Ákvörðun

um afturköllun hluta ákvörðunar Persónuverndar frá 28. nóvember 2023 í máli nr. 2022020418 vegna úttektar á vinnslu persónuupplýsinga með notkun Garðabæjar á skýjalausn Google í grunnskólastarfi:

Málsmeðferð

1. Með bréfi, dags. 18. desember 2025, tilkynnti Persónuvernd Garðabæ um að stofnunin teldi koma til álita að endurupptaka sektarhluta ákvörðunar frá 28. nóvember 2023 í máli nr. 2022020418 er varðaði notkun sveitarfélagsins á skýjalausn Google Workspace for Education í grunnskólastarfi (hér eftir Google nemendakerfið).

2. Þessi afstaða byggði á því að Persónuvernd hafði fallist á beiðni embættis borgarlögmanns, dags. 1. júlí 2025, um endurupptöku máls nr. 2022020363 að hluta, er varðaði notkun Reykjavíkurborgar á sömu kennslulausn. Grundvallaðist endurupptökubeiðnin á þeirri afstöðu sveitarfélagsins að Persónuvernd hefði ekki lagt viðhlítandi grunn að efnislegri niðurstöðu sinni að því er varðar eðli persónuupplýsinga sem unnar voru í Google nemendakerfinu, við töku ákvörðunar um að leggja stjórnvaldssekt á Reykjavíkurborg, með hliðsjón af dómi Hæstaréttar frá 9. desember 2024 í máli nr. 18/2024. Persónuvernd hafði litið til sambærilegra sjónarmiða við töku ákvörðunar um að leggja stjórnvaldssekt á Garðabæ í máli nr. 2022020418.

3. Með fyrrgreindu bréfi var Garðabæ veitt færi á að koma á framfæri sjónarmiðum sínum sem sveitarfélagið áleit hafa þýðingu fyrir fyrirhugaða ákvörðun um endurupptöku svo og úrslausn málsins endurupptekið. Með bréfi 14 s.m. óskaði Garðabær eftir afriti af fyrrgreindri endurupptökubeiðni Reykjavíkurborgar, ákvörðun Persónuverndar um að fallast á endurupptökubeiðnina og öðrum bréfskiptum stofnunarinnar og borgarinnar vegna málsins. Voru umbeðin gögn afhent 21. s.m. á grundvelli 1. mgr. 5. gr. upplýsingalaga nr. 140/2012. Með bréfi 12. febrúar s.á. óskaði Garðabær enn fremur eftir afriti að eldri endurupptökubeiðni Reykjavíkurborgar vegna sama máls, frá 28. febrúar 2024, sem og ákvörðun Persónuverndar um synjun þeirrar beiðni. Voru umbeðin gögn afhent 29. janúar 2026, á grundvelli sama ákvæðis. Persónuvernd bárust sjónarmið Garðabæjar vegna fyrirhugaðrar endurupptöku málsins með tölvupósti 12. febrúar s.á.

Álitamál

4. Í fyrirliggjandi máli kemur til skoðunar hvort ákvörðun Persónuverndar frá 28. nóvember 2023 í máli nr. 2022020418 verði látin standa óhögguð eða hún afturkölluð, að hluta eða í heild.

Atvik máls

Ákvörðun Persónuverndar frá 28. nóvember 2023 í máli nr. 2022020418

5. Ákvörðun Persónuverndar frá 28. nóvember 2023 í máli nr. 2022020418 varðar sem fyrr segir úttekt stofnunarinnar á notkun Garðabæjar á Google nemendakerfinu. Markmið úttektarinnar var að staðreyna hvort vinnsla persónuupplýsingar grunnskólanemenda í nemendakerfinu samrýmdist kröfum persónuverndarlöggjafarinnar.

6. Niðurstöður Persónuverndar eru teknar saman í kafla IV. 7. í ákvörðuninni. Þar segir:

7. Að virtum þeim sjónarmiðum sem stofnuninni er skylt að taka tillit til samkvæmt 47. gr. laga nr. 90/2018 og 2. og 3. mgr. 83. gr. reglugerðar (ESB) 2016/679, var lögð á 2.500.000 króna stjórnvaldssekt á Garðabæ vegna framangreindra brota.

