20.12.2021
Ákvörðun um notkun Seesaw-nemendakerfisins í grunnskólum Reykjavíkur
Mál númer 2021040879
Persónuvernd hefur lagt fyrir Reykjavíkurborg að loka reikningum skólabarna í Seesaw og sjá til þess að öllum persónuupplýsingum þeirra verði eytt úr kerfinu en þó ekki áður en tekin hafa verið afrit af upplýsingunum til að afhenda börnunum eða, eftir atvikum, til varðveislu í skólunum.
Niðurstaða Persónuverndar byggist m.a. á því að persónuupplýsingar barna njóta sérstakrar verndar í persónuverndarlöggjöfinni auk þess sem litið er til þeirrar sérstöku stöðu sem börn eru í gagnvart skólum sínum og að óhjákvæmilegt megi teljast að viðkvæmar persónuupplýsingar og persónuupplýsingar viðkvæms eðlis séu skráðar í Seesaw-nemendakerfið, miðað við lýsingu Reykjavíkurborgar á notkun kerfisins.
Frumkvæðisathugun Persónuverndar leiddi í ljós margvísleg brot Reykjavíkurborgar á persónuverndarlöggjöfinni með notkun kerfisins, m.a. var vinnslusamningur við Seesaw um vinnslu persónuupplýsinga í nemendakerfinu ekki í samræmi við lög, mat á áhrifum á persónuvernd sem Reykjavíkurborg framkvæmdi vegna vinnslunnar var háð verulegum ágöllum og fræðsla til foreldra og forráðamanna nemenda var ófullnægjandi auk þess sem vinnsla persónuupplýsinga skólabarna í nemendakerfinu studdist ekki við fullnægjandi vinnsluheimild. Þá var ekki gætt að meginreglum persónuverndarlöggjafarinnar um meðalhóf og lágmörkun gagna og um sanngjarna og gagnsæja vinnslu, m.a. þar sem Seesaw vinnur persónuupplýsingar foreldra og forráðamanna nemenda í því skyni að beina að þeim markaðssetningu. Reykjavíkurborg var jafnframt ekki talin hafa tryggt viðeigandi öryggisráðstafanir við vinnslu persónuupplýsinga í Seesaw-nemendakerfinu, t.d. á grundvelli vinnslusamnings við Seesaw eða með sérstökum fyrirmælum til fyrirtækisins.
Loks leiddi athugun Persónuverndar í ljós að persónuupplýsingar nemenda í Seesaw-nemendakerfinu eru fluttar til Bandaríkjanna og unnar þar þrátt fyrir að Reykjavíkurborg hafi talið svo ekki vera. Fyrir liggur að í Bandaríkjunum hafa eftirlitsstofnanir víðtækar heimildir, samkvæmt lögum, til að nota persónuupplýsingar sem fluttar eru frá Evrópusambandinu til Bandaríkjanna án þess að þurfa að gæta að persónuvernd einstaklinga. Persónuvernd taldi að ákvæði í samningi aðila hefði gefið Reykjavíkurborg tilefni til að rannsaka þetta frekar og sjá til þess að viðeigandi ráðstafanir væru gerðar til að tryggja persónuvernd við flutning persónuupplýsinganna úr landi.
Ítarlegar leiðbeiningar fylgja ákvörðuninni um að hverju sveitarfélög þurfa að huga þegar tekin eru í notkun upplýsingatæknikerfi til að vinna með persónuupplýsingar barna.
Ákvörðun
Hinn 16. desember 2021 tók Persónuvernd svohljóðandi ákvörðun í máli nr. 2021040879:
I.
Málsmeðferð og afmörkun máls
Í apríl síðastliðnum barst Persónuvernd ábending um að einn af grunnskólum Reykjavíkurborgar hefði fyrr í þeim mánuði óskað eftir samþykki foreldra fyrir notkun Seesaw-nemendakerfisins í kennslu. Um er að ræða forrit eða vefkerfi sem hægt er að hlaða niður í snjalltæki og fá aðgang að á vefsíðu Seesaw. Með ábendingunni barst Persónuvernd samþykkiseyðublað frá skóla- og frístundasviði Reykjavíkurborgar vegna notkunar nemendakerfisins. Á grundvelli framangreinds ákvað Persónuvernd að hefja athugun á því hvort vinnsla persónuupplýsinga, sem felst í notkun nemendakerfisins á vegum Reykjavíkurborgar, samrýmist lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og persónuverndarreglugerð (ESB) 2016/679.
Í símtali við persónuverndarfulltrúa Reykjavíkurborgar 13. apríl 2021 kom meðal annars fram að persónuverndarfulltrúinn hefði gert athugasemdir við mat á áhrifum á persónuvernd vegna notkunar Seesaw í október 2020 en hefði ekki fengið endurbætt drög eða fullunnið mat til yfirferðar. Persónuverndarfulltrúinn hefði enn fremur ekki verið upplýstur um að nemendakerfið hefði verið tekið í notkun, sem samkvæmt fyrirliggjandi gögnum var í janúar 2021. Þá hefði hann ekki fengið samþykkiseyðublaðið til yfirferðar eða vitað að það hefði verið sent í viðkomandi skóla.
Í símtali við lögfræðing skóla- og frístundasviðs Reykjavíkurborgar 15. apríl 2021 kom meðal annars fram að samþykkiseyðublað fyrir notkun Seesaw hefði verið afturkallað og að framvegis yrði ekki óskað eftir samþykki foreldra fyrir vinnslu í kerfinu. Jafnframt hefði fræðsla um kerfið verið uppfærð.
Sama dag var Reykjavíkurborg tilkynnt skriflega um athugun Persónuverndar auk þess sem lagt var fyrir sveitarfélagið að stöðva þá þegar alla vinnslu persónuupplýsinga í kerfinu.
Degi síðar staðfesti Persónuvernd í tölvuskeyti til persónuverndarfulltrúa Reykjavíkurborgar að í fyrirmælum stofnunarinnar hefði falist að öll frekari vinnsla persónuupplýsinga í kerfinu skyldi stöðvuð þar til Persónuvernd hefði lokið athugun sinni.
Reykjavíkurborg sendi Persónuvernd bréf 16. apríl 2021 með upplýsingum um vinnslu persónuupplýsinga í Seesaw-nemendakerfinu. Meðal fylgiskjala voru mat á áhrifum á persónuvernd, tölvupóstsamskipti starfsmanna borgarinnar vegna matsins, upplýsingar um Seesaw í skólastarfi til skólastjórnenda, kennara, foreldra og forsjáraðila og upplýsingar frá Seesaw, þ. á m. staðlaður „vinnslusamningur“ frá Seesaw.
Persónuvernd sendi Reykjavíkurborg bréf 19. apríl 2021 og upplýsti að fyrirmæli um stöðvun vinnslu væru felld niður en að málið væri enn til athugunar, þ. á m. lögmæti vinnslu persónuupplýsinga í kerfinu.
Með bréfi Persónuverndar 27. apríl 2021 óskaði stofnunin eftir frekari gögnum og upplýsingum, meðal annars varðandi mat á áhrif á persónuvernd, fræðslu, staðsetningargögn og vinnslusamninga. Reykjavíkurborg svaraði með bréfi 25. maí sama ár, ásamt fylgigögnum, m.a. upphaflegu mati á áhrifum á persónuvernd. Auk þess sendi persónuverndarfulltrúi Reykjavíkurborgar Persónuvernd bréf þann sama dag með upplýsingum um framkvæmd mats á áhrifum á persónuvernd hjá Reykjavíkurborg.
Persónuvernd óskaði eftir frekari skýringum Reykjavíkurborgar með bréfi 2. júlí 2021. Svar Reykjavíkurborgar barst með bréfi 16. ágúst 2021 og í tölvuskeyti 23. september sama ár.
Með tölvuskeyti 8. desember 2021 óskaði Persónuvernd loks upplýsinga um miðlun gagna í Seesaw-nemendakerfinu til Bandaríkjanna og bárust svör Reykjavíkurborgar með tölvupósti 13. og 14. sama mánaðar.
Í framangreindum bréfum Persónuverndar hefur verið óskað svara og skýringa um eftirfarandi þætti í tengslum við vinnslu persónuupplýsinga í Seesaw-nemendakerfinu:
1. Vinnslusamning við Seesaw.
2. Vinnslu staðsetningargagna.
3. Vinnslu viðkvæmra persónuupplýsinga.
4. Tilgang og heimild vinnslu persónuupplýsinga, þ. á m. mat á nauðsyn vinnslunnar.
5. Umfang vinnslu, sanngirni, meðalhóf og lágmörkun gagna.
6. Fræðslu til foreldra og forráðamanna.
7. Mat á áhættu og áhrifum á persónuvernd og viðeigandi öryggisráðstafanir.
Við meðferð málsins hefur Persónuvernd ákveðið að afmarka athugun sína við vinnslu persónuupplýsinga skólabarna í grunnskólum Reykjavíkurborgar í Seesaw-nemendakerfinu. Þar sem vinnsla persónuupplýsinga foreldra og forráðamanna tengist með beinum hætti vinnslu persónuupplýsinga nemenda nær ákvörðunin einnig til þeirrar vinnslu. Ekki verður fjallað um vinnslu persónuupplýsinga kennara og kerfisstjóra í nemendakerfinu.
Við úrlausn málsins hefur verið tekið tillit til framangreindra gagna þótt ekki sé gerð sérstaklega grein fyrir þeim að öllu leyti í eftirfarandi ákvörðun.
II.
Málsatvik og sjónarmið Reykjavíkurborgar
Í þessum kafla verða dregnar saman upplýsingar og skýringar Reykjavíkurborgar, sem koma fram í framangreindum svarbréfum og gögnum.
1.
Ábyrgðaraðili og vinnsluaðili
1.1
Ábyrgð vinnslu
Í svörum Reykjavíkurborgar segir að samkvæmt 9. gr. reglugerðar nr. 897/2009, um miðlun og meðferð upplýsinga um nemendur í grunnskólum og rétt foreldra til aðgangs að upplýsingum um börn sín, beri skólastjórar einstakra grunnskóla ábyrgð á vinnslu persónuupplýsinga nemenda. Þá er vísað til þess að Persónuvernd hafi áður ályktað að hver grunnskóli teljist ábyrgðaraðili vinnslu persónuupplýsinga nemenda samkvæmt 6. tölul. 1. mgr. 3. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.
Einnig segir að þeim sex skólum, sem hafi tekið Seesaw-nemendakerfið í notkun, hafi verið gefin fyrirmæli frá skóla- og frístundasviði borgarinnar um að gera vinnslusamning við Seesaw. Hver þessara sex skóla hafi staðfest notkunarskilmála um vinnslu persónuupplýsinga í Seesaw. Skilmálarnir, sem staðfestir séu með rafrænu samþykki skólanna, og persónuverndarstefna Seesaw séu að mestu leyti samhljóða ákvæðum vinnslusamningsins og hafi því komið í hans stað að því leyti. Þá segir að ábyrgðaraðili, vinnsluaðili og notendur kerfisins hafi samþykkt notkunarskilmála og vinnslusamning sem tryggi öryggi í samræmi við körfur persónuverndarlaganna. Öðrum grunnskólum en þeim sem þegar hafi tekið kerfið í notkun hafi verið sent tölvuskeyti þar sem áréttað hafi verið að ef þeir hefðu í huga að nota kerfið eða aðrar tæknilausnir þyrftu þeir að kanna vel öll öryggisatriði og tryggja að skilyrði persónuverndarlaga væru uppfyllt áður en lausnirnar yrðu teknar í notkun. Kennarar úr fyrrgreindum sex skólum séu í miðlægum „District“-aðgangi Seesaw sem sé rekinn af skóla- og frístundasviði og upplýsingatæknideild Reykjavíkurborgar. Þá greiði Reykjavíkurborg fyrir aðgang einstakra grunnskóla að Seesaw-nemendakerfinu.
Samkvæmt svörum Reykjavíkurborgar er innleiðing Seesaw í skólastarf tilgreindra skóla hluti af verkefni skóla- og frístundasviðs borgarinnar við að kortleggja og tryggja lögmæta notkun tæknilausna í skólastarfi borgarinnar. Þegar Persónuvernd hafi gefið fyrirmæli um stöðvun notkunar kerfisins hefðu skólunum verið gefin fyrirmæli þar að lútandi þar sem fram kom að þeir mættu búast við því að degi síðar yrðu tengsl við kerfið rofin.
Reykjavíkurborg framkvæmdi mat á áhrifum á persónuvernd vegna vinnslu persónuupplýsinga í Seesaw-nemendakerfinu. Í matinu segir að öllum grunnskólum Reykjavíkurborgar gefist kostur á að nota Seesaw-nemendakerfið en að það heyri undir ákvörðun skólastjóra hvort þeir taka kerfið í notkun í sínum skóla. Þá segir að Seesaw hafi óskað eftir því að gera vinnslusamning við hvern skóla.
Samkvæmt vinnsluskrá Reykjavíkurborgar vegna vinnslu persónuupplýsinga í Seesaw-nemendakerfinu eru „ábyrgðarmaður vinnslu/tengiliður“ tilgreindir „skólastjóri/kerfisstjóri skóla“. Einnig segir að Seesaw sé vinnsluaðili og að vinnslusamningar hafi verið undirritaðir frá 19. apríl 2021 til 11. maí sama ár.
Á hinn bóginn er Reykjavíkurborg tilgreind ábyrgðaraðili vinnslunnar í fyrirliggjandi fræðsluefni til foreldra og forráðamanna.
1.2
Vinnslusamningur
Það skjal sem vísað er til sem vinnslusamnings við Seesaw eru skilmálar fyrirtækisins um persónuvernd, prentaðir út af vefsíðu fyrirtækisins, og eru þeir á ensku. Það fyrsta sem segir á skjalinu er að Seesaw bjóði skólum innan Evrópska efnahagssvæðisins vinnslusamning, til viðbótar við persónuverndarstefnu og persónuverndarreglur fyrirtækisins. Til þess að biðja um vinnslusamning skuli fylla út eyðublað og virðist vera hlekkur í skjalinu til að nálgast það. Hér verður hverju ákvæði samningsskilmálanna ekki gerð skil en látið nægja að rekja það helsta sem þar kemur fram.
Um er að ræða skilmála Seesaw um gagnkvæmar skuldbindingar fyrirtækisins og viðskiptavinarins, sem er skóli eða skólahverfi sem semur við Seesaw um þjónustu þess. Samkvæmt skilmálunum er viðskiptavinurinn ábyrgðaraðili vinnslu og Seesaw vinnsluaðili. Viðskiptavinurinn skal ákveða vinnsluheimild og Seesaw skal aðeins vinna persónuupplýsingar samkvæmt vinnslusamningnum og í samræmi við skjalfest og lögmæt fyrirmæli ábyrgðaraðila. Aðilar sammælast um að öll fyrirmæli viðskiptavinarins til Seesaw, sem lúta að vinnslu persónuupplýsinga, séu í vinnslu- og notendaskilmálum Seesaw.
Seesaw áskilur sér rétt til að nota undirvinnsluaðila við vinnslu persónuupplýsinga og vísar, með hlekk á vefsíðu sína, til lista yfir þá aðila sem það hefur þegar samið við. Á listanum er að finna fyrirtæki sem eru staðsett t.d. í Bandaríkjunum og Ástralíu. Með því að samþykkja skilmálana, samþykkja viðskiptavinir að Seesaw megi nota tilgreinda undirvinnsluaðila. Þá hafa viðskiptavinir fimm daga, frá því að Seesaw tilkynnir um nýja undirvinnsluaðila, til að andmæla því, að því gefnu að andmælin byggist á málefnalegum grundvelli með vísan til persónuverndar. Náist ekki samkomulag megi viðskiptavinur slíta samningssambandi.
Í skilmálunum er kafli um öryggi og verður nánar vikið að efni hans í kafla II. 3.5.2 hér á eftir. Hvað varðar skyldur ábyrgðar- og vinnsluaðila segir að Seesaw beri ábyrgð á því að innleiða og viðhalda öryggisráðstöfunum og viðhalda trúnaði í samræmi við öryggisstaðla Seesaw. Viðskiptavinurinn sé á hinn bóginn ábyrgur fyrir rýni þeirra upplýsinga sem Seesaw veitir um upplýsingaöryggi og skal taka sjálfstæða afstöðu til þess hvort upplýsingaöryggi stenst kröfur viðskiptavinarins og persónuverndarlaga. Þá er viðskiptavini heimilt að framkvæma eða fá þriðja aðila til að framkvæma úttekt til að sannreyna hlítni Seesaw við vinnslusamninginn, ef persónuverndarlögin kveða á um rétt viðskiptavinarins þar að lútandi. Seesaw áskilur sér rétt til að krefjast greiðslu fyrir framkvæmd úttekta.
Samkvæmt skilmálunum eiga viðskiptavinir Seesaw möguleika á að sækja, leiðrétta og eyða upplýsingum í kerfinu eða takmarka notkun þeirra í samræmi við skyldur hans samkvæmt persónuverndarreglugerð (ESB) 2016/679 og öðrum persónuverndarlögum sem eiga við. Í skilmálunum er einnig mælt fyrir um samvinnu við ábyrgðaraðila og eftirlitsstjórnvöld við mat á áhrifum á persónuvernd, fyrirframsamráð og ef öryggisbrestur verður í kerfinu.
Við lok vinnslusamnings skal Seesaw eyða eða skila viðskiptavinum öllum upplýsingum nema ef nemandi eða foreldri hefur stofnað sjálfstæðan reikning hjá Seesaw og óskar eftir að fá að halda upplýsingum sínum þar.
Tegundir persónuupplýsinga
Samkvæmt vinnsluskrá vegna vinnslu persónuupplýsinga í Seesaw-nemendakerfinu í grunnskólum Reykjavíkurborgar er unnið með eftirfarandi persónuupplýsingar nemenda í kerfinu:
1. Skráning nemenda inn í kerfið: Nöfn barna, netföng ef samtenging við annað upplýsingakerfi (Google Workplace), netgögn (IP-tala, tegund vafra, stýrikerfi, upplýsingar um tæki, símaþjónustu, rekjanleg gögn (referring webpage, search terms og pages visited.))
2. Skráning verkefna inn í kerfið: Nöfn nemenda og önnur atriði sem geta auðkennt viðkomandi í ýmiss konar tilliti. Almennt eru verkefni ekki unnin um viðfangsefni sem varða persónulega hagi nemenda þar sem nemendur fá leiðbeiningar um að skrá ekki persónuupplýsingar.
3. Tilkynningar til foreldra um verkefni nemenda: Nöfn nemenda og önnur atriði sem geta auðkennt viðkomandi í ýmiss konar tilliti. Almennt eru verkefni ekki unnin um viðfangsefni sem varða persónulega hagi nemenda þar sem nemendur fá leiðbeiningar um að skrá ekki persónuupplýsingar.
4. Yfirferð kennara á verkefnum nemenda: Nöfn nemenda og önnur atriði sem geta auðkennt viðkomandi í ýmiss konar tilliti. Almennt eru verkefni ekki unnin um viðfangsefni sem varða persónulega hagi nemenda þar sem nemendur fá leiðbeiningar um að skrá ekki persónuupplýsingar.
Í skýringum Reykjavíkurborgar segir einnig um skráningu verkefna í formi teikninga, mynda, myndbanda og skriflegra verkefna að hún þurfi ekki að fela í sér vinnslu persónuupplýsinga þótt upp kunni að koma tilvik þar sem upplýsingar um nemendur „skili sér í verkefnin“.
Samkvæmt vinnsluskránni er unnið með eftirfarandi persónuupplýsingar foreldra og forráðamanna í kerfinu:
Skráning foreldra og forsjáraðila í kerfið: Nöfn, netföng, prófílmynd, nöfn og staðsetning skóla, netföng ef samtenging við annað upplýsingakerfi (Google Workplace), netgögn (IP-tala, tegund vafra, stýrikerfi, upplýsingar um tæki, símaþjónusta, rekjanleg gögn (referring webpage, search terms og pages visited.))
Samkvæmt vinnsluskrá er ekki gert ráð fyrir vinnslu viðkvæmra persónuupplýsinga. Það er áréttað í mati á áhrifum á persónuvernd og svörum Reykjavíkurborgar, þar sem segir að vinnsla viðkvæmra persónuupplýsinga í kerfinu sé með öllu óheimil.
