Úttekt á notkun Reykjavíkurborgar á skýjalausn Google í grunnskólastarfi
Mál nr. 2022020363
Persónuupplýsingar barna njóta sérstakrar verndar. Þegar nota á upplýsingatæknikerfi í grunnskólastarfi er mikilvægt að hugað sé að þeirri vernd og farið að kröfum persónuverndarlöggjafarinnar til hins ýtrasta.
Í þessu máli notuðu grunnskólar Reykjavíkurborgar upplýsingatæknikerfi án þess að gætt væri að kröfum persónuverndarlöggjafarinnar. Úttekt Persónuverndar á notkun kerfisins leiddi í ljós margvísleg brot sveitarfélagsins á löggjöfinni.
----
Persónuvernd hefur lagt fyrir Reykjavíkurborg að færa vinnslu persónuupplýsinga grunnskólanemenda í nemendakerfi Google, Google Workspace for Education, til samræmis við persónuverndarlöggjöfina. Að auki hefur 2.000.000 króna stjórnvaldssekt verið lögð á Reykjavíkurborg.
Úttektin var ein af fimm úttektum sem Persónuvernd gerði á notkun skýjaþjónustu í grunnskólastarfi hjá stærri sveitarfélögum landsins. Voru þær þáttur í víðtækara verkefni sem unnið var að frumkvæði Evrópska persónuverndarráðsins. Úttektir Persónuverndar lutu að því hvernig persónuupplýsingar grunnskólanemenda sveitarfélaganna voru unnar í Google-nemendakerfinu. Leiddu úttektirnar í ljós að Google vinnur persónuupplýsingar grunnskólanemenda umfram fyrirmæli sveitarfélaganna og þótti ekki sýnt fram á að sú vinnsla rúmaðist innan þess tilgangs sem sveitarfélögin hafa skilgreint fyrir vinnslu persónuupplýsinga í nemendakerfinu.
Niðurstaða Persónuverndar var að um væri að ræða margvísleg brot Reykjavíkurborgar á persónuverndarlöggjöfinni með notkun nemendakerfisins. Þótti Reykjavíkurborg ekki hafa uppfyllt ábyrgðarskyldur sínar þegar lagt var mat á og tekin ákvörðun um að nota Google sem vinnsluaðila og vinnslusamningur við Google uppfyllti ekki öll skilyrði persónuverndarlöggjafarinnar. Að auki uppfyllti Reykjavíkurborg ekki ábyrgðarskyldur sínar sem lúta að því að persónuupplýsingar grunnskólanemenda skulu ekki unnar í öðrum og ósamrýmanlegum tilgangi en þeim sem sveitarfélagið hefur tilgreint fyrir vinnslunni. Enn fremur sinnti Reykjavíkurborg ekki skyldum sínum sem lúta að lágmörkun gagna og innbyggðri og sjálfgefinni persónuvernd. Þá uppfyllti mat Reykjavíkurborgar á áhrifum á persónuvernd vegna vinnslunnar ekki lágmarkskröfur persónuverndarreglugerðarinnar. Reykjavíkurborg tryggði jafnframt ekki öruggan flutning persónuupplýsinga til Bandaríkjanna fram til 10. júní sl. þegar jafngildisákvörðun varðandi flutning persónuupplýsinga frá Evrópu til Bandaríkjanna var samþykkt.
Við ákvörðun um sekt var m.a. litið til þess að brot Reykjavíkurborgar vörðuðu persónuupplýsingar barna sem njóta sérstakrar verndar samkvæmt persónuverndarlöggjöfinni, upplýsingar um hrein einkamálefni barna voru skráðar í nemendakerfið og líkur þóttu á að skráðar væru í kerfið viðkvæmar persónuupplýsingar þeirra. Þá var horft til þess að áhætta fylgdi því að persónuupplýsingar væru fluttar til Bandaríkjanna og unnar þar án þess að gripið hefði verið til viðeigandi verndarráðstafana. Á hinn bóginn var einnig litið til þess að ekkert tjón virtist hafa orðið vegna brotanna, Reykjavíkurborg svaraði erindum Persónuverndar við meðferð málsins með skýrum og greinargóðum hætti og endurskoðaði mat á áhrifum á persónuvernd vegna vinnslunnar og verklag í tengslum við varðveislutíma persónuupplýsinga á meðan á úttektinni stóð.
Ákvörðun
vegna úttektar á notkun Reykjavíkurborgar á skýjalausn Google í grunnskólastarfi í máli nr. 2022020363:
I.
Málsmeðferð og afmörkun máls
Með bréfi Persónuverndar til Reykjavíkurborgar 25. febrúar 2022 var boðuð úttekt stofnunarinnar á notkun sveitarfélagsins á skýjaþjónustu (e. cloud based services) í grunnskólastarfi. Úttektin var þáttur í víðtækara verkefni sem unnið var að frumkvæði Evrópska persónuverndarráðsins (hér eftir EDPB) þar sem aðildarríki ráðsins sinna sameiginlegum viðfangsefnum á samræmdan hátt. EDPB setti notkun opinberra aðila á skýjaþjónustu í forgang árið 2022 og af því tilefni ákvað Persónuvernd að beina úttektum að stærri sveitarfélögum landsins og notkun þeirra á skýjaþjónustu í grunnskólastarfi.
Framangreind ákvörðun var einnig tekin með hliðsjón af stefnu Persónuverndar í úttektum og frumkvæðisathugunum fyrir árið 2022. Samkvæmt stefnunni var vinnsla persónuupplýsinga barna í hvers kyns snjalllausnum og hugbúnaðarkerfum í forgangi á því ári en auk þess leggur Persónuvernd ávallt áherslu á persónuvernd barna með hliðsjón af því að persónuupplýsingar þeirra njóta sérstakrar verndar samkvæmt persónuverndarlöggjöfinni. Jafnframt var litið til niðurstöðu frumkvæðisathugunar stofnunarinnar í máli nr. 2021040879, þar sem athuguð var innleiðing skýjalausnar Seesaw Learning Inc. (hér eftir Seesaw) í grunnskólum Reykjavíkurborgar og komist að þeirri niðurstöðu að hún hefði ekki verið í samræmi við persónuverndarlöggjöfina.
Úttektin var framkvæmd með þeim hætti að Persónuvernd sendi Reykjavíkurborg spurningalista, með tölvupósti 25. febrúar 2022, sem laut að persónuverndarsjónarmiðum varðandi val og notkun á skýjaþjónustu í grunnskólastarfi. Svör Reykjavíkurborgar, ásamt fylgigögnum, bárust 29. apríl s.á.
Með bréfi 19. maí 2022 tilkynnti Persónuvernd Reykjavíkurborg að úttektin yrði afmörkuð við notkun sveitarfélagsins á skýjalausn Google, Google Workspace for Education, í grunnskólastarfi (hér eftir Google-nemendakerfið). Af því tilefni óskaði Persónuvernd frekari upplýsinga og gagna. Svör Reykjavíkurborgar, ásamt fylgigögnum, bárust 17. júní s.á. Með hliðsjón af þeim svörum óskaði Persónuvernd jafnframt frekari upplýsinga, með bréfum til sveitarfélagsins 4. ágúst s.á. og 16. janúar 2023. Svör Reykjavíkurborgar bárust 8. september 2022 og 7. febrúar 2023.
Í framangreindum bréfum hefur Persónuvernd einkum óskað upplýsinga og gagna sem lúta að:
1. Vinnsluskrá.
2. Vinnslusamningi við Google og öðrum samningum um þjónustuna.
3. Fyrirmælum sem Reykjavíkurborg hefur gefið Google vegna vinnslunnar.
4. Vinnsluheimild.
5. Mati á áhrifum á persónuvernd.
6. Viðbótarverndarráðstöfunum í tengslum við mögulega miðlun persónuupplýsinga til Bandaríkjanna.
Með bréfi 10. júlí 2023 sendi Persónuvernd Reykjavíkurborg skýrslu um úttektina þar sem gerð var grein fyrir niðurstöðum yfirferðar stofnunarinnar á gögnum málsins. Reykjavíkurborg var veitt færi á að koma á framfæri athugasemdum við efni skýrslunnar. Að auki var Reykjavíkurborg veitt færi á að koma á framfæri athugasemdum vegna mögulegra fyrirmæla Persónuverndar og álagningar stjórnvaldssektar. Með bréfi 31. s.m. óskaði Reykjavíkurborg nánari upplýsinga og skýringa varðandi tiltekin atriði í skýrslu Persónuverndar. Persónuvernd svaraði með bréfi 30. ágúst s.á. Athugasemdir Reykjavíkurborgar við úttektarskýrslu Persónuverndar og andmæli vegna mögulegra fyrirmæla og álagningar stjórnvaldssektar, ásamt fylgigögnum, bárust 15. september s.á.
Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi ákvörðun.
II.
Helstu gögn málsins
1.
Vinnsluskrá
Með svörum Reykjavíkurborgar fylgdi vinnsluskrá vegna vinnslu persónuupplýsinga í Google-nemendakerfinu. Samkvæmt vinnsluskránni er unnið með eftirfarandi persónuupplýsingar um nemendur í kerfinu:
1. Skráning nemenda í Google-nemendakerið: Nöfn og netföng nemenda, ásamt upplýsingum um árgang og skóla.
2. Úrlausn verkefna, hópverkefna og prófa: Nöfn og netföng nemenda. Fram kemur að nemendur geti sjálfir fært inn frekari upplýsingar, t.d. kennitölu eða upplýsingar um foreldra.
3. Leiðsögn og endurgjöf: Nöfn og netföng nemenda. Fram kemur að kennarar fái fræðslu um að einkunnir eigi ekki að fara inn í Google skólaumhverfið. Eingöngu sé heimilt að setja inn leiðsögn og/eða endurgjöf (framvinduleiðsögn).
4. Samskipti nemenda og kennara í gegnum spjallforrit (Google Chat): Nöfn og netföng nemenda.
5. Samskipti nemenda og kennara í gegnum tölvupóst: Nöfn og netföng nemenda og kennara.
6. Samskipti nemenda við kennara í tengslum við endurgjöf og athugasemdir í verkefnum (comments): Nöfn og netföng nemenda og kennara. Fram kemur að nemendur geti sjálfir fært inn frekari upplýsingar.
7. Nemandi deilir gögnum til annars notanda innan kerfisins eða kennari deilir gögnum til nemenda (Google Drive): Nöfn og netföng nemenda. Fram kemur að nemendur geti sjálfir fært inn frekari upplýsingar.
8. Samskipti kennara við nemanda í gegnum fjarfundakerfi (Google Meet): Nöfn og netföng nemenda. Fram kemur að búnaðurinn sé notaður fyrir fjarkennslu. Ef kveikt er á myndavél eru notendur sýnilegir.
9. Foreldraviðtöl í gegnum fjarfundakerfi: Nöfn og netföng. Fram kemur að kerfið sé notað til að halda fundi milli foreldra og kennara ef ekki er hægt að mæta í skóla til að halda fundi.
10. Stöðuskýrslur kennara til foreldra: Nöfn nemenda og netföng foreldra. Fram kemur að kerfið sendi sjálfkrafa verkefnastöðuskýrslu til foreldra eftir að kennari hefur handvirkt skráð inn upplýsingar um netföng í Google Classroom forritið. Aðgerðin sé aðeins virkjuð að beiðni foreldra/forsjáraðila.
11. Brautskráning nemenda/aðgangi lokað: Nöfn og netföng nemenda, ásamt upplýsingum um bekk og skóla.
12. Gleymt lykilorð/breyting á lykilorði: Notendanafn.
2.
Mat á áhrifum á persónuvernd
Hér verður gerð grein fyrir því helsta sem fram kemur í mati Reykjavíkurborgar á áhrifum á persónuvernd, vegna umræddrar vinnslu persónuupplýsinga. Matið er dagsett 13. júní 2022 og fylgdi með svörum Reykjavíkurborgar 17. s.m.
Í matinu er lýsing á vinnsluaðgerðum. Greint er frá því að við uppsetningu miðlægs Google kerfis fái hver skóli úthlutað sínu svæði innan kennslulausnarinnar. Innleiðingin feli í sér innlestur úr nemendaumsjónarkerfum, s.s. Mentor, sem fyrir eru í notkun í skólastarfi og aðgangsstýringum að lausninni. Samkeyrðar séu upplýsingar úr Active Directory-kerfi Reykjavíkurborgar í því skyni að setja upp vinnusvæði fyrir nemendur og kennara. Google-nemendakerfið sé miðstýrt af Reykjavíkurborg og viðbætur og önnur forrit geti ekki tengst launinni nema með aðkomu upplýsingatækniþjónustu borgarinnar. Nemendur noti Google-nemendakerfið ýmist með PC tölvu, spjaldtölvu eða Chromebook. Nemendur geti notað tölvurnar bæði í skólanum og heima. Að auki er að finna lýsingu á öllum þeim lausnum sem falla undir kjarnaforrit Google-nemendakerfisins (e. Core Services). Þetta eru m.a. Google-drif, Google-skjöl, Google-töflureiknir og Google-skyggnur. Þá er vísað til vinnsluskrár um nánari lýsingu á vinnsluaðgerðum, sbr. umfjöllun í kafla II. 1. hér að framan. Í matinu segir að aðeins sé unnið með almennar persónuupplýsingar í Google-nemendakerfinu.
Í mati Reykjavíkurborgar er einnig lýsing á tilgangi og lögmæti vinnslunnar. Vísað er til þess að Reykjavíkurborg beri að tryggja skólaskyldum börnum skólavist í samræmi við 3. mgr. 5. gr. laga nr. 91/2008 um grunnskóla. Þá leiði af 1. mgr. 78. gr. stjórnarskrár lýðveldisins Íslands, sbr. lög nr. 33/1944, að sveitarfélögum er tryggð sjálfstjórn um aðferðir og leiðir við framkvæmd þess verkefnis, þ. á m. um innleiðingu upplýsingatækni að því marki sem önnur lög heimila. Enn fremur er vísað til 2., 13., 24. og 25. gr. laga nr. 91/2008 um grunnskóla um skyldur grunnskóla, réttindi nemenda og hvað skal fjallað um í aðalnámskrá. Þá er rakin umfjöllun gildandi aðalnámskrár grunnskóla um markmið og kröfur sem gerðar eru til grunnskóla og kennara. Markmið með notkun Google-nemendakerfisins tilgreind sem eftirfarandi:
· Að styðja við námsframvindu nemenda.
· Að mæta þörfum nemenda.
· Að gera nemendum kleift að taka þátt í skólastarfi þrátt fyrir veikindi eða takmarkaðan aðgang að skóla.
· Að styrkja tengslanet nemenda og kennara og draga úr því að nemendur einangrist í fjarveru frá skóla og detti úr rútínu.
· Að gera verkefnasamstarf nemenda mögulegt og auðveldara innan sem utan skóla.
· Að bæta aðgengi nemenda að gögnum.
· Að efla nemendur í notkun samvinnukerfa.
· Að auka fjölbreytni í kennsluháttum.
· Að efla nemendur í að nýta veflausnir og fylgja tækninýjungum.
· Að búa til samstarfsvettvang kennara og nemenda í grunnskólum sveitarfélagsins.
· Að uppfylla lögbundnar skyldur sveitarfélagsins gagnvart nemendum.
Í matinu segir, með vísan til 13. og 18. gr. laga nr. 91/2008 um grunnskóla og 7. gr. a. reglugerðar 897/2009, að stuðst sé við vinnsluheimild 5. tölul. 9. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga. Ekki sé gert ráð fyrir því að viðkvæmar persónuupplýsingar verði skráðar í kerfið. Í athugasemd við þetta atriði matsins segir: „[Er] eitthvað sem verndar sérstaklega viðkvæmar upplýsingar ef ske kynni að þær yrðu skráðar í kerfið? Erfitt að ætlast til þess að börn fylgi því til [hlítar] að skrá ekki slíkt.“
Hvað varðar mat á því hvort vinnsluaðgerðir eru nauðsynlegar og hóflegar segir í matinu að vinnsla persónuupplýsinga hafi verið takmörkuð með ýmsum hætti í því skyni að búa til öruggt vinnuumhverfi fyrir nemendur til að sinna verkefnavinnu í samræmi við nútímalega kennsluhætti og skilyrði aðalnámskrár. Önnur vinnsla sem falli utan þeirrar kjarnavinnslu (e. Core Services) sé sleppt eftir því sem kostur er. Greint er frá því að gripið hafi verið til ýmissa aðgerða til að takmarka vinnslu persónuupplýsinga í lausninni í þágu innbyggðar og sjálfgefinnar persónuverndar með valkvæðum stillingum. Þá kemur fram að Google vinni þjónustugögn sem hluta af rekstri og umsjón á skýjalausninni. Gefin eru dæmi um þau gögn, en nánar tiltekið segir á ensku:
1. Cloud payments and transactions.
2. Cloud settings and configurations.
3. Technical and operational details of your usage of Workspace Services.
4. Your direct communications.
Í umfjöllun um nauðsyn og meðalhóf segir jafnframt að óheimilt sé að skrá viðkvæmar persónuupplýsingar í skólaverkefni nemenda. Á öðrum stað í matinu er svo fjallað um sjónarmið sem lúta að nauðsyn með hliðsjón af kostum þess að nota Google-nemendakerfið umfram önnur sambærileg kerfi.
