06.12.2023
Úttekt á notkun Hafnarfjarðarbæjar á skýjalausn Google í grunnskólastarfi
Mál númer 2022020415
Persónuupplýsingar barna njóta sérstakrar verndar. Þegar nota á upplýsingatæknikerfi í grunnskólastarfi er mikilvægt að hugað sé að þeirri vernd og farið að kröfum persónuverndarlöggjafarinnar til hins ýtrasta.
Í þessu máli notuðu grunnskólar Hafnarfjarðarbæjar upplýsingatæknikerfi án þess að gætt væri að kröfum persónuverndarlöggjafarinnar. Úttekt Persónuverndar á notkun kerfisins leiddi í ljós margvísleg brot sveitarfélagsins á löggjöfinni.
----
Persónuvernd hefur lagt fyrir Hafnarfjarðarbæ að færa vinnslu persónuupplýsinga grunnskólanemenda í nemendakerfi Google, Google Workspace for Education, til samræmis við persónuverndarlöggjöfina. Að auki hefur 2.800.000 króna stjórnvaldssekt verið lögð á Hafnarfjarðarbæ.
Úttektin var ein af fimm úttektum sem Persónuvernd gerði á notkun skýjaþjónustu í grunnskólastarfi hjá stærri sveitarfélögum landsins. Voru þær þáttur í víðtækara verkefni sem unnið var að frumkvæði Evrópska persónuverndarráðsins. Úttektir Persónuverndar lutu að því hvernig persónuupplýsingar grunnskólanemenda sveitarfélaganna voru unnar í Google-nemendakerfinu. Leiddu úttektirnar í ljós að Google vinnur persónuupplýsingar grunnskólanemenda umfram fyrirmæli sveitarfélaganna og þótti ekki sýnt fram á að sú vinnsla rúmaðist innan þess tilgangs sem sveitarfélögin hafa skilgreint fyrir vinnslu persónuupplýsinga í nemendakerfinu.
Niðurstaða Persónuverndar var að um væri að ræða margvísleg brot Hafnarfjarðarbæjar á persónuverndarlöggjöfinni með notkun nemendakerfisins. Þótti Hafnarfjarðarbær ekki hafa uppfyllt ábyrgðarskyldur sínar þegar lagt var mat á og tekin ákvörðun um að nota Google sem vinnsluaðila og vinnslusamningur við Google uppfyllti ekki öll skilyrði persónuverndarlöggjafarinnar. Að auki tilgreindi Hafnarfjarðarbær ekki tilgang einstakra vinnsluaðgerða með nægilega skýrum hætti og uppfyllti ekki ábyrgðarskyldur sínar sem lúta að því að persónuupplýsingar grunnskólanemenda skulu ekki unnar í öðrum og ósamrýmanlegum tilgangi en þeim sem sveitarfélagið hefur tilgreint fyrir vinnslunni. Enn fremur sinnti Hafnarfjarðarbær ekki skyldum sínum sem lúta að geymslutakmörkun, lágmörkun gagna og innbyggðri og sjálfgefinni persónuvernd. Þá gerði Hafnarfjarðarbær ekki tímanlega mat á áhrifum á persónuvernd vegna vinnslunnar auk þess sem mat sveitarfélagsins uppfyllti ekki lágmarkskröfur persónuverndarreglugerðarinnar. Hafnarfjarðarbær tryggði jafnframt ekki öruggan flutning persónuupplýsinga til Bandaríkjanna fram til 10. júní sl. þegar jafngildisákvörðun varðandi flutning persónuupplýsinga frá Evrópu til Bandaríkjanna var samþykkt.
Við ákvörðun um sekt var m.a. litið til þess að brot Hafnarfjarðarbæjar vörðuðu persónuupplýsingar barna sem njóta sérstakrar verndar samkvæmt persónuverndarlöggjöfinni, upplýsingar um hrein einkamálefni barna voru skráðar í nemendakerfið og líkur þóttu á að skráðar væru í kerfið viðkvæmar persónuupplýsingar þeirra. Þá var horft til þess að áhætta fylgdi því að persónuupplýsingar væru fluttar til Bandaríkjanna og unnar þar án þess að gripið hefði verið til viðeigandi verndarráðstafana. Á hinn bóginn var einnig litið til þess að ekkert tjón virtist hafa orðið vegna brotanna, Hafnarfjarðarbær svaraði erindum Persónuverndar við meðferð málsins með skýrum og greinargóðum hætti og framkvæmdi mat á áhrifum á persónuvernd vegna vinnslunnar eftir að úttektin hófst og endurskoðaði verklag í tengslum við varðveislutíma persónuupplýsinga í kerfinu.
Ákvörðun
vegna úttektar á notkun Hafnarfjarðarbæjar á skýjalausn Google í grunnskólastarfi í máli nr. 2022020415:
I.
Málsmeðferð og afmörkun máls
Með bréfi Persónuverndar til Hafnarfjarðarbæjar 25. febrúar 2022 var boðuð úttekt stofnunarinnar á notkun sveitarfélagsins á skýjaþjónustu (e. cloud based services) í grunnskólastarfi. Úttektin var þáttur í víðtækara verkefni sem unnið var að frumkvæði Evrópska persónuverndarráðsins (hér eftir EDPB) þar sem aðildarríki ráðsins sinna sameiginlegum viðfangsefnum á samræmdan hátt. EDPB setti notkun opinberra aðila á skýjaþjónustu í forgang árið 2022 og af því tilefni ákvað Persónuvernd að beina úttektum að stærri sveitarfélögum landsins og notkun þeirra á skýjaþjónustu í grunnskólastarfi.
Framangreind ákvörðun var einnig tekin með hliðsjón af stefnu Persónuverndar í úttektum og frumkvæðisathugunum fyrir árið 2022. Samkvæmt stefnunni var vinnsla persónuupplýsinga barna í hvers kyns snjalllausnum og hugbúnaðarkerfum í forgangi á því ári en auk þess leggur Persónuvernd ávallt áherslu á persónuvernd barna með hliðsjón af því að persónuupplýsingar þeirra njóta sérstakrar verndar samkvæmt persónuverndarlöggjöfinni. Jafnframt var litið til niðurstöðu frumkvæðisathugunar stofnunarinnar í máli nr. 2021040879, þar sem athuguð var innleiðing skýjalausnar Seesaw Learning Inc. (hér eftir Seesaw) í grunnskólum Reykjavíkurborgar og komist að þeirri niðurstöðu að hún hefði ekki verið í samræmi við persónuverndarlöggjöfina.
Úttektin var framkvæmd með þeim hætti að Persónuvernd sendi Hafnarfjarðarbæ spurningalista, með tölvupósti 25. febrúar 2022, sem laut að persónuverndarsjónarmiðum varðandi val og notkun á skýjaþjónustu í grunnskólastarfi. Svör Hafnarfjarðarbæjar, ásamt fylgigögnum, bárust 29. apríl s.á.
Með bréfi 19. maí 2022 tilkynnti Persónuvernd Hafnarfjarðarbæ að úttektin yrði afmörkuð við notkun sveitarfélagsins á skýjalausn Google, Google Workspace for Education, í grunnskólastarfi (hér eftir Google-nemendakerfið). Af því tilefni óskaði Persónuvernd frekari upplýsinga og gagna. Svör Hafnarfjarðarbæjar, ásamt fylgigögnum, bárust 17. júní s.á. Með hliðsjón af þeim svörum óskaði Persónuvernd jafnframt frekari upplýsinga, með bréfum til sveitarfélagsins 4. ágúst s.á. og 16. janúar 2023. Svör Hafnarfjarðarbæjar bárust 8. september 2022 og 7. febrúar 2023.
Í framangreindum bréfum hefur Persónuvernd einkum óskað upplýsinga og gagna sem lúta að:
1. Vinnsluskrá.
2. Vinnslusamningi við Google og öðrum samningum um þjónustuna.
3. Fyrirmælum sem Hafnarfjarðarbær hefur gefið Google vegna vinnslunnar.
4. Vinnsluheimild.
5. Mati á áhrifum á persónuvernd.
6. Viðbótarverndarráðstöfunum í tengslum við mögulega miðlun persónuupplýsinga til Bandaríkjanna.
Með bréfi 10. júlí 2023 sendi Persónuvernd Hafnarfjarðarbæ skýrslu um úttektina þar sem gerð var grein fyrir niðurstöðum yfirferðar stofnunarinnar á gögnum málsins. Hafnarfjarðarbæ var veitt færi á að koma á framfæri athugasemdum við efni skýrslunnar. Að auki var Hafnarfjarðarbæ veitt færi á að koma á framfæri athugasemdum vegna mögulegra fyrirmæla Persónuverndar og álagningar stjórnvaldssektar. Með bréfi 31. s.m. óskaði Hafnarfjarðarbær nánari upplýsinga og skýringa varðandi tiltekin atriði í skýrslu Persónuverndar. Persónuvernd svaraði með bréfi 30. ágúst s.á. Athugasemdir Hafnarfjarðarbæjar við úttektarskýrslu Persónuverndar og andmæli vegna mögulegra fyrirmæla og álagningar stjórnvaldssektar, ásamt fylgigögnum, bárust 15. september s.á.
Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi ákvörðun.
II.
Helstu gögn málsins
1.
Vinnsluskrá
Með svörum Hafnarfjarðarbæjar fylgdi vinnsluskrá vegna vinnslu persónuupplýsinga í Google-nemendakerfinu. Samkvæmt vinnsluskránni er unnið með eftirfarandi persónuupplýsingar um nemendur í kerfinu:
1. Grunnskráning nemenda í kerfið: Nöfn nemenda og árgangur. Tekið er fram að upplýsingarnar séu skráðar til að stofna aðgang og tölvupóstfang nemenda. Um sé að ræða grunnupplýsingar til að auðkenna nemendur innan kerfisins.
2. Gerð verkefna í kerfinu: Upplýsingar í tengslum við gerð verkefna, varðveislu þeirra, verkefnaskil nemenda, skipulag og endurgjöf. Fram kemur að form verkefna geti verið skriflegt, myndefni, hljóð eða önnur margmiðlun. Nemendur hafi aðgang að dagatali til að skipuleggja nám sitt og geti deilt verkefnum með öðrum nemendum sé um samvinnu að ræða. Kennari geti gefið almenna endurgjöf og leiðsagnarmat, en einkunnir séu ekki gefnar í kerfinu.
3. Samskiptasvæði nemenda og kennara: Almenn samskipti og leiðbeiningar. Í vinnsluskránni segir að samskipti milli nemenda og kennara séu aðallega í formi leiðbeininga, fyrirmæla og upplýsinga varðandi námið.
4. Samskipti kennara við nemendur í gegnum tölvupóstkerfi: Samskipti og efni sem nemandi skráir í tölvupóst hverju sinni. Fram kemur að öryggi og mögulegar hættur í tengslum við notkun tölvupóstkerfisins séu markvisst kenndar nemendum og frávikagreiningar berist í pósti til umsjónarmanna kerfisins.
Í vinnsluskránni er sami tilgangur tilgreindur fyrir öllum vinnsluaðgerðum, þ.e. kennslufræðilegur tilgangur og þjónusta við nemendur, en síðarnefnda atriðið er ekki nefnt við vinnsluaðgerð skv. 4. lið hér að framan.
2.
Mat á áhrifum á persónuvernd
Hér verður gerð grein fyrir því helsta sem fram kemur í mati Hafnarfjarðarbæjar á áhrifum á persónuvernd vegna umræddrar vinnslu persónuupplýsinga. Matið er dagsett 3. júní 2022 og fylgdi með svörum Hafnarfjarðarbæjar 16. s.m.
Í matinu er lýsing á vinnsluaðgerðum. Greint er frá því að Google-nemendakerfið sé umhverfi þar sem nemendur hafi tiltekin verkfæri eða tól við úrlausn verkefna, geti geymt námsgögn rafrænt og átt samskipti við kennara og aðra nemendur vegna kennslufræðilegra úrlausnarefna. Nemendur í 5.-10. bekk hafi að láni frá skólunum persónulega spjaldtölvu, iPad, sem þeir nota til að vinna í Google-nemendakerfinu. Yngri nemendur hafi ekki persónulegan aðgang að nemendakerfinu. Við stofnun aðgangs nemenda að kerfinu séu skráðar upplýsingum um nafn, netfang og árgang. Umfang vinnslunnar geti verið margvíslegt sökum þess að tólin í kerfinu séu af ýmsu tagi, t.d. hafi nemendur umsýslutól (rafræn kennslustofa), samskiptatól (tölvupóstur og skilaboð), skrifstofuverkfæri (skjöl, töflureiknar, kynningar, o.fl.), gagnageymslur (Google Drive, myndir o.fl.) og kennsluforrit (YouTube, Google Earth o.fl.). Þessi tól séu öll til þess fallin að nemendur geti leyst úr kennslufræðilegum úrlausnarefnum í samræmi við kröfur aðalnámskrár grunnskólanna. Í matinu segir að aðeins sé heimilt að vinna með almennar persónuupplýsingar í nemendakerfinu en vísað er til vinnsluskrár um frekari tilgreiningu vinnsluaðgerða.
Í mati Hafnarfjarðarbæjar er einnig lýsing á lögmæti vinnslunnar og tilgangi hennar. Þar segir að vinnsluaðgerðir séu nauðsynlegar til að fullnægja lagaskyldu sem hvíli á sveitarfélaginu, sbr. 3. tölul. 9. gr. laga nr. 90/2018, með vísan í ákvæði 47. gr. a. laga nr. 91/2008 um grunnskóla. Vinnsluaðgerðir lúti jafnframt að almannahagsmunum þar sem lög um grunnskóla og tengdar reglugerðir lúti að almannaheill barna og skyldum samfélagsins til að veita þeim viðeigandi og fullnægjandi menntun. Er í því sambandi vísað til 5. tölul. 9. gr. laga nr. 90/2018. Tilgangur vinnslunnar sé að efla kennslufræðilega starfsemi grunnskóla út frá lögum nr. 91/2008 um grunnskóla með þeirri tækni sem heppilegust er talin til að geta veitt kennslufræðilegan stuðning til náms og árangurs hjá nemendum skólanna. Hvað varðar notkun rafræns kennslubúnaðar er vísað sérstaklega til k-liðar 1. mgr. 24. gr. og 2. mgr. 25. gr. laganna. Jafnframt er vísað til aðalnámskrár grunnskóla og annarra reglugerða sem tengjast umræddum lögum. Hinn kennslufræðilegi tilgangur sé útfærður með áherslu á upplýsingatækni sem er eitt af níu námssviðum aðalnámskrár grunnskóla sem grunnskólum ber að vinna eftir, þ.e. að í námi og kennslu nemenda skuli upplýsingatækni vera nýtt í auknum mæli en ekki aðeins kennt um hana. Þá segir að eðli vinnslunnar sé að færa kennslufræðilegt efni í rafrænan búning á sem skilvirkastan og áreiðanlegastan hátt í þeim tilgangi að nemendur fái sem mest út úr námi sínu og án þess að réttindum þeirra sé fórnað á einhvern hátt. Persónuupplýsingar séu unnar í nemendakerfinu til þess að auðkenna nemendur og koma viðeigandi skilaboðum til þeirra.
Hvað varðar mat á því hvort vinnsluaðgerðir eru nauðsynlegar og hóflegar segir að vinnslan lúti að því sem telst nauðsynlegt í kennslufræðilegum tilgangi með hliðsjón af skyldum skóla og aðalnámskrá. Meðferð og vinnsla upplýsinganna takmarkist almennt við tilgang vinnslunnar sem er kennslufræðilegur, en kennslutólin kunni að vinna á ólíkan hátt eftir kennslufræðilegum eiginleikum þeirra. Um varðveislu og eyðingu gagna segir að gögn séu varðveitt meðan nemandi er í grunnskólum Hafnarfjarðar og þeim sé eytt úr kerfinu þremur mánuðum eftir að hann ljúki grunnskólavist. Sú eyðing sé endanleg og engin varðveisla sé á gögnum eftir að aðgangi að kerfi hafi verið eytt, að teknu tilliti til skilaskyldu samkvæmt lögum nr. 77/2014 um opinber skjalasöfn. Þegar nemendur ljúki námi standi þeim til boða að taka til sín gögn á þeim þremur mánuðum sem aðgangur er opinn.
