06.12.2023
Úttekt á notkun Garðabæjar á skýjalausn Google í grunnskólastarfi
Mál númer 2022020418
Persónuupplýsingar barna njóta sérstakrar verndar. Þegar nota á upplýsingatæknikerfi í grunnskólastarfi er mikilvægt að hugað sé að þeirri vernd og farið að kröfum persónuverndarlöggjafarinnar til hins ýtrasta.
Í þessu máli notuðu grunnskólar Garðabæjar upplýsingatæknikerfi án þess að gætt væri að kröfum persónuverndarlöggjafarinnar. Úttekt Persónuverndar á notkun kerfisins leiddi í ljós margvísleg brot sveitarfélagsins á löggjöfinni.
----
Persónuvernd hefur lagt fyrir Garðabæ að færa vinnslu persónuupplýsinga grunnskólanemenda í nemendakerfi Google, Google Workspace for Education, til samræmis við persónuverndarlöggjöfina. Að auki hefur 2.500.000 króna stjórnvaldssekt verið lögð á Garðabæ.
Úttektin var ein af fimm úttektum sem Persónuvernd gerði á notkun skýjaþjónustu í grunnskólastarfi hjá stærri sveitarfélögum landsins. Voru þær þáttur í víðtækara verkefni sem unnið var að frumkvæði Evrópska persónuverndarráðsins. Úttektir Persónuverndar lutu að því hvernig persónuupplýsingar grunnskólanemenda sveitarfélaganna voru unnar í Google-nemendakerfinu. Leiddu úttektirnar í ljós að Google vinnur persónuupplýsingar grunnskólanemenda umfram fyrirmæli sveitarfélaganna og þótti ekki sýnt fram á að sú vinnsla rúmaðist innan þess tilgangs sem sveitarfélögin hafa skilgreint fyrir vinnslu persónuupplýsinga í nemendakerfinu.
Niðurstaða Persónuverndar var að um væri að ræða margvísleg brot Garðabæjar á persónuverndarlöggjöfinni með notkun nemendakerfisins. Þótti Garðabær ekki hafa uppfyllt ábyrgðarskyldur sínar þegar lagt var mat á og tekin ákvörðun um að nota Google sem vinnsluaðila og vinnslusamningur við Google uppfyllti ekki öll skilyrði persónuverndarlöggjafarinnar. Að auki uppfyllti Garðabær ekki ábyrgðarskyldur sínar sem lúta að því að persónuupplýsingar grunnskólanemenda skulu ekki unnar í öðrum og ósamrýmanlegum tilgangi en þeim sem sveitarfélagið hefur tilgreint fyrir vinnslunni. Enn fremur sinnti Garðabær ekki skyldum sínum sem lúta að geymslutakmörkun, lágmörkun gagna og innbyggðri og sjálfgefinni persónuvernd. Þá uppfyllti mat Garðabæjar á áhrifum á persónuvernd vegna vinnslunnar ekki lágmarkskröfur persónuverndarreglugerðarinnar. Garðabær tryggði jafnframt ekki öruggan flutning persónuupplýsinga til Bandaríkjanna fram til 10. júní sl. þegar jafngildisákvörðun varðandi flutning persónuupplýsinga frá Evrópu til Bandaríkjanna var samþykkt.
Við ákvörðun um sekt var m.a. litið til þess að brot Garðabæjar vörðuðu persónuupplýsingar barna sem njóta sérstakrar verndar samkvæmt persónuverndarlöggjöfinni, upplýsingar um hrein einkamálefni barna voru skráðar í nemendakerfið og líkur þóttu á að skráðar væru í kerfið viðkvæmar persónuupplýsingar þeirra. Þá var horft til þess að áhætta fylgdi því að persónuupplýsingar væru fluttar til Bandaríkjanna og unnar þar án þess að gripið hefði verið til viðeigandi verndarráðstafana. Á hinn bóginn var einnig litið til þess að ekkert tjón virtist hafa orðið vegna brotanna, Garðabær svaraði erindum Persónuverndar við meðferð málsins með skýrum og greinargóðum hætti og endurskoðaði mat á áhrifum á persónuvernd vegna vinnslunnar og verklag í tengslum við varðveislutíma persónuupplýsinga á meðan á úttektinni stóð.
Ákvörðun
vegna úttektar á notkun Garðabæjar á skýjalausn Google í grunnskólastarfi í máli nr. 2022020418:
I.
Málsmeðferð og afmörkun máls
Með bréfi Persónuverndar til Garðabæjar 25. febrúar 2022 var boðuð úttekt stofnunarinnar á notkun sveitarfélagsins á skýjaþjónustu (e. cloud based services) í grunnskólastarfi. Úttektin var þáttur í víðtækara verkefni sem unnið var að frumkvæði Evrópska persónuverndarráðsins (hér eftir EDPB) þar sem aðildarríki ráðsins sinna sameiginlegum viðfangsefnum á samræmdan hátt. EDPB setti notkun opinberra aðila á skýjaþjónustu í forgang árið 2022 og af því tilefni ákvað Persónuvernd að beina úttektum að stærri sveitarfélögum landsins og notkun þeirra á skýjaþjónustu í grunnskólastarfi.
Framangreind ákvörðun var einnig tekin með hliðsjón af stefnu Persónuverndar í úttektum og frumkvæðisathugunum fyrir árið 2022. Samkvæmt stefnunni var vinnsla persónuupplýsinga barna í hvers kyns snjalllausnum og hugbúnaðarkerfum í forgangi á því ári en auk þess leggur Persónuvernd ávallt áherslu á persónuvernd barna með hliðsjón af því að persónuupplýsingar þeirra njóta sérstakrar verndar samkvæmt persónuverndarlöggjöfinni. Jafnframt var litið til niðurstöðu frumkvæðisathugunar stofnunarinnar í máli nr. 2021040879, þar sem athuguð var innleiðing skýjalausnar Seesaw Learning Inc. (hér eftir Seesaw) í grunnskólum Reykjavíkurborgar og komist að þeirri niðurstöðu að hún hefði ekki verið í samræmi við persónuverndarlöggjöfina.
Úttektin var framkvæmd með þeim hætti að Persónuvernd sendi Garðabæ spurningalista, með tölvupósti 25. febrúar 2022, sem laut að persónuverndarsjónarmiðum varðandi val og notkun á skýjaþjónustu í grunnskólastarfi. Svör Garðabæjar, ásamt fylgigögnum, bárust 29. apríl s.á.
Með bréfi 19. maí 2022 tilkynnti Persónuvernd Garðabæ að úttektin yrði afmörkuð við notkun sveitarfélagsins á skýjalausn Google, Google Workspace for Education, í grunnskólastarfi (hér eftir Google-nemendakerfið). Af því tilefni óskaði Persónuvernd frekari upplýsinga og gagna. Svör Garðabæjar, ásamt fylgigögnum, bárust 17. júní s.á. Með hliðsjón af þeim svörum óskaði Persónuvernd jafnframt frekari upplýsinga, með bréfum til sveitarfélagsins 4. ágúst s.á. og 16. janúar 2023. Svör Garðabæjar bárust 8. september 2022 og 7. febrúar 2023.
Í framangreindum bréfum hefur Persónuvernd einkum óskað upplýsinga og gagna sem lúta að:
1. Vinnsluskrá.
2. Vinnslusamningi við Google og öðrum samningum um þjónustuna.
3. Fyrirmælum sem Garðabær hefur gefið Google vegna vinnslunnar.
4. Vinnsluheimild.
5. Mati á áhrifum á persónuvernd.
6. Viðbótarverndarráðstöfunum í tengslum við mögulega miðlun persónuupplýsinga til Bandaríkjanna.
Með bréfi 10. júlí 2023 sendi Persónuvernd Garðabæ skýrslu um úttektina þar sem gerð var grein fyrir niðurstöðum yfirferðar stofnunarinnar á gögnum málsins. Garðabæ var veitt færi á að koma á framfæri athugasemdum við efni skýrslunnar. Að auki var Garðabæ veitt færi á að koma á framfæri athugasemdum vegna mögulegra fyrirmæla Persónuverndar og álagningar stjórnvaldssektar. Með bréfi 31. s.m. óskaði Garðabær nánari upplýsinga og skýringa varðandi tiltekin atriði í skýrslu Persónuverndar. Persónuvernd svaraði með bréfi 30. ágúst s.á. Athugasemdir Garðabæjar við úttektarskýrslu Persónuverndar og andmæli vegna mögulegra fyrirmæla og álagningar stjórnvaldssektar, ásamt fylgigögnum, bárust 15. september s.á.
Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi ákvörðun.
II.
Helstu gögn málsins
1.
Vinnsluskrá
Með svörum Garðabæjar fylgdi vinnsluskrá vegna vinnslu persónuupplýsinga í Google-nemendakerfinu. Samkvæmt vinnsluskránni er unnið með eftirfarandi persónuupplýsingar um nemendur í kerfinu í tilgreindum tilgangi:
1. Stofnun á aðgangi nemenda: Nöfn og netföng nemenda. Tilgangur er að nemendur fái aðgang að Google-nemendakerfinu til að geta unnið og skilað verkefnum.
2. Skráning foreldra og forsjáraðila: Fram kemur að líkja megi skráningu foreldra og forsjáraðila við áskrift að póstlista, þ.e. þeir hafi ekki aðgang að kerfinu en fái tilkynningar um framvindu verkefna í tölvupósti. Tilgangur er að foreldrar og forráðamenn geti fylgst með verkefnaskilum barna sinna og fengið skilaboð frá kennara um heimanám og annað sem varðar skólastarfið.
3. Skólastofa (e. Google Classroom) stofnuð: Nöfn og netföng nemenda. Í vinnsluskránni segir að kennari útbúi stafræna kennslustofu utan um hóp nemenda og bjóði þeim aðgang að henni. Í kennslustofunni sé hægt að senda nemendum verkefni og fylgjast með framvindu þeirra. Einnig sé hægt að setja inn tilkynningar, spurningar og hlekki á vefsíður, ásamt fjölmörgu öðru. Tilgangur er að halda utan um námsgögn og verkefni á aðgengilegan hátt, kenna nemendum að nýta sér upplýsingatækni í skólastarfi og uppfylla kröfur aðalnámskrár.
4. Skólaverkefni í Google-nemendakerfinu: Nöfn, netföng og IP-tölur nemenda. Fram kemur að skólaverkefni séu meðal annars útbúin í Google Docs, Google Sheets, Google Slides, Google Forms og Google Sites. Viðfangaefni verkefna varði almennt ekki persónulega hagi nemenda og nemendur fái leiðbeiningar um að skrá ekki persónuupplýsingar. Leyfilegt sé að setja inn endurgjöf/leiðsagnarmat fyrir nemendur eða leiðbeiningar varðandi verkefnaskil. Nemendur geymi verkefni sín inni á Google Drive. Tilgangur er að halda utan um námsgögn og verkefni á aðgengilegan hátt, kenna börnum að nýta sér upplýsingatækni í skólastarfi og uppfylla kröfur aðalnámskrár.
5. Lokun á aðgangi nemenda og afskráning foreldra: Nöfn og netföng nemenda og netföng forráðamanna. Tilgangur er að loka aðgangi við lok náms í skólanum.
2.
Mat á áhrifum á persónuvernd
Hér verður gerð grein fyrir því helsta sem fram kemur í mati Garðabæjar á áhrifum á persónuvernd, vegna umræddrar vinnslu persónuupplýsinga. Matið fylgdi með svörum Garðabæjar 16. júní 2022 en er ódagsett.
Í matinu er lýsing á vinnsluaðgerðum. Greint er frá því að aðgangur sé stofnaður að nemendakerfinu fyrir kennara og nemendur. Skráðar séu upplýsingar um nöfn nemenda, árgang og netföng. Einnig bjóði lausnin upp á skráningu foreldra og forsjáraðila sem fái þá tilkynningar um framvindu verkefna. Þá er því lýst að rafræn kennslustofa (e. Google Classroom) sé útbúin af kennara sem nemendur fái aðgang að. Í kennslustofunni sé meðal annars mögulegt að setja inn tilkynningar, senda nemendum verkefni og fylgjast með framvindu þeirra. Því er einnig lýst að skólaverkefni nemenda séu ýmist útbúin í Google Docs, Google Sheets, Google Slides, Google Forms, Google Sites o.fl. Fram kemur að verkefnin séu margvísleg og tengist hæfnisviðmiðum úr aðalnámskrá grunnskólanna. Nemendum sé leiðbeint um að skrá engar viðkvæmar persónugreinanlegar upplýsingar í verkefni sín. Kennara sé heimilt að setja inn endurgjöf og leiðsagnarmat fyrir nemendur. Hins vegar sé ekki heimilt að setja inn einkunnir nemenda, þ. á m. lokamat og samantektarlista. Ekki sé leyfilegt að hlaða upp myndum eða myndböndum af nemendum án samþykkis foreldra eða forráðamanna en kallað sé eftir slíku samþykki þegar nemandi hefji nám við skólann. Í lýsingu matsins á lokun á aðgangi nemenda og kennara og afskráningu foreldra segir að útskriftarnemendur fái leiðbeiningar um hvernig þeir geta fært gögnin sín yfir á sitt persónulega Google netfang í lok skólaárs með Google Takeout.
Í mati Garðabæjar er einnig lýsing á tilgangi og lögmæti vinnslunnar. Þar segir að vinnslan byggist á 5. tölul. 1. mgr. 9. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga þar sem hún sé nauðsynleg vegna verks sem unnið er í þágu almannahagsmuna eða við beitingu opinbers valds sem sveitarfélagið fer með. Vísað til þess að tilgangur vinnslunnar sé einkum að halda utan um námsgögn og verkefni á aðgengilegan hátt, kenna börnum að nýta upplýsingatækni í skólastarfi og að uppfylla kröfur aðalnámskrár.
Hvað varðar mat á því hvort vinnsluaðgerðir eru nauðsynlegar og hóflegar segir að vinnsla persónuupplýsinga sé nauðsynleg til að nemendur hafi aðgang að Google-nemendakerfinu. Við stofnun aðgangs að kerfinu séu persónuupplýsingar takmarkaðar við nafn, notendanafn og netfang. Eingöngu kennarar hafi aðgang að verkefnum nemenda í Google-nemendakerfinu og um sé að ræða hefðbundin verkefni sem unnin séu samkvæmt aðalnámskrá grunnskóla. Hvað varðar varðveislu upplýsinga segir að persónuupplýsingar nemenda séu varðveittar í þrjá mánuði eftir að skólagöngu þeirra ljúki. Google gefi sér síðan 180 daga til að eyða gögnum varanlega.
Í matinu er að finna yfirlit yfir áhættu fyrir réttindi og frelsi hinna skráðu og aðgerðir til að bregðast við. Greindir eru 29 áhættuþættir og verður hér aðeins fjallað um þá helstu. Í fyrsta lagi eru greindir áhættuþættir sem snúa að því að vinnsla geti verið umfram það sem nauðsynlegt teljist. Í því sambandi er m.a. fjallað um að notendur geti hlaðið upp myndum í nemendakerfið, mögulegt sé að fylgjast með aðgerðum og staðsetningu notenda í Google Maps og Google Earth, og að annálagögnum sé mögulega safnað þegar lausnir Google séu notaðar. Áhrifin eru ýmist metin lítil eða miðlungs, líkur ólíklegar og áhættustig frá 2 til 6 af 20. Greint er frá því að lokað hafi verið fyrir að nemendur geti sett inn myndir af sér þegar aðgangur er stofnaður í kerfinu, en nemendur geti hlaðið upp myndum í tengslum við skólaverkefni hafi foreldrar veitt samþykki fyrir slíkri notkun. Í matinu segir einnig að með aldurs-skilgreiningum í stillingum hafi verið komið í veg fyrir að nemendur geti kveikt á staðsetningarsögu eða deilt staðsetningu sinni. Þá segir að takmarkað hafi verið eins og mögulegt sé hvaða annálagögnum er safnað í nemendakerfinu. Önnur áhætta sem verður hér nefnd er að óviðkomandi geti haft aðgang að persónuupplýsingum notenda þar sem lausnir séu opnar út fyrir umhverfi sveitarfélagsins. Fram kemur að ýmsar lausnir kunni að vera opnar þegar Google-nemendakerfið sé notað og hætta sé á að óviðkomandi hafi aðgang að persónuupplýsingum nemenda í gegnum slíkar lausnir. Áhrifin eru metin miðlungs, líkur ólíklegar og áhættustig er 6. Um stýringu þessarar áhættu segir að lausnir sem séu opnar út fyrir umhverfi sveitarfélagsins hafi verið takmarkaðar. Síðasti áhættuþátturinn, sem verður hér nefndur, er að ekki er hægt að staðfesta að gögn séu aðeins varðveitt innan Evrópska efnahagssvæðisins og sé þá mögulegt að erlendar eftirlitsstofnanir hafi aðgang að gögnunum. Áhrifin eru metin mikil, líkurnar miðlungs og áhættustig er 12. Um stýringu áhættunnar segir að staðlaðir samningsskilmálar séu fyrir hendi hjá Google. Einnig sé notast við dulritun í flutningi og í hvíld til að takmarka að óviðkomandi geti komist í gögnin. Í umsögn persónuverndarfulltrúa Garðabæjar við matið segir meðal annars að unnið sé að innleiðingu á Plus áskriftarleið nemendakerfisins sem veiti möguleika á að velja hvar gögn séu varðveitt.