Í bréfi Persónuverndar 2. júlí 2021 var Reykjavíkurborg innt eftir því hvort sveitarfélagið telji unnt að koma í veg fyrir að viðkvæmar persónuupplýsingar verði skráðar í kerfið. Í svari við þeirri spurningu segir að í leiðbeiningum til foreldra og kennara komi skýrt fram að ekki megi setja viðkvæmar persónuupplýsingar í kerfið auk þess sem það sé brýnt fyrir kennurum að útskýra það fyrir nemendum. Í leiðbeiningunum segi að vinnsla viðkvæmra persónuupplýsinga sé með öllu óheimil í kerfinu, t.d. upplýsingar um heilsufar, kynþátt, trúarbrögð og kynhneigð. Þá hafi kennarar aðgang að verkefnavinnu nemenda og geti eytt viðkvæmum persónuupplýsingum ef þær rata inn í kerfið fyrir mistök.
Í vinnsluskránni er enn fremur ekki gert ráð fyrir endurgjöf kennara við verkefni nemenda en samkvæmt mati á áhrifum á persónuvernd vegna vinnslunnar og fræðsluefni Reykjavíkurborgar til foreldra og forráðamanna um Seesaw-nemendakerfið er það ein af fyrirhuguðum vinnsluaðgerðum.
Hvorki í vinnsluskránni né í vinnsluskilmálum Seesaw er minnst á vinnslu persónuupplýsinga í markaðssetningarskyni en í fylgiskjali með mati á áhrifum á persónuvernd segir að hugsanlega verði unnið með staðsetningargögn foreldra í þágu markaðssetningar. Einnig liggja fyrir tölvupóstsamskipti Reykjavíkurborgar og Seesaw þar sem í svörum Seesaw segir á einum stað að foreldrar og forráðamenn fái ekki markaðssetningarpósta frá fyrirtækinu en á öðrum stað er vísað til þess að Seesaw noti IP-tölur fullorðinna notenda kerfisins, þ. á m. foreldra, til þess að ákvarða staðsetningu þeirra í þeim tilgangi að senda þeim sérsniðið markaðssetningarefni og upplýsingar um kerfið. Á hverjum tíma sé hægt að andmæla því að fá slíkar upplýsingar sendar. Þá segir í fyrrgreindu fræðsluefni Reykjavíkurborgar að Seesaw áskilji sér rétt til að nota staðsetningargögn í þágu markaðssetningar.
3.
Lögmæti vinnslu
3.1
Tilgangur og vinnsluheimildir
Samkvæmt vinnsluskrá Reykjavíkurborgar er tilgangur vinnslu persónuupplýsinga barna í Seesaw-nemendakerfinu kennsla í grunnskólum og samskipti við foreldra og forsjáraðila barna á grundvelli laga nr. 91/2008 um grunnskóla.
Í mati á áhrifum á persónuvernd segir um tilgang vinnslunnar að notkun nemendakerfisins auðveldi kennurum yfirsýn yfir verkefnaskil nemenda og nemendum að skila verkefnum á frumlegan og aðgengilegan hátt, þá sérstaklega nemendum með sérþarfir. Notkun kerfisins auki einnig gagnsæi kennslu ef til þess kemur á nýjan leik að viðvera nemenda í skólum verði takmörkuð. Þá segir: „Kostir vinnslunnar er að hægt er að sinna skólaskyldu barna skv. 3. gr. grunnskólalaga að einhverju [leyti] í fjarvinnu. Kostir borgarinnar eru þeir að hún nær að sinna lögbundnu hlutverki sínu um grunnskóla.“
Í svörum Reykjavíkurborgar segir framangreindu til viðbótar að vinna í kerfinu þjálfi nemendur í hæfni og færni sem kennd sé við fjórðu iðnbyltinguna. Kerfið opni einnig á aðgang foreldra að skólastarfinu, þar sem þeir geti fylgst með verkefnamöppu barna sinna.
Þegar vinnsla persónuupplýsinga í Seesaw-nemendakerfinu hófst byggðist hún á samþykki foreldra með vísan til 1. tölul. 9. gr. laga nr. 90/2018, sbr. a-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Eftir að Persónuvernd gerði athugasemdir við að vinnsla persónuupplýsinga á vegum sveitarfélagsins byggðist á samþykki, í símtali við persónuverndarfulltrúa Reykjavíkurborgar 13. apríl 2021, ákvað sveitarfélagið að óska ekki eftir samþykki foreldra.
Samkvæmt fyrirliggjandi vinnsluskrá, mati á áhrifum á persónuvernd og svörum Reykjavíkurborgar byggist vinnsla persónuupplýsinga skólabarna í Seesaw-nemendakerfinu nú á því að hún sé nauðsynleg vegna verks sem er unnið í þágu almannahagsmuna eða við beitingu opinbers valds sem ábyrgðaraðili fer með, sbr. 5. tölul. 9. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga. Í svarbréfum Reykjavíkurborgar er þó á einhverjum stöðum einnig vísað til þess að vinnslan byggist á heimild í 3. tölul. 9. gr. laganna sem kveður á um að vinnsla sé heimil ef hún er nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila.
Í svörum Reykjavíkurborgar segir að lagaskylda samkvæmt 5. tölul. 9. gr. laga nr. 90/2018 geti verið af ýmsum toga og geti mælt fyrir um tiltekna vinnslu með beinum eða óbeinum hætti. Hið síðarnefnda eigi við þegar lagaskylda verður ekki rækt nema með vinnslu persónuupplýsinga. Á skólastjórum hvíli fjölþættar skyldur samkvæmt lögum um grunnskóla, reglugerðum og námsskrám. Að mati Reykjavíkurborgar og einstakra skólastjóra verða þessar skyldur ekki ræktar í nútímasamfélagi án þess að notuð sé fullkomin upplýsingatækni til að styðja nemendur og skólastarfið í heild.
Reykjavíkurborg vísar til lögbundins hlutverks og verkefna sveitarfélagsins samkvæmt 1. og 2. mgr. 3. gr. laga nr. 91/2008 um grunnskóla, sem kveða á um skólaskyldu og forsjárskyldur í því sambandi. Einnig er almenn tilvísun til 4. gr. reglugerðar nr. 585/2010 um nemendur með sérþarfir í grunnskóla, sem kveður á um sveitarfélögum sé skylt að sjá til þess að skólaskyld börn í sveitarfélaginu fái sérstakan stuðning í skólastarfi í samræmi við metnar sérþarfir þeirra.
Í svarbréfum Reykjavíkurborgar er jafnframt vísað í fjölmörg önnur ákvæði laga nr. 91/2008 um þær skyldur sem hvíla á grunnskólum. Samkvæmt 1. mgr. 2. gr. laga nr. 91/2008 sé það hlutverk grunnskóla að stuðla að alhliða þroska allra nemenda og skuli grunnskóli leitast við að haga störfum sínum í sem fyllstu samræmi við stöðu og þarfir nemenda og stuðla að alhliða þroska, velferð og menntun hvers og eins. Samkvæmt 2. mgr. 2. gr. laganna skuli nemendum veitt tækifæri til að nýta sköpunarkraft sinn og afla sér þekkingar og leikni í stöðugri viðleitni til menntunar og þroska. Skólastarfið skuli leggja grundvöll að frumkvæði og sjálfstæðri hugsun nemenda og þjálfa hæfni þeirra til samstarfs við aðra. Samkvæmt 13. gr. laganna sé grunnskóli vinnustaður nemenda og allir nemendur eigi rétt á kennslu við sitt hæfi í hvetjandi námsumhverfi í viðeigandi húsnæði sem taki mið af þörfum þeirra og almennri vellíðan. Samkvæmt 24. gr. laganna skuli í aðalnámskrá leggja áherslu á margvíslegar leiðir við öflun þekkingar með notkun tæknimiðla, upplýsingatækni og safna- og heimildavinnu. Í 2. mgr. 25. gr. laganna sé svo mælt fyrir um að í aðalnámskrá skuli kveða á um inntak og skipulag náms í tilteknum greinum og er upplýsinga- og tæknimennt þar sérstaklega tilgreind.
Í 2. gr. auglýsingar nr. 760/2011 um gildistöku aðalnámskrár grunnskóla, og í aðalnámskrá grunnskóla frá árinu 2011, sé einnig fjallað um að stafræn tækni hafi breytt umhverfi ritunar og lestrar og að máli skipti að tölvur séu tól sem megi nota til fjölþættrar merkingarsköpunar, t.d. með notkun myndmáls. Nemendur og kennarar þurfi því ekki að binda sig við prentmál heldur bjóði tölvutækni upp á að þeir noti fleiri mál við nám og kennslu. Einnig sé þar umfjöllun um hugtökin stafrænt læsi, miðlamennt og miðlalæsi.
Í svörum Reykjavíkurborgar segir að ekki verði séð hvernig grunnskólar geti sinnt skyldum sínum samkvæmt lögum um grunnskóla, reglugerðum eða aðalnámskrá án þess að nýta fjölbreyttar tæknilausnir. Grunnskólastarf þjóni ríkum almannahagsmunum og geti vinnsla persónuupplýsinga sem sé nauðsynleg í þágu þess starfs því einnig stuðst við 5. tölul. 9. gr. laga nr. laga nr. 90/2018 á þeim grundvelli.
Í tölvuskeyti lögfræðings skóla- og frístundasviðs Reykjavíkurborgar 23. september síðastliðinn segir að til viðbótar við það sem áður hafi komið fram byggist vinnsla persónuupplýsinga í kerfinu á því að hún sé nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, sbr. 3. tölul. 9. gr. laga nr. 90/2018, og er í því sambandi vísað til ákvæða 47. gr. a. laga nr. 91/2008 um grunnskóla, sem bætt var við lögin með breytingarlögum samþykktum 11. júní 2021. Í 1. mgr. 47. gr. a. segir að grunnskólum og öðrum aðilum sem hafa lögbundið hlutverk samkvæmt lögunum sé heimil vinnsla persónuupplýsinga að því marki sem nauðsynlegt sé til að veita nemendum í grunnskóla þjónustu.
Líkt og að framan greinir segir í svörum Reykjavíkurborgar að vinnsla viðkvæmra persónuupplýsinga í kerfinu sé með öllu óheimil og ekki reyni því á skilyrði 11. gr. laga nr. 90/2018. Eingöngu eigi að skrá almennar persónuupplýsingar í kerfið, svo sem fornöfn nemenda. Komi í ljós síðar að skrá þurfi viðkvæmar persónuupplýsingar í kerfið verði fyrst gengið úr skugga um að það samrýmist 1. mgr. 11. gr. laga nr. 90/2018 og 2. mgr. 9. gr. reglugerðar (ESB) 2016/679.
3.2
Mat á nauðsyn
Um mat á nauðsyn samkvæmt framangreindum vinnsluheimildum segir meðal annars í svarbréfum Reykjavíkurborgar að Seesaw-nemendakerfið henti einstaklega vel í námi og kennslu og þá sérstaklega nemendum með sérþarfir. Einnig styðji hugbúnaðurinn vel við einstaklingsmiðaða nálgun í námi og kennslu og geri kennurum kleift að miðla fræðsluefni til nemenda sem þurfi að sinna námi utan veggja skólans.
Í svari Reykjavíkurborgar 16. ágúst 2021, við spurningu Persónuverndar um hvort framkvæmt var faglegt mat eða greining á því hvaða hagsmuni skólabörn á grunn- og miðstigi hafi af notkun Seesaw, þ.m.t. börn með sérþarfir, segir að það hafi verið álit sérfræðinga, þ.e. kennara í lærdómsfélagi áhugasamra kennara um kerfið, hérlendis og erlendis, að kerfið væri framúrskarandi þegar kemur að stuðningi og aðgengileika fyrir nemendur. Við ákvörðun um notkun Seesaw-nemendakerfisins í grunnskólum hafi því verið stuðst við mat færustu manna innan lærdómssamfélags grunnskóla hér á landi sem telji kerfið þjóna hagsmunum þeirra vel, einkum með tilliti til eftirfarandi þátta:
1. Stuðningur við þjálfun í færni sem kennd er við 21. öldina; tækniþekking, miðlalæsi, samvinna, samskipti, sköpun o.s.frv.
2. Gott aðgengi að kennsluefni á fjölbreyttu formi frá kennara sem getur verið einstaklingsmiðað og miðað við hóp.
3. Möguleiki á að skila verkefnum með þeim hætti sem hentar hverjum nemanda, t.d. getur nemandi með lesblindu skilað verkefnum í formi ljósmyndar eða myndskeiðs.
4. Efling samskipta, tengsla og betri yfirsýn foreldra yfir verkefnavinnu barna sinna.
5. Hvatning til náms. Fyrrgreindir þættir (1-4) hafa skipt sköpum í námi, bæði fyrir nemendur að taka ábyrgð á eigin námi og við að efla sjálfstæða hugsun og sköpunarkraft.
Til viðbótar við framangreint hafi reynsla annarra sveitarfélaga innanlands og erlendis sýnt að nemendur með skerta félagslega færni hafi eflst við notkun kerfisins og tekið mun virkari þátt í námi. Það sé mat sérfræðinga skóla- og frístundasviðs Reykjavíkurborgar að kerfi eins og Seesaw komi vel til móts við fjölbreyttar áskoranir nemenda. Það hafi verið mat sérfræðinga að engin tæknilausn, önnur en Seesaw-nemendakerfið, byði upp á sömu tæknilegu möguleika í kennslu á jafn aðgengilegan og hagnýtan hátt. Engin önnur vægari úrræði hafi því verið í boði.
3.3
Meðalhóf og lágmörkun gagna
Eins og rakið er í köflunum hér á undan kemur fram í svörum Reykjavíkurborgar að einungis eigi að skrá almennar persónuupplýsingar í Seesaw-nemendakerfið og að gert sé ráð fyrir því að fræðsla til kennara og foreldra skili sér til nemenda um að ekki skuli setja viðkvæmar eða óviðeigandi persónuupplýsingar í kerfið. Þá sé lögð áhersla á meðalhóf við skráningu persónuupplýsinga í kerfið.
Um notkun staðsetningargagna í markaðssetningarskyni segir að þær upplýsingar séu notaðar til að senda kennurum, foreldrum og forráðamönnum upplýsinga- og markaðspóst og að upplýsingunum sé ekki miðlað til þriðja aðila. Sjálfgefnar stillingar kerfisins séu með þeim hætti að opið er fyrir upplýsingatölvupósta og tilkynningar en allir notendur geti slökkt á þessum stillingum og valið hvaða tilkynningar og upplýsingapósta þeir fá. Nemendur fái þó ekki sendan markaðstengdan póst. Ekki sé um sívöktun að ræða og staðsetningarupplýsingar miðist við það í hvaða landi notandi sé. Þessi vinnsla byggist á samþykki sem fáist þegar notendaskilmálar kerfisins séu samþykktir. Tilgangurinn sé að nýta IP-tölur til að afmarka staðsetningu notenda til að unnt sé að senda þeim upplýsingapóst.
Samkvæmt svörum Reykjavíkurborgar kunna gögn nemenda í Seesaw-nemendakerfinu í einhverjum tilvikum að teljast skilaskyld samkvæmt lögum nr. 77/2014 um opinber skjalasöfn, líkt og gildi um önnur námsgögn í skólastarfi. Í lok skólaárs og við lok grunnskólagöngu nemenda fari kennarar yfir námsgögn og sendi nemendur heim með gögn þegar það eigi við eða skili gögnum til Borgarskjalasafns í samræmi við ákvæði fyrrgreindra laga. Eftir það sé gögnum eytt úr gagnavörslu Seesaw enda hafi notendur fulla stjórn yfir þeim gögnum sem fari í kerfið. Þetta verklag sé í samræmi við skjalavistunaráætlun grunnskóla Reykjavíkurborgar og meðferð kennara á þeim námsgögnum sem verði til innan veggja skólans. Það sé því gert ráð fyrir því að farið sé með gögn sem verði til í Seesaw með sama hætti og önnur námsgögn skólanna.
Samkvæmt skilmálum Seesaw um vinnslu persónuupplýsinga, sem Reykjavíkurborg vísar til sem vinnslusamnings, skal fyrirtækið, að vali viðskiptavinarins, eyða eða skila honum persónuupplýsingum úr kerfinu þegar samningstíma lýkur, ásamt afritum, nema nemandi eða foreldri hafi stofnað sérstakan reikning og óski eftir að halda persónuupplýsingum sínum í kerfinu.
3.4
Sanngjörn og gagnsæ vinnsla - fræðsla
Reykjavíkurborg sendi Persónuvernd fræðsluefni sem útbúið hafði verið í tengslum við notkun Seesaw-nemendakerfisins, með svarbréfi sínu 16. apríl 2021. Í svarbréfinu segir að mögulegt sé að foreldrum og forsjáraðilum hafi ekki borist upplýsingar um fræðsluna. Þá segir að fræðsluefnið hafi verið yfirfarið í samráði við persónuverndarfulltrúa borgarinnar og viðbótarupplýsingum bætt við. Skýrt komi fram í fræðslunni að gagnaver vinnsluaðila sé staðsett innan Evrópusambandsins. Það sé mat Reykjavíkurborgar að fræðslan veiti greinargóða lýsingu á virkni kerfisins og réttindum hinna skráðu og að hún samrýmdist að öðru leyti ákvæðum 13. gr. reglugerðar (ESB) 2016/679.
Með bréfi 27. apríl 2021 óskaði Persónuvernd eftir því að Reykjavíkurborg sendi stofnuninni afrit af upprunalegu fræðsluefni til foreldra, þ.e. eins og það hefði verið áður en það hefði verið uppfært fyrr í þeim mánuði. Fræðsluefnið barst Persónuvernd 25. maí sama ár. Fræðsluefnið er merkt skóla- og frístundasviði Reykjavíkurborgar. Í því segir að Seesaw-nemendakerfið sé rafræn feril- og verkefnamappa þar sem hægt sé að safna saman verkefnum nemenda á einn stað. Kennari stofni bekk eða tengi við Google-Classroom og hver nemandi fái sína eigin feril- og verkefnamöppu sem sé vistuð í skýi innan Evrópu. Auk þess hafi kennari aðgang að feril- og verkefnamöppum nemenda frá fyrri skólaárum. Virkni kerfisins er útskýrð nánar og segir meðal annars að kennarar og nemendur setji verkefni í möppuna og að kennarar samþykki verkefni nemenda í möppuna. Samþykktum verkefnum sé deilt með foreldrum og forsjáraðilum í gegnum smáforrit, textaskilaboð eða með tölvupósti. Foreldrar og forsjáraðilar geti fylgst með þegar verkefnum sé bætt í möppuna með því að sækja smáforrit eða skrá sig inn á vef Seesaw. Verkefnin geti verið fjölbreytt, t.a.m. myndir, myndskeið, hljóðbrot, teikningar eða hlekkir á verkefni frá öðrum upplýsingatæknikerfum skóla- og frístundasviðs. Kennarar fylgist með notkun nemenda á forritinu og veiti fræðslu um æskilega og óæskilega hegðun á netinu. Gögnum úr kerfinu verði ekki deilt með utanaðkomandi aðilum og því sé stjórnað með aðgangsstýringum. Kerfið bjóði upp á möguleikann á að deila feril- og verkefnamöppum innan skóla eða hafa þær opnar fyrir alla. Til að minnka áhættu mælist skóla- og frístundasvið Reykjavíkurborgar til þess að nemendamöppum verði einungis deilt með kennara og foreldrum og forsjáraðilum.
Talin eru upp þau gögn sem unnið er með í Seesaw. Líkt og áður greinir kemur þar fram, til viðbótar við þær vinnsluaðgerðir sem taldar eru upp í vinnsluskrá, að kennarar geti gefið nemendum endurgjöf í kerfinu og að Seesaw áskilji sér rétt til að nota staðsetningargögn í þágu markaðssetningar en það eigi eingöngu við um kennara, foreldra og kerfisstjóra. Í fræðsluefninu segir einnig að vinnsla viðkvæmra persónugreinanlegra upplýsinga sé með öllu óheimil í kerfinu. Þá segir að þau námsgögn sem verði til í kerfinu teljist skilaskyld gögn samkvæmt lögum um opinber skjalasöfn og því sé mikilvægt að vista og varðveita gögn í samræmi við skjalavistunaráætlun grunnskóla Reykjavíkurborgar.
Sambærilegar upplýsingar eru í uppfærðu fræðsluefni. Breytingar frá upprunalegu fræðsluefni fela í sér að í uppfærðu efni segir að meðal þeirra gagna sem verði unnin um nemendur verði staðsetning skóla og að vinnsla persónuupplýsinga í kerfinu byggist á heimild 5. tölul. 9. gr. laga nr. 90/2018. Auk þess hefur upplýsingum verið bætt við fræðsluefnið, m.a. samskiptaupplýsingum tengiliðs skóla- og frístundasviðs, upplýsingatækniþjónustu og persónuverndarfulltrúa Reykjavíkurborgar. Einnig er áréttað að það efni sem nemendur setji inn í kerfið verði eingöngu aðgengilegt kennurum þeirra en ekki öðrum nemendum og að valkvætt sé að deila efni með foreldrum barnanna. Þá segir að ef foreldrar vilja andmæla vinnslu persónuupplýsinga í forritinu geti þeir haft samband við skólastjóra eða persónuverndarfulltrúa auk þess sem hægt sé að kvarta til Persónuverndar. Loks eru hlekkir á ítarefni um persónuvernd og notendaskilmála Seesaw.