Í matinu er að finna yfirlit yfir áhættu fyrir réttindi og frelsi hinna skráðu og aðgerðir til að bregðast við. Greindir eru 27 áhættuþættir og verður hér aðeins fjallað um þá helstu. Í fyrsta lagi verður hér nefnd sú áhætta að mögulegt sé að vinnslan sæki upplýsingar umfram heimild. Áhættan er metin há (áhættustig 12 af 16). Til staðar séu almennar reglur um vinnslu persónuupplýsinga sem fjalla m.a. um meðalhóf. Tillaga sveitarfélagsins að frekari aðgerðum snýr að því að uppfæra reglur um notkun skýjalausna, t.d. með því að vekja athygli á aukinni áhættu vegna skráninga á gögnum umfram tilgang/nauðsyn. Önnur áhætta sem verður hér nefnd er að ábyrgð á vinnsluaðgerðum sé ekki skýr sem geti leitt til þess að ekki sé fylgst nægilega vel með öryggisstillingum og virkni. Í áhættumati sveitarfélagsins segir að sameiginlegir ábyrgðaraðilar, þ.e. sveitarfélagið og grunnskólar þess, hafi ekki gert með sér samkomulag um ábyrgð sem valdi því að skipting ábyrgðar verði óskýr. Áhættan er metin há (áhættustig 8). Miðlægt hlutverk skrifstofu/tölvudeildar sveitarfélagsins sé einnig óskýrt þó verkefnaskipting sé fyrir hendi. Tillaga sveitarfélagsins að aðgerðum er að skilgreina nánar hlutverk og ábyrgð sveitarfélagsins annars vegar og skólanna hins vegar. Þriðja áhættan sem verður hér nefnd er að gögn séu geymd lengur en þörf er á eða ekki gerð ópersónugreinanleg. Áhættan er metin meðalhá (áhættustig 4). Fram kemur að skilgreina þurfi hversu lengi nauðsynlegt er að varðveita upplýsingar í kerfinu ásamt því að útbúa formlegt vinnulag og bæta við spjaldtölvusamning í samræmi við framkvæmd sveitarfélagsins. Fjórða áhættan sem verður hér nefnd er ógagnsæ miðlun persónuupplýsinga milli kerfa. Fram kemur að hætta sé á að viðbætur frá Google eða öðrum aðilum, séu þær notaðar, geti lesið og varðveitt gögn og flett upp persónuupplýsingum nemenda. Tekið er fram að App Core, Additional og Market Place viðbætur séu margar en ekki sé ljóst hvort viðbætur eru í raun notaðar af skólunum. Áhættan er metin há (áhættustig 8). Tillaga sveitarfélagsins að aðgerðum er að útbúa verklag um notkun viðbóta og reglubundna rýni á þeim viðbótum sem eru í notkun hjá skólunum. Einnig segir að nýta skuli áhættugreiningar Sambands íslenskra sveitarfélaga fyrir viðbótarsmáforrit sem gætu tengst Google umhverfinu. Loks verður hér nefnd sú áhætta að erlendar eftirlitsstofnanir fái aðgang að persónuupplýsingum í Google-nemendakerfinu. Google veiti ekki möguleika á að gefa ófrávíkjanleg fyrirmæli um staðsetningu á varðveislu gagna. Því kunni gögn að vera varðveitt utan Evrópska efnahagssvæðisins. Í áhættumati er áhættan metin lág (áhættustig 2). Unnið sé að því að fara yfir í Plus áskriftarleið nemendakerfisins, sem gefi kost á að staðsetja gögn innan Evrópska efnahagssvæðisins. Í niðurstöðu matsins segir að persónuupplýsingar nemenda séu nægilega tryggðar með þeim öryggisráðstöfunum sem skilgreindar hafi verið og gripið verði til.
3.
Vinnslusamningur og aðrir skilmálar Google
3.1. Vinnslusamningur
Með svörum Hafnarfjarðarbæjar fylgdi afrit af vinnslusamningi sveitarfélagsins við Google (e. Data Processing Amendment to Google Workspace and/or Complementary Product Agreement) frá 24. september 2021. Samkvæmt svörum sveitarfélagsins tók vinnslusamningurinn minniháttar breytingum 14. ágúst 2023. Hér verður eingöngu farið yfir þann samning sem var í gildi milli aðila þegar úttektin hófst og látið nægja að rekja það helsta sem þar kemur fram.
Vinnslusamningurinn kveður á um gagnkvæmar skuldbindingar Google og viðskiptavinarins, þ.e. Hafnarfjarðarbæjar. Samkvæmt samningnum er Google vinnsluaðili persónuupplýsinga viðskiptavinarins og Hafnarfjarðarbær ábyrgðaraðili viðkomandi vinnslu. Þá getur viðskiptavinurinn einnig verið vinnsluaðili hins eiginlega ábyrgðaraðila, en í því tilviki er Google undirvinnsluaðili eins og nánar er fjallað um í grein 5.1 í samningnum. Persónuupplýsingar viðskiptavinarins eru skilgreindar í grein 2.1, en þar segir á ensku:
Customer Personal Data means the personal data contained within the Customer Data, including any special categories of personal data defined under European Data Protection Law.
Noti viðskiptavinurinn viðbótarþjónustur Google (e. Additional Products) sé hægt að veita þeirri þjónustu aðgang að upplýsingum sem unnið er með í Google-nemendakerfinu í þeim tilgangi að þjónustur geti virkað saman. Í grein 5.3 í vinnslusamningi aðila er tekið fram að vinnslusamningurinn gildi ekki um vinnslu persónuupplýsinga í þágu viðbótarþjónustu Google, þ. á m. hvað varðar miðlun persónuupplýsinga úr Google-nemendakerfinu til slíkrar viðbótarþjónustu.
Í viðauka 1 við samninginn (e. Appendix 1) er að finna tilgreiningu á tegundum persónuupplýsinga og flokkum skráðra einstaklinga, í samræmi við 3. mgr. 28. gr. reglugerðar (ESB) 2016/679. Þar er m.a. tiltekið að um sé að ræða þær persónuupplýsingar sem er miðlað til Google með skýjaþjónustunni, þ.e. Google-nemendakerfinu, af viðskiptavininum eða notendum kerfisins (e. End Users). Í viðaukanum er jafnframt að finna lýsingu á viðfangsefni vinnslunnar, tímalengd hennar, eðli og tilgangi. Fram kemur að viðfangsefni vinnslunnar sé að veita þjónustuna samkvæmt tilvísuðum þjónustusamningi (e. Google Workspace Service Summary) og tæknilega aðstoð í tengslum við hana. Vinnslan sé í gangi á meðan samningurinn er í gildi milli aðila og þar til persónuupplýsingum viðskiptavinarins hefur verið eytt. Google vinni persónuupplýsingar viðskiptavinarins í þeim tilgangi að veita þjónustuna og tæknilega aðstoð í samræmi við þá skilmála sem gilda.
Í grein 5.2.1 í vinnslusamningi aðila er vikið að því að Hafnarfjarðarbær skuli gefa Google fyrirmæli um vinnslu persónuupplýsinga viðskiptavinarins, en þar segir á ensku:
Customer's Instructions. Customer instructs Google to process Customer Personal Data only in accordance with applicable law: (a) to provide, secure and monitor, the Services and TSS; (b) as further specified via Customer's use of the Services and any applicable technical support; (c) as documented in the form of the Agreement, including these Terms; and (d) as further documented in any other written instructions given by Customer and acknowledged by Google as constituting instructions for purposes of these Terms (collectively, the "Instructions").
Þá hefur vinnslusamningurinn að geyma ýmis ákvæði sem varða öryggi persónuupplýsinga. Til að mynda segir í grein 7.1.1 að Google muni innleiða og viðhalda öryggisráðstöfunum til að vernda upplýsingar viðskiptavinarins gegn óviljandi eða ólögmætri eyðingu eða því að þær glatist, breytist, verði birtar eða aðgangur verði veittur að þeim í leyfisleysi. Þeim öryggisráðstöfunum er nánar lýst í viðauka 2 við vinnslusamninginn. Í grein 7.1.2 er vikið að því að Google tryggi að þeir starfsmenn, verktakar og undirvinnsluaðilar, sem hafa aðgang að persónuupplýsingum viðskiptavinarins, gangist undir trúnaðarskyldu. Samkvæmt grein 7.5.2 a. er Hafnarfjarðarbæ heimilt að framkvæma eða fá þriðja aðila til að framkvæma úttekt til að sannreyna hlítni Google við vinnslusamninginn.
Vinnslusamningurinn hefur einnig að geyma ákvæði um flutning persónuupplýsinga til þriðju landa. Samkvæmt grein 10.1 er Google heimilt að vinna með upplýsingar viðskiptavinarins í hverju því ríki sem Google eða undirvinnsluaðilar þess hafa staðfestu, að uppfylltum þeim kvöðum sem fram koma í öðrum ákvæðum 10. gr. og frekari kvöðum í þjónustuskilmálum. Í vinnslusamningnum er einnig að finna hlekk á stöðluð samningsákvæði vegna flutnings persónuupplýsinga til þriðju landa. Nánar verður vikið að flutningi persónuupplýsinga til þriðju landa í kafla III. 7. hér á eftir.
Í vinnslusamningnum er að auki fjallað um rétt Google til að nota undirvinnsluaðila við vinnslu persónuupplýsinga og þar er jafnframt hlekkur á yfirlit yfir undirvinnsluaðila Google, sem er aðgengilegt á vefsíðu fyrirtækisins. Samkvæmt grein 11.1 samþykkir Hafnarfjarðarbær að Google megi nota tilgreinda undirvinnsluaðila. Þá segir í grein 11.4 að Google skuli tilkynna Hafnarfjarðarbæ um nýja undirvinnsluaðila, a.m.k. 30 dögum áður en nýr undirvinnsluaðili hefur vinnslu persónuupplýsinga. Hafnarfjarðarbær hafi 90 daga, frá því að Google tilkynnir um nýja undirvinnsluaðila til að andmæla breytingunni með því að segja upp samningnum þegar í stað.
Þá er í vinnslusamningnum mælt fyrir um að Google muni aðstoða Hafnarfjarðarbæ við að tryggja að skyldur samkvæmt 32.–36. gr. reglugerðar (ESB) 2016/679 séu uppfylltar, þ.e. í tengslum við öryggi vinnslu, tilkynningar um öryggisbresti við meðferð persónuupplýsinga, mat á áhrifum á persónuvernd og fyrirframsamráð, sbr. greinar 7.1.4, 7.2 og 8. Jafnframt er vikið að því í grein 9.2, að Google muni aðstoða Hafnarfjarðarbæ við að svara beiðnum í tengslum við réttindi skráðra einstaklinga.
Loks eru í vinnslusamningnum ákvæði um eyðingu upplýsinga viðskiptavinarins. Samkvæmt grein 6.2 skal Google eyða eða skila upplýsingum viðskiptavinarins í samræmi við fyrirmæli Hafnarfjarðarbæjar. Eyðing upplýsinganna getur tekið allt að 180 daga, að því undanskildu að lög áskilji varðveislu upplýsinganna.
3.2 Aðrir skilmálar Google
3.2.1 Skilmálar Google um samþykki vegna vinnslu persónuupplýsinga í nemendakerfinu
Þegar viðskiptavinir kaupa aðgang að Google-nemendakerfinu eru þeir upplýstir um skilmála Google um samþykki vegna vinnslu persónuupplýsinga í nemendakerfinu (e. Google Workspace for Education School Consent). Þar segir að skólar kunni að veita Google tilteknar persónuupplýsingar nemenda og kennara, svo sem nafn og netfang þeirra, þegar Google-nemendakerfið er notað. Að auki kunni Google að safna tilteknum persónuupplýsingum beint frá notendum kerfisins, t.d. símanúmeri eða notendamynd (e. profile picture) eða öðrum upplýsingum sem notendur setja á Google-aðgang sinn. Einnig segir í skilmálunum að Google safni upplýsingum um notkun kerfisins, en nánar tiltekið segir á ensku:
Google also collects information based on the use of our services. This includes:
· device information, such as the hardware model, operating system version, unique device identifiers and mobile network information including the user's phone number;
· log information, including details of how a user used our service, device event information and the user's Internet protocol (IP) address;
· location information, as determined by various technologies including IP address, GPS and other sensors;
· unique application numbers, such as application version number; and
· cookies or similar technologies which are used to collect and store information about a browser or device, such as preferred language and other settings.
Skilmálarnir greina frá því að persónuupplýsingar notenda, sem safnað er þegar grunnþjónustur kerfisins eru notaðar (e. Core Services), séu eingöngu nýttar til að veita þá grunnþjónustu. Tekið er fram að upplýsingarnar séu ekki notaðar í markaðstilgangi (e. advertising purposes). Grunnþjónustur kerfisins eru m.a. Gmail, Google Chat, Google Docs, Google Drive og Google Meet. Í lok skilmálanna er að auki tekið fram að Google vinni persónuupplýsingar nemenda í grunnþjónustum Google-nemendakerfisins í samræmi við persónuverndarstefnu Google fyrir nemendakerfið (e. Google Workspace for Education Privacy Notice) og almennu persónuverndarstefnu Google. Nánar tiltekið segir á ensku:
By clicking 'I agree' below, you consent on behalf of your institution to Google’s processing of the personal information of students in the Core Services as described above and in the Google Workspace for Education Privacy Notice and the Google Privacy Policy, and agree to obtain parent or guardian consent for any Additional Services that you allow students under the age of 18 to use.
Þá segir í skilmálunum að almenna persónuverndarstefna Google (e. Google Privacy Policy) gildi um viðbótarþjónustur Google (e. Additional Services) sem viðskiptavinir geta kosið að nota samhliða grunnþjónustum nemendakerfisins.
3.2.2 Grunnþjónustur: Persónuverndarstefnur fyrir Google-nemendakerfið og skýjaþjónustu Google
Í persónuverndarstefnu fyrir Google-nemendakerfið (e. Google Workspace for Education Privacy Notice) er greint frá því að Google safni tvenns konar upplýsingum þegar grunnþjónustur nemendakerfisins eru notaðar, annars vegar persónuupplýsingum viðskiptavinarins (e. Customer Personal Data), sem vinnslusamningur aðila tekur til, og hins vegar þjónustugögnum (e. Service Data). Hvað vinnslu þjónustugagna varðar er vísað til persónuverndarstefnu Google fyrir skýjaþjónustu (e. Google Cloud Privacy Notice). Í þeirri stefnu er að finna nánari lýsingu á vinnslu þjónustugagna, en þar segir á ensku:
Service Data is the personal information Google collects or generates during the provision and administration of the Cloud Services and related technical support, excluding any Customer Data and Partner Data.
Service Data consists of:
· Account information. We collect the data you or your organization provide when creating an account for Cloud Services or entering into a contract with us (username, names, contact details and job titles).
· Cloud payments and transactions. We keep reasonable business records of charges, payments, and billing details and issues.
· Cloud settings and configurations. We record your configuration and settings, including resource identifiers and attributes, and service and security settings for data and other resources.
· Technical and operational details of your usage of Cloud Services. We collect information about usage, operational status, software errors and crash reports, authentication details, quality and performance metrics, and other technical details necessary for us to operate and maintain Cloud Services and related software. This information includes device identifiers, identifiers from cookies or tokens, and IP addresses.
· Your direct communications. We keep records of your communications and interactions with us and our partners (for example, when you provide feedback, ask questions or seek technical support).
Í persónuverndarstefnu fyrir Google-nemendakerfið er tekið fram að þjónustugögn séu fyrst og fremst notuð til þess að veita þjónustuna en einnig í þeim tilgangi sem nánar er lýst í persónuverndarstefnu Google fyrir skýjaþjónustu. Í síðarnefndu stefnunni segir að þjónustugögn séu jafnframt notuð til þess að veita tæknilega aðstoð, betrumbæta þjónustuna og aðra þjónustu sem viðskiptavinir nota, kynna viðskiptavini fyrir nýrri virkni eða skyldri þjónustu, koma í veg fyrir misnotkun á þjónustunni og gera þjónustuna öruggari. Hvað vinnsluheimild varðar er vísað til þess að vinnslan sé ýmist nauðsynleg til að efna samninga við ábyrgðaraðila, vegna lagaskyldu sem hvíli á Google eða í þágu lögmætra hagsmuna fyrirtækisins.
3.2.3 Viðbótarþjónustur: Persónuverndarstefna fyrir Google-nemendakerfið og almenna persónuverndarstefna Google
Í persónuverndarstefnu fyrir Google-nemendakerfið segir að Google safni tvenns konar upplýsingum þegar viðbótarþjónustur eru notaðar samhliða nemendakerfinu, annars vegar persónuupplýsingum sem notendur skrá eða búa til með viðbótarþjónustum og hins vegar upplýsingum sem Google safnar við notkun þjónustunnar. Í lýsingu á þeim upplýsingum sem er safnað þegar viðbótarþjónustur eru notaðar segir nánar tiltekið á ensku:
Google’s Privacy Policy also describes the information we collect as you use our additional services, which includes:
· Your activity while using additional services, which includes things like terms you search for, videos you watch, content and ads you view and interact with, voice and audio information when you use audio features, purchase activity, and activity on third-party sites and apps that use our services.
· Your apps, browsers and devices. We collect the info about your apps, browser, and devices described above in the core services section.
· Your location information. We collect info about your location as determined by various technologies including: GPS, IP address, sensor data from your device, and information about things near your device, such as Wi-Fi access points, cell towers, and Bluetooth-enabled devices. The types of location data we collect depend in part on your device and account settings .
Í persónuverndarstefnu fyrir Google-nemendakerfið segir að markmið framangreindrar vinnslu persónuupplýsinga sé að veita viðbótarþjónustu, bæta þjónustuna, þróa nýja þjónustu, veita persónusniðna þjónustu, greina hvernig þjónusta er notuð og skilvirkni hennar (e. measure performance), eiga samskipti við notendur og vernda Google og notendur þess. Þá er jafnframt greint frá því að sum viðbótarþjónusta kunni að birta auglýsingar en ef notandi er að nota Google Workspace for Education reikning fyrir grunnskólastig (K-12) séu ekki notaðar upplýsingar af aðgangi viðkomandi til að beina að honum persónusniðnum auglýsingum. Aftur á móti kunni Google að beina auglýsingum að notanda, sem byggjast á almennum þáttum eins og leitarfyrirspurnum notandans, tíma dags eða efni þeirra vefsíðu sem hann skoðar. Vísað er til almennu persónuverndarstefnu Google hvað nánari upplýsingar varðar. Í almennu persónuverndarstefnunni er meðal annars umfjöllum um vinnsluheimild. Greint er frá því að vinnslan byggist í einhverjum tilvikum á samþykki hinna skráðu. Að auki kunni vinnsluaðgerðir að vera nauðsynlegar til að efna samninga við ábyrgðaraðila, vegna lagaskyldu sem hvíli á Google eða í þágu lögmætra hagsmuna fyrirtækisins.
III.
Skýringar og sjónarmið Hafnarfjarðarbæjar
Í svörum Hafnarfjarðarbæjar segir að samkvæmt samningi sveitarfélagsins við Google, sem hafi tekið gildi 26. apríl 2017, notist grunnskólar þess við Fundamentals-þjónustuleið Google-nemendakerfisins. Áætlað er að 3.000-3.250 grunnskólanemendur hafi notað nemendakerfið skólaárið 2021-2022.