Garðabær sendi Persónuvernd uppfært mat á áhrifum á persónuvernd vegna vinnslu persónuupplýsinga nemenda í Google-nemendakerfinu á meðan á úttektinni stóð. Matið fylgdi með svörum sveitarfélagsins 15. september 2023 en er ódagsett. Í því mati eru greindir 43 áhættuþættir, samanborið við 29 áhættuþætti í fyrra mati sveitarfélagsins. Til að mynda er nefnd sú áhætta að Google noti eitthvað af þeim persónuupplýsingum eða annálagögnum sem verða til í nemendakerfinu til eigin nota eða selji þær þegar búið sé að vinna þær. Þá segir að Garðabær hafi ekki endilega stjórn á þeirri aðgerð eða hafi neitt um hana að segja. Skilmálar og samningar sem gerðir hafa verið við Google skilgreini þá vinnslu sem sé leyfileg. Áhættan er metin miðlungs, líkur ólíklegar og áhættustig er 6.
3.
Vinnslusamningur og aðrir skilmálar Google
3.1 Vinnslusamningur
Með svörum Garðabæjar fylgdi afrit af vinnslusamningi sveitarfélagsins við Google (e. Data Processing Amendment to Google Workspace and/or Complementary Product Agreement) frá 24. september 2021. Samkvæmt svörum sveitarfélagsins tók vinnslusamningurinn minniháttar breytingum 14. ágúst 2023. Hér verður eingöngu farið yfir þann samning sem var í gildi milli aðila þegar úttektin hófst og látið nægja að rekja það helsta sem þar kemur fram.
Vinnslusamningurinn kveður á um gagnkvæmar skuldbindingar Google og viðskiptavinarins, þ.e. Garðabæjar. Samkvæmt samningnum er Google vinnsluaðili persónuupplýsinga viðskiptavinarins og Garðabær ábyrgðaraðili viðkomandi vinnslu. Þá getur viðskiptavinurinn einnig verið vinnsluaðili hins eiginlega ábyrgðaraðila, en í því tilviki er Google undirvinnsluaðili eins og nánar er fjallað um í grein 5.1 í samningnum. Persónuupplýsingar viðskiptavinarins eru skilgreindar í grein 2.1, en þar segir á ensku:
Customer Personal Data means the personal data contained within the Customer Data, including any special categories of personal data defined under European Data Protection Law.
Noti viðskiptavinurinn viðbótarþjónustur Google (e. Additional Products) sé hægt að veita þeirri þjónustu aðgang að upplýsingum sem unnið er með í Google-nemendakerfinu í þeim tilgangi að þjónustur geti virkað saman. Í grein 5.3 í vinnslusamningi aðila er tekið fram að vinnslusamningurinn gildi ekki um vinnslu persónuupplýsinga í þágu viðbótarþjónustu Google, þ. á m. hvað varðar miðlun persónuupplýsinga úr Google-nemendakerfinu til slíkrar viðbótarþjónustu.
Í viðauka 1 við samninginn (e. Appendix 1) er að finna tilgreiningu á tegundum persónuupplýsinga og flokkum skráðra einstaklinga, í samræmi við 3. mgr. 28. gr. reglugerðar (ESB) 2016/679. Þar er m.a. tiltekið að um sé að ræða þær persónuupplýsingar sem er miðlað til Google með skýjaþjónustunni, þ.e. Google-nemendakerfinu, af viðskiptavininum eða notendum kerfisins (e. End Users). Í viðaukanum er jafnframt að finna lýsingu á viðfangsefni vinnslunnar, tímalengd hennar, eðli og tilgangi. Fram kemur að viðfangsefni vinnslunnar sé að veita þjónustuna samkvæmt tilvísuðum þjónustusamningi (e. Google Workspace Service Summary) og tæknilega aðstoð í tengslum við hana. Vinnslan sé í gangi á meðan samningurinn er í gildi milli aðila og þar til persónuupplýsingum viðskiptavinarins hefur verið eytt. Google vinni persónuupplýsingar viðskiptavinarins í þeim tilgangi að veita þjónustuna og tæknilega aðstoð í samræmi við þá skilmála sem gilda.
Í grein 5.2.1 í vinnslusamningi aðila er vikið að því að Garðabær skuli gefa Google fyrirmæli um vinnslu persónuupplýsinga viðskiptavinarins, en þar segir á ensku:
Customer's Instructions. Customer instructs Google to process Customer Personal Data only in accordance with applicable law: (a) to provide, secure and monitor, the Services and TSS; (b) as further specified via Customer's use of the Services and any applicable technical support; (c) as documented in the form of the Agreement, including these Terms; and (d) as further documented in any other written instructions given by Customer and acknowledged by Google as constituting instructions for purposes of these Terms (collectively, the "Instructions").
Þá hefur vinnslusamningurinn að geyma ýmis ákvæði sem varða öryggi persónuupplýsinga. Til að mynda segir í grein 7.1.1 að Google muni innleiða og viðhalda öryggisráðstöfunum til að vernda upplýsingar viðskiptavinarins gegn óviljandi eða ólögmætri eyðingu eða því að þær glatist, breytist, verði birtar eða aðgangur verði veittur að þeim í leyfisleysi. Þeim öryggisráðstöfunum er nánar lýst í viðauka 2 við vinnslusamninginn. Í grein 7.1.2 er vikið að því að Google tryggi að þeir starfsmenn, verktakar og undirvinnsluaðilar, sem hafa aðgang að persónuupplýsingum viðskiptavinarins, gangist undir trúnaðarskyldu. Samkvæmt grein 7.5.2 a. er Garðabæ heimilt að framkvæma eða fá þriðja aðila til að framkvæma úttekt til að sannreyna hlítni Google við vinnslusamninginn.
Vinnslusamningurinn hefur einnig að geyma ákvæði um flutning persónuupplýsinga til þriðju landa. Samkvæmt grein 10.1 er Google heimilt að vinna með upplýsingar viðskiptavinarins í hverju því ríki sem Google eða undirvinnsluaðilar þess hafa staðfestu, að uppfylltum þeim kvöðum sem fram koma í öðrum ákvæðum 10. gr. og frekari kvöðum í þjónustuskilmálum. Í vinnslusamningnum er einnig að finna hlekk á stöðluð samningsákvæði vegna flutnings persónuupplýsinga til þriðju landa. Nánar verður vikið að flutningi persónuupplýsinga til þriðju landa í kafla III. 8. hér á eftir.
Í vinnslusamningnum er að auki fjallað um rétt Google til að nota undirvinnsluaðila við vinnslu persónuupplýsinga og þar er jafnframt hlekkur á yfirlit yfir undirvinnsluaðila Google, sem er aðgengilegt á vefsíðu fyrirtækisins. Samkvæmt grein 11.1 samþykkir Garðabær að Google megi nota tilgreinda undirvinnsluaðila. Þá segir í grein 11.4 að Google skuli tilkynna Garðabæ um nýja undirvinnsluaðila, a.m.k. 30 dögum áður en nýr undirvinnsluaðili hefur vinnslu persónuupplýsinga. Garðabær hafi 90 daga, frá því að Google tilkynnir um nýja undirvinnsluaðila til að andmæla breytingunni með því að segja upp samningnum þegar í stað.
Þá er í vinnslusamningnum mælt fyrir um að Google muni aðstoða Garðabæ við að tryggja að skyldur samkvæmt 32.–36. gr. reglugerðar (ESB) 2016/679 séu uppfylltar, þ.e. í tengslum við öryggi vinnslu, tilkynningar um öryggisbresti við meðferð persónuupplýsinga, mat á áhrifum á persónuvernd og fyrirframsamráð, sbr. greinar 7.1.4, 7.2 og 8. Jafnframt er vikið að því í grein 9.2, að Google muni aðstoða Garðabæ við að svara beiðnum í tengslum við réttindi skráðra einstaklinga.
Loks eru í vinnslusamningnum ákvæði um eyðingu upplýsinga viðskiptavinarins. Samkvæmt grein 6.2 skal Google eyða eða skila upplýsingum viðskiptavinarins í samræmi við fyrirmæli Garðabæjar. Eyðing upplýsinganna getur tekið allt að 180 daga, að því undanskildu að lög áskilji varðveislu upplýsinganna.
3.2 Aðrir skilmálar Google
3.2.1 Skilmálar Google um samþykki vegna vinnslu persónuupplýsinga í nemendakerfinu
Þegar viðskiptavinir kaupa aðgang að Google-nemendakerfinu eru þeir upplýstir um skilmála Google um samþykki vegna vinnslu persónuupplýsinga í nemendakerfinu (e. Google Workspace for Education School Consent). Þar segir að skólar kunni að veita Google tilteknar persónuupplýsingar nemenda og kennara, svo sem nafn og netfang þeirra, þegar Google-nemendakerfið er notað. Að auki kunni Google að safna tilteknum persónuupplýsingum beint frá notendum kerfisins, t.d. símanúmeri eða notendamynd (e. profile picture) eða öðrum upplýsingum sem notendur setja á Google-aðgang sinn. Einnig segir í skilmálunum að Google safni upplýsingum um notkun kerfisins, en nánar tiltekið segir á ensku:
Google also collects information based on the use of our services. This includes:
· device information, such as the hardware model, operating system version, unique device identifiers and mobile network information including the user's phone number;
· log information, including details of how a user used our service, device event information and the user's Internet protocol (IP) address;
· location information, as determined by various technologies including IP address, GPS and other sensors;
· unique application numbers, such as application version number; and
· cookies or similar technologies which are used to collect and store information about a browser or device, such as preferred language and other settings.
Skilmálarnir greina frá því að persónuupplýsingar notenda, sem safnað er þegar grunnþjónustur kerfisins eru notaðar (e. Core Services), séu eingöngu nýttar til að veita þá grunnþjónustu. Tekið er fram að upplýsingarnar séu ekki notaðar í markaðstilgangi (e. advertising purposes). Grunnþjónustur kerfisins eru m.a. Gmail, Google Chat, Google Docs, Google Drive og Google Meet. Í lok skilmálanna er að auki tekið fram að Google vinni persónuupplýsingar nemenda í grunnþjónustum Google-nemendakerfisins í samræmi við persónuverndarstefnu Google fyrir nemendakerfið (e. Google Workspace for Education Privacy Notice) og almennu persónuverndarstefnu Google. Nánar tiltekið segir á ensku:
By clicking 'I agree' below, you consent on behalf of your institution to Google’s processing of the personal information of students in the Core Services as described above and in the Google Workspace for Education Privacy Notice and the Google Privacy Policy, and agree to obtain parent or guardian consent for any Additional Services that you allow students under the age of 18 to use.
Þá segir í skilmálunum að almenna persónuverndarstefna Google (e. Google Privacy Policy) gildi um viðbótarþjónustur Google (e. Additional Services) sem viðskiptavinir geta kosið að nota samhliða grunnþjónustum nemendakerfisins.
3.2.2 Grunnþjónustur: Persónuverndarstefnur fyrir Google-nemendakerfið og skýjaþjónustu Google
Í persónuverndarstefnu fyrir Google-nemendakerfið (e. Google Workspace for Education Privacy Notice) er greint frá því að Google safni tvenns konar upplýsingum þegar grunnþjónustur nemendakerfisins eru notaðar, annars vegar persónuupplýsingum viðskiptavinarins (e. Customer Personal Data), sem vinnslusamningur aðila tekur til, og hins vegar þjónustugögnum (e. Service Data). Hvað vinnslu þjónustugagna varðar er vísað til persónuverndarstefnu Google fyrir skýjaþjónustu (e. Google Cloud Privacy Notice). Í þeirri stefnu er að finna nánari lýsingu á vinnslu þjónustugagna, en þar segir á ensku:
Service Data is the personal information Google collects or generates during the provision and administration of the Cloud Services and related technical support, excluding any Customer Data and Partner Data.
Service Data consists of:
· Account information. We collect the data you or your organization provide when creating an account for Cloud Services or entering into a contract with us (username, names, contact details and job titles).
· Cloud payments and transactions. We keep reasonable business records of charges, payments, and billing details and issues.
· Cloud settings and configurations. We record your configuration and settings, including resource identifiers and attributes, and service and security settings for data and other resources.
· Technical and operational details of your usage of Cloud Services. We collect information about usage, operational status, software errors and crash reports, authentication details, quality and performance metrics, and other technical details necessary for us to operate and maintain Cloud Services and related software. This information includes device identifiers, identifiers from cookies or tokens, and IP addresses.
· Your direct communications. We keep records of your communications and interactions with us and our partners (for example, when you provide feedback, ask questions or seek technical support).
Í persónuverndarstefnu fyrir Google-nemendakerfið er tekið fram að þjónustugögn séu fyrst og fremst notuð til þess að veita þjónustuna en einnig í þeim tilgangi sem nánar er lýst í persónuverndarstefnu Google fyrir skýjaþjónustu. Í síðarnefndu stefnunni segir að þjónustugögn séu jafnframt notuð til þess að veita tæknilega aðstoð, betrumbæta þjónustuna og aðra þjónustu sem viðskiptavinir nota, kynna viðskiptavini fyrir nýrri virkni eða skyldri þjónustu, koma í veg fyrir misnotkun á þjónustunni og gera þjónustuna öruggari. Hvað vinnsluheimild varðar er vísað til þess að vinnslan sé ýmist nauðsynleg til að efna samninga við ábyrgðaraðila, vegna lagaskyldu sem hvíli á Google eða í þágu lögmætra hagsmuna fyrirtækisins.
3.2.3 Viðbótarþjónustur: Persónuverndarstefna fyrir Google-nemendakerfið og almenna persónuverndarstefna Google
Í persónuverndarstefnu fyrir Google-nemendakerfið segir að Google safni tvenns konar upplýsingum þegar viðbótarþjónustur eru notaðar samhliða nemendakerfinu, annars vegar persónuupplýsingum sem notendur skrá eða búa til með viðbótarþjónustum og hins vegar upplýsingum sem Google safnar við notkun þjónustunnar. Í lýsingu á þeim upplýsingum sem er safnað þegar viðbótarþjónustur eru notaðar segir nánar tiltekið á ensku:
Google’s Privacy Policy also describes the information we collect as you use our additional services, which includes:
· Your activity while using additional services, which includes things like terms you search for, videos you watch, content and ads you view and interact with, voice and audio information when you use audio features, purchase activity, and activity on third-party sites and apps that use our services.
· Your apps, browsers and devices. We collect the info about your apps, browser, and devices described above in the core services section.
· Your location information. We collect info about your location as determined by various technologies including: GPS, IP address, sensor data from your device, and information about things near your device, such as Wi-Fi access points, cell towers, and Bluetooth-enabled devices. The types of location data we collect depend in part on your device and account settings.
Í persónuverndarstefnu fyrir Google-nemendakerfið segir að markmið framangreindrar vinnslu persónuupplýsinga sé að veita viðbótarþjónustu, bæta þjónustuna, þróa nýja þjónustu, veita persónusniðna þjónustu, greina hvernig þjónusta er notuð og skilvirkni hennar (e. measure performance), eiga samskipti við notendur og vernda Google og notendur þess. Þá er jafnframt greint frá því að sum viðbótarþjónusta kunni að birta auglýsingar en ef notandi er að nota Google Workspace for Education reikning fyrir grunnskólastig (K-12) séu ekki notaðar upplýsingar af aðgangi viðkomandi til að beina að honum persónusniðnum auglýsingum. Aftur á móti kunni Google að beina auglýsingum að notanda, sem byggjast á almennum þáttum eins og leitarfyrirspurnum notandans, tíma dags eða efni þeirra vefsíðu sem hann skoðar. Vísað er til almennu persónuverndarstefnu Google hvað nánari upplýsingar varðar. Í almennu persónuverndarstefnunni er meðal annars umfjöllum um vinnsluheimild. Greint er frá því að vinnslan byggist í einhverjum tilvikum á samþykki hinna skráðu. Að auki kunni vinnsluaðgerðir að vera nauðsynlegar til að efna samninga við ábyrgðaraðila, vegna lagaskyldu sem hvíli á Google eða í þágu lögmætra hagsmuna fyrirtækisins.
III.
Skýringar og sjónarmið Garðabæjar
Í svörum Garðabæjar segir að samkvæmt samningi sveitarfélagsins við Google, sem hafi tekið gildi haustið 2018, notist grunnskólar þess við Fundamentals-þjónustuleið Google-nemendakerfisins. Áætlað er að 2.186 grunnskólanemendur hafi notað nemendakerfið skólaárið 2021-2022.
