Ákvörðun um notkun Seesaw-nemendakerfisins í grunnskólum Kópavogsbæjar

Mál nr. 2022020414

2.5.2023

Ákvörðun

vegna úttektar á notkun Kópavogsbæjar

á skýjalausn Seesaw í grunnskólastarfi

Hinn 2. maí 2023 tók Persónuvernd svohljóðandi ákvörðun í máli nr. 2022020414, þ.e. um niðurstöður úttektar á notkun Kópavogsbæjar á skýjalausn Seesaw í grunnskólastarfi:

I.
Málsmeðferð og afmörkun máls

Með bréfi Persónuverndar til Kópavogsbæjar, dags. 25. febrúar 2022, var boðuð úttekt stofnunarinnar á notkun sveitarfélagsins á skýjaþjónustu (e. cloud based services) í grunnskólastarfi. Úttektin var þáttur í víðtækara verkefni sem unnið var að frumkvæði Evrópska persónuverndarráðsins, þar sem meirihluti aðildarríkja ráðsins sinnir sameiginlegum viðfangsefnum á samræmdan hátt, en Evrópska persónuverndarráðið ákvað að setja „notkun opinberra aðila á skýjaþjónustu“ í forgang árið 2022. Persónuvernd var þátttakandi í þessum samræmdu aðgerðum og ákvað stofnunin að beina úttektum að stærri sveitarfélögum landsins og notkun þeirra á skýjaþjónustu í grunnskólastarfi.

Framangreind ákvörðun um framkvæmd úttektarinnar var tekin með hliðsjón af stefnu Persónuverndar í úttektum og frumkvæðisathugunum fyrir árið 2022. Samkvæmt stefnunni var vinnsla persónuupplýsinga barna í hvers kyns snjalllausnum og hugbúnaðarkerfum í forgangi á því ári en auk þess leggur Persónuvernd ávallt áherslu á persónuvernd barna með hliðsjón af því að persónuupplýsingar þeirra njóta sérstakrar verndar samkvæmt persónuverndarlöggjöfinni. Jafnframt var litið til niðurstöðu frumkvæðisathugunar stofnunarinnar í máli nr. 2021040879, þar sem athuguð var innleiðing skýjalausnar (hér eftir Seesaw-nemendakerfið) frá Seesaw Learning Inc. (hér eftir Seesaw) í grunnskólum Reykjavíkurborgar og komist að þeirri niðurstöðu að hún hefði ekki verið í samræmi við persónuverndarlöggjöfina.

Úttektin var framkvæmd með þeim hætti að sveitarfélögunum var sendur spurningalisti með tölvupósti 25. febrúar 2022, sem laut að persónuverndarsjónarmiðum varðandi val og notkun á skýjaþjónustu í grunnskólastarfi. Svör Kópavogsbæjar, ásamt fylgigögnum, bárust 29. apríl og 6. maí s.á.

Með bréfi, dags. 19. maí 2022, tilkynnti Persónuvernd Kópavogsbæ að úttektin yrði afmörkuð við notkun sveitarfélagsins á skýjalausnum Google og Seesaw í grunnskólastarfi. Þá var þess óskað að afhent yrðu frekari upplýsingar og gögn, og þá einkum:

 

1. Skrá yfir vinnslustarfsemi.
2. Vinnslusamningur Kópavogsbæjar við Seesaw, auk annarra samninga um þjónustuna.
3. Fyrirmæli sem Kópavogsbær hefur gefið Seesaw vegna vinnslunnar.
4. Hvernig vinnslan samrýmist skilyrðum 9. gr. laga nr. 90/2018 og 1. mgr. 6. gr. reglugerðar (ESB) 2016/679 um vinnsluheimild.
5. Hvernig vinnslan samrýmist meginreglum persónuverndarlaga.
6. Hvernig innbyggð og sjálfgefin persónuvernd er tryggð.
7. Mat á áhrifum á persónuvernd.
8. Hvernig flutningur persónuupplýsinga nemenda til Bandaríkjanna fullnægir skilyrðum persónuverndarlaga með hliðsjón af niðurstöðu dóms Evrópudómstólsins frá 16. júlí 2020 í máli nr. C-311/18 (Schrems II).
9. Afstaða sveitarfélagsins til ráðlegginga persónuverndarfulltrúa um að taka Seesaw ekki í notkun og skjalfest mat á áhættu við að nota kerfið þrátt fyrir þær ráðleggingar.

 

Svör Kópavogsbæjar, ásamt fylgigögnum, bárust 17. júní 2022. Með bréfi Persónuverndar, dags. 5 júlí s.á., var bænum send úttektarskýrsla stofnunarinnar, sbr. 2. mgr. 34. gr. reglna nr. 1246/2021 um málsmeðferð Persónuverndar. Með vísan til 6. og 9. tölul. 42. gr. laga nr. 90/2018, gaf Persónuvernd Kópavogsbæ jafnframt fyrirmæli um að stöðva tímabundið alla vinnslu persónuupplýsinga grunnskólanemenda sveitarfélagsins í Seesaw-nemendakerfinu. Loks var Kópavogsbæ veittur andmælaréttur vegna frekari fyrirmæla og beitingar stjórnvaldssektar. Staðfesting á stöðvun vinnslu barst Persónuvernd 12. júlí s.á. Þá bárust stofnuninni athugasemdir Kópavogsbæjar við úttektarskýrslunni og andmæli vegna beitingar stjórnvaldssektar, ásamt frekari gögnum, hinn 12. og 15. ágúst s.á.