3.5
Öryggi
3.5.1
Mat á áhrifum á persónuvernd
Í svörum Reykjavíkurborgar er áréttað að samkvæmt 10. mgr. 35. gr. reglugerðar (ESB) 2016/679 þurfi ekki að gera mat á áhrifum á persónuvernd vegna vinnslu sem byggist á c- eða e-liðum 1. mgr. 6. gr. reglugerðarinnar, sbr. 3. og 5. tölul. 9. gr. laga nr. 90/2018. Þar sem vinnsla persónuupplýsinga í Seesaw-nemendakerfinu byggist á þeim ákvæðum hafi hún verið undanþegin skyldu til að gera mat. Jafnframt segir að strangt til tekið teljist umrædd vinnsla ekki til vinnslu sem krefjist mats, samkvæmt auglýsingu nr. 828/2019 um skrá yfir vinnsluaðgerðir sem krefjast ávallt mats á áhrifum á persónuvernd. Unnið sé með almennar persónuupplýsinga barna og ekki sé um að ræða nýja tækni heldur tæknilausn í kennslu sem sé sambærileg öðrum tæknilausnum sem þekkist hérlendis og erlendis. Þrátt fyrir að um nokkurn fjölda barna sé að ræða hafi ekki verið mótuð viðmið hérlendis um hvað teljist umfangsmikil gagnavinnsla samkvæmt auglýsingunni. Þá sé ráðgert að vinna aðeins með lágmarksupplýsingar um nemendur, þ.e. fornöfn og í sumum tilfellum eftirnöfn. Önnur skilyrði 2. gr. auglýsingarinnar eigi ekki við í þessu máli. Að þessu virtu hafi skóla- og frístundasvið átt val um að framkvæma matið og hafi það verið gert með hagsmuni barnanna í huga.
Samkvæmt fyrirliggjandi gögnum fór persónuverndarfulltrúi Reykjavíkurborgar yfir matið vegna notkunar Seesaw-nemendakerfisins í október 2020. Persónuverndarfulltrúinn gerði ekki athugasemdir við matið en það var síðar uppfært, ásamt samþykkiseyðublaði til foreldra, og voru uppfærð gögn ekki send persónuverndarfulltrúanum til yfirferðar.
Í uppfærðu mati, dagsettu 16. apríl 2021, eru taldar upp fyrirhugaðar vinnsluaðgerðir en vísað til upplýsinga á vefsíðu Seesaw um nánari lýsingu þeirra. Þar á meðal eru nýskráning og innskráning í kerfið, verkefnaskráning nemenda og endurgjöf kennara.
Persónuupplýsingar barna, foreldra og forráðamanna sem fyrirhugað er að vinna með eru tilgreindar nöfn, netföng og ljósmyndir og netgögn, t.d. IP-tölur, tegund vafra, stýrikerfi, upplýsingar um tæki, símaþjónusta og rekjanleg gögn, t.d. vefsíður heimsóttar, vefsíður sem leiða á aðrar vefsíður og leitarskilyrði. Til viðbótar við framangreint verður einnig unnið með staðsetningarupplýsingar foreldra, lykilorð og símanúmer.
Hinir skráðu eru starfsmenn grunnskóla, foreldrar og forráðamenn og nemendur. Fram kemur að kerfið sé hugsað fyrir yngsta stig og miðstig en með sérkennslusjónarmið í huga.
Í matinu segir að ekki sé gert ráð fyrir því að viðkvæmar persónuupplýsingar séu skráðar í kerfið eins og skýrt sé tekið fram í leiðbeiningum um notkun þess, sem kennarar og foreldrar fara yfir með börnunum. Þó verði að hafa í huga að notendur séu að stórum hluta börn og því um viðkvæman hóp að ræða og ljóst sé að viðkvæmar persónuupplýsingar geti ævinlega verið færðar inn í kerfið. Komið verði að mestu í veg fyrir slíka áhættu með leiðbeiningum og verklagsreglum sem feli í sér að kennarar fylgist sérstaklega með því að nemendur setji ekki viðkvæmar persónuupplýsingar inn í kerfið.
Um tilgang vinnslunnar segir að persónuupplýsingar verði unnar í kerfinu í þeim tilgangi að unnt sé að auðkenna notendur og staðfesta að um tiltekið barn eða fjölskyldumeðlim þess sé að ræða. Vinnslan sé hluti af skólastarfi grunnskóla Reykjavíkur og í henni felist auknir tæknilegir eiginleikar fyrir nemendur til að vinna verkefni saman eða hvert í sínu lagi. Lögmæti vinnslunnar felist í framkvæmd opinberra verkefna sem hvíli á ábyrgðaraðila, það er, framkvæmd kennslu í samræmi við námsáætlun grunnskóla sem leiði af lögum nr. 91/2008 um grunnskóla. Einnig segir að tilgangurinn sé að gera Reykjavíkurborg kleift að sinna lögbundinni skólaskyldu grunnskólabarna samkvæmt 1. og 2. mgr. 3. gr. sömu laga, t.d. vegna „fjarvinnslu“ þegar nauðsynlegt sé og mikilvægt að geta auðkennt nemendur. Tilgangurinn með vinnslunni sé enn fremur að uppfylla tæknilegar og skipulagslegar ráðstafanir samkvæmt ákvæðum laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga. Þá segir að sveitarfélög hafi skyldu til að koma til móts við nemendur með sérþarfir samkvæmt 4. gr. reglugerðar nr. 585/2010 og vísað til þess að ljóst sé að Seesaw-nemendakerfið hafi nýst vel í kennslu fyrir nemendur með sérþarfir. Seesaw-nemendakerfið sé ný og spennandi lausn við kennslu sem auðveldi kennurum að hafa yfirsýn yfir verkefnaskil nemenda. Kerfið auðveldi einnig nemendum að skila verkefnum á frumlegan og aðgengilegan hátt. Jafnframt segir að í kerfinu sé gert ráð fyrir samskiptum foreldra, nemenda og kennara. Með þeim hætti sé gagnsæi í kennslu aukið ef til þess kæmi að aðgangur nemenda að skólum myndi takmarkast á nýjan leik.
Um mat á þörf og meðalhófi segir að vinnslan sé hluti af skólastarfi grunnskóla Reykjavíkur. Í henni felist auknir tæknilegir eiginleikar í kennslu fyrir nemendur til að vinna verkefni saman eða hvert í sínu lagi. Með því séu tæknilegir möguleikar auknir í skólastarfi. Einungis verði unnið með þær upplýsingar sem teljist nauðsynlegar til þess að auðkenna kennara, foreldra og nemendur. Til þess að koma í veg fyrir að vinnsla persónuupplýsinga verði í ósamræmi við tilgang verkefnisins verði útbúnar verklagsreglur um notkun kerfisins og fræðsla fyrir notendur þess.
Í matinu segir að persónuupplýsingarnar séu varðveittar á öruggu svæði á vegum Seesaw innan Evrópska efnahagssvæðisins, að því gefnu að skólar kaupi aðgang að kerfinu. Ekki sé boðið upp á vistun innan Evrópska efnahagssvæðisins ef frí útgáfa forritsins er notuð. Upplýsingar verði varðveittar þar til aðgangi sé eytt, það er, þegar skólagöngu eða starfi hjá Reykjavíkurborg ljúki.
Fram kemur að samkeyrsla gagna sé í rauntíma ef netsamband sé fyrir hendi en annars vistist gögnin á tækin þar til netsamband komist á en nemendur muni nota Seesaw í spjaldtölvum sem sé úthlutað af þeirra skóla.
Um mögulega áhættu fyrir réttindi og frelsi skráðra einstaklinga segir að áhrif á einstaklinga séu metin takmörkuð með hliðsjón af fyrirhuguðum ráðstöfunum sem getið sé í matinu. Í matinu er tafla með yfirliti yfir áhættur og ógnir fyrir réttindi og frelsi hinna skráðu og aðgerðir til að bregðast við. Ein áhættan sem er nefnd er að gögn verði aðgengileg óviðkomandi, t.d. niðurstöður um árangur nemenda. Líkur á að það gerist eru metnar „litlar“ en áhrifin „meðal“. Sú aðgerð sem hafi verið samþykkt til að minnka áhættuna sé að settar hafi verið leiðbeiningar fyrir notendur kerfisins. Önnur áhætta sem er nefnd er að birt verði ólöglegt eða meiðandi efni. Líkur á að það gerist eru metnar „meðal“ en áhrifin „mjög mikil“. Sú aðgerð sem hafi verið samþykkt til að minnka áhættuna sé „Aðgangsstýring á efni, það fer einungis milli nemanda og kennara og foreldris (valkvætt)“, auk þess sem kennurum er veitt fræðsla og leiðbeiningar. Þriðja áhættan sem hér verður nefnd er að meðferð og öryggi gagna verði ekki tryggt við breytingar á forritinu. Líkur á að það gerist eru metnar „meðal“ og áhrifin jafnframt „meðal“. Aðgerðir tilgreindar til að minnka áhættuna eru að tryggt verði að breytingarstjórn verði skilgreind eða samþykkt af þjónustukaupa. Þá segir að sú aðgerð sem hafi verið samþykkt sé „Já – Tryggt með vinnslusamningum“.
Fjallað er um öryggisráðstafanir og innbyggða og sjálfgefna persónuvernd á nokkrum stöðum í matinu. Fram kemur að gögnum verði ekki deilt úr kerfinu með utanaðkomandi aðilum og sé því stjórnað með aðgangsstýringum umsjónarkennara hvers bekkjar fyrir sig en hætta geti skapast á að tekin séu skjáskot úr kerfinu. Óhjákvæmilegt sé að ákveðnar hættur skapist sem takmarka eigi meðal annars með leiðbeiningum fyrir kennara og nemendur um hvernig skuli nota kerfið. Samhliða leiðbeiningum verði veitt fræðsla um réttindi hinna skráðu samkvæmt 13. gr. reglugerðar (ESB) 2016/679, sbr. 17. gr. laga nr. 90/2018. Þá hafi kennarar sem noti Seesaw fengið sérstaka handleiðslu og kennslu í notkun kerfisins í því skyni að tryggja ábyrga og lögmæta notkun þess. Nemendur fái þar að auki fræðslu um æskilega og óæskilega hegðun á Netinu. Loks eigi fullnægjandi aðgangsstýringar og öryggisráðstafanir að vera fyrir hendi til að koma í veg fyrir aðgang óviðkomandi.
Í umsögn persónuverndarfulltrúa Reykjavíkurborgar við matið segir meðal annars að þær breytingar hafi verið gerðar frá fyrra mati að vinnsluheimild byggist nú einvörðungu á 5. tölul. 9. gr. laga nr. 90/2018, með vísan til laga nr. 91/2008 um grunnskóla. Auk þess áréttar persónuverndarfulltrúinn mikilvægi aðgengilegrar fræðslu til foreldra og að tryggja þurfi örugga vistun upplýsinganna innan Evrópska efnahagssvæðisins.
Í athugasemdum persónuverndarsérfræðings skóla- og frístundasviðs Reykjavíkurborgar segir að mikilvægt sé að í fræðslunni komi fram að óheimilt sé að vinna með viðkvæmar persónuupplýsingar í kerfinu. Auk þess sé það forsenda fyrir notkun kerfisins að greitt sé fyrir aðgang að kerfinu og þar með tryggt að gögnin séu vistuð innan Evrópu.
Niðurstaða matsins er að gert er ráð fyrir að gripið verði til tilgreindra ráðstafana til að takmarka áhrif á réttindi og frelsi hinna skráðu sem vinnslan hafi í för með sér. Að því gefnu að þær ráðstafanir verði innleiddar er það niðurstaða matsins að áhættan sé ásættanleg fyrir réttindi og frelsi hinna skráðu.
3.5.2
Viðeigandi öryggisráðstafanir
Samkvæmt svörum Reykjavíkurborgar var Seesaw-nemendakerfið rýnt með tilliti til öryggis upplýsinga, meðal annars með mati á áhrifum á persónuvernd, og hafi verið gripið til ráðstafana samkvæmt því til að takmarka áhættu. Það hafi verið mat sérfræðinga að vinnsla persónuupplýsinga í Seesaw sé forsvaranleg og að áhætta sé mjög takmörkuð.
Við fyrstu innskráningu hafi fyrrgreindir sex skólar staðfest notkunarskilmála Seesaw. Notkunarskilmálarnir og persónuverndarstefna Seesaw tryggi öryggi við vinnslu persónuupplýsinga í samræmi við skilyrði reglugerðar (ESB) 2016/679. Skilmálarnir, sem hafi verið staðfestir með rafrænu samþykki notenda, komi í stað vinnslusamnings og tryggi öryggi persónuupplýsinga í kerfinu í samræmi við kröfur reglugerðarinnar um öryggi við vinnslu persónuupplýsinga. Staðfesting á stöðluðum samningsskilmálum varðandi öryggi og meðferð persónuupplýsinga sé þekkt í framkvæmd þegar gengið sé í samningssamband við stóra erlenda aðila. Með því að greiða fyrir notkun kerfisins hafi verið tryggt að gögn séu vistuð innan Evrópusambandsins.
Í skilmálum Seesaw um vinnslu persónuupplýsinga segir að fyrirtækið megi miðla persónuupplýsingum viðskiptavinarins til Bandaríkjanna og vinna þær þar en að Seesaw skuli ávallt tryggja öryggi upplýsinganna í samræmi við persónuverndarlöggjöfina. Með hliðsjón af þessu ákvæði skilmálanna óskaði Persónuvernd upplýsinga frá Reykjavíkurborg um í hvaða tilvikum Seesaw miðlaði gögnum í kerfinu til Bandaríkjanna, þegar samið hefði verið um varðveislu þeirra innan EES. Í svari Reykjavíkurborgar frá 13. desember síðastliðnum segir að í samskiptum við Seesaw hafi komið í ljós að upplýsingar nemenda séu fluttar til Bandaríkjanna og unnar þar. Þetta hafi komið á óvart þar sem samið hafi verið við Seesaw um þjónustuleið sem feli í sér að gögn séu hýst innan Evrópu. Þá hafi starfsmenn Seesaw áður staðfest í samskiptum við Reykjavíkurborg, sem Persónuvernd hafi undir höndum, að gögn væru hýst innan Evrópu. Reykjavíkurborg hafi óskað formlega eftir því að upplýsingar verði eingöngu unnar innan Evrópu en gangi það ekki eftir muni vera óskað eftir því að samningi við Seesaw verði rift og vinnslu persónuupplýsinga í nemendakerfinu hætt, telji Persónuvernd að staðlaðir samningsskilmálar fyrirtækisins veiti ekki fullnægjandi vernd.
Með tölvuskeyti Reykjavíkurborgar frá 14. desember síðastliðnum fylgdu tölvupóstsamskipti Reykjavíkurborgar og Seesaw. Í tölvuskeyti Seesaw frá 13. sama mánaðar segir að öll gögn séu flutt til Bandaríkjanna til vinnslu og að Seesaw geti ekki unnið persónuupplýsingar innan Evrópusambandsins eins og er. Í tölvuskeyti Reykjavíkurborgar til Persónuverndar segir að farið hafi verið yfir staðlaða samningsskilmála sem Seesaw styðjist við og að það sé mat Reykjavíkurborgar að þeir virðist veita umtalsverða vernd við vinnslu persónuupplýsinga í samræmi við ákvæði laga nr. 90/2018.
Í fyrri svörum Reykjavíkurborgar segir að við undirbúning innleiðingu Seesaw-nemendakerfisins hafi verið stofnað lærdómsfélag áhugasamra kennara um kerfið. Þetta séu 1-2 kerfisstjórar úr hverjum skóla sem hittist 1-4 sinnum í mánuði eða oftar ef þörf krefji. Á fundum félagsins hafi verið lögð áhersla á kerfisstjórnun. Allir kerfisstjórar, ásamt tveimur kennurum úr hverjum skóla, hafi sótt námskeið á vegum Seesaw og nú séu þrír „sendiherrar“ Seesaw í hverjum þeirra sex skóla sem hafi tekið kerfið í notkun. Á námskeiðinu hafi verið farið yfir kerfisstjórnun, aðgangsstýringu og örugga notkun hugbúnaðarins. Að auki hafi margir úr lærdómssamfélaginu sótt vefnámskeið. Með þjálfun kerfisstjóra hvers skóla og viðeigandi kerfisstjórnun og aðgangsstýringum sé tryggt að meðferð upplýsinga í kerfinu sé örugg.
Samkvæmt vinnsluskránni eru öryggisráðstafanir vegna vinnslu persónuupplýsinga í Seesaw-nemendakerfinu aðgangsstýringar, rýni kennara á þeim upplýsingum sem eru settar í kerfið, námskeið fyrir kennara og fræðsla til kennara, foreldra og nemenda. Um þær öryggisráðstafanir sem tilgreindar eru í mati á áhrifum á persónuvernd vísast til umfjöllunar í kafla 3.5.1 hér á undan.
Samkvæmt skilmálum Seesaw um vinnslu persónuupplýsinga skal fyrirtækið tryggja að hver sem hefur heimild til að vinna persónuupplýsingar í kerfinu sé bundinn trúnaði. Í skilmálunum segir einnig að viðskiptavinir kerfisins séu ábyrgir fyrir því að fara yfir upplýsingar frá Seesaw um upplýsingaöryggi og ákveða sjálfstætt hvort það stenst kröfur persónuverndarlöggjafarinnar. Hvað varðar öryggi upplýsinganna segir að Seesaw geti þurft að uppfæra og breyta öryggisráðstöfunum með tímanum með hliðsjón af tæknilegum framförum, að því tilskildu að slíkar uppfærslur leiði ekki til minna öryggis. Seesaw heimilar viðskiptavinum eða þriðja aðila að gera úttekt á því að vinnsla persónuupplýsinga í kerfinu sé í samræmi við skilmálana.
Í skilmálunum er hlekkur sem leiðir á vefsíðu Seesaw með fræðslu um hvernig fyrirtækið styðji við öryggi persónuupplýsinga nemenda. Á þeirri vefsíðu eru persónuverndarreglur fyrirtækisins settar fram í sjö liðum sem taka á afmörkuðum þáttum persónuverndarlöggjafarinnar, s.s. um bann við sölu persónuupplýsinga úr Seesaw-nemendakerfinu og bann við auglýsingum þriðju aðila. Þar segir einnig að sjálfgefnar stillingar í kerfinu feli í sér að verkefni nemenda séu ekki aðgengileg öðrum en þeim sem eru hluti af skilgreindum bekk.
Einnig segir á vefsíðunni að Seesaw noti nýjustu útgáfur dulkóðunarstaðla (TLS 1.3, að lágmarki 1.2) til að tryggja örugga miðlun upplýsinga í kerfinu. Persónuupplýsingar séu dulkóðaðar í kerfinu þegar þær séu ekki í notkun og stuðst sé við salt og PBKDF2 reiknirit til að útbúa tætigildi (e. hash) fyrir lykilorð. Seesaw kveðst reglulega fá utanaðkomandi aðila til að gera úttekt á öryggi og heilindum kerfa og innra eftirliti fyrirtækisins. Upplýsingar séu vistaðar í aðgangsstýrðum gagnaverum sem séu rekin af leiðandi samstarfsaðilum með áralanga reynslu af rekstri stórum gagnavera með sólarhringsvöktun. Gagnaverin séu dreifð, landfræðilega, til að tryggja háan spennutíma og til að unnt sé að endurheimta aðgengi að persónuupplýsingum með skjótum hætti. Þá segir að Seesaw hafi innleitt innri gagnaaðgangsstefnu sem takmarki aðgang að persónugreinanlegum upplýsingum við tiltekinn fjölda starfsmanna sem þurfi á aðgangi að halda vegna vinnu sinnar, t.d. vegna tækniaðstoðar. Starfsmenn fyrirtækisins gangist undir bakgrunnsathugun áður en þeir hefji störf og skrifi undir trúnaðarsamning. Aðgangi þeirra að öllum innri kerfum og gögnum sé lokað strax við starfslok. Seesaw viðhafi jafnframt reglulegt eftirlit með kerfum sínum, mögulegum öryggisbrestum og tilraunum til óviðeigandi aðgangs. Enn fremur segir að Seesaw noti QR-kóða fyrir aðgang fjölskyldna og nemenda að dagbókarefni. Loks kveðst Seesaw hafa gengist við innlendum skilmálum um persónuvernd (e. National Data Privacy Agreement) og að það noti stöðluð samningsákvæði („SCCs“), sem fjalli um söfnun, notkun og varðveislu persónuupplýsinga sem fluttar séu frá Evrópusambandinu, Bretlandi og Sviss til Bandaríkjanna.