Garðabær andmælir öllu því sem fram kemur í úttektarskýrslu Persónuverndar er varðar möguleg brot á persónuverndarlöggjöfinni og heldur því fram að sveitarfélagið hafi gert allt, sem ætlast megi til, til að tryggja að vinnsla persónuupplýsinga grunnskólanemenda í Google-nemendakerfinu, sem sveitarfélagið er ábyrgðaraðili að, uppfylli í hvívetna ákvæði persónuverndarlaga nr. 90/2018 og persónuverndarreglugerðar (ESB) 2016/679. Í þessum kafla verður gerð grein fyrir helstu skýringum og sjónarmiðum Garðabæjar, sem ákvörðun í málinu byggist á.
1.
Ábyrgð á vinnslu
Í svörum Garðabæjar er tekið fram að sveitarfélaginu séu falin margs konar verkefni á sviði kennslu grunnskólanemenda. Þessi verkefni felist að miklu leyti í vinnslu persónuupplýsinga, m.a. upplýsinga nemendanna sjálfra, og sveitarfélagið sé ábyrgðaraðili þeirrar vinnslu. Í nútímaþjóðfélagi þurfi að nýta upplýsingakerfi til þess að vinna flest þessara verkefna og því kunni að vera nauðsynlegt að leita eftir upplýsingatækniþjónustu, þ. á m. skýjaþjónustu, frá utanaðkomandi þjónustuaðila. Í þeim tilvikum feli sveitarfélagið skýjaþjónustuveitandanum að annast tiltekinn þátt í vinnslunni sem vinnsluaðila.
Greint er frá því að Garðabær hafi gert vinnslusamning við Google vegna vinnslu persónuupplýsinga í Google-nemendakerfinu. Vinnslusamningurinn afmarki þá vinnslu sem Google sé falið að stunda, þ. á m. tilgang vinnslunnar og þær aðferðir sem skuli beita. Google hafi verið falið að vinna með þær persónuupplýsingar í nemendakerfinu sem eru skilgreindar í vinnslusamningnum sem persónuupplýsingar viðskiptavinar (e. Customer Personal Data).
Þá segir að til þess að skýjaþjónustuveitandinn geti boðið upp á og viðhaldið skýjaþjónustunni sé honum nauðsynlegt að stunda einnig ýmiss konar vinnslu með þær persónuupplýsingar, sem honum er falið sem vinnsluaðila að vinna, í öðrum tilgangi, t.a.m. í þeim tilgangi að auka áreiðanleika eða hraða þjónustunnar, breyta högun eða virkni hennar og þróa endurbættar útgáfur af henni. Skýjaþjónustuveitandinn taki í þeim tilvikum sjálfur, án samráðs við viðskiptavini sína, ákvörðun um tilgang og aðferðir við vinnsluna og sé því sjálfstæður ábyrgðaraðili þeirrar vinnslu. Að mati Garðabæjar sé Google því sjálfstæður ábyrgðaraðili vinnslu svonefndra þjónustugagna (e. Service Data) í Google-nemendakerfinu. Garðabær hafi enga aðkomu að vinnslu þjónustugagna og því sé andmælt að sveitarfélagið og Google kunni að vera sameiginlegir ábyrgðaraðilar vinnslunnar líkt og koma hafi þótt til skoðunar samkvæmt úttektarskýrslu Persónuverndar.
Garðabær andmælir því að úttektin taki til viðbótarþjónustu Google. Grunnskólarnir séu ábyrgðaraðilar þeirrar viðbótarþjónustu sem þeir ákveði að nota og sveitarfélagið hafi enga aðkomu að samningum grunnskólanna um slíka þjónustu. Er í því sambandi vísað til bréfs Persónuverndar til Akureyrarbæjar, dags. 4. ágúst 2022, þar sem stofnunin ákvað að loka úttekt gagnvart Akureyrarbæ enda hefði sveitarfélagið ekki talist ábyrgðaraðili þeirrar vinnslu sem um ræddi.
2.
Vinnslusamningur
Í svörum Garðabæjar er því andmælt að vinnslusamningur sveitarfélagsins við Google standist ekki ákvæði laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerð (ESB) 2016/679.
Garðabær andmælir því að vinnslusamningurinn útiloki ekki að Google geti unnið persónuupplýsingar umfram fyrirmæli sveitarfélagsins, líkt og vikið var að í úttektarskýrslu Persónuverndar. Samkvæmt grein 5.2 (áður 5.2.1) í vinnslusamningnum gefi Garðabær Google fyrirmæli um vinnslu upplýsinga viðskiptavinarins, þ. á m. um að vinna einungis með persónuupplýsingar í samræmi við samning aðila og gildandi lög (e. Customer instructs Google to process Customer Data in accordance with the applicable Agreement (including this Addendum) and applicable law only [...]).
Garðabær heldur því einnig fram að hinir rúmu tímafrestir sem mælt er fyrir um í grein 11.4 í vinnslusamningnum, til að andmæla nýjum undirvinnsluaðila, gefi sveitarfélaginu nægan tíma til að koma á framfæri beint við vinnsluaðila andmælum sínum við fyrirhugaðar breytingar á skipan undirvinnsluaðila, áður en til þess kæmi að segja þyrfti upp vinnslusamningnum í mótmælaskyni.
Þá telur Garðabær vandséð hvernig sveitarfélaginu eigi að vera kleift að telja upp í vinnslusamningi, með tæmandi hætti, allar hugsanlegar tegundir persónuauðkenna og annarra persónuupplýsinga sem sveitarfélagið og notendur þess kunni að vinna í Google-nemendakerfinu, með hliðsjón af eðli skýjaþjónustunnar. Að mati sveitarfélagsins sé skilvirkara og skýrara að stýra því í verklagsreglum og með eftirliti hvaða persónuupplýsingar sé heimilt að vinna. Allt að einu sé það afstaða sveitarfélagsins að vinnslusamningur aðila tilgreini öll þau atriði sem áskilið er í 3. mgr. 28. gr. reglugerðar (ESB) 2016/679.
3.
Aðrir skilmálar Google
Í svörum Garðabæjar er tekið fram að yfirlýsingar sem eru samdar einhliða af Google, án nokkurrar aðkomu sveitarfélagsins, séu ekki hluti af vinnslusamningi aðila, breyti honum ekki, gangi honum ekki framar og dragi því í engu úr þeim skyldum sem lagðar séu á Google sem vinnsluaðila. Vísað er til þess að sveitarfélagið hafi ekki lagt fram þær yfirlýsingar sem Persónuvernd byggir á í úttektarskýrslu sinni, þ. á m. samþykki skóla fyrir notkun nemenda á Google-nemendakerfinu (e. Google Workspace for Education School Consent), persónuverndarstefnu fyrir Google-nemendakerfið (e. Google Workspace for Education Privacy Notice) og persónuverndarstefnu fyrir skýjaþjónustu Google (e. Google Cloud Privacy Notice). Af hálfu sveitarfélagsins er því andmælt að þessar yfirlýsingar verði lagðar til grundvallar í úttektinni. Á hinn bóginn er því ekki andmælt, af hálfu Garðabæjar, að Google vinni persónuupplýsingar í samræmi við nefnda skilmála.
4.
Vinnsla þjónustugagna
Í svörum Garðabæjar segir að sveitarfélagið eigi enga aðkomu að því að semja yfirlýsingar Google um vinnslu þjónustugagna og þær lýsi ekki skyldum sem séu lagðar á sveitarfélagið. Í skilmálunum komi fram að Google vinni þjónustugögn fyrst og fremst til að veita þjónustuna en einnig til að veita tæknilega aðstoð, betrumbæta þjónustuna og aðra þjónustu sem viðskiptavinir nota, kynna nýja virkni fyrir viðskiptavinum eða skylda þjónustu, koma í veg fyrir misnotkun á þjónustunni og gera þjónustuna öruggari. Á hinn bóginn sé það ekki rétt, sem segir í úttektarskýrslu Persónuverndar, að Google vinni þjónustugögn í eigin þágu heldur fari vinnslan fram í þágu viðskiptavinarins og þeirrar þjónustu sem er verið að veita honum.
Líkt og greinir í kafla III. 1. telur Garðabær að Google sé sjálfstæður ábyrgðaraðili vinnslu þjónustugagna. Vísað er til þess að allar ákvarðanir sem lúta að vinnslu þjónustugagna séu teknar eingöngu af Google, án nokkurrar þátttöku sveitarfélagsins. Þjónustugögn séu sérstaklega skilgreind í yfirlýsingum Google sem önnur gögn en þau sem teljast vera upplýsingar viðskiptavinarins (e. Customer Data) og falla þar með utan gildissviðs vinnslusamnings aðilanna, sbr. 1. gr. hans. Sveitarfélagið hafi eðli máls samkvæmt afar takmarkaðar upplýsingar um þær vinnslur sem heyra undir ábyrgð Google.
Í úttektarskýrslu Persónuverndar er fundið að því að vinnsluskrá Garðabæjar tilgreini ekki söfnun persónuupplýsinga nemenda í þjónustugögnum. Í andmælum Garðabæjar vegna skýrslunnar segir að sveitarfélagið sé ekki eigandi umrædds upplýsingakerfis eða ábyrgðaraðili allrar þeirrar vinnslu sem fari fram í kerfinu. Af svörum Garðabæjar má ráða að sveitarfélagið telji ekki ljóst á hvaða grundvelli það geti krafist upplýsinga frá Google til að öðlast yfirsýn yfir alla þá vinnslu sem fer fram í nemendakerfinu.
5.
Vinnsla persónuupplýsinga í þágu viðbótarþjónustu
Í svörum Garðabæjar segir að grunnskólar sveitarfélagsins noti viðbótarþjónusturnar Chrome Web Store, Google Bookmarks, Google Books, Google Earth, Google Maps, Google Photos, Google Takeout, Google Translate og Youtube.
Sem fyrr segir telur Garðabær grunnskóla sveitarfélagsins vera ábyrgðaraðila vinnslu persónuupplýsinga í þágu viðbótarþjónustu Google. Ekki sé kveðið á um vinnslu persónuupplýsinga í þágu viðbótarþjónustu í vinnslusamningi Garðabæjar og Google, sbr. grein 5.3 samningsins. Sveitarfélagið hafi ekki tekið ákvörðun um tilgang og aðferðir við vinnsluna og sé því ekki ábyrgðaraðili hennar. Þá gildi sjálfstæðir skilmálar um viðbótarþjónusturnar (e. Additional Product Terms), en þeir séu ekki hluti af fyrirliggjandi úttekt.
Við meðferð málsins greindi Garðabær frá því að sveitarfélagið hefði ákveðið að loka fyrir viðbótarþjónustur Google. Lokunin átti að koma til framkvæmda um leið og skólastjórnendur og starfsmenn hefðu verið upplýstir þar um, eigi síðar en 15. október 2023.
6.
Lögmæti vinnslu
6.1 Vinnsluheimild og tilgangur
Í fyrirliggjandi vinnsluskrá og mati á áhrifum á persónuvernd má finna upplýsingar um tilgang og heimild til vinnslu persónuupplýsinga í Google-nemendakerfinu, sbr. það sem áður er rakið.
Í svörum Garðabæjar segir að vinnsla persónuupplýsinga grunnskólanemenda í Google-nemendakerfinu sé nauðsynleg til þess að veita nemendum kennslu í samræmi við þær væntingar og kröfur sem gerðar eru til slíkrar starfsemi samkvæmt lögum um grunnskóla og aðalnámskrá. Í því sambandi er vísað til kafla 26.1 í aðalnámskrá grunnskólanna sem kveður á um að kenna skuli upplýsinga- og tæknimennt sem feli í sér miðlamennt, upplýsinga- og samskiptatækni og tölvunotkun. Með upplýsinga- og miðlalæsi sé átt við að nemendur öðlist hæfni í að greina hvaða upplýsinga er þörf, leita að þeim og leggja á gagnrýnið mat, auka þannig þekkingu sína og nýta með ýmsum miðlum til að ná tilteknu markmiði. Garðabær tekur fram að í framangreindu felist einnig geta til að nálgast og nota upplýsingar. Lögð sé áhersla á að nemendur fái markvissa þjálfun, þekki helstu reglur um örugg samskipti á stafrænum miðlum og læri að virða siðferði í meðferð upplýsinga og heimilda. Þá segir að Google-nemendakerfið sé beinlínis sniðið að þessum verkum og því telji Garðabær að notkun þess samrýmist þeim lögmætisgrundvelli sem einkum er byggt á af hálfu sveitarfélagsins.
Hvað þjónustugögn varðar segir í skýringum Garðabæjar að Google sé sjálfstæður ábyrgðaraðili vinnslu þeirra gagna en að þau séu unnin til þess að tryggja að hægt sé að veita umrædda þjónustu og samrýmist vinnslan því hinum upphaflega tilgangi með vinnslunni.
6.2 Meðalhóf og lágmörkun gagna
Garðabær andmælir því að það sé hlutverk sveitarfélagsins að sýna fram á að vinnsla persónuupplýsinga grunnskólanemenda í Google-nemendakerfinu takmarkist við það sem er nauðsynlegt miðað við tilgang vinnslunnar, í ljósi þess að sveitarfélagið er hvorki eigandi né rekstraraðili nemendakerfisins. Sveitarfélagið hafi því ekki völd, aðstöðu eða réttindi til að veita upplýsingar um alla vinnslu persónuupplýsinga grunnskólanemenda í kerfinu. Telur sveitarfélagið að sér verði einungis gert að standa skil á upplýsingum um þær vinnslur sem það er ábyrgðaraðili fyrir.
Samkvæmt skýringum Garðabæjar hefur sveitarfélagið takmarkað og reynt að lágmarka vinnslu persónuupplýsinga í Google-nemendakerfinu frá því það var tekið í notkun árið 2018. Það hafi verið gert með ýmsum stillingum í kerfinu og leiðbeiningum til notenda. Meðal annars hafi verið lokað fyrir að notendur geti gert breytingar á notendastillingum og sett inn viðbætur frá Google Workspace Marketplace. Kerfisstjóri geti sett inn Google Marketplace viðbætur að undangenginni áhættugreiningu og hafi skólastjórnandi samþykkt notkun þeirra. Að auki hafi verið lokað fyrir notkun Google Playstore og söfnun ýmissa vefkaka og viðbóta s.s. Google Analytics, Google Ad Manager, Google Ads, Google Adsense og FeedBurner. Nemendur hafi fengið leiðbeiningar um að skrá eins lítið af persónugreinanlegum upplýsingum og hægt er í Google-nemendakerfið, þ. á m. um hvernig skal nefna möppur og skrár og hvaða gögn má geyma þar. Að auki sé nemendum leiðbeint um að nota Google ekki sem leitarvél heldur velja frekar leitarvélar sem safna ekki persónuupplýsingum t.d. DuckDuckGo. Nemendur séu einnig hvattir til að nota aðra vafra en Google Chrome.
Þá er greint frá því að Garðabær hafi takmarkað þær viðbótarþjónustur Google sem mögulegt sé að nýta. Sveitarfélagið hafi það stöðugt til skoðunar hvort hægt er að takmarka þær enn frekar og jafnvel loka alveg fyrir þær. Sumar viðbótarþjónustur Google séu þó mjög mikilvægar í skólastarfinu, t.a.m. Google Translate. Grunnskólar sveitarfélagsins hafi til skoðunar að gera nemendum kleift að nota þá þjónustu án innskráningar í tæki. Þá muni Garðabær fara í Plus-þjónustuleið Google-nemendakerfisins til að auka öryggi og möguleika á stýringu á staðsetningu gagna.
6.3 Varðveislutími persónuupplýsinga
Samkvæmt vinnsluskrá Garðabæjar eru skólagögn grunnskólanemenda varðveitt í Google-nemendakerfinu þar til skólagöngu þeirra lýkur. Í úttektarskýrslu Persónuverndar er vikið að því að Garðabær hafi ekki sýnt fram á nauðsyn þess að varðveita upplýsingar nemenda í Google-nemendakerfinu út skólagöngu þeirra. Þessari afstöðu stofnunarinnar er andmælt af hálfu sveitarfélagsins. Vísað er til þess að í úttektinni hafi ekki verið óskað eftir því að sveitarfélagið sýndi fram á slíka nauðsyn en að sveitarfélagið telji tilefni til að endurskoða fyrri framkvæmd með hliðsjón af afstöðu Persónuverndar. Sveitarfélagið hafi ákveðið að persónuupplýsingum nemenda verði eytt úr Google-nemendakerfinu eftir hvert skólaár. Nemendur fái hóflegan tíma til að taka þau gögn sem þeir vilja áður en upplýsingunum verði eytt. Tíminn fram að lokum skólaársins verði nýttur til samráðs milli fræðslusviðs Garðabæjar, kennsluráðgjafa grunnskólanna og starfsfólks sveitarfélagsins um framkvæmd og varanlegt verklag.
7.
Mat á áhrifum á persónuvernd
Í mati Garðabæjar á áhrifum á persónuvernd vegna vinnslu persónuupplýsinga grunnskólanemenda í Google-nemendakerfinu kemur fram að Garðabær hafi talið þörf á slíku mati þar sem unnið er með persónuupplýsingar aðila sem standa höllum fæti, þ.e. persónuupplýsingar barna. Garðabær sendi Persónuvernd uppfært mat á áhrifum á persónuvernd vegna vinnslunnar á meðan á úttektinni stóð, nánar tiltekið 15. september 2023, og óskaði þess að tekið yrði tillit til hins uppfærða mats við meðferð málsins.