Með bréfi, dags. 17. janúar 2023, tilkynnti Persónuvernd Kópavogsbæ að teknar yrðu tvær efnislegar ákvarðanir vegna úttektarinnar, þ.e. annars vegar um notkun sveitarfélagsins á Seesaw-nemendakerfinu í grunnskólastarfi og hins vegar um notkun þess á skýjalausn Google í grunnskólastarfi. Ákvörðun þessi varðar eingöngu fyrrnefnda athugunarefnið.

 

 

II.
Málsatvik og sjónarmið Kópavogsbæjar

Í þessum kafla verða dregnar saman upplýsingar og skýringar Kópavogsbæjar, sem fram koma í framangreindum svarbréfum og gögnum.

1.
Almennt um innleiðingu skýjalausna í grunnskólastarfi Kópavogsbæjar

Í svörum Kópavogsbæjar er vísað til þess að sveitarfélög beri ábyrgð og kostnað af rekstri almennra grunnskóla samkvæmt 1. mgr. 5. gr. laga nr. 91/2008 um grunnskóla. Sveitarfélög gegni samkvæmt því ákveðnu hlutverki þegar kemur að ýmsum búnaði grunnskóla, en það geti í ákveðnum tilvikum tekið til vals, uppsetningar og reksturs hugbúnaðar, þ. á m. skýjaþjónustna.

Greint er frá því að hugbúnaður sem grunnskólar Kópavogsbæjar notist við sé innleiddur með tvennum hætti, annars vegar í gegnum miðlæga stýringu á vegum sveitarfélagsins og hins vegar af grunnskólum þess og þá að mestu án aðkomu sveitarfélagsins. Unnið sé að aukinni miðlægri stýringu fyrir innleiðingu á stærri skýjalausnum og hafi sveitarfélagið þar veitt stuðning og aðhald. Hugbúnaðarkerfi og -þjónustur sem tengjast grunnskólastarfi séu innleiddar í samráði við mennta- og grunnskóladeild, en málefni grunnskólanna heyri undir þá deild.

Að auki segir að kröfur til skýjaþjónustuveitna séu mismunandi eftir eðli og umfangi notkunar. Vísað er til þess að sveitarfélagið kunni að gera kröfur um að gögn séu varðveitt innan EES, að þau séu ekki notuð í öðrum tilgangi en samið hafi verið um og að fyrir hendi séu virkni og möguleikar til að verja gögn í flutningi og vinnslu, svo sem aðgangsstýringar, tveggja þátta auðkenning og dulritun. Mat á áhrifum á persónuvernd sé framkvæmt í samræmi við viðmið í auglýsingu nr. 828/2019 um skrá yfir vinnsluaðgerðir sem krefjast ávallt mats á áhrifum á persónuvernd. Fram til þessa hafi áhættumat og mat á áhrifum á persónuvernd verið framkvæmt af Kópavogsbæ. Þá sé vinnulag við öflun skýjaþjónustuveitna í endurskoðun hjá grunnskólum sveitarfélagsins í ljósi ákvörðunar Persónuverndar frá 16. desember 2021 í máli nr. 2021040879 og þeirra leiðbeininga sem þar er að finna.

2.
Seesaw-nemendakerfið

Seesaw-nemendakerfið er af gerðinni SaaS (e. Software as a Service) og felur þannig í sér skýjalausn sem veitir notendum möguleika á að nota tiltekinn hugbúnað eftir þörfum. Kópavogsbær lýsir þjónustunni jafnframt sem námsumhverfi í formi stafrænnar námsferilsmöppu þar sem nemendur safni upp verkefnum og sjálfkrafa myndist safn eða ferill verkefna þeirra.

Samkvæmt svörum Kópavogsbæjar notuðu 7 af 9 grunnskólum sveitarfélagsins Seesaw-nemendakerfið skólaárið 2021-2022. Sveitarfélagið hefur áætlað að u.þ.b. 1600 nemendur hafi notað kerfið það skólaár.

Kópavogsbær heldur vinnsluskrá vegna vinnslu persónuupplýsinga í Seesaw-nemendakerfinu, hefur undirritað vinnslusamning og framkvæmt mat á áhrifum á persónuvernd vegna vinnslunnar.

3.
Vinnslusamningur

Með svörum Kópavogsbæjar fylgdi afrit af vinnslusamningi vegna vinnslu persónuupplýsinga í Seesaw-nemendakerfinu (e. Seesaw Data Processing Agreement). Vinnslusamningurinn inniheldur staðlaða skilmála á ensku sem eru einnig aðgengilegir á vefsíðu fyrirtækisins. Í upphafi vinnslusamningsins kemur fram að hann sé hluti af skilmálum um þjónustuna sem Seesaw veitir viðskiptavininum (e. Seesaw's Terms of Service). Samkvæmt leiðbeiningum í upphafi samningsins ber ábyrgðaraðila jafnframt að undirrita samningsdrögin og senda til Seesaw, en skjalið er með sjálfgefinni undirritun (e. pre-signed) fyrirtækisins frá 23. september 2021. Fyrirliggjandi vinnslusamningur var undirritaður af sveitarfélaginu 6. mars 2022.