Hvað varðar innbyggða og sjálfgefna persónuvernd þá segir í matinu að með valkvæðum stillingu hafi Reykjavíkurborg m.a. valið að vinna ekki með notendamyndir nemenda, nemendur geti aðeins tekið við tölvupósti sem sé sendur innan nemendakerfisins og réttindi notenda til að setja inn og samtengja annan hugbúnað hafi verið takmörkuð auk þess sem vinnsla með vefkökum hafi verið takmörkuð verulega. Notendur hafi auk þess aðgang að ýmsum viðbótarþjónustum Google, t.d. Youtube og Google-Translate, Google-Maps og Google-Earth en án þess að vera innskráðir og sé persónuupplýsingum þeirra þar af leiðandi ekki safnað við notkunina. Enn fremur hafi verið lokað fyrir söfnun greiningargagna, t.d. með lokun á Google Analytics. Á öðrum stað í matinu segir að samningsskilmálar Google fyrir nemendakerfið séu með þeim hætti að notendur eigi að hafa stjórn á upplýsingum sem séu settar í kerfið, sem þýði að notendur geti eytt upplýsingum, sem þó sé hægt að afturkalla ef aðgangurinn er virkur. Enn fremur sé upplýsingum ekki miðlað til þriðja aðila eða notaðar í markaðstilgangi.
Í matinu segir m.a. um varðveislutíma og eyðingu gagna að skólaverkefni nemenda og athugasemdir kennara séu vistuð og varðveitt í nemendakerfinu á meðan skólagöngu/ráðningu stendur. Kennarar séu reglulega hvattir til að grisja og eyða gögnum, t.d. í lok skólaárs, sem ekki teljast skilaskyld samkvæmt lögum um opinber skjalasöfn. Verkefni séu almennt varðveitt fram til loka annar en kunni að vera varðveitt lengur í sérstökum tilvikum á grundvelli sérstakra vinnsluheimilda. Notendur hafi stjórn á sínum gögnum á meðan þeir eru við störf eða í skóla og aðgangur sé gerður óvirkur 30 dögum eftir að skólagöngu lýkur. Á hinn bóginn sé tæknilega hægt að afturkalla gögn sem nemandi hefur eytt á meðan aðgangur viðkomandi er virkur. 90 dögum eftir að aðgangur sé gerður óvirkur sé honum eytt sem og þeim gögnum sem honum tilheyra. 20 dögum síðar verði aðgangurinn og gögnin óafturkræf með öllu. Þá segir að það geti tekið allt að 180 daga fyrir gögn að eyðast endanlega úr Google-nemendakerfinu.
Um sambandið við vinnsluaðilann, Google, segir í matinu að í vinnslusamningi séu ýmis fyrirmæli til vinnsluaðila í samræmi við ákvæði 3. mgr. 25. gr. laga nr. 90/2018, sbr. a-h-liði 3. mgr. 28. gr. reglugerðar (ESB) 2016/679. Þá megi leggja tæknilegar ráðstafanir í nemendakerfinu að jöfnu við fyrirmæli til vinnsluaðila, t.d. með því að gögn séu vistuð innan Evrópu og með því að loka fyrir vefkökur. Hvað varðar mögulega miðlun persónuupplýsinga til óöruggra þriðju ríkja segir enn fremur að Google hafi staðfest að ef valið er að gögn séu vistuð í Evrópu verði þau ekki vistuð annars staðar. Samkvæmt því sem fram kemur í matinu virðist þó engu að síður hafa þótt tilefni til að hafa staðlaða samningsskilmála, um flutning persónuupplýsinga til óöruggra þriðju ríkja, sem hluta af vinnslusamningi.
Í matinu er að finna yfirlit yfir áhættur fyrir réttindi og frelsi hinna skráðu og aðgerðir til að bregðast við. Reykjavíkurborg lýsir alls 43 áhættuþáttum, en hér verður eingöngu fjallað um nokkra þeirra. Í fyrsta lagi er nefnd sú áhætta að hýsing verði færð utan Evrópu eða notast verði við undirvinnsluaðilar utan Evrópu. Áhættan er metin lág. Reykjavíkurborg vísar til þess að svonefnd Enterprise leyfi tryggi að gögn séu varðveitt innan Evrópska efnahagssvæðisins. Auk þess kemur fram að vinnslusamningur hafi að geyma ákvæði um rétt ábyrgðaraðila til að andmæla breytingum á undirvinnsluaðila. Önnur áhætta sem verður hér nefnd er að mögulegt sé að skrá inn viðkvæmar eða óþarfar persónuupplýsingar um nemendur við innskráningu eða verkefnavinnu. Áhætta er metin meðal. Fram kemur að kennarar, nemendur og foreldrar fái fræðslu um að skrá ekki viðkvæmar persónuupplýsingar inn í lausnina. Auk þess segir að kennarar fylgist með því efni sem nemendur setji inn. Með réttri fræðslu, leiðbeiningum og eftirliti séu minni líkur á að viðkvæmar persónuupplýsingar séu skráðar í lausnina. Þriðja áhættan sem verður hér nefnd er að samningar milli aðila séu ófullnægjandi. Áhættan er metin meðal. Fram kemur að vinnslusamningur hafi verið yfirfarinn af lögfræðingum skóla- og frístundasviðs sveitarfélagsins og persónuverndarfulltrúa borgarinnar. Í fjórða lagi er nefnd sú áhætta að unnið sé með annálagögn eða önnur lýsigögn nemenda, foreldra þeirra eða forráðamanna, í þágu markaðssetningar eða við gerð persónusniðs, eftir atvikum með sjálfgefnum stillingum. Áhætta er metin lág. Fram kemur að samkvæmt upplýsingum frá vinnsluaðila sé unnið með greiningargögn með ópersónugreinanlegum hætti. Loks verður hér nefnd sú áhætta að notendur tengist forritum og/eða notast sé við óöruggar viðbætur. Áhætta er metin meðal. Fram kemur að gripið hafi verið til þeirra ráðstafana að loka fyrir þann möguleika að hægt sé að nota viðbætur. Eftirstandandi áhætta er í öllum 43 tilvikum metin lág.
Í niðurstöðu matsins segir að skóla- og frístundasvið hafi gripið til fullnægjandi tæknilegra og skipulagslegra ráðstafana sem dragi úr áhættum fyrir réttindi og frelsi hinna skráðu. Reykjavíkurborg telji ákvörðun um notkun Google-nemendakerfisins í skólastarfi hafi verið tekin á málefnalegum grundvelli og sé forsvaranleg. Ákvörðunin byggi á því að gengið hafi verið úr skugga um að hægt sé að framfylgja þeim kröfum sem Reykjavíkurborg og persónuverndarlög gera.
Í umsögn persónuverndarfulltrúa Reykjavíkurborgar við matið segir m.a. að mikilvægt sé að öryggi persónuupplýsinga grunnskólanema sé tryggt með skipulagslegum og tæknilegum ráðstöfunum í því skyni að lágmarka þá hættu sem lýtur að hugsanlegri vinnslu viðkvæmra persónuupplýsinga, þó að hún sé sem slík ekki ráðgerð í fyrirliggjandi mati. Skóla- og frístundasvið þurfi að sinni innri úttektum í samstarfi við persónuverndarfulltrúa til að ganga úr skugga um að eftirstandandi áhættur séu í samræmi við niðurstöður matsins. Fram kemur að persónuverndarfulltrúinn telji ekki tilefni til að leggja til að leitað verði fyrirframsamráðs eða sérstaks leyfis Persónuverndar samkvæmt 30. og 31. gr. laga nr. 90/2018.
Reykjavíkurborg sendi Persónuvernd uppfært mat á áhrifum á persónuvernd vegna vinnslu persónuupplýsinga nemenda í Google-nemendakerfinu á meðan á úttektinni stóð. Hið uppfærða mat er dagsett 12. september 2022. Tekið er fram að Reykjavíkurborg hafi talið tilefni til að meta hvort breyting hafi orðið á þeirri áhættu sem fylgir vinnsluaðgerðum, sbr. 11. mgr. 35. gr. reglugerðar (ESB) 2016/679, í ljósi upplýsinga frá Google um að vinnsla upplýsinga, annarra en frumgagna, geti farið fram utan Evrópska efnahagssvæðisins. Í matinu er greindir 79 áhættuþættir, samanborið við 43 áhættuþætti í fyrra mati, en aðeins hluti þeirra snýr að flutning persónuupplýsinga til þriðju landa.
3.
Vinnslusamningur og aðrir skilmálar Google
3.1 Vinnslusamningur
Með svörum Reykjavíkurborgar fylgdi afrit af vinnslusamningi sveitarfélagsins við Google (e. Data Processing Amendment to Google Workspace and/or Complementary Product Agreement) frá 24. september 2021. Samkvæmt svörum sveitarfélagsins tók vinnslusamningurinn minniháttar breytingum 14. ágúst 2023. Hér verður eingöngu farið yfir þann samning sem var í gildi milli aðila þegar úttektin hófst og látið nægja að rekja það helsta sem þar kemur fram.
Vinnslusamningurinn kveður á um gagnkvæmar skuldbindingar Google og viðskiptavinarins, þ.e. Reykjavíkurborgar. Samkvæmt samningnum er Google vinnsluaðili persónuupplýsinga viðskiptavinarins og Reykjavíkurborg ábyrgðaraðili viðkomandi vinnslu. Þá getur viðskiptavinurinn einnig verið vinnsluaðili hins eiginlega ábyrgðaraðila, en í því tilviki er Google undirvinnsluaðili eins og nánar er fjallað um í grein 5.1 í samningnum. Persónuupplýsingar viðskiptavinarins eru skilgreindar í grein 2.1, en þar segir á ensku:
Customer Personal Data means the personal data contained within the Customer Data, including any special categories of personal data defined under European Data Protection Law.
Í grein 5.3 er tekið fram að vinnslusamningurinn gildi ekki um miðlun persónuupplýsinga úr Google-nemendakerfinu til viðbótarþjónustu. Í svörum Reykjavíkurborgar kemur fram að sveitarfélagið hafi lokað fyrir uppsetningu á allri viðbótarþjónustu Google.
Í viðauka 1 við samninginn (e. Appendix 1) er að auki að finna tilgreiningu á tegundum persónuupplýsinga og flokkum skráðra einstaklinga, í samræmi við 3. mgr. 28. gr. reglugerðar (ESB) 2016/679. Þar er m.a. tiltekið að um sé að ræða þær persónuupplýsingar sem er miðlað til Google með skýjaþjónustunni, þ.e. Google-nemendakerfinu, af viðskiptavininum eða notendum kerfisins (e. End Users). Í viðaukanum er jafnframt að finna lýsingu á viðfangsefni vinnslunnar, tímalengd hennar, eðli og tilgangi. Fram kemur að viðfangsefni vinnslunnar sé að veita þjónustuna samkvæmt tilvísuðum þjónustusamningi (e. Google Workspace Service Summary) og tæknilega aðstoð í tengslum við hana. Vinnslan sé í gangi á meðan samningurinn er í gildi milli aðila og þar til persónuupplýsingum viðskiptavinarins hefur verið eytt. Google vinni persónuupplýsingar viðskiptavinarins í þeim tilgangi að veita þjónustuna og tæknilega aðstoð í samræmi við þá skilmála sem gilda.
Í grein 5.2.1 í vinnslusamningi aðila er vikið að því að Reykjavíkurborg skuli gefa Google fyrirmæli um vinnslu persónuupplýsinga viðskiptavinarins, en þar segir á ensku:
Customer's Instructions. Customer instructs Google to process Customer Personal Data only in accordance with applicable law: (a) to provide, secure and monitor, the Services and TSS; (b) as further specified via Customer's use of the Services and any applicable technical support; (c) as documented in the form of the Agreement, including these Terms; and (d) as further documented in any other written instructions given by Customer and acknowledged by Google as constituting instructions for purposes of these Terms (collectively, the "Instructions").
Þá hefur vinnslusamningurinn að geyma ýmis ákvæði sem varða öryggi persónuupplýsinga. Til að mynda segir í grein 7.1.1 að Google muni innleiða og viðhalda öryggisráðstöfunum til að vernda upplýsingar viðskiptavinarins gegn óviljandi eða ólögmætri eyðingu eða því að þær glatist, breytist, verði birtar eða aðgangur verði veittur að þeim í leyfisleysi. Þeim öryggisráðstöfunum er nánar lýst í viðauka 2 við vinnslusamninginn. Í grein 7.1.2 er vikið að því að Google tryggi að þeir starfsmenn, verktakar og undirvinnsluaðilar, sem hafa aðgang að persónuupplýsingum viðskiptavinarins, gangist undir trúnaðarskyldu. Samkvæmt grein 7.5.2 a. er Reykjavíkurborg heimilt að framkvæma eða fá þriðja aðila til að framkvæma úttekt til að sannreyna hlítni Google við vinnslusamninginn.
Vinnslusamningurinn hefur einnig að geyma ákvæði um flutning persónuupplýsinga til þriðju landa. Samkvæmt grein 10.1 er Google heimilt að vinna með upplýsingar viðskiptavinarins í hverju því ríki sem Google eða undirvinnsluaðilar þess hafa staðfestu, að uppfylltum þeim kvöðum sem fram koma í öðrum ákvæðum 10. gr. og frekari kvöðum í þjónustuskilmálum. Í vinnslusamningnum er einnig að finna hlekk á stöðluð samningsákvæði vegna flutnings persónuupplýsinga til þriðju landa. Nánar verður vikið að flutningi persónuupplýsinga til þriðju landa í kafla III. 7. hér á eftir.
Í vinnslusamningnum er að auki fjallað um rétt Google til að nota undirvinnsluaðila við vinnslu persónuupplýsinga og þar er jafnframt hlekkur á yfirlit yfir undirvinnsluaðila Google, sem er aðgengilegt á vefsíðu fyrirtækisins. Samkvæmt grein 11.1 samþykkir Reykjavíkurborg að Google megi nota tilgreinda undirvinnsluaðila. Þá segir í grein 11.4 að Google skuli tilkynna Reykjavíkurborg um nýja undirvinnsluaðila, a.m.k. 30 dögum áður en nýr undirvinnsluaðili hefur vinnslu persónuupplýsinga. Reykjavíkurborg hafi 90 daga, frá því að Google tilkynnir um nýja undirvinnsluaðila til að andmæla breytingunni með því að segja upp samningnum þegar í stað.
Þá er í vinnslusamningnum mælt fyrir um að Google muni aðstoða Reykjavíkurborg við að tryggja að skyldur samkvæmt 32.–36. gr. reglugerðar (ESB) 2016/679 séu uppfylltar, þ.e. í tengslum við öryggi vinnslu, tilkynningar um öryggisbresti við meðferð persónuupplýsinga, mat á áhrifum á persónuvernd og fyrirframsamráð, sbr. greinar 7.1.4, 7.2 og 8. Jafnframt er vikið að því í grein 9.2, að Google muni aðstoða Reykjavíkurborg við að svara beiðnum í tengslum við réttindi skráðra einstaklinga.
Loks eru í vinnslusamningnum ákvæði um eyðingu upplýsinga viðskiptavinarins. Samkvæmt grein 6.2 skal Google eyða eða skila upplýsingum viðskiptavinarins í samræmi við fyrirmæli Reykjavíkurborgar. Eyðing upplýsinganna getur tekið allt að 180 daga, að því undanskildu að lög áskilji varðveislu upplýsinganna.
3.2 Aðrir skilmálar Google
3.2.1 Skilmálar Google um samþykki vegna vinnslu persónuupplýsinga í nemendakerfinu
Þegar viðskiptavinir kaupa aðgang að Google-nemendakerfinu eru þeir upplýstir um skilmála Google um samþykki vegna vinnslu persónuupplýsinga í nemendakerfinu (e. Google Workspace for Education School Consent). Þar segir að skólar kunni að veita Google tilteknar persónuupplýsingar nemenda og kennara, svo sem nafn og netfang þeirra, þegar Google-nemendakerfið er notað. Að auki kunni Google að safna tilteknum persónuupplýsingum beint frá notendum kerfisins, t.d. símanúmeri eða notendamynd (e. profile picture) eða öðrum upplýsingum sem notendur setja á Google-aðgang sinn. Einnig segir í skilmálunum að Google safni upplýsingum um notkun kerfisins, en nánar tiltekið segir á ensku:
Google also collects information based on the use of our services. This includes:
· device information, such as the hardware model, operating system version, unique device identifiers and mobile network information including the user's phone number;
· log information, including details of how a user used our service, device event information and the user's Internet protocol (IP) address;
· location information, as determined by various technologies including IP address, GPS and other sensors;
· unique application numbers, such as application version number; and
· cookies or similar technologies which are used to collect and store information about a browser or device, such as preferred language and other settings.
Skilmálarnir greina frá því að persónuupplýsingar notenda, sem safnað er þegar grunnþjónustur kerfisins eru notaðar (e. Core Services), séu eingöngu nýttar til að veita þær grunnþjónustur. Tekið er fram að upplýsingarnar séu ekki notaðar í markaðstilgangi (e. advertising purposes). Grunnþjónustur kerfisins eru m.a. Gmail, Google Chat, Google Docs, Google Drive og Google Meet. Þá segir í skilmálunum að almenna persónuverndarstefna Google (e. Google Privacy Policy) gildi um viðbótarþjónustur Google (e. Additional Services) sem viðskiptavinir geta kosið að nota samhliða grunnþjónustum nemendakerfisins. Í lok skilmálanna er að auki tekið fram að Google vinni persónuupplýsingar nemenda í grunnþjónustum Google-nemendakerfisins í samræmi við persónuverndarstefnu Google fyrir nemendakerfið (e. Google Workspace for Education Privacy Notice) og almennu persónuverndarstefnu Google. Nánar tiltekið segir á ensku:
By clicking 'I agree' below, you consent on behalf of your institution to Google's processing of the personal information of students in the Core Services as described above and in the Google Workspace for Education Privacy Notice and the Google Privacy Policy, and agree to obtain parent or guardian consent for any Additional Services that you allow students under the age of 18 to use.
3.2.2 Persónuverndarstefnur fyrir Google-nemendakerfið og skýjaþjónustur Google
Í persónuverndarstefnu fyrir Google-nemendakerfið (e. Google Workspace for Education Privacy Notice) er greint frá því að Google safni tvenns konar upplýsingum þegar grunnþjónustur nemendakerfisins er notaðar, annars vegar persónuupplýsingum viðskiptavinarins (e. Customer Personal Data), sem vinnslusamningur aðila tekur til, og hins vegar þjónustugögnum (e. Service Data). Hvað vinnslu þjónustugagna varðar er vísað til persónuverndarstefnu Google fyrir skýjaþjónustur (e. Google Cloud Privacy Notice). Í þeirri stefnu er að finna nánari lýsingu á vinnslu þjónustugagna, en þar segir á ensku:
Service Data is the personal information Google collects or generates during the provision and administration of the Cloud Services and related technical support, excluding any Customer Data and Partner Data.