Hafnarfjarðarbær andmælir öllu því sem fram kemur í úttektarskýrslu Persónuverndar er varðar möguleg brot á persónuverndarlöggjöfinni og heldur því fram að sveitarfélagið hafi gert allt, sem ætlast megi til, til að tryggja að vinnsla persónuupplýsinga grunnskólanemenda í Google-nemendakerfinu, sem sveitarfélagið er ábyrgðaraðili að, uppfylli í hvívetna ákvæði persónuverndarlaga nr. 90/2018 og persónuverndarreglugerðar (ESB) 2016/679. Í þessum kafla verður gerð grein fyrir helstu skýringum og sjónarmiðum Hafnarfjarðarbæjar, sem ákvörðun í málinu byggist á.
1.
Ábyrgð á vinnslu
Í svörum Hafnarfjarðarbæjar er tekið fram að sveitarfélaginu séu falin margs konar verkefni á sviði kennslu grunnskólanemenda. Þessi verkefni felist að miklu leyti í vinnslu persónuupplýsinga, m.a. upplýsinga nemendanna sjálfra, og sveitarfélagið sé ábyrgðaraðili þeirrar vinnslu. Í nútímaþjóðfélagi þurfi að nýta upplýsingakerfi til þess að vinna flest þessara verkefna og því kunni að vera nauðsynlegt að leita eftir upplýsingatækniþjónustu, þ. á m. skýjaþjónustu, frá utanaðkomandi þjónustuaðila. Í þeim tilvikum feli sveitarfélagið skýjaþjónustuveitandanum að annast tiltekinn þátt í vinnslunni sem vinnsluaðila.
Greint er frá því að Hafnarfjarðarbær hafi tekið upp ýmsar skýjaþjónustur í grunnskólastarfi sem ábyrgðaraðili, sjálfstætt eða sameiginlega með grunnskólum sveitarfélagsins, þ. á m. Google-nemendakerfið. Sveitarfélagið hafi gert vinnslusamning við Google vegna vinnslu persónuupplýsinga í nemendakerfinu. Vinnslusamningurinn afmarki þá vinnslu sem Google sé falið að stunda, þ. á m. tilgang vinnslunnar og þær aðferðir sem skuli beita. Google hafi verið falið að vinna með þær persónuupplýsingar í nemendakerfinu sem eru skilgreindar í vinnslusamningnum sem persónuupplýsingar viðskiptavinar (e. Customer Personal Data).
Þá segir að til þess að skýjaþjónustuveitandinn geti boðið upp á og viðhaldið skýjaþjónustunni sé honum nauðsynlegt að stunda einnig ýmiss konar vinnslu með þær persónuupplýsingar, sem honum er falið sem vinnsluaðila að vinna, í öðrum tilgangi, t.a.m. í þeim tilgangi að auka áreiðanleika eða hraða þjónustunnar, breyta högun eða virkni hennar og þróa endurbættar útgáfur af henni. Skýjaþjónustuveitandinn taki í þeim tilvikum sjálfur, án samráðs við viðskiptavini sína, ákvörðun um tilgang og aðferðir við vinnsluna og sé því sjálfstæður ábyrgðaraðili þeirrar vinnslu. Að mati Hafnarfjarðarbæjar er Google því sjálfstæður ábyrgðaraðili vinnslu svonefndra þjónustugagna (e. Service Data) í Google-nemendakerfinu. Hafnarfjarðarbær hafi enga aðkomu að vinnslu þjónustugagna og því sé andmælt að sveitarfélagið og Google kunni að vera sameiginlegir ábyrgðaraðilar vinnslunnar líkt og koma hafi þótt til skoðunar samkvæmt úttektarskýrslu Persónuverndar.
Hafnarfjarðarbær andmælir því að úttektin taki til viðbótarþjónustu Google. Grunnskólarnir séu ábyrgðaraðilar þeirrar viðbótarþjónustu sem þeir ákveði að nota og sveitarfélagið hafi enga aðkomu að samningum grunnskólanna um slíka þjónustu. Er í því sambandi vísað til bréfs Persónuverndar til Akureyrarbæjar, dags. 4. ágúst 2022, þar sem stofnunin ákvað að loka úttekt gagnvart Akureyrarbæ enda hefði sveitarfélagið ekki talist ábyrgðaraðili þeirrar vinnslu sem um ræddi.
2.
Vinnslusamningur
Í svörum Hafnarfjarðarbæjar er því andmælt að vinnslusamningur sveitarfélagsins við Google standist ekki ákvæði laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerð (ESB) 2016/679.
Hafnarfjarðarbær andmælir því að vinnslusamningurinn útiloki ekki að Google geti unnið persónuupplýsingar umfram fyrirmæli sveitarfélagsins, líkt og vikið var að í úttektarskýrslu Persónuverndar. Samkvæmt grein 5.2 (áður 5.2.1) í vinnslusamningnum gefi Hafnarfjarðarbær Google fyrirmæli um vinnslu upplýsinga viðskiptavinarins, þ. á m. um að vinna einungis með persónuupplýsingar í samræmi við samning aðila og gildandi lög (e. Customer instructs Google to process Customer Data in accordance with the applicable Agreement (including this Addendum) and applicable law only [...]).
Hafnarfjarðarbær heldur því einnig fram að hinir rúmu tímafrestir sem mælt er fyrir um í grein 11.4 í vinnslusamningnum, til að andmæla nýjum undirvinnsluaðila, gefi sveitarfélaginu nægan tíma til að koma á framfæri beint við vinnsluaðila andmælum sínum við fyrirhugaðar breytingar á skipan undirvinnsluaðila, áður en til þess kæmi að segja þyrfti upp vinnslusamningnum í mótmælaskyni.
Þá telur Hafnarfjarðarbær vandséð hvernig sveitarfélaginu eigi að vera kleift að telja upp í vinnslusamningi, með tæmandi hætti, allar hugsanlegar tegundir persónuauðkenna og annarra persónuupplýsinga sem sveitarfélagið og notendur þess kunni að vinna í Google-nemendakerfinu, með hliðsjón af eðli skýjaþjónustunnar. Að mati sveitarfélagsins sé skilvirkara og skýrara að stýra því í verklagsreglum og með eftirliti hvaða persónuupplýsingar sé heimilt að vinna. Allt að einu sé það afstaða sveitarfélagsins að vinnslusamningur aðila tilgreini öll þau atriði sem áskilið er í 3. mgr. 28. gr. reglugerðar (ESB) 2016/679.
3.
Aðrir skilmálar Google
Í svörum Hafnarfjarðarbæjar er tekið fram að yfirlýsingar sem eru samdar einhliða af Google, án nokkurrar aðkomu sveitarfélagsins, séu ekki hluti af vinnslusamningi aðila, breyti honum ekki, gangi honum ekki framar og dragi því í engu úr þeim skyldum sem lagðar séu á Google sem vinnsluaðila. Vísað er til þess að sveitarfélagið hafi ekki lagt fram þær yfirlýsingar sem Persónuvernd byggir á í úttektarskýrslu sinni, þ. á m. samþykki skóla fyrir notkun nemenda á Google-nemendakerfinu (e. Google Workspace for Education School Consent), persónuverndarstefnu fyrir Google-nemendakerfið (e. Google Workspace for Education Privacy Notice) og persónuverndarstefnu fyrir skýjaþjónustu Google (e. Google Cloud Privacy Notice). Af hálfu sveitarfélagsins er því andmælt að þessar yfirlýsingar verði lagðar til grundvallar í úttektinni. Á hinn bóginn er því ekki andmælt, af hálfu Hafnarfjarðarbæjar, að Google vinni persónuupplýsingar í samræmi við nefnda skilmála.
4.
Vinnsla þjónustugagna
Í svörum Hafnarfjarðarbæjar segir að sveitarfélagið eigi enga aðkomu að því að semja yfirlýsingar Google um vinnslu þjónustugagna og þær lýsi ekki skyldum sem séu lagðar á sveitarfélagið. Í skilmálunum komi fram að Google vinni þjónustugögn fyrst og fremst til að veita þjónustuna en einnig til að veita tæknilega aðstoð, betrumbæta þjónustuna og aðra þjónustu sem viðskiptavinir nota, kynna nýja virkni fyrir viðskiptavinum eða skylda þjónustu, koma í veg fyrir misnotkun á þjónustunni og gera þjónustuna öruggari. Á hinn bóginn sé það ekki rétt, sem segir í úttektarskýrslu Persónuverndar, að Google vinni þjónustugögn í eigin þágu heldur fari vinnslan fram í þágu viðskiptavinarins og þeirrar þjónustu sem er verið að veita honum.
Líkt og greinir í kafla III. 1. telur Hafnarfjarðarbær að Google sé sjálfstæður ábyrgðaraðili vinnslu þjónustugagna. Vísað er til þess að allar ákvarðanir sem lúta að vinnslu þjónustugagna séu teknar eingöngu af Google, án nokkurrar þátttöku sveitarfélagsins. Þjónustugögn séu sérstaklega skilgreind í yfirlýsingum Google sem önnur gögn en þau sem teljast vera upplýsingar viðskiptavinarins (e. Customer Data) og falla þar með utan gildissviðs vinnslusamnings aðilanna, sbr. 1. gr. hans. Sveitarfélagið hafi eðli máls samkvæmt afar takmarkaðar upplýsingar um þær vinnslur sem heyra undir ábyrgð Google.
Í úttektarskýrslu Persónuverndar er fundið að því að vinnsluskrá Hafnarfjarðarbæjar tilgreini ekki söfnun persónuupplýsinga nemenda í þjónustugögnum. Í andmælum Hafnarfjarðarbæjar vegna skýrslunnar segir að sveitarfélagið sé ekki eigandi umrædds upplýsingakerfis eða ábyrgðaraðili allrar þeirrar vinnslu sem fari fram í kerfinu. Af svörum Hafnarfjarðarbæjar má ráða að sveitarfélagið telji ekki ljóst á hvaða grundvelli það geti krafist upplýsinga frá Google til að öðlast yfirsýn yfir alla þá vinnslu sem fer fram í nemendakerfinu.
5.
Vinnsla persónuupplýsinga í þágu viðbótarþjónustu
Í svörum Hafnarfjarðarbæjar segir að grunnskólar sveitarfélagsins noti viðbótarþjónusturnar Google Earth, Google Maps, Google Photos og Youtube.
Sem fyrr segir telur Hafnarjarðarbær grunnskóla sveitarfélagsins vera ábyrgðaraðila vinnslu persónuupplýsinga í þágu viðbótarþjónustu Google. Ekki sé kveðið á um vinnslu persónuupplýsinga í þágu viðbótarþjónustu í vinnslusamningi Hafnarfjarðarbæjar og Google, sbr. grein 5.3 samningsins. Sveitarfélagið hafi ekki tekið ákvörðun um tilgang og aðferðir við vinnsluna og sé því ekki ábyrgðaraðili hennar. Þá gildi sjálfstæðir skilmálar um viðbótarþjónusturnar (e. Additional Product Terms), en þeir séu ekki hluti af fyrirliggjandi úttekt.
Við meðferð málsins greindi Hafnarfjarðarbær frá því að sveitarfélagið hefði ákveðið að fækka þeirri viðbótarþjónustu Google sem mögulegt er að nýta.
6.
Lögmæti vinnslu
6.1 Vinnsluheimild og tilgangur
Í fyrirliggjandi mati á áhrifum á persónuvernd má finna upplýsingar um tilgang og heimild til vinnslu persónuupplýsinga í Google-nemendakerfinu, sbr. það sem áður er rakið.
Í svörum Hafnarfjarðarbæjar segir að vinnsla persónuupplýsinga grunnskólanemenda í Google-nemendakerfinu sé nauðsynleg til þess að veita nemendum kennslu í samræmi við þær væntingar og kröfur sem gerðar séu til slíkrar starfsemi. Í því sambandi er vísað til kafla 26.1 í aðalnámskrá grunnskólanna sem kveður á um að kenna skuli upplýsinga- og tæknimennt sem felur í sér miðlamennt, upplýsinga- og samskiptatækni og tölvunotkun. Með upplýsinga- og miðlalæsi sé átt við að nemendur öðlist hæfni í að greina hvaða upplýsinga er þörf, leita að þeim og leggja á gagnrýnið mat, auka þannig þekkingu sína og nýta með ýmsum miðlum til að ná tilteknu markmiði. Hafnarfjarðarbær tekur fram að í framangreindu felist einnig geta til að nálgast og nota upplýsingar. Lögð sé áhersla á að nemendur fái markvissa þjálfun, þekki helstu reglur um örugg samskipti á stafrænum miðlum og læri að virða siðferði í meðferð upplýsinga og heimilda. Þá segir að Google-nemendakerfið sé beinlínis sniðið að þessum verkum og því telji Hafnarfjarðarbær að notkun þess samrýmist þeim lögmætisgrundvelli sem einkum er byggt á af hálfu sveitarfélagsins.
Hvað þjónustugögn varðar segir í skýringum Hafnarfjarðarbæjar að Google sé sjálfstæður ábyrgðaraðili vinnslu þeirra gagna en að þau séu unnin til þess að tryggja að hægt sé að veita umrædda þjónustu og samrýmist vinnslan því hinum upphaflega tilgangi með vinnslunni.
6.2 Meðalhóf og lágmörkun gagna
Hafnarfjarðarbær andmælir því að það sé hlutverk sveitarfélagsins að sýna fram á að vinnsla persónuupplýsinga grunnskólanemenda í Google-nemendakerfinu takmarkist við það sem er nauðsynlegt miðað við tilgang vinnslunnar, í ljósi þess að sveitarfélagið er hvorki eigandi né rekstraraðili nemendakerfisins. Sveitarfélagið hafi því ekki völd, aðstöðu eða réttindi til að veita upplýsingar um alla vinnslu persónuupplýsinga grunnskólanemenda í kerfinu. Telur sveitarfélagið að sér verði einungis gert að standa skil á upplýsingum um þær vinnslur sem það er ábyrgðaraðili fyrir.
Í skýringum Hafnarfjarðarbæjar er vísað til þess að Google-nemendakerfið bjóði upp á fjölda kosta sem lúti að aðgangsstýringum og takmörkunum á vinnslu upplýsinga. Sveitarfélagið hafi takmarkað og reynt að lágmarka vinnslu persónuupplýsinga í kerfinu frá því það hafi verið tekið í notkun. Meðal annars hafi verið lokað fyrir viðbætur Google Ads, Google AdSense, Google Ad Manager, Google Analytics og vefkökur frá viðbótarþjónustu. Að auki hafi sveitarfélagið nú takmarkað þá viðbótarþjónustu sem mögulegt er að nýta samhliða nemendakerfinu.
6.3 Varðveislutími persónuupplýsinga
Samkvæmt vinnsluskrá Hafnarfjarðarbæjar eru upplýsingar grunnskólanemenda almennt varðveittar í Google-nemendakerfinu á meðan nemandi er við nám í grunnskólum sveitarfélagsins. Upplýsingum nemenda er eytt úr kerfinu þremur mánuðum eftir að skólagöngu lýkur. Námsgögn, sem ber að varðveita samkvæmt lögum nr. 77/2014 um opinber skjalasöfn, eru varðveitt í samræmi við reglur sem þar eigi við. Í úttektarskýrslu Persónuverndar er vikið að því að Hafnarfjarðarbær hafi ekki sýnt fram á nauðsyn þess að varðveita upplýsingar nemenda í Google-nemendakerfinu út skólagöngu þeirra. Þessari afstöðu stofnunarinnar er andmælt af hálfu sveitarfélagsins. Vísað er til þess að í úttektinni hafi ekki verið óskað eftir því að sveitarfélagið sýndi fram á slíka nauðsyn en að sveitarfélagið telji tilefni til að endurskoða fyrri framkvæmd með hliðsjón af afstöðu Persónuverndar. Sveitarfélagið hafi ákveðið að gögnum sem ekki eru skilaskyld verði eytt úr Google-nemendakerfinu eftir lok hvers skólaárs. Persónuupplýsingar verði varðveittar lengur ef lagaskylda kveði á um slíkt samkvæmt lögum um opinber skjalasöfn.
7.
Mat á áhrifum á persónuvernd
Í svörum Hafnarfjarðarbæjar frá 29. apríl 2022 var greint frá því að sveitarfélagið hefði ekki gert mat á áhrifum á persónuvernd vegna vinnslu persónuupplýsinga nemenda í Google-nemendakerfinu. Samningur um þjónustuna hefði verið gerður í tíð eldri laga um persónuvernd og meðferð persónuupplýsinga en þágildandi lög hafi ekki gert kröfu um slíkt mat. Á hinn bóginn hafi mat á áhrifum á persónuvernd verið skipulagt samkvæmt stefnumótun í skýjalausnum frá árinu 2019. Því mati hafi verið lokið 3. júní 2022 og fylgt með svörum sveitarfélagsins 16. júní sama ár.
Í andmælum Hafnarfjarðarbæjar við úttektarskýrslu Persónuverndar segir að sveitarfélagið telji fyrirliggjandi mat ítarlegt og fagmannlega unnið. Því er sérstaklega andmælt að matið hafi átt að taka til vinnsluaðgerða sem Google framkvæmir sem sjálfstæður ábyrgðaraðili og Hafnarfjarðarbær hefur enga aðkomu að, þ.e. vinnslu persónuupplýsinga í öðrum tilgangi en þeim sem sveitarfélagið hefur falið Google að vinna með. Sveitarfélagið hafi ekkert boðvald yfir þeirri vinnslu og afar takmarkaðar upplýsingar um hana. Að mati sveitarfélagsins sé það ekki réttur skilningur á ákvæðum persónuverndarlöggjafarinnar, einkum 35. gr. reglugerðar (ESB) 2016/679, að í mati á áhrifum á persónuvernd skuli fjalla um vinnsluaðgerðir sem séu á ábyrgð annarra ábyrgðaraðila.
Því er jafnframt andmælt að matið standist ekki b-lið 7. mgr. 35. gr. reglugerðarinnar, um mat á því hvort vinnsluaðgerðir eru nauðsynlegar og hóflegar miðað við tilgang þeirra. Vísað er til þess að vinnsla upplýsinga í Google-nemendakerfinu afmarkist almennt við kennslufræðilegan tilgang vinnslunnar. Kennslutækin kunni að vinna á ólíkan hátt eftir kennslufræðilegum eiginleikum þeirra og umfang vinnslu sé því mismikið. Að mati sveitarfélagsins hafi önnur kerfi ekki verið talin álitlegur kostur út frá þörfum skólanna og notkunarmöguleikum í kennslu.
