Notkun Seesaw-nemendakerfisins í grunnskólum Reykjavíkur - sektarákvörðun
Mál nr. 2021040879
Persónuvernd hefur lagt fyrir Reykjavíkurborg að greiða 5.000.000 króna stjórnvaldssekt á grundvelli fyrri ákvörðunar stofnunarinnar um notkun Seesaw-nemendakerfisins í grunnskólum borgarinnar. Við ákvörðun um hvort leggja skyldi á sekt og hver fjárhæð hennar skyldi vera var m.a. litið til þess að brot Reykjavíkurborgar vörðuðu persónuupplýsingar barna sem njóta sérstakrar verndar samkvæmt persónuverndarlöggjöfinni og að líkur þóttu á að skráðar væru í kerfið viðkvæmar persónuupplýsingar þeirra og upplýsingar viðkvæms eðlis, svo sem endurgjöf kennara og upplýsingar um hrein einkamálefni nemenda. Þá var tilgangur vinnslunnar ekki nægilega skýrt afmarkaður og var vinnsluheimild því ekki talin vera fyrir hendi, ekki var gætt að meginreglu löggjafarinnar um meðalhóf og lágmörkun gagna auk þess sem mikil áhætta fylgir því að persónuupplýsingar séu fluttar til Bandaríkjanna og unnar þar án þess að gripið hafi verið til viðeigandi verndarráðstafana. Á hinn bóginn var einnig litið til þess m.a. að ekkert tjón virtist hafa orðið vegna brotanna, ekkert benti til annars en að almennt upplýsingaöryggi Seesaw væri fullnægjandi og að Reykjavíkurborg svaraði erindum Persónuverndar við meðferð málsins með skýrum og greinargóðum hætti. Þar að auki hætti borgin að styðja vinnslu í nemendakerfinu við samþykki foreldra eftir ábendingar Persónuverndar.
Ákvörðun
Hinn 3. maí 2022 tók Persónuvernd svohljóðandi ákvörðun í máli nr. 2021040879:
I.
Málsmeðferð
1.
Fyrri ákvörðun Persónuverndar og bréfaskipti í kjölfarið
Hinn 16. desember 2021 tók Persónuvernd ákvörðun um frumkvæðisathugun sína á vinnslu persónuupplýsinga skólabarna í Reykjavík í Seesaw-nemendakerfinu.
Í ákvörðuninni var komist að þeirri niðurstöðu að Reykjavíkurborg væri ábyrgðaraðili umræddrar vinnslu og voru ákvörðunarorðin á þann veg að vinnsla persónuupplýsinga skólabarna í Seesaw-nemendakerfinu á vegum Reykjavíkurborgar samrýmdist ekki lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerð (ESB) 2016/679. Einnig var lagt fyrir Reykjavíkurborg að loka reikningum skólabarna í Seesaw og sjá til þess að öllum persónuupplýsingum þeirra yrði eytt úr kerfinu en þó ekki áður en tekin hefðu verið afrit af upplýsingunum til að afhenda börnunum eða, eftir atvikum, til varðveislu í skólunum. Staðfesting á því að farið hefði verið að þessum fyrirmælum barst Persónuvernd 2. febrúar síðastliðinn.
Eins og greinir í fyrri ákvörðun Persónuverndar í málinu var tekið til sérstakrar ákvörðunar hvort leggja ætti stjórnvaldssekt á Reykjavíkurborg á grundvelli 46. gr. laga nr. 90/2018, sbr. 83. gr. reglugerðarinnar, og var Reykjavíkurborg veittur andmælaréttur þar að lútandi með bréfi Persónuverndar 10. febrúar síðastliðinn. Í bréfi Persónuverndar voru rakin helstu sjónarmið sem leitt gætu til þess að sekt yrði lögð á og haft áhrif á fjárhæð hennar með vísan til 1. mgr. 47. gr. laga nr. 90/2018, sbr. 2. mgr. 83. gr. reglugerðarinnar. Tiltekið var að sekt gæti, að virtum slíkum sjónarmiðum, numið u.þ.b. 5 milljónum króna.
Reykjavíkurborg svaraði með bréfi 3. mars síðastliðinn og reifaði sín sjónarmið.
2.