Service Data consists of:
· Account information. We collect the data you or your organization provide when creating an account for Cloud Services or entering into a contract with us (username, names, contact details and job titles).
· Cloud payments and transactions. We keep reasonable business records of charges, payments, and billing details and issues.
· Cloud settings and configurations. We record your configuration and settings, including resource identifiers and attributes, and service and security settings for data and other resources.
· Technical and operational details of your usage of Cloud Services. We collect information about usage, operational status, software errors and crash reports, authentication details, quality and performance metrics, and other technical details necessary for us to operate and maintain Cloud Services and related software. This information includes device identifiers, identifiers from cookies or tokens, and IP addresses.
· Your direct communications. We keep records of your communications and interactions with us and our partners (for example, when you provide feedback, ask questions or seek technical support).
Í persónuverndarstefnu fyrir Google-nemendakerfið er tekið fram að þjónustugögn séu fyrst og fremst notuð til þess að veita þjónustuna en einnig í þeim tilgangi sem nánar er lýst í persónuverndarstefnu Google fyrir skýjaþjónustur. Í síðarnefndu stefnunni segir að þjónustugögn séu jafnframt notuð til þess að veita tæknilega aðstoð, betrumbæta þjónustuna og aðra þjónustu sem viðskiptavinir nota, kynna nýja virkni fyrir viðskiptavinum eða skylda þjónustu, koma í veg fyrir misnotkun á þjónustunni og gera þjónustuna öruggari. Hvað vinnsluheimild varðar er vísað til þess að vinnslan sé ýmist nauðsynleg til að efna samninga við ábyrgðaraðila, vegna lagaskyldu sem hvíli á Google eða í þágu lögmætra hagsmuna fyrirtækisins.
III.
Skýringar og sjónarmið Reykjavíkurborgar
Í svörum Reykjavíkurborgar kemur fram að samkvæmt samningi sveitarfélagsins við Google, sem hafi tekið gildi 1. október 2020, notist grunnskólar þess við Plus (Core Service)-þjónustuleið Google-nemendakerfisins. Áætlað er að u.þ.b. 8.500 grunnskólanemendur hafi notað nemendakerfið skólaárið 2021-2022.
Reykjavíkurborg andmælir öllu því sem fram kemur í úttektarskýrslu Persónuverndar er varðar möguleg brot á persónuverndarlöggjöfinni og heldur því fram að sveitarfélagið hafi gert allt, sem ætlast megi til, til að tryggja að vinnsla persónuupplýsinga grunnskólanemenda í Google-nemendakerfinu, sem sveitarfélagið er ábyrgðaraðili að, uppfylli í hvívetna ákvæði persónuverndarlaga nr. 90/2018 og persónuverndarreglugerðar (ESB) 2016/679. Í þessum kafla verður gerð grein fyrir helstu skýringum og sjónarmiðum Reykjavíkurborgar, sem ákvörðun í málinu byggist á.
1.
Ábyrgð á vinnslu
Í svörum Reykjavíkurborgar er tekið fram að sveitarfélaginu séu falin margs konar verkefni á sviði kennslu grunnskólanemenda. Þessi verkefni felist að miklu leyti í vinnslu persónuupplýsinga, m.a. upplýsinga nemendanna sjálfra, og sveitarfélagið sé ábyrgðaraðili þeirrar vinnslu. Í nútímaþjóðfélagi þurfi að nýta upplýsingakerfi til þess að vinna flest þessara verkefna og því kunni að vera nauðsynlegt að leita eftir upplýsingatækniþjónustu, þ. á m. skýjaþjónustu, frá utanaðkomandi þjónustuaðila. Í þeim tilvikum feli sveitarfélagið skýjaþjónustuveitandanum að annast tiltekinn þátt í vinnslunni sem vinnsluaðila.
Greint er frá því að Reykjavíkurborg hafi gert vinnslusamning við Google vegna vinnslu persónuupplýsinga í Google-nemendakerfinu. Vinnslusamningurinn afmarki þá vinnslu sem Google sé falið að stunda, þ. á m. tilgang vinnslunnar og þær aðferðir sem skuli beita. Google hafi verið falið að vinna með þær persónuupplýsingar í nemendakerfinu sem eru skilgreindar í vinnslusamningnum sem persónuupplýsingar viðskiptavinar (e. Customer Personal Data).
Þá segir að til þess að skýjaþjónustuveitandinn geti boðið upp á og viðhaldið skýjaþjónustunni sé honum nauðsynlegt að stunda einnig ýmiss konar vinnslu með þær persónuupplýsingar, sem honum er falið sem vinnsluaðila að vinna, í öðrum tilgangi, t.a.m. í þeim tilgangi að auka áreiðanleika eða hraða þjónustunnar, breyta högun eða virkni hennar og þróa endurbættar útgáfur af henni. Skýjaþjónustuveitandinn taki í þeim tilvikum sjálfur, án samráðs við viðskiptavini sína, ákvörðun um tilgang og aðferðir við vinnsluna og sé því sjálfstæður ábyrgðaraðili þeirrar vinnslu. Að mati Reykjavíkurborgar er Google því sjálfstæður ábyrgðaraðili vinnslu svonefndra þjónustugagna (e. Service Data) í Google-nemendakerfinu. Reykjavíkurborg hafi enga aðkomu að vinnslu þjónustugagna og því sé andmælt að sveitarfélagið og Google kunni að vera sameiginlegir ábyrgðaraðilar vinnslunnar líkt og koma hafi þótt til skoðunar samkvæmt úttektarskýrslu Persónuverndar.
2.
Vinnslusamningur
Samkvæmt svörum Reykjavíkurborgar var vinnslusamningur sveitarfélagsins við Google, sem greint er frá í kafla II. 3.1, yfirfarinn af Reykjavíkurborg með það að markmiði að tryggja að farið væri að ákvæðum 28. gr. reglugerðar (ESB) 2016/679.
Reykjavíkurborg andmælir því að vinnslusamningurinn útiloki ekki að Google geti unnið persónuupplýsingar umfram fyrirmæli sveitarfélagsins, líkt og vikið var að í úttektarskýrslu Persónuverndar. Samkvæmt grein 5.2 (áður 5.2.1) í vinnslusamningnum gefi Reykjavíkurborg Google fyrirmæli um vinnslu upplýsinga viðskiptavinarins, þ. á m. um að vinna einungis með persónuupplýsingar í samræmi við samning aðila og gildandi lög (e. Customer instructs Google to process Customer Data in accordance with the applicable Agreement (including this Addendum) and applicable law only [...]).
Reykjavíkurborg heldur því einnig fram að hinir rúmu tímafrestir sem mælt er fyrir um í grein 11.4 í vinnslusamningnum, til að andmæla nýjum undirvinnsluaðila, gefi sveitarfélaginu nægan tíma til að koma á framfæri beint við vinnsluaðila andmælum sínum við fyrirhugaðar breytingar á skipan undirvinnsluaðila, áður en til þess kæmi að segja þyrfti upp vinnslusamningnum í mótmælaskyni.
Þá telur Reykjavíkurborg vandséð hvernig sveitarfélaginu eigi að vera kleift að telja upp í vinnslusamningi, með tæmandi hætti, allar hugsanlegar tegundir persónuauðkenna og annarra persónuupplýsinga sem sveitarfélagið og notendur þess kunni að vinna í Google-nemendakerfinu, með hliðsjón af eðli skýjaþjónustunnar. Að mati sveitarfélagsins sé skilvirkara og skýrara að stýra því í verklagsreglum og með eftirliti hvaða persónuupplýsingar sé heimilt að vinna. Allt að einu sé það afstaða sveitarfélagsins að vinnslusamningur aðila tilgreini öll þau atriði sem áskilið er í 3. mgr. 28. gr. reglugerðar (ESB) 2016/679.
3.
Aðrir skilmálar Google
Í svörum Reykjavíkurborgar er tekið fram að yfirlýsingar sem eru samdar einhliða af Google, án nokkurrar aðkomu sveitarfélagsins, séu ekki hluti af vinnslusamningi aðila, breyti honum ekki, gangi honum ekki framar og dragi því í engu úr þeim skyldum sem lagðar séu á Google sem vinnsluaðila. Vísað er til þess að sveitarfélagið hafi ekki lagt fram þær yfirlýsingar sem Persónuvernd byggir á í úttektarskýrslu sinni, þ. á m. samþykki skóla fyrir notkun nemenda á Google-nemendakerfinu (e. Google Workspace for Education School Consent), persónuverndarstefnu fyrir Google-nemendakerfið (e. Google Workspace for Education Privacy Notice) og persónuverndarstefnu fyrir skýjaþjónustur Google (e. Google Cloud Privacy Notice). Af hálfu sveitarfélagsins er því andmælt að þessar yfirlýsingar verði lagðar til grundvallar í úttektinni. Á hinn bóginn er því ekki andmælt, af hálfu Reykjavíkurborgar, að Google vinni persónuupplýsingar í samræmi við nefnda skilmála.
4.
Vinnsla þjónustugagna
Í mati Reykjavíkurborgar á áhrifum á persónuvernd vegna vinnslu persónuupplýsinga í Google-nemendakerfinu kemur fram að Google vinni þjónustugögn sem hluta af rekstri og umsjón á skýjalausninni. Gefin eru dæmi um þau gögn, en nánar tiltekið segir á ensku:
1. Cloud payments and transactions.
2. Cloud settings and configurations.
3. Technical and operational details of your usage of Workspace Services.
4. Your direct communications.
Í svörum Reykjavíkurborgar er greint frá því að þjónustugögn falli ekki undir vinnslusamning sveitarfélagsins við Google. Google hafi sjálft lýst því yfir að fyrirtækið sé ábyrgðaraðili vinnslunnar, en það komi m.a. fram í tölvupóstsamskiptum Reykjavíkurborgar og Google frá 15. ágúst 2022. Í þeim samskiptum vísar Google til þess að persónuverndarstefna fyrir skýjaþjónustur (e. Google Cloud Privacy Notice) gildi um vinnslu þjónustugagna. Í tilvísaðri stefnu segir að þjónustugögn séu persónuupplýsingar (e. personal information) sem Google safni eða sem verða til við skýjaþjónustu fyrirtækisins. Tekið er fram að þjónustugögn taki ekki til þeirra upplýsinga sem skilgreindar eru í vinnslusamningi aðila sem upplýsingar viðskiptavinarins.
Reykjavíkurborg kveðst ekki geta fullyrt um með hvaða hætti Google vinnur með persónuupplýsingar í þjónustugögnum þar sem sveitarfélagið sé ekki ábyrgðaraðili vinnslunnar. Sveitarfélagið telji brýnt að Persónuvernd geri skýran greinarmun á þeim ábyrgðaraðilum sem vinni með persónuupplýsingar í nemendakerfinu. Reykjavíkurborg hafi engin völd, hvorki samkvæmt persónuverndarlöggjöfinni né samkvæmt ákvæðum vinnslusamnings aðila, til að knýja fram upplýsingar um þær vinnslur sem Google er eitt ábyrgðaraðili fyrir. Að auki segir að sveitarfélagið hafi eðli máls samkvæmt afar takmarkaðar upplýsingar um þá vinnslu.
Í úttektarskýrslu Persónuverndar er fundið að því að vinnsluskrá Reykjavíkurborgar tilgreini ekki söfnun persónuupplýsinga nemenda í þjónustugögnum. Í andmælabréfi Reykjavíkurborgar vegna skýrslunnar segir að sveitarfélagið sé ekki eigandi umrædds upplýsingakerfis eða ábyrgðaraðili allrar þeirrar vinnslu sem fari fram í kerfinu. Vísað er til þess að vinnsluskrá sveitarfélagsins sé í stöðugri endurskoðun og uppfærslu og að til standi að uppfæra vinnsluskránna til samræmis við þær athugasemdir sem hafa borist og til samræmis við nýja og uppfærða skilmála fyrir notkun Google-nemendakerfisins.
5.
Lögmæti vinnslu
5.1 Vinnsluheimild og tilgangur
Í svörum Reykjavíkurborgar segir að vinnsla persónuupplýsinga grunnskólanemenda í Google-nemendakerfinu byggist á 5. tölul. 9. gr. laga nr. 90/2018 þar sem hún sé nauðsynleg vegna verka sem unnin séu í þágu almannahagsmuna, þ.e. að veita nemendum kennslu í samræmi við þær væntingar og kröfur sem gerðar eru til slíkrar starfsemi. Vísað til ýmissa ákvæða laga nr. 91/2008 um grunnskóla, m.a. 2., 13., 17., 24., 27. og 47. a. gr. laganna, auk ákvæða reglugerða nr. 897/2009 og nr. 1040/2011. Jafnframt er vísað til kafla 26.1 í aðalnámskrá grunnskóla sem kveður á um að kenna skuli upplýsinga- og tæknimennt sem feli í sér miðlamennt, upplýsinga- og samskiptatækni og tölvunotkun.
Greint er frá því að megintilgangur notkunar Google-nemendakerfisins sé að nemendur geti unnið verkefni með rafrænum hætti í samræmi við ákvæði laga um grunnskóla og aðalnámskrá grunnskóla. Árið 2017 hafi grunnskólar sveitarfélagsins haft frumkvæði að skoðun skýjalausna til að nýta í námi og kennslu, bæði til að uppfylla ákvæði aðalnámskrár grunnskóla um kennslu í upplýsinga- og tæknimennt og til að fylgja hröðum breytingum í tækniheiminum. Niðurstaða skoðunarinnar hafi verið sú að fyrir utan Google-nemendakerfið hafi aðrar sambærilegar kennslulausnir, sem uppfyllt hafi þarfir skólasamfélagsins, ekki staðið til boða.
Reykjavíkurborg telur nauðsynlegt að nota lausnir eins og Google-nemendakerfið til að ná fram þeim kröfum sem gerðar séu í aðalnámskrá, t.d. til að geta notað hugbúnað við ritunar- og tölfræðiverkefni, við vefsmíði, forritun, myndvinnslu, hljóðvinnslu og myndbandagerð. Kerfið sé orðið nauðsynlegur hluti daglegs skólastarfs í einstaklingsmiðuðu námi, menntun fyrir alla og þjálfun nemenda í þeirri stafrænu hæfni sem kveðið sé á um í aðalnámskrá grunnskóla. Google-nemendakerfið sé enn fremur eina heildræna kennslulausnin sem styðji vel við flest tungumál heims og veiti nemendum því möguleika á að þjálfa móðurmál sitt undir leiðsögn kennara.
Hvað þjónustugögn varðar segir í skýringum Reykjavíkurborgar að sveitarfélagið hafi einungis falið Google að vinna persónuupplýsingar sem séu skilgreindar í vinnslusamningi aðila sem persónuupplýsingar viðskiptavinarins. Vinnsla þjónustugagna falli utan vinnslusamnings og Google sé þar af leiðandi sjálfstæður ábyrgðaraðili þeirrar vinnslu.
5.2 Meðalhóf og lágmörkun gagna
Reykjavíkurborg andmælir því að það sé hlutverk sveitarfélagsins að sýna fram á að vinnsla persónuupplýsinga grunnskólanemenda í Google-nemendakerfinu takmarkist við það sem er nauðsynlegt miðað við tilgang vinnslunnar. Sveitarfélagið sé hvorki eigandi né rekstraraðili nemendakerfisins og hafi því ekki völd, aðstöðu eða réttindi til að veita upplýsingar um alla vinnslu persónuupplýsinga grunnskólanemenda í Google-nemendakerfinu. Telur sveitarfélagið að sér verði einungis gert að standa skil á upplýsingum um þær vinnslur sem það er ábyrgðaraðili fyrir.
Samkvæmt skýringum Reykjavíkurborgar hefur vinnsla persónuupplýsinga í nemendakerfinu verið takmörkuð með ýmsum valkvæðum stillingum, t.a.m. hafi tölvupóstkerfi nemenda verið lokað með þeim hætti að nemendur geti aðeins tekið við tölvupósti sem sendur er innan kerfisins, réttindi notenda til að setja inn og samtengja annan hugbúnað eða kennslulausnir inn í Google umhverfið hafi verið takmörkuð, til að stemma stigu við óþarfri vinnslu persónuupplýsinga, og vinnsla með vefkökur hafi verið takmörkuð, t.d. hafi verið lokað fyrir vefkökur Google Additional Services, þ.e. Youtube, Google Translate, Google Maps og Google Earth. Jafnframt hafi verið lokað fyrir söfnun á öðrum greiningargögnum í Google kerfinu, t.d. með lokun á Google Analytics söfnun innan lausnarinnar.
Google-nemendakerfið bjóði einnig upp á ýmsar stýringar sem ábyrgðaraðili geti nýtt til að gefa vinnsluaðila fyrirmæli til að stuðla að innbyggðri og sjálfgefinni persónuvernd í vinnslunni. Reykjavíkurborg hafi það að markmiði að lágmarka alla vinnslu persónuupplýsinga um hina skráðu í Google nemendakerfinu. Allar stillingar í kerfinu séu reglulega yfirfarnar af kerfisstjóra og stilltar í þeim tilgangi. Jafnframt séu netföng nemenda nú tveir fyrstu stafirnir í nafni og eftirnafni eða millinafni og hlaupandi raðtala, sem leiði til þess að auðkenni nemenda séu ópersónugreinanleg.
