Leiðbeiningar um innleiðingu upplýsingatæknikerfa til að vinna með persónuupplýsingar barna

7.1.2022

Í desember 2021 tók Persónuvernd ákvörðun um notkun Reykjavíkurborgar á Seesaw-nemendakerfinu í grunnskólum borgarinnar. Niðurstaða Persónuverndar byggðist m.a. á því að persónuupplýsingar barna njóta sérstakrar verndar í persónuverndarlöggjöfinni auk þess sem litið var til þeirrar sérstöku stöðu sem börn eru í gagnvart skólum sínum. Með hliðsjón af niðurstöðum athugunar Persónuverndar í málinu ákvað stofnunin að setja fram almennar leiðbeiningar í lok ákvörðunarinnar um að hverju sveitarfélög þurfa að huga þegar tekin eru í notkun upplýsingatæknikerfi til að vinna með persónuupplýsingar barna. Leiðbeiningunum er beint til sveitarfélaga en eiga einnig við um aðra aðila sem vinna með persónuupplýsingar barna, að breyttum breytanda.

Beindi Persónuvernd því til sveitarfélaga að fara að kröfum persónuverndarlöggjafarinnar og gera m.a. eftirfarandi

1. Skilgreina í upphafi og skjalfesta tilgang vinnslu persónuupplýsinga, sem þarf að vera skýr og afmarkaður fyrir hverja vinnsluaðgerð, og leggi heildstætt mat á hvort vinnslan er nauðsynleg í þeim tilgangi. Er t.d. nóg að nota upplýsingatæknikerfi með þeim hætti að kennarar geti miðlað kennsluefni til nemenda?
2. Tryggja að persónuverndarfulltrúi komi að málinu tímanlega og með viðeigandi hætti.
3. Ákveða og skjalfesta á hvaða heimild vinnslan byggist.
4. Gera ítarlega vinnsluskrá.
5. Tryggja að það upplýsingatæknikerfi sem verður fyrir valinu vinni ekki annálagögn eða önnur lýsigögn, hvorki nemenda né foreldra þeirra eða forráðamanna, í þágu markaðssetningar eða við gerð persónusniðs, eftir atvikum með sjálfgefnum stillingum.
6. Leitast við að tryggja að persónuupplýsingar séu varðveittar innan Evrópska efnahagssvæðisins og, ef flytja skal persónuupplýsingar út fyrir Evrópska efnahagssvæðið í einhverjum tilvikum, að fylgt sé tilmælum Evrópska persónuverndarráðsins frá 18. júní 2020 nr. 1/2020 um ráðstafanir vegna flutnings persónuupplýsinga úr landi (e. Recommendations on measures that supplement transfer tools to ensure compliance with EU level of protection of personal data), þ. á m. að gerðir séu fullnægjandi samningar um flutninginn sem taka tillit til aðstæðna í því landi sem um ræðir.
7. Framkvæma mat á áhrifum á persónuvernd, í samráði við persónuverndarfulltrúa, þar sem m.a. eftirfarandi er metið:                                                                                                                         i.        Nauðsyn hverrar vinnsluaðgerðar og þar með hvaða persónuupplýsingar                                   nauðsynlegt sé að vinna með í skilgreindum tilgangi.                                                         ii.        Áhætta af vinnslunni fyrir persónuvernd skráðra einstaklinga, bæði vinnslunni í                         heild og hverri einstakri vinnsluaðgerð. Greina ætti uppruna, eðli, sérkenni og                           alvarleika áhættunnar. Í því felst ekki eingöngu að greina hvað getur komið upp                         á heldur hvaða áhrif vinnslan getur haft á hina skráðu þrátt fyrir að ekkert kæmi                         upp á sem og ef eitthvað kemur upp á.                                                                                iii.      Hvaða ráðstafanir fyrirhugað er að grípa til gegn þeirri áhættu, þ. á m.:                                        a.      Hvaða tæknilegu og skipulagslegu ráðstafanir eru nauðsynlegar til að                                       tryggja innbyggða og sjálfgefna persónuvernd þannig að meginreglum                                       persónuverndarlöggjafarinnar sé ávallt fullnægt.                                                                 b.     Hvaða tæknilegu og skipulagslegu ráðstafanir eru nauðsynlegar til að                                       tryggja öryggi persónuupplýsinga.                                                                        iv.      Tæknilegar og skipulagslegar öryggisráðstafanir vinnsluaðila og/eða                                          sameiginlegs  ábyrgðaraðila.
8. Leita, eftir atvikum, eftir áliti nemenda, foreldra og forráðamanna við gerð mats á áhrifum á persónuvernd.
9. Tryggja raunverulegan andmælarétt vegna vinnslu sem byggist á 5. tölul. 9. gr. laga nr. 90/2018 og e-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, sbr. 1. mgr. 21. gr. laganna og 1. mgr. 21. gr. reglugerðarinnar. Í því felst að vera með aðrar raunhæfar lausnir í boði fyrir þá nemendur sem ekki vilja nota tiltekið upplýsingatæknikerfi.
10. Gera fullnægjandi vinnslusamning við vinnsluaðila og eftir atvikum samkomulag sem lýtur að sameiginlegri ábyrgð.
11. Veita skráðum einstaklingum (nemendum, foreldrum og forráðamönnum) fræðslu samkvæmt ítrustu kröfum 1. og 2. mgr. 13. gr. reglugerðarinnar. Það felur einnig í sér að veita fræðslu í hvert sinn sem t.d. skilmálar vinnsluaðila eða öryggisráðstafanir breytast.
12. Tryggja ávallt lágmörkun gagna skólabarna í upplýsingatæknikerfum. Það felur í sér að gögnum sé eytt um leið og vistun þeirra er ekki lengur í samræmi við skilgreindan tilgang. Ef ekki er hægt að tryggja eyðingu gagna þá þegar þurfa sveitarfélög að skjalfesta rökin fyrir þörf á lengri vistun, t.d. ef tilefni er til að vista verkefni nemenda til lok annar.
13. Framkvæma eða láta framkvæma reglulegar úttektir á vinnsluaðila.
14. Endurskoða mat á áhrifum á persónuvernd reglulega og meta hvort unnið er í samræmi við það og hvort tilefni er til að framkvæma nýtt mat, t.d. ef breyting verður á þeirri áhættu sem fylgir einstökum vinnsluaðgerðum eða á upplýsingaöryggi hjá vinnsluaðila.