Sjónarmið Reykjavíkurborgar
Reykjavíkurborg telur að ekki séu forsendur fyrir Persónuvernd að beita sektarheimild gagnvart borginni vegna vinnslu persónuupplýsinga skólabarna í Seesaw-nemendakerfinu. Verða svör borgarinnar nú rakin í megindráttum með hliðsjón af tilvísuðum töluliðum 1. mgr. 47. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.
1. tölul. Reykjavíkurborg vísar til þess að ekkert tjón virðist hafa orðið af brotum borgarinnar og leggur áherslu á að tekið verði mið af tilgangi vinnslunnar, sem hafi verið málefnalegur, þ.e. að nemendur geti unnið verkefni í samræmi við aðalnámskrá grunnskóla með rafrænum hætti. Eðli brotanna hafi því verið með þeim hætti að meta eigi það borginni til málsbóta. Hagsmunir nemenda hafi verið hafðir í fyrirrúmi við val á nemendakerfi sem borgin hafi metið öruggt.
Reykjavíkurborg hafi lagt áherslu á það að vinnsla persónuupplýsinga í Seesaw-nemendakerfinu hafi byggst á 3. og 5. tölul. 9. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga en Persónuvernd hafi komist að þeirri niðurstöðu að þessar heimildir kæmu ekki til skoðunar þar sem ekki hefði verið sýnt fram á nauðsyn vinnslunnar. Við mat á nauðsyn, samkvæmt fyrrgreindum ákvæðum, þurfi að horfa til þeirra vinnsluaðgerða sem um ræði, það er, hvaða persónuupplýsingar séu unnar og í hvaða tilgangi. Við mat á nauðsyn eigi ekki að horfa til þess hvaða kerfi séu notuð eða hvaða aðferð sé beitt enda fáist ekki séð að ábyrgðaraðila geti verið nauðsynlegt að vinna með eitt kerfi umfram annað nema í undantekningartilvikum. Það séu önnur ákvæði en þau sem lúti að vinnsluheimildum sem hafa þurfi í huga þegar tekin sé ákvörðun um hvaða kerfi skuli notuð fyrir vinnsluna, þar á meðal um öryggisráðstafanir, innbyggða og sjálfgefna friðhelgi, ábyrgðarskyldur og takmarkanir á flutningi. Um vinnsluheimildir fyrir vinnslu persónuupplýsinga í kennslulausnum er einnig vísað til leiðbeininga norsku persónuverndarstofnunarinnar um kerfið Google Workspace for Education, sem sé um margt áþekkt Seesaw-nemendakerfinu.
Telji Persónuvernd að heimfæra þurfi hverja og eina vinnsluaðgerð eða rökstyðja nauðsyn hverrar vinnslu í kerfinu sé hægt að bregðast við því með nánari útskýringum í vinnsluskrá sem unnin sé með innleiðingu hverrar kennslulausnar. Reykjavíkurborg telji hins vegar að ekki sé hægt að uppfylla ákvæði grunnskólalaga og aðalnámskrár með öðrum hætti en kennslulausnum eins og Seesaw og vilji því árétta það mat sitt að notkun slíkra kennslulausna sé nauðsynleg þótt einstakar aðgerðir innan kerfisins geti þurft að skoða og rökstyðja sérstaklega.
Reykjavíkurborg hafni því enn fremur að brot, samkvæmt ákvörðun Persónuverndar, hafi verið nokkuð umfangsmikil enda fjöldi nemenda sem notaði Seesaw-nemendakerfið ekki mikill með hliðsjón af heildarfjölda nemenda Reykjavíkurborgar.
2. tölul. Í svarbréfi borgarinnar segir að þrátt fyrir að innleiðing nemendakerfisins hafi ekki verið í samræmi við persónuverndarlöggjöfina hafi borgin sannarlega reynt að fara að lögunum. Ekki sé um það ágreiningur að brotin hafi verið framin af gáleysi. Reykjavíkurborg hafi gripið til ráðstafana til að tryggja innleiðingu kerfisins í samræmi við persónuverndarlög þótt Persónuvernd hafi síðar komist að þeirri niðurstöðu að þær ráðstafanir hafi ekki verið fullnægjandi.
3. tölul. Reykjavíkurborg áréttar að brugðist hafi verið hratt og örugglega við fyrirmælum Persónuverndar og notkun kerfisins hætt í kjölfar ákvörðunarinnar. Engum nýjum skólum hafi verið boðið að taka kerfið í notkun eftir að Persónuvernd hafi hafið athugun sína og því hafi verið gripið til allra mögulegra aðgerða til að draga úr tjóni.