Í andmælum Garðabæjar við úttektarskýrslu Persónuverndar segir að sveitarfélagið telji fyrirliggjandi mat ítarlegt og fagmannlega unnið. Því er sérstaklega andmælt að matið hafi átt að taka til vinnsluaðgerða sem Google framkvæmir sem sjálfstæður ábyrgðaraðili og Garðabær hefur enga aðkomu að, þ.e. vinnslu persónuupplýsinga í öðrum tilgangi en þeim sem sveitarfélagið hefur falið Google að vinna með. Sveitarfélagið hafi ekkert boðvald yfir þeirri vinnslu og afar takmarkaðar upplýsingar um hana. Að mati sveitarfélagsins sé það ekki réttur skilningur á ákvæðum persónuverndarlöggjafarinnar, einkum 35. gr. reglugerðar (ESB) 2016/679, að í mati á áhrifum á persónuvernd skuli fjalla um vinnsluaðgerðir sem séu á ábyrgð annarra ábyrgðaraðila.
Því er jafnframt andmælt að matið standist ekki b-lið 7. mgr. 35. gr. reglugerðarinnar, um mat á því hvort vinnsluaðgerðir eru nauðsynlegar og hóflegar miðað við tilgang þeirra. Garðabær hafi í upphafi skilgreint hvaða persónuupplýsingar væri leyfilegt að vinna í Google-nemendakerfinu og hafi síðar takmarkað þær enn frekar. Að mati sveitarfélagsins er vinnsla persónuupplýsinga í Google-nemendakerfinu nauðsynleg og hófleg miðað við tilganginn, þ.e. að veita kennslu í grunnskóla og mæta þörfum nemenda í nútímasamfélagi, sem sveitarfélaginu er skylt samkvæmt lögum um grunnskóla og aðalnámskrá.
Því er einnig andmælt að ekki hafi verið lagt fullnægjandi mat á áhættu fyrir réttindi og frelsi hinna skráðu, sbr. c-lið 7. mgr. 35. gr. reglugerðarinnar. Sveitarfélagið hafi framkvæmt mat á áhrifum á persónuvernd eftir bestu samvisku í samræmi við 35. gr. reglugerðarinnar og leiðbeiningar Persónuverndar.
8.
Miðlun persónuupplýsinga til Bandaríkjanna
Í svörum Garðabæjar kemur fram að vinnsla persónuupplýsinga nemenda í Google-nemendakerfinu kunni að fari fram í Bandaríkjunum, þó að það hafi ekki verið staðfest. Sveitarfélagið hafi beint fyrirspurnum til Google um hvort gögn sem unnið er með í nemendakerfinu eru vistuð eða unnin í Bandaríkjunum. Samkvæmt svörum Google geri fyrirtækið ráð fyrir að persónuupplýsingar séu unnar í Bandaríkjunum, án þess þó að hægt sé að benda á hvaða flokkar upplýsinga séu hýstar þar á hverjum tíma. Í svörum Google segi einnig að öll miðlun upplýsinga til óöruggra þriðju ríkja sé byggð á uppfærðum stöðluðum samningsskilmálum Evrópusambandsins og varin af tæknilegum, lagalegum og skipulagslegum öryggisráðstöfunum.
Í svörum Garðabæjar er jafnframt vísað til þess að Google hafi sett fram lýsingar á viðbótarverndarráðstöfunum sem gripið hafi verið til í tengslum við mögulega miðlun persónuupplýsinga til þriðju landa (e. Safeguards for international data transfers with Google Cloud). Verður hér eingöngu vikið að þeim tæknilegu ráðstöfunum sem þar er lýst.
Í tilvísuðum lýsingum kemur fram að Google skrái aðgang og aðgerðir starfsmanna sinna innan umhverfisins. Einnig kemur fram að gögn séu dulkóðuð í flutningi sem og í hvíld. Notast sé við FIPS 104-2-dulkóðun í flutningi og svonefnt „Application Layer Transport Security“ (ALTS) og „Transport Layer Security“ (TLS). Dulkóðun gagna í hvíld styðjist við „Advanced Encryption Standard“. Dulkóðunarlykillinn sé a.m.k. 128 bita fyrir gögn sem séu varðveitt í Google-nemendakerfinu. Lykillinn sé enn fremur dulkóðaður með öðrum 128 bita lykli sem sé varðveittur af „Google key management service“ (KMS). Google bjóði jafnframt upp á aukastýringar, t.a.m. hafi viðskiptavinir kost á að dulrita eigin gögn og stjórna varðveislu dulkóðunarlykilsins fyrir tilteknar þjónustur.
Í skýringum Garðabæjar segir að Bandaríkin séu nú aðili að sérstöku samkomulagi um flutning persónuupplýsinga frá Evrópu til Bandaríkjanna. Í samkomulaginu felist að Bandaríkin tryggi persónuupplýsingum, sem fluttar eru frá Evrópu til bandarískra fyrirtækja á grundvelli þess, viðunandi vernd í skilningi persónuverndarreglugerðarinnar, sbr. jafngildisákvörðun framkvæmdastjórnar Evrópusambandsins, dags. 10. júlí 2023. Þetta eigi við um fyrirtæki sem gangast með formlegum hætti undir skyldur samkvæmt samkomulaginu og sé Google þar á meðal.
9.
Andmæli vegna mögulegrar álagningar sektar
Með úttektarskýrslu Persónuverndar var Garðabæ veittur andmælaréttur vegna mögulegra fyrirmæla og beitingar stjórnvaldssektar. Í skýrslunni er það rakið að fyrirliggjandi gögn hafi þótt benda til þess að sveitarfélagið hefði brotið gegn ákvæðum 5., 6., 25., 26., 28., 30., 35., 44. og 46. gr. reglugerðar (ESB) 2016/679 en brot gegn þeim ákvæðum geta varðað sektum samkvæmt 2. og 3. mgr. 46. gr. laga nr. 90/2018, sbr. 4. og 5. mgr. 83. gr. reglugerðarinnar. Í úttektarskýrslunni eru einnig rakin þau atriði sem Persónuvernd taldi geta leitt til þess að sekt yrði lögð á og haft áhrif á fjárhæð sektar, samkvæmt 1. mgr. 47. gr. laga nr. 90/2018, sbr. 2. mgr. 83. gr. reglugerðarinnar.
Garðabær vísar til þess að sveitarfélagið hafi sýnt mikinn samstarfsvilja gagnvart Persónuvernd og svarað öllum erindum stofnunarinnar við meðferð málsins með skýrum og greinargóðum hætti. Einnig telji sveitarfélagið ekki tilefni til að álykta á þann veg að það hafi brotið gegn ákvæðum persónuverndarlöggjafarinnar. Að auki sé rétt að hafa í huga að Persónuvernd hafi hingað til ekki beitt vægari úrræðum í málinu. Enn fremur beri að hafa hliðsjón af meðferð sambærilegra mála á hinum Norðurlöndunum, t.d. í Danmörku, þar sem samband þarlendra sveitarfélaga hafi haft rúman tíma til að koma á framfæri við persónuverndaryfirvöld tillögum af hálfu sveitarfélaga um endurbætur.
-
Hvað varðar einstök atriði sem eru nefnd í úttektarskýrslu Persónuverndar er í fyrsta lagi að nefna að umrædd vinnsla lýtur að persónuupplýsingum barna, sem njóta sérstakrar verndar samkvæmt persónuverndarlöggjöfinni, og teljast brot á vinnslu þeirra því alvarleg, sbr. 1. tölul. 1. mgr. 47. gr. laga nr. 90/2018 og a-lið 2. mgr. 83. gr. reglugerðarinnar. Í skýrslunni er einnig vísað til þess að með hliðsjón af virkni Google-nemendakerfisins og aldri nemenda þyki líkur standa til þess að viðkvæmar persónuupplýsingar eða upplýsingar viðkvæms eðlis séu skráðar í kerfið. Í andmælum Garðabæjar er tekið fram að sveitarfélagið leggi bann við vinnslu viðkvæmra persónuupplýsinga í Google-nemendakerfinu og hafi eftirlit með því að banninu sé framfylgt. Að auki bendir sveitarfélagið á að ósannað sé að viðkvæmar persónuupplýsingar hafi verið skráðar í nemendakerfið og ekkert hafi komið fram um ætlun til að skrá slíkar upplýsingar.
Í öðru lagi er á því byggt í úttektarskýrslu Persónuverndar að vinnsluheimild sé ekki fyrir hendi hvað varðar söfnun persónuupplýsinga í þágu viðbótarþjónustu Google og þjónustugagna í öðrum og ósamrýmanlegum tilgangi en þeim sem tilgreindur hefur verið fyrir vinnslu persónuupplýsinga í nemendakerfinu af hálfu Garðabæjar. Vinnsla umræddra persónuupplýsinga þyki enn fremur ekki samrýmast meginreglum um gagnsæi, meðalhóf og lágmörkun gagna og þyki brotin að þessu leyti alvarleg, sbr. 1. tölul. 1. mgr. 47. gr. laganna og a-lið 2. mgr. 83. gr. reglugerðarinnar. Í andmælum Garðabæjar segir að sveitarfélagið verði ekki gert ábyrgt fyrir málefnalegri vinnslu sem fer fram af hálfu annars sjálfstæðs ábyrgðaraðila. Að auki er því andmælt að Persónuvernd sé heimilt að færa sama meinta brotið, þ.e. vinnslu Google sem fellur ekki undir vinnslusamning aðila, undir langan lista af meintum brotum. Slíkt samræmist ekki 2. mgr. 47. gr. laga nr. 90/2018.
Í þriðja lagi er á því byggt í úttektarskýrslu Persónuverndar að brot Garðabæjar þyki umfangsmikil, þar sem 2.186 grunnskólanemendur hafi notað Google-nemendakerfið skólaárið 2021-2022, sbr. 1. tölul. 1. mgr. 47. gr. laganna og a-lið 2. mgr. 83. gr. reglugerðarinnar. Í andmælum Garðabæjar er bent á að ekki komi fram á hverju mat Persónuverndar sé byggt. Garðabær telji að til þess að hægt sé að komast að þeirri niðurstöðu að um umfangsmikil brot sé að ræða samkvæmt 1. tölul. 1. mgr. 47. gr. laganna þurfi að fara fram hlutlægt mat byggt á gagnsæjum tölulegum upplýsingum. Samkvæmt tölulegum upplýsingum frá Hagstofu Íslands hafi hlutfall nemenda sveitarfélagsins, sem hafi notað Google-nemendakerfið, verið 5% af heildarfjölda nemenda í grunnskólum á landinu skólaárið 2021-2022 og 7% af nemendum á höfuðborgarsvæðinu. Sveitarfélagið telji hlutfallið ekki umfangsmikið í þessu samhengi.
Í fjórða lagi er því andmælt sem fram kemur í úttektarskýrslu Persónuverndar að áhætta fylgi því að persónuupplýsingar séu fluttar til Bandaríkjanna og unnar þar án þess að gripið hafi verið til viðeigandi verndarráðstafna og að brotið teljist alvarlegt af þeim sökum, sbr. 1. og 4. tölul. 1. mgr. 47. gr. laganna og a- og d- lið 2. mgr. 83. gr. reglugerðarinnar. Garðabær telji alls óútskýrt af hálfu Persónuverndar hvers vegna þetta meinta brot teljist alvarlegt af þeim sökum einum, óháð því hvers eðlis það er. Fyrir liggi ítarleg lýsing á þeim viðbótarverndarráðstöfunum sem hafi verið viðhafðar við vinnsluna fram að því að svonefndur friðhelgisrammi (e. Privacy Framework) hafi tekið gildi.
Í fimmta lagi er í úttektarskýrslu Persónuverndar byggt á því að brot Garðabæjar hafi verið framin af stórfelldu gáleysi, sbr. 2. tölul. 1. mgr. 47. gr. laganna og b-lið 2. mgr. 83. reglugerðarinnar. Er vísað til þess að stofnunin hafi birt leiðbeiningar 7. janúar 2022, í kjölfar ákvörðunar í máli nr. 2021040879, um innleiðingu upplýsingatæknikerfa þar sem unnið er með persónuupplýsingar barna en að ekki verði séð að Garðabær hafi haft hliðsjón af þeim hvað varðar vinnslu persónuupplýsinga í Google-nemendakerfinu. Af hálfu Garðabæjar er þessari afstöðu eindregið andmælt. Tekið er fram að hlíting við umræddar leiðbeiningar hafi ekki verið hluti af fyrirliggjandi úttekt. Við innleiðingu Google-nemendakerfisins hafi ekki verið fyrir að fara öðrum leiðbeiningum en almennum leiðbeiningum um skýjalausnir sem gefnar hafi verið út af fjármála- og efnahagsráðuneytinu í samvinnu við Persónuvernd í árslok 2016. Eftir að nemendakerfið hafi verið tekið í notkun hafi verið lögð áhersla á að hafa hliðsjón af viðeigandi leiðbeiningum, ákvörðunum og lýsingu á góðum starfsháttum.
Loks er þeirri sektarfjárhæð, sem er tilgreind í úttektarskýrslunni, mótmælt sem óhóflega hárri, einkum með hliðsjón af ákvörðunum Persónuverndar í máli nr. 2022020414 varðandi notkun Kópavogsbæjar á Seesaw-nemendakerfinu og í máli nr. 2020010355 varðandi InfoMentor ehf.
IV.
Niðurstaða
1.
Afmörkun máls
Ákvörðun þessi lýtur að vinnslu persónuupplýsinga grunnskólanemenda Garðabæjar í Google-nemendakerfinu, sbr. skilgreiningar 2. og 4. tölul. 3. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og 1. og 2. tölul. 4. gr. reglugerðar (ESB) 2016/679, í samræmi við gildissvið laganna og reglugerðarinnar, sbr. 1. mgr. 4. gr. laganna.
Nemendakerfið er „SaaS“-skýjalausn (e. Software as a Service), þ.e. lausn sem veitir notendum möguleikann á að nota tiltekinn hugbúnað eftir þörfum. Sveitarfélagið hefur áætlað að 2.186 nemendur hafi notað kerfið skólaárið 2021-2022.
Af gögnum málsins má ráða að í grunnþjónustu nemendakerfisins eru unnar annars vegar persónuupplýsingar viðskiptavinarins (e. Customer Personal Data), sem vinnslusamningur aðila tekur til, og hins vegar persónuupplýsingar í þjónustugögnum (e. Service Data), sem fjallað er um í skilmálum Google, t.d. í skilmálum Google um samþykki vegna vinnslu persónuupplýsinga í nemendakerfinu (e. Google Workspace for Education School Consent), persónuverndarstefnu Google fyrir skýjaþjónustu (e. Google Cloud Privacy Notice) og persónuverndarstefnu fyrir Google-nemendakerfið (e. Google Workspace for Education Privacy Notice).
Persónuupplýsingar viðskiptavinarins eru, samkvæmt skilgreiningu vinnslusamnings, þær persónuupplýsingar sem Garðabær eða notendur Google-nemendakerfisins miðla til Google með nemendakerfinu. Í vinnsluskrá Garðabæjar eru tilgreindar þær persónuupplýsingar sem skráðar eru í kerfið. Samkvæmt vinnsluskránni fer úrlausn verkefna fram í kerfinu, kennarar geta sett inn leiðsagnarmat/endurgjöf og sent foreldrum tilkynningar um framvindu verkefna.
Samkvæmt persónuverndarstefnu Google fyrir skýjaþjónustu eru þjónustugögn persónuupplýsingar sem Google safnar eða sem verða til við skýjaþjónustu fyrirtækisins. Nánar tiltekið er um að ræða notendaupplýsingar (e. Account information), t.d. notendanöfn og nöfn, upplýsingar um stillingar á þjónustunni (e. Cloud settings and configurations), tæknilegar upplýsingar og greiningargögn (e. Technical and operational details of your usage of Cloud Services), t.d. auðkenni tækis, auðkenni frá vafrakökum og IP-tölur, og bein samskipti notenda við Google, t.d. í tengslum við tæknilega aðstoð (e. Your direct communications).
Samkvæmt skilmálum Google um samþykki vegna vinnslu persónuupplýsinga í nemendakerfinu safnar Google enn fremur upplýsingum, m.a. um þau tæki sem kerfið er notað í, hvernig kerfið er notað, staðsetningu tækja eins og hún ákvarðast af mismunandi tækni, þ. á m. IP-tölu, GPS og öðrum nemum, tungumálastillingar og aðrar stillingar. Eru þessar upplýsingar nýttar til að veita grunnþjónustu í kerfinu.