5.3 Varðveislutími persónuupplýsinga
Samkvæmt svörum Reykjavíkurborgar eru verkefni grunnskólanemenda varðveitt í Google-nemendakerfinu fram til loka annar en kunna að vera varðveitt lengur í sérstökum tilvikum á grundvelli annarra vinnsluheimilda samkvæmt lögum nr. 90/2018. Nemendur hafi aðgang að nemendakerfinu þar til grunnskólagöngu þeirra lýkur og séu hvattir til að grisja og eyða gögnum í lok hvers skólaárs. Verkefnum nemenda verði í síðasta lagi eytt þegar skólagöngu þeirra lýkur. Lítill hluti gagna kunni að vera skilaskyldur þar sem skylt sé að skila sýnishorni af verkefnavinnu nemenda til Borgarskjalasafns. Almennt sé þó ekki talið að gögn eða skjöl í kerfinu falli undir skilaskyldu samkvæmt lögum nr. 77/2014.
Í úttektarskýrslu Persónuverndar er vikið að því að Reykjavíkurborg hafi ekki sýnt fram á nauðsyn þess að varðveita upplýsingar nemenda í Google-nemendakerfinu út skólagöngu þeirra. Þessari afstöðu stofnunarinnar er andmælt af hálfu sveitarfélagsins. Vísað er til þess að í úttektinni hafi ekki verið óskað eftir því að sveitarfélagið sýndi fram á slíka nauðsyn en að sveitarfélagið telji tilefni til að endurskoða fyrri leiðbeiningar um varðveislu verkefna með hliðsjón af afstöðu Persónuverndar. Meðal annars verði verkefni, sem falli ekki undir skilgreiningar verkefnamiðaðs náms, grisjuð í lok skólaárs eftir að nemandi/forsjáraðili hafi fengið leiðbeiningar og tækifæri til að varðveita verkefnin utan Google-nemendakerfisins. Í lok hvers stigs verði að auki framkvæmd miðlæg eyðing/hreinsun úr gagnageymslum nemendakerfisins.
6.
Mat á áhrifum á persónuvernd
Samkvæmt svörum Reykjavíkurborgar gerði sveitarfélagið mat á áhrifum á persónuvernd vegna vinnslu persónuupplýsinga grunnskólanemenda í Google-nemendakerfinu áður en kennslulausnin var innleidd í grunnskólum þess. Reykjavíkurborg hafi talið rétt að framkvæma mat á áhrifum á persónuvernd þar sem vinnsluaðgerðir feli í sér samkeyrslu og sameiningu gagnasafna og falli því undir ákvæði 6. tölul. 2. gr. auglýsingar nr. 828/2019. Einnig hafi verið litið til þess að unnið sé með persónuupplýsingar barna og sá hópur teljist standa höllum fæti gagnvart ábyrgðaraðila sbr. ákvæði 7. tölul. 2. gr. auglýsingarinnar. Þá segir að matið hafi verið endurskoðað í febrúar 2022 í ljósi ákvörðunar Persónuverndar, dags. 20 desember 2021, um notkun Seesaw-nemendakerfisins. Enn fremur hafi matið verið endurskoðað á meðan úttektinni stóð og hafi Reykjavíkurborg, með vísan til þess, óskað eftir fyrirframsamráði við Persónuvernd í samræmi við 30. gr. laga nr. 90/2018 og 36. gr. reglugerðar (ESB) 2016/679.
Í andmælum Reykjavíkurborgar við úttektarskýrslu Persónuverndar segir að sveitarfélagið telji fyrirliggjandi mat ítarlegt og fagmannlega unnið. Því er sérstaklega andmælt að matið hafi átt að taka til vinnsluaðgerða sem Google framkvæmir sem sjálfstæður ábyrgðaraðili og Reykjavíkurborg hefur enga aðkomu að, þ.e. vinnslu persónuupplýsinga í öðrum tilgangi en þeim sem sveitarfélagið hefur falið Google að vinna í. Sveitarfélagið hafi ekkert boðvald yfir þeirri vinnslu og afar takmarkaðar upplýsingar um hana. Að mati sveitarfélagsins sé það ekki réttur skilningur á ákvæðum persónuverndarlöggjafarinnar, einkum 35. gr. reglugerðar (ESB) 2016/679, að í mati á áhrifum á persónuvernd skuli fjalla um vinnsluaðgerðir sem séu á ábyrgð annarra ábyrgðaraðila.
Því er jafnframt andmælt að matið standist ekki b-lið 7. mgr. 35. gr. reglugerðarinnar, um mat á því hvort vinnsluaðgerðir eru nauðsynlegar og hóflegar miðað við tilgang þeirra. Ekki séu vægari leiðir færar, til að ná fram þeim kröfum sem gerðar eru í aðalnámskrá, en að nýta lausnir eins og Google-nemendakerfið. Þá hafi Reykjavíkurborg gripið til margvíslegra skipulagslegra og tæknilegra ráðstafana vegna notkunar nemendakerfisins. Eingöngu séu skráðar persónuupplýsingar nemenda sem Reykjavíkurborg telur nauðsynlegar í þágu skólastarfs og vinnslunni séu jafnframt settar skorður með tæknilegum aðgangsstýringum, innbyggðri og sjálfgefinni persónuvernd og fræðslu til nemenda, foreldra og kennara, sem gæta þess að nemendur noti kerfið eingöngu í tilgreindum tilgangi.
Því er einnig andmælt að ekki hafi verið lagt fullnægjandi mat á áhættu fyrir réttindi og frelsi hinna skráðu, sbr. c-lið 7. mgr. 35. gr. reglugerðarinnar.
Loks er í andmælum Reykjavíkurborgar gerð athugasemd við að Persónuvernd hafi ekki orðið við beiðni sveitarfélagsins um fyrirframsamráð.
7.
Miðlun persónuupplýsinga til Bandaríkjanna
Í svörum Reykjavíkurborgar kemur fram að vinnsla persónuupplýsinga nemenda í Google-nemendakerfinu kunni að fari fram í Bandaríkjunum, þó að það hafi ekki verið staðfest. Sveitarfélagið hafi beint fyrirspurnum til Google um hvort gögn sem unnið er með í nemendakerfinu séu vistuð eða unnin í Bandaríkjunum. Samkvæmt svörum Google geti fyrirtækið ekki staðfest hvort upplýsingar eru í reynd unnar í Bandaríkjunum en þar segi jafnframt að öll miðlun upplýsinga til óöruggra þriðju ríkja sé byggð á uppfærðum stöðluðum samningsskilmálum Evrópusambandsins og varin af tæknilegum, lagalegum og skipulagslegum öryggisráðstöfunum. Reykjavíkurborg hafi breytt lýsingu umræddrar vinnslu í vinnsluskrá og mati á áhrifum á persónuvernd með hliðsjón af skýringum Google.
Í svörum Reykjavíkurborgar er jafnframt vísað til þess að Google hafi sett fram lýsingar á viðbótarverndarráðstöfunum sem gripið hafi verið til í tengslum við mögulega miðlun persónuupplýsinga til þriðju landa (e. Safeguards for international data transfers with Google Cloud). Verður hér eingöngu vikið að þeim tæknilegu ráðstöfunum sem þar er lýst.
Í tilvísuðum lýsingum kemur fram að Google skrái aðgang og aðgerðir starfsmanna sinna innan umhverfisins. Einnig kemur fram að gögn séu dulkóðuð í flutningi sem og í hvíld. Notast sé við FIPS 104-2-dulkóðun í flutningi og svonefnt „Application Layer Transport Security“ (ALTS) og „Transport Layer Security“ (TLS). Dulkóðun gagna í hvíld styðjist við „Advanced Encryption Standard“. Dulkóðunarlykillinn sé a.m.k. 128 bita fyrir gögn sem séu varðveitt í Google-nemendakerfinu. Lykillinn sé enn fremur dulkóðaður með öðrum 128 bita lykli sem sé varðveittur af „Google key management service“ (KMS). Google bjóði jafnframt upp á aukastýringar, t.a.m. hafi viðskiptavinir kost á að dulrita eigin gögn og stjórna varðveislu dulkóðunarlykilsins fyrir tilteknar þjónustur. Í uppfærðu mati Reykjavíkurborgar á áhrifum á persónuvernd er tekið fram að þessi möguleiki sé þó takmarkaður, enn sem komið er. Einungis sé hægt að dulrita stök skjöl eða búa til dulritað skjal en ekki að dulrita alla gagnageymslu allra notenda. Reykjavíkurborg hafi því ekki virkjað þennan möguleika að svo stöddu.
Í skýringum Reykjavíkurborgar er auk þess tekið fram að Bandaríkin séu nú aðili að sérstöku samkomulagi um flutning persónuupplýsinga frá Evrópu til Bandaríkjanna. Í samkomulaginu felist að Bandaríkin tryggi persónuupplýsingum, sem fluttar eru frá Evrópu til bandarískra fyrirtækja á grundvelli þess, viðunandi vernd í skilningi persónuverndarreglugerðarinnar, sbr. jafngildisákvörðun framkvæmdastjórnar Evrópusambandsins, dags. 10. júlí 2023. Þetta eigi við um fyrirtæki sem gangast með formlegum hætti undir skyldur samkvæmt samkomulaginu og sé Google þar á meðal.
8.
Andmæli vegna mögulegrar álagningar sektar
Með úttektarskýrslu Persónuverndar var Reykjavíkurborg veittur andmælaréttur vegna mögulegra fyrirmæla og beitingar stjórnvaldssektar. Í skýrslunni er það rakið að fyrirliggjandi gögn hafi þótt benda til þess að sveitarfélagið hefði brotið gegn ákvæðum 5., 6., 25., 26., 28., 30., 35., 44. og 46. gr. reglugerðar (ESB) 2016/679 en brot gegn þeim ákvæðum geta varðað sektum samkvæmt 2. og 3. mgr. 46. gr. laga nr. 90/2018, sbr. 4. og 5. mgr. 83. gr. reglugerðarinnar. Í úttektarskýrslunni eru einnig rakin þau atriði sem Persónuvernd taldi geta leitt til þess að sekt yrði lögð á og haft áhrif á fjárhæð sektar, samkvæmt 1. mgr. 47. gr. laga nr. 90/2018, sbr. 2. mgr. 83. gr. reglugerðarinnar.
Reykjavíkurborg vísar til þess að sveitarfélagið hafi sýnt mikinn samstarfsvilja gagnvart Persónuvernd og svarað öllum erindum stofnunarinnar við meðferð málsins með skýrum og greinargóðum hætti. Einnig telji sveitarfélagið ekki tilefni til að álykta á þann veg að það hafi brotið gegn ákvæðum persónuverndarlöggjafarinnar. Að auki sé rétt að hafa í huga að Persónuvernd hafi hingað til ekki beitt vægari úrræðum í málinu. Enn fremur beri að hafa hliðsjón af meðferð sambærilegra mála á hinum Norðurlöndunum, t.d. í Danmörku, þar sem samband þarlendra sveitarfélaga hafi haft rúman tíma til að koma á framfæri við persónuverndaryfirvöld tillögum af hálfu sveitarfélaga um endurbætur.
-
Hvað varðar einstök atriði sem eru nefnd í úttektarskýrslu Persónuverndar er í fyrsta lagi að nefna að umrædd vinnsla lýtur að persónuupplýsingum barna, sem njóta sérstakrar verndar samkvæmt persónuverndarlöggjöfinni, og teljast brot á vinnslu þeirra því alvarleg, sbr. 1. tölul. 1. mgr. 47. gr. laga nr. 90/2018 og a-lið 2. mgr. 83. gr. reglugerðarinnar. Í skýrslunni er einnig vísað til þess að með hliðsjón af virkni Google-nemendakerfisins og aldri nemenda þyki líkur standa til þess að viðkvæmar persónuupplýsingar eða upplýsingar viðkvæms eðlis séu skráðar í kerfið. Í andmælum Reykjavíkurborgar er tekið fram að sveitarfélagið leggi bann við vinnslu viðkvæmra persónuupplýsinga í Google-nemendakerfinu og hafi eftirlit með því að banninu sé framfylgt. Að auki séu almennt ekki unnin verkefni um viðfangsefni sem varða persónulega hagi nemenda og nemendur fái leiðbeiningar um að skrá ekki persónuauðkenni eða aðrar persónuupplýsingar. Reykjavíkurborg bendir á að ósannað sé að viðkvæmar persónuupplýsingar hafi verið skráðar í nemendakerfið og ekkert hafi komið fram um ætlun til að skrá slíkar upplýsingar.
Í öðru lagi er á því byggt í úttektarskýrslu Persónuverndar að vinnsluheimild sé ekki fyrir hendi hvað varðar söfnun þjónustugagna í öðrum og ósamrýmanlegum tilgangi en þeim sem tilgreindur hefur verið fyrir vinnslu persónuupplýsinga í nemendakerfinu af hálfu Reykjavíkurborgar. Vinnsla þjónustugagna þyki enn fremur ekki samrýmast meginreglum um gagnsæi, meðalhóf og lágmörkun gagna og þyki brotin að þessu leyti alvarleg, sbr. 1. tölul. 1. mgr. 47. gr. laganna og a-lið 2. mgr. 83. gr. reglugerðarinnar. Í andmælum Reykjavíkurborgar segir að sveitarfélagið verði ekki gert ábyrgt fyrir málefnalegri vinnslu sem fer fram af hálfu annars sjálfstæðs ábyrgðaraðila. Að auki er því andmælt að Persónuvernd sé heimilt að færa sama meinta brotið, þ.e. vinnslu Google á þjónustugögnum sem fellur ekki undir vinnslusamning aðila, undir langan lista af meintum brotum. Slíkt samræmist ekki 2. mgr. 47. gr. laga nr. 90/2018.
Í þriðja lagi er á því byggt í úttektarskýrslu Persónuverndar að brot Reykjavíkurborgar þyki umfangsmikil, þar sem u.þ.b. 8.500 grunnskólanemendur hafi notað Google-nemendakerfið skólaárið 2021-2022, sbr. 1. tölul. 1. mgr. 47. gr. laganna og a-lið 2. mgr. 83. gr. reglugerðarinnar. Í andmælum Reykjavíkurborgar er bent á að ekki komi fram á hverju mat Persónuverndar sé byggt. Reykjavíkurborg telji að til þess að hægt sé að komast að þeirri niðurstöðu að um umfangsmikil brot sé að ræða samkvæmt 1. tölul. 1. mgr. 47. gr. laganna þurfi að fara fram hlutlægt mat byggt á gagnsæjum tölulegum upplýsingum. Samkvæmt tölulegum upplýsingum frá Hagstofu Íslands hafi hlutfall nemenda sveitarfélagsins, sem hafi notað Google-nemendakerfið, verið 18% af heildarfjölda nemenda í grunnskólum á landinu skólaárið 2021-2022 og 29% af nemendum á höfuðborgarsvæðinu. Sveitarfélagið telji hlutfallið ekki umfangsmikið í þessu samhengi.
Í fjórða lagi er því andmælt sem fram kemur í úttektarskýrslu Persónuverndar að áhætta fylgi því að persónuupplýsingar séu fluttar til Bandaríkjanna og unnar þar án þess að gripið hafi verið til viðeigandi verndarráðstafna og að brotið teljist alvarlegt af þeim sökum, sbr. 1. og 4. tölul. 1. mgr. 47. gr. laganna og a- og d- lið 2. mgr. 83. gr. reglugerðarinnar. Reykjavíkurborg telji alls óútskýrt af hálfu Persónuverndar hvers vegna þetta meinta brot teljist alvarlegt af þeim sökum einum, óháð því hvers eðlis það er. Fyrir liggi ítarleg lýsing á þeim viðbótarverndarráðstöfunum sem hafi verið viðhafðar við vinnsluna fram að því að svonefndur friðhelgisrammi (e. Privacy Framework) hafi tekið gildi.
Í fimmta lagi er í úttektarskýrslu Persónuverndar byggt á því að brot Reykjavíkurborgar hafi verið framin af stórfelldu gáleysi, sbr. 2. tölul. 1. mgr. 47. gr. laganna og b-lið 2. mgr. 83. reglugerðarinnar. Er vísað til þess að stofnunin hafi birt leiðbeiningar 7. janúar 2022, í kjölfar ákvörðunar í máli nr. 2021040879, um innleiðingu upplýsingatæknikerfa þar sem unnið er með persónuupplýsingar barna en að ekki verði séð að Reykjavíkurborg hafi haft hliðsjón af þeim hvað varðar vinnslu persónuupplýsinga í Google-nemendakerfinu. Af hálfu Reykjavíkurborgar er þessari afstöðu eindregið andmælt. Tekið er fram að hlíting við umræddar leiðbeiningar hafi ekki verið hluti af fyrirliggjandi úttekt. Við innleiðingu Google-nemendakerfisins hafi ekki verið fyrir að fara öðrum leiðbeiningum en almennum leiðbeiningum um skýjalausnir sem gefnar hafi verið út af fjármála- og efnahagsráðuneytinu í samvinnu við Persónuvernd í árslok 2016. Eftir að nemendakerfið hafi verið tekið í notkun hafi verið lögð áhersla á að hafa hliðsjón af viðeigandi leiðbeiningum, ákvörðunum og lýsingu á góðum starfsháttum. Í því skyni hafi Reykjavíkurborg uppfært mat á áhrifum á persónuvernd og áhættumat að teknu tilliti til framangreindra leiðbeininga Persónuverndar og leiðbeininga norska eftirlitsyfirvaldsins um notkun Google-nemendakerfisins í grunnskólum.
Loks er þeirri sektarfjárhæð, sem er tilgreind í úttektarskýrslunni, mótmælt sem óhóflega hárri, einkum með hliðsjón af ákvörðunum Persónuverndar í máli nr. 2022020414 varðandi notkun Kópavogsbæjar á Seesaw-nemendakerfinu og í máli nr. 2020010355 varðandi InfoMentor ehf.
IV.
Niðurstaða
1.