4. tölul. Í svarbréfi Reykjavíkurborgar segir einnig að ekkert bendi til annars en að upplýsingaöryggi hafi verið fullnægjandi hjá Seesaw, en jafnframt hafi borgin gripið til fjölmargra skipulagslegra og tæknilegra ráðstafana í samræmi við persónuverndarlög. Meðal annars hafi hún tekið út upplýsingaöryggi hjá Seesaw áður en kerfið var tekið í notkun, auk þess sem gripið hafi verið til allra nauðsynlegra skipulagslegra ráðstafana til að tryggja að kennarar, foreldrar og nemendur notuðu kerfið með öruggum hætti. Til að mynda hafi sérstakt lærdómsfélag verið stofnað til að þjálfa kennara og kerfisstjóra í öruggri notkun kerfisins og gefnar út leiðbeiningar um notkun kerfisins til að tryggja öryggi upplýsinga. Reykjavíkurborg hafi framkvæmt mat á áhrifum á persónuvernd og tryggt hafi verið að allir skólar staðfestu notkunarskilmála Seesaw. Mikilvægt sé að taka mið af þeim ráðstöfunum sem sannarlega hafi verið gripið til.
Hvað varðar innbyggða- og sjálfgefna friðhelgi vísi Persónuvernd í ákvörðun sinni til tveggja afmarkaðra atriða, þ.e. annars vegar auglýsingapósta vegna annálagagna og hins vegar aðgangsstýringa á möppum nemenda. Reykjavíkurborg hafi veitt nemendum og foreldrum fræðslu um þessi atriði og hinum skráðu bent á að hægt væri að afþakka pósta/breyta stillingum. Borgin hafi því reynt að tryggja réttindi hinna skráðu.
Hvað varði flutning persónuupplýsinga til Bandaríkjanna hafi skóla- og frístundasvið Reykjavíkurborgar og Seesaw undirritað staðlaða samningsskilmála (e. Standard Contractual Clauses, SCC) sem hafi verið samþykktir af hálfu Evrópska persónuverndarráðsins í kjölfar dóms Evrópudómstólsins í máli nr. C-311/18 og átt að tryggja fullnægjandi vernd við flutning gagna til Bandaríkjanna. Það hafi verið mat Reykjavíkurborgar að flutningur persónuupplýsinga til Bandaríkjanna í kerfinu hafi verið áhættulítill og í samræmi við þá áhættu sem gildi almennt um flutning gagna til Bandaríkjanna, sem byggi á stöðluðum samningsskilmálum Evrópska persónuverndarráðsins.
5. og 6. tölul. Jafnframt segir í svarbréfinu að Reykjavíkurborg hafi ekki áður framið brot sem skipti máli við ákvörðun um sekt í þessu máli, auk þess sem borgin hafi umsvifalaust orðið við fyrirmælum Persónuverndar um að stöðva vinnslu í nemendakerfinu og gengið úr skugga um að aðrir skólar tækju nemendakerfið ekki í notkun eftir að athugasemdir Persónuverndar bárust. Enn fremur hafi borgin svarað erindum Persónuverndar með greinargóðum hætti, án þess að gera tilraun til að draga úr lýsingum á umfangi brota eða aðdraganda þeirra, og brugðist við ábendingu Persónuverndar um að umrædd vinnsla gæti ekki byggst á samþykki sem vinnsluheimild. Þá hafi skóla- og frístundasvið borgarinnar óskað eftir fundi með Persónuvernd til að ræða næstu skref.