Því er einnig andmælt að ekki hafi verið lagt fullnægjandi mat á áhættu fyrir réttindi og frelsi hinna skráðu, sbr. c-lið 7. mgr. 35. gr. reglugerðarinnar. Sveitarfélagið hafi framkvæmt mat á áhrifum á persónuvernd eftir bestu samvisku í samræmi við 35. gr. reglugerðarinnar og leiðbeiningar Persónuverndar.
8.
Miðlun persónuupplýsinga til Bandaríkjanna
Í svörum Hafnarfjarðarbæjar kemur fram að vinnsla persónuupplýsinga nemenda í Google-nemendakerfinu kunni að fari fram í Bandaríkjunum, þó að það hafi ekki verið staðfest. Sveitarfélagið hafi beint fyrirspurnum til Google vegna mögulegs flutnings persónuupplýsinga til Bandaríkjanna. Í svörum svörum Google segir að fyrirtækið geri ráð fyrir að persónuupplýsingar séu unnar í Bandaríkjunum, án þess þó að hægt sé að benda á hvaða flokkar upplýsinga séu hýstar þar á hverjum tíma. Í svörum Google segi einnig að öll miðlun upplýsinga til óöruggra þriðju ríkja sé byggð á uppfærðum stöðluðum samningsskilmálum Evrópusambandsins og varin af tæknilegum, lagalegum og skipulagslegum öryggisráðstöfunum.
Í svörum Hafnarfjarðarbæjar er jafnframt vísað til þess að Google hafi sett fram lýsingar á viðbótarverndarráðstöfunum sem gripið hafi verið til í tengslum við mögulega miðlun persónuupplýsinga til þriðju landa (e. Safeguards for international data transfers with Google Cloud). Verður hér eingöngu vikið að þeim tæknilegu ráðstöfunum sem þar er lýst.
Í tilvísuðum lýsingum kemur fram að Google skrái aðgang og aðgerðir starfsmanna sinna innan umhverfisins. Einnig kemur fram að gögn séu dulkóðuð í flutningi sem og í hvíld. Notast sé við FIPS 104-2-dulkóðun í flutningi og svonefnt „Application Layer Transport Security“ (ALTS) og „Transport Layer Security“ (TLS). Dulkóðun gagna í hvíld styðjist við „Advanced Encryption Standard“. Dulkóðunarlykillinn sé a.m.k. 128 bita fyrir gögn sem séu varðveitt í Google-nemendakerfinu. Lykillinn sé enn fremur dulkóðaður með öðrum 128 bita lykli sem sé varðveittur af „Google key management service“ (KMS). Google bjóði jafnframt upp á aukastýringar, t.a.m. hafi viðskiptavinir kost á að dulrita eigin gögn og stjórna varðveislu dulkóðunarlykilsins fyrir tilteknar þjónustur.
Í skýringum Hafnarfjarðarbæjar segir að Bandaríkin séu nú aðili að sérstöku samkomulagi um flutning persónuupplýsinga frá Evrópu til Bandaríkjanna. Í samkomulaginu felist að Bandaríkin tryggi persónuupplýsingum, sem fluttar eru frá Evrópu til bandarískra fyrirtækja á grundvelli þess, viðunandi vernd í skilningi persónuverndarreglugerðarinnar, sbr. jafngildisákvörðun framkvæmdastjórnar Evrópusambandsins, dags. 10. júlí 2023. Þetta eigi við um fyrirtæki sem gangast með formlegum hætti undir skyldur samkvæmt samkomulaginu og sé Google þar á meðal.
9.
Andmæli vegna mögulegrar álagningar sektar
Með úttektarskýrslu Persónuverndar var Hafnarfjarðarbæ veittur andmælaréttur vegna mögulegra fyrirmæla og beitingar stjórnvaldssektar. Í skýrslunni er það rakið að fyrirliggjandi gögn hafi þótt benda til þess að sveitarfélagið hefði brotið gegn ákvæðum 5., 6., 25., 26., 28., 30., 35., 44. og 46. gr. reglugerðar (ESB) 2016/679 en brot gegn þeim ákvæðum geta varðað sektum samkvæmt 2. og 3. mgr. 46. gr. laga nr. 90/2018, sbr. 4. og 5. mgr. 83. gr. reglugerðarinnar. Í úttektarskýrslunni eru einnig rakin þau atriði sem Persónuvernd taldi geta leitt til þess að sekt yrði lögð á og haft áhrif á fjárhæð sektar, samkvæmt 1. mgr. 47. gr. laga nr. 90/2018, sbr. 2. mgr. 83. gr. reglugerðarinnar.
Hafnarfjarðarbær vísar til þess að sveitarfélagið hafi sýnt mikinn samstarfsvilja gagnvart Persónuvernd og svarað öllum erindum stofnunarinnar við meðferð málsins með skýrum og greinargóðum hætti. Einnig telji sveitarfélagið ekki tilefni til að álykta á þann veg að það hafi brotið gegn ákvæðum persónuverndarlöggjafarinnar. Að auki sé rétt að hafa í huga að Persónuvernd hafi hingað til ekki beitt vægari úrræðum í málinu. Enn fremur beri að hafa hliðsjón af meðferð sambærilegra mála á hinum Norðurlöndunum, t.d. í Danmörku, þar sem samband þarlendra sveitarfélaga hafi haft rúman tíma til að koma á framfæri við persónuverndaryfirvöld tillögum af hálfu sveitarfélaga um endurbætur.
-
Hvað varðar einstök atriði sem eru nefnd í úttektarskýrslu Persónuverndar er í fyrsta lagi að nefna að umrædd vinnsla lýtur að persónuupplýsingum barna, sem njóta sérstakrar verndar samkvæmt persónuverndarlöggjöfinni, og teljast brot á vinnslu þeirra því alvarleg, sbr. 1. tölul. 1. mgr. 47. gr. laga nr. 90/2018 og a-lið 2. mgr. 83. gr. reglugerðarinnar. Í skýrslunni er einnig vísað til þess að með hliðsjón af virkni Google-nemendakerfisins og aldri nemenda þyki líkur standa til þess að viðkvæmar persónuupplýsingar eða upplýsingar viðkvæms eðlis séu skráðar í kerfið. Í andmælum Hafnarfjarðarbæjar er tekið fram að sveitarfélagið leggi bann við vinnslu viðkvæmra persónuupplýsinga í Google-nemendakerfinu og hafi eftirlit með því að banninu sé framfylgt. Að auki bendir sveitarfélagið á að ósannað sé að viðkvæmar persónuupplýsingar hafi verið skráðar í nemendakerfið og ekkert hafi komið fram um ætlun til að skrá slíkar upplýsingar.
Í öðru lagi er á því byggt í úttektarskýrslu Persónuverndar að vinnsluheimild sé ekki fyrir hendi hvað varðar söfnun persónuupplýsinga í þágu viðbótarþjónustu Google og þjónustugagna í öðrum og ósamrýmanlegum tilgangi en þeim sem tilgreindur hefur verið fyrir vinnslu persónuupplýsinga í nemendakerfinu af hálfu Hafnarfjarðarbæjar. Vinnsla umræddra persónuupplýsinga þyki enn fremur ekki samrýmast meginreglum um gagnsæi, meðalhóf og lágmörkun gagna og þyki brotin að þessu leyti alvarleg, sbr. 1. tölul. 1. mgr. 47. gr. laganna og a-lið 2. mgr. 83. gr. reglugerðarinnar. Í andmælum Hafnarfjarðarbæjar segir að sveitarfélagið verði ekki gert ábyrgt fyrir málefnalegri vinnslu sem fer fram af hálfu annars sjálfstæðs ábyrgðaraðila. Að auki er því andmælt að Persónuvernd sé heimilt að færa sama meinta brotið, þ.e. vinnslu Google, sem fellur ekki undir vinnslusamning aðila, undir langan lista af meintum brotum. Slíkt samræmist ekki 2. mgr. 47. gr. laga nr. 90/2018.
Í þriðja lagi er á því byggt í úttektarskýrslu Persónuverndar að brot Hafnarfjarðarbæjar þyki umfangsmikil, þar sem 3.000-3.250 grunnskólanemendur hafi notað Google-nemendakerfið skólaárið 2021-2022, sbr. 1. tölul. 1. mgr. 47. gr. laganna og a-lið 2. mgr. 83. gr. reglugerðarinnar. Í andmælum Hafnarfjarðarbæjar er bent á að ekki komi fram á hverju mat Persónuverndar sé byggt. Hafnarfjarðarbær telji að til þess að hægt sé að komast að þeirri niðurstöðu að um umfangsmikil brot sé að ræða samkvæmt 1. tölul. 1. mgr. 47. gr. laganna þurfi að fara fram hlutlægt mat byggt á gagnsæjum tölulegum upplýsingum. Samkvæmt tölulegum upplýsingum frá Hagstofu Íslands hafi hlutfall nemenda sveitarfélagsins, sem hafi notað Google-nemendakerfið, verið 7% af heildarfjölda nemenda í grunnskólum á landinu skólaárið 2021-2022 og 11% af nemendum á höfuðborgarsvæðinu. Sveitarfélagið telji hlutfallið ekki umfangsmikið í þessu samhengi.
Í fjórða lagi er því andmælt sem fram kemur í úttektarskýrslu Persónuverndar að áhætta fylgi því að persónuupplýsingar séu fluttar til Bandaríkjanna og unnar þar án þess að gripið hafi verið til viðeigandi verndarráðstafna og að brotið teljist alvarlegt af þeim sökum, sbr. 1. og 4. tölul. 1. mgr. 47. gr. laganna og a- og d- lið 2. mgr. 83. gr. reglugerðarinnar. Hafnarfjarðarbær telji alls óútskýrt af hálfu Persónuverndar hvers vegna þetta meinta brot teljist alvarlegt af þeim sökum einum, óháð því hvers eðlis það er. Fyrir liggi ítarleg lýsing á þeim viðbótarverndarráðstöfunum sem hafi verið viðhafðar við vinnsluna fram að því að svonefndur friðhelgisrammi (e. Privacy Framework) hafi tekið gildi.
Í fimmta lagi er í úttektarskýrslu Persónuverndar byggt á því að brot Hafnarfjarðarbæjar hafi verið framin af stórfelldu gáleysi, sbr. 2. tölul. 1. mgr. 47. gr. laganna og b-lið 2. mgr. 83. reglugerðarinnar. Er vísað til þess að stofnunin hafi birt leiðbeiningar 7. janúar 2022, í kjölfar ákvörðunar í máli nr. 2021040879, um innleiðingu upplýsingatæknikerfa þar sem unnið er með persónuupplýsingar barna en að ekki verði séð að Hafnarfjarðarbær hafi haft hliðsjón af þeim hvað varðar vinnslu persónuupplýsinga í Google-nemendakerfinu. Af hálfu Hafnarfjarðarbæjar er þessari afstöðu eindregið andmælt. Tekið er fram að hlíting við umræddar leiðbeiningar hafi ekki verið hluti af fyrirliggjandi úttekt. Við innleiðingu Google-nemendakerfisins hafi ekki verið fyrir að fara öðrum leiðbeiningum en almennum leiðbeiningum um skýjalausnir sem gefnar hafi verið út af fjármála- og efnahagsráðuneytinu í samvinnu við Persónuvernd í árslok 2016. Eftir að nemendakerfið hafi verið tekið í notkun hafi verið lögð áhersla á að hafa hliðsjón af viðeigandi leiðbeiningum, ákvörðunum og lýsingu á góðum starfsháttum.
Loks er þeirri sektarfjárhæð, sem er tilgreind í úttektarskýrslunni, mótmælt sem óhóflega hárri, einkum með hliðsjón af ákvörðunum Persónuverndar í máli nr. 2022020414 varðandi notkun Kópavogsbæjar á Seesaw-nemendakerfinu og í máli nr. 2020010355 varðandi InfoMentor ehf.
IV.
Niðurstaða
1.
Afmörkun máls
Ákvörðun þessi lýtur að vinnslu persónuupplýsinga grunnskólanemenda Hafnarfjarðarbæjar í Google-nemendakerfinu, sbr. skilgreiningar 2. og 4. tölul. 3. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og 1. og 2. tölul. 4. gr. reglugerðar (ESB) 2016/679, í samræmi við gildissvið laganna og reglugerðarinnar, sbr. 1. mgr. 4. gr. laganna.
Nemendakerfið er „SaaS“-skýjalausn (e. Software as a Service), þ.e. lausn sem veitir notendum möguleikann á að nota tiltekinn hugbúnað eftir þörfum. Sveitarfélagið hefur áætlað að 3.000-3.250 nemendur hafi notað kerfið skólaárið 2021-2022.
Af gögnum málsins má ráða að í grunnþjónustu nemendakerfisins eru unnar annars vegar persónuupplýsingar viðskiptavinarins (e. Customer Personal Data), sem vinnslusamningur aðila tekur til, og hins vegar persónuupplýsingar í þjónustugögnum (e. Service Data), sem fjallað er um í skilmálum Google, t.d. í skilmálum Google um samþykki vegna vinnslu persónuupplýsinga í nemendakerfinu (e. Google Workspace for Education School Consent), persónuverndarstefnu Google fyrir skýjaþjónustu (e. Google Cloud Privacy Notice) og persónuverndarstefnu fyrir Google-nemendakerfið (e. Google Workspace for Education Privacy Notice).
Persónuupplýsingar viðskiptavinarins eru, samkvæmt skilgreiningu vinnslusamnings, þær persónuupplýsingar sem Hafnarfjarðarbær eða notendur Google-nemendakerfisins miðla til Google með nemendakerfinu. Í vinnsluskrá Hafnarfjarðarbæjar eru tilgreindar þær persónuupplýsingar sem skráðar eru í kerfið. Samkvæmt vinnsluskránni fer úrlausn verkefna fram í kerfinu og kennarar geta gefið almenna endurgjöf og leiðsagnarmat. Að auki geta nemendur og kennarar haft samskipti í gegnum samskiptasvæði og tölvupóstkerfi.
Samkvæmt persónuverndarstefnu Google fyrir skýjaþjónustu eru þjónustugögn persónuupplýsingar sem Google safnar eða sem verða til við skýjaþjónustu fyrirtækisins. Nánar tiltekið er um að ræða notendaupplýsingar (e. Account information), t.d. notendanöfn og nöfn, upplýsingar um stillingar á þjónustunni (e. Cloud settings and configurations), tæknilegar upplýsingar og greiningargögn (e. Technical and operational details of your usage of Cloud Services), t.d. auðkenni tækis, auðkenni frá vafrakökum og IP-tölur, og bein samskipti notenda við Google, t.d. í tengslum við tæknilega aðstoð (e. Your direct communications).
Samkvæmt skilmálum Google um samþykki vegna vinnslu persónuupplýsinga í nemendakerfinu safnar Google enn fremur upplýsingum, m.a. um þau tæki sem kerfið er notað í, hvernig kerfið er notað, staðsetningu tækja eins og hún ákvarðast af mismunandi tækni, þ. á m. IP-tölu, GPS og öðrum nemum, tungumálastillingar og aðrar stillingar. Eru þessar upplýsingar nýttar til að veita grunnþjónustu í kerfinu.
Samkvæmt svörum Hafnarfjarðarbæjar nota grunnskólar sveitarfélagsins viðbótarþjónusturnar Google Earth, Google Maps, Google Photos og Youtube, samhliða notkun Google-nemendakerfisins. Samkvæmt persónuverndarstefnu fyrir Google-nemendakerfið safnar Google persónuupplýsingum sem notendur skrá eða búa til þegar viðbótarþjónustur Google eru notaðar og upplýsingum um notkun þeirrar þjónustu, m.a. leitarfyrirspurnir notandans, myndbönd sem horft er á eða annað efni sem notandinn skoðar (e. Your activity while using additional services), upplýsingum um smáforrit, vafra og tæki (e. Your apps, browsers and devices) og staðsetningarupplýsingum (e. Your location information). Í stefnunni segir að tegundir þeirra staðsetningarupplýsinga sem er safnað fari að hluta til eftir stillingum notenda og því í hvers konar tæki nemendakerfið er notað.
Með hliðsjón af skilgreiningu persónuverndarlöggjafarinnar á persónuupplýsingum, sbr. 2. tölul. 3. gr. laga nr. 90/2018 og 1. tölul. 4. gr. reglugerðar (ESB) 2016/679, telur Persónuvernd að verkefni og önnur gögn sem nemendur skrá í Google-nemendakerfið teljist ávallt til persónuupplýsinga þeirra ef unnt er að tengja þau við tiltekinn nemanda, þó að það sé e.t.v. ekki á allra færi. Með sömu röksemdum teljast upplýsingar sem fela í sér endurgjöf kennara við verkefni nemenda einnig vera persónuupplýsingar nemendanna ef unnt er að tengja þær við tiltekinn nemanda. Það sama á við um þjónustugögn og önnur gögn sem eru unnin í Google-nemendakerfinu, t.d. notendaupplýsingar, tæknilegar upplýsingar, greiningarupplýsingar og staðsetningarupplýsingar, sem unnt er að tengja við tiltekna nemendur.
2.