8. Sjónarmið samkvæmt framangreindu ákvæði eru tekin saman í kafla V. 2. í ákvörðuninni, en eftirfarandi sjónarmið þóttu leita til þess að stjórnvaldssekt yrði lögð á og höfðu áhrif til hækkunar hennar:

Dómur Hæstaréttar frá 9. desember 2024 í máli nr. 18/2024

9. Dómur Hæstaréttar frá 9. desember 2024 í máli nr. 18/2024 laut að gildi tveggja ákvarðana Persónuverndar varðandi vinnslu persónuupplýsinga af hálfu Reykjavíkurborgar í kennslulausn Seesaw, annars vegar ákvörðun frá 16. desember 2021 um lögmæti vinnslunnar og í kjölfar hennar ákvörðun frá 3. maí 2022 um álagningu stjórnvaldssektar.

10. Hæstiréttur komst meðal annars að þeirri niðurstöðu að tilteknir form- og efnisannmarkar hefðu verið á ákvörðun Persónuverndar frá 16. desember 2021. Umræddir annmarkar fólust m.a. í því að Reykjavíkurborg hefði ekki verið veittur formlegur andmælaréttur, með vísan til 13. gr. stjórnsýslulaga nr. 37/1993. Í því sambandi var litið til þess að samskipti Persónuverndar og Reykjavíkurborgar voru að meginstefnu til í formi beiðna um upplýsingar og svara við þeim, og þess að Reykjavíkurborg var ekki veitt færi á að tjá sig frekar um fyrirhugaða niðurstöðu Persónuverndar um flutning persónuupplýsinga til Bandaríkjanna og vinnslu þar. Þá taldi rétturinn að Reykjavíkurborg hefði notið heimildar til vinnslu almennra persónuupplýsinga í stafrænu kennslulausninni, sbr. 5. tölulið 9. gr. laga nr. 90/2018, og í því tilliti notið ákveðins svigrúms til að taka ákvarðanir um vinnsluna. Loks taldi Hæstiréttur að Persónuvernd hefði ekki lagt víðhlítandi grunn að efnislegri niðurstöðu sinni hvað varðar eðli þeirra persónuupplýsinga sem unnar voru í Seesaw kennslulausninni. Nánar tiltekið taldi rétturinn að Persónuvernd hefði ekki átt að leggja fyrirvaralaust til grundvallar að persónuupplýsingar, sem fólust í samskiptum nemenda og kennara og stöðuskýrslum, hefðu talist persónuupplýsingar um hrein einkamálefni nemendanna. Stofnunin hefði enn fremur ekki átt að veita áhættu á vinnslu viðkvæmra persónuupplýsinga, sem tilgreind var í mati á áhrifum á persónuvernd, þá efnislegu þýðingu sem henni var veitt, í ljósi atvika málsins.

11. Með hliðsjón af þeim annmörkum sem voru á ákvörðun Persónuverndar taldi rétturinn ekki efni til að gera Reykjavíkurborg sekt og var stofnuninni gert að endurgreiða þá stjórnvaldssekt sem stofnunin lagði var á sveitarfélagið með ákvörðun sinni 3. maí 2022.

12. Þrátt fyrir umrædda annmarka taldi Hæstiréttur að ekki væru næg efni til að ógilda ákvörðun Persónuverndar í heild. Þannig var ákvörðun Persónuverndar um ýmis önnur brot Reykjavíkurborgar gegn persónuverndarlöggjöfinni ekki felld úr gildi.

Sjónarmið Garðabæjar

13. Garðabær telur að vinnsla persónuupplýsinga grunnskólanemenda í Google nemendakerfinu hafi samrýmst ákvæðum persónuverndarlöggjafarinnar og því hafi ekki verið tilefni til að leggja stjórnvaldssekt á sveitarfélagið í máli nr. 2022020418. Er í því sambandi meðal annars vísað til andmæla sveitarfélagsins frá 15. september 2023, við bréfi Persónuverndar frá 10. júlí s.á., þar sem veittur var andmælaréttur vegna mögulegra fyrirmæla stofnunarinnar og beitingar stjórnvaldssektar. Garðabær hafi greitt álagða stjórnvaldssekt með með fyrirvara um réttmæti niðurstöðu Persónuverndar, álagningu sektar og fjárhæð hennar. Ekki hafi verið fallið frá þeim fyrirvara.

14 Garðabær byggir á því að ákvörðun Persónuverndar í máli nr. 2022020418 sé haldin samskonar annmörkum og þær ákvarðanir Persónuverndar sem dómur Hæstaréttar frá 9. desember 2024 í máli nr. 18/2024 lýtur að. Telur Garðabær eðlilegt og rétt að Persónuvernd afturkalli ákvörðun sína í máli nr. 2022020418, enda hafi með uppkvaðningu dómsins komið í ljós að ekki hafi verið nægjanlega ríkar ástæður til að taka ákvörðun sem íþyngir sveitarfélaginu, sbr. athugasemdir við frumvarp til 25. gr. stjórnsýslulaga nr. 37/1993.