7. tölul. Reykjavíkurborg hafnar þeim forsendum í ákvörðun Persónuverndar sem lúta að því að líkur hafi þótt á því að viðkvæmar persónuupplýsingar eða upplýsingar viðkvæms eðlis yrðu skráðar í kerfið. Ekkert hafi komið fram í málinu sem bendi til þess að slíkar persónuupplýsingar, t.d. um einkamálefni barna, hafi verið skráðar og slíkt hafi ekki verið heimilt samkvæmt fyrirmælum sem gefin hafi verið kennurum og foreldrum. Kennarar, nemendur og foreldrar hafi jafnframt fengið skýrar leiðbeiningar um að ekki skyldi skrá viðkvæmar persónuupplýsingar í kerfið. Líkur á því að nemendur skrái viðkvæmar persónuupplýsingar eða aðrar viðkvæmar upplýsingar séu mismiklar eftir námsgreinum. Verkefnin sem hafi verið unnin í kerfinu hafi fyrst og fremst verið í stærðfræði, íslensku, náttúrufræði, samfélagsfræði og lestri, sem gefi ekki tilefni til að ætla að viðkvæmar persónuupplýsingar hafi ratað í verkefnin. Verkefnavinna nemenda í skólastarfi taki mið af aðalnámskrá grunnskóla og nemendur séu ekki hvattir til að tjá sig í verkefnavinnu um atburði eða aðstæður í lífi sínu. Verkefnavinna í framangreindum kennslugreinum sem sé innan ramma aðalnámskrárinnar sé því ekki til þess fallin að kalla fram viðkvæmar persónuupplýsingar með einlægri tjáningu nemenda. Verkefnavinna nemenda feli þó alltaf í sér vinnslu persónuupplýsinga og því tiltekna áhættu óháð því hvaða kerfi og lausnir séu notaðar. Ekki verði því talið að verkefnavinna í Seesaw-nemendakerfinu hafi í för með sér meiri áhættu þar að lútandi en almennt við verkefnavinnu, hvort sem um rafræna vinnslu sé að ræða eða ekki.
Í svörum Reykjavíkurborgar segir einnig að endurgjöf kennara í nemendakerfinu geti ekki falið í sér upplýsingar viðkvæms eðlis og er í því sambandi meðal annars vísað til þess að í umfjöllun Persónuverndar um Mentor-kerfið hafi ekki komið fram að einkunnir nemenda teljist til upplýsinga viðkvæms eðlis. Þá segir að í fræðslu um notkun kerfisins til kennara, nemenda og foreldra hafi komið skýrt fram að einkunnir yrðu ekki vistaðar í kerfinu. Kerfið bjóði upp á endurgjöf kennara og nokkurs konar hlutaeinkunnagjöf út frá hæfniviðmiðum, á skalanum 1-5, um hvort verkefni nemenda hafi uppfyllt fyrirmæli og leiðbeiningar kennarans. Þessi viðmið séu ekki hluti af lokaeinkunn nemenda og geti því ekki falið í sér upplýsingar viðkvæms eðlis.
Að mati Reykjavíkurborgar hafi því aðeins verið unnið með almennar persónuupplýsingar og skuli það metið borginni til málsbóta.
8. tölul. Hvað varðar með hvaða hætti Persónuvernd var gert kunnugt um brotin segir í svarbréfi Reykjavíkurborgar að þegar Persónuvernd hafi borist ábending um umrædda vinnslu hafi ekkert bent til þess hjá Reykjavíkurborg að um væri að ræða brot á persónuverndarlöggjöfinni. Því fáist ekki séð hvernig það geti verið metið gegn Reykjavíkurborg að hafa ekki sjálf tilkynnt Persónuvernd um brotin og skuli það ekki metið borginni í óhag.
11. tölul. Loks er tekið fram í svarbréfi Reykjavíkurborgar að ágreiningslaust sé að enginn hagnaður hafi orðið af brotinu eða að komist hafi verið hjá tjóni.
Að öllu þessu virtu telur Reykjavíkurborg ekki forsendur fyrir sektarálagningu í málinu.
II.
Forsendur og niðurstaða
1.
Afmörkun ákvörðunar
Líkt og að framan greinir hefur Persónuvernd þegar komist að rökstuddri niðurstöðu og tekið bindandi ákvörðun um að vinnsla persónuupplýsinga skólabarna í Seesaw-nemendakerfinu á vegum Reykjavíkurborgar hafi ekki samrýmst lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerð (ESB) 2016/679.
Ákvörðun þessi lýtur því einvörðungu að því hvort leggja eigi sekt á Reykjavíkurborg vegna þeirra brota sem Persónuvernd hefur þegar komist að niðurstöðu um og, ef svo er, hver fjárhæð hennar eigi að vera. Um forsendur fyrir henni vísast því fyrst og fremst til niðurstöðu Persónuverndar í fyrri ákvörðun málsins, sbr. 46. gr. laga nr. 90/2018 og 4. og 5. mgr. 83. gr. reglugerðarinnar, að teknu tilliti þeirra sjónarmiða sem rakin eru í 47. gr. laga nr. 90/2018, sbr. 1. og 2. mgr. 83. gr. reglugerðarinnar.