Afmörkun máls
Ákvörðun þessi lýtur að vinnslu persónuupplýsinga grunnskólanemenda Reykjavíkurborgar í Google-nemendakerfinu, sbr. skilgreiningar 2. og 4. tölul. 3. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og 1. og 2. tölul. 4. gr. reglugerðar (ESB) 2016/679, í samræmi við gildissvið laganna og reglugerðarinnar, sbr. 1. mgr. 4. gr. laganna.
Nemendakerfið er „SaaS“-skýjalausn (e. Software as a Service), þ.e. lausn sem veitir notendum möguleikann á að nota tiltekinn hugbúnað eftir þörfum. Sveitarfélagið hefur áætlað að u.þ.b. 8.500 nemendur hafi notað kerfið skólaárið 2021-2022.
Af gögnum málsins má ráða að í nemendakerfinu eru unnar annars vegar persónuupplýsingar viðskiptavinarins (e. Customer Personal Data), sem vinnslusamningur aðila tekur til, og hins vegar persónuupplýsingar í þjónustugögnum (e. Service Data), sem fjallað er um í skilmálum Google, t.d. í skilmálum Google um samþykki vegna vinnslu persónuupplýsinga í nemendakerfinu (e. Google Workspace for Education School Consent), persónuverndarstefnu Google fyrir skýjaþjónustur (e. Google Cloud Privacy Notice) og persónuverndarstefnu fyrir Google-nemendakerfið (e. Google Workspace for Education Privacy Notice).
Persónuupplýsingar viðskiptavinarins eru, samkvæmt skilgreiningu vinnslusamnings, þær persónuupplýsingar sem Reykjavíkurborg eða notendur Google-nemendakerfisins miðla til Google með nemendakerfinu. Í vinnsluskrá Reykjavíkurborgar eru tilgreindar þær persónuupplýsingar sem skráðar eru í kerfið. Samkvæmt vinnsluskránni fer úrlausn verkefna og prófa fram í kerfinu, nemendur geta deilt gögnum innan kerfisins og kennarar geta sett inn leiðsagnarmat og/eða endurgjöf og sent verkefnastöðuskýrslu til foreldra. Að auki geta kennarar notað kerfið fyrir fjarkennslu og tekið foreldraviðöl í gegnum fjarfundabúnað. Þá geta nemendur notað kerfið fyrir samskipti við kennara og aðra nemendur m.a. í gegnum spjallforrit og tölvupóst.
Samkvæmt persónuverndarstefnu Google fyrir skýjaþjónustur eru þjónustugögn persónuupplýsingar sem Google safnar eða sem verða til við skýjaþjónustu fyrirtækisins. Nánar tiltekið er um að ræða notendaupplýsingar (e. Account information), t.d. notendanöfn og nöfn, upplýsingar um stillingar á þjónustunni (e. Cloud settings and configurations), tæknilegar upplýsingar og greiningargögn (e. Technical and operational details of your usage of Cloud Services), t.d. auðkenni tækis, auðkenni frá vafrakökum og IP-tölur, og bein samskipti notenda við Google, t.d. í tengslum við tæknilega aðstoð (e. Your direct communications).
Samkvæmt skilmálum Google um samþykki vegna vinnslu persónuupplýsinga í nemendakerfinu safnar Google enn fremur upplýsingum, m.a. um þau tæki sem kerfið er notað í, hvernig kerfið er notað, staðsetningu tækja eins og hún ákvarðast af mismunandi tækni, þ. á m. IP-tölu, GPS og öðrum nemum, tungumálastillingar og aðrar stillingar. Eru þessar upplýsingar nýttar til að veita grunnþjónustu í kerfinu.
Með hliðsjón af skilgreiningu persónuverndarlöggjafarinnar á persónuupplýsingum, sbr. 2. tölul. 3. gr. laga nr. 90/2018 og 1. tölul. 4. gr. reglugerðar (ESB) 2016/679, telur Persónuvernd að verkefni, próf og önnur gögn sem nemendur skrá í Google-nemendakerfið teljist ávallt til persónuupplýsinga þeirra ef unnt er að tengja þau við tiltekinn nemanda, þó að það sé e.t.v. ekki á allra færi. Með sömu röksemdum teljast upplýsingar sem fela í sér endurgjöf kennara við verkefni nemenda, samskipti nemenda og kennara, stöðuskýrslur og foreldraviðtöl einnig vera persónuupplýsingar nemendanna ef unnt er að tengja þær við tiltekinn nemanda. Það sama á við um þjónustugögn og önnur gögn sem eru unnin í Google-nemendakerfinu, t.d. notendaupplýsingar, tæknilegar upplýsingar, greiningarupplýsingar og staðsetningarupplýsingar, sem unnt er að tengja við tiltekna nemendur.
2.
Almennt um vinnslu persónuupplýsinga grunnskólanemenda í upplýsingatæknikerfum
Persónuvernd hefur áður fjallað um þau sjónarmið sem leggja verður til grundvallar við skýringu laga nr. 90/2018 og reglugerðar (ESB) 2016/679 þegar persónuupplýsingar barna eru unnar í upplýsingatæknikerfum í grunnskólastarfi. Vísast í þessu sambandi til umfjöllunar í kafla II. 2. í ákvörðun stofnunarinnar í máli nr. 2021040879. Í niðurlagi kaflans segir meðal annars:
[Þ]rátt fyrir að upplýsingatæknikerfi geti nýst kennurum, foreldrum og skólabörnum í skólastarfi og notkun þeirra verið þáttur í og aðstoðað við menntun barnanna þá fylgi[r] notkun þeirra áhætta fyrir grundvallarréttindi barnanna. Með hliðsjón af ungum aldri og þroska barnanna, þeirri stöðu sem þau eru í gagnvart skólunum, magni þeirra gagna sem hætta er á að safnist yfir skólagöngu þeirra, viðkvæmu eðli upplýsinganna sem kunna að vera skráðar, áhrifum upplýsingasöfnunarinnar á sjálfsmynd barnanna og aðgangi aðila á einkamarkaði að þessum upplýsingum, verður að fylgja ákvæðum persónuverndarlöggjafarinnar til hins ýtrasta þegar stafrænar lausnir eru innleiddar í skólastarf. Á það við um öll ákvæði persónuverndarlöggjafarinnar en sérstaklega skal nefnt hversu áríðandi það er að meginregla um meðalhóf og lágmörkun gagna sé virt. Persónuupplýsingar skólabarna sem safnað er í hvers konar upplýsingatæknikerfi skulu vera nægilegar, viðeigandi og takmarkast við það sem er nauðsynlegt miðað við tilgang vinnslunnar. Til þess að þessi meginregla sé virt í raun skal tilgangur með vinnslu persónuupplýsinganna vera skilgreindur þröngt og afmarkandi. Að öðrum kosti er ekki unnt að skilgreina hvaða persónuupplýsingar eru beinlínis nauðsynlegar fyrir vinnsluna. Þá verður að hafa í huga að þrátt fyrir að vinnsla persónuupplýsinga teljist hentug fyrir kennslu þá felst ekki sjálfkrafa í því að vinnslan sé nauðsynleg í þeim tilgangi.
3.
Ábyrgðaraðili og vinnsluaðili
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 og reglugerð (ESB) 2016/679 er nefndur ábyrgðaraðili. Er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 6. tölul. 3. gr. laganna og 7. tölul. 4. gr. reglugerðarinnar.
Ef tveir eða fleiri ábyrgðaraðilar ákveða sameiginlega tilgang vinnslu og aðferðir við hana skulu þeir teljast vera sameiginlegir ábyrgðaraðilar, sbr. 23. gr. laganna og 1. mgr. 26. gr. reglugerðarinnar.
Vinnsluaðili er einstaklingur, lögaðili, stjórnvald eða annar aðili sem vinnur með persónuupplýsingar á vegum ábyrgðaraðila, sbr. 7. tölul. 3. gr. laganna og 8. tölul. 4. gr. reglugerðarinnar.
3.1 Ábyrgð á vinnslu
Samkvæmt leiðbeiningum EDPB nr. 7/2020, um hugtökin ábyrgðaraðili og vinnsluaðili, eins og þær voru uppfærðar 7. júlí 2021, ber, við ákvörðun um hver telst vera ábyrgðaraðili vinnslu og hver telst vera vinnsluaðili, ekki einungis að líta til þeirra gagna sem fyrir liggja, til að mynda vinnslusamnings, heldur einnig hvernig fyrirkomulagi hafi raunverulega verið háttað, þ.e. hver hafi í reynd tekið ákvörðun um tilgang og aðferðir við vinnslu persónuupplýsinga.
Af gögnum málsins er ljóst að Reykjavíkurborg tók ákvörðun um að nota Google-nemendakerfið í grunnskólum sveitarfélagsins. Með því að ákveða að nota tiltekið upplýsingatæknikerfi í grunnskólastarfi til að veita nemendum kennslu, og beina nemendum í að nota það kerfi, ákveður Reykjavíkurborg í reynd tilgang og aðferðir við vinnslu persónuupplýsinga nemendanna í kerfinu. Að mati Persónuverndar er Reykjavíkurborg því ábyrgðaraðili vinnslu persónuupplýsinga nemenda í Google-nemendakerfinu.
Reykjavíkurborg hefur andmælt því að teljast ábyrgðaraðili vinnslu þjónustugagna og annarra gagna, sem fer fram í þágu þess að unnt sé að veita grunnþjónustu í Google-nemendakerfinu (hér eftir allt tilgreint sem þjónustugögn), samkvæmt skilmálum Google, þar sem fyrirtækið ákveði eitt tilgang og aðferðir þeirrar vinnslu.
Samkvæmt a-lið 3. mgr. 28. gr. og 29. gr. reglugerðar (ESB) 2016/679, sbr. 3. mgr. 25. gr. laga nr. 90/2018, skal vinnsluaðili því aðeins vinna persónuupplýsingar, sem hann hefur aðgang að í umboði ábyrgðaraðila, að fyrir liggi fyrirmæli ábyrgðaraðilans, nema honum sé það skylt samkvæmt lögum Sambandsins eða lögum aðildarríkis. Vinnsluaðili getur því ekki tekið ákvörðun um að vinna þær persónuupplýsingar, sem hann kemst yfir sem vinnsluaðili, frekar í öðrum tilgangi án samráðs við hinn upphaflega ábyrgðaraðila.
Samkvæmt þeim gögnum sem liggja fyrir í málinu og skýringum Reykjavíkurborgar hefur sveitarfélagið ekki gefið Google fyrirmæli um vinnslu þjónustugagna. Þá liggur ekki fyrir samkomulag um vinnslu þessara gagna í samræmi við ákvæði 26. gr. reglugerðar (ESB) 2016/679, sbr. 23. gr. laga nr. 90/2018. Að því virtu og með hliðsjón af framangreindum ákvæðum fellst Persónuvernd á þau sjónarmið Reykjavíkurborgar að Google teljist ábyrgðaraðili vinnslu persónuupplýsinga grunnskólanemenda sveitarfélagsins í þjónustugögnum.
Á hinn bóginn ber Reykjavíkurborg ábyrgð á því að persónuupplýsingar grunnskólanemenda sveitarfélagsins séu unnar í Google-nemendakerfinu, enda er það sveitarfélagið sem tekur ákvörðun um notkun kerfisins. Þrátt fyrir að Google setji fram tilgang og aðferðir við vinnslu tiltekinna gagna, samkvæmt framansögðu, leysir það ekki Reykjavíkurborg undan ábyrgðarskyldum sínum, líkt og rakið verður í næstu köflum hér á eftir.
Þar sem úttekt þessi beinist eingöngu að Reykjavíkurborg verður ekki fjallað frekar um ábyrgð Google í þessu sambandi.
3.2 Ábyrgðarskylda Reykjavíkurborgar við val á skýjaþjónustu og samningsgerð
Ábyrgðaraðili vinnslu persónuupplýsinga ber ábyrgð á því að vinnslan sé ávallt í samræmi við meginreglur um persónuvernd og skal geta sýnt fram á það, sbr. 8. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og 5. gr. reglugerðar (ESB) 2016/679. Ábyrgðaraðili skal, í því sambandi, gera viðeigandi tæknilegar og skipulagslegar ráðstafanir sem taka mið af eðli, umfangi, samhengi og tilgangi vinnslu og áhættu fyrir réttindi og frelsi skráðra einstaklinga til að tryggja og sýna fram á að vinnsla persónuupplýsinga uppfylli kröfur reglugerðarinnar, sbr. 23. gr. laga nr. 90/2018 og 1. mgr. 24. gr. reglugerðarinnar.
Ef tveir eða fleiri ábyrgðaraðilar ákveða sameiginlega tilgang vinnslunnar og aðferðir við hana skulu þeir teljast vera sameiginlegir ábyrgðaraðilar, sbr. 1. mgr. 26. gr. reglugerðarinnar og 23. gr. laganna. Þeir skulu, á gagnsæjan hátt, ákveða ábyrgð hvers um sig á því að skuldbindingar samkvæmt reglugerðinni séu uppfylltar með samkomulagi sín á milli nema og að því marki sem ábyrgð hvers ábyrgðaraðila um sig er ákveðin í lögum Sambandsins eða lögum aðildarríkis sem ábyrgðaraðilarnir heyra undir.
Þegar öðrum er falin vinnsla fyrir hönd ábyrgðaraðila skal ábyrgðaraðilinn einungis leita til vinnsluaðila sem veita nægilegar tryggingar fyrir því að þeir geri viðeigandi tæknilegar og skipulagslegar ráðstafanir til að vinnslan uppfylli kröfur reglugerðarinnar og að vernd réttinda hins skráða sé tryggð, sbr. 1. mgr. 25. gr. laga nr. 90/2018 og 1. mgr. 28. gr. reglugerðarinnar. Vinnsla af hálfu vinnsluaðila skal falla undir samning eða aðra réttargerð samkvæmt lögum, sem skuldbindur vinnsluaðila gagnvart ábyrgðaraðilanum og þar sem tilgreint er m.a. viðfangsefni og tilgangur vinnslu, skyldur og réttindi ábyrgðaraðila og að vinnsluaðili vinni einungis persónuupplýsingar samkvæmt skjalfestum fyrirmælum ábyrgðaraðila, sbr. 3. mgr. 25. gr. laganna og 3. mgr. 28. gr. reglugerðarinnar.
Líkt og rakið er í fyrrgreindum leiðbeiningum EDPB nr. 7/2020 (efnisgrein 83) ætti ábyrgðaraðili, þegar hann felur tilteknum þjónustuveitanda vinnslu persónuupplýsinga, að meta vandlega hvort þjónustuveitandinn gerir honum kleift að sinna ábyrgðarskyldum sínum með fullnægjandi hætti, að virtu eðli, umfangi, samhengi og tilgangi vinnslunnar og að teknu tilliti til mögulegrar áhættu sem fylgir vinnslunni fyrir hina skráðu. Í leiðbeiningunum segir einnig (efnisgreinar 37 og 84) að ábyrgðaraðili verði að taka endanlega ákvörðun um að samþykkja, með virkum hætti, hvernig vinnslan fer fram hjá vinnsluaðila, a.m.k. að meginstefnu til. Í einhverjum tilvikum kann að vera eðlilegt fyrir vinnsluaðila að geta tekið sjálfstæðar ákvarðanir í tengslum við vinnsluna en þá ætti það að vera ljóst hvaða tilvik það eru og að hvaða marki það þykir eðlilegt að þessar ákvarðanir falli í skaut vinnsluaðila.
Af þeim dæmum sem eru sett fram í leiðbeiningunum (efnisgrein 81 og 84) má einnig ráða að þegar sveitarfélög semja við skýjaþjónustuveitendur, í sambærilegum tilgangi og hér er til umfjöllunar, heyrir það undir ábyrgð sveitarfélagsins, sem ábyrgðaraðila vinnslunnar, að gera fullnægjandi vinnslusamning og tryggja að þær persónuupplýsingar sem eru unnar á þess ábyrgð séu eingöngu unnar í þeim tilgangi sem sveitarfélagið hefur tilgreint fyrir vinnslunni. Einnig verður ráðið, af tilvísuðum dæmum, að þegar þjónustuveitandi ákveður upp á sitt einsdæmi að nota persónuupplýsingar, sem hann fær aðgang að á grundvelli vinnslusamnings við ábyrgðaraðila, t.d. til að þróa eigin starfsemi, teljist þjónustuveitandinn ábyrgðaraðili þeirrar vinnslu en vinnslan felur þá jafnframt í sér brot á reglugerð (ESB) 2016/679.
Að öllu framangreindu virtu og með hliðsjón af atvikum þessa máls heyrir það undir ábyrgðarskyldur Reykjavíkurborgar að velja skýjaþjónustuveitanda sem gerir sveitarfélaginu kleift að sinna skyldum sínum samkvæmt persónuverndarlöggjöfinni með fullnægjandi hætti, að því virtu að um er að ræða vinnslu persónuupplýsinga barna í skólastarfi. Samkvæmt því hefði Reykjavíkurborg átt að tryggja, þegar samið var við Google um vinnslu persónuupplýsinga grunnskólanemenda sveitarfélagsins, að upplýsingarnar yrðu eingöngu unnar í þeim tilgangi sem sveitarfélagið tilgreindi fyrir vinnslunni. Að því marki sem nauðsynlegt gæti talist að Google tæki sjálfstæðar ákvarðanir um vinnslu persónuupplýsinga vegna þjónustu sinnar við Reykjavíkurborg og reksturs kerfisins, hefði sveitarfélagið auk þess átt að taka afstöðu til þess að hvaða marki slíkt væri nauðsynlegt og heimilt.
Þar sem hvorki er fjallað um vinnslu þjónustugagna í vinnslusamningi Reykjavíkurborgar og Google né í sérstöku samkomulagi sameiginlegra ábyrgðaraðila, og með vísan til þess sem fram kemur í skýringum Reykjavíkurborgar um að sveitarfélagið geti ekki fullyrt með hvaða hætti Google vinnur persónuupplýsingar grunnskólanemenda í þjónustugögnum og hafi engin völd til að knýja fram upplýsingar þar um, er það niðurstaða Persónuverndar að Reykjavíkurborg hafi ekki sinnt ábyrgðarskyldum sínum samkvæmt 8. gr., 23. gr. og 1. mgr. 25. gr. laga nr. 90/2018, sbr. 5. gr., 1. mgr. 24. gr. og 1. mgr. 28. gr. reglugerðar (ESB) 2016/679.