Samkvæmt svörum Garðabæjar nota grunnskólar sveitarfélagsins viðbótarþjónusturnar Chrome Web Store, Google Bookmarks, Google Books, Google Earth, Google Maps, Google Photos, Google Takeout, Google Translate og Youtube, samhliða notkun Google-nemendakerfisins. Samkvæmt persónuverndarstefnu fyrir Google-nemendakerfið safnar Google persónuupplýsingum sem notendur skrá eða búa til þegar viðbótarþjónustur Google eru notaðar og upplýsingum um notkun þeirrar þjónustu, m.a. leitarfyrirspurnir notandans, myndbönd sem horft er á eða annað efni sem notandinn skoðar (e. Your activity while using additional services), upplýsingum um smáforrit, vafra og tæki (e. Your apps, browsers and devices) og staðsetningarupplýsingum (e. Your location information). Í stefnunni segir að tegundir þeirra staðsetningarupplýsinga sem er safnað fari að hluta til eftir stillingum notenda og því í hvers konar tæki nemendakerfið er notað.
Með hliðsjón af skilgreiningu persónuverndarlöggjafarinnar á persónuupplýsingum, sbr. 2. tölul. 3. gr. laga nr. 90/2018 og 1. tölul. 4. gr. reglugerðar (ESB) 2016/679, telur Persónuvernd að verkefni og önnur gögn sem nemendur skrá í Google-nemendakerfið teljist ávallt til persónuupplýsinga þeirra ef unnt er að tengja þau við tiltekinn nemanda, þó að það sé e.t.v. ekki á allra færi. Með sömu röksemdum teljast upplýsingar sem fela í sér endurgjöf kennara við verkefni nemenda einnig vera persónuupplýsingar nemendanna ef unnt er að tengja þær við tiltekinn nemanda. Það sama á við um þjónustugögn og önnur gögn sem eru unnin í Google-nemendakerfinu, t.d. notendaupplýsingar, tæknilegar upplýsingar, greiningarupplýsingar og staðsetningarupplýsingar, sem unnt er að tengja við tiltekna nemendur.
2.
Almennt um vinnslu persónuupplýsinga grunnskólanemenda í upplýsingatæknikerfum
Persónuvernd hefur áður fjallað um þau sjónarmið sem leggja verður til grundvallar við skýringu laga nr. 90/2018 og reglugerðar (ESB) 2016/679 þegar persónuupplýsingar barna eru unnar í upplýsingatæknikerfum í grunnskólastarfi. Vísast í þessu sambandi til umfjöllunar í kafla II. 2. í ákvörðun stofnunarinnar í máli nr. 2021040879. Í niðurlagi kaflans segir meðal annars:
[Þ]rátt fyrir að upplýsingatæknikerfi geti nýst kennurum, foreldrum og skólabörnum í skólastarfi og notkun þeirra verið þáttur í og aðstoðað við menntun barnanna þá fylgi[r] notkun þeirra áhætta fyrir grundvallarréttindi barnanna. Með hliðsjón af ungum aldri og þroska barnanna, þeirri stöðu sem þau eru í gagnvart skólunum, magni þeirra gagna sem hætta er á að safnist yfir skólagöngu þeirra, viðkvæmu eðli upplýsinganna sem kunna að vera skráðar, áhrifum upplýsingasöfnunarinnar á sjálfsmynd barnanna og aðgangi aðila á einkamarkaði að þessum upplýsingum, verður að fylgja ákvæðum persónuverndarlöggjafarinnar til hins ýtrasta þegar stafrænar lausnir eru innleiddar í skólastarf. Á það við um öll ákvæði persónuverndarlöggjafarinnar en sérstaklega skal nefnt hversu áríðandi það er að meginregla um meðalhóf og lágmörkun gagna sé virt. Persónuupplýsingar skólabarna sem safnað er í hvers konar upplýsingatæknikerfi skulu vera nægilegar, viðeigandi og takmarkast við það sem er nauðsynlegt miðað við tilgang vinnslunnar. Til þess að þessi meginregla sé virt í raun skal tilgangur með vinnslu persónuupplýsinganna vera skilgreindur þröngt og afmarkandi. Að öðrum kosti er ekki unnt að skilgreina hvaða persónuupplýsingar eru beinlínis nauðsynlegar fyrir vinnsluna. Þá verður að hafa í huga að þrátt fyrir að vinnsla persónuupplýsinga teljist hentug fyrir kennslu þá felst ekki sjálfkrafa í því að vinnslan sé nauðsynleg í þeim tilgangi.
3.
Ábyrgðaraðili og vinnsluaðili
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 og reglugerð (ESB) 2016/679 er nefndur ábyrgðaraðili. Er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 6. tölul. 3. gr. laganna og 7. tölul. 4. gr. reglugerðarinnar.
Ef tveir eða fleiri ábyrgðaraðilar ákveða sameiginlega tilgang vinnslu og aðferðir við hana skulu þeir teljast vera sameiginlegir ábyrgðaraðilar, sbr. 23. gr. laganna og 1. mgr. 26. gr. reglugerðarinnar.
Vinnsluaðili er einstaklingur, lögaðili, stjórnvald eða annar aðili sem vinnur með persónuupplýsingar á vegum ábyrgðaraðila, sbr. 7. tölul. 3. gr. laganna og 8. tölul. 4. gr. reglugerðarinnar.
3.1 Ábyrgð á vinnslu
Samkvæmt leiðbeiningum EDPB nr. 7/2020, um hugtökin ábyrgðaraðili og vinnsluaðili, eins og þær voru uppfærðar 7. júlí 2021, ber, við ákvörðun um hver telst vera ábyrgðaraðili vinnslu og hver telst vera vinnsluaðili, ekki einungis að líta til þeirra gagna sem fyrir liggja, til að mynda vinnslusamnings, heldur einnig hvernig fyrirkomulagi hafi raunverulega verið háttað, þ.e. hver hafi í reynd tekið ákvörðun um tilgang og aðferðir við vinnslu persónuupplýsinga.
Af gögnum málsins er ljóst að Garðabær tók ákvörðun um að nota Google-nemendakerfið í grunnskólum sveitarfélagsins. Með því að ákveða að nota tiltekið upplýsingatæknikerfi í grunnskólastarfi til að veita nemendum kennslu, og beina nemendum í að nota það kerfi, ákveður Garðabær í reynd tilgang og aðferðir við vinnslu persónuupplýsinga nemendanna í kerfinu. Að mati Persónuverndar er Garðabær því ábyrgðaraðili vinnslu persónuupplýsinga nemenda í Google-nemendakerfinu.
Garðabær hefur andmælt því að teljast ábyrgðaraðili vinnslu þjónustugagna og annarra gagna, sem fer fram í þágu þess að unnt sé að veita grunnþjónustu í Google-nemendakerfinu (hér eftir allt tilgreint sem þjónustugögn), samkvæmt skilmálum Google, þar sem fyrirtækið ákveði eitt tilgang og aðferðir þeirrar vinnslu. Að auki hefur Garðabær andmælt því að teljast ábyrgðaraðili vinnslu persónuupplýsinga í þágu viðbótarþjónustu Google, þar sem vinnslusamningur sveitarfélagsins við Google taki ekki til þeirrar vinnslu.
Samkvæmt a-lið 3. mgr. 28. gr. og 29. gr. reglugerðar (ESB) 2016/679, sbr. 3. mgr. 25. gr. laga nr. 90/2018, skal vinnsluaðili því aðeins vinna persónuupplýsingar, sem hann hefur aðgang að í umboði ábyrgðaraðila, að fyrir liggi fyrirmæli ábyrgðaraðilans, nema honum sé það skylt samkvæmt lögum Sambandsins eða lögum aðildarríkis. Vinnsluaðili getur því ekki tekið ákvörðun um að vinna þær persónuupplýsingar, sem hann kemst yfir sem vinnsluaðili, frekar í öðrum tilgangi án samráðs við hinn upphaflega ábyrgðaraðila.
Samkvæmt þeim gögnum sem liggja fyrir í málinu og skýringum Garðabæjar hefur sveitarfélagið ekki gefið Google fyrirmæli um vinnslu þjónustugagna. Þá liggur ekki fyrir samkomulag um vinnslu þessara gagna í samræmi við ákvæði 26. gr. reglugerðar (ESB) 2016/679, sbr. 23. gr. laga nr. 90/2018. Að því virtu og með hliðsjón af framangreindum ákvæðum fellst Persónuvernd á þau sjónarmið Garðabæjar að Google teljist ábyrgðaraðili vinnslu persónuupplýsinga grunnskólanemenda sveitarfélagsins í þjónustugögnum. Með sömu rökum verður Google talið ábyrgðaraðili að vinnslu persónuupplýsinga í þágu viðbótarþjónustu, enda liggja ekki fyrir fyrirmæli sveitarfélagsins eða grunnskóla þess eða samkomulag milli þessara aðila hvað þá vinnslu varðar.
Á hinn bóginn ber Garðabær ábyrgð á því að persónuupplýsingar grunnskólanemenda sveitarfélagsins séu unnar í Google-nemendakerfinu, enda er það sveitarfélagið sem tekur ákvörðun um notkun kerfisins. Þrátt fyrir að Google setji fram tilgang og aðferðir við vinnslu tiltekinna gagna, samkvæmt framansögðu, leysir það ekki Garðabæ undan ábyrgðarskyldum sínum, líkt og rakið verður í næstu köflum hér á eftir.
Þar sem úttekt þessi beinist eingöngu að Garðabæ verður ekki fjallað frekar um ábyrgð Google í þessu sambandi.
3.2 Ábyrgðarskylda Garðabæjar við val á skýjaþjónustu og samningsgerð
Ábyrgðaraðili vinnslu persónuupplýsinga ber ábyrgð á því að vinnslan sé ávallt í samræmi við meginreglur um persónuvernd og skal geta sýnt fram á það, sbr. 8. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og 5. gr. reglugerðar (ESB) 2016/679. Ábyrgðaraðili skal, í því sambandi, gera viðeigandi tæknilegar og skipulagslegar ráðstafanir sem taka mið af eðli, umfangi, samhengi og tilgangi vinnslu og áhættu fyrir réttindi og frelsi skráðra einstaklinga til að tryggja og sýna fram á að vinnsla persónuupplýsinga uppfylli kröfur reglugerðarinnar, sbr. 23. gr. laga nr. 90/2018 og 1. mgr. 24. gr. reglugerðarinnar.
Ef tveir eða fleiri ábyrgðaraðilar ákveða sameiginlega tilgang vinnslunnar og aðferðir við hana skulu þeir teljast vera sameiginlegir ábyrgðaraðilar, sbr. 1. mgr. 26. gr. reglugerðarinnar og 23. gr. laganna. Þeir skulu, á gagnsæjan hátt, ákveða ábyrgð hvers um sig á því að skuldbindingar samkvæmt reglugerðinni séu uppfylltar með samkomulagi sín á milli nema og að því marki sem ábyrgð hvers ábyrgðaraðila um sig er ákveðin í lögum Sambandsins eða lögum aðildarríkis sem ábyrgðaraðilarnir heyra undir.
Þegar öðrum er falin vinnsla fyrir hönd ábyrgðaraðila skal ábyrgðaraðilinn einungis leita til vinnsluaðila sem veita nægilegar tryggingar fyrir því að þeir geri viðeigandi tæknilegar og skipulagslegar ráðstafanir til að vinnslan uppfylli kröfur reglugerðarinnar og að vernd réttinda hins skráða sé tryggð, sbr. 1. mgr. 25. gr. laga nr. 90/2018 og 1. mgr. 28. gr. reglugerðarinnar. Vinnsla af hálfu vinnsluaðila skal falla undir samning eða aðra réttargerð samkvæmt lögum, sem skuldbindur vinnsluaðila gagnvart ábyrgðaraðilanum og þar sem tilgreint er m.a. viðfangsefni og tilgangur vinnslu, skyldur og réttindi ábyrgðaraðila og að vinnsluaðili vinni einungis persónuupplýsingar samkvæmt skjalfestum fyrirmælum ábyrgðaraðila, sbr. 3. mgr. 25. gr. laganna og 3. mgr. 28. gr. reglugerðarinnar.
Líkt og rakið er í fyrrgreindum leiðbeiningum EDPB nr. 7/2020 (efnisgrein 83) ætti ábyrgðaraðili, þegar hann felur tilteknum þjónustuveitanda vinnslu persónuupplýsinga, að meta vandlega hvort þjónustuveitandinn gerir honum kleift að sinna ábyrgðarskyldum sínum með fullnægjandi hætti, að virtu eðli, umfangi, samhengi og tilgangi vinnslunnar og að teknu tilliti til mögulegrar áhættu sem fylgir vinnslunni fyrir hina skráðu. Í leiðbeiningunum segir einnig (efnisgreinar 37 og 84) að ábyrgðaraðili verði að taka endanlega ákvörðun um að samþykkja, með virkum hætti, hvernig vinnslan fer fram hjá vinnsluaðila, a.m.k. að meginstefnu til. Í einhverjum tilvikum kann að vera eðlilegt fyrir vinnsluaðila að geta tekið sjálfstæðar ákvarðanir í tengslum við vinnsluna en þá ætti það að vera ljóst hvaða tilvik það eru og að hvaða marki það þykir eðlilegt að þessar ákvarðanir falli í skaut vinnsluaðila.
Af þeim dæmum sem eru sett fram í leiðbeiningunum (efnisgrein 81 og 84) má einnig ráða að þegar sveitarfélög semja við skýjaþjónustuveitendur, í sambærilegum tilgangi og hér er til umfjöllunar, heyrir það undir ábyrgð sveitarfélagsins, sem ábyrgðaraðila vinnslunnar, að gera fullnægjandi vinnslusamning og tryggja að þær persónuupplýsingar sem eru unnar á þess ábyrgð séu eingöngu unnar í þeim tilgangi sem sveitarfélagið hefur tilgreint fyrir vinnslunni. Einnig verður ráðið, af tilvísuðum dæmum, að þegar þjónustuveitandi ákveður upp á sitt einsdæmi að nota persónuupplýsingar, sem hann fær aðgang að á grundvelli vinnslusamnings við ábyrgðaraðila, t.d. til að þróa eigin starfsemi, teljist þjónustuveitandinn ábyrgðaraðili þeirrar vinnslu en vinnslan felur þá jafnframt í sér brot á reglugerð (ESB) 2016/679.
Að öllu framangreindu virtu og með hliðsjón af atvikum þessa máls heyrir það undir ábyrgðarskyldur Garðabæjar að velja skýjaþjónustuveitanda sem gerir sveitarfélaginu kleift að sinna skyldum sínum samkvæmt persónuverndarlöggjöfinni með fullnægjandi hætti, að því virtu að um er að ræða vinnslu persónuupplýsinga barna í skólastarfi. Samkvæmt því hefði Garðabær átt að tryggja, þegar samið var við Google um vinnslu persónuupplýsinga grunnskólanemenda sveitarfélagsins, að upplýsingarnar yrðu eingöngu unnar í þeim tilgangi sem sveitarfélagið tilgreindi fyrir vinnslunni. Að því marki sem nauðsynlegt gæti talist að Google tæki sjálfstæðar ákvarðanir um vinnslu persónuupplýsinga vegna þjónustu sinnar við Garðabæ og reksturs kerfisins, hefði sveitarfélagið auk þess átt að taka afstöðu til þess að hvaða marki slíkt væri nauðsynlegt og heimilt.
Þar sem ekki er fjallað um vinnslu þjónustugagna eða vinnslu persónuupplýsinga í þágu viðbótarþjónustu Google í vinnslusamningi Garðabæjar og Google eða í sérstöku samkomulagi sameiginlegra ábyrgðaraðila, og með vísan til þess sem fram kemur í skýringum Garðabæjar um að allar ákvarðanir sem lúti að vinnslu þjónustugagna séu teknar eingöngu af Google án nokkurrar þátttöku sveitarfélagsins og að sveitarfélagið hafi afar takmarkaðar upplýsingar um vinnsluna, er það niðurstaða Persónuverndar að Garðabær hafi ekki sinnt ábyrgðarskyldum sínum samkvæmt 8. gr., 23. gr. og 1. mgr. 25. gr. laga nr. 90/2018, sbr. 5. gr., 1. mgr. 24. gr. og 1. mgr. 28. gr. reglugerðar (ESB) 2016/679.
Samkvæmt a-lið 3. mgr. 28. gr. reglugerðarinnar, sbr. 3. mgr. 25. gr. laganna, skal vinnslusamningur ábyrgðar- og vinnsluaðila einkum mæla fyrir um að vinnsluaðili vinni einungis persónuupplýsingar samkvæmt skjalfestum fyrirmælum ábyrgðaraðila nema vinnsluaðila sé annað skylt samkvæmt lögum en þá skal hann upplýsa ábyrgðaraðila um það áður en vinnsla hefst. Þar sem fyrirliggjandi vinnslusamningur Garðabæjar og Google útilokar ekki að Google vinni persónuupplýsingar frekar, umfram fyrirmæli Garðabæjar, eins og gögn málsins bera með sér að Google geri í raun, er það jafnframt niðurstaða Persónuverndar að vinnslusamningurinn samrýmist ekki framangreindum ákvæðum.