15 Ákveði Persónuvernd að afturkalla ekki ákvörðunina að eigin frumkvæði fer Garðabær fram á að stofnunin endurupptaki málið. Er í því sambandi annars vegar vísað til þess að endurupptaka eigi málið á grundvelli óskráðra reglna, þar sem leitt hafi verið í ljós með fyrrgreindum dómi Hæstaréttar að sú lagatúlkun og það mat á atvikum máls sem lágu til grundvallar ákvörðuninni hafi reynst röng. Hins vegar er endurupptökubeiðnin byggð á 1. tölul. 1. mgr. 24. gr. stjórnsýslulaga, enda hafi þær upplýsingar sem byggt var á við ákvörðun málsins verið ófullnægjandi, en einnig á 2. tölul. sama lagaákvæðis, þar sem ákvörðunin byggðist á atvikum sem breyst hafa verulega frá því hin íþyngjandi ákvörðun var tekin, að virtum fyrrgreindum dóm Hæstaréttar. Auk þess er vísað til þess að önnur ákvæði 24. gr. stjórnsýslulaga eigi við. Þá leiði jafnræðisregla og réttmætisregla stjórnsýsluréttarins til þess að endurupptaka skuli málið og taka stjórnsýsluákvörðun í því sem samræmist niðurstöðu Hæstaréttar í fyrrgreindu máli.

Forsendur og niðurstaða

Lagaumhverfi

16. Á grundvelli óskráðra reglna stjórnsýsluréttar kann stjórnvald að endurupptaka mál sem það hefur áður haft til meðferðar í þeim tilgangi að kanna hvort ástæða sé til að afturkalla eða breyta ákvörðun í viðkomandi máli. Reynir einkum á skyldu stjórnvalds til endurupptöku máls á ólögfestum grundvelli þegar verulegir efnisannmarkar eru á ákvörðun stjórnvalds eða veruleg mistök hafa orðið við meðferð þess máls. Við þær aðstæður getur stjórnvald ýmist tekið upp mál að eigin frumkvæði eða í framhaldi af erindi aðila máls. Vísast í þessu sambandi til álits umboðsmanns Alþingis í máli nr. 10093/2019.

17. Þegar mál er endurupptekið samkvæmt framansögðu, er það tekið til efnislegrar meðferðar á ný hjá viðkomandi stjórnvaldi. Kemur þá til skoðunar að ljúka málinu með því að láta fyrri ákvörðun standa óhaggaða eða með því að ákvörðunin sé afturkölluð að hluta eða í heild, og eftir atvikum ný ákvörðun tekin í staðinn.

18. Samkvæmt 1. tölul. 25. gr. stjórnsýslulaga nr. 37/1993 getur stjórnvald afturkallað ákvörðun sína að eigin frumkvæði ef það er ekki til tjóns fyrir neinn af aðilum máls. Í frumvarpi laganna segir enn fremur að komi í ljós að ekki hafi verið nægjanlega ríkar ástæður til þess að taka ákvörðun sem íþyngir aðila eða aðstæður hafa breyst frá því að ákvörðun var tekin er stjórnvaldi veitt heimild með ákvæðinu í 1. tölul. til þess að afturkalla slíka ákvörðun að eigin frumkvæði. Þá er stjórnvaldi veitt heimild til að taka aftur ákvörðun sína að eigin frumkvæði í þeim tilvikum þar sem ákvörðun verður að teljast ógildanleg, sbr. 2. tölul. ákvæðisins. Líkt og vikið er að í athugasemdum um ákvæðið í frumvarpi, ber að leysa úr því hvort ákvörðun sé haldin ógildingarannmarka eftir sömu sjónarmiðum og dómstólar gera. Þá kann afturköllun einnig að grundvallast á óskráðum reglum stjórnsýsluréttar.

Niðurstaða

19. Persónuvernd telur ekkert fram komið í fyrirliggjandi máli sem haggar niðurstöðu stofnunarinnar í máli nr. 2022020418 um brot Garðabæjar á persónuverndarlöggjöfinni. Við ákvörðun um þau brot, sem rakin eru í efnisgrein 6 hér að framan, var ekki litið sérstaklega til eðlis þeirra persónuupplýsinga sem unnar voru í Google nemendakerfinu. Er í því sambandi jafnframt litið til dóms Hæstaréttar frá 9. desember 2024 í máli nr. 18/2024, þar sem rétturinn staðfesti túlkun stofnunarinnar um ýmis ákvæði persónuverndarlöggjafarinnar.