III.
Forsendur og niðurstaða
Gildissvið - persónuupplýsingar
Mál þetta lýtur að vinnslu persónuupplýsinga grunnskólabarna í rafrænu upplýsingatæknikerfi, Seesaw-nemendakerfinu, sem tekið hefur verið í notkun í að minnsta kosti sex grunnskólum Reykjavíkurborgar.
Gildissvið laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að vera hluti af skrá.
Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint með tilvísun í auðkenni hans, eins og nafn, kennitölu, staðsetningargögn og netauðkenni, eða einn eða fleiri þætti sem einkenna hann í líkamlegu, lífeðlisfræðilegu, erfðafræðilegu, andlegu, efnalegu, menningarlegu eða félagslegu tilliti, sbr. 2. tölul. 3. gr. laganna og 1. tölul. 4. gr. reglugerðarinnar.
Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur vinnslan er sjálfvirk eða ekki, svo sem söfnun, skráningu, flokkun, kerfisbindingu, varðveislu, aðlögun eða breytingu, heimt, skoðun, notkun, miðlun með framsendingu, dreifingu eða aðrar aðferðir til að gera upplýsingarnar tiltækar, samtengingu eða samkeyrslu, aðgangstakmörkun, eyðingu eða eyðileggingu, sbr. 4. tölul. 3. gr. laganna og 2. tölul. 4. gr. reglugerðarinnar.
Í svörum Reykjavíkurborgar segir um skráningu verkefna í Seesaw-nemendakerfið í formi teikninga, mynda, myndbanda og skriflegra verkefna, að hún þurfi ekki að fela í sér vinnslu persónuupplýsinga þótt upp kunni að koma tilvik þar sem upplýsingar um nemendur „skili sér í verkefnin“. Þá segir að ekki sé gert ráð fyrir vinnslu viðkvæmra persónuupplýsinga en ef slíkar upplýsingar rati inn í kerfið fyrir mistök geti kennarar eytt þeim.
Í fyrrgreindri skilgreiningu persónuverndarlöggjafarinnar á persónuupplýsingum felst að til persónuupplýsinga teljast allar upplýsingar sem rekja má, beint eða óbeint, til tiltekins einstaklings. Til þess að ákvarða hvort einstaklingur er persónugreinanlegur þarf að taka mið af öllum þeim aðferðum sem ástæða er til að ætla að hægt sé að beita til að bera kennsl á viðkomandi, með beinum eða óbeinum hætti. Til að meta hvort fremur líklegt má telja að tiltekinni aðferð verði beitt þarf að taka tillit til allra hlutlægra þátta, s.s. kostnaðar, tíma, tækni og tækniþróunar. Þá er að líta til þess að einstaklingar geta verið auðkenndir á grundvelli breytna sem samanlagðar gefa til kynna hver á í hlut, þótt engin ein þeirra nægi til þess.
Með hliðsjón af þessari víðtæku skilgreiningu persónuupplýsinga hefur Persónuvernd talið að upplýsingar teljist til persónuupplýsinga ef unnt er að nota þær ásamt upplýsingum sem finnast með einfaldri leit á Netinu til að bera kennsl á hinn skráða. Einnig hafa upplýsingar talist vera persónugreinanlegar ef þeir sem þekkja til hlutaðeigandi geta borið kennsl á hann á grundvelli upplýsinganna þótt það sé eftir atvikum ekki á allra færi.
Að framangreindu virtu telur Persónuvernd að verkefni sem nemendur skrá í Seesaw-nemendakerfið teljist ávallt til persónuupplýsinga þeirra ef unnt er að tengja þau við tiltekinn nemanda, t.d. vegna þess að það er í nemendamöppu viðkomandi eða ef unnt er að sjá hver skráði verkefnið í kerfið. Þá verður að teljast óhjákvæmilegt að verkefni í formi teikninga, mynda, myndbanda og skriflegra verkefna feli ein og sér í sér persónuupplýsingar að einhverju marki. Með sömu röksemdum teljast upplýsingar sem fela í sér endurgjöf kennara við verkefni nemenda einnig vera persónuupplýsingar nemendanna ef unnt er að tengja endurgjöfina við tiltekinn nemanda. Það sama á við um annálagögn, þ.e. upplýsingar um IP-tölu, tegund vafra, stýrikerfi, tæki og símaþjónustu, upplýsingar um vefsíður heimsóttar, vefsíður sem leiða á aðrar vefsíður, leitarskilyrði og staðsetningargögn, sem unnt er að tengja við tiltekna einstaklinga.
Með hliðsjón af framangreindum ákvæðum er því hér um að ræða vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
Samkvæmt skilgreiningu 3. tölul. 3. gr. laga nr. 90/2018 teljast til viðkvæmra persónuupplýsinga upplýsingar um kynþátt, þjóðernislegan uppruna, stjórnmálaskoðanir, trúarbrögð, lífsskoðanir, aðild að stéttarfélagi, heilsufarsupplýsingar, upplýsingar um lyfja-, áfengis- og vímuefnanotkun, um kynlíf manna og kynhneigð, erfðafræðilegar upplýsingar og lífkennaupplýsingar. Með vísan til svara Reykjavíkurborgar og ef horft er til aldurs nemenda sem nota Seesaw-nemendakerfið, sem eru á grunn- og miðstigi grunnskóla, verður að teljast óhjákvæmilegt að viðkvæmar persónuupplýsingar verði í einhverjum tilvikum skráðar í kerfið sem og upplýsingar sem ekki falla undir þá skilgreiningu en teljast viðkvæms eðlis. Með því að skrá slíkar upplýsingar í kerfið hefur vinnsla þeirra þegar farið fram. Þá felur eyðing upplýsinganna einnig í sér vinnslu þeirra, sbr. fyrrgreinda skilgreiningu persónuverndarlöggjafarinnar á vinnslu. Þrátt fyrir að það sé ekki tilgangurinn með notkun Seesaw-forritsins að vinna viðkvæmar persónuupplýsingar verður að hafa framangreint í huga við mat á lögmæti vinnslunnar, m.a. við mat á nauðsyn, meðalhófi, sanngirni og viðeigandi öryggisráðstöfunum.
Almennt um vinnslu persónuupplýsinga skólabarna í upplýsingatæknikerfum
Persónuupplýsingar barna njóta sérstakrar verndar. Börn eru almennt síður meðvituð um áhættu og afleiðingar vinnslu persónuupplýsinga þeirra og um réttindi þeirra þar að lútandi. Einnig er að líta til þeirrar áhættu sem felst í því að safna upplýsingum um einstaklinga yfir langan tíma og að börn í dag eru meðal fyrstu kynslóða sem hefur allt líf sitt skrásett í gögn fyrirtækja, frá fæðingu.
Þegar unnið er með persónuupplýsingar barna í skólastarfi þarf jafnframt að huga að því sérstaka sambandi sem er milli starfsmanna skólans og barnanna og þá sérstaklega hvað varðar upplýsingar sem koma frá börnunum sjálfum. Börn eiga að vera örugg í skólaumhverfinu, sem er skilyrði þess að þau geti lært, þroskast og dafnað. Kveðið er á um þetta m.a. í 1.-3. mgr. 2. gr. og 1. mgr. 13. gr. laga nr. 91/2008 um grunnskóla. Með því að veita börnum öryggi til að njóta vellíðunar og bernsku sinnar, eins og þar segir, er þeim einnig gefið leyfi, á grundvelli trausts þeirra til kennara sinna, til að vera einlæg. Í því felst að segja frá atburðum og aðstæðum og tjá skoðanir sínar og hugsanir. Óhjákvæmilegt verður að telja að slík tjáning geti ratað í verkefni nemenda á fyrstu skólastigum, svo sem í dagbókarfærslur, ritgerðir, teikningar, myndir og myndbönd. Þegar þessum persónuupplýsingum er svo safnað yfir lengri tíma í tiltekið upplýsingatæknikerfi getur varðveisla þeirra falið í sér töluverða íhlutun í einkalíf barnanna, þ. á m. persónuvernd þeirra, sem nýtur verndar samkvæmt 71. gr. stjórnarskrárinnar, sbr. lög nr. 33/1944, og 8. gr. mannréttindasáttmála Evrópu, sbr. lög nr. 62/1994.
Á grundvelli Evrópuráðssamnings 108 um vernd einstaklinga varðandi vélræna vinnslu persónuupplýsinga, sem fullgiltur hefur verið af Íslands hálfu, starfar ráðgefandi nefnd Evrópuráðsins um persónuvernd. Nefndin gaf út skýrslu um vinnslu persónuupplýsinga barna í skólastarfi 15. nóvember 2019. Í skýrslunni er vakin athygli á ýmsum áhættum sem eru fyrir hendi við rafræna vinnslu persónuupplýsinga barna í skólastarfi og í því sambandi m.a. vísað til þess að margt er enn órannsakað um heilsu barna í tengslum við tæknivæðingu í skólastarfi. Vísað er til álits 29. gr. starfshópsins, sem starfaði á grundvelli þágildandi persónuverndartilskipunar 95/46/EB, nr. 2/2009, um vernd persónuupplýsinga barna, þar sem segir að taka verði tillit til þess að börn hafa ekki náð fullum líkamlegum eða andlegum þroska heldur eru þau í því ferli að þroskast og fullorðnast. Í skýrslunni er einnig vikið að því að orðspor barna mótast í auknum mæli af þeim upplýsingum sem eru aðgengilegar um þau á Netinu og að safn upplýsinga um börn getur, eftir atvikum, orðið hluti af sjálfsmynd þeirra og haft mótandi áhrif á þau. Þá ættu réttindi barna, m.a. til persónuverndar, og möguleikar þeirra á að neyta réttinda sinna að vera tryggð með hliðsjón af framangreindu.
Í skýrslunni er jafnframt fjallað um sjálfsákvörðunarrétt barna hvað varðar persónuupplýsingar þeirra og að þegar skóli eða sveitarfélag hefur tekið ákvörðun um hvaða persónuupplýsingar skuli vinna og í hvaða forriti hafi börnin lítið raunverulegt val. Í því sambandi sé afar brýnt að skólarnir missi ekki stjórn á persónuupplýsingum barnanna. Það þurfi því að huga vel að lágmörkun gagna og fyrirmælum í vinnslusamningum. Sérstaklega sé varhugavert að gangast við einhliða skilmálum vinnsluaðila, þ.e. þeim aðila sem rekur tiltekið upplýsingatæknikerfi, án tryggingar fyrir því að skilmálarnir geti ekki breyst án samþykkis ábyrgðaraðilans eða að kerfið hætti ekki að virka ef skilmálabreytingum er hafnað.
Í skýrslunni segir enn fremur að huga þurfi að því að skólar hafi í auknum mæli opnað dyr sínar og þar með trúnaðarupplýsingar skólabarna fyrir aðilum á einkamarkaði, bæði hvað varðar forrit sem eru notuð og tæki, og að veita þurfi því sérstaka athygli hvernig þessir aðilar fara með persónuupplýsingar og í hvaða tilgangi. Sérstök athygli er vakin á viðskiptamódeli fyrirtækja sem bjóða skólum upplýsingatækniþjónustu og óska eftir netföngum foreldra og forráðamanna, tengdum reikningum barnanna, í þágu markaðssetningar. Er það áréttað að vinnsla persónuupplýsinga barnanna í þeim tilgangi skólans að mennta börnin, þ.e. vegna verkefnis í þágu almannahagsmuna, ætti ekki að vera notuð í því skyni að markaðssetja aðrar vörur gagnvart fjölskyldum í hagnaðarskyni fyrir fyrirtækið þar sem slík vinnsla er ósamrýmanleg tilgangi vinnslunnar. Þá þarf að veita sérstaka athygli vinnslu falinna gagna, t.d. lýsigagna, sem fyrirtæki nota til að búa til persónusnið í þeim tilgangi að beina að nemendum eða foreldrum og forráðamönnum auglýsingum eða annarri markaðssetningu.
Í skýrslunni er einnig umfjöllun sem lýtur að því að horfa verði heildstætt á þær tæknilausnir sem eru notaðar í skólastarfi og hvaða fótspor notkun þeirra skilur eftir sig, bæði stafrænt fótspor og umhverfisfótspor, í lífi hvers og eins barns, t.a.m. samspil tækja og forrita og hvaða upplýsingar fara þar á milli.
Sérstakur sérfræðingahópur um gervigreind, sem settur var á fót af framkvæmdastjórn Evrópusambandsins, HLEG-AI, lagði á það áherslu í ráðleggingum sínum frá 26. júní 2019, um stefnu og fjárfestingar fyrir áreiðanlega gervigreind, að tryggja ætti börnum frjálst og óvaktað rými til að þroskast og að þegar þau færast til fullorðinsára eigi að sjá til þess að þau geti gert það með „hreint borð“ af hvers kyns varðveislu persónuupplýsinga á vegum opinberra aðila og einkaaðila. Einnig ætti formleg menntun barna ekki að tengjast viðskiptahagsmunum eða öðrum hagsmunum. Í ráðleggingum sérfræðingahópsins er horft til þess að með þróun gervigreindar gerist meiri þörf á að fræða alla, frá unga aldri, í stafrænu læsi, kóðun og STEM-fögunum (vísindi, tækni, verkfræði og stærðfræði). Í því felist m.a. kennsla í stafrænu læsi en menntakerfi verði að efla mannmiðaða lykilfærni jafnt sem stafræna færni, m.a. vitsmunalega færni, eins og lausn vandamála, gagnrýna hugsun, dómgreind og sköpunargáfu, félags- og menningarlega færni og frumkvöðla- og nýsköpunarfærni. Þá er það áréttað að öll kennsla og notkun gervigreindarkerfa í menntun eigi að vera í fullkomnu samræmi við grundvallarréttindi að teknu tilliti til viðkvæmrar stöðu barna en sérstaklega þurfi að standa vörð um réttindi viðkvæmra hópa eins og barna og fatlaðs fólks.
Í fyrrnefndri skýrslu ráðgefandi nefndar Evrópuráðsins um persónuvernd segir einnig, um þetta samspil tæknimenntunar og friðhelgi einkalífs, að nýsköpun og friðhelgi einkalífs þurfi ekki að stangast á. Samt sem áður geti vöruþróun t.d. á sviði vélnáms, gervigreindar, greiningar lífkennaupplýsinga og andlitsþekkingartækni, snögglega brotið gegn réttindum í umfangsmiklum mæli.
Að öllu framangreindu virtu verður að telja að þrátt fyrir að upplýsingatæknikerfi geti nýst kennurum, foreldrum og skólabörnum í skólastarfi og notkun þeirra verið þáttur í og aðstoðað við menntun barnanna þá fylgi notkun þeirra áhætta fyrir grundvallarréttindi barnanna. Með hliðsjón af ungum aldri og þroska barnanna, þeirri stöðu sem þau eru í gagnvart skólunum, magni þeirra gagna sem hætta er á að safnist yfir skólagöngu þeirra, viðkvæmu eðli upplýsinganna sem kunna að vera skráðar, áhrifum upplýsingasöfnunarinnar á sjálfsmynd barnanna og aðgangi aðila á einkamarkaði að þessum upplýsingum, verður að fylgja ákvæðum persónuverndarlöggjafarinnar til hins ítrasta þegar stafrænar lausnir eru innleiddar í skólastarf. Á það við um öll ákvæði persónuverndarlöggjafarinnar en sérstaklega skal nefnt hversu áríðandi það er að meginregla um meðalhóf og lágmörkun gagna sé virt. Persónuupplýsingar skólabarna sem safnað er í hvers konar upplýsingatæknikerfi skulu vera nægilegar, viðeigandi og takmarkast við það sem er nauðsynlegt miðað við tilgang vinnslunnar. Til þess að þessi meginregla sé virt í raun skal tilgangur með vinnslu persónuupplýsinganna vera skilgreindur þröngt og afmarkandi. Að öðrum kosti er ekki unnt að skilgreina hvaða persónuupplýsingar eru beinlínis nauðsynlegar fyrir vinnsluna. Þá verður að hafa í huga að þrátt fyrir að vinnsla persónuupplýsinga teljist hentug fyrir kennslu þá felst ekki sjálfkrafa í því að vinnslan sé nauðsynleg í þeim tilgangi.
3.
Ábyrgðaraðili og vinnsluaðili
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 6. tölul. 3. gr. laganna og 7. tölul. 4. gr. reglugerðar (ESB) 2016/679.
Ef tveir eða fleiri ábyrgðaraðilar ákveða sameiginlega tilgang vinnslu og aðferðir við hana skulu þeir teljast vera sameiginlegir ábyrgðaraðilar, sbr. 23. gr. laganna og 1. mgr. 26. gr. reglugerðarinnar.
Vinnsluaðili er einstaklingur, lögaðili, stjórnvald eða annar aðili sem vinnur með persónuupplýsingar á vegum ábyrgðaraðila, sbr. 7. tölul. 3. gr. laganna og 8. tölul. 4. gr. reglugerðarinnar.
3.1
Ábyrgð vinnslu
Í svörum Reykjavíkurborgar er vísað til 9. gr. reglugerðar nr. 897/2009, um miðlun og meðferð upplýsinga um nemendur í grunnskólum og rétt foreldra til aðgangs að upplýsingum um börn sín, um að skólastjórar einstakra skóla beri ábyrgð á vinnslu persónuupplýsinga nemenda. Þá segir að það heyri undir ákvörðun skólastjóra hvers skóla hvort Seesaw-nemendakerfið verði notað auk þess sem hver skóli fyrir sig hafi samþykkt skilmála Seesaw um vinnslu persónuupplýsinga, samkvæmt óskum Seesaw. Einnig segir að Seesaw sé vinnsluaðili umræddrar vinnslu.
Samkvæmt leiðbeiningum Evrópska persónuverndarráðsins nr. 7/2020, frá 2. september 2020 ber, við ákvörðun um hver telst vera ábyrgðaraðili vinnslu og hver telst vera vinnsluaðili, ekki einungis að líta til þeirra gagna sem fyrir liggja, til að mynda vinnslusamnings, heldur einnig hvernig fyrirkomulagi hafi raunverulega verið háttað, þ.e. hver hafi í reynd tekið ákvörðun um tilgang og aðferðir við vinnslu persónuupplýsinga.
Samkvæmt upplýsingum í vinnsluskrá, mati á áhrifum á persónuvernd, fræðsluefni Reykjavíkurborgar og fræðsluefni á vef Seesaw er unnið með eftirfarandi upplýsingar í Seesaw-nemendakerfinu:
1. Nöfn og netföng (nemendur, foreldrar og forráðamenn).
2. Verkefni nemenda og endurgjöf kennara (nemendur).
3. Annálagögn tæknilegs eðlis: IP-tölur, tegund vafra, stýrikerfi, upplýsingar um tæki og símaþjónustu (nemendur, foreldrar og forráðamenn).
4. Annálagögn um notkun: Vefsíður heimsóttar, vefsíður sem leiða á aðrar vefsíður og leitarskilyrði (nemendur, foreldrar og forráðamenn) og staðsetningargögn (foreldrar og forráðamenn).
Af gögnum málsins er ljóst að Reykjavíkurborg tók ákvörðun um að hefja notkun Seesaw-nemendakerfisins í grunnskólum sveitarfélagsins og framkvæmdi mat á áhrifum á persónuvernd þar að lútandi. Reykjavíkurborg greiðir einnig fyrir aðgang einstakra skóla að Seesaw-nemendakerfinu, sér um rekstur miðlægs aðgangs fyrir kennara að kerfinu og gaf hverjum af þeim sex skólum sem hafa tekið kerfið í notkun fyrirmæli um að gera vinnslusamning við Seesaw. Einnig þykir ljóst að Reykjavíkurborg ákvað tilgang og aðferðir við vinnslu persónuupplýsinga um nöfn og netföng, verkefni nemenda og endurgjöf kennara í Seesaw-nemendakerfinu, þrátt fyrir að hverjum og einum skóla hafi verið undirlagt að ákveða í hvaða tilvikum forritið yrði notað og nákvæmlega hvaða verkefni yrðu sett þar inn eða endurgjöf háttað. Af þessu leiðir að Reykjavíkurborg telst vera ábyrgðaraðili að vinnslu þessara persónuupplýsinga í kerfinu. Er sú niðurstaða í samræmi við það sem fram kemur í samþykkiseyðublaði og fræðsluefni, sem foreldrar og forráðamenn fengu þegar kerfið var tekið í notkun.