2.
Lagaumhverfi
Samkvæmt 1. mgr. 46. gr. laga nr. 90/2018 getur Persónuvernd lagt stjórnvaldssekt á hvern þann ábyrgðaraðila sem brýtur gegn einhverju þeirra ákvæða reglugerðarinnar sem talin eru upp í 2. og 3. mgr. sömu lagagreinar.
Sekt samkvæmt 2. mgr. 46. gr. laganna getur numið allt frá 100.000 krónum til 1,2 milljarða króna eða allt að 2% af árlegri heildarveltu fyrirtækis á heimsvísu, þegar brotið hefur verið gegn meðal annars 25., 26., 28., 32. og 35. gr. reglugerðarinnar.
Sekt samkvæmt 3. mgr. 46. gr. laganna getur numið frá 100.000 krónum til 2,4 milljarða króna eða allt að 4% af árlegri heildarveltu fyrirtækis á heimsvísu, þegar brotið hefur verið gegn meðal annars 5., 6., 13. og 46. gr. reglugerðarinnar.
Í fyrrgreindri ákvörðun Persónuverndar var komist að þeirri niðurstöðu að Reykjavíkurborg hefði brotið gegn öllum ofantöldum ákvæðum hvað varðar vinnslu persónuupplýsinga barna í Seesaw-nemendakerfinu.
Með hliðsjón af framkvæmdinni í þeim löndum sem eru bundin af reglugerðinni liggur fyrir að sektir sem eru lagðar á opinbera aðila eru mun lægri en þær sem lagðar eru á stórfyrirtæki með mikla veltu. Einnig er ljóst að þótt unnt sé að sekta fyrir mörg brot, samkvæmt bæði 2. og 3. mgr. 46. gr. laganna, í einu og sama málinu, myndi samanlögð sekt fyrir brotin aldrei verða hærri en samkvæmt efri mörkum sektarramma 3. mgr. þeirrar greinar.
Við ákvörðun um hvort beita skuli stjórnvaldssekt og hver fjárhæð hennar skuli vera, skal tekið tillit til þeirra þátta sem taldir eru upp í 1. mgr. 47. gr. laga nr. 90/2018, sbr. 2. mgr. 83. gr. reglugerðar (ESB) 2016/679. Nánar tiltekið er um að ræða eftirfarandi þætti:
1. Hvers eðlis, hversu alvarlegt og hversu langvarandi brotið er, með tilliti til eðlis, umfangs eða tilgangs vinnslunnar sem um ræðir og fjölda skráðra einstaklinga sem urðu fyrir því og hversu alvarlegu tjóni þeir urðu fyrir;
2. Hvort brotið var framið af ásetningi eða af gáleysi;
3. Aðgerðir sem ábyrgðaraðilinn eða vinnsluaðilinn hefur gripið til í því skyni að draga úr tjóni skráðra einstaklinga;
4. Hversu mikla ábyrgð ábyrgðaraðili eða vinnsluaðili ber með tilliti til tæknilegra og skipulagslegra ráðstafana sem þeir hafa komið til framkvæmda samkvæmt 25. og 32. gr. reglugerðarinnar;
5. Fyrri brot ábyrgðaraðila eða vinnsluaðila sem máli skipta, ef einhver eru;
6. Umfang samvinnu við Persónuvernd til þess að bæta úr broti og draga úr mögulegum skaðlegum áhrifum þess;
7. Hvaða flokka persónuupplýsinga brotið hafði áhrif á;
8. Með hvaða hætti Persónuvernd var gert kunnugt um brotið, einkum hvort, og þá að hvaða leyti, ábyrgðaraðili eða vinnsluaðili tilkynnti um brotið;
9. Fylgni við fyrirmæli Persónuverndar um ráðstafanir til úrbóta samkvæmt 42. gr. laganna hafi fyrirmælum um slíkar ráðstafanir áður verið beint til hlutaðeigandi ábyrgðaraðila eða vinnsluaðila að því er varðar sama efni;
10. Fylgni við viðurkenndar hátternisreglur samkvæmt 40. gr. reglugerðarinnar eða viðurkennt vottunarfyrirkomulag samkvæmt 42. gr. hennar;
11. Aðrir íþyngjandi eða mildandi þættir sem varða kringumstæður málsins, svo sem hagnaður sem fékkst eða tap sem komist var hjá, með beinum eða óbeinum hætti, vegna brotsins.