Samkvæmt 2. mgr. og d-lið 3. mgr. 28. gr. reglugerðar (ESB) 2016/679, sbr. 3. mgr. 25. gr. laga nr. 90/2018, skal vinnsluaðili tilkynna ábyrgðaraðilanum um allar fyrirhugaðar breytingar á undirvinnsluaðilum sem fela í sér að bætt er við vinnsluaðilum eða þeim skipt út og gefa þannig ábyrgðaraðilanum tækifæri til að andmæla slíkum breytingum.
Í ákvæði 11.4 b. í vinnslusamningi Garðabæjar og Google segir að Google tilkynni viðskiptavini um nýjan undirvinnsluaðila og viðskiptavinurinn hafi 90 daga til að andmæla breytingunni með því að segja upp samningnum þegar í stað. Í framkomnum skýringum Garðabæjar er því haldið fram að framangreindur tímafrestur gefi sveitarfélaginu nægan tíma til að koma á framfæri andmælum sínum við fyrirhugaðar breytingar á undirvinnsluaðilum. Að virtum fyrrgreindum leiðbeiningum EDPB nr. 7/2020 (efnisgrein 158) og með hliðsjón af skýrslu ráðsins frá 17. janúar 2023 vegna samræmdra eftirlitsaðgerða með notkun opinberra aðila á skýjaþjónustu, fellst Persónuvernd á þau sjónarmið Garðabæjar.
4.
Lögmæti vinnslu
Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Að auki verður vinnsla viðkvæmra persónuupplýsinga að samrýmast einhverju af viðbótarskilyrðum 1. mgr. 11. gr. laganna, sbr. 2. mgr. 9. gr. reglugerðarinnar. Við mat á heimild til vinnslu verður einnig að líta til ákvæða annarra laga sem við eiga hverju sinni.
Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að samrýmast öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða (1. tölul. lagaákvæðisins), að þær skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.), að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.), að þær skuli varðveittar í því formi að ekki sé unnt að bera kennsl á skráða einstaklinga lengur en þörf krefur miðað við tilgang vinnslu (5. tölul.) og að þær skuli unnar með þeim hætti að viðeigandi öryggi persónuupplýsinganna sé tryggt (6. tölul.). Þá skulu ábyrgðaraðilar geta sýnt fram á að vinnsla persónuupplýsinga samrýmist ávallt þessum meginreglum, sbr. 2. mgr. 8. gr. laganna og 2. mgr. 5. gr. reglugerðarinnar.
4.1 Vinnsluheimild og tilgangur
Ábyrgðaraðili skal ákveða skýrt tilgreindan, lögmætan og málefnalegan tilgang vinnslu persónuupplýsinga og tryggja að þær séu unnar með lögmætum hætti og eingöngu í tilgreindum tilgangi, sbr. 1. og 2. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og a- og b-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Í því felst að vinnsla persónuupplýsinga þarf að byggjast á viðeigandi vinnsluheimildum og þurfa ábyrgðaraðilar að geta sýnt fram á að öllum skilyrðum tiltekinnar vinnsluheimildar sé fullnægt, sbr. 2. mgr. tilvísaðra greina. Til þess að vinnsla persónuupplýsinga sé lögmæt þarf tilgangur hennar og vinnsluheimildir að liggja fyrir áður en vinnsla hefst.
Garðabær byggir vinnslu persónuupplýsinga grunnskólanemenda í Google-nemendakerfinu á heimild 5. tölul. 9. gr. laga nr. 90/2018, þar sem hún sé nauðsynleg vegna verka sem unnin eru í þágu almannahagsmuna eða við beitingu opinbers valds sem sveitarfélagið fer með, þ.e. að veita grunnskólanemendum kennslu í samræmi við þær væntingar og kröfur sem gerðar eru til slíkrar starfsemi. Í gögnum málsins og skýringum sveitarfélagsins er vísað til laga nr. 91/2008 um grunnskóla og aðalnámskrá grunnskóla. Þá er tekið fram að tilgangur kerfisins sé að halda utan um námsgögn og verkefni nemenda á aðgengilegan hátt, kenna nemendum að nýta upplýsingatæknikerfi í skólastarfi og uppfylla kröfur aðalnámskrár grunnskóla.
Persónuvernd hefur byggt á því í fyrri niðurstöðum sínum að sveitarfélög geti stutt vinnslu persónuupplýsinga grunnskólanemenda í upplýsingatæknikerfum við heimild 5. tölul. 9. gr. laga nr. 90/2018, sbr. e-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, í ljósi þeirra verkefna sem þeim eru falin með lögum nr. 91/2008 og réttarheimildum sem settar eru með stoð í þeim lögum. Vísast um þetta atriði til kafla III. 4.1 í fyrrgreindri ákvörðun stofnunarinnar í máli nr. 2021040879.
Krafa vinnsluheimildarinnar um að vinnsla sé nauðsynleg í tilteknum tilgangi og í þágu tilgreindra hagsmuna endurspeglar meginreglu persónuverndarlöggjafarinnar um meðalhóf. Það ræðst af aðstæðum hverju sinni hvort vinnsla telst nauðsynleg. Ábyrgðaraðilum er falið visst mat í þeim efnum en þeir þurfa að meta nauðsyn fyrir hvern og einn þátt vinnslunnar í þágu skilgreinds tilgangs. Matið, fyrir hvern og einn þátt vinnslunnar, ræðst svo af hagsmunum af tilteknu verki og hvort hægt er að gæta þeirra hagsmuna með einhverjum þeim hætti sem felur í sér takmarkaðri vinnslu persónuupplýsinga. Við það mat ber meðal annars að líta til umfangs vinnslunnar og eðlis og efnis þeirra upplýsinga sem unnið er með. Þannig ber t.a.m. að gera ríkari kröfur að því er varðar nauðsyn vinnslu upplýsinga um hrein einkamálefni einstaklinga sem er sanngjarnt og eðlilegt að fari leynt. Vinnsla viðkvæmra persónuupplýsinga þarf að auki að samrýmast einhverju af viðbótarskilyrðum 1. mgr. 11. gr. laga nr. 90/2018, sbr. 2. mgr. 9. gr. reglugerðar (ESB) 2016/679. Þá hefur Persónuvernd einnig lagt til grundvallar, við mat á nauðsyn vinnslu, að rétt sé að líta til þess hvort hinir skráðu eru börn, enda njóta persónuupplýsingar þeirra sérstakrar verndar, sbr. 38. lið formálsorða reglugerðarinnar. Í því sambandi verður, hvað umrædda vinnslu varðar, m.a. að líta til aldurs og þroska barnanna, þeirrar stöðu sem þau eru í gagnvart skólanum sínum, magns þeirra gagna sem hætta er á að safnist yfir skólagöngu þeirra, og aðgangs Google að persónuupplýsingum þeirra til vinnslu í eigin þágu.
Til þess að unnt sé að meta nauðsyn vinnslu, sem og að tryggja gagnsæi hennar, þarf tilgangur vinnslunnar jafnframt að vera skýrt afmarkaður til að komið sé í veg fyrir að fella megi næstum hvað sem er undir hann.
Í fyrrgreindri vinnsluskrá Garðabæjar, sem einnig er hluti af mati sveitarfélagsins á áhrifum á persónuvernd fyrir umrædda vinnslu, er tilgangur vinnslunnar nánar tilgreindur. Með hliðsjón af þeirri tilgreiningu telur Persónuvernd unnt að líta svo á að vinnsla persónuupplýsinga viðskiptavinarins, þ.e. þeirra persónuupplýsinga sem vinnslusamningur Garðabæjar og Google nær til, geti talist nauðsynleg vegna verkefnis sem er unnið í þágu almannahagsmuna eða við beitingu opinbers valds, sem Garðabær fer með samkvæmt lögum nr. 91/2008, og því verið heimil á grundvelli 5. tölul. 9. gr. laga nr. 90/2018, sbr. e-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679.
Með hliðsjón af því sem fram kemur í mati Garðabæjar á áhrifum á persónuvernd, að vinnsla mynda og myndbanda í Google-nemendakerfinu sé háð samþykki foreldra eða forráðamanna, áréttar Persónuvernd að stjórnvöld geta almennt ekki byggt á samþykki einstaklinga við vinnslu persónuupplýsinga þar sem slíkur aðstöðumunur telst vera með þeim og borgurunum að ólíklegt þykir að þeir geti veitt óþvingað samþykki sitt. Verða þau sjónarmið talin eiga við í þessu tilviki. Með hliðsjón af því getur vinnsla mynda og myndbanda nemenda í Google-nemendakerfinu ekki byggst á samþykki hinna skráðu samkvæmt 1. tölul. 9. gr. laga nr. 90/2018 og a-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679.
Hvað varðar vinnslu persónuupplýsinga í þjónustugögnum og í þágu viðbótarþjónustu Google áréttar Persónuvernd niðurstöðu sína um ábyrgðarskyldur Garðabæjar sem lýst er í kafla IV. 3.2.
Þegar Garðabær ákveður að taka í notkun skýjaþjónustu í grunnskólastarfi og beina nemendum í að nota það kerfi, ber sveitarfélagið ábyrgð á því að persónuupplýsingar nemendanna séu ekki notaðar í öðrum og ósamrýmanlegum tilgangi en þeim sem er tilgreindur fyrir vinnslunni, sbr. 2. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og b-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Á það einnig við um vinnslu persónuupplýsinga í þjónustugögnum og í þágu viðbótarþjónustu Google. Í því sambandi ber Garðabær að meta hvort einstakir vinnsluþættir, í tengslum við þá vinnslu, samrýmast þeim tilgangi sem er forsenda söfnunar persónuupplýsinganna í upphafi, í samræmi við 4. mgr. 6. gr. reglugerðar (ESB) 2016/679. Það að Google setji fram tilgang og aðferðir við umrædda vinnslu leysir Garðabæ ekki undan þeirri ábyrgðarskyldu. Af framangreindum ákvæðum leiðir jafnframt að vinnsla persónuupplýsinga í þjónustugögnum og í þágu viðbótarþjónustu Google, í öðrum og ósamrýmanlegum tilgangi en þeim sem er að baki söfnun upplýsinganna, getur ekki talist heimil á grundvelli 9. gr. laga nr. 90/2018 og 1. mgr. 6. gr. reglugerðar (ESB) 2016/679.
Af persónuverndarstefnu Google fyrir skýjaþjónustu (e. Google Cloud Privacy Notice) er ljóst að persónuupplýsingum er safnað í þjónustugögnum í öðrum tilgangi en að veita skýjaþjónustuna og tæknilega aðstoð í tengslum við hana, s.s. til að betrumbæta þjónustuna og aðra þjónustu sem viðskiptavinir nota og kynna nýja virkni fyrir viðskiptavinum og skylda þjónustu. Af persónuverndarstefnu fyrir Google-nemendakerfið (e. Google Workspace for Education Privacy Notice) er jafnframt ljóst að persónuupplýsingum er safnað í þágu viðbótarþjónustu í öðrum tilgangi, s.s. til að betrumbæta þjónustuna, þróa nýja þjónustu, veita persónusniðna þjónustu og greina hvernig þjónustan er notuð. Þá liggur fyrir, samkvæmt skilmálum Google um samþykki vegna vinnslu persónuupplýsinga í nemendakerfinu (e. Google Workspace for Education School Consent), að fyrirtækið safnar m.a. upplýsingum um staðsetningu tækja eins og hún ákvarðast af mismunandi tækni, þ. á m. IP-tölu, GPS og öðrum nemum, í því skyni að veita grunnþjónustu í kerfinu. Ekki er þó skýrt frekar hvernig þessar upplýsingar nýtast í þeim tilgangi og hefur Garðabær ekki tekið sjálfstæða afstöðu til þess hvort vinnsla þeirra er nauðsynleg í þeim tilgangi sem sveitarfélagið hefur tilgreint fyrir vinnslu persónuupplýsinga í nemendakerfinu.
Að öllu framangreindu virtu er það niðurstaða Persónuverndar að Garðabær hefur ekki gætt þess að persónuupplýsingar grunnskólanemenda sveitarfélagsins í Google-nemendakerfinu séu ekki unnar í öðrum og ósamrýmanlegum tilgangi en þeim sem sveitarfélagið hefur tilgreint fyrir vinnslu persónuupplýsinga í kerfinu og sem leiða má af verkefnum sveitarfélagsins samkvæmt lögum nr. 91/2008 um grunnskóla, sbr. 2. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og b-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, sbr. og 4. mgr. 6. gr. reglugerðarinnar.
4.2 Meðalhóf og lágmörkun gagna
Persónuupplýsingar skulu vera nægilegar, viðeigandi og takmarkast við það sem er nauðsynlegt miðað við tilgang vinnslunnar, sbr. 3. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og c-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679.
Í 1. og 2. mgr. 24. gr. laganna og 1. og 2. mgr. 25. gr. reglugerðarinnar er kveðið á um innbyggða og sjálfgefna persónuvernd. Samkvæmt ákvæðum um innbyggða persónuvernd skal ábyrgðaraðili gera tæknilegar og skipulagslegar ráðstafanir sem hannaðar eru til að framfylgja meginreglum um persónuvernd, þ. á m. lágmörkun gagna, og fella nauðsynlegar verndarráðstafanir inn í vinnsluna til að uppfylla kröfur reglugerðar (ESB) 2016/679. Ákvæðin um sjálfgefna persónuvernd kveða á um að ábyrgðaraðili skuli gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja að sjálfgefið sé að einungis þær persónuupplýsingar séu unnar sem nauðsynlegar eru vegna tilgangs vinnslunnar hverju sinni. Þessi skylda gildir um það hversu miklum persónuupplýsingum er safnað, að hvaða marki er unnið með þær, hversu lengi þær eru varðveittar og aðgang að þeim.
Í þessu sambandi verða áréttaðar framangreindar niðurstöður Persónuverndar, sbr. kafla IV. 3.2 og 4.1, sem lúta að ábyrgðarskyldum Garðabæjar hvað viðkemur vinnslu Google á persónuupplýsingum grunnskólanemenda sveitarfélagsins samkvæmt eigin skilmálum. Verður sveitarfélagið enn fremur ekki talið hafa uppfyllt ábyrgðarskyldur sínar sem lúta að innbyggðri og sjálfgefinni persónuvernd samkvæmt framangreindum ákvæðum þar sem ekki hafa verið gerðar viðeigandi skipulagslegar ráðstafanir til að framfylgja meginreglum um persónuvernd og til að tryggja að einungis sé unnið með persónuupplýsingar grunnskólanemenda að því marki sem nauðsynlegt er vegna tilgreinds tilgangs.
Af svörum Garðabæjar er þó ljóst að sveitarfélagið hefur takmarkað vinnslu persónuupplýsinga í Google-nemendakerfinu með ýmsum valkvæðum stillingum og stýringum í lausninni, sbr. nánari umfjöllun í kafla III. 6.2 hér að framan. Með hliðsjón af því er fallist á þau sjónarmið Garðabæjar að sveitarfélagið hafi gripið til ýmissa aðgerða sem takmarka vinnslu persónuupplýsinga í þágu innbyggðrar og sjálfgefinnar persónuverndar.
4.3 Varðveislutími persónuupplýsinga
Persónuupplýsingar skulu varðveittar í því formi að ekki sé unnt að bera kennsl á skráða einstaklinga lengur en þörf krefur miðað við tilgang vinnslunnar, sbr. 5. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og e-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Upplýsingar má með öðrum orðum ekki varðveita á persónugreinanlegu formi lengur en nauðsyn krefur í ljósi þess tilgangs sem var með söfnun þeirra og vinnslu. Samkvæmt ábyrgðarskyldu 2. mgr. 8. gr. laganna og 2. mgr. 5. gr. reglugerðarinnar þurfa ábyrgðaraðilar að geta sýnt fram á að þessu sé fylgt. Samkvæmt því sem þegar hefur verið rakið í kafla IV. 4.1 hér á undan er mikilvægt að tilgangur vinnslunnar sé skýrt afmarkaður til að unnt sé að meta nauðsyn varðveislu. Þá taka ákvæði um sjálfgefna persónuvernd einnig til þess hversu lengi persónuupplýsingar eru varðveittar, sbr. umfjöllun í kaflanum hér á undan. Þegar hefur verið komist að þeirri niðurstöðu að Garðabær telst hafa tilgreint tilgang vinnslunnar með nægilega skýrum hætti til þess að unnt sé að meta nauðsyn einstakra vinnsluaðgerða. Það sama verður talið eiga við um varðveislutíma persónuupplýsinga. Samkvæmt vinnsluskrá fyrir umrædda vinnslu voru gögn nemenda þó almennt varðveitt í Google-nemendakerfinu þar til skólagöngu þeirra lyki án þess að lagt væri mat á það að hvaða leyti sá langi varðveislutími samrýmdist tilgreindum tilgangi. Var þessi framkvæmd ekki í samræmi við 5. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og e-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, sbr. og 2. mgr. 24. gr. laganna og 2. mgr. 25. gr. reglugerðarinnar um sjálfgefna persónuvernd.