Hvað varðar vinnslu annálagagna tæknilegs eðlis, verður hún talin óhjákvæmileg við notkun kerfisins. Þrátt fyrir að Seesaw ákveði aðferðir við vinnslu þessara upplýsinga telst vinnslan falla undir ákvörðun Reykjavíkurborgar um að nota kerfið í nánar tilteknum tilgangi. Verður Reykjavíkurborg því talin ábyrgðaraðili að þessari vinnslu persónuupplýsinga.
Vinnsla annálagagna um notkun verður á hinn bóginn ekki talin nauðsynleg fyrir notkun þess. Ætla má að Seesaw ákveði eitt tilgang og aðferðir við vinnslu þessara upplýsinga og að vinnsla þeirra fari fram í tilgangi sem þjónar fremur Seesaw heldur en notendum kerfisins, svo sem í markaðstilgangi, eins og fram kemur í upplýsingum frá Seesaw. Þó verður ekki framhjá því litið að Reykjavíkurborg hefur ákveðið að nota Seesaw-nemendakerfið með hliðsjón af því að þessi vinnsla fer fram og að ekki virðist vera mögulegt að velja að hún fari ekki fram nema að því leyti að foreldrar geta afþakkað upplýsingapósta frá Seesaw á grundvelli þessarar vinnslu. Reykjavíkurborg og Seesaw verða því að teljast sameiginlegir ábyrgðaraðilar þessarar vinnslu gagnvart nemendum, foreldrum þeirra og forráðamanna, að því marki sem ekki liggur fyrir samkomulag þeirra á milli um annað. Það athugast þó að mál þetta lýtur einvörðungu að ábyrgð Reykjavíkurborgar á umræddri vinnslu persónuupplýsinga og verður því ekki fjallað frekar um ábyrgð Seesaw í þessu sambandi.
Loks telst Seesaw vera vinnsluaðili þeirrar vinnslu persónuupplýsinga í nemendakerfinu sem fellur undir ábyrgð Reykjavíkurborgar en ekki verður fjallað um skyldur Seesaw samkvæmt persónuverndarlöggjöfinni í þessari ákvörðun.
3.2
Vinnslusamningur og samkomulag um vinnslu
Vinnsla af hálfu vinnsluaðila skal falla undir samning eða aðra réttargerð samkvæmt lögum, sem skuldbindur vinnsluaðila gagnvart ábyrgðaraðila. Í slíkum vinnslusamningi skal tilgreina viðfangsefni og tímalengd vinnslu, eðli og tilgang hennar, tegund persónuupplýsinga og flokka skráðra einstaklinga og skyldur og réttindi ábyrgðaraðilans, sbr. 3. mgr. 25. gr. laga nr. 90/2018 og 3. mgr. 28. gr. reglugerðar (ESB) 2016/679. Í reglugerðarákvæðinu eru rakin þau atriði sem einkum skal mæla fyrir um í vinnslusamningi, þ.e. að vinnsluaðili:
a) vinni einungis persónuupplýsingar samkvæmt skjalfestum fyrirmælum ábyrgðaraðila,
b) tryggi að aðilar, sem hafa heimild til vinnslu persónuupplýsinga, hafi gengist undir trúnaðarskyldu eða heyri undir viðeigandi lögboðna trúnaðarskyldu,
c) geri allar viðeigandi öryggisráðstafanir samkvæmt 32. gr. reglugerðarinnar,
d) virði skilyrði reglugerðarinnar um ráðningu annars vinnsluaðila,
e) aðstoði ábyrgðaraðila með viðeigandi tæknilegum og skipulagslegum ráðstöfunum, að teknu tilliti til eðlis vinnslunnar og að því marki sem hægt er, við að uppfylla skyldur ábyrgðaraðila sem lúta að rétti skráðra einstaklinga til aðgangs að persónuupplýsingum sínum og upplýsinga um vinnsluna,
f) aðstoði ábyrgðaraðila, að teknu tilliti til eðlis vinnslunnar og upplýsinga sem vinnsluaðili hefur aðgang að, við að uppfylla skyldur sem lúta að öryggi persónuupplýsinga,
g) eyði eða skili, að vali ábyrgðaraðila, öllum persónuupplýsingum til ábyrgðaraðila eftir að veitingu þjónustu lýkur og eyði öllum afritum nema annars sé krafist í lögum,
h) geri ábyrgðaraðila aðgengilegar allar upplýsingar sem eru nauðsynlegar til að sýna fram á að skuldbindingar samkvæmt reglugerðarákvæðinu séu uppfylltar, gefi kost á úttektum og leggi sitt af mörkum til þeirra.
Ef tveir eða fleiri aðilar eru sameiginlegir ábyrgðaraðilar að vinnslu persónuupplýsinga skulu þeir á gagnsæjan hátt ákveða ábyrgð hvers um sig á því að skuldbindingar samkvæmt reglugerðinni séu uppfylltar með samkomulagi sín á milli, nema að því marki sem kveðið er á um ábyrgð þeirra í lögum, sbr. 1. mgr. 26. gr. reglugerðarinnar. Samkomulag samkvæmt framangreindu skal endurspegla með tilhlýðilegum hætti hlutverk og tengsl hvers ábyrgðaraðila gagnvart skráðum einstaklingum og skal megininntak samkomulagsins gert þeim aðgengilegt, sbr. 2. mgr. sömu greinar.
Með hliðsjón af framangreindum niðurstöðum um ábyrgð vinnslu í Seesaw-nemendakerfinu, skal vinnsla Seesaw á upplýsingum um nöfn og netföng, verkefni nemenda og endurgjöf kennara, sem og vinnsla annálagagna tæknilegs eðlis, byggjast á samningi eða annarri réttargerð sem skuldbindur Seesaw gagnvart Reykjavíkurborg, í samræmi við 3. mgr. 25. gr. laga nr. 90/2018 og 3. mgr. 28. gr. reglugerðar (ESB) 2016/679. Þá skal vera fyrir hendi og aðgengilegt fyrir hina skráðu samkomulag milli Reykjavíkurborgar og Seesaw hvað varðar vinnslu annálagagna um notkun, teljist slík vinnsla nauðsynleg.
Þrátt fyrir að algengt sé að vinnsluaðilar, sem bjóða ábyrgðaraðilum upplýsingatækniþjónustu, setji fram staðlaða og almenna skilmála um notkun tiltekins upplýsingatæknikerfis og vinnslu persónuupplýsinga í því, leysir það ábyrgðaraðila ekki undan ábyrgðarskyldum sínum. Í því felst að ábyrgðaraðilar bera ábyrgð á því að vinnsluaðilar vinni einungis persónuupplýsingar samkvæmt skjalfestum fyrirmælum ábyrgðaraðila. Þá ber ábyrgðaraðilum að ganga úr skugga um að ákvæðum vinnslusamninga, m.a .um varðveislutíma og eyðingu upplýsinga, sé framfylgt.
Vinnsluskilmálar Seesaw, sem Reykjavíkurborg vísar til sem vinnslusamnings, eru ekki undirritaðir af hálfu aðila. Af þeim verður því ekki ráðið að Seesaw og Reykjavíkurborg hafi bundist samningi um þau atriði sem þar eru tilgreind. Samkvæmt skýringum Reykjavíkurborgar hafa einstakir grunnskólar, sem hafa tekið nemendakerfið í notkun, þó samþykkt skilmálana rafrænt en framlagðir skilmálar bera það ekki með sér. Með hliðsjón af þeirri niðurstöðu að Reykjavíkurborg telst vera ábyrgðaraðili vinnslu upplýsinga um nöfn og netföng, verkefni nemenda og endurgjöf kennara í nemendakerfinu hefði sveitarfélaginu borið að gera viðeigandi vinnslusamning við Seesaw um vinnsluna. Sá samningur hefði þurft að bera með sér að báðir aðilar væru bundnir af honum og að breytingar á ákvæðum hans væru háðar samþykki beggja aðila. Skilmálar Seesaw, sem vísað er til sem vinnslusamnings, eru ekki fullnægjandi hvað þessi atriði varðar, sbr. 3. mgr. 25. gr. laga nr. 90/2018 og 3. mgr. 28. gr. reglugerðarinnar.
Í því eintaki skilmálanna sem Reykjavíkurborg sendi Persónuvernd vantar texta á milli blaðsíðna en með hliðsjón af því sem þar sést sem og af skilmálunum, eins og þeir eru á vefsíðu Seesaw, má ráða að þar komi fram að í vinnslu Seesaw felist að fyrirtækið útvegi stafrænar nemendamöppur, eins og lýst sé í notendaskilmálunum. Hinir skráðu séu hver einstaklingur sem noti nemendakerfið í gegnum reikning notenda. Tegundir upplýsinga séu innskráningarupplýsingar, annálagögn, myndir, myndbönd, hljóð, skilaboð, textar og önnur gögn sem séu skráð í kerfið. Þá eru í skilmálunum ákvæði um lokun reikninga einstakra nemenda og lok samnings. Að mati Persónuverndar er því með fullnægjandi hætti kveðið á um viðfangsefni vinnslunnar, tímalengd og eðli hennar, tegundir persónuupplýsinga og flokka skráðra einstaklinga, sbr. 3. mgr. 25. gr. laganna og 3. mgr. 28. gr. reglugerðarinnar.
Í skilmálunum segir að Seesaw megi aðeins vinna persónuupplýsingar í þeim tilgangi sem lýst sé í skilmálunum og í samræmi við fyrirmæli ábyrgðaraðila, sem eigi að öllu leyti að felast í skilmálunum sjálfum sem og notendaskilmálum Seesaw. Í skilmálunum eru ekki nákvæm eða skýr ákvæði um tilgang vinnslunnar en þar segir eitthvað á þá leið að tilgangurinn sé að veita notendum kerfisins þjónustu. Að mati Persónuverndar skortir því á að í vinnslusamningi sé kveðið á um skýran og afmarkaðan tilgang vinnslunnar í samræmi við persónuverndarlöggjöfina. Þá liggja ekki fyrir fyrirmæli frá Reykjavíkurborg til Seesaw um vinnsluna, t.d. í formi viðauka við vinnslusamning, sem gætu verið skilmálunum til fyllingar m.a. hvað varðar tilgang vinnslunnar. Að þessu virtu getur reynst erfitt fyrir bæði Reykjavíkurborg og eftirlitsstjórnvöld eins og Persónuvernd að meta hvort Seesaw vinnur persónuupplýsingar einungis samkvæmt skjalfestum fyrirmælum Reykjavíkurborgar. Teljast skilmálarnir að þessu leyti ekki vera í samræmi við ákvæði 3. mgr. 28. gr. reglugerðarinnar, sbr. a-lið sömu málsgreinar og 3. mgr. 25. gr. laga nr. 90/2018.
Líkt og rakið er í köflum II. 1.2 og 3.5.2 eru í skilmálunum ákvæði um trúnaðarskyldu hvers þess sem vinnur með persónuupplýsingar á vegum Seesaw, að viðhafðar séu viðeigandi öryggisráðstafanir, tilhögun varðandi undirvinnsluaðila, aðstoð við afgreiðslu beiðna skráðra einstaklinga um aðgang og upplýsingar um vinnslu, samvinnu við ábyrgðaraðila og eftirlitsstjórnvöld við mat á áhrifum á persónuvernd, fyrirframsamráð og ef öryggisbrestur verður í kerfinu, eyðingu og skil upplýsinga við lok samningstíma og um úttektir á hlítni Seesaw við vinnslusamninginn. Skilmálarnir uppfylla að því leyti skilyrði b-h-liða 3. mgr. 28. gr. reglugerðarinnar, sbr. 3. mgr. 25. gr. laganna. Það athugast þó að ákvæði um tilteknar öryggisráðstafanir eru ekki hluti af skilmálunum heldur er í þeim vísað á vefsíðu Seesaw með upplýsingum um hvaða öryggisráðstafanir eru viðhafðar af fyrirtækinu. Seesaw getur því einhliða ákveðið breytingar þar að lútandi en leggur í hendur ábyrgðaraðila að meta það hverju sinni hvort öryggisráðstafanirnar eru fullnægjandi.
Ekki liggur fyrir sérstakt samkomulag Reykjavíkurborgar og Seesaw um vinnslu annálagagna um notkun þótt fram komi í vinnsluskilmálunum að Seesaw vinni slík gögn. Þá liggur ekki fyrir með gagnsæjum hætti hver ábyrgð þessara aðila er varðandi vinnslu gagnanna, hvert hlutverk þeirra er, t.d. gagnvart skráðum einstaklingum, eða hvernig vinnslan samrýmist tilgangi með vinnslu persónuupplýsinga skólabarna í nemendakerfinu. Fyrrgreind skilyrði 26. gr. reglugerðarinnar teljast því ekki uppfyllt hvað þá vinnslu varðar, sbr. 23. gr. laga nr. 90/2018. Þar sem ábyrgð á vinnslu þessara gagna er ekki skýr getur vinnslan enn fremur ekki talist gagnsæ gagnvart hinum skráðu, sbr. 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og a-lið 1. mgr. 5. gr. reglugerðarinnar, en nánar er fjallað um lögmæti vinnslunnar í kafla 4 hér á eftir, þ. á m. gagnsæi hennar.
Lögmæti vinnslu
Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Að auki verður vinnsla viðkvæmra persónuupplýsinga að samrýmast einhverju af viðbótarskilyrðum 1. mgr. 11. gr. laganna, sbr. 2. mgr. 9. gr. reglugerðarinnar, en þegar hefur verið komist að þeirri niðurstöðu að vinnsla viðkvæmra persónuupplýsinga, eins og þær eru skilgreindar í 3. tölul. 3. gr. laganna, sé óhjákvæmileg við notkun Seesaw-nemendakerfisins á grunn- og miðstigi grunnskóla, eins og henni er lýst í fyrirliggjandi gögnum.
Við mat á heimild til vinnslu verður einnig að líta til ákvæða annarra laga sem við eiga hverju sinni.
Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að samrýmast öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðarinnar. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða, að þær skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi, að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar, að þær skuli varðveittar í því formi að ekki sé unnt að bera kennsl á skráða einstaklinga lengur en þörf krefur miðað við tilgang vinnslu og að þær skuli unnar með þeim hætti að viðeigandi öryggi persónuupplýsinganna sé tryggt. Þá skulu ábyrgðaraðilar geta sýnt fram á að vinnsla persónuupplýsinga samrýmist ávallt þessum meginreglum, sbr. 2. mgr. 8. gr. laganna og 2. mgr. 5. gr. reglugerðarinnar.
4.1
Vinnsluheimild
Það er hlutverk ábyrgðaraðila að ákveða skýrt tilgreindan, lögmætan og málefnalegan tilgang vinnslu persónuupplýsinga og tryggja að þær séu unnar með lögmætum hætti og eingöngu í tilgreindum tilgangi, sbr. 1. og 2. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og a- og b-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Í því felst að vinnsla persónuupplýsingar þarf að byggjast á viðeigandi vinnsluheimildum og þurfa ábyrgðaraðilar að geta sýnt fram á það. Til þess að vinnsla persónuupplýsinga sé lögmæt þarf tilgangur hennar og vinnsluheimildir að liggja fyrir áður en vinnsla hefst.
Reykjavíkurborg byggði vinnslu persónuupplýsinga skólabarna í Seesaw-nemendakerfinu upphaflega á samþykki foreldra með vísan til 1. tölul. 9. gr. laga nr. 90/2018. Stjórnvöld geta almennt ekki byggt á samþykki einstaklinga við vinnslu persónuupplýsinga þar sem slíkur aðstöðumunur telst vera með þeim og borgurunum að ólíklegt þykir að þeir geti veitt óþvingað samþykki sitt. Verða þau sjónarmið talin eiga við í þessu tilviki. Með hliðsjón af því getur vinnsla persónuupplýsinga í Seesaw-nemendakerfinu ekki byggst á samþykki hinna skráðu samkvæmt 1. tölul. 9. gr. laga nr. 90/2018 og a-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Reykjavíkurborg getur heldur ekki byggt á því að vinnsla annálagagna um notkun, t.d. staðsetningargagna, byggist á samþykki. Jafnvel þótt Seesaw ákveði þá vinnslu, tilgang hennar og aðferðir, kæmi vinnslan þessara gagna ekki til, hvað þessa einstaklinga varðar, nema vegna ákvörðunar Reykjavíkurborgar um að nota Seesaw-nemendakerfið. Þar af leiðandi verður vinnslan þeirra að rúmast innan þess tilgangs og þeirrar vinnsluheimildar sem Reykjavíkurborg ákveður fyrir vinnslunni.
Samkvæmt fyrirliggjandi vinnsluskrá og mati á áhrifum á persónuvernd byggist vinnsla persónuupplýsinga skólabarna í Seesaw-nemendakerfinu nú á 5. tölul. 9. gr. laga nr. 90/2018, sem kveður á um að vinnsla persónuupplýsinga sé heimil ef hún er nauðsynleg vegna verks sem er unnið í þágu almannahagsmuna eða við beitingu opinbers valds sem ábyrgðaraðili fer með. Einnig er vísað til þeirrar vinnsluheimildar í svarbréfum Reykjavíkurborgar en þar er jafnframt byggt á því að vinnslan geti byggst á 3. tölul. sömu lagagreinar, sem kveður á um að vinnsla persónuupplýsinga sé heimil ef hún er nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila.
Til að rökstyðja að umrædd vinnsla geti byggst á framangreindum heimildum er í svörum Reykjavíkurborgar vísað til þess að á skólastjórum hvíli fjölþættar skyldur sem ekki verði ræktar án þess að notuð sé fullkomin upplýsingatækni til að styðja nemendur og skólastarfið í heild. Vinnslan sé einnig nauðsynleg í þágu grunnskólastarfs og þjóni því ríkum almannahagsmunum. Jafnframt er vísað til ýmissa lagaákvæða og auglýsingar um gildistöku aðalnámskrár þar sem fjallað er um stafrænt læsi, miðlamennt og miðlalæsi. Vísast um rökstuðning Reykjavíkurborgar hvað þetta varðar til kafla II. 3.1.
Að mati Persónuverndar geta sveitarfélög byggt vinnslu persónuupplýsinga skólabarna í upplýsingatæknikerfum á því að þau séu að vinna verk í þágu almannahagsmuna, samkvæmt 5. tölul. 9. gr. laga nr. 90/2018, sbr. e-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Til þess að vinnsla geti byggst á þeirri heimild þarf ábyrgðaraðili á hinn bóginn að geta sýnt fram á að hún sé nauðsynleg í þeim tilgangi.
Krafa vinnsluheimildarinnar um að vinnsla sé nauðsynleg í tilteknum tilgangi og í þágu tilgreindra hagsmuna endurspeglar meginreglu persónuverndarlöggjafarinnar um meðalhóf. Það ræðst af aðstæðum hverju sinni hvort vinnsla telst nauðsynleg. Ábyrgðaraðilum er falið visst mat í þeim efnum en þeir þurfa að meta nauðsyn fyrir hvern og einn þátt vinnslunnar. Í því felst að meta þarf sjálfstætt hvort nauðsynlegt er að safna upplýsingum, skrá þær, miðla þeim eða samkeyra þær, með hvaða hætti vinnslan fer fram og í hvaða kerfi. Matið, fyrir hvern og einn þátt vinnslunnar, ræðst svo af hagsmunum af tilteknu verki og hvort hægt er að gæta þeirra hagsmuna með einhverjum þeim hætti sem felur í sér takmarkaðri vinnslu persónuupplýsinga. Við það mat er að líta til umfangs vinnslunnar og eðlis og efnis þeirra upplýsinga sem unnið er með. Skiptir þá máli hvort upplýsingarnar varða hrein einkamálefni einstaklinga, svo sem um félagsleg vandamál, hjónaskilnaði, samvistarslit, ættleiðingar eða annað sem er sanngjarnt og eðlilegt að fari leynt. Samkvæmt umfjöllun í kafla III. 2 skiptir einnig máli við þetta mat hvort unnið er með persónuupplýsingar barna.