Með vinnslusamningnum fylgja fjögur skjöl. Í fyrsta lagi mat Seesaw á flutningi persónuupplýsinga til Bandaríkjanna (e. Exhibit A to the Data Processing Agreement: Seesaw Data Transfer Impact Assessment Questionnarie). Í öðru lagi er um að ræða skjal sem lýsir þeim öryggisráðstöfunum sem Seesaw hefur innleitt og viðhefur (e. Exhibit B to the Data Processing Agreement: Technical and Organizational Measures). Í þriðja lagi stöðluð samningsákvæði um flutning persónuupplýsinga til þriðju landa (e. Exhibit C to the Data Processing Agreement: Controller to Processor Standard Contractual Clauses). Í fjórða lagi hefur verið gerður viðauki við vinnslusamninginn (e. Addendum for Icelandic Schools). Vinnslusamningurinn hefur jafnframt að geyma hlekk á þjónustuskilmála Seesaw (e. Seesaw's Terms of Service) og persónuverndarstefnu fyrirtækisins (e. Seesaw's Privacy Policy), sem gilda um þjónustuna samkvæmt vinnslusamningnum. Hér verður hverju ákvæði vinnslusamningsins, fylgiskjala hans og viðauka ekki gerð skil, heldur látið nægja að rekja það helsta sem þar kemur fram.

Vinnslusamningurinn inniheldur gagnkvæmar skuldbindingar Seesaw og viðskiptavinarins, þ.e. Kópavogsbæjar. Samkvæmt samningnum er Kópavogsbær ábyrgðaraðili vinnslunnar og Seesaw vinnsluaðili. Kópavogsbær skal ákveða vinnsluheimild og Seesaw skal aðeins vinna persónuupplýsingar samkvæmt tilgangi sem settur er fram í vinnslusamningnum og í samræmi við skjalfest og lögmæt fyrirmæli ábyrgðaraðila. Aðilar sammælast um að öll fyrirmæli viðskiptavinarins til Seesaw, sem lúta að vinnslu persónuupplýsinga, séu í vinnslusamningnum og þjónustuskilmálum Seesaw (e. Seesaw's Terms of Service). Í svörum Kópavogsbæjar er vísað til þess að sveitarfélagið hafi veitt Seesaw fyrirmæli í gegnum stillingar á þjónustunni. Þær stillingar varða verkefni nemenda og varðveislu gagna. Samkvæmt stillingunum er þess krafist að gögn séu varðveitt innan ESB, að nemendur geti ekki séð verkefni annarra nemenda og að kennarar ákveði hvort nemendur geti gert athugasemdir við verkefni, hvort foreldrar hafi aðgang að verkefnum og hvort þeir geti deilt færslum í kerfinu.

Í fyrirliggjandi vinnslusamningi kemur fram að Seesaw útvegi stafrænar námsferilsmöppur, eins og lýst sé í skilmálum þjónustunnar. Hinir skráðu séu hverjir þeir einstaklingar sem noti kerfið í gegnum reikning. Tegundir upplýsinga séu innskráningarupplýsingar, annálagögn (e. log data), myndir, myndbönd, hljóð, skilaboð, textar og önnur gögn sem séu skráð í kerfið.

Seesaw áskilur sér rétt til að fela undirvinnsluaðila vinnslu persónuupplýsinga og vísar, með hlekk á vefsíðu sína, til lista yfir þá aðila sem það hefur þegar samið við. Á listanum er að finna 35 fyrirtæki sem eru öll staðsett í Bandaríkjunum, að undanskildu einu sem staðsett er í Kanada. Með því að samþykkja vinnslusamninginn féllst Kópavogsbær á að Seesaw leitaði til þessara undirvinnsluaðila. Þá hefur Kópavogsbær fimm daga, frá því að Seesaw tilkynnir um nýja undirvinnsluaðila, til að andmæla því, enda byggist andmælin á málefnalegum grundvelli með vísan til persónuverndar. Náist ekki samkomulag má Kópavogsbær slíta samningssambandinu.

Í vinnslusamningnum er sérstakur kafli um upplýsingaöryggi. Þar kemur fram að Seesaw beri ábyrgð á því að innleiða og viðhalda öryggisráðstöfunum og viðhalda trúnaði í samræmi við öryggisstaðla Seesaw. Kópavogsbær sé á hinn bóginn ábyrgur fyrir rýni þeirra upplýsinga sem Seesaw veitir um upplýsingaöryggi og skuli taka sjálfstæða afstöðu til þess hvort upplýsingaöryggi standist kröfur viðskiptavinarins og persónuverndarlaga. Þá sé Kópavogsbæ heimilt að framkvæma eða fá þriðja aðila til að framkvæma úttekt til að sannreyna hlítni Seesaw við vinnslusamninginn, ef persónuverndarlög kveða á um rétt viðskiptavinarins þar að lútandi. Seesaw áskilji sér rétt til að krefjast greiðslu fyrir framkvæmd úttekta. Nánar er fjallað um öryggisráðstafanir sem Seesaw hefur innleitt í fylgiskjali B við vinnslusamninginn og verður nánar vikið að þeim í kafla II.6.2 hér á eftir.

