Slær líka á putta Kópa­vogs vegna nem­enda­kerfis

Persónuvernd tók ákvörðun um að sekta sveitarfélagið í byrjun mánaðar en ákvörðunin var birt á vef stjórnvaldsins í dag.

Í ákvörðuninni segir að grunnskólar Kópavogsbæjar hafi notað upplýsingatæknikerfi án þess að gætt væri að kröfum persónuverndarlöggjafarinnar. Úttekt Persónuverndar á notkun kerfisins hafi leitt í ljós margvísleg brot sveitarfélagsins á löggjöfinni.

„Persónuupplýsingar barna njóta sérstakrar verndar. Þegar nota á upplýsingatæknikerfi í grunnskólastarfi er mikilvægt að hugað sé að þeirri vernd og farið að kröfum persónuverndarlöggjafarinnar til hins ýtrasta,“ segir í ákvörðuninni.

Reykjvíkurborg var sektuð fyrir sams konar brot í fyrra. Sviðsstjóri skóla- og frí­stundas­sviðs Reykja­víkur­borgar, sagði þá að niður­staða stofnunarinnar myndi leiða til þess að skólum um allt land yrði ó­kleift að inn­leiða tækni­lausnir í ó­breyttu um­hverfi. Fara þyrfti vand­lega yfir stöðu mála.

Samevrópsk úttekt

Upphaf málsins má rekja til úttektar Persónuverndar á notkun skýjaþjónustu Seesaw og Google í grunnskólastarfi. Úttektin var þáttur í víðtækara verkefni sem unnið var að frumkvæði Evrópska persónuverndarráðsins, þar sem meirihluti aðildarríkja ráðsins sinnir sameiginlegum viðfangsefnum á samræmdan hátt, en ákveðið var að setja notkun opinberra aðila á skýjaþjónustu í forgang árið 2022.

Úttektin leiddi í ljós margvísleg brot Kópavogsbæjar á persónuverndarlöggjöfinni. Meðal annars studdist vinnsla persónuupplýsinga grunnskólanemenda í kerfinu ekki við fullnægjandi vinnsluheimild þar sem hún rúmaðist ekki að öllu leyti innan þeirra lögbundnu verkefna sem Kópavogsbæ eru falin með lögum um grunnskóla. Að auki var vinnslan ekki talin vera í samræmi við meginreglur persónuverndarlöggjafarinnar um lögmæta, sanngjarna og gagnsæja vinnslu, skýrt tilgreindan, lögmætan og málefnalegan tilgang, meðalhóf og varðveislu persónuupplýsinga.

Áhætta fylgir því að senda upplýsingar til Bandaríkjanna

Í ákvörðuninni segir að við ákvörðun um hvort leggja skyldi á sekt og hver fjárhæð hennar skyldi vera hafi verið litið til þess meðal annars að brot Kópavogsbæjar vörðuðu persónuupplýsingar barna, sem njóta sérstakrar verndar samkvæmt persónuverndarlöggjöfinni og líkur hafi þótt á að skráðar væru í kerfið viðkvæmar persónuupplýsingar þeirra og upplýsingar viðkvæms eðlis.

Þá hafi verið horft til þess að áhætta fylgi því að persónuupplýsingar séu fluttar til Bandaríkjanna og unnar þar án þess að gripið hafi verið til viðeigandi verndarráðstafana.

Á hinn bóginn hafi einnig verið litið til þess að ekkert tjón virtist hafa orðið vegna brotanna, ekkert benti til annars en að almennt upplýsingaöryggi Seesaw væri fullnægjandi og að Kópavogsbær svaraði erindum Persónuverndar við meðferð málsins með skýrum og greinargóðum hætti.