Úttektir á skýjaþjónustu Google í grunnskólastarfi
Persónuvernd hefur lagt fyrir Garðabæ, Hafnarfjarðarbæ, Kópavogsbæ, Reykjanesbæ og Reykjavíkurborg að færa vinnslu persónuupplýsinga grunnskólanemenda í nemendakerfi Google, Google Workspace for Education, til samræmis við persónuverndarlöggjöfina. Að auki hafa stjórnvaldssektir verið lagðar á sveitarfélögin.
Úttektir Persónuverndar lutu að því hvernig persónuupplýsingar grunnskólanemenda sveitarfélaganna voru unnar í Google-nemendakerfinu. Leiddu úttektirnar í ljós að Google vinnur persónuupplýsingar grunnskólanemenda umfram fyrirmæli sveitarfélaganna og þótti ekki sýnt fram á að sú vinnsla rúmaðist innan þess tilgangs sem sveitarfélögin hafa skilgreint fyrir vinnslu persónuupplýsinga í nemendakerfinu.
Niðurstaða Persónuverndar var að um væri að ræða margvísleg brot sveitarfélaganna á persónuverndarlöggjöfinni með notkun nemendakerfisins. Þóttu sveitarfélögin ekki hafa uppfyllt ábyrgðarskyldur sínar þegar lagt var mat á og tekin ákvörðun um að nota Google sem vinnsluaðila og vinnslusamningar sveitarfélaganna við Google uppfylltu ekki öll skilyrði persónuverndarlöggjafarinnar. Að auki uppfylltu sveitarfélögin ekki ábyrgðarskyldur sínar sem lúta að því að persónuupplýsingar grunnskólanemenda skulu ekki unnar í öðrum og ósamrýmanlegum tilgangi en þeim sem sveitarfélögin hafa tilgreint fyrir vinnslunni. Enn fremur sinntu sveitarfélögin ekki skyldum sínum sem lúta að lágmörkun gagna og innbyggðri og sjálfgefinni persónuvernd. Garðabær, Hafnarfjarðarbær, Kópavogsbær og Reykjanesbær uppfylltu auk þess ekki ábyrgðarskyldur sínar sem lúta að geymslutakmörkun og sjálfgefinni persónuvernd. Þá voru möt Garðabæjar, Hafnarfjarðarbæjar, Reykjanesbæjar og Reykjavíkurborgar á áhrifum á persónuvernd háð ágöllum en Kópavogsbær framkvæmdi ekki slíkt mat. Sveitarfélögin tryggðu jafnframt ekki öruggan flutning persónuupplýsinga til Bandaríkjanna fram til 10. júní sl. þegar jafngildisákvörðun varðandi flutning persónuupplýsinga frá Evrópu til Bandaríkjanna var samþykkt.
Niðurstaða Persónuverndar byggist m.a. á því að persónuupplýsingar barna njóta sérstakrar verndar samkvæmt persónuverndarlöggjöfinni auk þess sem litið var til þess að upplýsingar um hrein einkamálefni barna voru skráðar í nemendakerfið og að líkur þóttu á að skráðar væru í kerfið viðkvæmar persónuupplýsingar þeirra. Þá var horft til þess að áhætta fylgdi því að persónuupplýsingar væru fluttar til Bandaríkjanna og unnar þar án þess að gripið hefði verið til viðeigandi verndarráðstafana. Á hinn bóginn var einnig litið til þess að ekkert tjón virtist hafa orðið vegna brotanna og að sveitarfélögin svöruðu erindum Persónuverndar við meðferð málsins með skýrum og greinargóðum hætti.
Ákvörðun varðandi Garðabæ.
Ákvörðun varðandi Hafnarfjarðarbæ.
Ákvörðun varðandi Kópavogsbæ.
Ákvörðun varðandi Reykjanesbæ.
Ákvörðun varðandi Reykjavíkurborg.