Vinnslusamningurinn hefur jafnframt að geyma ákvæði um miðlun persónuupplýsinga til þriðju landa. Með samþykki sínu heimilaði Kópavogsbær Seesaw og undirvinnsluaðilum fyrirtækisins að miðla persónuupplýsingum til þriðju landa, þ. á m. til Bandaríkjanna. Líkt og að framan greinir fylgja með vinnslusamningnum stöðluð samningsákvæði um flutning persónuupplýsinga til þriðju landa og mat á flutningi persónuupplýsinga til Bandaríkjanna. Nánar verður vikið að miðlun persónuupplýsinga til Bandaríkjanna í kafla II.7 hér á eftir.

Samkvæmt fyrirliggjandi vinnslusamningi á Kópavogsbær möguleika á að sækja, leiðrétta, eyða eða takmarka notkun upplýsinga í kerfinu í samræmi við skyldur sveitarfélagsins samkvæmt persónuverndarreglugerð (ESB) 2016/679 og öðrum persónuverndarlögum sem eiga við. Í vinnslusamningnum er einnig mælt fyrir um samvinnu við ábyrgðaraðila við að svara beiðnum í tengslum við réttindi skráðra einstaklinga, mat á áhrifum á persónuvernd, fyrirframsamráð og ef öryggisbrestur verður í kerfinu.

Við lok þjónustunnar skal Seesaw eyða eða skila Kópavogsbæ öllum upplýsingum nema ef nemandi eða foreldri hefur stofnað sjálfstæðan reikning hjá Seesaw og óskar eftir að fá að halda upplýsingum sínum þar.

Í svörum Kópavogsbæjar er til þess vísað að viðauki hafi verið gerður við vinnslusamning aðila í þeim tilgangi að koma frekar til móts við þá áhættu sem lýst var í ákvörðun Persónuverndar frá 16. desember 2021 í máli nr. 2021040879. Í viðaukanum eru tvö ákvæði. Í fyrsta lagi er kveðið á um að Seesaw markaðssetji ekki vörur frá þriðju aðilum. Í öðru lagi segir að Seesaw safni upplýsingum um í hvaða landi notendur eru staðsettir (e. country-level location information) í þeim tilgangi að geta átt í samskiptum við notendur vegna virkni kerfisins. Að auki segir að Seesaw sendi fjölskyldumeðlimum, sem eru tengdir nemanda sem skráður er í kerfið, upplýsingar um nýjar vörur sem tengist notkun þeirra á þjónustunni (e. new product releases that are relevant to their use of the services).

Líkt og vikið var að hér að framan hefur vinnslusamningurinn að geyma hlekk á þjónustuskilmála Seesaw og persónuverndarstefnu fyrirtækisins. Í svörum Kópavogsbæjar segir að ákvæði 2. gr. persónuverndarstefnu Seesaw eigi ekki við um notkun Kópavogsbæjar á þjónustunni, en í því ákvæði er kveðið á um að Seesaw geti breytt persónuverndarstefnunni og að notendur samþykki þær breytingar með áframhaldandi notkun þjónustunnar. Í því sambandi vísar Kópavogsbær til ákvæðis 10.11 í þjónustusamningi aðila (e. Seesaw Learning, Inc. Master Service Agreement) þar sem kveðið er á um að breytingar á samningnum skuli vera skriflegar og undirritaðar af báðum aðilum. Kópavogsbær telur umrætt ákvæði persónuverndarstefnu Seesaw aðeins eiga við um aðila sem nota kerfið án samnings.

4.
Tegundir persónuupplýsinga

Vinnsluskrá vegna vinnslu persónuupplýsinga í Seesaw-nemendakerfinu, sem fylgdi með svörum Kópavogsbæjar til Persónuverndar, hefur að geyma lýsingu á fimm vinnsluaðgerðum. Samkvæmt vinnsluskránni er unnið með eftirfarandi persónuupplýsingar um nemendur, foreldra, forráðamenn og kennara í kerfinu:

1. Skráning nemenda inn í kerfið: Fornöfn nemenda og netföng nemenda í 5.-10.bekk.

2. Vinna nemenda í kerfinu: Fornöfn, netföng nemenda í 5.-10. bekk, myndir, myndbönd og hljóðupptökur af nemendum. Fram kemur að kerfið sé notað fyrir verkefnavinnu. Kennari leggi fyrir verkefni og nemendur svari í Seesaw-nemendakerfinu. Svör nemenda geti verið með mismunandi hætti, t.d. skrifleg svör, eyðufyllingar, innsetning hljóðs, mynda, myndbanda, hlekkja á vefsíður eða efnis úr tækjum nemenda.

3. Vinna kennara í kerfinu: Fornöfn, netföng nemenda í 5.-10. bekk, upplýsingar um foreldra (símanúmer og netföng). Fram kemur að kerfið sé notað fyrir verkefnavinnu. Kennari leggi fyrir verkefni og nemendur svari í Seesaw-nemendakerfinu. Svör nemenda geti verið með mismunandi hætti, t.d. skrifleg svör, eyðufyllingar, innsetning hljóðs, mynda, myndbanda, hlekkja á vefsíður eða efnis úr tækjum nemenda. 