Almennt um vinnslu persónuupplýsinga grunnskólanemenda í upplýsingatæknikerfum
Persónuvernd hefur áður fjallað um þau sjónarmið sem leggja verður til grundvallar við skýringu laga nr. 90/2018 og reglugerðar (ESB) 2016/679 þegar persónuupplýsingar barna eru unnar í upplýsingatæknikerfum í grunnskólastarfi. Vísast í þessu sambandi til umfjöllunar í kafla II. 2. í ákvörðun stofnunarinnar í máli nr. 2021040879. Í niðurlagi kaflans segir meðal annars:
[Þ]rátt fyrir að upplýsingatæknikerfi geti nýst kennurum, foreldrum og skólabörnum í skólastarfi og notkun þeirra verið þáttur í og aðstoðað við menntun barnanna þá fylgi[r] notkun þeirra áhætta fyrir grundvallarréttindi barnanna. Með hliðsjón af ungum aldri og þroska barnanna, þeirri stöðu sem þau eru í gagnvart skólunum, magni þeirra gagna sem hætta er á að safnist yfir skólagöngu þeirra, viðkvæmu eðli upplýsinganna sem kunna að vera skráðar, áhrifum upplýsingasöfnunarinnar á sjálfsmynd barnanna og aðgangi aðila á einkamarkaði að þessum upplýsingum, verður að fylgja ákvæðum persónuverndarlöggjafarinnar til hins ýtrasta þegar stafrænar lausnir eru innleiddar í skólastarf. Á það við um öll ákvæði persónuverndarlöggjafarinnar en sérstaklega skal nefnt hversu áríðandi það er að meginregla um meðalhóf og lágmörkun gagna sé virt. Persónuupplýsingar skólabarna sem safnað er í hvers konar upplýsingatæknikerfi skulu vera nægilegar, viðeigandi og takmarkast við það sem er nauðsynlegt miðað við tilgang vinnslunnar. Til þess að þessi meginregla sé virt í raun skal tilgangur með vinnslu persónuupplýsinganna vera skilgreindur þröngt og afmarkandi. Að öðrum kosti er ekki unnt að skilgreina hvaða persónuupplýsingar eru beinlínis nauðsynlegar fyrir vinnsluna. Þá verður að hafa í huga að þrátt fyrir að vinnsla persónuupplýsinga teljist hentug fyrir kennslu þá felst ekki sjálfkrafa í því að vinnslan sé nauðsynleg í þeim tilgangi.
3.
Ábyrgðaraðili og vinnsluaðili
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 og reglugerð (ESB) 2016/679 er nefndur ábyrgðaraðili. Er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 6. tölul. 3. gr. laganna og 7. tölul. 4. gr. reglugerðarinnar.
Ef tveir eða fleiri ábyrgðaraðilar ákveða sameiginlega tilgang vinnslu og aðferðir við hana skulu þeir teljast vera sameiginlegir ábyrgðaraðilar, sbr. 23. gr. laganna og 1. mgr. 26. gr. reglugerðarinnar.
Vinnsluaðili er einstaklingur, lögaðili, stjórnvald eða annar aðili sem vinnur með persónuupplýsingar á vegum ábyrgðaraðila, sbr. 7. tölul. 3. gr. laganna og 8. tölul. 4. gr. reglugerðarinnar.
3.1 Ábyrgð á vinnslu
Samkvæmt leiðbeiningum EDPB nr. 7/2020, um hugtökin ábyrgðaraðili og vinnsluaðili, eins og þær voru uppfærðar 7. júlí 2021, ber, við ákvörðun um hver telst vera ábyrgðaraðili vinnslu og hver telst vera vinnsluaðili, ekki einungis að líta til þeirra gagna sem fyrir liggja, til að mynda vinnslusamnings, heldur einnig hvernig fyrirkomulagi hafi raunverulega verið háttað, þ.e. hver hafi í reynd tekið ákvörðun um tilgang og aðferðir við vinnslu persónuupplýsinga.
Af gögnum málsins er ljóst að Hafnarfjarðarbær tók ákvörðun um að nota Google-nemendakerfið í grunnskólum sveitarfélagsins. Með því að ákveða að nota tiltekið upplýsingatæknikerfi í grunnskólastarfi til að veita nemendum kennslu, og beina nemendum í að nota það kerfi, ákveður Hafnarfjarðarbær í reynd tilgang og aðferðir við vinnslu persónuupplýsinga nemendanna í kerfinu. Að mati Persónuverndar er Hafnarfjarðarbær því ábyrgðaraðili vinnslu persónuupplýsinga nemenda í Google-nemendakerfinu.
Hafnarfjarðarbær hefur andmælt því að teljast ábyrgðaraðili vinnslu þjónustugagna og annarra gagna, sem fer fram í þágu þess að unnt sé að veita grunnþjónustu í Google-nemendakerfinu (hér eftir allt tilgreint sem þjónustugögn), samkvæmt skilmálum Google, þar sem fyrirtækið ákveði eitt tilgang og aðferðir þeirrar vinnslu. Að auki hefur Hafnarfjarðarbær andmælt því að teljast ábyrgðaraðili að vinnslu persónuupplýsinga í þágu viðbótarþjónustu Google, þar sem vinnslusamningur sveitarfélagsins við Google taki ekki til þeirrar vinnslu.
Samkvæmt a-lið 3. mgr. 28. gr. og 29. gr. reglugerðar (ESB) 2016/679, sbr. 3. mgr. 25. gr. laga nr. 90/2018, skal vinnsluaðili því aðeins vinna persónuupplýsingar, sem hann hefur aðgang að í umboði ábyrgðaraðila, að fyrir liggi fyrirmæli ábyrgðaraðilans, nema honum sé það skylt samkvæmt lögum Sambandsins eða lögum aðildarríkis. Vinnsluaðili getur því ekki tekið ákvörðun um að vinna þær persónuupplýsingar, sem hann kemst yfir sem vinnsluaðili, frekar í öðrum tilgangi án samráðs við hinn upphaflega ábyrgðaraðila.
Samkvæmt þeim gögnum sem liggja fyrir í málinu og skýringum Hafnarfjarðarbæjar hefur sveitarfélagið ekki gefið Google fyrirmæli um vinnslu þjónustugagna. Þá liggur ekki fyrir samkomulag um vinnslu þessara gagna í samræmi við ákvæði 26. gr. reglugerðar (ESB) 2016/679, sbr. 23. gr. laga nr. 90/2018. Að því virtu og með hliðsjón af framangreindum ákvæðum fellst Persónuvernd á þau sjónarmið Hafnarfjarðarbæjar að Google teljist ábyrgðaraðili vinnslu persónuupplýsinga grunnskólanemenda sveitarfélagsins í þjónustugögnum. Með sömu rökum verður Google talið ábyrgðaraðili að vinnslu persónuupplýsinga í þágu viðbótarþjónustu, enda liggja ekki fyrir fyrirmæli sveitarfélagsins eða grunnskóla þess eða samkomulag milli þessara aðila hvað þá vinnslu varðar.
Á hinn bóginn ber Hafnarfjarðarbær ábyrgð á því að persónuupplýsingar grunnskólanemenda sveitarfélagsins séu unnar í Google-nemendakerfinu, enda er það sveitarfélagið sem tekur ákvörðun um notkun kerfisins. Þrátt fyrir að Google setji fram tilgang og aðferðir við vinnslu tiltekinna gagna, samkvæmt framansögðu, leysir það ekki Hafnarfjarðarbæ undan ábyrgðarskyldum sínum, líkt og rakið verður í næstu köflum hér á eftir.
Þar sem úttekt þessi beinist eingöngu að Hafnarfjarðarbær verður ekki fjallað frekar um ábyrgð Google í þessu sambandi.
3.2 Ábyrgðarskylda Hafnarfjarðarbæjar við val á skýjaþjónustu og samningsgerð
Ábyrgðaraðili vinnslu persónuupplýsinga ber ábyrgð á því að vinnslan sé ávallt í samræmi við meginreglur um persónuvernd og skal geta sýnt fram á það, sbr. 8. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og 5. gr. reglugerðar (ESB) 2016/679. Ábyrgðaraðili skal, í því sambandi, gera viðeigandi tæknilegar og skipulagslegar ráðstafanir sem taka mið af eðli, umfangi, samhengi og tilgangi vinnslu og áhættu fyrir réttindi og frelsi skráðra einstaklinga til að tryggja og sýna fram á að vinnsla persónuupplýsinga uppfylli kröfur reglugerðarinnar, sbr. 23. gr. laga nr. 90/2018 og 1. mgr. 24. gr. reglugerðarinnar.
Ef tveir eða fleiri ábyrgðaraðilar ákveða sameiginlega tilgang vinnslunnar og aðferðir við hana skulu þeir teljast vera sameiginlegir ábyrgðaraðilar, sbr. 1. mgr. 26. gr. reglugerðarinnar og 23. gr. laganna. Þeir skulu, á gagnsæjan hátt, ákveða ábyrgð hvers um sig á því að skuldbindingar samkvæmt reglugerðinni séu uppfylltar með samkomulagi sín á milli nema og að því marki sem ábyrgð hvers ábyrgðaraðila um sig er ákveðin í lögum Sambandsins eða lögum aðildarríkis sem ábyrgðaraðilarnir heyra undir.
Þegar öðrum er falin vinnsla fyrir hönd ábyrgðaraðila skal ábyrgðaraðilinn einungis leita til vinnsluaðila sem veita nægilegar tryggingar fyrir því að þeir geri viðeigandi tæknilegar og skipulagslegar ráðstafanir til að vinnslan uppfylli kröfur reglugerðarinnar og að vernd réttinda hins skráða sé tryggð, sbr. 1. mgr. 25. gr. laga nr. 90/2018 og 1. mgr. 28. gr. reglugerðarinnar. Vinnsla af hálfu vinnsluaðila skal falla undir samning eða aðra réttargerð samkvæmt lögum, sem skuldbindur vinnsluaðila gagnvart ábyrgðaraðilanum og þar sem tilgreint er m.a. viðfangsefni og tilgangur vinnslu, skyldur og réttindi ábyrgðaraðila og að vinnsluaðili vinni einungis persónuupplýsingar samkvæmt skjalfestum fyrirmælum ábyrgðaraðila, sbr. 3. mgr. 25. gr. laganna og 3. mgr. 28. gr. reglugerðarinnar.
Líkt og rakið er í fyrrgreindum leiðbeiningum EDPB nr. 7/2020 (efnisgrein 83) ætti ábyrgðaraðili, þegar hann felur tilteknum þjónustuveitanda vinnslu persónuupplýsinga, að meta vandlega hvort þjónustuveitandinn gerir honum kleift að sinna ábyrgðarskyldum sínum með fullnægjandi hætti, að virtu eðli, umfangi, samhengi og tilgangi vinnslunnar og að teknu tilliti til mögulegrar áhættu sem fylgir vinnslunni fyrir hina skráðu. Í leiðbeiningunum segir einnig (efnisgreinar 37 og 84) að ábyrgðaraðili verði að taka endanlega ákvörðun um að samþykkja, með virkum hætti, hvernig vinnslan fer fram hjá vinnsluaðila, a.m.k. að meginstefnu til. Í einhverjum tilvikum kann að vera eðlilegt fyrir vinnsluaðila að geta tekið sjálfstæðar ákvarðanir í tengslum við vinnsluna en þá ætti það að vera ljóst hvaða tilvik það eru og að hvaða marki það þykir eðlilegt að þessar ákvarðanir falli í skaut vinnsluaðila.
Af þeim dæmum sem eru sett fram í leiðbeiningunum (efnisgrein 81 og 84) má einnig ráða að þegar sveitarfélög semja við skýjaþjónustuveitendur, í sambærilegum tilgangi og hér er til umfjöllunar, heyrir það undir ábyrgð sveitarfélagsins, sem ábyrgðaraðila vinnslunnar, að gera fullnægjandi vinnslusamning og tryggja að þær persónuupplýsingar sem eru unnar á þess ábyrgð séu eingöngu unnar í þeim tilgangi sem sveitarfélagið hefur tilgreint fyrir vinnslunni. Einnig verður ráðið, af tilvísuðum dæmum, að þegar þjónustuveitandi ákveður upp á sitt einsdæmi að nota persónuupplýsingar, sem hann fær aðgang að á grundvelli vinnslusamnings við ábyrgðaraðila, t.d. til að þróa eigin starfsemi, teljist þjónustuveitandinn ábyrgðaraðili þeirrar vinnslu en vinnslan felur þá jafnframt í sér brot á reglugerð (ESB) 2016/679.
Að öllu framangreindu virtu og með hliðsjón af atvikum þessa máls heyrir það undir ábyrgðarskyldur Hafnarfjarðarbæjar að velja skýjaþjónustuveitanda sem gerir sveitarfélaginu kleift að sinna skyldum sínum samkvæmt persónuverndarlöggjöfinni með fullnægjandi hætti, að því virtu að um er að ræða vinnslu persónuupplýsinga barna í skólastarfi. Samkvæmt því hefði Hafnarfjarðarbær átt að tryggja, þegar samið var við Google um vinnslu persónuupplýsinga grunnskólanemenda sveitarfélagsins, að upplýsingarnar yrðu eingöngu unnar í þeim tilgangi sem sveitarfélagið tilgreindi fyrir vinnslunni. Að því marki sem nauðsynlegt gæti talist að Google tæki sjálfstæðar ákvarðanir um vinnslu persónuupplýsinga vegna þjónustu sinnar við Hafnarfjarðarbæ og reksturs kerfisins, hefði sveitarfélagið auk þess átt að taka afstöðu til þess að hvaða marki slíkt væri nauðsynlegt og heimilt.
Þar sem ekki er fjallað um vinnslu þjónustugagna eða vinnslu persónuupplýsinga í þágu viðbótarþjónustu Google í vinnslusamningi Hafnarfjarðarbæjar og Google eða í sérstöku samkomulagi sameiginlegra ábyrgðaraðila, og með vísan til þess sem fram kemur í skýringum Hafnarfjarðarbæjar um að allar ákvarðanir sem lúti að vinnslu þjónustugagna séu teknar eingöngu af Google án nokkurrar þátttöku sveitarfélagsins og að sveitarfélagið hafi afar takmarkaðar upplýsingar um vinnsluna, er það niðurstaða Persónuverndar að Hafnarfjarðarbær hafi ekki sinnt ábyrgðarskyldum sínum samkvæmt 8. gr., 23. gr. og 1. mgr. 25. gr. laga nr. 90/2018, sbr. 5. gr., 1. mgr. 24. gr. og 1. mgr. 28. gr. reglugerðar (ESB) 2016/679.
Samkvæmt a-lið 3. mgr. 28. gr. reglugerðarinnar, sbr. 3. mgr. 25. gr. laganna, skal vinnslusamningur ábyrgðar- og vinnsluaðila einkum mæla fyrir um að vinnsluaðili vinni einungis persónuupplýsingar samkvæmt skjalfestum fyrirmælum ábyrgðaraðila nema vinnsluaðila sé annað skylt samkvæmt lögum en þá skal hann upplýsa ábyrgðaraðila um það áður en vinnsla hefst. Þar sem fyrirliggjandi vinnslusamningur Hafnarfjarðarbæjar og Google útilokar ekki að Google vinni persónuupplýsingar frekar, umfram fyrirmæli Hafnarfjarðarbæjar, eins og gögn málsins bera með sér að Google geri í raun, er það jafnframt niðurstaða Persónuverndar að vinnslusamningurinn samrýmist ekki framangreindum ákvæðum.
Samkvæmt 2. mgr. og d-lið 3. mgr. 28. gr. reglugerðar (ESB) 2016/679, sbr. 3. mgr. 25. gr. laga nr. 90/2018, skal vinnsluaðili tilkynna ábyrgðaraðilanum um allar fyrirhugaðar breytingar á undirvinnsluaðilum sem fela í sér að bætt er við vinnsluaðilum eða þeim skipt út og gefa þannig ábyrgðaraðilanum tækifæri til að andmæla slíkum breytingum.
Í ákvæði 11.4 b. í vinnslusamningi Hafnarfjarðarbæjar og Google segir að Google tilkynni viðskiptavini um nýjan undirvinnsluaðila og viðskiptavinurinn hafi 90 daga til að andmæla breytingunni með því að segja upp samningnum þegar í stað. Í framkomnum skýringum Hafnarfjarðarbæjar er því haldið fram að framangreindur tímafrestur gefi sveitarfélaginu nægan tíma til að koma á framfæri andmælum sínum við fyrirhugaðar breytingar á undirvinnsluaðilum. Að virtum fyrrgreindum leiðbeiningum EDPB nr. 7/2020 (efnisgrein 158) og með hliðsjón af skýrslu ráðsins frá 17. janúar 2023 vegna samræmdra eftirlitsaðgerða með notkun opinberra aðila á skýjaþjónustu, fellst Persónuvernd á þau sjónarmið Hafnarfjarðarbæjar.
4.
Lögmæti vinnslu
Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Að auki verður vinnsla viðkvæmra persónuupplýsinga að samrýmast einhverju af viðbótarskilyrðum 1. mgr. 11. gr. laganna, sbr. 2. mgr. 9. gr. reglugerðarinnar. Við mat á heimild til vinnslu verður einnig að líta til ákvæða annarra laga sem við eiga hverju sinni.
Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að samrýmast öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða (1. tölul. lagaákvæðisins), að þær skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.), að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.), að þær skuli varðveittar í því formi að ekki sé unnt að bera kennsl á skráða einstaklinga lengur en þörf krefur miðað við tilgang vinnslu (5. tölul.) og að þær skuli unnar með þeim hætti að viðeigandi öryggi persónuupplýsinganna sé tryggt (6. tölul.). Þá skulu ábyrgðaraðilar geta sýnt fram á að vinnsla persónuupplýsinga samrýmist ávallt þessum meginreglum, sbr. 2. mgr. 8. gr. laganna og 2. mgr. 5. gr. reglugerðarinnar.
4.1 Vinnsluheimild og tilgangur
Ábyrgðaraðili skal ákveða skýrt tilgreindan, lögmætan og málefnalegan tilgang vinnslu persónuupplýsinga og tryggja að þær séu unnar með lögmætum hætti og eingöngu í tilgreindum tilgangi, sbr. 1. og 2. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og a- og b-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Í því felst að vinnsla persónuupplýsinga þarf að byggjast á viðeigandi vinnsluheimildum og þurfa ábyrgðaraðilar að geta sýnt fram á að öllum skilyrðum tiltekinnar vinnsluheimildar sé fullnægt, sbr. 2. mgr. tilvísaðra greina. Til þess að vinnsla persónuupplýsinga sé lögmæt þarf tilgangur hennar og vinnsluheimildir að liggja fyrir áður en vinnsla hefst.