Samkvæmt svörum Garðabæjar hefur sveitarfélagið breytt þessari framkvæmd og er persónuupplýsingum nemenda nú eytt úr Google-nemendakerfinu eftir hvert skólaár. Telur Persónuvernd ekki tilefni til að gera athugasemd við þetta fyrirkomulag, að því marki sem tilgangur vinnslunnar er skýrt afmarkaður til þess að unnt sé að meta nauðsyn varðveislunnar hverju sinni.
Hvað varðar varðveislutíma Google á þeim persónuupplýsingum grunnskólanemenda sem fyrirtækið vinnur samkvæmt eigin skilmálum liggur ekki annað fyrir en það sem segir í persónuverndarstefnu Google fyrir skýjaþjónustu (e. Google Cloud Privacy Notice), en þar segir að upplýsingarnar séu varðveittar eins lengi og Google telji nauðsynlegt í tilgreindum tilgangi, t.d. til að koma í veg fyrir svik og misnotkun. Telur Persónuvernd að það heyri undir ábyrgðarskyldu Garðabæjar, í samræmi við fyrrgreindar niðurstöður, að afla sér allra upplýsinga um varðveislutíma persónuupplýsinga grunnskólanemenda sveitarfélagsins sem eru unnar af Google og taka skýra afstöðu þar að lútandi.
5.
Mat á áhrifum á persónuvernd
Ef líklegt er að vinnsla persónuupplýsinga geti haft í för með sér mikla áhættu fyrir réttindi og frelsi einstaklinga, einkum þar sem beitt er nýrri tækni og með hliðsjón af eðli, umfangi, samhengi og tilgangi vinnslunnar, skal ábyrgðaraðili láta fara fram mat á áhrifum fyrirhugaðra vinnsluaðgerða á vernd persónuupplýsinga áður en vinnslan hefst og getur eitt mat tekið til nokkurra svipaðra vinnsluaðgerða sem geta haft í för með sér svipaða áhættuþætti, sbr. 1. mgr. 29. gr. laga nr. 90/2018 og 1. mgr. 35. gr. reglugerðar (ESB) 2016/679.
Með vísan til umfjöllunar í kafla IV. 2., sem og til þess að um er að ræða flókna tækni, skýjaþjónustu, sem beitt er á nýjan hátt, þ.e. til að veita skólabörnum kennslu, þykir ljóst að Garðabæ var skylt að framkvæma mat á áhrifum vinnsluaðgerða á vernd persónuupplýsinga grunnskólanemenda áður en vinnsla í kerfinu hófst, sbr. 8. tölul. 3. gr. auglýsingar nr. 828/2019, sbr. 1. og 2. mgr. 29. gr. laga nr. 90/2018 og 1. og 4. mgr. 35. gr. reglugerðar (ESB) 2016/679. Þar að auki er leyfilegt að færa endurgjöf kennara við verkefni nemenda inn í Google-nemendakerfið, samkvæmt vinnsluskrá Garðabæjar, en skylt er að framkvæma mat á áhrifum þeirra vinnsluaðgerða, sbr. 4. og 9. tölul. auglýsingar nr. 828/2019.
Líkt og fram kemur í kafla II. 2. hér að framan tók Garðabær fyrirliggjandi mat á áhrifum á persónuvernd til endurskoðunar eftir að úttektin hófst og fylgdi nýtt mat með svörum sveitarfélagsins 15. september 2023. Það athugast í þessu sambandi að mat á áhrifum á persónuvernd á að liggja fyrir áður en vinnsla hefst og er það mat sem lá fyrir hjá Garðabæ þegar úttektin hófst til skoðunar hér, þ.e. það mat sem fylgdi með svörum sveitarfélagsins 16. júní 2022.
Ábyrgðaraðilar geta notfært sér mismunandi aðferðir við framkvæmd mats á áhrifum á persónuvernd en samkvæmt 84. lið formálsorða reglugerðarinnar ætti einkum að meta uppruna, eðli, sérkenni og alvarleika þeirrar áhættu sem leiðir af vinnsluaðgerðum. Samkvæmt 7. mgr. 35. gr. reglugerðarinnar skal matið að lágmarki innihalda kerfisbundna lýsingu á fyrirhuguðum vinnsluaðgerðum og tilganginum með vinnslunni (a-liður ákvæðisins), mat á því hvort vinnsluaðgerðirnar eru nauðsynlegar og hóflegar miðað við tilganginn með þeim (b-liður), mat á áhættu fyrir réttindi og frelsi skráðra einstaklinga (c-liður) og lýsingu á þeim ráðstöfunum sem fyrirhugað er að grípa til gegn slíkri áhættu, þ.m.t. verndarráðstafanir, öryggisráðstafanir og fyrirkomulag við að tryggja vernd persónuupplýsinga (d-liður).
Ítarleg grein er gerð fyrir mati Garðabæjar á áhrifum á persónuvernd vegna vinnslu persónuupplýsinga grunnskólanemenda í Google-nemendakerfinu, frá 16. júní 2022, í kafla II. 2. Hér verður aðeins farið yfir þau atriði sem Persónuvernd telur ekki samrýmast lágmarkskröfum 35. gr. reglugerðar (ESB) 2016/679, sbr. 1. mgr. 29. gr. laga nr. 90/2018.
Að virtum fyrri niðurstöðum, sbr. kafla IV. 3.2 og 4.1 hér á undan, telur Persónuvernd að mat Garðabæjar hafi ekki uppfyllt skilyrði a-liðar 7. mgr. 35. gr. reglugerðarinnar þar sem ekki er gerð viðhlítandi grein fyrir vinnsluaðgerðum samkvæmt skilmálum Google. Í skýringum Garðabæjar segir að sveitarfélagið hafi takmarkaðar upplýsingar um vinnslu Google á persónuupplýsingum í þjónustugögnum þar sem sveitarfélagið sé ekki ábyrgðaraðili vinnslunnar. Þá ákveði grunnskólar Garðabæjar sjálfir hvaða viðbótarþjónustur séu notaðar samhliða nemendakerfinu. Persónuvernd áréttar að í ábyrgðarskyldu Garðabæjar felst m.a. að hafa yfirsýn yfir söfnun og vinnslu persónuupplýsinga grunnskólanemenda sem fer fram í Google-nemendakerfinu, enda tók sveitarfélagið ákvörðun um að nemendur þess skyldu nota kerfið og er ábyrgt fyrir því að persónuupplýsingar þeirra rati þangað.
Kerfisbundin lýsing á fyrirhuguðum vinnsluaðgerðum og tilganginum með vinnslunni er enn fremur forsenda þess að ábyrgðaraðili geti metið næsta þátt matsins með víðhlítandi hætti, þ.e. hvort vinnsluaðgerðir eru nauðsynlegar og hóflegar miðað við tilgang þeirra. Af því leiðir að mat Garðabæjar uppfyllir heldur ekki skilyrði b-liðar 7. mgr. 35. gr. reglugerðarinnar. Við mat samkvæmt því ákvæði kann t.a.m. að koma í ljós að tilteknar vinnsluaðgerðir eru ekki nauðsynlegar til að ná því markmiði sem stefnt er að og rúmast ekki innan þeirrar vinnsluheimildar sem byggt er á.
Loks telur Persónuvernd að í matinu sé ekki lagt viðeigandi mat á áhættu fyrir réttindi og frelsi grunnskólanemenda, sbr. c-lið 7. mgr. 35. gr. reglugerðarinnar. Í því sambandi má hafa hliðsjón af 84. og 90. lið formálsorða reglugerðarinnar, sem og 75. lið þeirra. Með hliðsjón af virkni Google-nemendakerfisins og þeim skilmálum sem gilda um kerfið telur Persónuvernd að meta hefði þurft sérstaklega áhættu samfara aðgengi Google að persónuupplýsingum nemenda til vinnslu í eigin þágu.
Með hliðsjón af öllu framangreindu er það niðurstaða Persónuverndar að umrætt mat Garðabæjar á áhrifum á persónuvernd standist ekki lágmarkskröfur 35. gr. reglugerðar (ESB) 2016/679, sbr. 1. mgr. 29. gr. laga nr. 90/2018.
-
Samkvæmt 1. mgr. 30. gr. laga nr. 90/2018, sbr. 1. mgr. 36. gr. reglugerðar (ESB) 2016/679, skal ábyrgðaraðili hafa samráð við Persónuvernd, ef mat á áhrifum á persónuvernd gefur til kynna að vinnsla muni hafa mikla áhættu í för með sér, áður en vinnsla hefst.
Persónuvernd telur tilefni til að árétta mikilvægi þess að vandað sé til verka í upphafi og að samráðs sé leitað við stofnunina áður en vinnsla persónuupplýsinga hefst, ef talið er að vinnslunni fylgi mikil áhætta fyrir hina skráðu og ef vafi leikur á um að unnt sé að draga úr áhættunni með fullnægjandi ráðstöfunum af hendi ábyrgðaraðila.
Í þessu sambandi eru áréttuð þau sjónarmið sem rakin eru í kafla IV. 2. um vinnslu persónuupplýsinga barna í skólastarfi. Einnig er að líta til eðlis þeirra upplýsinga sem eru unnar í Google-nemendakerfinu, þ.e. endurgjöf eða mat kennara á verkefnum og aðrar persónuupplýsingar sem varða hrein einkamálefni nemendanna, s.s. í verkefnum þeirra, sem og áhættunnar á því að viðkvæmar persónuupplýsingar verði skráðar í kerfið. Að teknu tilliti til einstakra ákvæða í skilmálum Google, t.d. um vinnslu upplýsinga um staðsetningu tækja eins og hún ákvarðast af mismunandi tækni, þ. á m. IP-tölu, GPS og öðrum nemum, í því almenna skyni að veita grunnþjónustu, er enn fremur að líta til fullyrðinga Garðabæjar í framkomnum skýringum. Segir þar, nánar tiltekið, að sveitarfélagið hafi engin völd, aðstöðu eða réttindi til að veita upplýsingar um alla vinnslu persónuupplýsinga grunnskólanemenda í Google-nemendakerfinu, að sveitarfélagið hafi enga aðkomu haft að því að semja einhliða skilmála Google, þar sem frekari vinnslu persónuupplýsinga grunnskólanemendanna er lýst, og að það sé staðreynd, m.a. samkvæmt yfirlýsingum Google, að ekki sé hægt að veita neina skýjaþjónustu, af því tagi sem hér um ræðir, án vinnslu upplýsinga, eins og þeirra sem eru skilgreindar sem þjónustugögn í skilmálum Google.
Telur Persónuvernd að allt það sem hér hefur verið rakið hefði átt að leiða til þess að Garðabær hefði samráð við Persónuvernd áður en sveitarfélagið tók ákvörðun um að persónuupplýsingar grunnskólanemenda yrði gerðar aðgengilegar Google til vinnslu þeirra umfram fyrirmæli sveitarfélagsins.
6.
Miðlun persónuupplýsinga til þriðju landa
Miðlun persónuupplýsinga til þriðju landa, þ.e. landa utan Evrópska efnahagssvæðisins, er eingöngu heimil ef farið er að ákvæðum V. kafla reglugerðar (ESB) 2016/679, sem ætlað er að tryggja fullnægjandi vernd við miðlun persónuupplýsinga til þriðju landa eða alþjóðastofnana, sbr. 44. gr. reglugerðarinnar. Í tilvísuðu ákvæði segir jafnframt að beita skuli öllum ákvæðum kaflans þannig að tryggja megi að ekki sé grafið undan vernd einstaklinga sem tryggð er með reglugerðinni.
Samkvæmt 1. mgr. 45. gr. reglugerðarinnar er miðlun persónuupplýsinga til þriðju landa eða alþjóðastofnana heimil ef framkvæmdastjórnin hefur ákveðið að þriðja landið, yfirráðasvæði eða einn eða fleiri tilgreindir geirar innan viðkomandi þriðja lands eða umrædd alþjóðastofnun tryggi fullnægjandi vernd. Slík miðlun þarfnast ekki sérstakrar heimildar. Ef ekki liggur fyrir jafngildis-ákvörðun samkvæmt 45. gr. reglugerðarinnar getur ábyrgðaraðili eða vinnsluaðili aðeins miðlað persónuupplýsingum til þriðja lands hafi hann gert viðeigandi verndarráðstafanir og með því skilyrði að fyrir hendi séu framfylgjanleg réttindi og skilvirk lagaleg úrræði fyrir skráða einstaklinga, sbr. 1. mgr. 46. gr. reglugerðarinnar.
Samkvæmt ákvæði 10.1 í fyrirliggjandi vinnslusamningi Garðabæjar og Google getur vinnsla persónuupplýsinga farið fram í þeim löndum þar sem Google eða undirvinnsluaðilar fyrirtækisins hafa aðstöðu. Af gögnum málsins er enn fremur ljóst að Google og hluti undirvinnsluaðila fyrirtækisins hafa aðstöðu í Bandaríkjunum. Í skýringum Garðabæjar kemur fram að Google geti ekki staðfest hvort gögn sem unnin eru í Google-nemendakerfinu eru vistuð eða að öðru leyti unnin í Bandaríkjunum.
Með hliðsjón af framangreindu telur Persónuvernd ekki útilokað að persónuupplýsingar grunnskólanemenda Garðabæjar í Google-nemendakerfinu séu unnar í Bandaríkjunum.
Jafngildisákvörðun varðandi flutning persónuupplýsinga frá Evrópu til Bandaríkjanna var samþykkt af framkvæmdastjórn Evrópusambandsins 10. júlí 2023. Miðlun persónuupplýsinga til Bandaríkjanna féll því ekki undir fyrrgreinda 45. gr. reglugerðarinnar á þeim tíma þegar úttekt þessi hófst og fram til 10. júlí sl.
Samkvæmt fyrirliggjandi vinnslusamningi var á þessum tíma treyst á staðlaða samningsskilmála vegna miðlunar persónuupplýsinga til þriðju landa, sbr. c-lið 2. mgr. 46. gr. reglugerðar (ESB) 2016/679. Auk þess hefur Garðabær vísað til lýsinga Google á þeim viðbótarverndarráðstöfunum sem eru viðhafðar vegna miðlunar persónuupplýsinga til þriðju landa.
Í dómi Evrópudómstólsins frá 16. júlí 2020 í máli nr. C-311/18 (Schrems II) er tekið fram að við miðlun persónuupplýsinga til þriðju landa þurfi að tryggja sambærilega vernd og almenna persónuverndarreglugerðin kveður á um, óháð því hvaða ákvæði V. kafla reglugerðar (ESB) 2016/679 stuðst er við, en slíkt leiði af 44. gr. reglugerðarinnar. Styðjist ábyrgðaraðili við staðlaða samningsskilmála við flutning persónuupplýsinga til þriðja lands þarf hann því að tryggja í framkvæmd að skilmálarnir veiti sambærilega vernd og almenna persónuverndarreglugerðin kveður á um. Við ákvörðun um hvort undirgangast skal slík ákvæði þurfa ábyrgðaraðilar að leggja mat á hvort viðtökulandið veitir fullnægjandi vernd. Í því sambandi var í dómi Evrópudómstólsins sérstaklega nefnt að í Bandaríkjunum hefðu eftirlitsstofnanir víðtækar heimildir, samkvæmt lögum, til að nota persónuupplýsingar sem fluttar væru frá Evrópusambandinu til Bandaríkjanna án þess að þurfa að gæta að persónuvernd einstaklinga. Af dómnum má jafnframt ráða að stöðluð samningsákvæði hafi ekki getað komið í veg fyrir slíkan aðgang erlendra eftirlitsstofnana og því hefðu ábyrgðaraðilar getað þurft að innleiða viðbótarverndarráðstafanir samhliða stöðluðum samningsskilmálum til að tryggja í framkvæmd að skilmálarnir veittu sambærilega vernd.
Í tilmælum EDPB frá 18. júní 2020 nr. 1/2020 um ráðstafanir til flutnings persónuupplýsinga úr landi (e. Recommendations on measures that supplement transfer tools to ensure compliance with EU level of protection of personal data) eru nánari upplýsingar um hvers ábyrgðaraðilum ber að gæta við flutning persónuupplýsinga til þriðju landa, meðal annars með hliðsjón af framangreindum dómi Evrópudómstólsins. Hvað varðar mögulegan aðgang erlendra eftirlitsstofnana að persónuupplýsingum sem miðlað er til þriðju landa segir í tilmælunum að samningsbundnar og skipulagslegar viðbótarráðstafanir dugi almennt ekki til að koma í veg fyrir slíkan aðgang, heldur þurfi jafnframt að innleiða tæknilegar ráðstafanir, svo sem dulkóðun. Í tilmælunum er jafnframt lögð áhersla á að haldið sé utan um dulkóðunarlykla á ábyrgan hátt og af traustum aðilum innan Evrópska efnahagssvæðisins eða annarra ríkja sem tryggja persónuupplýsingum fullnægjandi vernd.