Þrátt fyrir að vinnsla upplýsinga um nöfn og netföng skólabarna, foreldra þeirra og forráðamanna og vinnsla annálagagna tæknilegs eðlis geti talist nauðsynleg í tilteknum tilgangi verður, samkvæmt framangreindu, að gera ríkari kröfur til nauðsynjar umfangsmikillar söfnunar upplýsinga um einkamálefni barna, sem eins og fyrr greinir þykir óhjákvæmilegt að rati í verkefni þeirra. Einnig getur endurgjöf kennara falið í sér persónuupplýsingar viðkvæms eðlis. Við mat á nauðsyn þeirrar vinnslu verður að líta til aldurs og þroska barnanna, þeirrar stöðu sem þau eru í gagnvart skólanum sínum, magns þeirra gagna sem hætta er á að safnist yfir skólagöngu þeirra, áhrifa upplýsingasöfnunarinnar á sjálfsmynd barnanna og aðgangs Seesaw, fyrirtækis á einkamarkaði, að upplýsingunum.
Samkvæmt svörum Reykjavíkurborgar og fyrirliggjandi gögnum skilgreinir Reykjavíkurborg tilgang vinnslunnar afar vítt, sjá umfjöllun í kafla II. 3.1. Af þeim sökum er nær ómögulegt að meta hvort tiltekinn vinnsluþáttur tiltekinna persónuupplýsinga er í raun nauðsynlegur í þessum tilgangi. Hvað varðar persónuupplýsingar skólabarna væri sem dæmi hægt að fella nánast hvaða vinnslu sem er undir kennslu í grunnskólum, samskipti við foreldra, yfirsýn kennara og þjálfun í færni sem kennd er við fjórðu iðnbyltinguna.
Auk þess verður ekki ráðið af skýringum Reykjavíkurborgar á tilgangi og nauðsyn vinnslunnar, sbr. einnig umfjöllun í kafla II. 3.2, að hún sé nauðsynleg heldur eingöngu að hún sé til ákveðins hagræðis. Þá byggir Reykjavíkurborg mat sitt á nauðsyn vinnslunnar ekki á skjalfestu mati t.d. á áhrifum notkunar Seesaw-nemendakerfisins, samhliða notkun spjaldtölvanna sem nemendur nota kerfið í, á heilsu barnanna, þroska þeirra og sjálfsmynd, færni þeirra í námi eða hvernig nemendakerfið þjónar að öðru leyti hagsmunum barnanna, t.d. hagsmunum þeirra af því að fá að þroskast frjáls frá stöðugri stafrænni söfnun persónuupplýsinga þeirra. Loks liggur ekki fyrir samanburður á notkun Seesaw-nemendakerfisins og því að heimila nemendum að skila verkefnum rafrænt án þess að verkefnunum sé safnað yfir lengri tíma í tiltekið upplýsingatæknikerfi.
Ef litið er á hinn bóginn til þess sem fram kemur í svörum Reykjavíkurborgar um mat á nauðsyn telur Persónuvernd að vinnsla persónuupplýsinga skólabarna í formi verkefnaskila og endurgjafar kennara við verkefnin geti ekki talist nauðsynleg til að kennarar geti miðlað kennsluefni rafrænt til nemenda, við þjálfun nemenda í færni í tækniþekkingu og miðlalæsi, til að auka yfirsýn foreldra eða styðja við nemendur og hvetja þá til náms og að aðrar leiðir séu ekki færar í þeim efnum. Enn fremur hefur ekkert komið fram sem styður þá fullyrðingu að notkun kerfisins efli samskipti og tengsl skólabarna. Loks áréttar Persónuvernd að hægt er að bjóða nemendum að skila verkefnum rafrænt án þess að þeim sé safnað í tiltekið upplýsingatæknikerfi og að þrátt fyrir að notkun slíkra kerfa sé í einhverjum tilvikum hentug þá felist ekki í því að hún sé nauðsynleg.
Er það niðurstaða Persónuverndar að Reykjavíkurborg hafi ekki rökstutt nauðsyn hvers þáttar vinnslu hvers tiltekins flokks persónuupplýsinga skólabarna í Seesaw-nemendakerfinu vegna verks sem er unnið í þágu almannahagsmuna, samkvæmt 5. tölul. 9. gr. laga nr. 90/2018 og e-lið 1. mgr. 6. gr. reglugerðarinnar. Þá verður ekki séð að vinnsla annálagagna um notkun kerfisins, m.a. um staðsetningargögn foreldra og forráðamanna í þágu markaðssetningar, rúmist innan framangreinds heimildaákvæðis þar sem sú vinnsla er í öðrum og ósamrýmanlegum tilgangi.
Þá er það niðurstaða Persónuverndar að Reykjavíkurborg geti ekki byggt vinnslu persónuupplýsinga skólabarna í Seesaw-nemendakerfinu á því að hún sé nauðsynleg til að fullnægja lagaskyldu sem hvílir á sveitarfélaginu, sbr. 3. tölul. 9. gr. laga nr. 90/2018 og c-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, með vísan til þeirra lagaákvæða sem rakin eru í svarbréfum þess. Í fyrsta lagi er ljóst að 47. gr. a. laga nr. 91/2008 um grunnskóla, sem vísað er til í þessu sambandi, tók ekki gildi fyrr en 11. júní 2021, nokkrum mánuðum eftir að vinnslan hófst, auk þess sem í ákvæðinu er ekki kveðið á um lagaskyldu af neinu tagi sem krefst vinnslu persónuupplýsinga. Í öðru lagi eru tilvísuð lagaákvæði orðuð með mjög almennum hætti og hefur Reykjavíkurborg ekki sýnt fram á að vinnslan geti talist nauðsynleg til að lagaskyldu samkvæmt ákvæðunum verði fullnægt, með vísan til sömu forsendna og raktar eru varðandi 5. tölul. 9. gr. laganna og e-lið 1. mgr. 6. gr. reglugerðarinnar.
Að öllu framangreindu virtu hefur Reykjavíkurborg ekki fært rök fyrir því að vinnsla persónuupplýsinga skólabarna í Seesaw-nemendakerfinu byggist á fullnægjandi vinnsluheimild samkvæmt 9. gr. laga nr. 90/2018 og 1. mgr. 6. gr. reglugerðar (ESB) 2016/679.
4.2
Meðalhóf og lágmörkun gagna
Persónuupplýsingar skulu fengnar í skýrt tilgreindum og lögmætum tilgangi og ekki unnar frekar á þann hátt sem er ósamrýmanlegt þeim tilgangi, vera nægilegar, viðeigandi og takmarkast við það sem er nauðsynlegt miðað við tilgang vinnslunnar og varðveittar í því formi að ekki sé unnt að bera kennsl á skráða einstaklinga lengur en þörf krefur miðað við tilgang vinnslunnar, sbr. 2., 3. og 5. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og b-, c- og e-liði 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Samkvæmt ábyrgðarskyldu 2. mgr. 8. gr. laganna og 2. mgr. 5. gr. reglugerðarinnar þurfa ábyrgðaraðilar einnig að geta sýnt fram á að þessum reglum sé fylgt.
Ábyrgðarskylda samkvæmt framangreindum ákvæðum er nánar útfærð í 1. og 2. mgr. 25. gr. reglugerðarinnar, sbr. 1. og 2. mgr. 24. gr. laganna, þar sem kveðið er á um innbyggða og sjálfgefna persónuvernd. Samkvæmt þeim ákvæðum skulu ábyrgðaraðilar, við ákvörðun um aðferðir við vinnslu og þegar vinnsla fer fram, gera viðeigandi tæknilegar og skipulagslegar ráðstafanir sem hannaðar eru til að framfylgja meginreglum um persónuvernd, svo sem um lágmörkun gagna, með skilvirkum hætti og fella nauðsynlegar verndarráðstafanir inn í vinnsluna til að uppfylla kröfur persónuverndarlöggjafarinnar og vernda réttindi skráðra einstaklinga. Við mat á því hvað teljast viðeigandi ráðstafanir skal líta til nýjustu tækni, kostnaðar við framkvæmd og eðlis, umfangs, samhengis og tilgangs vinnslunnar og áhættu, mislíklegri og misalvarlegri, fyrir réttindi og frelsi einstaklinga. Þá skulu ábyrgðaraðilar gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja að sjálfgefið sé að einungis séu unnar þær persónuupplýsingar sem eru nauðsynlegar vegna tilgangs vinnslunnar hverju sinni. Þessi skylda gildir um það hversu miklum persónuupplýsingum er safnað, að hvaða marki unnið er með þær, hversu lengi þær eru varðveittar og aðgang að þeim.
Í kaflanum hér á undan er fjallað um nauðsyn þess að afmarka tilgang vinnslu persónuupplýsinga með skýrum hætti til þess að unnt sé að ákveða hvort vinnslan geti fallið undir einhverja vinnsluheimild persónuverndarlöggjafarinnar. Því til viðbótar þarf tilgangurinn að vera skýrt afmarkaður til þess að ábyrgðaraðilar geti ávallt, einnig eftir að vinnsla er hafin, tekið ákvörðun um hvaða persónuupplýsingar eru nægilegar og viðeigandi miðað við þann tilgang. Tilgangurinn þarf jafnframt að vera skýr til þess að unnt sé að meta hversu lengi skal varðveita persónuupplýsingarnar.
Þegar hefur verið komist að þeirri niðurstöðu að tilgangur vinnslu persónuupplýsinga skólabarna í Seesaw-nemendakerfinu hafi ekki verið nægilega skýrt afmarkaður af hálfu Reykjavíkurborgar og af þeim sökum hafi verið ómögulegt að meta nauðsyn vinnslunnar. Með hliðsjón af því og framangreindum ákvæðum er það einnig niðurstaða Persónuverndar að tilgangur vinnslunnar hafi ekki verið nægilega skýrt afmarkaður til þess að unnt sé að meta hvaða persónuupplýsingar eru nægilegar og viðeigandi fyrir vinnsluna eða hversu lengi er rétt að varðveita þær, sbr. 2., 3. og 5. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og b-, c- og e-liði 1. mgr. 5. gr. reglugerðarinnar.
Hvað varðveislutímann varðar kemur fram í svörum Reykjavíkurborgar að gögn úr Seesaw-nemendakerfinu kunni í einhverjum tilvikum að teljast skilaskyld samkvæmt lögum nr. 77/2014 um opinber skjalasöfn, líkt og gildi um önnur námsgögn í skólastarfi. Í lok skólaárs og við lok grunnskólagöngu fari kennarar yfir námsgögnin og ýmist sendi nemendur með þau heim eða skili til Borgarskjalasafns. Eftir það sé gögnum eytt úr gagnavörslu Seesaw. Ekki er því gert ráð fyrir umfangsmeiri söfnun persónuupplýsinga um skólabörn í Borgarskjalasafni en ef Seesaw-nemendakerfið væri ekki notað.
Hvað varðar varðveislutíma persónuupplýsinganna hjá Seesaw liggur fyrir að Seesaw notar annálagögn foreldra og forráðamanna skólabarna til þess að beina að þeim markaðssetningu fyrir fyrirtækið sjálft en ekki fyrir þriðju aðila. Við lok skólagöngu barnanna geta nemendur, foreldrar þeirra og forráðamenn, óskað eftir að gögnum þeirra verði ekki eytt úr Seesaw-nemendakerfinu heldur verði vistuð þar áfram á grundvelli nýs reiknings sem sé þá stofnaður. Af þessu má ráða að Seesaw geti beint markaðssetningu að foreldrum og forráðamönnum skólabarna í því skyni að fá að varðveita persónuupplýsingar skólabarna, þ.m.t. verkefni sem þau setja inn í kerfið á grundvelli ákveðins trúnaðar gagnvart skóla sínum, áfram að lokinni grunnskólagöngu þeirra og þá jafnvel á grundvelli nýrra skilmála. Verður þetta ekki talið samrýmast framangreindum meginreglum um að persónuupplýsingar skuli fengnar í skýrt tilgreindum og lögmætum tilgangi og ekki unnar á annan og ósamrýmanlegan hátt, að persónuupplýsingar séu nægilegar, viðeigandi og takmarkist við það sem er nauðsynlegt miðað við tilgang vinnslunnar og að þær séu varðveittar í því formi að ekki sé unnt að bera kennsl á skráða einstaklinga lengur en þörf krefur miðað við tilgang vinnslunnar, sbr. 2., 3. og 5. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og b-, c- og e-liði 1. mgr. 5. gr. reglugerðar (ESB) 2016/679.
Með hliðsjón af þeirri niðurstöðu að vinnsla persónuupplýsinga í þágu markaðssetningar geti ekki rúmast innan tilgangs Reykjavíkurborgar með umræddri vinnslu er það enn fremur niðurstaða Persónuverndar að krafan um innbyggða og sjálfgefna persónuvernd leiði til þess að ekki hafi verið nóg að bjóða foreldrum og forráðamönnum að afþakka auglýsingapósta frá Seesaw heldur hefði slík stilling þurft að vera sjálfgefin. Þá hefur ekki komið fram að með því að afþakka auglýsingapósta sé vinnslu umræddra annálagagna, svo sem staðsetningargagna, hætt.
Sömu sjónarmið eiga við um stillingar á aðgangi að nemendamöppum nemenda í kerfinu. Samkvæmt upplýsingum á vefsíðu Seesaw, sem greint er frá í kafla II. 3.5.2, eru sjálfgefnar stillingar í kerfinu þannig að verkefni nemenda eru aðgengileg þeim sem eru í skilgreindum bekk. Í mati á áhrifum á persónuvernd segir m.a. um samþykktar ráðstafanir „Aðgangsstýring á efni, það fer einungis milli nemanda og kennara og foreldris (valkvætt).“ Þá segir í fræðsluefni Reykjavíkurborgar til foreldra og forráðamanna vegna vinnslunnar að skóla- og frístundasvið borgarinnar mælist til þess að nemendamöppum verði einungis deilt með kennara, foreldrum og forsjáraðilum. Að virtum framangreindum ábyrgðarskyldum hefði Reykjavíkurborg á hinn bóginn átt að tryggja að sjálfgefnar stillingar í kerfinu væru þannig að nemendamöppur nemenda væru eingöngu aðgengilegar kennurum þeirra, foreldrum og forráðamönnum.
Með hliðsjón af framangreindu var vinnslan ekki í samræmi við 3. tölul. 1. mgr. 8. gr. og 24. gr. laga nr. 90/2018 og c-lið 1. mgr. 5. gr. og 1. og 2. mgr. 25. gr. reglugerðarinnar.
4.3
Sanngjörn og gagnsæ vinnsla - fræðsla
Persónuupplýsingar skulu unnar með sanngjörnum og gagnsæjum hætti gagnvart skráðum einstaklingum, sbr. 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og a-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Krafan um sanngjarna og gagnsæja vinnslu persónuupplýsinga felur m.a. í sér að einstaklingum á að vera það ljóst þegar persónuupplýsingum um þá er safnað, þær notaðar, skoðaðar eða unnar á annan hátt. Einnig á þeim að vera ljóst að hvaða marki persónuupplýsingar eru eða munu verða unnar. Hvers kyns upplýsingar og samskipti, sem tengjast vinnslunni, skulu jafnframt vera auðveldlega aðgengileg og auðskiljanleg og á skýru og einföldu máli. Á þetta einkum við um upplýsingar til skráðra einstaklinga um m.a. hver ábyrgðaraðilinn er og tilganginn með vinnslunni. Þá skal gera einstaklingum ljósa áhættu, reglur, verndarráðstafanir og réttindi í tengslum við vinnslu persónuupplýsinga og hvernig þeir geta neytt réttar síns í tengslum við vinnsluna.
Þegar hefur verið komist að þeirri niðurstöðu að ekki hafi legið skýrt fyrir við vinnslu persónuupplýsinga skólabarna í Seesaw-nemendakerfinu hver bæri ábyrgð á vinnslunni og hafi m.a. skort samkomulag milli Reykjavíkurborgar og Seesaw um vinnslu annálagagna um notkun sem skýrði hver bæri ábyrgð á þeirri vinnslu gagnvart hinum skráðu. Samkvæmt meginreglunni um sanngjarna og gagnsæja vinnslu hefði vinnslusamningur aðila og önnur samkomulög þeirra á milli, jafnframt þurft að vera aðgengileg hinum skráðu á einum stað, t.d. á vefsíðu Reykjavíkurborgar, og á íslensku, sbr. einnig 8. gr. laga nr. 61/2011 um stöðu íslenskrar tungu og íslensks táknmáls.
Einnig hefur þegar verið fjallað um notkun Seesaw á annálagögnum foreldra og forráðamanna til að beina að þeim markaðssetningu og að við lok skólagöngu nemenda geti þessir aðilar óskað eftir að gögnum þeirra verði ekki eytt úr Seesaw-nemendakerfinu, þ.m.t. verkefnum sem nemendur setja inn í kerfið á grundvelli trúnaðarsambands við skólann sinn, heldur verði þau vistuð þar áfram á grundvelli nýs reiknings. Verður þetta fyrirkomulag ekki talið samrýmast meginreglunni um sanngjarna og gagnsæja vinnslu, sbr. 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og a-lið 1. mgr. 5. gr. reglugerðarinnar.
Nánari reglur um gagnsæi og fræðslu eru í 12.-15. gr. reglugerðarinnar, sbr. 17. gr. laga nr. 90/2018, þar sem mælt er fyrir um tilkynningar- og fræðsluskyldu ábyrgðaraðila og upplýsinga- og aðgangsrétt skráðra einstaklinga og takmarkanir þar á. Í 1. mgr. 13. gr. reglugerðarinnar segir að þegar persónuupplýsinga er aflað hjá skráðum einstaklingi skuli ábyrgðaraðili skýra honum frá öllum eftirfarandi atriðum:
a) heiti og samskiptaupplýsingum ábyrgðaraðilans og, eftir atvikum, fulltrúa hans,
b) samskiptaupplýsingum persónuverndarfulltrúa, ef við á,
c) tilganginum með fyrirhugaðri vinnslu persónuupplýsinganna og hver lagagrundvöllur hennar er,
d) þegar vinnslan byggist á f-lið 1. mgr. 6. gr., hvaða lögmætu hagsmunir það eru sem ábyrgðaraðili eða þriðji aðili gætir,
e) viðtakendum eða flokkum viðtakenda persónuupplýsinganna, ef einhverjir eru,
f) ef við á, því að ábyrgðaraðili hyggist miðla persónuupplýsingum til þriðja lands eða alþjóðastofnunar og hvort ákvörðun framkvæmdastjórnarinnar um það hvort vernd er fullnægjandi liggi fyrir eða, í tilviki miðlunar sem um getur í 46. eða 47. gr. eða í annarri undirgrein 1. mgr. 49. gr., tilvísun til viðeigandi eða hæfilegra verndarráðstafana og leiða til að fá afrit af þeim eða upplýsingar um hvar þær hafa verið gerðar aðgengilegar.
Til viðbótar við þær upplýsingar sem um getur í 1. mgr. 13. gr. reglugerðarinnar skal ábyrgðaraðili veita hinum skráða eftirfarandi viðbótarupplýsingar samkvæmt 2. mgr. sömu greinar til að tryggja sanngjarna og gagnsæja vinnslu:
a) Hversu lengi persónuupplýsingarnar verða geymdar eða, ef það er ekki mögulegt, þær viðmiðanir sem notaðar eru til að ákveða það.
b) Að fyrir hendi er réttur til að fara fram á það við ábyrgðaraðila að fá aðgang að persónuupplýsingum, láta leiðrétta þær, eyða þeim eða takmarka vinnslu þeirra hvað hinn skráða varðar eða til að andmæla vinnslu, auk réttarins til að flytja eigin gögn.
c) Byggist vinnslan á samþykki hins skráða, að fyrir hendi er réttur til að draga samþykki sitt til baka hvenær sem er, án þess þó að það hafi áhrif á lögmæti vinnslu á grundvelli samþykkisins fram að afturkölluninni.
d) Réttinn til að leggja fram kvörtun hjá eftirlitsyfirvaldi.
e) Hvort það að veita persónuupplýsingar er krafa samkvæmt lögum eða samkvæmt samningi eða krafa sem er forsenda þess að hægt sé að gera samning og einnig hvort skráðum einstaklingi er skylt að láta persónuupplýsingarnar í té og mögulegar afleiðingar þess ef hann veitir ekki upplýsingarnar.
f) Hvort fram fer sjálfvirk ákvarðanataka, þ.m.t. gerð persónusniðs, rökin fyrir því og þýðing þess og fyrirhugaðar afleiðingar fyrir hinn skráða.
Með vísan til umfjöllunar í kafla III. 2. verður að telja að Reykjavíkurborg hafi verið skylt að veita fræðslu samkvæmt bæði 1. og 2. mgr. 13. gr. reglugerðarinnar vegna vinnslu persónuupplýsinga skólabarna í Seesaw-nemendakerfinu.