Hafnarfjarðarbær byggir vinnslu persónuupplýsinga grunnskólanemenda í Google-nemendakerfinu á 3. og 5. tölul. 9. gr. laga nr. 90/2018, þar sem hún sé nauðsynleg til að fullnægja lagaskyldu sem hvíli á sveitarfélaginu og vegna verka sem unnin eru í þágu almannahagsmuna eða við beitingu opinbers valds sem sveitarfélagið fer með. Vísað er til þess að vinnslan lúti að almannahagsmunum þar sem lög nr. 91/2008 um grunnskóla og tengdar reglugerðir lúti að almannaheill barna og skyldum samfélagsins til að veita þeim viðeigandi og fullnægjandi menntun. Þá er tekið fram að tilgangur vinnslunnar sé að efla kennslufræðilega starfsemi grunnskóla út frá lögum um grunnskóla, með þeirri tækni sem sé talin heppilegust, til að veita kennslufræðilegan stuðning til náms og árangurs hjá nemendum skólanna.
Við mat á því hvort vinnsla persónuupplýsinga getur stuðst við 3. tölul. 9. gr. laga nr. 90/2018, sbr. c-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, þarf að hafa í huga að vinnsluheimildin gerir almennt ráð fyrir því að lög mæli fyrir um að tiltekin vinnsla persónuupplýsinga skuli fara fram eða að nauðsyn vinnslunnar verði leidd af ákvæðum laga sem gilda um starfsemi ábyrgðaraðila. Eins og hér háttar til er það mat Persónuverndar að slík lagaskylda verði ekki leidd af tilvísuðum ákvæðum laga nr. 91/2008. Þegar byggt er á 5. tölul. 9. gr. laganna, sbr. e-lið 1. mgr. 6. gr. reglugerðarinnar, er aftur á móti gert ráð fyrir að stjórnvöld hafi ákveðið svigrúm til að meta hvaða vinnsla er nauðsynleg til að framfylgja lögbundnum verkefnum viðkomandi stjórnvalds með vísan til almannahagsmuna og beitingar opinbers valds. Persónuvernd hefur byggt á því í fyrri niðurstöðum sínum að sveitarfélög geti stutt vinnslu persónuupplýsinga grunnskólanemenda í upplýsingatæknikerfum við heimild 5. tölul. 9. gr. laganna, sbr. e-lið 1. mgr. 6. gr. reglugerðarinnar, í ljósi þeirra verkefna sem þeim eru falin með lögum nr. 91/2008 og réttarheimildum sem settar eru með stoð í þeim lögum. Vísast um þetta atriði til kafla III. 4.1 í fyrrgreindri ákvörðun stofnunarinnar í máli nr. 2021040879.
Krafa vinnsluheimildarinnar um að vinnsla sé nauðsynleg í tilteknum tilgangi og í þágu tilgreindra hagsmuna endurspeglar meginreglu persónuverndarlöggjafarinnar um meðalhóf. Það ræðst af aðstæðum hverju sinni hvort vinnsla telst nauðsynleg. Ábyrgðaraðilum er falið visst mat í þeim efnum en þeir þurfa að meta nauðsyn fyrir hvern og einn þátt vinnslunnar í þágu skilgreinds tilgangs. Matið, fyrir hvern og einn þátt vinnslunnar, ræðst svo af hagsmunum af tilteknu verki og hvort hægt er að gæta þeirra hagsmuna með einhverjum þeim hætti sem felur í sér takmarkaðri vinnslu persónuupplýsinga. Við það mat ber meðal annars að líta til umfangs vinnslunnar og eðlis og efnis þeirra upplýsinga sem unnið er með. Þannig ber t.a.m. að gera ríkari kröfur að því er varðar nauðsyn vinnslu upplýsinga um hrein einkamálefni einstaklinga sem er sanngjarnt og eðlilegt að fari leynt. Vinnsla viðkvæmra persónuupplýsinga þarf að auki að samrýmast einhverju af viðbótarskilyrðum 1. mgr. 11. gr. laga nr. 90/2018, sbr. 2. mgr. 9. gr. reglugerðar (ESB) 2016/679. Þá hefur Persónuvernd einnig lagt til grundvallar, við mat á nauðsyn vinnslu, að rétt sé að líta til þess hvort hinir skráðu eru börn, enda njóta persónuupplýsingar þeirra sérstakrar verndar, sbr. 38. lið formálsorða reglugerðarinnar. Í því sambandi verður, hvað umrædda vinnslu varðar, m.a. að líta til aldurs og þroska barnanna, þeirrar stöðu sem þau eru í gagnvart skólanum sínum, magns þeirra gagna sem hætta er á að safnist yfir skólagöngu þeirra, og aðgangs Google að persónuupplýsingum þeirra til vinnslu í eigin þágu.
Til þess að unnt sé að meta nauðsyn vinnslu, sem og að tryggja gagnsæi hennar, þarf tilgangur vinnslunnar jafnframt að vera skýrt afmarkaður til að komið sé í veg fyrir að fella megi næstum hvað sem er undir hann.
Samkvæmt fyrirliggjandi mati á áhrifum á persónuvernd er tilgangur vinnslunnar að efla kennslufræðilega starfsemi grunnskóla út frá lögum nr. 91/2008 með þeirri tækni sem heppilegust er talin til að geta veitt kennslufræðilegan stuðning til náms og árangurs hjá nemendum skólanna. Í vinnsluskrá sveitarfélagsins er sami tilgangur tilgreindur fyrir öllum vinnsluaðgerðum, þ.e. kennslufræðilegur tilgangur og þjónusta við nemendur. Að mati Persónuverndar er tilgangur vinnslunnar skilgreindur með of almennum hætti til þess að unnt sé að meta hvort tiltekinn vinnsluþáttur tiltekinna persónuupplýsinga er í raun nauðsynlegur. Með hliðsjón af því hvernig önnur sveitarfélög, sem sæta sömu úttekt, hafa tilgreint tilgang einstakra vinnsluaðgerða í Google-nemendakerfinu, telur Persónuvernd þó unnt að líta svo á að vinnsla persónuupplýsinga viðskiptavinarins, þ.e. þeirra persónuupplýsinga sem vinnslusamningur Hafnarfjarðarbæjar og Google nær til, geti talist nauðsynleg vegna verkefnis sem er unnið í þágu almannahagsmuna eða við beitingu opinbers valds, sem Hafnarfjarðarbær fer með samkvæmt lögum nr. 91/2008, og því verið heimil á grundvelli 5. tölul. 9. gr. laga nr. 90/2018, sbr. e-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679.
Hvað varðar vinnslu persónuupplýsinga í þjónustugögnum og í þágu viðbótarþjónustu Google áréttar Persónuvernd niðurstöðu sína um ábyrgðarskyldur Hafnarfjarðarbæjar sem lýst er í kafla IV. 3.2.
Þegar Hafnarfjarðarbær ákveður að taka í notkun skýjaþjónustu í grunnskólastarfi og beina nemendum í að nota það kerfi, ber sveitarfélagið ábyrgð á því að persónuupplýsingar nemendanna séu ekki notaðar í öðrum og ósamrýmanlegum tilgangi en þeim sem er tilgreindur fyrir vinnslunni, sbr. 2. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og b-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Á það einnig við um vinnslu persónuupplýsinga í þjónustugögnum og í þágu viðbótarþjónustu Google. Í því sambandi ber Hafnarfjarðarbæ að meta hvort einstakir vinnsluþættir, í tengslum við þá vinnslu, samrýmast þeim tilgangi sem er forsenda söfnunar persónuupplýsinganna í upphafi, í samræmi við 4. mgr. 6. gr. reglugerðar (ESB) 2016/679. Það að Google setji fram tilgang og aðferðir við umrædda vinnslu leysir Hafnarfjarðarbæ ekki undan þeirri ábyrgðarskyldu. Af framangreindum ákvæðum leiðir jafnframt að vinnsla persónuupplýsinga í þjónustugögnum og í þágu viðbótarþjónustu Google, í öðrum og ósamrýmanlegum tilgangi en þeim sem er að baki söfnun upplýsinganna, getur ekki talist heimil á grundvelli 9. gr. laga nr. 90/2018 og 1. mgr. 6. gr. reglugerðar (ESB) 2016/679.
Af persónuverndarstefnu Google fyrir skýjaþjónustu (e. Google Cloud Privacy Notice) er ljóst að persónuupplýsingum er safnað í þjónustugögnum í öðrum tilgangi en að veita skýjaþjónustuna og tæknilega aðstoð í tengslum við hana, s.s. til að betrumbæta þjónustuna og aðra þjónustu sem viðskiptavinir nota og kynna nýja virkni fyrir viðskiptavinum og skylda þjónustu. Af persónuverndarstefnu fyrir Google-nemendakerfið (e. Google Workspace for Education Privacy Notice) er jafnframt ljóst að persónuupplýsingum er safnað í þágu viðbótarþjónustu í öðrum tilgangi s.s., til að betrumbæta þjónustuna, þróa nýja þjónustu, veita persónusniðna þjónustu og greina hvernig þjónustan er notuð. Þá liggur fyrir, samkvæmt skilmálum Google um samþykki vegna vinnslu persónuupplýsinga í nemendakerfinu (e. Google Workspace for Education School Consent), að fyrirtækið safnar m.a. upplýsingum um staðsetningu tækja eins og hún ákvarðast af mismunandi tækni, þ. á m. IP-tölu, GPS og öðrum nemum, í því skyni að veita grunnþjónustu í kerfinu. Ekki er þó skýrt frekar hvernig þessar upplýsingar nýtast í þeim tilgangi og hefur Hafnarfjarðarbær ekki tekið sjálfstæða afstöðu til þess hvort vinnsla þeirra er nauðsynleg í þeim tilgangi sem sveitarfélagið hefur tilgreint fyrir vinnslu persónuupplýsinga í nemendakerfinu.
Að öllu framangreindu virtu er það niðurstaða Persónuverndar að Hafnarfjarðarbær hefur ekki gætt þess að persónuupplýsingar grunnskólanemenda sveitarfélagsins í Google-nemendakerfinu séu ekki unnar í öðrum og ósamrýmanlegum tilgangi en þeim sem sveitarfélagið hefur tilgreint fyrir vinnslu persónuupplýsinga í kerfinu og sem leiða má af verkefnum sveitarfélagsins samkvæmt lögum nr. 91/2008 um grunnskóla, sbr. 2. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og b-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, sbr. og 4. mgr. 6. gr. reglugerðarinnar.
4.2 Meðalhóf og lágmörkun gagna
Persónuupplýsingar skulu vera nægilegar, viðeigandi og takmarkast við það sem er nauðsynlegt miðað við tilgang vinnslunnar, sbr. 3. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og c-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679.
Í 1. og 2. mgr. 24. gr. laganna og 1. og 2. mgr. 25. gr. reglugerðarinnar er kveðið á um innbyggða og sjálfgefna persónuvernd. Samkvæmt ákvæðum um innbyggða persónuvernd skal ábyrgðaraðili gera tæknilegar og skipulagslegar ráðstafanir sem hannaðar eru til að framfylgja meginreglum um persónuvernd, þ. á m. lágmörkun gagna, og fella nauðsynlegar verndarráðstafanir inn í vinnsluna til að uppfylla kröfur reglugerðar (ESB) 2016/679. Ákvæðin um sjálfgefna persónuvernd kveða á um að ábyrgðaraðili skuli gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja að sjálfgefið sé að einungis þær persónuupplýsingar séu unnar sem nauðsynlegar eru vegna tilgangs vinnslunnar hverju sinni. Þessi skylda gildir um það hversu miklum persónuupplýsingum er safnað, að hvaða marki er unnið með þær, hversu lengi þær eru varðveittar og aðgang að þeim.
Í þessu sambandi verða áréttaðar framangreindar niðurstöður Persónuverndar, sbr. kafla IV. 3.2 og 4.1, sem lúta að ábyrgðarskyldum Hafnarfjarðarbæjar hvað viðkemur vinnslu Google á persónuupplýsingum grunnskólanemenda sveitarfélagsins samkvæmt eigin skilmálum. Verður sveitarfélagið enn fremur ekki talið hafa uppfyllt ábyrgðarskyldur sínar sem lúta að innbyggðri og sjálfgefinni persónuvernd samkvæmt framangreindum ákvæðum þar sem ekki hafa verið gerðar viðeigandi skipulagslegar ráðstafanir til að framfylgja meginreglum um persónuvernd og til að tryggja að einungis sé unnið með persónuupplýsingar grunnskólanemenda að því marki sem nauðsynlegt er vegna tilgreinds tilgangs.
Af svörum Hafnarfjarðarbæjar er þó ljóst að sveitarfélagið hefur takmarkað vinnslu persónuupplýsinga í Google-nemendakerfinu með ýmsum valkvæðum stillingum og stýringum í lausninni, sbr. nánari umfjöllun í kafla III. 6.2 hér að framan. Með hliðsjón af því er fallist á þau sjónarmið Hafnarfjarðarbæjar að sveitarfélagið hafi gripið til ýmissa aðgerða sem takmarka vinnslu persónuupplýsinga í þágu innbyggðrar og sjálfgefinnar persónuverndar.
4.3 Varðveislutími persónuupplýsinga
Persónuupplýsingar skulu varðveittar í því formi að ekki sé unnt að bera kennsl á skráða einstaklinga lengur en þörf krefur miðað við tilgang vinnslunnar, sbr. 5. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og e-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Upplýsingar má með öðrum orðum ekki varðveita á persónugreinanlegu formi lengur en nauðsyn krefur í ljósi þess tilgangs sem var með söfnun þeirra og vinnslu. Samkvæmt ábyrgðarskyldu 2. mgr. 8. gr. laganna og 2. mgr. 5. gr. reglugerðarinnar þurfa ábyrgðaraðilar að geta sýnt fram á að þessu sé fylgt. Samkvæmt því sem þegar hefur verið rakið í kafla IV. 4.1 hér á undan er mikilvægt að tilgangur vinnslunnar sé skýrt afmarkaður til að unnt sé að meta nauðsyn varðveislu. Þá taka ákvæði um sjálfgefna persónuvernd einnig til þess hversu lengi persónuupplýsingar eru varðveittar, sbr. umfjöllun í kaflanum hér á undan.
Líkt og greinir í kafla IV. 4.1 hefur Hafnarfjarðarbær ekki tilgreint tilgang vinnslunnar með nægilega skýrum hætti. Samkvæmt vinnsluskrá fyrir umrædda vinnslu voru gögn nemenda almennt varðveitt í Google-nemendakerfinu þar til skólagöngu þeirra lyki án þess að lagt væri mat á það að hvaða leyti sá langi varðveislutími samrýmdist tilgreindum tilgangi. Var þessi framkvæmd ekki í samræmi við 5. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og e-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, sbr. og 2. mgr. 24. gr. laganna og 2. mgr. 25. gr. reglugerðarinnar um sjálfgefna persónuvernd.
Samkvæmt svörum Hafnarfjarðarbæjar hefur sveitarfélagið breytt þessari framkvæmd og er gögnum, sem ekki eru skilaskyld, nú eytt úr Google-nemendakerfinu eftir lok hvers skólaárs. Telur Persónuvernd ekki tilefni til að gera athugasemd við þetta fyrirkomulag, að því virtu að sveitarfélagið tilgreini tilgang vinnslunnar nægilega skýrt til þess að unnt sé að meta nauðsyn varðveislunnar hverju sinni.
Hvað varðar varðveislutíma Google á þeim persónuupplýsingum grunnskólanemenda sem fyrirtækið vinnur samkvæmt eigin skilmálum liggur ekki annað fyrir en það sem segir í persónuverndarstefnu Google fyrir skýjaþjónustu (e. Google Cloud Privacy Notice), en þar segir að upplýsingarnar séu varðveittar eins lengi og Google telji nauðsynlegt í tilgreindum tilgangi, t.d. til að koma í veg fyrir svik og misnotkun. Telur Persónuvernd að það heyri undir ábyrgðarskyldu Hafnarfjarðarbæjar, í samræmi við fyrrgreindar niðurstöður, að afla sér allra upplýsinga um varðveislutíma persónuupplýsinga grunnskólanemenda sveitarfélagsins sem eru unnar af Google og taka skýra afstöðu þar að lútandi.
5.
Mat á áhrifum á persónuvernd
5.1 Skylda til að framkvæma mat á áhrifum á persónuvernd
Ef líklegt er að vinnsla persónuupplýsinga geti haft í för með sér mikla áhættu fyrir réttindi og frelsi einstaklinga, einkum þar sem beitt er nýrri tækni og með hliðsjón af eðli, umfangi, samhengi og tilgangi vinnslunnar, skal ábyrgðaraðili láta fara fram mat á áhrifum fyrirhugaðra vinnsluaðgerða á vernd persónuupplýsinga áður en vinnslan hefst og getur eitt mat tekið til nokkurra svipaðra vinnsluaðgerða sem geta haft í för með sér svipaða áhættuþætti, sbr. 1. mgr. 29. gr. laga nr. 90/2018 og 1. mgr. 35. gr. reglugerðar (ESB) 2016/679.
Með vísan til umfjöllunar í kafla IV. 2., sem og til þess að um er að ræða flókna tækni, skýjaþjónustu, sem beitt er á nýjan hátt, þ.e. til að veita skólabörnum kennslu, þykir ljóst að vinnslan krefst mats á áhrifum á persónuvernd, sbr. 8. tölul. 3. gr. auglýsingar nr. 828/2019, sbr. 1. og 2. mgr. 29. gr. laga nr. 90/2018 og 1. og 4. mgr. 35. gr. reglugerðar (ESB) 2016/679. Þar að auki er leyfilegt að færa endurgjöf kennara við verkefni nemenda inn í Google-nemendakerfið, samkvæmt vinnsluskrá Hafnarfjarðarbæjar, en skylt er að framkvæma mat á áhrifum þeirra vinnsluaðgerða, sbr. 4. og 9. tölul. auglýsingar nr. 828/2019.