20. Hins vegar liggur fyrir að Persónuvernd leit til eðlis þeirra persónuupplýsinga, sem unnar voru eða kynnu að rata í Google nemendakerfið, við töku ákvörðunar um að leggja stjórnvaldssekt á Garðabæ í máli nr. 2022020418. Með hliðsjón af brotum sveitarfélagsins, og að teknu tilliti til þeirra sjónarmiða sem stofnuninni er skylt að horfa til samkvæmt 47. gr. laga nr. 90/2018 og 2. og 3. mgr. 83. gr. reglugerðar (ESB) 2016/679, var lögð á 2.500.000 króna stjórnvaldssekt, sbr. nánari umfjöllun í efnisgrein 8.

21. Ákvæði 47. gr. laganna og 2. mgr. 83. gr. reglugerðarinnar fela í sér matskenndar reglur. Persónuvernd er skylt að framkvæma lögbundið mat við beitingu þeirra sjónarmiða sem þar eru tilgreind. Matið er þó ekki með öllu frjálst enda er Persónuvernd bundin af almennum meginreglum stjórnsýsluréttarins, svo sem rannsóknarreglu, meðalhófsreglu og jafnræðisreglu.

22. Með hliðsjón af dómi Hæstaréttar í máli nr. 18/2024 fellst Persónuvernd á að í þeirri ályktun stofnunarinnar, að Garðabær ynni með persónuupplýsingar um hrein einkamálefni hinna skráðu í Google nemendakerfinu og að hætta væri á vinnslu viðkvæmra persónuupplýsinga, hafi falist efnisannmarki. Skoðast það í ljósi þess að rannsókn Persónuverndar leiddi ekki ótvírætt í ljós að slíkar upplýsingar hefðu í reynd verið unnar, hvað sem leið óumdeildri hættu á slíkri vinnslu.

23. Að öllu þessu virtu og með vísan til jafnræðisreglu stjórnsýslulaga, sbr. 11. gr. laga nr. 37/1993, telur Persónuvernd mega líta svo á að ekki hafi verið næg efni til að leggja stjórnvaldssekt á Garðabæ þrátt fyrir þau brot sveitarfélagsins gegn persónuverndarlöggjöfinni sem standa óhögguð eftir ákvörðun þessa. Að þessu gættu, og með vísan til þess sem rakið er í efnisgreinum 16-18 hér að framan, er V. 2. kafli ákvörðunarinnar um stjórnvaldssekt afturkallaður. Jafnframt eru afturkölluð svohljóðandi ákvörðunarorð: „Lögð er 2.500.000 króna stjórnvaldssekt á Garðabæ. Sektina skal greiða í ríkissjóð innan mánaðar frá dagsetningu ákvörðunar þessarar, sbr. 6. mgr. 46. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.“

24. Ber í samræmi við þessa niðurstöðu að endurgreiða þá stjórnvaldssekt er lögð var á Garðabæ með fyrrgreindri ákvörðun Persónuverndar í máli nr. 2022020418, með vöxtum samkvæmt 1. mgr. 8. gr. laga nr. 38/2001 um vexti og verðtryggingu frá þeim tíma sem sektargreiðslan átti sér stað og þar til endurgreiðsla fer fram, sbr. 1. mgr. 8. gr. laga nr. 150/2019 um innheimtu opinberra skatta og gjalda.

Á k v ö r ð u n a r o r ð:

Afturkallaður er kafli V. 2. í ákvörðun Persónuverndar frá 28. nóvember 2023 í máli nr. 2022020418.
Afturkölluð eru svohljóðandi ákvörðunarorð í ákvörðun Persónuverndar frá 28. nóvember 2023 í máli nr. 2022020418: „Lögð er 2.500.000 króna stjórnvaldssekt á Garðabæ. Sektina skal greiða í ríkissjóð innan mánaðar frá dagsetningu ákvörðunar þessarar, sbr. 6. mgr. 46. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.“

Skal stjórnvaldssekt sem lögð var á Garðabæ með ákvörðun Persónuverndar frá 28. nóvember 2023 í máli nr. 2022020418 endurgreidd með vöxtum í samræmi við 1. mgr. 8. gr. laga nr. 38/2001 um vexti og verðtryggingu frá þeim tíma sem sektargreiðslan átti sér stað og þar til endurgreiðslan fer fram, sbr. 1. mgr. 8. gr. laga nr. 150/2019 um innheimtu opinberra skatta og gjalda.

Persónuvernd, 19. mars 2026

Dóra Sif Tynes
formaður

Árnína Steinunn Kristjánsdóttir Gunnar Ingi Ágústsson

Jónas Sturla Sverrisson Thor Aspelund