Samkvæmt a-lið 3. mgr. 28. gr. reglugerðarinnar, sbr. 3. mgr. 25. gr. laganna, skal vinnslusamningur ábyrgðar- og vinnsluaðila einkum mæla fyrir um að vinnsluaðili vinni einungis persónuupplýsingar samkvæmt skjalfestum fyrirmælum ábyrgðaraðila nema vinnsluaðila sé annað skylt samkvæmt lögum en þá skal hann upplýsa ábyrgðaraðila um það áður en vinnsla hefst. Þar sem fyrirliggjandi vinnslusamningur Reykjavíkurborgar og Google útilokar ekki að Google vinni persónuupplýsingar frekar, umfram fyrirmæli Reykjavíkurborgar, eins og gögn málsins bera með sér að Google geri í raun, er það jafnframt niðurstaða Persónuverndar að vinnslusamningurinn samrýmist ekki framangreindum ákvæðum.
Samkvæmt 2. mgr. og d-lið 3. mgr. 28. gr. reglugerðar (ESB) 2016/679, sbr. 3. mgr. 25. gr. laga nr. 90/2018, skal vinnsluaðili tilkynna ábyrgðaraðilanum um allar fyrirhugaðar breytingar á undirvinnsluaðilum sem fela í sér að bætt er við vinnsluaðilum eða þeim skipt út og gefa þannig ábyrgðaraðilanum tækifæri til að andmæla slíkum breytingum.
Í ákvæði 11.4 b. í vinnslusamningi Reykjavíkurborgar og Google segir að Google tilkynni viðskiptavini um nýjan undirvinnsluaðila og viðskiptavinurinn hafi 90 daga til að andmæla breytingunni með því að segja upp samningnum þegar í stað. Í framkomnum skýringum Reykjavíkurborgar er því haldið fram að framangreindur tímafrestur gefi sveitarfélaginu nægan tíma til að koma á framfæri andmælum sínum við fyrirhugaðar breytingar á undirvinnsluaðilum. Að virtum fyrrgreindum leiðbeiningum EDPB nr. 7/2020 (efnisgrein 158) og með hliðsjón af skýrslu ráðsins frá 17. janúar 2023 vegna samræmdra eftirlitsaðgerða með notkun opinberra aðila á skýjaþjónustu, fellst Persónuvernd á þau sjónarmið Reykjavíkurborgar.
4.
Lögmæti vinnslu
Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Að auki verður vinnsla viðkvæmra persónuupplýsinga að samrýmast einhverju af viðbótarskilyrðum 1. mgr. 11. gr. laganna, sbr. 2. mgr. 9. gr. reglugerðarinnar. Við mat á heimild til vinnslu verður einnig að líta til ákvæða annarra laga sem við eiga hverju sinni.
Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að samrýmast öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða (1. tölul. lagaákvæðisins), að þær skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.), að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.), að þær skuli varðveittar í því formi að ekki sé unnt að bera kennsl á skráða einstaklinga lengur en þörf krefur miðað við tilgang vinnslu (5. tölul.) og að þær skuli unnar með þeim hætti að viðeigandi öryggi persónuupplýsinganna sé tryggt (6. tölul.). Þá skulu ábyrgðaraðilar geta sýnt fram á að vinnsla persónuupplýsinga samrýmist ávallt þessum meginreglum, sbr. 2. mgr. 8. gr. laganna og 2. mgr. 5. gr. reglugerðarinnar.
4.1 Vinnsluheimild og tilgangur
Ábyrgðaraðili skal ákveða skýrt tilgreindan, lögmætan og málefnalegan tilgang vinnslu persónuupplýsinga og tryggja að þær séu unnar með lögmætum hætti og eingöngu í tilgreindum tilgangi, sbr. 1. og 2. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og a- og b-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Í því felst að vinnsla persónuupplýsinga þarf að byggjast á viðeigandi vinnsluheimildum og þurfa ábyrgðaraðilar að geta sýnt fram á að öllum skilyrðum tiltekinnar vinnsluheimildar sé fullnægt, sbr. 2. mgr. tilvísaðra greina. Til þess að vinnsla persónuupplýsinga sé lögmæt þarf tilgangur hennar og vinnsluheimildir að liggja fyrir áður en vinnsla hefst.
Reykjavíkurborg byggir vinnslu persónuupplýsinga grunnskólanemenda í Google-nemendakerfinu á heimild 5. tölul. 9. gr. laga nr. 90/2018, þar sem hún sé nauðsynleg vegna verka sem unnin eru í þágu almannahagsmuna, þ.e. að veita grunnskólanemendum kennslu í samræmi við þær væntingar og kröfur sem gerðar eru til slíkrar starfsemi. Í gögnum málsins og skýringum sveitarfélagsins er vísað til ýmissa ákvæða laga nr. 91/2008 um grunnskóla auk ákvæða reglugerða nr. 897/2009 og nr. 1040/2011 og aðalnámskrá grunnskóla. Þá er tekið fram að megintilgangur notkunar Google-nemendakerfisins sé að nemendur geti unnið verkefni með rafrænum hætti í samræmi við ákvæði laga um grunnskóla og aðalnámskrá grunnskóla.
Persónuvernd hefur byggt á því í fyrri niðurstöðum sínum að sveitarfélög geti stutt vinnslu persónuupplýsinga grunnskólanemenda í upplýsingatæknikerfum við heimild 5. tölul. 9. gr. laga nr. 90/2018, sbr. e-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, í ljósi þeirra verkefna sem þeim eru falin með lögum nr. 91/2008 og réttarheimildum sem settar eru með stoð í þeim lögum. Vísast um þetta atriði til kafla III. 4.1 í fyrrgreindri ákvörðun stofnunarinnar í máli nr. 2021040879.
Krafa vinnsluheimildarinnar um að vinnsla sé nauðsynleg í tilteknum tilgangi og í þágu tilgreindra hagsmuna endurspeglar meginreglu persónuverndarlöggjafarinnar um meðalhóf. Það ræðst af aðstæðum hverju sinni hvort vinnsla telst nauðsynleg. Ábyrgðaraðilum er falið visst mat í þeim efnum en þeir þurfa að meta nauðsyn fyrir hvern og einn þátt vinnslunnar í þágu skilgreinds tilgangs. Matið, fyrir hvern og einn þátt vinnslunnar, ræðst svo af hagsmunum af tilteknu verki og hvort hægt er að gæta þeirra hagsmuna með einhverjum þeim hætti sem felur í sér takmarkaðri vinnslu persónuupplýsinga. Við það mat ber meðal annars að líta til umfangs vinnslunnar og eðlis og efnis þeirra upplýsinga sem unnið er með. Þannig ber t.a.m. að gera ríkari kröfur að því er varðar nauðsyn vinnslu upplýsinga um hrein einkamálefni einstaklinga sem er sanngjarnt og eðlilegt að fari leynt. Vinnsla viðkvæmra persónuupplýsinga þarf að auki að samrýmast einhverju af viðbótarskilyrðum 1. mgr. 11. gr. laga nr. 90/2018, sbr. 2. mgr. 9. gr. reglugerðar (ESB) 2016/679. Þá hefur Persónuvernd einnig lagt til grundvallar, við mat á nauðsyn vinnslu, að rétt sé að líta til þess hvort hinir skráðu eru börn, enda njóta persónuupplýsingar þeirra sérstakrar verndar, sbr. 38. lið formálsorða reglugerðarinnar. Í því sambandi verður, hvað umrædda vinnslu varðar, m.a. að líta til aldurs og þroska barnanna, þeirrar stöðu sem þau eru í gagnvart skólanum sínum, magns þeirra gagna sem hætta er á að safnist yfir skólagöngu þeirra, og aðgangs Google að persónuupplýsingum þeirra til vinnslu í eigin þágu.
Til þess að unnt sé að meta nauðsyn vinnslu, sem og að tryggja gagnsæi hennar, þarf tilgangur vinnslunnar jafnframt að vera skýrt afmarkaður til að komið sé í veg fyrir að fella megi næstum hvað sem er undir hann.
Í fyrirliggjandi mati á áhrifum á persónuvernd fyrir umrædda vinnslu, sem rakið er í kafla II. 2., er tilgangur vinnslunnar nánar tilgreindur. Með hliðsjón af þeirri tilgreiningu telur Persónuvernd unnt að líta svo á að vinnsla persónuupplýsinga viðskiptavinarins, þ.e. þeirra persónuupplýsinga sem vinnslusamningur Reykjavíkurborgar og Google nær til, geti talist nauðsynleg vegna verkefnis sem er unnið í þágu almannahagsmuna eða við beitingu opinbers valds, sem Reykjavíkurborg fer með samkvæmt lögum nr. 91/2008, og því verið heimil á grundvelli 5. tölul. 9. gr. laga nr. 90/2018, sbr. e-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679.
Hvað varðar vinnslu persónuupplýsinga í þjónustugögnum áréttar Persónuvernd niðurstöðu sína um ábyrgðarskyldur Reykjavíkurborgar sem lýst er í kafla IV. 3.2.
Þegar Reykjavíkurborg ákveður að taka í notkun skýjaþjónustu í grunnskólastarfi og beina nemendum í að nota það kerfi, ber sveitarfélagið ábyrgð á því að persónuupplýsingar nemendanna séu ekki notaðar í öðrum og ósamrýmanlegum tilgangi en þeim sem er tilgreindur fyrir vinnslunni, sbr. 2. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og b-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Á það einnig við um vinnslu persónuupplýsinga í þjónustugögnum. Í því sambandi ber Reykjavíkurborg að meta hvort einstakir vinnsluþættir, í tengslum við vinnslu þjónustugagna, samrýmast þeim tilgangi sem er forsenda söfnunar persónuupplýsinganna í upphafi, í samræmi við 4. mgr. 6. gr. reglugerðar (ESB) 2016/679. Það að Google setji fram tilgang og aðferðir við vinnslu þjónustugagna leysir Reykjavíkurborg ekki undan þeirri ábyrgðarskyldu. Af framangreindum ákvæðum leiðir jafnframt að vinnsla persónuupplýsinga í þjónustugögnum, í öðrum og ósamrýmanlegum tilgangi en þeim sem er að baki söfnun upplýsinganna, getur ekki talist heimil á grundvelli 9. gr. laga nr. 90/2018 og 1. mgr. 6. gr. reglugerðar (ESB) 2016/679.
Af persónuverndarstefnu Google fyrir skýjaþjónustur (e. Google Cloud Privacy Notice) er ljóst að persónuupplýsingum er safnað í þjónustugögnum í öðrum tilgangi en að veita skýjaþjónustuna og tæknilega aðstoð í tengslum við hana, s.s. til að betrumbæta þjónustuna og aðra þjónustu sem viðskiptavinir nota og kynna nýja virkni fyrir viðskiptavinum og skylda þjónustu. Þá liggur fyrir, samkvæmt skilmálum Google um samþykki vegna vinnslu persónuupplýsinga í nemendakerfinu (e. Google Workspace for Education School Consent), að fyrirtækið safnar m.a. upplýsingum um staðsetningu tækja eins og hún ákvarðast af mismunandi tækni, þ. á m. IP-tölu, GPS og öðrum nemum, í því skyni að veita grunnþjónustu í kerfinu. Ekki er þó skýrt frekar hvernig þessar upplýsingar nýtast í þeim tilgangi og hefur Reykjavíkurborg ekki tekið sjálfstæða afstöðu til þess hvort vinnsla þeirra er nauðsynleg í þeim tilgangi sem sveitarfélagið hefur tilgreint fyrir vinnslu persónuupplýsinga í nemendakerfinu.
Að öllu framangreindu virtu er það niðurstaða Persónuverndar að Reykjavíkurborg hefur ekki gætt þess að persónuupplýsingar grunnskólanemenda sveitarfélagsins í Google-nemendakerfinu séu ekki unnar í öðrum og ósamrýmanlegum tilgangi en þeim sem sveitarfélagið hefur tilgreint fyrir vinnslu persónuupplýsinga í kerfinu og sem leiða má af verkefnum sveitarfélagsins samkvæmt lögum nr. 91/2008 um grunnskóla, sbr. 2. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og b-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, sbr. og 4. mgr. 6. gr. reglugerðarinnar.
4.2 Meðalhóf og lágmörkun gagna
Persónuupplýsingar skulu vera nægilegar, viðeigandi og takmarkast við það sem er nauðsynlegt miðað við tilgang vinnslunnar, sbr. 3. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og c-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679.
Í 1. og 2. mgr. 24. gr. laganna og 1. og 2. mgr. 25. gr. reglugerðarinnar er kveðið á um innbyggða og sjálfgefna persónuvernd. Samkvæmt ákvæðum um innbyggða persónuvernd skal ábyrgðaraðili gera tæknilegar og skipulagslegar ráðstafanir sem hannaðar eru til að framfylgja meginreglum um persónuvernd, þ. á m. lágmörkun gagna, og fella nauðsynlegar verndarráðstafanir inn í vinnsluna til að uppfylla kröfur reglugerðar (ESB) 2016/679. Ákvæðin um sjálfgefna persónuvernd kveða á um að ábyrgðaraðili skuli gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja að sjálfgefið sé að einungis þær persónuupplýsingar séu unnar sem nauðsynlegar eru vegna tilgangs vinnslunnar hverju sinni. Þessi skylda gildir um það hversu miklum persónuupplýsingum er safnað, að hvaða marki er unnið með þær, hversu lengi þær eru varðveittar og aðgang að þeim.
Í þessu sambandi verða áréttaðar framangreindar niðurstöður Persónuverndar, sbr. kafla IV. 3.2 og 4.1, sem lúta að ábyrgðarskyldum Reykjavíkurborgar hvað viðkemur vinnslu Google á persónuupplýsingum grunnskólanemenda sveitarfélagsins samkvæmt eigin skilmálum. Verður sveitarfélagið enn fremur ekki talið hafa uppfyllt ábyrgðarskyldur sínar sem lúta að innbyggðri og sjálfgefinni persónuvernd samkvæmt framangreindum ákvæðum þar sem ekki hafa verið gerðar viðeigandi skipulagslegar ráðstafanir til að framfylgja meginreglum um persónuvernd og til að tryggja að einungis sé unnið með persónuupplýsingar grunnskólanemenda að því marki sem nauðsynlegt er vegna tilgreinds tilgangs.
Af svörum Reykjavíkurborgar er þó ljóst að sveitarfélagið hefur takmarkað vinnslu persónuupplýsinga í Google-nemendakerfinu með ýmsum valkvæðum stillingum og stýringum í lausninni, sbr. nánari umfjöllun í kafla III. 5.2 hér að framan. Með hliðsjón af því er fallist á þau sjónarmið Reykjavíkurborgar að sveitarfélagið hafi gripið til ýmissa aðgerða sem takmarka vinnslu persónuupplýsinga í þágu innbyggðrar og sjálfgefinnar persónuverndar.
4.3 Varðveislutími persónuupplýsinga
Persónuupplýsingar skulu varðveittar í því formi að ekki sé unnt að bera kennsl á skráða einstaklinga lengur en þörf krefur miðað við tilgang vinnslunnar, sbr. 5. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og e-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Upplýsingar má með öðrum orðum ekki varðveita á persónugreinanlegu formi lengur en nauðsyn krefur í ljósi þess tilgangs sem var með söfnun þeirra og vinnslu. Samkvæmt ábyrgðarskyldu 2. mgr. 8. gr. laganna og 2. mgr. 5. gr. reglugerðarinnar þurfa ábyrgðaraðilar að geta sýnt fram á að þessu sé fylgt. Samkvæmt því sem þegar hefur verið rakið í kafla IV. 4.1 hér á undan er mikilvægt að tilgangur vinnslunnar sé skýrt afmarkaður til að unnt sé að meta nauðsyn varðveislu. Þá taka ákvæði um sjálfgefna persónuvernd einnig til þess hversu lengi persónuupplýsingar eru varðveittar, sbr. umfjöllun í kaflanum hér á undan.
Þegar hefur verið komist að þeirri niðurstöðu að Reykjavíkurborg telst hafa tilgreint tilgang vinnslunnar með nægilega skýrum hætti til þess að unnt sé að meta nauðsyn einstakra vinnsluaðgerða. Það sama verður talið eiga við um varðveislutíma persónuupplýsinga. Samkvæmt fyrirliggjandi gögnum og skýringum Reykjavíkurborgar er meginreglan sú að gögn nemenda í Google-nemendakerfinu eru grisjuð og þeim eytt í lok skólaárs. Þó kunna einhver verkefni að vera varðveitt lengur og í einhverjum tilvikum þar til skólagöngu lýkur. Í úttektarskýrslu Persónuverndar var gerð athugasemd við síðastnefnt atriði þar sem ekki var gerð grein fyrir hvaða tilvik réttlættu lengri varðveislutíma. Að virtum andmælum Reykjavíkurborgar fellst Persónuvernd á þau sjónarmið að hinn skýrt tilgreindi tilgangur vinnslunnar setji varðveislutímanum fullnægjandi mörk.
Þá kemur fram í svörum Reykjavíkurborgar að sveitarfélagið hafi talið tilefni til að endurskoða fyrri leiðbeiningar um varðveislu verkefna með hliðsjón af afstöðu Persónuverndar. Þau verkefni sem falla ekki undir skilgreiningar verkefnamiðaðs nám verði grisjuð í lok skólaárs eftir að nemandi/forsjáraðili hafi fengið leiðbeiningar og tækifæri til að varðveita verkefnin utan Google-nemendakerfisins. Telur Persónuvernd ekki tilefni til að gera athugasemd við þetta fyrirkomulag, að því marki sem tilgangur vinnslunnar er skýrt afmarkaður til þess að unnt sé að meta nauðsyn varðveislunnar hverju sinni.