3.
Niðurstaða
Með vísan til niðurstöðu Persónuverndar í fyrri ákvörðun málsins er það mat stofnunarinnar að umrædd brot Reykjavíkurborgar hafi verið framin af gáleysi, sbr. 2. tölul. 1. mgr. 47. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og b-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679.
Persónuvernd telur jafnframt að eftirfarandi atriði verði metin Reykjavíkurborg til málsbóta við ákvörðun um hvort beita skuli stjórnvaldssekt og hver fjárhæð hennar skuli vera:
1. Ekkert tjón virðist hafa orðið vegna brota Reykjavíkurborgar, þótt ekki sé hægt að útiloka það með hliðsjón af því að persónuupplýsingar nemenda voru vistaðar og unnar í óöruggu þriðja landi, þ.e. Bandaríkjunum, án þess að viðeigandi vernd væri tryggð, sbr. 1. tölul. 1. mgr. 47. gr. laganna og a-lið 2. mgr. 83. gr. reglugerðarinnar.
2. Samkvæmt svörum Reykjavíkurborgar var engum nýjum skólum boðið að taka Seesaw-nemendakerfið í notkun eftir að Persónuvernd hóf athugun sína, sbr. 3. tölul. 1. mgr. 47. gr. laganna og c-lið 2. mgr. 83. gr. reglugerðarinnar.
3. Ekkert bendir til annars en að almennt upplýsingaöryggi Seesaw sé fullnægjandi, þ.e. að fyrirtækið notist við viðeigandi tæknilegar og skipulegar öryggisráðstafanir við vinnslu persónuupplýsinga, samkvæmt 1. mgr. 27. gr. laganna og 32. gr. reglugerðarinnar, sbr. 4. tölul. 47. gr. laganna og d-lið 2. mgr. 83. gr. reglugerðarinnar.
4. Reykjavíkurborg hefur svarað erindum Persónuverndar við meðferð málsins með skýrum og greinargóðum hætti, auk þess sem borgin hætti að styðjast við samþykki foreldra sem vinnsluheimild fyrir umræddri vinnslu eftir að Persónuvernd vakti athygli á því að sveitarfélög gætu almennt ekki byggt vinnslu persónuupplýsinga á þeirri vinnsluheimild, sbr. 6. og 9. tölul. 1. mgr. 47. gr. laganna og f- og i-liði 2. mgr. 83. gr. reglugerðarinnar.
5. Þá er til þess að líta að Persónuvernd felldi niður fyrirmæli sín um stöðvun vinnslu í nemendakerfinu 19. apríl 2021, aðeins fjórum dögum eftir að fyrirmælin voru gefin, og að Reykjavíkurborg hefur, með bréfi 2. febrúar 2022, staðfest að farið hafi verið að fyrirmælum Persónuverndar samkvæmt fyrri ákvörðun í málinu, sbr. 11. tölul. 1. mgr. 47. gr. laganna og k-lið 2. mgr. 83. gr. reglugerðarinnar.
Aftur á móti leiða eftirfarandi atriði frekar til þess að stjórnvaldssekt verði lögð á Reykjavíkurborg og hafa áhrif til hækkunar hennar:
1. Brot Reykjavíkurborgar vörðuðu persónuupplýsingar barna sem njóta sérstakrar verndar samkvæmt persónuverndarlöggjöfinni og teljast brotin að því leyti alvarleg. Einnig er til þess að líta að líkur þóttu á að skráðar yrðu í kerfið viðkvæmar persónuupplýsingar, eins og þær eru skilgreindar í persónuverndarlögunum, og upplýsingar viðkvæms eðlis, eins og til dæmis endurgjöf kennara eða upplýsingar um hrein einkamálefni nemenda, sbr. 1. og 7. tölul. 1. mgr. 47. gr. laganna og a- og g-liði 2. mgr. 83. gr. reglugerðarinnar.