4. Foreldrar í kerfinu: Fornöfn, netföng nemenda í 5.-10. bekk, upplýsingar um kennara. Fram kemur að foreldrar fái send skilaboð þegar börn þeirra setji inn verkefni, geti sent kennara skilaboð og sett skilaboð við verkefni barna sinna.

5. Afskráning nemenda úr kerfinu: Fornöfn nemenda og netföng nemenda í 5.-10. bekk.

Í leiðbeiningum til kennara (sem bera titilinn „Hvað er Seesaw?“) má finna lýsingu á þeim verkfærum sem Seesaw-nemendakerfið býður upp á. Nánar tiltekið er um að ræða teikniham (e. drawing) þar sem nemendur geta teiknað og unnið með myndir, myndavél (e. photo) sem gefur kost á myndatöku og sjálfsmyndatöku, myndbönd (e. video) þar sem nemendur geta tekið upp myndskeið, skrif (e. note) þar sem nemendur geta slegið inn texta, upphleðslu (e. upload) sem er tengd Google Drive og býður upp á að sækja skjöl og vinna með í Seesaw, og tengil (e. link) sem býður upp á möguleikann að tengjast netinu. Greint er frá því að tengill sé verkfæri sem sé helst notað af kennara til að stýra nemendum inn á ákveðnar vefsíður eða hljóðskrár. Þá segir að sjálfstæð vinnubrögð nemenda og kennsla á verkfæri Seesaw-appsins séu grundvallaratriði sem kennarar ættu að hafa í huga við notkun Seesaw-nemendakerfisins í skólastarfi. Það létti vinnu kennara og feli í sér ýmsa hagræðingu og skilvirkni í kennslustarfi

Að auki kemur fram, í leiðbeiningum til kennara, að kennarar geti metið verkefni nemenda með því að gefa einkunn á bilinu 1-4 stjörnur. Kennarar hafi yfirlit yfir þær einkunnir í hæfnikorti (e. skills) sem geti nýst kennurum við námsmat. Í síðari svörum Kópavogsbæjar er áréttað að verkefni nemenda í Seesaw-nemendakerfinu hafi einkum verið stafa- og orðaverkefni, klukku- og litaverkefni, eyðufyllingar, skjámyndir af tölvuverkefnum, stærðfræðiverkefni og upplestur. Nemendur hafi samkvæmt því haft takmarkaða möguleika á að miðla persónuupplýsingum í verkefnum í kerfinu, líkt og nánar verður vikið að í kafla II.5.3 hér á eftir. Að því er varðar námsárangur og námsmat kemur fram að hæfniviðmið hafi verið í kerfinu hjá þrem skólum og að af þeim skólum hafi aðeins einn nýtt þau. Sá skóli hafi eingöngu skráð hvort verkefni hafi verið skilað eða ekki.

Samkvæmt vinnslusamningi aðila eru einnig unnin annálagögn notenda (e. log data). Nánari lýsingu á þeim gögnum er að finna í svörum Kópavogsbæjar, en þar segir að unnið sé með upplýsingar um IP-tölur, smygildaauðkenni (e. cookie identifiers), tegund vafra, stýrikerfi, tæki og símaþjónustu, vefsíður heimsóttar innan kerfisins, vefsíður sem leiða inn á kerfið, leitarskilyrði notuð til að fara inn á kerfið og aðrar upplýsingar um samskipti (e. interactions) notanda við Seesaw-nemendakerfið. Þá er í viðauka við vinnslusamning aðila (e. Addendum for Icelandic Schools) greint frá því að Seesaw vinni upplýsingar um staðsetningu notenda. Ekki er greint frá vinnslu þessara upplýsinga í vinnsluskrá Kópavogsbæjar. 

5.
Lögmæti vinnslu
5.1.
Tilgangur og vinnsluheimild

Samkvæmt fyrirliggjandi vinnsluskrá og svörum Kópavogsbæjar hefur Seesaw-nemendakerfið verið notað í þeim tilgangi að veita nemendum aðgang að rafrænu kennsluefni, leggja verkefni fyrir nemendur og gefa þeim endurgjöf. Jafnframt er því lýst að kennarar hafi notað kerfið til að eiga samskipti við foreldra og forráðamenn nemenda og miðla upplýsingum til þeirra

Að auki er greint frá því í svörum Kópavogsbæjar að vinnsla Seesaw á annálagögnum notenda þjóni eingöngu þeim tilgangi að geta veitt þá þjónustu sem felist í skyldum fyrirtækisins samkvæmt þjónustusamningi milli aðila. Hvað varðar vinnslu staðsetningarupplýsinga notenda segir að vinnslan sé til þess ætluð að eiga samskipti við notendur um virkni kerfisins og Seesaw sendi fjölskyldumeðlimum, sem tengdir eru nemendum, upplýsingar um uppfærslur og nýja notkunarmöguleika á kerfinu. Í því sambandi segir að vinnslan sé eðlilegur og nauðsynlegur hluti þeirrar þjónustu hugbúnaðarfyrirtækis að gera notendum kunnugt um nýjar uppfærslur, meðal annars til að öryggis sé gætt og til að hugbúnaðurinn sé varinn gegn netárásum, og er tekið fram að í þessu felist ekki markaðssetning.