Hvað varðar varðveislutíma Google á þeim persónuupplýsingum grunnskólanemenda sem fyrirtækið vinnur samkvæmt eigin skilmálum liggur ekki annað fyrir en það sem segir í persónuverndarstefnu Google fyrir skýjaþjónustu (e. Google Cloud Privacy Notice), en þar segir að upplýsingarnar séu varðveittar eins lengi og Google telji nauðsynlegt í tilgreindum tilgangi, t.d. til að koma í veg fyrir svik og misnotkun. Telur Persónuvernd að það heyri undir ábyrgðarskyldu Reykjavíkurborgar, í samræmi við fyrrgreindar niðurstöður, að afla sér allra upplýsinga um varðveislutíma persónuupplýsinga grunnskólanemenda sveitarfélagsins sem eru unnar af Google og taka skýra afstöðu þar að lútandi.
5.
Mat á áhrifum á persónuvernd
Ef líklegt er að vinnsla persónuupplýsinga geti haft í för með sér mikla áhættu fyrir réttindi og frelsi einstaklinga, einkum þar sem beitt er nýrri tækni og með hliðsjón af eðli, umfangi, samhengi og tilgangi vinnslunnar, skal ábyrgðaraðili láta fara fram mat á áhrifum fyrirhugaðra vinnsluaðgerða á vernd persónuupplýsinga áður en vinnslan hefst og getur eitt mat tekið til nokkurra svipaðra vinnsluaðgerða sem geta haft í för með sér svipaða áhættuþætti, sbr. 1. mgr. 29. gr. laga nr. 90/2018 og 1. mgr. 35. gr. reglugerðar (ESB) 2016/679.
Með vísan til umfjöllunar í kafla IV. 2., sem og til þess að um er að ræða flókna tækni, skýjaþjónustu, sem beitt er á nýjan hátt, þ.e. til að veita skólabörnum kennslu, þykir ljóst að Reykjavíkurborg var skylt að framkvæma mat á áhrifum vinnsluaðgerða á vernd persónuupplýsinga grunnskólanemenda áður en vinnsla í kerfinu hófst, sbr. 8. tölul. 3. gr. auglýsingar nr. 828/2019, sbr. 1. og 2. mgr. 29. gr. laga nr. 90/2018 og 1. og 4. mgr. 35. gr. reglugerðar (ESB) 2016/679. Þar að auki eru upplýsingar um endurgjöf kennara við verkefni eða framvindu nemenda færðar inn í Google-nemendakerfið, samkvæmt lýsingu Reykjavíkurborgar, en skylt er að framkvæma mat á áhrifum þeirra vinnsluaðgerða, sbr. 4. og 9. tölul. auglýsingar nr. 828/2019.
Líkt og fram kemur í kafla II. 2. hér að framan tók Reykjavíkurborg fyrirliggjandi mat á áhrifum á persónuvernd til endurskoðunar eftir að úttektin hófst 25. febrúar 2022 og er nýtt mat dagsett 12. september s.á. Það athugast í þessu sambandi að mat á áhrifum á persónuvernd á að liggja fyrir áður en vinnsla hefst, sem samkvæmt svörum Reykjavíkurborgar var 1. október 2020, og er það mat, sem lá fyrir hjá Reykjavíkurborg þegar úttektin hófst, til skoðunar hér.
Ábyrgðaraðilar geta notfært sér mismunandi aðferðir við framkvæmd mats á áhrifum á persónuvernd en samkvæmt 84. lið formálsorða reglugerðarinnar ætti einkum að meta uppruna, eðli, sérkenni og alvarleika þeirrar áhættu sem leiðir af vinnsluaðgerðum. Samkvæmt 7. mgr. 35. gr. reglugerðarinnar skal matið að lágmarki innihalda kerfisbundna lýsingu á fyrirhuguðum vinnsluaðgerðum og tilganginum með vinnslunni (a-liður ákvæðisins), mat á því hvort vinnsluaðgerðirnar eru nauðsynlegar og hóflegar miðað við tilganginn með þeim (b-liður), mat á áhættu fyrir réttindi og frelsi skráðra einstaklinga (c-liður) og lýsingu á þeim ráðstöfunum sem fyrirhugað er að grípa til gegn slíkri áhættu, þ.m.t. verndarráðstafanir, öryggisráðstafanir og fyrirkomulag við að tryggja vernd persónuupplýsinga (d-liður).
Ítarleg grein er gerð fyrir mati Reykjavíkurborgar á áhrifum á persónuvernd vegna vinnslu persónuupplýsinga grunnskólanemenda í Google-nemendakerfinu, frá 13. júní 2022, í kafla II. 2. Hér verður aðeins farið yfir þau atriði sem Persónuvernd telur ekki samrýmast lágmarkskröfum 35. gr. reglugerðar (ESB) 2016/679, sbr. 1. mgr. 29. gr. laga nr. 90/2018.
Að virtum fyrri niðurstöðum, sbr. kafla IV. 3.2 og 4.1 hér á undan, telur Persónuvernd að mat Reykjavíkurborgar hafi ekki uppfyllt skilyrði a-liðar 7. mgr. 35. gr. reglugerðarinnar þar sem ekki er gerð viðhlítandi grein fyrir vinnsluaðgerðum samkvæmt skilmálum Google, þó að í matinu komi fram að Google vinni tiltekin þjónustugögn sem hluta af rekstri og umsjón á skýjalausninni. Í skýringum Reykjavíkurborgar segir að sveitarfélagið geti ekki fullyrt um með hvaða hætti Google vinni með persónuupplýsingar í þjónustugögnum þar sem sveitarfélagið sé ekki ábyrgðaraðili vinnslunnar. Persónuvernd áréttar að í ábyrgðarskyldu Reykjavíkurborgar felst m.a. að hafa yfirsýn yfir söfnun og vinnslu persónuupplýsinga grunnskólanemenda sem fer fram í Google-nemendakerfinu, enda tók sveitarfélagið ákvörðun um að nemendur þess skyldu nota kerfið og er ábyrgt fyrir því að persónuupplýsingar þeirra rati þangað.
Kerfisbundin lýsing á fyrirhuguðum vinnsluaðgerðum og tilganginum með vinnslunni er enn fremur forsenda þess að ábyrgðaraðili geti metið næsta þátt matsins með víðhlítandi hætti, þ.e. hvort vinnsluaðgerðir eru nauðsynlegar og hóflegar miðað við tilgang þeirra. Af því leiðir að mat Reykjavíkurborgar uppfyllir heldur ekki skilyrði b-liðar 7. mgr. 35. gr. reglugerðarinnar. Við mat samkvæmt því ákvæði kann t.a.m. að koma í ljós að tilteknar vinnsluaðgerðir eru ekki nauðsynlegar til að ná því markmiði sem stefnt er að og rúmast ekki innan þeirrar vinnsluheimildar sem byggt er á.
Loks telur Persónuvernd að í matinu sé ekki lagt viðeigandi mat á áhættu fyrir réttindi og frelsi grunnskólanemenda, sbr. c-lið 7. mgr. 35. gr. reglugerðarinnar. Í því sambandi má hafa hliðsjón af 84. og 90. lið formálsorða reglugerðarinnar, sem og 75. lið þeirra. Með hliðsjón af virkni Google-nemendakerfisins og þeim skilmálum sem gilda um kerfið telur Persónuvernd að meta hefði þurft sérstaklega áhættu samfara aðgengi Google að persónuupplýsingum nemenda til vinnslu í eigin þágu og miðlun persónuupplýsinga til Bandaríkjanna.
Með hliðsjón af öllu framangreindu er það niðurstaða Persónuverndar að umrætt mat Reykjavíkurborgar á áhrifum á persónuvernd standist ekki lágmarkskröfur 35. gr. reglugerðar (ESB) 2016/679, sbr. 1. mgr. 29. gr. laga nr. 90/2018.
6.
Fyrirframsamráð
Með vísan til þeirra athugasemda Reykjavíkurborgar sem lúta að því að Persónuvernd hafi ekki orðið við beiðni sveitarfélagsins um fyrirframsamráð vegna umræddrar vinnslu er til þess að líta að samkvæmt 1. mgr. 30. gr. laga nr. 90/2018, sbr. 1. mgr. 36. gr. reglugerðar (ESB) 2016/679, skal ábyrgðaraðili hafa samráð við Persónuvernd, ef mat á áhrifum á persónuvernd gefur til kynna að vinnsla muni hafa mikla áhættu í för með sér, áður en vinnsla hefst. Sem fyrr greinir segir í umsögn persónuverndarfulltrúa Reykjavíkurborgar við umrætt mat á áhrifum á persónuvernd að hann telji ekki tilefni til að leggja til að leitað verði fyrirframsamráðs vegna þeirrar vinnslu persónuupplýsinga sem þar er fjallað um. Þá liggur fyrir að Reykjavíkurborg ákvað að leita ekki fyrirframsamráðs áður en vinnsla persónuupplýsinga hófst í Google-nemendakerfinu, í samræmi við fyrrgreind ákvæði, en gerði það með beiðni sinni til Persónuverndar 26. september 2022, tæpum tveimur árum eftir að samningur sveitarfélagsins við Google um notkun nemendakerfisins tók gildi, 1. október 2020.
Að þessu virtu telur Persónuvernd tilefni til að árétta mikilvægi þess að vandað sé til verka í upphafi og að samráðs sé leitað við stofnunina áður en vinnsla persónuupplýsinga hefst, ef talið er að vinnslunni fylgi mikil áhætta fyrir hina skráðu og ef vafi leikur á um að unnt sé að draga úr áhættunni með fullnægjandi ráðstöfunum af hendi ábyrgðaraðila.
Í þessu sambandi eru áréttuð þau sjónarmið sem rakin eru í kafla IV. 2. um vinnslu persónuupplýsinga barna í skólastarfi. Einnig er að líta til eðlis þeirra upplýsinga sem eru unnar í Google-nemendakerfinu, þ.e. endurgjöf eða mat kennara á verkefnum og framvindu nemenda og aðrar persónuupplýsingar sem varða hrein einkamálefni nemendanna, s.s. í verkefnum þeirra, samskiptum við kennara og stöðuskýrslum, sem og áhættunnar á því að viðkvæmar persónuupplýsingar verði skráðar í kerfið, samkvæmt því sem fram kemur í mati Reykjavíkurborgar á áhrifum á persónuvernd. Að teknu tilliti til einstakra ákvæða í skilmálum Google, t.d. um vinnslu upplýsinga um staðsetningu tækja eins og hún ákvarðast af mismunandi tækni, þ. á m. IP-tölu, GPS og öðrum nemum, í því almenna skyni að veita grunnþjónustu, er enn fremur að líta til fullyrðinga Reykjavíkurborgar í framkomnum skýringum. Segir þar, nánar tiltekið, að sveitarfélagið hafi engin völd, aðstöðu eða réttindi til að veita upplýsingar um alla vinnslu persónuupplýsinga grunnskólanemenda í Google-nemendakerfinu, að sveitarfélagið hafi enga aðkomu haft að því að semja einhliða skilmála Google, þar sem frekari vinnslu persónuupplýsinga grunnskólanemendanna er lýst, og að það sé staðreynd, m.a. samkvæmt yfirlýsingum Google, að ekki sé hægt að veita neina skýjaþjónustu, af því tagi sem hér um ræðir, án vinnslu upplýsinga, eins og þeirra sem eru skilgreindar sem þjónustugögn í skilmálum Google.
Telur Persónuvernd að allt það sem hér hefur verið rakið hefði átt að leiða til þess að Reykjavíkurborg hefði samráð við Persónuvernd áður en sveitarfélagið tók ákvörðun um að persónuupplýsingar grunnskólanemenda yrði gerðar aðgengilegar Google til vinnslu þeirra umfram fyrirmæli sveitarfélagsins.
7.
Miðlun persónuupplýsinga til þriðju landa
Miðlun persónuupplýsinga til þriðju landa, þ.e. landa utan Evrópska efnahagssvæðisins, er eingöngu heimil ef farið er að ákvæðum V. kafla reglugerðar (ESB) 2016/679, sem ætlað er að tryggja fullnægjandi vernd við miðlun persónuupplýsinga til þriðju landa eða alþjóðastofnana, sbr. 44. gr. reglugerðarinnar. Í tilvísuðu ákvæði segir jafnframt að beita skuli öllum ákvæðum kaflans þannig að tryggja megi að ekki sé grafið undan vernd einstaklinga sem tryggð er með reglugerðinni.
Samkvæmt 1. mgr. 45. gr. reglugerðarinnar er miðlun persónuupplýsinga til þriðju landa eða alþjóðastofnana heimil ef framkvæmdastjórnin hefur ákveðið að þriðja landið, yfirráðasvæði eða einn eða fleiri tilgreindir geirar innan viðkomandi þriðja lands eða umrædd alþjóðastofnun tryggi fullnægjandi vernd. Slík miðlun þarfnast ekki sérstakrar heimildar. Ef ekki liggur fyrir jafngildis-ákvörðun samkvæmt 45. gr. reglugerðarinnar getur ábyrgðaraðili eða vinnsluaðili aðeins miðlað persónuupplýsingum til þriðja lands hafi hann gert viðeigandi verndarráðstafanir og með því skilyrði að fyrir hendi séu framfylgjanleg réttindi og skilvirk lagaleg úrræði fyrir skráða einstaklinga, sbr. 1. mgr. 46. gr. reglugerðarinnar.
Samkvæmt ákvæði 10.1 í fyrirliggjandi vinnslusamningi Reykjavíkurborgar og Google getur vinnsla persónuupplýsinga farið fram í þeim löndum þar sem Google eða undirvinnsluaðilar fyrirtækisins hafa aðstöðu. Af gögnum málsins er enn fremur ljóst að Google og hluti undirvinnsluaðila fyrirtækisins hafa aðstöðu í Bandaríkjunum. Í skýringum Reykjavíkurborgar kemur fram að Google geti ekki staðfest hvort gögn sem unnin eru í Google-nemendakerfinu eru vistuð eða að öðru leyti unnin í Bandaríkjunum.
Með hliðsjón af framangreindu telur Persónuvernd ekki útilokað að persónuupplýsingar grunnskólanemenda Reykjavíkurborgar í Google-nemendakerfinu séu unnar í Bandaríkjunum.
Jafngildisákvörðun varðandi flutning persónuupplýsinga frá Evrópu til Bandaríkjanna var samþykkt af framkvæmdastjórn Evrópusambandsins 10. júlí 2023. Miðlun persónuupplýsinga til Bandaríkjanna féll því ekki undir fyrrgreinda 45. gr. reglugerðarinnar á þeim tíma þegar úttekt þessi hófst og fram til 10. júlí sl.
Samkvæmt fyrirliggjandi vinnsluskrá og vinnslusamningi var á þessum tíma treyst á staðlaða samningsskilmála vegna miðlunar persónuupplýsinga til þriðju landa, sbr. c-lið 2. mgr. 46. gr. reglugerðar (ESB) 2016/679. Auk þess hefur Reykjavíkurborg vísað til lýsinga Google á þeim viðbótarverndarráðstöfunum sem eru viðhafðar vegna miðlunar persónuupplýsinga til þriðju landa.
Í dómi Evrópudómstólsins frá 16. júlí 2020 í máli nr. C-311/18 (Schrems II) er tekið fram að við miðlun persónuupplýsinga til þriðju landa þurfi að tryggja sambærilega vernd og almenna persónuverndarreglugerðin kveður á um, óháð því hvaða ákvæði V. kafla reglugerðar (ESB) 2016/679 stuðst er við, en slíkt leiði af 44. gr. reglugerðarinnar. Styðjist ábyrgðaraðili við staðlaða samningsskilmála við flutning persónuupplýsinga til þriðja lands þarf hann því að tryggja í framkvæmd að skilmálarnir veiti sambærilega vernd og almenna persónuverndarreglugerðin kveður á um. Við ákvörðun um hvort undirgangast skal slík ákvæði þurfa ábyrgðaraðilar að leggja mat á hvort viðtökulandið veitir fullnægjandi vernd. Í því sambandi var í dómi Evrópudómstólsins sérstaklega nefnt að í Bandaríkjunum hefðu eftirlitsstofnanir víðtækar heimildir, samkvæmt lögum, til að nota persónuupplýsingar sem fluttar væru frá Evrópusambandinu til Bandaríkjanna án þess að þurfa að gæta að persónuvernd einstaklinga. Af dómnum má jafnframt ráða að stöðluð samningsákvæði hafi ekki getað komið í veg fyrir slíkan aðgang erlendra eftirlitsstofnana og því hefðu ábyrgðaraðilar getað þurft að innleiða viðbótarverndarráðstafanir samhliða stöðluðum samningsskilmálum til að tryggja í framkvæmd að skilmálarnir veittu sambærilega vernd.
Í tilmælum EDPB frá 18. júní 2020 nr. 1/2020 um ráðstafanir til flutnings persónuupplýsinga úr landi (e. Recommendations on measures that supplement transfer tools to ensure compliance with EU level of protection of personal data) eru nánari upplýsingar um hvers ábyrgðaraðilum ber að gæta við flutning persónuupplýsinga til þriðju landa, meðal annars með hliðsjón af framangreindum dómi Evrópudómstólsins. Hvað varðar mögulegan aðgang erlendra eftirlitsstofnana að persónuupplýsingum sem miðlað er til þriðju landa segir í tilmælunum að samningsbundnar og skipulagslegar viðbótarráðstafanir dugi almennt ekki til að koma í veg fyrir slíkan aðgang, heldur þurfi jafnframt að innleiða tæknilegar ráðstafanir, svo sem dulkóðun. Í tilmælunum er jafnframt lögð áhersla á að haldið sé utan um dulkóðunarlykla á ábyrgan hátt og af traustum aðilum innan Evrópska efnahagssvæðisins eða annarra ríkja sem tryggja persónuupplýsingum fullnægjandi vernd.