Líkt og að framan greinir hafnar Reykjavíkurborg forsendum ákvörðunar Persónuverndar um líkur á skráningu viðkvæmra persónuupplýsinga og upplýsinga viðkvæms eðlis í kerfið. Þær forsendur eru þó ekki til endurskoðunar í ákvörðun þessari og verður því á þeim byggt, m.a. um hættuna á því að viðkvæmar persónuupplýsingar væru skráðar í kerfið með hliðsjón af aldri nemenda og eðli verkefnanna. Það skal einnig áréttað að það kom fram í fyrirliggjandi mati Reykjavíkurborgar á áhrifum á persónuvernd að þessi hætta væri fyrir hendi.
Persónuvernd áréttar jafnframt að endurgjöf kennara getur falið í sér persónuupplýsingar viðkvæms eðlis. Þá niðurstöðu má m.a. leiða af 2. mgr. 27. gr. laga nr. 91/2008 um grunnskóla sem kveður á um að óheimilt sé að veita upplýsingar um vitnisburði einstakra nemenda öðrum en þeim sjálfum og foreldrum þeirra, nema vegna flutnings nemenda milli skóla og innritunar í framhaldsskóla, enda sé þá krafist fullrar þagnarskyldu og málsmeðferðar í samræmi við persónuverndarlög. Á þessari forsendu var m.a. byggt í úrskurði Persónuverndar frá 19. maí 2003 í máli nr. 2003/103. Gildir þá einu hvort um ræðir einkunnir eða annars konar vitnisburð, svo sem umsögn kennara.
2. Mikil áhætta fylgir því að persónuupplýsingar séu fluttar til Bandaríkjanna og unnar þar án þess að gripið hafi verið til viðeigandi verndarráðstafana, sbr. dóm Evrópudómstólsins frá 16. júlí 2020 í máli nr. C-311/18 (Schrems II). Brot þar að lútandi telst því alvarlegt, sbr. 1. og 4. tölul. 1. mgr. 47. gr. laganna og a- og -d liði 2. mgr. 83. gr. reglugerðarinnar.
Með vísan til þess sem fram kemur í svarbréfi Reykjavíkurborgar áréttar Persónuvernd að í fyrrnefndum dómi Evrópudómstólsins er á því byggt að eftirlitsstofnanir í Bandaríkjunum hafa að lögum víðtækar heimildir til að nota persónuupplýsingar sem eru fluttar til Bandaríkjanna, án þess að þurfa að gæta að persónuvernd hlutaðeigandi einstaklinga. Að því virtu myndu viðeigandi verndarráðstafanir þurfa að fela í sér dulkóðun gagnanna eða annað sambærilegt til þess að tryggja fullnægjandi vernd upplýsinganna.
3. Tilgangur vinnslunnar var ekki nægilega skýrt afmarkaður og þótti vinnsluheimild þar af leiðandi ekki vera fyrir hendi enda ekki hægt að sýna fram á nauðsyn vinnslunnar eða að hún samræmdist meginreglum um meðalhóf og lágmörkun gagna. Brot Reykjavíkurborgar teljast að þessu leyti alvarleg, sbr. 1. tölul. 1. mgr. 47. gr. laganna og a-lið 2. mgr. 83. gr. reglugerðarinnar.
Um rökstuðning fyrir framangreindu vísast til fyrri ákvörðunar í málinu en þar var komist að þeirri niðurstöðu að tilgangur umræddrar vinnslu hefði ekki verið nægilega skýrt tilgreindur sem leiðir til þess að nær ómögulegt er að meta hvort tiltekinn vinnsluþáttur eða vinnsluaðgerð sé í raun nauðsynleg. Auk þess hefði rökstuðningur Reykjavíkurborgar borið með sér að vinnslan hefði ekki verið nauðsynleg heldur til ákveðins hagræðis.
Með vísan til andmæla Reykjavíkurborgar hvað framangreint varðar telur Persónuvernd enn fremur tilefni til að árétta að þegar um röð vinnsluaðgerða ræðir getur, eftir atvikum, þurft að tilgreina sérstaklega tilgang og nauðsyn fyrir hverri vinnsluaðgerð fyrir sig. Sem dæmi má nefna að tilgangur fyrir rafrænum skilum verkefna getur helgast af nauðsyn fyrir því að nemendur geti í ákveðnum tilvikum skilað verkefnum utan skólans og/eða að nemendur geti skilað verkefnum á tilteknu stafrænu formi en sömu sjónarmið eiga ekki við um vistun þessara sömu verkefna í rafrænu skýi yfir lengri tíma.