Af lýsingum Google er ljóst að persónuupplýsingar eru dulkóðaðar í gagnagrunni Google-nemendakerfisins, sem og í flutningi. Google key management service (KMS) varðveitir dulkóðunarlykilinn en viðskiptavinir eiga einnig kost á að stjórna varðveislu lykilsins fyrir tiltekna þjónustu. Garðabær hefur ekki sýnt fram á að sveitarfélagið hafi nýtt þann möguleika. Persónuvernd telur því að leggja verði til grundvallar að dulkóðunarlykillinn hafi verið varðveittur af Google KMS, sem er á hendi sömu fyrirtækjasamstæðu og annaðist hýsingu og dulkóðun persónuupplýsinga fyrir hönd Garðabæjar. Að mati Persónuverndar dregur það fyrirkomulag verulega úr verndargildi dulkóðunarinnar. Þá verður ekki séð að aðrar tæknilegar ráðstafanir, s.s. aðgangsstýringar, sem viðhafðar eru í Google-nemendakerfinu, hafi getað komið í veg fyrir aðgang erlendra eftirlitsstofnana að persónuupplýsingum sem miðlað er til þriðju landa.
Með hliðsjón af því sem hér hefur verið rakið telur Persónuvernd að Garðabær hafi ekki sýnt fram á að hafa gert fullnægjandi viðbótarverndarráðstafanir í tengslum við flutning persónuupplýsinga til Bandaríkjanna, fram til 10. júlí 2023. Því hafi sveitarfélagið ekki uppfyllt skilyrði 46. gr. reglugerðar (ESB) 2016/679, og hafi miðlun persónuupplýsinga til Bandaríkjanna, á grundvelli vinnslusamnings sveitarfélagsins við Google, þar af leiðandi verið andstæð 44. gr. reglugerðarinnar.
7.
Samantekt niðurstöðu
Persónuvernd hefur komist að þeirri niðurstöðu að vinnsla persónuupplýsinga grunnskólanemenda í Google-nemendakerfinu á vegum Garðabæjar hafi ekki verið í samræmi við ákvæði persónuverndarlöggjafarinnar.
Í fyrsta lagi telst Garðabær ekki hafa uppfyllt ábyrgðarskyldur sínar þegar lagt var mat á og tekin ákvörðun um að nota Google sem vinnsluaðila umræddrar vinnslu, sbr. 8. gr., 23. gr. og 1. mgr. 25. gr. laga nr. 90/2018 og 5. gr., 1. mgr. 24. gr. og 1. mgr. 28. gr. reglugerðar (ESB) 2016/679.
Í öðru lagi telst vinnslusamningur Garðabæjar og Google ekki uppfylla skilyrði a-liðar 3. mgr. 28. gr. reglugerðarinnar, sbr. 3. mgr. 25. gr. laganna.
Í þriðja lagi telst Garðabær ekki hafa uppfyllt ábyrgðarskyldur sínar sem lúta að því að persónuupplýsingar grunnskólanemenda sveitarfélagsins séu ekki unnar í öðrum og ósamrýmanlegum tilgangi en þeim sem sveitarfélagið hefur tilgreint fyrir vinnslunni, sbr. 2. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og b-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, sbr. og 4. mgr. 6. gr. reglugerðarinnar.
Í fjórða lagi telst Garðabær ekki hafa uppfyllt ábyrgðarskyldur sínar sem lúta að lágmörkun gagna og innbyggðri og sjálfgefinni persónuvernd samkvæmt 3. tölul. 1. mgr. 8. gr. og 1. og 2. mgr. 24. gr. laga nr. 90/2018, sbr. c-lið 1. mgr. 5. gr. og 1. og 2. mgr. 25. gr. reglugerðar (ESB) 2016/679.
Í fimmta lagi telst Garðabær ekki hafa uppfyllt ábyrgðarskyldur sínar sem lúta að geymslutakmörkun og sjálfgefinni persónuvernd samkvæmt 5. tölul. 1. mgr. 8. gr. og 2. mgr. 24. gr. laga nr. 90/2018, sbr. e-lið 1. mgr. 5. gr. og 2. mgr. 25. gr. reglugerðar (ESB) 2016/679.
Í sjötta lagi stenst mat á áhrifum á persónuvernd sem Garðabær gerði vegna vinnslunnar ekki lágmarkskröfur a-c-liða 7. mgr. 35. gr. reglugerðar (ESB) 2016/679, sbr. 1. mgr. 29. gr. laga nr. 90/2018.
Í sjöunda lagi tryggði Garðabær ekki öruggan flutning persónuupplýsinga til Bandaríkjanna, sbr. 46. gr. reglugerðar (ESB) 2016/679, og braut því gegn 44. reglugerðarinnar.
V.
Beiting fyrirmæla og stjórnvaldssekta
1.
Fyrirmæli
Í samræmi við þessa niðurstöðu, og með vísan til 4. tölul. 42. gr. laga nr. 90/2018, sbr. d-lið 2. mgr. 58. gr. reglugerðar (ESB) 2016/679, er hér með lagt fyrir Garðabæ að færa vinnslu persónuupplýsinga grunnskólanemenda í Google-nemendakerfinu til samræmis við löggjöfina.
Í því sambandi vill Persónuvernd draga fram þau atriði sem stofnunin telur sérstaklega áríðandi að huga að til þess að heimilt geti verið fyrir sveitarfélagið að halda áfram notkun Google-nemendakerfisins. Rétt er að taka fram að með hliðsjón af jafngildisákvörðun framkvæmdastjórnar Evrópusambandsins, dags. 10. júlí 2023, um flutning persónuupplýsinga frá Evrópu til Bandaríkjanna kemur ekki til skoðunar að beina fyrirmælum til Garðabæjar sem lúta að öruggum flutningi persónuupplýsinga til Bandaríkjanna.
Telur Persónuvernd ekki tilefni til að mæla fyrir um stöðvun vinnslu í Google-nemendakerfinu ef Garðabær telur mögulegt að færa vinnsluna til samræmis við persónuverndarlöggjöfina samkvæmt eftirfarandi:
1. Garðabær kortleggi hvaða vinnsla persónuupplýsinga grunnskólanemenda sveitarfélagsins fer í raun fram í Google-nemendakerfinu og í hvaða tilgangi. Á það við um allar vinnsluaðgerðir, hvort sem þær eru á hendi sveitarfélagsins eða Google.
2. Garðabær skjalfesti mat sitt á einstökum vinnsluaðgerðum, samkvæmt lið 1, til samræmis við ákvæði 2. og 3. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og b- og c-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, sbr. og 4. mgr. 6. gr. reglugerðarinnar, þ. á m. mat á því, í hvaða tilvikum Google getur tekið sjálfstæðar ákvarðanir í tengslum við vinnslu, sem fer fram samkvæmt fyrirmælum sveitarfélagsins, og að hvaða marki.
3. Garðabær geri viðeigandi breytingar á vinnslusamningi við Google í samræmi við ákvæði 28. gr. reglugerðar (ESB) 2016/679, sbr. 3. mgr. 25. gr. laga nr. 90/2018. Í vinnslusamningi sé tilgreint með skýrum og gagnsæjum hætti um hvaða vinnslu er samið og tekin af öll tvímæli um að önnur vinnsla, en sú sem Garðabær veitir fyrirmæli um og er í samræmi við tilgreindan tilgang, fari ekki fram.
4. Garðabær uppfæri mat sitt á áhrifum á persónuvernd í samræmi við liði 1 og 2 og til samræmis við 7. mgr. 35. gr. reglugerðar (ESB) 2016/679 og 1. mgr. 29. gr. laga nr. 90/2018.
Staðfesting á því að farið hafi verið að þessum fyrirmælum skal berast Persónuvernd eigi síðar en 29. febrúar 2024.
2.
Stjórnvaldssekt
Samkvæmt 1. mgr. 46. gr. laga nr. 90/2018 getur Persónuvernd lagt stjórnvaldssekt á hvern þann ábyrgðaraðila sem brýtur gegn einhverju þeirra ákvæða reglugerðarinnar sem talin eru upp í 2. og 3. mgr. sömu lagagreinar.
Sekt samkvæmt 2. mgr. 46. gr. laganna getur numið allt frá 100.000 krónum til 1,2 milljarða króna eða allt að 2% af árlegri heildarveltu fyrirtækis á heimsvísu, þegar brotið hefur verið gegn meðal annars 28. og 35. gr. reglugerðar (ESB) 2016/679.
Sekt samkvæmt 3. mgr. 46. gr. laganna getur numið frá 100.000 krónum til 2,4 milljarða króna eða allt að 4% af árlegri heildarveltu fyrirtækis á heimsvísu, þegar brotið hefur verið gegn meðal annars 5., 44. og 46. gr. reglugerðarinnar.
Með hliðsjón af framkvæmdinni í þeim löndum sem eru bundin af reglugerðinni liggur fyrir að sektir sem eru lagðar á opinbera aðila eru mun lægri en þær sem lagðar eru á stórfyrirtæki með mikla veltu. Einnig er ljóst að þó að unnt sé að sekta fyrir mörg brot, samkvæmt bæði 2. og 3. mgr. 46. gr. laganna, í einu og sama málinu myndi samanlögð sekt fyrir brotin aldrei verða hærri en samkvæmt efri mörkum sektarramma 3. mgr. þeirrar greinar.
Við ákvörðun um hvort beita skal stjórnvaldssekt og hver fjárhæð hennar skal vera, skal tekið tillit til þeirra þátta sem taldir eru upp í 1. mgr. 47. gr. laga nr. 90/2018, sbr. 2. mgr. 83. gr. reglugerðar (ESB) 2016/679. Með hliðsjón af þeim ákvæðum telur Persónuvernd að eftirfarandi atriði verði metin Garðabæ til málsbóta við ákvörðun um hvort beita skal stjórnvaldssekt og hver fjárhæð hennar skal vera:
1. Ekkert liggur fyrir um að tjón hafi orðið vegna vinnslu persónuupplýsinga grunnskólanemenda Garðabæjar í Google-nemendakerfinu, sbr. 1. tölul. 1. mgr. 47. gr. laganna og a-lið 2. mgr. 83. gr. reglugerðarinnar.
2. Garðabær hefur svarað erindum Persónuverndar við meðferð málsins með skýrum og greinargóðum hætti, sbr. 6. tölul. 1. mgr. 47. gr. laganna og f-lið 2. mgr. 83. gr. reglugerðarinnar.
3. Eftir að úttektin hófst hefur Garðabær endurskoðað verklag í tengslum við varðveislutíma persónuupplýsinga í Google-nemendakerfinu og mat á áhrifum á persónuvernd vegna vinnslunnar, sbr. 6. tölul. 1. mgr. 47. gr. laganna og f-lið 2. mgr. 83. gr. reglugerðarinnar.
Þá telur Persónuvernd að eftirfarandi atriði leiði frekar til þess að stjórnvaldssekt verði lögð á Garðabæ og hafi áhrif til hækkunar hennar:
1. Brot Garðabæjar þykja alvarleg með hliðsjón af því að þau varða persónuupplýsingar barna í skólastarfi, sbr. 1. og 7. tölul. 1. mgr. 47. gr. laganna og a- og g-lið 2. mgr. 83. gr. reglugerðarinnar.
Persónuupplýsingar barna njóta sérstakrar verndar samkvæmt persónuverndarlöggjöfinni þar sem þau kunna að vera síður meðvituð um áhættu, afleiðingar og viðkomandi verndarráðstafanir og réttindi sín í tengslum við vinnslu persónuupplýsinga, sbr. 38. lið formála reglugerðarinnar. Einnig er að líta til þess hvaða möguleika grunnskólanemendur hafa í raun til að hafna eða takmarka vinnslu persónuupplýsinga sinna í upplýsingatæknikerfi sem skóli þeirra hefur tekið ákvörðun um að nota. Að þessu virtu er brýnt að sveitarfélagið hafi yfirsýn yfir þá vinnslu persónuupplýsinga sem fer fram í því kerfi sem það kýs að nota og missi ekki stjórn á persónuupplýsingum barnanna.
2. Brot Garðabæjar þykja alvarleg með hliðsjón af eðli þeirra persónuupplýsinga grunnskólanemenda sem eru unnar í Google-nemendakerfinu, sbr. 1. og 7. tölul. 1. mgr. 47. gr. laganna og a- og g-lið 2. mgr. 83. gr. reglugerðarinnar.
Í fyrsta lagi er heimilt að skrá í kerfið upplýsingar um endurgjöf kennara við verkefni nemenda. Þykir slík vinnsla vera líkleg til að hafa í för með sér mikla áhættu fyrir réttindi og frelsi einstaklinga, samkvæmt ákvæðum 4. og 9. tölul. 3. gr., sbr. 1. og 2. gr. auglýsingar Persónuverndar nr. 828/2019 um skrár yfir vinnsluaðgerðir sem krefjast ávallt mats á áhrifum á persónuvernd.
Í öðru lagi verður einnig að telja að þær persónuupplýsingar, sem felast í verkefnum nemenda, séu persónuupplýsingar um hrein einkamálefni nemendanna og eru almennt gerðar ríkari kröfur hvað varðar vinnslu slíkra upplýsinga í samræmi við meginreglur um persónuvernd, skv. 1. mgr. 8. gr. laga nr. 90/2018 og 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Persónuvernd hefur byggt á því að gera skuli ríkari kröfur til vinnslu persónuupplýsinga um hrein einkamálefni eða upplýsinga viðkvæms eðlis í fyrri niðurstöðum sínum, m.a. í úrskurði stofnunarinnar frá 19. maí 2003, í máli nr. 2003/103, sem svo er vísað til í ákvörðun stofnunarinnar frá 3. maí 2022, í máli nr. 2021040879. Af athugasemdum við 9. gr. frumvarps sem varð að lögum nr. 90/2018 má ráða að það hafi ekki verið vilji löggjafans að bregða frá fyrri framkvæmd hvað þetta varðar.
Í þriðja lagi telur Persónuvernd að með hliðsjón af virkni Google-nemendakerfisins og aldri nemenda standi líkur til þess að viðkvæmar persónuupplýsingar, eins og þær eru skilgreindar í 3. tölul. 3. gr. laga nr. 90/2018, séu skráðar í kerfið. Í mati Garðabæjar á áhrifum á persónuvernd segir um verkefni sem eru unnin í nemendakerfinu að nemendum sé leiðbeint um að skrá engar viðkvæmar persónuupplýsingar í kerfið. Þótt ekkert liggi fyrir um að viðkvæmar persónuupplýsingar grunnskólanemenda Garðabæjar hafi í raun verið skráðar í Google-nemendakerfið er ljóst af framangreindu að sveitarfélaginu er fullkunnugt um áhættu þar að lútandi.
Áhættan sem fylgir skráningu upplýsinga samkvæmt framangreindu er enn meiri þegar horft er til þeirrar vinnslu persónuupplýsinga sem Google viðhefur samkvæmt eigin skilmálum. Að öllu þessu virtu var aðgæsluskylda og ábyrgð Garðabæjar töluvert meiri en ella.
3. Mikil áhætta fylgdi því að persónuupplýsingar væru fluttar til Bandaríkjanna og unnar þar án þess að gripið hefði verið til viðeigandi verndarráðstafana, sbr. dóm Evrópudómstólsins frá 16. júlí 2020 í máli nr. C-311/18 (Schrems II), enda höfðu bandarískar eftirlitsstofnanir, á þeim tíma sem um ræðir, víðtækar heimildir að lögum til að nota persónuupplýsingar sem voru fluttar til Bandaríkjanna, án þess að þurfa að gæta að persónuvernd hlutaðeigandi einstaklinga. Brot þar að lútandi telst því alvarlegt, sbr. 1. og 4. tölul. 1. mgr. 47. gr. laga nr. 90/2018 og a- og d-liði 2. mgr. 83. gr. reglugerðar (ESB) 2016/679.
4. Brot Garðabæjar þykja umfangsmikil með hliðsjón af því að 2.186 grunnskólanemendur sveitarfélagsins notuðu Google-nemendakerfið skólaárið 2021-2022, sbr. 1. tölul. 1. mgr. 47. gr. laganna og a-lið 2. mgr. 83. gr. reglugerðarinnar.
Með hliðsjón af öllu framangreindu og að teknu tilliti til fyrri niðurstaðna Persónuverndar sem lúta að notkun upplýsingatæknikerfa í starfi grunnskóla er það niðurstaða stofnunarinnar að leggja beri stjórnvaldssekt á Garðabæ. Þykir hún hæfilega ákveðin 2.500.000 krónur.
Á k v ö r ð u n a r o r ð:
Vinnsla persónuupplýsinga grunnskólanemenda í Google-nemendakerfinu á vegum Garðabæjar samrýmist ekki lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerð (ESB) 2016/679.
Lagt er fyrir Garðabæ að færa vinnsluna til samræmis við löggjöfina. Staðfesting á því að farið hafi verið að þessum fyrirmælum skal berast Persónuvernd eigi síðar en 29. febrúar 2024.
Lögð er 2.500.000 króna stjórnvaldssekt á Garðabæ. Sektina skal greiða í ríkissjóð innan mánaðar frá dagsetningu ákvörðunar þessarar, sbr. 6. mgr. 46. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.
Persónuvernd, 28. nóvember 2023
Ólafur Garðarssonformaður
Árnína Steinunn Kristjánsdóttir Björn Geirsson
Vilhelmína Haraldsdóttir Þorvarður Kári Ólafsson