Ákvæði d-liðar 1. mgr. og c-liðar 2. mgr. 13. gr. eiga ekki við, samkvæmt efni sínu, í því tilviki sem hér um ræðir auk þess sem Persónuvernd telur að Reykjavíkurborg hafi ekki þurft að veita upplýsingar samkvæmt f-lið 2. mgr. þar sem fyrir liggur að ekki fer fram sjálfvirk ákvarðanataka í Seesaw-nemendakerfinu. Að öðru leyti eru einu undanþágurnar frá fræðsluskyldu ábyrgðaraðila samkvæmt þessum ákvæðum ef hinn skráði hefur þegar vitneskju um þau atriði sem þar eru tilgreind, sbr. 4. mgr. 13. gr. reglugerðarinnar, eða ef kveðið er á um undanþágu frá fræðsluskyldu í lögum, sbr. 23. gr. reglugerðarinnar, en ekki verður séð að þær undanþágur eigi við í því tilviki sem hér um ræðir.
Með ábendingunni til Persónuverndar í apríl síðastliðnum barst afrit af samþykkiseyðublaði til foreldra og forráðamanna vegna vinnslu persónuupplýsinga í Seesaw-nemendakerfinu. Samkvæmt fræðslu í samþykkiseyðublaðinu er Reykjavíkurborg ábyrgðaraðili vinnslunnar auk þess sem þar eru tengiliðaupplýsingar persónuverndarfulltrúa sveitarfélagsins. Þar eru einnig upplýsingar um til hvers kerfið verði notað, þ.e. til að útbúa verkefni og leggja fyrir nemendur og til að einfalda samskipti milli kennara og nemenda, um þann lagagrundvöll vinnslunnar sem þá var byggt á, þ.e. samþykki foreldra og forráðamanna, og um viðtakendur, þ.e. Borgarskjalasafn.
Á eyðublaðinu er vefslóð sem leiðir á ítarlegra fræðsluefni til foreldra og forráðamanna nemenda í grunnskólum Reykjavíkur. Líkt og rakið er í kafla II. 3.4 eru upplýsingar í fræðsluefninu um að Seesaw áskilji sér rétt til að nota staðsetningargögn í markaðssetningarskyni auk þess sem lagagrundvöllur vinnslunnar er tilgreindur 5. tölul. 9. gr. laga nr. 90/2018, eftir að fræðsluefnið var uppfært í apríl síðastliðnum. Þá segir í fræðslunni að feril- og verkefnamöppur nemenda í kerfinu verði vistaðar í skýi innan Evrópu og er það í samræmi við það sem fram kemur í svörum Reykjavíkurborgar um að tryggt sé að persónuupplýsingar í kerfinu séu vistaðar á öruggu svæði innan Evrópska efnahagssvæðisins með greiðslu fyrir notkun þess. Samkvæmt vinnsluskilmálum Seesaw heimila viðskiptavinir fyrirtækisins því á hinn bóginn að flytja persónuupplýsingar til Bandaríkjanna og vinna þær þar. Þá hefur Reykjavíkurborg fengið það staðfest að Seesaw flytji í raun upplýsingar nemenda í grunnskólum Reykjavíkur til Bandaríkjanna og vinni þær þar. Með hliðsjón af því verður að telja að skýra hefði þurft þetta atriði frekar í fræðslu til foreldra. Ekki var bætt úr þessum ágalla í uppfærðu fræðsluefni og telst fræðslan að þessu leyti ekki í fullu samræmi við f-lið 1. mgr. 13. gr. reglugerðarinnar.
Engar upplýsingar eru um varðveislutíma persónuupplýsinga í Seesaw-nemendakerfinu í fræðsluefninu eins og það var þegar Seesaw-nemendakerfið var tekið í notkun. Úr því var bætt í uppfærðu fræðsluefni, í apríl 2021, og segir þar að upplýsingar nemenda verði varðveittar í kerfinu uns þeir ljúki skólagöngu sinni í skólum sem heyra undir skóla- og frístundasvið Reykjavíkurborgar. Það sama á við um upplýsingar um að leggja fram kvörtun hjá Persónuvernd sem ekki voru í upprunalegu fræðsluefni en eru í fræðslunni eins og henni var breytt í apríl síðastliðnum. Fræðslan var að þessu leyti ekki í samræmi við a- og d-liði 2. mgr. 13. gr. reglugerðarinnar fyrr en í fyrsta lagi í apríl 2021, nokkrum mánuðum eftir að kerfið var tekið í notkun.
Ekki eru upplýsingar í fræðsluefninu, hvorki fyrir né eftir uppfærslu þess, um rétt nemenda, foreldra þeirra og forráðamanna, til að fá persónuupplýsingar í kerfinu leiðréttar, þeim eytt, vinnslu þeirra takmarkaða eða um réttinn til að fá persónuupplýsingar þeirra fluttar úr kerfinu, t.d. að fá þær afhentar áður en þeim er eytt. Ekki er þar heldur að finna upplýsingar um andmælarétt hinna skráðu samkvæmt 21. gr. reglugerðarinnar, sbr. 21. gr. laga nr. 90/2018, að því frátöldu að í uppfærðu fræðsluefni segir að ef foreldrar vilja andmæla „frekari“ vinnslu persónuupplýsinga í Seesaw-nemendakerfinu geti þeir haft samband við skólastjóra eða persónuverndarfulltrúa. Enn fremur kemur ekki fram í fræðsluefninu hverjar afleiðingar það hefur ef foreldrar og forráðamenn vilja ekki að börn þeirra noti kerfið, t.d. hvaða aðrar leiðir eru færar fyrir börnin að fá rafrænt kennsluefni og skila verkefnum sínum með rafrænum hætti. Fræðslan telst því ekki vera í samræmi við b- og e-liði 2. mgr. 13. gr. reglugerðarinnar.
4.4
Öryggi
Ábyrgðaraðilar og vinnsluaðilar skulu gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja viðunandi öryggi persónuupplýsinga með hliðsjón af nýjustu tækni, kostnaði við framkvæmd, eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu, mislíklegri og misalvarlegri, fyrir réttindi og frelsi einstaklinga, sbr. 1. mgr. 27. gr. laga nr. 90/2018 og 1. mgr. 32. gr. reglugerðar (ESB) 2016/679. Meðal þeirra ráðstafana sem gera skal, eftir því sem við á, er að nota gerviauðkenni og dulkóða persónuupplýsingar, tryggja viðvarandi trúnað, samfellu, tiltækileika og álagsþol vinnslukerfa og -þjónustu, geta gert persónuupplýsingar tiltækar og endurheimt aðgang að þeim tímanlega ef til kemur efnislegt eða tæknilegt atvik, og taka upp ferla til að prófa og meta reglulega skilvirkni tæknilegra og skipulagslegra ráðstafana til að tryggja öryggi vinnslunnar. Þegar viðunandi öryggi er metið skal einkum hafa hliðsjón af þeirri áhættu sem vinnslan hefur í för með sér, einkum að því er varðar óviljandi eða ólögmæta eyðingu persónuupplýsinga eða að þær glatist, breytist, verði birtar eða veittur aðgangur að þeim í leyfisleysi, sbr. 2. mgr. 32. gr. reglugerðarinnar.
Ef líklegt er að vinnsla persónuupplýsinga geti haft í för með sér mikla áhættu fyrir réttindi og frelsi einstaklinga, einkum þar sem beitt er nýrri tækni og með hliðsjón af eðli, umfangi, samhengi og tilgangi vinnslunnar, skal ábyrgðaraðili láta fara fram mat á áhrifum fyrirhugaðra vinnsluaðgerða á vernd persónuupplýsinga áður en vinnslan hefst og getur eitt mat tekið til nokkurra svipaðra vinnsluaðgerða sem geta haft í för með sér svipaða áhættuþætti, sbr. 1. mgr. 29. gr. laga nr. 90/2018 og 1. mgr. 35. gr. reglugerðarinnar.
Fyrir liggur að Reykjavíkurborg framkvæmdi mat á áhrifum á persónuvernd samkvæmt framangreindum ákvæðum en þó er tiltekið í svörum sveitarfélagsins til Persónuverndar að því hafi ekki verið það skylt samkvæmt 10. mgr. 35. gr. reglugerðarinnar þar sem vinnsla í kerfinu byggist á e-lið 1. mgr. 6. gr. reglugerðarinnar. Þá hafi ekki verið skylt að framkvæma matið á grundvelli auglýsingar nr. 828/2019 um skrá yfir vinnsluaðgerðir sem krefjast ávallt mats á áhrifum á persónuvernd.
Nánar tiltekið segir í 10. mgr. 35. gr. reglugerðarinnar að ef vinnsla samkvæmt e-lið 1. mgr. 6. gr. eigi sér lagagrundvöll og þau lög gildi um þá tilteknu vinnsluaðgerð eða -aðgerðir sem um sé að ræða og mat á áhrifum á persónuvernd hafi þegar farið fram við samþykkt þess lagagrundvallar, þurfi ekki að framkvæma mat á áhrifum á persónuvernd nema aðildarríkin telji það nauðsynlegt. Til þess að þetta undanþáguákvæði eigi við þurfa þær vinnsluaðgerðir sem um ræðir að byggjast á lögum auk þess sem mat á áhrifum á persónuvernd, samkvæmt skilyrðum 35. gr. reglugerðarinnar, þarf að hafa farið fram við undirbúning þeirrar lagasetningar. Það er því ljóst að undanþáguákvæði 10. mgr. 35. gr. reglugerðarinnar á ekki við um umrædda vinnslu.
Í 3. gr. auglýsingar nr. 828/2019 eru taldar upp þær vinnsluaðgerðir sem ávallt krefjast mats á áhrifum á persónuvernd. Í 4. tölul. greinarinnar er nefnd vinnsla persónuupplýsinga í því skyni að leggja mat á m.a. árangur nemenda á öllum menntastigum, s.s. í grunnskólum. Í 8. tölul. er nefnd vinnsla persónuupplýsinga þar sem beitt er nýrri tækni eða eldri tækni á nýjan hátt, samhliða því að vinnslan lúti að a.m.k. einum þeirra flokka sem tilgreindir eru í 2. gr. auglýsingarinnar og eiga þar við í þessu tilviki eftirfarandi flokkar: Mat eða einkunnagjöf/stigagjöf, kerfisbundið eftirlit, viðkvæmar persónuupplýsingar eða aðrar persónuupplýsingar viðkvæms eðlis, umfangsmikil gagnavinnsla, upplýsingar um aðila sem standa höllum fæti og vinnsla þar sem beitt er nýrri tækni eða skipulagslausnum eða eldri tækni beitt á nýjan hátt. Þá er í 9. tölul. 3. gr. auglýsingarinnar nefnd vinnsla persónuupplýsinga í því skyni að leggja með kerfisbundnum hætti mat á færni, hæfni, útkomu í prófum, andlega heilsu og þroska.
Að framangreindu virtu er ljóst að umrædd vinnsla persónuupplýsinga krafðist mats á áhrifum á persónuvernd samkvæmt 4., 8. og 9. tölul. 3. gr. auglýsingar nr. 828/2019, sbr. 2. mgr. 29. gr. laga nr. 90/2018 og 4. mgr. 35. gr. reglugerðarinnar.
4.4.1
Mat á áhrifum á persónuvernd
Ítarleg grein er gerð fyrir matinu sem Reykjavíkurborg framkvæmdi á áhrifum vinnslu persónuupplýsinga í Seesaw-nemendakerfinu á persónuvernd í kafla II. 3.5.1. Í mati á áhrifum á persónuvernd skal meta áhrif fyrirhugaðra vinnsluaðgerða á vernd persónuupplýsinga áður en vinnsla hefst, sbr. 1. mgr. 29. gr. laga nr. 90/2018 og 1. mgr. 35. gr. reglugerðar (ESB) 2016/679. Ábyrgðaraðilar geta notfært sér mismunandi aðferðarfræði við framkvæmd matsins en samkvæmt 84. lið formálsorða reglugerðarinnar ætti einkum að meta uppruna, eðli, sérkenni og alvarleika þeirrar áhættu sem leiðir af vinnsluaðgerðum. Samkvæmt 90. lið formálsorða reglugerðarinnar ætti matið einkum að fela í sér ráðstafanir, verndarráðstafanir og fyrirkomulag sem er ætlað að draga úr þessari áhættu, tryggja vernd persónuupplýsinga og sýna fram á að farið sé að reglugerðinni.
Í mati Reykjavíkurborgar eru fyrirhugaðar vinnsluaðgerðir taldar upp en um frekari lýsingu þeirra vísað á vefsíðu Seesaw. Þá er því lýst hvaða persónuupplýsingar unnið verður með í kerfinu, í hvaða tilgangi og hverjir hinir skráðu eru.
Í kafla matsins um mat á þörf og meðalhóf er ekki fjallað heildstætt um nauðsyn og möguleg áhrif umfangsmikillar söfnunar persónuupplýsinga skólabarna, sem geta verið viðkvæmar og viðkvæms eðli, yfir langan tíma og í kerfi sem rekið er af fyrirtæki á einkamarkaði, á réttindi og frelsi barnanna. Þá er ekki fjallað um það hvort einstaka vinnsluaðgerðir teljist nauðsynlegar með hliðsjón þeirri áhættu.
Í matinu eru taldir upp tilteknir áhættuþættir við vinnsluna, t.d. að skráðar verði í kerfið viðkvæmar persónuupplýsingar, að persónuupplýsingarnar verði aðgengilegar óviðkomandi, að tekið verði skjáskot af myndum, að gögnum verði eytt fyrir slysni eða verði óaðgengileg eða að meðferð og öryggi gagna verði ekki tryggt við breytingar á Seesaw-nemendakerfinu. Lagt er mat á hvort áhrif þessara þátta séu lítil, meðal eða mikil en ekki er gerð nánari grein fyrir því hvaða áhrif það gæti t.d. haft ef verkefni nemenda yrðu aðgengileg óviðkomandi.
Samkvæmt mati Reykjavíkurborgar er hægt að sækja verkefni í Seesaw-nemendakerfið úr Google-umhverfinu og undir fyrirhuguðum vinnsluaðgerðum segir að innskráningarþjónusta þriðja aðila geti fært inn í kerfið upplýsingar, þ.e. nafn, netfang og ljósmynd, og í sviga segir: „ath. einungis G-Suite“. Í fyrirliggjandi vinnsluskrá segir að mögulegt sé að tengja reikninga nemenda í Seesaw-nemendakerfinu við Google-Workplace og samkvæmt fræðsluefni Reykjavíkurborgar um nemendakerfið stofnar kennari bekki í kerfinu og tengir við Google-Classroom. Að mati Persónuverndar hefði þurft að greina í matinu áhættuna af tengingu Seesaw-nemendakerfisins við Google, t.d. ógagnsæja miðlun persónuupplýsinga milli kerfa, og tilgreina hvaða ráðstafanir voru fyrirhugaðar til að draga úr eða koma í veg fyrir þá áhættu.
Einnig segir í matinu að nemendakerfið verði notað í spjaldtölvum sem nemendur fái frá skólanum sínum. Á öðrum stað segir í matinu að samkeyrsla gagna sé í rauntíma ef netsamband sé fyrir hendi en annars vistist gögnin í tækjunum þar til netsamband komist á. Að mati Persónuverndar hefði þurft að greina í matinu áhættuna af tengingu Seesaw-nemendakerfisins við spjaldtölvurnar sem kerfið er notað í, t.d. ógagnsæja miðlun persónuupplýsinga milli kerfa, og tilgreina hvaða ráðstafanir voru fyrirhugaðar til að draga úr eða koma í veg fyrir þá áhættu.
Enn fremur er ekki fjallað um þá áhættu sem stafar af því að Seesaw beini markaðssetningu að foreldrum og forráðamönnum og geti, þegar nemendur ljúka skólagöngu sinni, fengið samþykki foreldra og forráðamanna fyrir því að halda öllum persónuupplýsingum nemendanna inni í kerfinu, þ.m.t. upplýsingum sem börnin setja sjálf inn í kerfið á grundvelli trúnaðarsambands við sinn skóla, og þá jafnvel samkvæmt nýjum skilmálum.
Þá er ekki fjallað um áhættuna af notkun undirvinnsluaðila Seesaw í fyrirliggjandi mati eða um heimild Seesaw til að miðla persónuupplýsingum úr kerfinu til Bandaríkjanna, eins kveðið er á um í vinnsluskilmálum fyrirtækisins. Eins og komið hefur í ljós síðar flytur Seesaw persónuupplýsingar nemenda í grunnskólum Reykjavíkur til Bandaríkjanna og vinnur þær þar. Með hliðsjón af framangreindu ákvæði vinnsluskilmálanna verður að telja að Reykjavíkurborg hafi borið að rannsaka hvort og í hvaða tilvikum Seesaw flytti persónuupplýsingar til Bandaríkjanna og fjalla um öll álitamál í því sambandi í matinu.
Þar sem mikið skortir á að áhættu við vinnsluna sé lýst með fullnægjandi hætti, á það sama við um hvaða ráðstafanir, verndarráðstafanir og fyrirkomulag eigi að draga úr áhættunni, tryggja vernd upplýsinganna og sýna fram á að farið sé að reglugerðinni. Þær ráðstafanir sem tilgreindar eru eiga það flestar sammerkt að vera skipulagslegar ráðstafanir, þ.e. stefnur, áætlanir, verklagsreglur og leiðbeiningar. Hvað tæknilegar ráðstafanir varðar er eingöngu minnst á aðgangsstýringu en þó ekki vikið að tæknilegum útfærslum hennar, svo sem kröfum til lykilorða.
Einnig vekur athygli að í matinu er hvergi tekin efnisleg afstaða til þeirra öryggisráðstafana sem eru viðhafðar af hálfu Seesaw. Sem dæmi er tilgreind áhætta af meðferð og öryggi gagna við breytingar á nemendakerfinu og segir þar við að aðgerð samþykkt sé „Tryggt með vinnslusamningum“ án þess þó að tekin sé efnisleg afstaða til þess hvernig öryggi sé tryggt með tilgreindum vinnslusamningi. Þá kemur ekkert fram í matinu um það hvort og hvernig Reykjavíkurborg hyggst sinna eftirliti með breytingum á upplýsingaöryggi hjá Seesaw.
Með hliðsjón af framangreindu verður fyrirliggjandi mat að teljast svo verulegum ágöllum háð að það standist ekki lágmarkskröfur 1. mgr. 35. gr. reglugerðarinnar, sbr. 1. mgr. 29. gr. laga nr. 90/2018.
4.4.2
Viðeigandi öryggisráðstafanir
Það heyrir undir ábyrgðarskyldu ábyrgðaraðila að tryggja öryggi persónuupplýsinga, sbr. 6. tölul. 1. mgr. 8. gr. og 24. gr. laga nr. 90/2018 og f-lið 1. mgr. 5. gr. og 1. mgr. 24. gr. reglugerðar (ESB) 2016/679.
Þegar ábyrgðaraðili ákveður að fela vinnsluaðila að vinna fyrir sig persónuupplýsingar skal ábyrgðaraðilinn einungis leita til vinnsluaðila sem veita nægilegar tryggingar fyrir því að þeir geri viðeigandi tæknilegar og skipulagslegar ráðstafanir til að vinnslan uppfylli kröfur reglugerðarinnar og að vernd réttinda skráðra einstaklinga sé tryggð, sbr. 1. mgr. 25. gr. laga nr. 90/2018 og 1. mgr. 28. gr. reglugerðarinnar.
Samkvæmt framangreindum ákvæðum ber ábyrgðaraðila að taka skýra afstöðu til öryggisráðstafana sem viðhafðar eru hjá vinnsluaðila áður en ákveðið er að fela honum vinnslu persónuupplýsinga.
Samkvæmt fyrirliggjandi vinnsluskrá, mati á áhrifum á persónuvernd og svörum Reykjavíkurborgar fela öryggisráðstafanir sveitarfélagsins vegna umræddrar vinnslu í sér aðgangsstýringu, rýni kennara á því efni sem sett er í kerfið, fræðslu, leiðbeiningar o.þ.h. Er þar fyrst og fremst um skipulagslegar ráðstafanir að ræða, sem ekki eru einar og sér fullnægjandi, sbr. 1. mgr. 32. gr. reglugerðarinnar.
Samkvæmt þeim gögnum sem liggja fyrir í málinu hefur Reykjavíkurborg ekki gefið Seesaw nein fyrirmæli sem lúta að tæknilegum öryggisráðstöfunum í nemendakerfinu, t.d. um hvaða öryggisstig sé eðlilegt að viðhafa.