Loks áréttar Persónuvernd að vinnsluheimildir samkvæmt persónuverndarlöggjöfinni skulu ávallt skoðast með hliðsjón af meginreglum löggjafarinnar. Því getur vinnsla ekki verið heimil nema þá og því aðeins að hún samrýmist öllum meginreglunum.
4. Brot Reykjavíkurborgar náðu til persónuupplýsinga nemenda í 1.-7. bekk, í að minnsta kosti sex grunnskólum, og höfðu varað um nokkurra mánaða tímabil, allt að einu ári. Þau teljast að því leyti nokkuð umfangsmikil, sbr. 1. tölul. 1. mgr. 47. gr. laganna og a-lið 2. mgr. 83. gr. reglugerðarinnar.
5. Reykjavíkurborg ber ábyrgð á því að ekki hafi verið farið að ákvæðum persónuverndarlöggjafarinnar þegar Seesaw-nemendakerfið var tekið í notkun, með hliðsjón af því að það var borgin sem ákvað að kerfið skyldi notað með þeim hætti sem gert var, sbr. 4. tölul. 1. mgr. 47. gr. laganna og d-lið 2. mgr. 83. gr. reglugerðarinnar. Borgin ber því m.a. ábyrgð á því að persónuupplýsingar nemenda hafi verið fluttar til og unnar í Bandaríkjunum og að vernd upplýsinganna hafi ekki verið nægilega tryggð með hliðsjón af lögbundnum heimildum eftirlitsstofnana þar í landi. Þá ber borgin einnig ábyrgð á því að kröfum um innbyggða og sjálfgefna persónuvernd var ekki fullnægt og að Seesaw hafi unnið annálagögn í öðrum og ósamrýmanlegum tilgangi en þeim sem tilgreindur var fyrir vinnslunni.
Hvað varðar það sem kemur fram í svörum Reykjavíkurborgar um að borgin hafi tekið út upplýsingaöryggi hjá Seesaw áður en kerfið var tekið í notkun vísar Persónuvernd til niðurstöðu fyrri ákvörðunar í málinu. Þar er rakið að mat borgarinnar á áhrifum á persónuvernd vegna vinnslu persónuupplýsinga í nemendakerfinu hafi verið ófullnægjandi, m.a. vegna þess að ekki var gerð fullnægjandi grein fyrir áhættu af notkun kerfisins eða tekin afstaða til þeirra öryggisráðstafana sem eru viðhafðar af hálfu Seesaw. Þá lágu ekki fyrir önnur gögn í málinu sem sýndu fram á að Reykjavíkurborg hefði tekið afstöðu til öryggisráðstafana hjá Seesaw.
Til viðbótar við framangreint var í bréfi Persónuverndar til Reykjavíkurborgar 10. febrúar síðastliðinn tilgreint að vinnslan hefði komið til vitundar Persónuverndar vegna ábendingar foreldris, sem varð til þess að stofnunin hóf frumkvæðisathugun sína. Ábyrgðaraðilinn tilkynnti því ekki um brotið, sbr. 8. tölul. 1. mgr. 47. gr. laganna og h-lið 2. mgr. 83. gr. reglugerðarinnar. Hvað þetta atriði varðar er fallist á það sem fram kemur í svörum Reykjavíkurborgar um að borgin hafi ekki talið að um brot á persónuverndarlöggjöfinni hafi verið að ræða og því hafi ekki verið tilefni fyrir hana að tilkynna nokkuð til Persónuverndar. Verður það því ekki metið borginni í óhag.
Að öllu framangreindu virtu þykir stjórnvaldssekt vera hæfilega ákveðin 5.000.000 króna.
Á k v ö r ð u n a r o r ð:
Lögð er 5.000.000 króna stjórnvaldssekt á Reykjavíkurborg. Sektina skal greiða í ríkissjóð innan mánaðar frá dagsetningu ákvörðunar þessarar, sbr. 6. mgr. 46. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.
Persónuvernd, 3. maí 2022
Ólafur Garðarsson
formaður
Björn Geirsson Sindri M. Stephensen
Vilhelmína Haraldsdóttir Þorvarður Kári Ólafsson