Í samræmi við 1. mgr. 29. gr. laga nr. 90/2018 og 1. mgr. 35. gr. reglugerðarinnar skal ábyrgðaraðili láta fara fram mat á áhrifum fyrirhugaðra vinnsluaðgerða á vernd persónuupplýsinga, áður en vinnslan hefst. Ákvæðið á sér ekki beina hliðstæðu í eldri lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Þess er þó að geta að í 11. gr. þeirra laga var mælt fyrir um áhættumat, öryggi og gæði persónuupplýsinga.
Vinnuhópur skv. 29. gr. tilskipunar ESB gaf út leiðbeiningar 4. apríl 2017 um mat á áhrifum á persónuvernd (e. Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is „likely to result in a high risk“ for the purposes of Regulation 2016/679), síðast breytt 4. október 2017, WP248. Í leiðbeiningunum er vikið að því að ábyrgðaraðila kunni að vera skylt að framkvæma mat á áhrifum á persónuvernd vegna vinnslu sem hófst áður en reglugerð (ESB) 2016/679 tók gildi, að því gefnu að vinnsluaðgerðir hafi tekið breytingum frá því áhætta var metin, t.d. hvað varðar umfang, tilgang, varðveislutíma, öryggisráðstafanir o.s.frv., og líklegt er að þær breytingar hafi í för með sér mikla áhættu. Er þetta í samræmi við ákvæði 11. mgr. 35. gr. reglugerðarinnar en þar segir að ábyrgðaraðili skuli endurskoða hvort vinnsla fer fram í samræmi við mat á áhrifum á persónuvernd, a.m.k. þegar breyting verður á þeirri áhættu sem fylgir vinnsluaðgerðum.
Með hliðsjón af framangreindu er til þess að líta að skilmálar fyrir Google-nemendakerfið hafa tekið ýmsum breytingum síðustu ár og sú tækni sem er til skoðunar er í stöðugri þróun. Líkt og Hafnarfjarðarbær bendir á í svarbréfi sínu 29. apríl 2022 er sú þróun á forræði skýjaþjónustuveitandans og telur Persónuvernd að það hefði átt að kalla á nýtt og skjalfest áhættumat við gildistöku laga nr. 90/2018, að virtum ríkari ábyrgðarskyldum samkvæmt lögunum og reglugerð (ESB) 2016/679. Hefði enn fremur verið tilefni til að leggja nýtt mat á áhættu af umræddri vinnslu í kjölfar dóms Evrópudómstólsins frá 16. júlí 2020 í máli nr. C-311/18 (Schrems II), þar sem ógilt var ákvörðun framkvæmdastjórnar Evrópusambandsins um friðhelgisskjöld (e. Privacy Shield). Af dómnum má ráða að mikil áhætta fylgdi því að persónuupplýsingar væru fluttar til Bandaríkjanna og unnar þar án þess að gripið væri til viðeigandi verndarráðstafana enda höfðu bandarískar eftirlitsstofnanir, á þeim tíma sem um ræðir, víðtækar heimildir að lögum til að nota upplýsingarnar án þess að þurfa að gæta að persónuvernd hlutaðeigandi einstaklinga.
Persónuvernd áréttar í þessu sambandi þau sjónarmið sem rakin eru í kafla IV. 3.2. um ábyrgðarskyldur ábyrgðaraðila, sem fela m.a. í sér að hann skal gera viðeigandi tæknilegar og skipulagslegar ráðstafanir sem taka mið af eðli, umfangi, samhengi og tilgangi vinnslu og áhættu fyrir réttindi og frelsi skráðra einstaklinga til að tryggja og sýna fram á að vinnsla persónuupplýsinga uppfylli kröfur reglugerðarinnar, sbr. 23. gr. laga nr. 90/2018 og 1. mgr. 24. gr. reglugerðarinnar. Í því felst meðal annars að bera kennsl á og lágmarka áhættu í tengslum við vinnslu persónuupplýsinga.
Með hliðsjón af framangreindu telur Persónuvernd að Hafnafjarðarbæ hafi verið skylt að framkvæma mat á áhrifum á persónuvernd vegna vinnslu persónuupplýsinga grunnskólanemenda í Google-nemendakerfinu eftir gildistöku laga nr. 90/2018, þrátt fyrir að sveitarfélagið hafi tekið kerfið í notkun í gildistíð eldri laga nr. 77/2000.
5.2 Efnistök matsins
Ábyrgðaraðilar geta notfært sér mismunandi aðferðir við framkvæmd mats á áhrifum á persónuvernd en samkvæmt 84. lið formálsorða reglugerðarinnar ætti einkum að meta uppruna, eðli, sérkenni og alvarleika þeirrar áhættu sem leiðir af vinnsluaðgerðum. Samkvæmt 7. mgr. 35. gr. reglugerðarinnar skal matið að lágmarki innihalda kerfisbundna lýsingu á fyrirhuguðum vinnsluaðgerðum og tilganginum með vinnslunni (a-liður ákvæðisins), mat á því hvort vinnsluaðgerðirnar eru nauðsynlegar og hóflegar miðað við tilganginn með þeim (b-liður), mat á áhættu fyrir réttindi og frelsi skráðra einstaklinga (c-liður) og lýsingu á þeim ráðstöfunum sem fyrirhugað er að grípa til gegn slíkri áhættu, þ.m.t. verndarráðstafanir, öryggisráðstafanir og fyrirkomulag við að tryggja vernd persónuupplýsinga (d-liður).
Ítarleg grein er gerð fyrir mati Hafnarfjarðarbæjar á áhrifum á persónuvernd vegna vinnslu persónuupplýsinga grunnskólanemenda í Google-nemendakerfinu, frá 3. júní 2022, í kafla II. 2. Hér verður aðeins farið yfir þau atriði sem Persónuvernd telur ekki samrýmast lágmarkskröfum 35. gr. reglugerðar (ESB) 2016/679, sbr. 1. mgr. 29. gr. laga nr. 90/2018.
Að virtum fyrri niðurstöðum, sbr. kafla IV. 3.2 og 4.1 hér á undan, telur Persónuvernd að mat Hafnarfjarðarbæjar hafi ekki uppfyllt skilyrði a-liðar 7. mgr. 35. gr. reglugerðarinnar þar sem tilgangur vinnslunnar er ekki nægilega skýrt tilgreindur og ekki er gerð viðhlítandi grein fyrir vinnsluaðgerðum samkvæmt skilmálum Google. Í skýringum Hafnarfjarðarbæjar segir að sveitarfélagið hafi takmarkaðar upplýsingar um vinnslu Google á persónuupplýsingum í þjónustugögnum þar sem sveitarfélagið sé ekki ábyrgðaraðili vinnslunnar. Þá ákveði grunnskólar Hafnarfjarðarbæjar sjálfir hvaða viðbótarþjónustur séu notaðar samhliða nemendakerfinu. Persónuvernd áréttar að í ábyrgðarskyldu Hafnarfjarðarbæjar felst m.a. að hafa yfirsýn yfir söfnun og vinnslu persónuupplýsinga grunnskólanemenda sem fer fram í Google-nemendakerfinu, enda tók sveitarfélagið ákvörðun um að nemendur þess skyldu nota kerfið og er ábyrgt fyrir því að persónuupplýsingar þeirra rati þangað.
Kerfisbundin lýsing á fyrirhuguðum vinnsluaðgerðum og tilganginum með vinnslunni er enn fremur forsenda þess að ábyrgðaraðili geti metið næsta þátt matsins með víðhlítandi hætti, þ.e. hvort vinnsluaðgerðir eru nauðsynlegar og hóflegar miðað við tilgang þeirra. Af því leiðir að mat Hafnarfjarðarbæjar uppfyllir heldur ekki skilyrði b-liðar 7. mgr. 35. gr. reglugerðarinnar. Við mat samkvæmt því ákvæði kann t.a.m. að koma í ljós að tilteknar vinnsluaðgerðir eru ekki nauðsynlegar til að ná því markmiði sem stefnt er að og rúmast ekki innan þeirrar vinnsluheimildar sem byggt er á.
Loks telur Persónuvernd að í matinu sé ekki lagt viðeigandi mat á áhættu fyrir réttindi og frelsi grunnskólanemenda, sbr. c-lið 7. mgr. 35. gr. reglugerðarinnar. Í því sambandi má hafa hliðsjón af 84. og 90. lið formálsorða reglugerðarinnar, sem og 75. lið þeirra. Með hliðsjón af virkni Google-nemendakerfisins og þeim skilmálum sem gilda um kerfið telur Persónuvernd að meta hefði þurft sérstaklega áhættu samfara aðgengi Google að persónuupplýsingum nemenda til vinnslu í eigin þágu.
Með hliðsjón af öllu framangreindu er það niðurstaða Persónuverndar að umrætt mat Hafnarfjarðarbæjar á áhrifum á persónuvernd standist ekki lágmarkskröfur 35. gr. reglugerðar (ESB) 2016/679, sbr. 1. mgr. 29. gr. laga nr. 90/2018.
-
Samkvæmt 1. mgr. 30. gr. laga nr. 90/2018, sbr. 1. mgr. 36. gr. reglugerðar (ESB) 2016/679, skal ábyrgðaraðili hafa samráð við Persónuvernd, ef mat á áhrifum á persónuvernd gefur til kynna að vinnsla muni hafa mikla áhættu í för með sér.
Persónuvernd telur tilefni til að árétta mikilvægi þess að samráðs sé leitað við stofnunina, ef talið er að vinnslunni fylgi mikil áhætta fyrir hina skráðu og ef vafi leikur á um að unnt sé að draga úr áhættunni með fullnægjandi ráðstöfunum af hendi ábyrgðaraðila.
Í þessu sambandi eru áréttuð þau sjónarmið sem rakin eru í kafla IV. 2. um vinnslu persónuupplýsinga barna í skólastarfi. Einnig er að líta til eðlis þeirra upplýsinga sem eru unnar í Google-nemendakerfinu, þ.e. endurgjöf eða mat kennara á verkefnum og aðrar persónuupplýsingar sem varða hrein einkamálefni nemendanna, s.s. í verkefnum þeirra, sem og áhættunnar á því að viðkvæmar persónuupplýsingar verði skráðar í kerfið. Að teknu tilliti til einstakra ákvæða í skilmálum Google, t.d. um vinnslu upplýsinga um staðsetningu tækja eins og hún ákvarðast af mismunandi tækni, þ. á m. IP-tölu, GPS og öðrum nemum, í því almenna skyni að veita grunnþjónustu, er enn fremur að líta til fullyrðinga Hafnarfjarðarbæjar í framkomnum skýringum. Segir þar, nánar tiltekið, að sveitarfélagið hafi engin völd, aðstöðu eða réttindi til að veita upplýsingar um alla vinnslu persónuupplýsinga grunnskólanemenda í Google-nemendakerfinu, að sveitarfélagið hafi enga aðkomu haft að því að semja einhliða skilmála Google, þar sem frekari vinnslu persónuupplýsinga grunnskólanemendanna er lýst, og að það sé staðreynd, m.a. samkvæmt yfirlýsingum Google, að ekki sé hægt að veita neina skýjaþjónustu, af því tagi sem hér um ræðir, án vinnslu upplýsinga, eins og þeirra sem eru skilgreindar sem þjónustugögn í skilmálum Google.
Telur Persónuvernd að allt það sem hér hefur verið rakið hefði átt að leiða til þess að Hafnarfjarðarbær hefði samráð við Persónuvernd eftir að hafa framkvæmt fullnægjandi mat á áhrifum á persónuvernd fyrir umrædda vinnslu persónuupplýsinga.
6.
Miðlun persónuupplýsinga til þriðju landa
Miðlun persónuupplýsinga til þriðju landa, þ.e. landa utan Evrópska efnahagssvæðisins, er eingöngu heimil ef farið er að ákvæðum V. kafla reglugerðar (ESB) 2016/679, sem ætlað er að tryggja fullnægjandi vernd við miðlun persónuupplýsinga til þriðju landa eða alþjóðastofnana, sbr. 44. gr. reglugerðarinnar. Í tilvísuðu ákvæði segir jafnframt að beita skuli öllum ákvæðum kaflans þannig að tryggja megi að ekki sé grafið undan vernd einstaklinga sem tryggð er með reglugerðinni.
Samkvæmt 1. mgr. 45. gr. reglugerðarinnar er miðlun persónuupplýsinga til þriðju landa eða alþjóðastofnana heimil ef framkvæmdastjórnin hefur ákveðið að þriðja landið, yfirráðasvæði eða einn eða fleiri tilgreindir geirar innan viðkomandi þriðja lands eða umrædd alþjóðastofnun tryggi fullnægjandi vernd. Slík miðlun þarfnast ekki sérstakrar heimildar. Ef ekki liggur fyrir jafngildis-ákvörðun samkvæmt 45. gr. reglugerðarinnar getur ábyrgðaraðili eða vinnsluaðili aðeins miðlað persónuupplýsingum til þriðja lands hafi hann gert viðeigandi verndarráðstafanir og með því skilyrði að fyrir hendi séu framfylgjanleg réttindi og skilvirk lagaleg úrræði fyrir skráða einstaklinga, sbr. 1. mgr. 46. gr. reglugerðarinnar.
Samkvæmt ákvæði 10.1 í fyrirliggjandi vinnslusamningi Hafnarfjarðarbæjar og Google getur vinnsla persónuupplýsinga farið fram í þeim löndum þar sem Google eða undirvinnsluaðilar fyrirtækisins hafa aðstöðu. Af gögnum málsins er enn fremur ljóst að Google og hluti undirvinnsluaðila fyrirtækisins hafa aðstöðu í Bandaríkjunum. Í skýringum Hafnarfjarðarbæjar kemur fram að Google geti ekki staðfest hvort gögn sem unnin eru í Google-nemendakerfinu eru vistuð eða að öðru leyti unnin í Bandaríkjunum.
Með hliðsjón af framangreindu telur Persónuvernd ekki útilokað að persónuupplýsingar grunnskólanemenda Hafnarfjarðarbæjar í Google-nemendakerfinu séu unnar í Bandaríkjunum.
Jafngildisákvörðun varðandi flutning persónuupplýsinga frá Evrópu til Bandaríkjanna var samþykkt af framkvæmdastjórn Evrópusambandsins 10. júlí 2023. Miðlun persónuupplýsinga til Bandaríkjanna féll því ekki undir fyrrgreinda 45. gr. reglugerðarinnar á þeim tíma þegar úttekt þessi hófst og fram til 10. júlí sl.
Samkvæmt fyrirliggjandi vinnslusamningi var á þessum tíma treyst á staðlaða samningsskilmála vegna miðlunar persónuupplýsinga til þriðju landa, sbr. c-lið 2. mgr. 46. gr. reglugerðar (ESB) 2016/679. Auk þess hefur Hafnarfjarðarbær vísað til lýsinga Google á þeim viðbótarverndarráðstöfunum sem eru viðhafðar vegna miðlunar persónuupplýsinga til þriðju landa.
Í dómi Evrópudómstólsins frá 16. júlí 2020 í máli nr. C-311/18 (Schrems II) er tekið fram að við miðlun persónuupplýsinga til þriðju landa þurfi að tryggja sambærilega vernd og almenna persónuverndarreglugerðin kveður á um, óháð því hvaða ákvæði V. kafla reglugerðar (ESB) 2016/679 stuðst er við, en slíkt leiði af 44. gr. reglugerðarinnar. Styðjist ábyrgðaraðili við staðlaða samningsskilmála við flutning persónuupplýsinga til þriðja lands þarf hann því að tryggja í framkvæmd að skilmálarnir veiti sambærilega vernd og almenna persónuverndarreglugerðin kveður á um. Við ákvörðun um hvort undirgangast skal slík ákvæði þurfa ábyrgðaraðilar að leggja mat á hvort viðtökulandið veitir fullnægjandi vernd. Í því sambandi var í dómi Evrópudómstólsins sérstaklega nefnt að í Bandaríkjunum hefðu eftirlitsstofnanir víðtækar heimildir, samkvæmt lögum, til að nota persónuupplýsingar sem fluttar væru frá Evrópusambandinu til Bandaríkjanna án þess að þurfa að gæta að persónuvernd einstaklinga. Af dómnum má jafnframt ráða að stöðluð samningsákvæði hafi ekki getað komið í veg fyrir slíkan aðgang erlendra eftirlitsstofnana og því hefðu ábyrgðaraðilar getað þurft að innleiða viðbótarverndarráðstafanir samhliða stöðluðum samningsskilmálum til að tryggja í framkvæmd að skilmálarnir veittu sambærilega vernd.
Í tilmælum EDPB frá 18. júní 2020 nr. 1/2020 um ráðstafanir til flutnings persónuupplýsinga úr landi (e. Recommendations on measures that supplement transfer tools to ensure compliance with EU level of protection of personal data) eru nánari upplýsingar um hvers ábyrgðaraðilum ber að gæta við flutning persónuupplýsinga til þriðju landa, meðal annars með hliðsjón af framangreindum dómi Evrópudómstólsins. Hvað varðar mögulegan aðgang erlendra eftirlitsstofnana að persónuupplýsingum sem miðlað er til þriðju landa segir í tilmælunum að samningsbundnar og skipulagslegar viðbótarráðstafanir dugi almennt ekki til að koma í veg fyrir slíkan aðgang, heldur þurfi jafnframt að innleiða tæknilegar ráðstafanir, svo sem dulkóðun. Í tilmælunum er jafnframt lögð áhersla á að haldið sé utan um dulkóðunarlykla á ábyrgan hátt og af traustum aðilum innan Evrópska efnahagssvæðisins eða annarra ríkja sem tryggja persónuupplýsingum fullnægjandi vernd.