Þá er í svörum Kópavogsbæjar vísað til reglna sveitarfélagsins um notkun skýjalausna í grunnskólastarfi. Í þeim reglum er fjallað um markmið með notkun skýjalausna, en þar segir meðal annars að skýjalausnum sé ætlað að útbúa samstarfsvettvang kennara og nemenda, gera verkefnasamstarf nemenda auðveldara innan sem utan skóla, efla nemendur og kennara í notkun samvinnukerfa, koma til móts við mismunandi þarfir nemenda og einstaklingsmiðað nám, bæta aðgengi að gögnum nemenda óháð tækjabúnaði og staðsetningu, auka fjölbreytni í kennsluháttum með því að nýta veflausnir til að ná markmiðum aðalnámskrár, efla nemendur í að nýta veflausnir og efla örugga notkun nemenda á net- og samfélagsmiðlum. Líkt og áður greinir er jafnframt vísað til þess í leiðbeiningum til kennara að verkfæri Seesaw-nemendakerfisins feli í sér ýmsa hagræðingu og auki skilvirkni í kennslustarfi.

Samkvæmt fyrirliggjandi vinnsluskrá og svörum Kópavogsbæjar byggist vinnsla persónuupplýsinga grunnskólanemenda í Seesaw á 3. tölul. 1. mgr. 9. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, þar sem vinnslan sé nauðsynleg í þeim tilgangi að fullnægja þeirri lagaskyldu sem hvíli á sveitarfélaginu að veita menntun samkvæmt lögum nr. 91/2008 um grunnskóla.

Kópavogsbær vísar til þess í svörum sínum að fjölþættar skyldur hvíli á sveitarfélögum samkvæmt lögum nr. 91/2008 um grunnskóla, þ. á m. er vísað til 2. gr. um markmið laganna og hlutverk grunnskóla, 17. gr. varðandi nemendur með sérþarfir og 24. gr. um aðalnámskrá grunnskóla. Kópavogsbær vísar til þess að aðalnámskrá grunnskóla hafi einkum lagt grunninn að kröfum um notkun stafrænnar tölvu- og nettækni til miðlunar, samskipta og efnissköpunar í grunnskólastarfi. Að auki vísar Kópavogsbær til reglugerða sem settar eru með heimild í lögunum, þ. á m. 7. gr. a. reglugerðar nr. 897/2009 um miðlun og meðferð upplýsinga um nemendur í grunnskólum og rétt foreldra til aðgangs að upplýsingum um börn sín. Ákvæðið geri ráð fyrir að notað sé rafrænt upplýsingakerfi í grunnskólastarfi til skráningar og miðlunar upplýsinga um nemendur samkvæmt reglugerðinni og að slíkt kerfi sé notað til að veita foreldrum aðgang að upplýsingum, svo sem um námsmat nemenda, og til að eiga í samskiptum við foreldra. Jafnframt er vísað til reglugerðar nr. 585/2010 um nemendur með sérþarfir þar sem skylda er lögð á sveitarfélög til að sjá til þess að skólaskyld börn fái sérstakan stuðning í skólastarfi í samræmi við metnar sérþarfir þeirra. Þá segir í svörum Kópavogsbæjar að sveitarfélagið telji framangreindar skyldur best verða uppfylltar með notkun Seesaw-nemendakerfisins.

Í svörum Kópavogsbæjar er vísað til þess að Seesaw-nemendakerfið hafi verið metið nauðsynlegt til notkunar fyrir nemendur skólaárið 2021-2022 til þess að miðla námsefni til barna í umhverfi samkomutakmarkana sóttvarnaryfirvalda sem þá voru í gildi vegna heimsfaraldurs COVID-19. Í ljósi fyrrgreindrar ákvörðunar Persónuverndar varðandi notkun Reykjavíkurborgar á Seesaw-nemendakerfinu í máli nr. 2021040879 hafi Kópavogsbær framkvæmt hagsmunamat milli þess að stöðva alla verkefnavinnu nemenda í kerfinu þegar langt var liðið á skólaárið, gagnvart því að halda áfram notkun kerfisins. Með hagsmuni nemenda að leiðarljósi hafi verið ákveðið að halda notkun kerfisins áfram, að því gefnu að komið yrði til móts við þær athugasemdir sem Persónuvernd gerði í fyrrgreindu máli gagnvart Reykjavíkurborg. Nánari lýsing á framkvæmd hagsmunamatsins fylgdi hins vegar ekki með svörum sveitarfélagsins.

5.2.
Afstaða persónuverndarfulltrúa Kópavogsbæjar til lögmætis

Í svörum Kópavogsbæjar er greint frá því að persónuverndarfulltrúi sveitarfélagsins hafi, vegna fyrrgreindrar ákvörðunar Persónuverndar varðandi notkun Reykjavíkurborgar á Seesaw-nemendakerfinu frá 16. desember 2021 í máli nr. 2021040879, mælst til þess við grunnskóladeild sveitarfélagsins að notkun Seesaw kerfisins yrði hætt ef skilmálar yrðu ekki færðir til samræmis við kröfur persónuverndarreglugerðarinnar.