Í svörum Reykjavíkurborgar er vísað til vinnsluskilmála Seesaw hvað varðar tryggingu fyrir öryggi persónuupplýsinga í nemendakerfinu. Er það helst nefnt, í því sambandi, að með því að greiða fyrir notkun kerfisins hafi verið tryggt að gögn séu vistuð innan Evrópska efnahagssvæðisins. Sem fyrr segir tekur Reykjavíkurborg ekki efnislega afstöðu til öryggisráðstafana sem viðhafðar eru hjá Seesaw í mati á áhrifum á persónuvernd vegna umræddrar vinnslu. Þá bera önnur gögn málsins ekki með sér að það hafi verið gert af hálfu Reykjavíkurborgar.
Í vinnsluskilmálum Seesaw eru ekki ákvæði um tilteknar öryggisráðstafanir heldur skuldbindur Seesaw sig til að viðhafa tæknilegar og skipulagslegar ráðstafanir til að verja persónuupplýsingar í kerfinu. Í skilmálunum er svo hlekkur sem leiðir á vefsíðu Seesaw með fræðslu um hvernig fyrirtækið styðji við öryggi persónuupplýsinga nemenda. Í skilmálunum segir einnig að viðskiptavinir fyrirtækisins séu ábyrgir fyrir að kynna sér upplýsingar Seesaw um upplýsingaöryggi og taka sjálfstæða ákvörðun um hvort þjónusta fyrirtækisins uppfyllir kröfur viðskiptavinarins og lagalegar skyldur samkvæmt persónuverndarlögum.
Í vinnsluskilmálunum segir jafnframt að Seesaw megi nota undirvinnsluaðila en ekki liggja fyrir gögn um upplýsingaöryggi hjá þeim aðilum eða afstaða Reykjavíkurborgar þar að lútandi.
Þá segir í vinnsluskilmálunum að Seesaw megi miðla persónuupplýsingum viðskiptavina sinna til Bandaríkjanna og vinna þær þar, að því gefnu að öryggi þeirra sé tryggt. Líkt og að framan greinir hefur Seesaw staðfest að það flytji persónuupplýsingar nemenda í grunnskólum Reykjavíkur til Bandaríkjanna og vinni þær þar. Ekki liggja fyrir upplýsingar um hvernig öryggi er þá háttað að öðru leyti en því að samkvæmt upplýsingum á vefsíðu Seesaw, sbr. kafla II. 3.5.2, notar fyrirtækið stöðluð samningsákvæði („SCCs“), um söfnun, notkun og varðveislu persónuupplýsinga sem fluttar eru frá Evrópusambandinu, Bretlandi og Sviss til Bandaríkjanna. Notkun staðlaðra samningsákvæða fela þó ekki í sér að ábyrgðaraðilar geti komið sér undan því að taka afstöðu til þess hvort öryggi við meðferð persónuupplýsinga sé tryggt við flutning þeirra milli landa, sbr. kafla III. 5 hér á eftir.
Hvað varðar upplýsingaöryggi hjá Seesaw vísast að öðru leyti til umfjöllunar í kafla II. 3.5.2 um þær upplýsingar sem koma fram á vefsíðu Seesaw, sem vísað er til í vinnsluskilmálum fyrirtækisins. Að mati Persónuverndar gefa þessar upplýsingar til kynna að upplýsingaöryggi sé fullnægjandi hjá Seesaw, sbr. sérstaklega 1. mgr. 32. gr. reglugerðarinnar, en Persónuvernd áréttar jafnframt að það er hlutverk Reykjavíkurborgar að taka afstöðu hvað það varðar.
Einnig verður að hafa í huga að framangreindar öryggisráðstafanir Seesaw eru ekki hluti af þeim skilmálum sem Reykjavíkurborg vísar til sem vinnslusamnings við Seesaw. Samkvæmt vefsíðunni eru þessar upplýsingar settar fram sem fræðsla og verður að ætla að Seesaw geti einhliða ákveðið hvaða öryggisráðstafanir fyrirtækið telur fullnægja almennum ákvæðum skilmálanna hverju sinni. Er það í samræmi við ákvæði vinnsluskilmálanna þar sem segir að viðskiptavinir Seesaw viðurkenni að öryggisráðstafanir fyrirtækisins séu háðar tækniframförum og þróun og að Seesaw kunni að uppfæra eða breyta öryggisráðstöfunum frá einum tíma til annars að því tilskildu að slíkar uppfærslur leiði ekki til skerðingar heildaröryggis þjónustunnar. Breytingar á öryggisráðstöfunum fyrirtækisins eru því ekki háðar samþykki viðskiptavinanna og líkt og fram hefur komið hefur Reykjavíkurborg ekki skjalfest hvernig sveitarfélagið hyggst sinna reglubundnu eftirliti með slíkum breytingum.
Að öllu framangreindu virtu hefur Reykjavíkurborg ekki sýnt fram á að hafa fullnægt ábyrgðarskyldum sínum sem lúta að því að tryggja öryggi við vinnslu persónuupplýsinga í Seesaw-nemendakerfinu, sbr. 6. tölul. 1. mgr. 8. gr., 24. gr., 1. mgr. 25. gr. og 1. mgr. 27. gr. laga nr. 90/2018 og f-lið 1. mgr. 5. gr., 1. mgr. 24. gr., 1. mgr. 28. gr. og 1. mgr. 32. gr. reglugerðarinnar, sbr. og 2. mgr. 8. gr. laganna og 2. mgr. 5. gr. reglugerðarinnar.
Miðlun persónuupplýsinga til þriðja lands
Við meðferð málsins hefur komið í ljós að Seesaw flytur persónuupplýsingar nemenda í grunnskólum Reykjavíkur til Bandaríkjanna og vinnur þær þar, þrátt fyrir að hafa skuldbundið sig gagnvart Reykjavíkurborg til að vista gögn innan EES.
Þegar hefur verið komist að þeirri niðurstöðu að ákvæði í vinnsluskilmálum Seesaw, þess efnis að fyrirtækið megi miðla persónuupplýsingum viðskiptavina sinna til Bandaríkjanna og vinna þær þar, að því gefnu að öryggi þeirra sé tryggt, hafi gefið Reykjavíkurborg tilefni til að rannsaka hvort og í hvaða tilvikum Seesaw flytti persónuupplýsingar til Bandaríkjanna og fjalla um öll álitamál í því sambandi í matinu.
Samkvæmt 1. mgr. 30. gr. reglugerðar (ESB) 2016/679 hefði einnig þurft að greina frá mögulegri miðlun persónuupplýsinga til Bandaríkjanna í vinnsluskrá vegna umræddrar vinnslu, sbr. 1. mgr. 26. gr. laga nr. 90/2018.
Þegar miðla á persónuupplýsingum sem eru í vinnslu til þriðja lands, þ.e. lands utan Evrópska efnahagssvæðisins, ber að fara að ákvæðum V. kafla reglugerðarinnar, sem ætlað er að tryggja fullnægjandi vernd við miðlun persónuupplýsinga til þriðju landa eða alþjóðastofnana. Eru þau ákvæði sett með það í huga að við miðlun persónuupplýsinga til þeirra ríkja, þar sem persónuverndarreglugerðin (ESB) 2016/679 hefur ekki gildi, megi ekki grafa undan þeirri vernd sem reglugerðinni er ætlað að tryggja. Þegar meta á hvort gerðar hafa verið viðeigandi verndarráðstafanir vegna flutnings persónuupplýsinga til þriðju landa þarf því að huga að aðstæðum og lagaumhverfi í þeim löndum, sér í lagi hvað varðar persónuvernd. Í þessu sambandi var í dómi Evrópudómstólsins frá 16. júlí 2020 í máli nr. C-311/18 (Schrems II) sérstaklega nefnt að í Bandaríkjunum hafa eftirlitsstofnanir víðtækar heimildir, samkvæmt lögum, til að nota persónuupplýsingar sem fluttar eru frá Evrópusambandinu til Bandaríkjanna án þess að þurfa að gæta að persónuvernd einstaklinga.
Í tilmælum Evrópska persónuverndarráðsins frá 18. júní 2020 nr. 1/2020 um ráðstafanir til flutnings persónuupplýsinga úr landi (e. Recommendations on measures that supplement transfer tools to ensure compliance with EU level of protection of personal data) eru nánari upplýsingar um hvers ábyrgðaraðilum ber að gæta að við flutning persónuupplýsinga til þriðju landa, m.a. með hliðsjón af framangreindum dómi Evrópudómstólsins. Samkvæmt tilmælunum er ekki fullnægjandi að styðjast eingöngu við stöðluð samningsákvæði um flutning persónuupplýsinga til þriðju landa, með vísan til 46. gr. reglugerðarinnar, heldur ber ábyrgðaraðilum einnig að taka afstöðu til slíkra samningsákvæða og, eftir atvikum, gera viðeigandi ráðstafanir vegna flutningsins sem taka tillit til aðstæðna í því landi sem um ræðir, t.d. að dulkóða gögn eða annað sambærilegt, eða sjá til þess að vinnsluaðili hafi gert slíkt hið sama.
Að öllu þessu virtu verður að telja að Reykjavíkurborg hafi, áður en vinnsla hófst í nemendakerfinu, borið að sjá til þess að flutningur persónuupplýsinga nemenda til Bandaríkjanna byggðist á fullnægjandi samningi sem tæki tillit til aðstæðna þar í landi.
6.
Samantekt niðurstöðu – fyrirmæli og leiðbeiningar
Persónuvernd hefur komist að þeirri niðurstöðu að vinnsla persónuupplýsinga skólabarna í Seesaw-nemendakerfinu á vegum Reykjavíkurborgar hafi ekki verið í samræmi við ákvæði persónuverndarlöggjafarinnar.
Í fyrsta lagi hafi Reykjavíkurborg ekki gert fullnægjandi vinnslusamning við Seesaw og, eftir atvikum, samkomulag um sameiginlega ábyrgð þeirra, sbr. 23. gr. og 3. mgr. 25. gr. laga nr. 90/2018 og 1. og 2. mgr. 26. gr. og 3. mgr. 28. gr. reglugerðar (ESB) 2016/679. Þar sem ekki hafi legið skýrt fyrir hvor aðilanna bar ábyrgð á vinnslu annálagagna um notkun og í ljósi þess að fyrirliggjandi vinnslusamningur var ekki aðgengilegur hinum skráðu á íslensku, hafi Reykjavíkurborg enn fremur ekki fullnægt ábyrgðarskyldu sinni samkvæmt 1. tölul. 1. mgr. 8. gr. laganna og a-lið 1. mgr. 5. gr. reglugerðarinnar, sem kveður á um að persónuupplýsingar skuli unnar með gagnsæjum hætti gagnvart hinum skráða.
Í öðru lagi hafi Reykjavíkurborg ekki byggt vinnslu persónuupplýsinga í Seesaw-nemendakerfinu á fullnægjandi heimild samkvæmt 9. gr. laga nr. 90/2018 og 1. mgr. 6. gr. reglugerðarinnar.
Í þriðja lagi hafi Reykjavíkurborg ekki uppfyllt ábyrgðarskyldur sínar samkvæmt 2., 3. og 5. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og b-, c- og e-liðum 1. mgr. 5. gr. reglugerðarinnar, sem kveða á um að persónuupplýsingar skuli fengnar í skýrt tilgreindum og lögmætum tilgangi og ekki unnar frekar í ósamrýmanlegum tilgangi, að þær séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar og að ekki sé unnt að bera kennsl á skráða einstaklinga lengur en þörf krefur miðað við tilgang vinnslunnar, og að ekki hafi verið farið kröfum 24. gr. laga nr. 90/2018 og 1. og 2. mgr. 25. gr. reglugerðarinnar um innbyggða og sjálfgefna persónuvernd.
Í fjórða lagi hafi Reykjavíkurborg ekki uppfyllt ábyrgðarskyldur sínar samkvæmt 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og a-lið 1. mgr. 5. gr. reglugerðarinnar, sem kveða á um að persónuupplýsingar skuli unnar með sanngjörnum og gagnsæjum hætti, og ekki uppfyllt fræðsluskyldu sína samkvæmt 1. og 2. mgr. 13. gr. reglugerðarinnar, sbr. 1. mgr. 17. gr. laga nr. 90/2018.
Í fimmta lagi hafi mat á áhrifum á persónuvernd sem Reykjavíkurborg gerði vegna vinnslunnar ekki staðist lágmarkskröfur 1. mgr. 35. gr. reglugerðarinnar, sbr. 1. mgr. 29. gr. laga nr. 90/2018.
Í sjötta lagi hafi Reykjavíkurborg ekki sýnt fram á að hafa fullnægt ábyrgðarskyldum sínum sem lúta að því að tryggja öryggi við vinnslu persónuupplýsinga í Seesaw-nemendakerfinu, sbr. 6. tölul. 1. mgr. 8. gr., 24. gr., 1. mgr. 25. gr. og 1. mgr. 27. gr. laga nr. 90/2018 og f-lið 1. mgr. 5. gr., 1. mgr. 24. gr., 1. mgr. 28. gr. og 1. mgr. 32. gr. reglugerðarinnar, sbr. og 2. mgr. 8. gr. laganna og 2. mgr. 5. gr. reglugerðarinnar.
Í sjöunda lagi hafi Reykjavíkurborg ekki tryggt öruggan flutning persónuupplýsinga til Bandaríkjanna, sbr. 46. gr. reglugerðarinnar.
Með hliðsjón af eðli og umfangi brota Reykjavíkurborgar, sem og að teknu tilliti til þess að hinir skráðu eru börn, eðlis þeirra upplýsinga sem um ræðir og umfangs vinnslunnar, og með vísan til 6. og 7. tölul. 42. gr. laga nr. 90/2018, er óhjákvæmilegt að leggja fyrir Reykjavíkurborg að loka reikningum skólabarna í Seesaw og sjá til þess að öllum persónuupplýsingum þeirra verði eytt úr kerfinu en þó ekki áður en tekin hafa verið afrit af upplýsingunum til að afhenda börnunum eða, eftir atvikum, til varðveislu í skólunum. Að mati Persónuverndar verður persónuvernd barnanna ekki tryggð með öðrum hætti.
Staðfesting á því að farið hafi verið að þessum fyrirmælum skal berast Persónuvernd eigi síðar en 20. janúar 2022.
Með hliðsjón af framangreindri niðurstöðu getur umrædd vinnsla persónuupplýsinga einnig varðað sektum samkvæmt 1. tölul. 2. mgr. og 1., 2. og 3. tölul. 3. mgr. 46. gr. laga nr. 90/2018. Mun Persónuvernd taka það til sérstakrar skoðunar hvort leggja eigi sekt á Reykjavíkurborg vegna brota á reglugerð (ESB) 2016/679 samkvæmt þessari ákvörðun og verður sveitarfélaginu veittur sérstakur andmælaréttur þar að lútandi.
---
Þegar sveitarfélög taka í notkun upplýsingatæknikerfi til að vinna með persónuupplýsingar barna beinir Persónuvernd þeim leiðbeiningum til þeirra að fara að kröfum persónuverndarlöggjafarinnar og gera m.a. eftirfarandi:
1. Skilgreina í upphafi og skjalfesta tilgang vinnslu persónuupplýsinga, sem þarf að vera skýr og afmarkaður fyrir hverja vinnsluaðgerð, og leggi heildstætt mat á hvort vinnslan er nauðsynleg í þeim tilgangi. Er t.d. nóg að nota upplýsingatæknikerfi með þeim hætti að kennarar geti miðlað kennsluefni til nemenda?
2. Tryggja að persónuverndarfulltrúi komi að málinu tímanlega og með viðeigandi hætti.
3. Ákveða og skjalfesta á hvaða heimild vinnslan byggist.
4. Gera ítarlega vinnsluskrá.
5. Tryggja að það upplýsingatæknikerfi sem verður fyrir valinu vinni ekki annálagögn eða önnur lýsigögn, hvorki nemenda né foreldra þeirra eða forráðamanna, í þágu markaðssetningar eða við gerð persónusniðs, eftir atvikum með sjálfgefnum stillingum.
6. Leitast við að tryggja að persónuupplýsingar séu varðveittar innan Evrópska efnahagssvæðisins og, ef flytja skal persónuupplýsingar út fyrir Evrópska efnahagssvæðið í einhverjum tilvikum, að fylgt sé tilmælum Evrópska persónuverndarráðsins frá 18. júní 2020 nr. 1/2020 um ráðstafanir vegna flutnings persónuupplýsinga úr landi (e. Recommendations on measures that supplement transfer tools to ensure compliance with EU level of protection of personal data), þ. á m. að gerðir séu fullnægjandi samningar um flutninginn sem taka tillit til aðstæðna í því landi sem um ræðir.
7. Framkvæma mat á áhrifum á persónuvernd, í samráði við persónuverndarfulltrúa, þar sem m.a. eftirfarandi er metið:
i. Nauðsyn hverrar vinnsluaðgerðar og þar með hvaða persónuupplýsingar nauðsynlegt sé að vinna með í skilgreindum tilgangi.
ii. Áhætta af vinnslunni fyrir persónuvernd skráðra einstaklinga, bæði vinnslunni í heild og hverri einstakri vinnsluaðgerð. Greina ætti uppruna, eðli, sérkenni og alvarleika áhættunnar. Í því felst ekki eingöngu að greina hvað getur komið upp á heldur hvaða áhrif vinnslan getur haft á hina skráðu þrátt fyrir að ekkert kæmi upp á sem og ef eitthvað kemur upp á.
iii. Hvaða ráðstafanir fyrirhugað er að grípa til gegn þeirri áhættu, þ. á m.:
a. Hvaða tæknilegu og skipulagslegu ráðstafanir eru nauðsynlegar til að tryggja innbyggða og sjálfgefna persónuvernd þannig að meginreglum persónuverndarlöggjafarinnar sé ávallt fullnægt.
b. Hvaða tæknilegu og skipulagslegu ráðstafanir eru nauðsynlegar til að tryggja öryggi persónuupplýsinga.
iv. Tæknilegar og skipulagslegar öryggisráðstafanir vinnsluaðila og/eða sameiginlegs ábyrgðaraðila.
8. Leita, eftir atvikum, eftir áliti nemenda, foreldra og forráðamanna við gerð mats á áhrifum á persónuvernd.
9. Tryggja raunverulegan andmælarétt vegna vinnslu sem byggist á 5. tölul. 9. gr. laga nr. 90/2018 og e-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, sbr. 1. mgr. 21. gr. laganna og 1. mgr. 21. gr. reglugerðarinnar. Í því felst að vera með aðrar raunhæfar lausnir í boði fyrir þá nemendur sem ekki vilja nota tiltekið upplýsingatæknikerfi.
10. Gera fullnægjandi vinnslusamning við vinnsluaðila og eftir atvikum samkomulag sem lýtur að sameiginlegri ábyrgð.
11. Veita skráðum einstaklingum (nemendum, foreldrum og forráðamönnum) fræðslu samkvæmt ítrustu kröfum 1. og 2. mgr. 13. gr. reglugerðarinnar. Það felur einnig í sér að veita fræðslu í hvert sinn sem t.d. skilmálar vinnsluaðila eða öryggisráðstafanir breytast.
12. Tryggja ávallt lágmörkun gagna skólabarna í upplýsingatæknikerfum. Það felur í sér að gögnum sé eytt um leið og vistun þeirra er ekki lengur í samræmi við skilgreindan tilgang. Ef ekki er hægt að tryggja eyðingu gagna þá þegar þurfa sveitarfélög að skjalfesta rökin fyrir þörf á lengri vistun, t.d. ef tilefni er til að vista verkefni nemenda til lok annar.
13. Framkvæma eða láta framkvæma reglulegar úttektir á vinnsluaðila.
14. Endurskoða mat á áhrifum á persónuvernd reglulega og meta hvort unnið er í samræmi við það og hvort tilefni er til að framkvæma nýtt mat, t.d. ef breyting verður á þeirri áhættu sem fylgir einstökum vinnsluaðgerðum eða á upplýsingaöryggi hjá vinnsluaðila.
Á k v ö r ð u n a r o r ð:
Vinnsla persónuupplýsinga skólabarna í Seesaw-nemendakerfinu á vegum Reykjavíkurborgar samrýmist ekki lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerð (ESB) 2016/679.
Lagt er fyrir Reykjavíkurborg að loka reikningum skólabarna í Seesaw og sjá til þess að öllum persónuupplýsingum þeirra verði eytt úr kerfinu en þó ekki áður en tekin hafa verið afrit af upplýsingunum til að afhenda börnunum eða, eftir atvikum, til varðveislu í skólunum.
Staðfesting á því að farið hafi verið að þessum fyrirmælum skal berast Persónuvernd eigi síðar en 20. janúar 2022.
Í Persónuvernd, 16. desember 2021
Ólafur Garðarsson formaður
Björn Geirsson Sindri M. Stephensen
Vilhelmína Haraldsdóttir Þorvarður Kári Ólafsson