Af lýsingum Google er ljóst að persónuupplýsingar eru dulkóðaðar í gagnagrunni Google-nemendakerfisins, sem og í flutningi. Google key management service (KMS) varðveitir dulkóðunarlykilinn en viðskiptavinir eiga einnig kost á að stjórna varðveislu lykilsins fyrir tiltekna þjónustu. Hafnarfjarðarbær hefur ekki sýnt fram á að sveitarfélagið hafi nýtt þann möguleika. Persónuvernd telur því að leggja verði til grundvallar að dulkóðunarlykillinn hafi verið varðveittur af Google KMS, sem er á hendi sömu fyrirtækjasamstæðu og annaðist hýsingu og dulkóðun persónuupplýsinga fyrir hönd Hafnarfjarðarbæjar. Að mati Persónuverndar dregur það fyrirkomulag verulega úr verndargildi dulkóðunarinnar. Þá verður ekki séð að aðrar tæknilegar ráðstafanir, s.s. aðgangsstýringar, sem viðhafðar eru í Google-nemendakerfinu, hafi getað komið í veg fyrir aðgang erlendra eftirlitsstofnana að persónuupplýsingum sem miðlað er til þriðju landa.
Með hliðsjón af því sem hér hefur verið rakið telur Persónuvernd að Hafnarfjarðarbær hafi ekki sýnt fram á að hafa gert fullnægjandi viðbótarverndarráðstafanir í tengslum við flutning persónuupplýsinga til Bandaríkjanna, fram til 10. júlí 2023. Því hafi sveitarfélagið ekki uppfyllt skilyrði 46. gr. reglugerðar (ESB) 2016/679, og hafi miðlun persónuupplýsinga til Bandaríkjanna, á grundvelli vinnslusamnings sveitarfélagsins við Google, þar af leiðandi verið andstæð 44. gr. reglugerðarinnar.
7.
Samantekt niðurstöðu
Persónuvernd hefur komist að þeirri niðurstöðu að vinnsla persónuupplýsinga grunnskólanemenda í Google-nemendakerfinu á vegum Hafnarfjarðarbæjar hafi ekki verið í samræmi við ákvæði persónuverndarlöggjafarinnar.
Í fyrsta lagi telst Hafnarfjarðarbær ekki hafa uppfyllt ábyrgðarskyldur sínar þegar lagt var mat á og tekin ákvörðun um að nota Google sem vinnsluaðila umræddrar vinnslu, sbr. 8. gr., 23. gr. og 1. mgr. 25. gr. laga nr. 90/2018 og 5. gr., 1. mgr. 24. gr. og 1. mgr. 28. gr. reglugerðar (ESB) 2016/679.
Í öðru lagi telst vinnslusamningur Hafnarfjarðarbæjar og Google ekki uppfylla skilyrði a-liðar 3. mgr. 28. gr. reglugerðarinnar, sbr. 3. mgr. 25. gr. laganna.
Í þriðja lagi telst Hafnarfjarðarbær ekki hafa tilgreint tilgang einstakra vinnsluaðgerða með nægilega skýrum hætti og ekki uppfyllt ábyrgðarskyldur sínar sem lúta að því að persónuupplýsingar grunnskólanemenda sveitarfélagsins séu ekki unnar í öðrum og ósamrýmanlegum tilgangi en þeim sem sveitarfélagið hefur tilgreint fyrir vinnslunni, sbr. 2. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og b-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, sbr. og 4. mgr. 6. gr. reglugerðarinnar.
Í fjórða lagi telst Hafnarfjarðarbær ekki hafa uppfyllt ábyrgðarskyldur sínar sem lúta að lágmörkun gagna og innbyggðri og sjálfgefinni persónuvernd samkvæmt 3. tölul. 1. mgr. 8. gr. og 1. og 2. mgr. 24. gr. laga nr. 90/2018, sbr. c-lið 1. mgr. 5. gr. og 1. og 2. mgr. 25. gr. reglugerðar (ESB) 2016/679.
Í fimmta lagi telst Hafnarfjarðarbær ekki hafa uppfyllt ábyrgðarskyldur sínar sem lúta að geymslutakmörkun og sjálfgefinni persónuvernd samkvæmt 5. tölul. 1. mgr. 8. gr. og 2. mgr. 24. gr. laga nr. 90/2018, sbr. e-lið 1. mgr. 5. gr. og 2. mgr. 25. gr. reglugerðar (ESB) 2016/679.
Í sjötta lagi gerði Hafnarfjarðarbær ekki tímanlega mat á áhrifum á persónuvernd fyrir umrædda vinnslu samkvæmt 1. og 11. mgr. 35. gr. reglugerðar (ESB) og 1. mgr. 29. gr. laga nr. 90/2018, og uppfyllti því ekki ábyrgðarskyldur sínar samkvæmt 23. gr. laganna og 1. mgr. 24. gr. reglugerðarinnar. Að auki stenst fyrirliggjandi mat sveitarfélagsins ekki lágmarkskröfur a-c-liða 7. mgr. 35. gr. reglugerðarinnar, sbr. 1. mgr. 29. gr. laganna.
Í sjöunda lagi tryggði Hafnarfjarðarbær ekki öruggan flutning persónuupplýsinga til Bandaríkjanna, sbr. 46. gr. reglugerðar (ESB) 2016/679, og braut því gegn 44. reglugerðarinnar.
V.
Beiting fyrirmæla og stjórnvaldssekta
1.
Fyrirmæli
Í samræmi við þessa niðurstöðu, og með vísan til 4. tölul. 42. gr. laga nr. 90/2018, sbr. d-lið 2. mgr. 58. gr. reglugerðar (ESB) 2016/679, er hér með lagt fyrir Hafnarfjarðarbæ að færa vinnslu persónuupplýsinga grunnskólanemenda í Google-nemendakerfinu til samræmis við löggjöfina.
Í því sambandi vill Persónuvernd draga fram þau atriði sem stofnunin telur sérstaklega áríðandi að huga að til þess að heimilt geti verið fyrir sveitarfélagið að halda áfram notkun Google-nemendakerfisins. Rétt er að taka fram að með hliðsjón af jafngildisákvörðun framkvæmdastjórnar Evrópusambandsins, dags. 10. júlí 2023, um flutning persónuupplýsinga frá Evrópu til Bandaríkjanna kemur ekki til skoðunar að beina fyrirmælum til Hafnarfjarðarbæjar sem lúta að öruggum flutningi persónuupplýsinga til Bandaríkjanna.
Telur Persónuvernd ekki tilefni til að mæla fyrir um stöðvun vinnslu í Google-nemendakerfinu ef Hafnarfjarðarbær telur mögulegt að færa vinnsluna til samræmis við persónuverndarlöggjöfina samkvæmt eftirfarandi:
1. Hafnarfjarðarbær kortleggi hvaða vinnsla persónuupplýsinga grunnskólanemenda sveitarfélagsins fer í raun fram í Google-nemendakerfinu og í hvaða tilgangi. Á það við um allar vinnsluaðgerðir, hvort sem þær eru á hendi sveitarfélagsins eða Google.
2. Hafnarfjarðarbær skjalfesti mat sitt á einstökum vinnsluaðgerðum, samkvæmt lið 1, til samræmis við ákvæði 2. og 3. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og b- og c-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, sbr. og 4. mgr. 6. gr. reglugerðarinnar, þ. á m. mat á því, í hvaða tilvikum Google getur tekið sjálfstæðar ákvarðanir í tengslum við vinnslu, sem fer fram samkvæmt fyrirmælum sveitarfélagsins, og að hvaða marki.
3. Hafnarfjarðarbær geri viðeigandi breytingar á vinnslusamningi við Google í samræmi við ákvæði 28. gr. reglugerðar (ESB) 2016/679, sbr. 3. mgr. 25. gr. laga nr. 90/2018. Í vinnslusamningi sé tilgreint með skýrum og gagnsæjum hætti um hvaða vinnslu er samið og tekin af öll tvímæli um að önnur vinnsla, en sú sem Hafnarfjarðarbær veitir fyrirmæli um og er í samræmi við tilgreindan tilgang, fari ekki fram.
4. Hafnarfjarðarbær uppfæri mat sitt á áhrifum á persónuvernd í samræmi við liði 1 og 2 og til samræmis við 7. mgr. 35. gr. reglugerðar (ESB) 2016/679 og 1. mgr. 29. gr. laga nr. 90/2018.
Staðfesting á því að farið hafi verið að þessum fyrirmælum skal berast Persónuvernd eigi síðar en 29. febrúar 2024.
2.
Stjórnvaldssekt
Samkvæmt 1. mgr. 46. gr. laga nr. 90/2018 getur Persónuvernd lagt stjórnvaldssekt á hvern þann ábyrgðaraðila sem brýtur gegn einhverju þeirra ákvæða reglugerðarinnar sem talin eru upp í 2. og 3. mgr. sömu lagagreinar.
Sekt samkvæmt 2. mgr. 46. gr. laganna getur numið allt frá 100.000 krónum til 1,2 milljarða króna eða allt að 2% af árlegri heildarveltu fyrirtækis á heimsvísu, þegar brotið hefur verið gegn meðal annars 28. og 35. gr. reglugerðar (ESB) 2016/679.
Sekt samkvæmt 3. mgr. 46. gr. laganna getur numið frá 100.000 krónum til 2,4 milljarða króna eða allt að 4% af árlegri heildarveltu fyrirtækis á heimsvísu, þegar brotið hefur verið gegn meðal annars 5., 44. og 46. gr. reglugerðarinnar.
Með hliðsjón af framkvæmdinni í þeim löndum sem eru bundin af reglugerðinni liggur fyrir að sektir sem eru lagðar á opinbera aðila eru mun lægri en þær sem lagðar eru á stórfyrirtæki með mikla veltu. Einnig er ljóst að þó að unnt sé að sekta fyrir mörg brot, samkvæmt bæði 2. og 3. mgr. 46. gr. laganna, í einu og sama málinu myndi samanlögð sekt fyrir brotin aldrei verða hærri en samkvæmt efri mörkum sektarramma 3. mgr. þeirrar greinar.
Við ákvörðun um hvort beita skal stjórnvaldssekt og hver fjárhæð hennar skal vera, skal tekið tillit til þeirra þátta sem taldir eru upp í 1. mgr. 47. gr. laga nr. 90/2018, sbr. 2. mgr. 83. gr. reglugerðar (ESB) 2016/679. Með hliðsjón af þeim ákvæðum telur Persónuvernd að eftirfarandi atriði verði metin Hafnarfjarðarbæ til málsbóta við ákvörðun um hvort beita skal stjórnvaldssekt og hver fjárhæð hennar skal vera:
1. Ekkert liggur fyrir um að tjón hafi orðið vegna vinnslu persónuupplýsinga grunnskólanemenda Hafnarfjarðarbæjar í Google-nemendakerfinu, sbr. 1. tölul. 1. mgr. 47. gr. laganna og a-lið 2. mgr. 83. gr. reglugerðarinnar.
2. Hafnarfjarðarbær hefur svarað erindum Persónuverndar við meðferð málsins með skýrum og greinargóðum hætti, sbr. 6. tölul. 1. mgr. 47. gr. laganna og f- og lið 2. mgr. 83. gr. reglugerðarinnar.
3. Eftir að úttektin hófst hefur Hafnarfjarðarbær endurskoðað verklag í tengslum við varðveislutíma persónuupplýsinga í Google-nemendakerfinu og framkvæmt mat á áhrifum á persónuvernd vegna vinnslunnar, sbr. 6. tölul. 1. mgr. 47. gr. laganna og f-lið 2. mgr. 83. gr. reglugerðarinnar.
Þá telur Persónuvernd að eftirfarandi atriði leiði frekar til þess að stjórnvaldssekt verði lögð á Hafnarfjarðarbæ og hafi áhrif til hækkunar hennar:
1. Brot Hafnarfjarðarbæjar þykja alvarleg með hliðsjón af því að þau varða persónuupplýsingar barna í skólastarfi, sbr. 1. og 7. tölul. 1. mgr. 47. gr. laganna og a- og g-lið 2. mgr. 83. gr. reglugerðarinnar.
Persónuupplýsingar barna njóta sérstakrar verndar samkvæmt persónuverndarlöggjöfinni þar sem þau kunna að vera síður meðvituð um áhættu, afleiðingar og viðkomandi verndarráðstafanir og réttindi sín í tengslum við vinnslu persónuupplýsinga, sbr. 38. lið formála reglugerðarinnar. Einnig er að líta til þess hvaða möguleika grunnskólanemendur hafa í raun til að hafna eða takmarka vinnslu persónuupplýsinga sinna í upplýsingatæknikerfi sem skóli þeirra hefur tekið ákvörðun um að nota. Að þessu virtu er brýnt að sveitarfélagið hafi yfirsýn yfir þá vinnslu persónuupplýsinga sem fer fram í því kerfi sem það kýs að nota og missi ekki stjórn á persónuupplýsingum barnanna.
2. Brot Hafnarfjarðarbæjar þykja alvarleg með hliðsjón af eðli þeirra persónuupplýsinga grunnskólanemenda sem eru unnar í Google-nemendakerfinu, sbr. 1. og 7. tölul. 1. mgr. 47. gr. laganna og a- og g-lið 2. mgr. 83. gr. reglugerðarinnar.
Í fyrsta lagi er heimilt að skrá í kerfið upplýsingar um endurgjöf kennara við verkefni nemenda. Þykir slík vinnsla vera líkleg til að hafa í för með sér mikla áhættu fyrir réttindi og frelsi einstaklinga, samkvæmt ákvæðum 4. og 9. tölul. 3. gr., sbr. 1. og 2. gr. auglýsingar Persónuverndar nr. 828/2019 um skrár yfir vinnsluaðgerðir sem krefjast ávallt mats á áhrifum á persónuvernd.
Í öðru lagi verður einnig að telja að þær persónuupplýsingar, sem felast í verkefnum nemenda, geti falið í sér persónuupplýsingar um hrein einkamálefni nemendanna og eru almennt gerðar ríkari kröfur hvað varðar vinnslu slíkra upplýsinga í samræmi við meginreglur um persónuvernd, skv. 1. mgr. 8. gr. laga nr. 90/2018 og 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Persónuvernd hefur byggt á því að gera skuli ríkari kröfur til vinnslu persónuupplýsinga um hrein einkamálefni eða upplýsinga viðkvæms eðlis í fyrri niðurstöðum sínum, m.a. í úrskurði stofnunarinnar frá 19. maí 2003, í máli nr. 2003/103, sem svo er vísað til í ákvörðun stofnunarinnar frá 3. maí 2022, í máli nr. 2021040879. Af athugasemdum við 9. gr. frumvarps sem varð að lögum nr. 90/2018 má ráða að það hafi ekki verið vilji löggjafans að bregða frá fyrri framkvæmd hvað þetta varðar.
Í þriðja lagi telur Persónuvernd að með hliðsjón af virkni Google-nemendakerfisins og aldri nemenda standi líkur til þess að viðkvæmar persónuupplýsingar, eins og þær eru skilgreindar í 3. tölul. 3. gr. laga nr. 90/2018, séu skráðar í kerfið, þótt ekkert liggi fyrir um að viðkvæmar persónuupplýsingar grunnskólanemenda Hafnarfjarðarbæjar hafi í raun verið skráðar í Google-nemendakerfið. Er sú áhætta ekki síst fyrir hendi þegar litið er til þess að samkvæmt mati sveitarfélagsins á áhrifum á persónuvernd eru engar ráðstafanir tilgreindar til að draga úr líkum á því að það verði gert.
Áhættan sem fylgir skráningu upplýsinga samkvæmt framangreindu er enn meiri þegar horft er til þeirrar vinnslu persónuupplýsinga sem Google viðhefur samkvæmt eigin skilmálum. Að öllu þessu virtu var aðgæsluskylda og ábyrgð Hafnarfjarðarbæjar töluvert meiri en ella.
3. Mikil áhætta fylgdi því að persónuupplýsingar væru fluttar til Bandaríkjanna og unnar þar án þess að gripið hefði verið til viðeigandi verndarráðstafana, sbr. dóm Evrópudómstólsins frá 16. júlí 2020 í máli nr. C-311/18 (Schrems II), enda höfðu bandarískar eftirlitsstofnanir, á þeim tíma sem um ræðir, víðtækar heimildir að lögum til að nota persónuupplýsingar sem voru fluttar til Bandaríkjanna, án þess að þurfa að gæta að persónuvernd hlutaðeigandi einstaklinga. Brot þar að lútandi telst því alvarlegt, sbr. 1. og 4. tölul. 1. mgr. 47. gr. laga nr. 90/2018 og a- og d-liði 2. mgr. 83. gr. reglugerðar (ESB) 2016/679.
4. Brot Hafnarfjarðarbæjar þykja umfangsmikil með hliðsjón af því að 3.000-3.250 grunnskólanemendur sveitarfélagsins notuðu Google-nemendakerfið skólaárið 2021-2022, sbr. 1. tölul. 1. mgr. 47. gr. laganna og a-lið 2. mgr. 83. gr. reglugerðarinnar.
Með hliðsjón af öllu framangreindu og að teknu tilliti til fyrri niðurstaðna Persónuverndar sem lúta að notkun upplýsingatæknikerfa í starfi grunnskóla er það niðurstaða stofnunarinnar að leggja beri stjórnvaldssekt á Hafnarfjarðarbæ. Þykir hún hæfilega ákveðin 2.800.000 krónur.
Á k v ö r ð u n a r o r ð:
Vinnsla persónuupplýsinga grunnskólanemenda í Google-nemendakerfinu á vegum Hafnarfjarðarbæjar samrýmist ekki lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerð (ESB) 2016/679.
Lagt er fyrir Hafnarfjarðarbæ að færa vinnsluna til samræmis við löggjöfina. Staðfesting á því að farið hafi verið að þessum fyrirmælum skal berast Persónuvernd eigi síðar en 29. febrúar 2024.
Lögð er 2.800.000 króna stjórnvaldssekt á Hafnarfjarðarbæ. Sektina skal greiða í ríkissjóð innan mánaðar frá dagsetningu ákvörðunar þessarar, sbr. 6. mgr. 46. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.
Persónuvernd, 28. nóvember 2023
Ólafur Garðarssonformaður
Árnína Steinunn Kristjánsdóttir Björn Geirsson
Vilhelmína Haraldsdóttir Þorvarður Kári Ólafsson