Í kjölfar ráðlegginga persónuverndarfulltrúa sveitarfélagsins hafi Kópavogsbær leitast við að tryggja að fullnægjandi vinnslusamningur við Seesaw væri undirritaður. Jafnframt hafi vinnsluskrá og mat á áhrifum á persónuvernd vegna vinnslu persónuupplýsinga í kerfinu verið yfirfarin, auk þess sem tryggt hafi verið að notkun grunnskólanna á kerfinu væri í lágmarki hvað varðar umfang og efni upplýsinga. Þá hafi verið farið yfir stillingar á þjónustunni og viðauki gerður við vinnslusamning aðila, sbr. umfjöllun í kafla II.3. Vísað er til þess að utanaðkomandi ráðgjafi á sviði upplýsingatækni hafi verið ráðinn í þessi verkefni. Á þessum forsendum hafi Kópavogsbær litið svo á að notkunin hefði verið færð nægilega til samræmis við kröfur persónuverndarreglugerðarinnar og að komið hefði verið til móts við helstu athugasemdir Persónuverndar í fyrrgreindu máli gagnvart Reykjavíkurborg.

5.3.
Meginreglur persónuverndarlaga

Í svörum Kópavogsbæjar kemur fram að einungis séu skráðar þær lágmarksupplýsingar um nemendur og foreldra í Seesaw-nemendakerfið sem nægi til að þjóna tilgangi vinnslunnar. Nánar tiltekið séu skráð fornöfn nemenda, netföng nemenda í 5.-10. bekk og samskiptaupplýsingar foreldra, þ.e. símanúmer og netfang.

Að auki er vísað til þess að ýmsar tæknilegar og skipulagslegar ráðstafanir hafi verið innleiddar til að tryggja innbyggða og sjálfgefna persónuvernd. Starfsfólk hafi t.a.m. fengið upplýsingar og leiðbeiningar um hvernig skuli takmarka eins og hægt sé þær persónuupplýsingar sem unnið er með í kerfinu. Í því sambandi er vísað til reglna Kópavogsbæjar um notkun skýjalausna í grunnskólastarfi þar sem kveðið er á um hvaða gögn séu leyfð til vistunar í skýjalausnum og hvaða gögn megi ekki skrá í slíkar lausnir. Nánar tiltekið kveða tilvísaðar reglur á um að ekki megi varðveita viðkvæm persónugreinanleg gögn í skýjalausnum, þ. á m. lokamat á námsstöðu nemenda, einstaklingsáætlanir, ítarlegar persónu-upplýsingar, upplýsingar í tengslum við refsiverðan verknað, upplýsingar um heilsuhagi eða aðrar viðkvæmar persónuupplýsingar. Heimilt sé að skrá viðkvæmar persónuupplýsingar í skýjalausnir í sértækum málum, svo sem í tengslum við sérúrræði í sérkennslu, liggi fyrir samþykki og samningur milli forráðamanna og skóla sem heimili slíka notkun. Í svörum Kópavogsbæjar segir að með tilvitnuðum reglum hafi sveitarfélagið reynt að takmarka hvaða upplýsingar séu skráðar í Seesaw-nemendakerfið. Þá er einnig vísað til þess að starfsfólki hafi verið veittar leiðbeiningar („Hvað er Seesaw?“) um hvernig skuli unnið í Seesaw-nemendakerfinu til þess að takmarka eins og hægt sé þær persónuupplýsingar sem unnið sé með í kerfinu. Í þeim leiðbeiningum segir meðal annars að kennarar rýni verkefni nemenda og geti stýrt því hvað birtist þar á svæði nemenda.

Í svörum Kópavogsbæjar er áréttað að Seesaw-nemendakerfið hafi verið í takmarkaðri notkun hjá 7 grunnskólum sveitarfélagsins. Notkun kerfisins hafi verið misjöfn milli kennara og hafi flestir kennarar eingöngu notað kerfið til stuðnings við önnur kennsluúrræði eða til þess að kanna með hvaða hætti kerfið gæti nýst við kennslu. Ekki sé að finna haldbærar eða samansafnaðar upplýsingar um stöðu, framfarir eða námsgetu nemenda í kerfinu. Þá segir að sveitarfélagið telji litlar sem engar líkur á því að nemendur hafi getað skráð viðkvæmar persónuupplýsingar eða upplýsingar um einkamálefni í verkefni sem lögð hafi verið þar fyrir í Seesaw. Sú áhætta er hins vegar metin há í mati Kópavogsbæjar á áhrifum á persónuvernd vegna vinnslu persónuupplýsinga í kerfinu, líkt og vikið verður nánar að í kafla II.6.1 hér á eftir.

Í svörum Kópavogsbæjar er jafnframt greint frá því að verkferlar séu til staðar hjá sveitarfélaginu hvað varðar varðveislu og eyðingu gagna. Í fyrirliggjandi vinnsluskrá er nánar fjallað um tímamörk varðandi eyðingu persónuupplýsinga. Þar segir að upplýsingar séu almennt varðveittar í kerfinu á meðan nemandi stundi nám við grunnskóla Kópavogsbæjar og sé eytt þremur mánuðum eftir að skólagöngu ljúki. Námsgögn, sem ber að varðveita samkvæmt lögum nr. 77/2014 um opinber skjalasöfn, séu varðveitt í samræmi við reglur þar um. Í því sambandi er vísað til 5. tölul. 1. mgr. 8. gr. laganna um skjalavistun í þágu almannahagsmuna, auk 9. gr. reglugerðar nr. 897/2009 um meðferð og vörslu upplýsinga við lok skólagöngu. Þá segir að gögnum sé eytt úr Seesaw-nemendakerfinu eftir að varðveislutími sé liðinn og notandi hafi fengið tækifæri á að nýta sér réttindi sín. Í einhverjum tilvikum kunni að vera nauðsynlegt að flytja gögn úr Seesaw-nemendakerfinu í önnur kerfi til að fullnægja öðrum lagalegum kröfum.