Af lýsingum Google er ljóst að persónuupplýsingar eru dulkóðaðar í gagnagrunni Google-nemendakerfisins, sem og í flutningi. Google key management service (KMS) varðveitir dulkóðunarlykilinn en viðskiptavinir eiga einnig kost á að stjórna varðveislu lykilsins fyrir tilteknar þjónustur. Reykjavíkurborg hefur ekki sýnt fram á að sveitarfélagið hafi nýtt þann möguleika. Persónuvernd telur því að leggja verði til grundvallar að dulkóðunarlykillinn hafi verið varðveittur af Google KMS, sem er á hendi sömu fyrirtækjasamstæðu og annaðist hýsingu og dulkóðun persónuupplýsinga fyrir hönd Reykjavíkurborgar. Að mati Persónuverndar dregur það fyrirkomulag verulega úr verndargildi dulkóðunarinnar. Þá verður ekki séð að aðrar tæknilegar ráðstafanir, s.s. aðgangsstýringar, sem viðhafðar eru í Google-nemendakerfinu, hafi getað komið í veg fyrir aðgang erlendra eftirlitsstofnana að persónuupplýsingum sem miðlað er til þriðju landa.
Með hliðsjón af því sem hér hefur verið rakið telur Persónuvernd að Reykjavíkurborg hafi ekki sýnt fram á að hafa gert fullnægjandi viðbótarverndarráðstafanir í tengslum við flutning persónuupplýsinga til Bandaríkjanna, fram til 10. júlí 2023. Því hafi sveitarfélagið ekki uppfyllt skilyrði 46. gr. reglugerðar (ESB) 2016/679, og hafi miðlun persónuupplýsinga til Bandaríkjanna, á grundvelli vinnslusamnings sveitarfélagsins við Google, þar af leiðandi verið andstæð 44. gr. reglugerðarinnar.
8.
Samantekt niðurstöðu
Persónuvernd hefur komist að þeirri niðurstöðu að vinnsla persónuupplýsinga grunnskólanemenda í Google-nemendakerfinu á vegum Reykjavíkurborgar hafi ekki verið í samræmi við ákvæði persónuverndarlöggjafarinnar.
Í fyrsta lagi telst Reykjavíkurborg ekki hafa uppfyllt ábyrgðarskyldur sínar þegar lagt var mat á og tekin ákvörðun um að nota Google sem vinnsluaðila umræddrar vinnslu, sbr. 8. gr., 23. gr. og 1. mgr. 25. gr. laga nr. 90/2018 og 5. gr., 1. mgr. 24. gr. og 1. mgr. 28. gr. reglugerðar (ESB) 2016/679.
Í öðru lagi telst vinnslusamningur Reykjavíkurborgar og Google ekki uppfylla skilyrði a-liðar 3. mgr. 28. gr. reglugerðarinnar, sbr. 3. mgr. 25. gr. laganna.
Í þriðja lagi telst Reykjavíkurborg ekki hafa uppfyllt ábyrgðarskyldur sínar sem lúta að því að persónuupplýsingar grunnskólanemenda sveitarfélagsins séu ekki unnar í öðrum og ósamrýmanlegum tilgangi en þeim sem sveitarfélagið hefur tilgreint fyrir vinnslunni, sbr. 2. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og b-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, sbr. og 4. mgr. 6. gr. reglugerðarinnar.
Í fjórða lagi telst Reykjavíkurborg ekki hafa uppfyllt ábyrgðarskyldur sínar sem lúta að lágmörkun gagna og innbyggðri og sjálfgefinni persónuvernd samkvæmt 3. tölul. 1. mgr. 8. gr. og 1. og 2. mgr. 24. gr. laga nr. 90/2018, sbr. c-lið 1. mgr. 5. gr. og 1. og 2. mgr. 25. gr. reglugerðar (ESB) 2016/679.
Í fimmta lagi stenst mat á áhrifum á persónuvernd sem Reykjavíkurborg gerði vegna vinnslunnar ekki lágmarkskröfur a-c-liða 7. mgr. 35. gr. reglugerðar (ESB) 2016/679, sbr. 1. mgr. 29. gr. laga nr. 90/2018.
Í sjötta lagi tryggði Reykjavíkurborg ekki öruggan flutning persónuupplýsinga til Bandaríkjanna, sbr. 46. gr. reglugerðar (ESB) 2016/679, og braut því gegn 44. reglugerðarinnar.
V.
Beiting fyrirmæla og stjórnvaldssekta
1.
Fyrirmæli
Í samræmi við þessa niðurstöðu, og með vísan til 4. tölul. 42. gr. laga nr. 90/2018, sbr. d-lið 2. mgr. 58. gr. reglugerðar (ESB) 2016/679, er hér með lagt fyrir Reykjavíkurborg að færa vinnslu persónuupplýsinga grunnskólanemenda í Google-nemendakerfinu til samræmis við löggjöfina.
Í því sambandi vill Persónuvernd draga fram þau atriði sem stofnunin telur sérstaklega áríðandi að huga að til þess að heimilt geti verið fyrir sveitarfélagið að halda áfram notkun Google-nemendakerfisins. Rétt er að taka fram að með hliðsjón af jafngildisákvörðun framkvæmdastjórnar Evrópusambandsins, dags. 10. júlí 2023, um flutning persónuupplýsinga frá Evrópu til Bandaríkjanna kemur ekki til skoðunar að beina fyrirmælum til Reykjavíkurborgar sem lúta að öruggum flutningi persónuupplýsinga til Bandaríkjanna.
Telur Persónuvernd ekki tilefni til að mæla fyrir um stöðvun vinnslu í Google-nemendakerfinu ef Reykjavíkurborg telur mögulegt að færa vinnsluna til samræmis við persónuverndarlöggjöfina samkvæmt eftirfarandi:
1. Reykjavíkurborg kortleggi hvaða vinnsla persónuupplýsinga grunnskólanemenda sveitarfélagsins fer í raun fram í Google-nemendakerfinu og í hvaða tilgangi. Á það við um allar vinnsluaðgerðir, hvort sem þær eru á hendi sveitarfélagsins eða Google.
2. Reykjavíkurborg skjalfesti mat sitt á einstökum vinnsluaðgerðum, samkvæmt lið 1, til samræmis við ákvæði 2. og 3. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og b- og c-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, sbr. og 4. mgr. 6. gr. reglugerðarinnar, þ. á m. mat á því, í hvaða tilvikum Google getur tekið sjálfstæðar ákvarðanir í tengslum við vinnslu, sem fer fram samkvæmt fyrirmælum sveitarfélagsins, og að hvaða marki.
3. Reykjavíkurborg geri viðeigandi breytingar á vinnslusamningi við Google í samræmi við ákvæði 28. gr. reglugerðar (ESB) 2016/679, sbr. 3. mgr. 25. gr. laga nr. 90/2018. Í vinnslusamningi sé tilgreint með skýrum og gagnsæjum hætti um hvaða vinnslu er samið og tekin af öll tvímæli um að önnur vinnsla, en sú sem Reykjavíkurborg veitir fyrirmæli um og er í samræmi við tilgreindan tilgang, fari ekki fram.
4. Reykjavíkurborg uppfæri mat sitt á áhrifum á persónuvernd í samræmi við liði 1 og 2 og til samræmis við 7. mgr. 35. gr. reglugerðar (ESB) 2016/679 og 1. mgr. 29. gr. laga nr. 90/2018.
Staðfesting á því að farið hafi verið að þessum fyrirmælum skal berast Persónuvernd eigi síðar en 29. febrúar 2024.
2.
Stjórnvaldssekt
Samkvæmt 1. mgr. 46. gr. laga nr. 90/2018 getur Persónuvernd lagt stjórnvaldssekt á hvern þann ábyrgðaraðila sem brýtur gegn einhverju þeirra ákvæða reglugerðarinnar sem talin eru upp í 2. og 3. mgr. sömu lagagreinar.
Sekt samkvæmt 2. mgr. 46. gr. laganna getur numið allt frá 100.000 krónum til 1,2 milljarða króna eða allt að 2% af árlegri heildarveltu fyrirtækis á heimsvísu, þegar brotið hefur verið gegn meðal annars 28. og 35. gr. reglugerðar (ESB) 2016/679.
Sekt samkvæmt 3. mgr. 46. gr. laganna getur numið frá 100.000 krónum til 2,4 milljarða króna eða allt að 4% af árlegri heildarveltu fyrirtækis á heimsvísu, þegar brotið hefur verið gegn meðal annars 5., 44. og 46. gr. reglugerðarinnar.
Með hliðsjón af framkvæmdinni í þeim löndum sem eru bundin af reglugerðinni liggur fyrir að sektir sem eru lagðar á opinbera aðila eru mun lægri en þær sem lagðar eru á stórfyrirtæki með mikla veltu. Einnig er ljóst að þó að unnt sé að sekta fyrir mörg brot, samkvæmt bæði 2. og 3. mgr. 46. gr. laganna, í einu og sama málinu myndi samanlögð sekt fyrir brotin aldrei verða hærri en samkvæmt efri mörkum sektarramma 3. mgr. þeirrar greinar.
Við ákvörðun um hvort beita skal stjórnvaldssekt og hver fjárhæð hennar skal vera, skal tekið tillit til þeirra þátta sem taldir eru upp í 1. mgr. 47. gr. laga nr. 90/2018, sbr. 2. mgr. 83. gr. reglugerðar (ESB) 2016/679. Með hliðsjón af þeim ákvæðum telur Persónuvernd að eftirfarandi atriði verði metin Reykjavíkurborg til málsbóta við ákvörðun um hvort beita skal stjórnvaldssekt og hver fjárhæð hennar skal vera:
1. Ekkert liggur fyrir um að tjón hafi orðið vegna vinnslu persónuupplýsinga grunnskólanemenda Reykjavíkurborgar í Google-nemendakerfinu, sbr. 1. tölul. 1. mgr. 47. gr. laganna og a-lið 2. mgr. 83. gr. reglugerðarinnar.
2. Reykjavíkurborg hefur svarað erindum Persónuverndar við meðferð málsins með skýrum og greinargóðum hætti, sbr. 6. tölul. 1. mgr. 47. gr. laganna og f- og lið 2. mgr. 83. gr. reglugerðarinnar.
3. Eftir að úttektin hófst hefur Reykjavíkurborg endurskoðað verklag í tengslum við varðveislutíma persónuupplýsinga í Google-nemendakerfinu og mat á áhrifum á persónuvernd vegna vinnslunnar og óskað eftir fyrirframsamráði við Persónuvernd, sbr. 6. tölul. 1. mgr. 47. gr. laganna og f-lið 2. mgr. 83. gr. reglugerðarinnar.
Þá telur Persónuvernd að eftirfarandi atriði leiði frekar til þess að stjórnvaldssekt verði lögð á Reykjavíkurborg og hafi áhrif til hækkunar hennar:
1. Brot Reykjavíkurborgar þykja alvarleg með hliðsjón af því að þau varða persónuupplýsingar barna í skólastarfi, sbr. 1. og 7. tölul. 1. mgr. 47. gr. laganna og a- og g-lið 2. mgr. 83. gr. reglugerðarinnar.
Persónuupplýsingar barna njóta sérstakrar verndar samkvæmt persónuverndarlöggjöfinni þar sem þau kunna að vera síður meðvituð um áhættu, afleiðingar og viðkomandi verndarráðstafanir og réttindi sín í tengslum við vinnslu persónuupplýsinga, sbr. 38. lið formála reglugerðarinnar. Einnig er að líta til þess hvaða möguleika grunnskólanemendur hafa í raun til að hafna eða takmarka vinnslu persónuupplýsinga sinna í upplýsingatæknikerfi sem skóli þeirra hefur tekið ákvörðun um að nota. Að þessu virtu er brýnt að sveitarfélagið hafi yfirsýn yfir þá vinnslu persónuupplýsinga sem fer fram í því kerfi sem það kýs að nota og missi ekki stjórn á persónuupplýsingum barnanna.
2. Brot Reykjavíkurborgar þykja alvarleg með hliðsjón af eðli þeirra persónuupplýsinga grunnskólanemenda sem eru unnar í Google-nemendakerfinu, sbr. 1. og 7. tölul. 1. mgr. 47. gr. laganna og a- og g-lið 2. mgr. 83. gr. reglugerðarinnar.
Í fyrsta lagi er í kerfinu unnar upplýsingar um endurgjöf kennara við verkefni eða framvindu nemenda. Þykir slík vinnsla vera líkleg til að hafa í för með sér mikla áhættu fyrir réttindi og frelsi einstaklinga, samkvæmt ákvæðum 4. og 9. tölul. 3. gr., sbr. 1. og 2. gr. auglýsingar Persónuverndar nr. 828/2019 um skrár yfir vinnsluaðgerðir sem krefjast ávallt mats á áhrifum á persónuvernd.
Í öðru lagi verður einnig að telja að þær persónuupplýsingar, sem felast í verkefnum nemenda, samskiptum nemenda og kennara og stöðuskýrslum, séu persónuupplýsingar um hrein einkamálefni nemendanna og eru almennt gerðar ríkari kröfur hvað varðar vinnslu slíkra upplýsinga í samræmi við meginreglur um persónuvernd, skv. 1. mgr. 8. gr. laga nr. 90/2018 og 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Persónuvernd hefur byggt á því að gera skuli ríkari kröfur til vinnslu persónuupplýsinga um hrein einkamálefni eða upplýsinga viðkvæms eðlis í fyrri niðurstöðum sínum, m.a. í úrskurði stofnunarinnar frá 19. maí 2003, í máli nr. 2003/103, sem svo er vísað til í ákvörðun stofnunarinnar frá 3. maí 2022, í máli nr. 2021040879. Af athugasemdum við 9. gr. frumvarps sem varð að lögum nr. 90/2018 má ráða að það hafi ekki verið vilji löggjafans að bregða frá fyrri framkvæmd hvað þetta varðar.
Í þriðja lagi kemur fram á nokkrum stöðum í mati Reykjavíkurborgar á áhrifum á persónuvernd vegna umræddrar vinnslu að hætta sé á að viðkvæmar persónuupplýsingar, eins og þær eru skilgreindar í 3. tölul. 3. gr. laga nr. 90/2018 verði skráðar í kerfið. Um ráðstafanir þar að lútandi er ekki byggt á því í matinu að unnt sé að útiloka að viðkvæmar persónuupplýsingar verði skráðar í kerfið heldur að leitast skuli við að minnka líkur á því að það gerist. Þá er, í athugasemdum matsins, sérstaklega spurt hvort eitthvað verndi sérstaklega viðkvæmar persónuupplýsingar ef þær verði skráðar í kerfið og vísað til þess að erfitt sé að ætlast til að börn fylgi því til hlítar að skrá ekki slíkar upplýsingar. Þótt ekkert liggi fyrir um að viðkvæmar persónuupplýsingar grunnskólanemenda Reykjavíkurborgar hafi í raun verið skráðar í Google-nemendakerfið er ljóst af framangreindu að sveitarfélaginu er fullkunnugt um áhættu þar að lútandi.
Áhættan sem fylgir skráningu upplýsinga samkvæmt framangreindu er enn meiri þegar horft er til þeirrar vinnslu persónuupplýsinga sem Google viðhefur samkvæmt eigin skilmálum. Að öllu þessu virtu var aðgæsluskylda og ábyrgð Reykjavíkurborgar töluvert meiri en ella.
3. Mikil áhætta fylgdi því að persónuupplýsingar væru fluttar til Bandaríkjanna og unnar þar án þess að gripið hefði verið til viðeigandi verndarráðstafana, sbr. dóm Evrópudómstólsins frá 16. júlí 2020 í máli nr. C-311/18 (Schrems II), enda höfðu bandarískar eftirlitsstofnanir, á þeim tíma sem um ræðir, víðtækar heimildir að lögum til að nota persónuupplýsingar sem voru fluttar til Bandaríkjanna, án þess að þurfa að gæta að persónuvernd hlutaðeigandi einstaklinga. Brot þar að lútandi telst því alvarlegt, sbr. 1. og 4. tölul. 1. mgr. 47. gr. laga nr. 90/2018 og a- og d-liði 2. mgr. 83. gr. reglugerðar (ESB) 2016/679.
4. Brot Reykjavíkurborgar þykja umfangsmikil með hliðsjón af því að u.þ.b. 8.500 grunnskólanemendur sveitarfélagsins notuðu Google-nemendakerfið skólaárið 2021-2022, sbr. 1. tölul. 1. mgr. 47. gr. laganna og a-lið 2. mgr. 83. gr. reglugerðarinnar.
Með hliðsjón af öllu framangreindu og að teknu tilliti til fyrri niðurstaðna Persónuverndar sem lúta að notkun upplýsingatæknikerfa í starfi grunnskóla er það niðurstaða stofnunarinnar að leggja beri stjórnvaldssekt á Reykjavíkurborg. Þykir hún hæfilega ákveðin 2.000.000 krónur.
Á k v ö r ð u n a r o r ð:
Vinnsla persónuupplýsinga grunnskólanemenda í Google-nemendakerfinu á vegum Reykjavíkurborgar samrýmist ekki lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerð (ESB) 2016/679.
Lagt er fyrir Reykjavíkurborg að færa vinnsluna til samræmis við löggjöfina. Staðfesting á því að farið hafi verið að þessum fyrirmælum skal berast Persónuvernd eigi síðar en 29. febrúar 2024.
Lögð er 2.000.000 króna stjórnvaldssekt á Reykjavíkurborg. Sektina skal greiða í ríkissjóð innan mánaðar frá dagsetningu ákvörðunar þessarar, sbr. 6. mgr. 46. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.
Persónuvernd, 28. nóvember 2023
Ólafur Garðarsson
formaður
Árnína Steinunn Kristjánsdóttir Björn Geirsson
Vilhelmína Haraldsdóttir Þorvarður Kári Ólafsson