. mgr. 47. gr. laganna og f-lið 2. mgr. 83. gr. reglugerðarinnar.

Þá telur Persónuvernd að eftirfarandi atriði leiði frekar til þess að stjórnvaldssekt verði lögð á Kópavogsbæ og hafi áhrif til hækkunar hennar:

1. Brot Kópavogsbæjar þykja alvarleg með hliðsjón af því að þau varða persónuupplýsingar barna í skólastarfi, sbr. 1. og 7. tölul. 1. mgr. 47. gr. laganna og a- og g-lið 2. mgr. 83. gr. reglugerðarinnar.

Persónuupplýsingar barna njóta sérstakrar verndar samkvæmt persónuverndarlöggjöfinni þar sem þau kunna að vera síður meðvituð um áhættu, afleiðingar og viðkomandi verndarráðstafanir og réttindi sín í tengslum við vinnslu persónuupplýsinga, sbr. 38. lið formála reglugerðarinnar. Einnig er að líta til þess hvaða möguleika grunnskólanemendur hafa í raun til að hafna eða takmarka vinnslu persónuupplýsinga sinna í upplýsingatæknikerfi sem skóli þeirra hefur tekið ákvörðun um að nota. Að þessu virtu er brýnt að sveitarfélagið hafi yfirsýn yfir þá vinnslu persónuupplýsinga sem fer fram í því kerfi sem það kýs að nota og missi ekki stjórn á persónuupplýsingum barnanna.

2. Brot Kópavogsbæjar þykja alvarleg með hliðsjón af eðli þeirra persónuupplýsinga grunnskólanemenda sem eru unnar í Google-nemendakerfinu, sbr. 1. og 7. tölul. 1. mgr. 47. gr. laganna og a- og g-lið 2. mgr. 83. gr. reglugerðarinnar.

Í fyrsta lagi er heimilt að skrá í kerfið upplýsingar um endurgjöf kennara við verkefni nemenda. Þykir slík vinnsla vera líkleg til að hafa í för með sér mikla áhættu fyrir réttindi og frelsi einstaklinga, samkvæmt ákvæðum 4. og 9. tölul. 3. gr., sbr. 1. og 2. gr. auglýsingar Persónuverndar nr. 828/2019 um skrár yfir vinnsluaðgerðir sem krefjast ávallt mats á áhrifum á persónuvernd.

Í öðru lagi verður einnig að telja að þær persónuupplýsingar, sem felast í verkefnum nemenda, geti falið í sér persónuupplýsingar um hrein einkamálefni nemendanna og eru almennt gerðar ríkari kröfur hvað varðar vinnslu slíkra upplýsinga í samræmi við meginreglur um persónuvernd, skv. 1. mgr. 8. gr. laga nr. 90/2018 og 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Persónuvernd hefur byggt á því að gera skuli ríkari kröfur til vinnslu persónuupplýsinga um hrein einkamálefni eða upplýsinga viðkvæms eðlis í fyrri niðurstöðum sínum, m.a. í úrskurði stofnunarinnar frá 19. maí 2003, í máli nr. 2003/103, sem svo er vísað til í ákvörðun stofnunarinnar frá 3. maí 2022, í máli nr. 2021040879. Af athugasemdum við 9. gr. frumvarps sem varð að lögum nr. 90/2018 má ráða að það hafi ekki verið vilji löggjafans að bregða frá fyrri framkvæmd hvað þetta varðar.

Í þriðja lagi telur Persónuvernd að með hliðsjón af virkni Google-nemendakerfisins og aldri nemenda standi líkur til þess að viðkvæmar persónuupplýsingar, eins og þær eru skilgreindar í 3. tölul. 3. gr. laga nr. 90/2018, séu skráðar í kerfið. Í svörum Kópavogsbæjar segir að sveitarfélagið leggi bann við vinnslu viðkvæmra persónuupplýsinga í Google-nemendakerfinu og hafi eftirlit með því að banninu sé framfylgt. Þótt ekkert liggi fyrir um að viðkvæmar persónuupplýsingar grunnskólanemenda Kópavogsbæjar hafi í raun verið skráðar í Google-nemendakerfið er ljóst af framangreindu að sveitarfélaginu er fullkunnugt um áhættu þar að lútandi. Er sú áhætta ekki síst fyrir hendi þegar litið er til þess að sveitarfélagið hefur ekki framkvæmt viðeigandi áhættumat.

Áhættan sem fylgir skráningu upplýsinga samkvæmt framangreindu er enn meiri þegar horft er til þeirrar vinnslu persónuupplýsinga sem Google viðhefur samkvæmt eigin skilmálum. Að öllu þessu virtu var aðgæsluskylda og ábyrgð Kópavogsbæjar töluvert meiri en ella.

3. Mikil áhætta fylgdi því að persónuupplýsingar væru fluttar til Bandaríkjanna og unnar þar án þess að gripið hefði verið til viðeigandi verndarráðstafana, sbr. dóm Evrópudómstólsins frá 16. júlí 2020 í máli nr. C-311/18 (Schrems II), enda höfðu bandarískar eftirlitsstofnanir, á þeim tíma sem um ræðir, víðtækar heimildir að lögum til að nota persónuupplýsingar sem voru fluttar til Bandaríkjanna, án þess að þurfa að gæta að persónuvernd hlutaðeigandi einstaklinga. Brot þar að lútandi telst því alvarlegt, sbr. 1. og 4. tölul. 1. mgr. 47. gr. laga nr. 90/2018 og a- og d-liði 2. mgr. 83. gr. reglugerðar (ESB) 2016/679.

4. Brot Kópavogsbæjar þykja umfangsmikil með hliðsjón af því að 3.800 grunnskólanemendur sveitarfélagsins notuðu Google-nemendakerfið skólaárið 2021-2022, sbr. 1. tölul. 1. mgr. 47. gr. laganna og a-lið 2. mgr. 83. gr. reglugerðarinnar.

Með hliðsjón af öllu framangreindu og að teknu tilliti til fyrri niðurstaðna Persónuverndar sem lúta að notkun upplýsingatæknikerfa í starfi grunnskóla er það niðurstaða stofnunarinnar að leggja beri stjórnvaldssekt á Kópavogsbæ. Þykir hún hæfilega ákveðin 3.000.000 krónur.

Á k v ö r ð u n a r o r ð:

Vinnsla persónuupplýsinga grunnskólanemenda í Google-nemendakerfinu á vegum Kópavogsbæjar samrýmist ekki lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerð (ESB) 2016/679.

Lagt er fyrir Kópavogsbæ að færa vinnsluna til samræmis við löggjöfina. Staðfesting á því að farið hafi verið að þessum fyrirmælum skal berast Persónuvernd eigi síðar en 29. febrúar 2024.

Lögð er 3.000.000 króna stjórnvaldssekt á Kópavogsbæ. Sektina skal greiða í ríkissjóð innan mánaðar frá dagsetningu ákvörðunar þessarar, sbr. 6. mgr. 46. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.

Persónuvernd, 28. nóvember 2023

Ólafur Garðarsson
formaður

Björn Geirsson                                                                        Vilhelmína Haraldsdóttir

Þorvarður Kári Ólafsson