Hvað fræðslu til skráðra einstaklinga varðar segir í svörum Kópavogsbæjar, að nemendum og foreldrum og forráðamönnum hafi verið veitt fræðsla um vinnslu persónuupplýsinga í Seesaw-nemendakerfinu áður en vinnslan hófst. Vísað er til þess að fræðslan hafi tekið til þess hvernig vinnsla persónuupplýsinga færi fram í kerfinu, þ.e. með hvaða upplýsingar væri unnið og í hvaða tilgangi.

Kópavogsbær sendi Persónuvernd afrit þess fræðsluefnis sem útbúið var í tengslum við notkun Seesaw-nemendakerfisins. Í fyrsta er um að ræða glærukynningu fyrir foreldra. Sú kynning inniheldur lýsingu á Seesaw-nemendakerfinu, þ.e. hvaða möguleika kerfið býður upp á, hvernig kerfið er notað af grunnskólum sveitarfélagsins og hverjar ástæður þess eru að kerfið var tekið til notkunar. Í kynningunni er vakin athygli á því að kennarar fari yfir verkefni nemenda áður en þau birtast á svæði nemenda í Seesaw-nemendakerfinu, og geti eytt upplýsingum úr verkefnum æski foreldri eða forráðamaður þess.

Í öðru lagi fylgdi með svörum sveitarfélagsins 5 blaðsíðna fræðsluefni um Seesaw-nemendakerfið (sem ber titilinn „Hvað er Seesaw?“). Af efnistökum skjalsins virðist það einkum vera ætlað til leiðbeininga fyrir kennara en skjalið er hins vegar einnig aðgengilegt foreldrum í gegnum vefsíðu sveitarfélagsins. Fræðsluefnið geymir meðal annars lýsingu á þeim verkfærum sem Seesaw-nemendakerfið býður upp á, sbr. umfjöllun í kafla II.4. hér að framan. Því er lýst hvernig nemendur safni verkefnum á eigin svæði, hvernig nota megi smáforrit fyrir Seesaw, hvernig aðgengi foreldra að kerfinu sé háttað og hvernig heimanám sé sett upp. Einnig er þar að finna upplýsingar um notkun kennara á kerfinu. Loks er í fræðsluefninu að finna umfjöllun um persónuvernd. Þar kemur meðal annars fram að Seesaw hafi gert samning við Amazon Web Services varðandi gagnaver og netþjónahýsingar fyrir Seesaw, að Seesaw selji ekki persónuleg gögn kennara og nemenda og auglýsi ekki í nemendakerfinu. Að auki segir að Seesaw fylgi kröfum persónuverndarreglugerðarinnar, noti alltaf nýjustu og öruggustu leið til að vernda persónuleg gögn, upplýsi um allar breytingar og veiti gagnsæjar upplýsingar. Þá er í fræðsluefninu að finna hlekk á persónuverndarstefnu Seesaw og grein á vefsíðu fyrirtækisins sem fjallar um hvar gögn séu varðveitt, en þær upplýsingar eru á ensku.

6.
Öryggi
6.1.
Mat á áhrifum á persónuvernd

Með svörum Kópavogsbæjar fylgdi mat sveitarfélagsins á áhrifum á persónuvernd vegna vinnslu persónuupplýsinga í Seesaw-nemendakerfinu. Vísað er til þess í svörum Kópavogsbæjar að matið hafi verið yfirfarið í kjölfar ákvörðunar Persónuverndar um notkun Reykjavíkurborgar á Seesaw-nemendakerfinu, sbr. ákvörðun frá 16. desember 2021 í máli nr. 2021040879.

Fyrirliggjandi mat á áhrifum á persónuvernd hefur að geyma yfirlit yfir áhættuþætti, afleiðingar þeirra, þær vinnsluaðgerðir sem áhættuþættirnir varða, áhættustig samkvæmt skilgreindu stigakerfi og upplýsingar um þær ráðstafanir sem Kópavogsbær hefur gripið til í því skyni að mæta áhættuþáttunum. Greindir eru 29 áhættuþættir og verður hér fjallað um þá helstu.

Nokkrir áhættuþættir sem greindir eru í matinu snúa að því hvort unnið sé með persónuupplýsingar án eða umfram heimildir í persónuverndarlöggjöfinni. Í fyrsta lagi er vikið að þeirri áhættu að nemendur setji persónuupplýsingar inn í verkefni sem unnin eru í kerfinu, þ. á m. viðkvæmar persónuupplýsingar, þannig að ítarlegri persónuupplýsingar verði unnar í kerfinu en stefnt er að. Kópavogsbær metur „hátt“ áhættustig samfara þessum áhættuþætti. Jafnframt er vísað til þess í matinu að hætta sé á að nemendur skrifi um persónulega hagi sína eða fjölskyldu sinnar, að nemendur segi frá persónulegum hlutum í hljóðskrá, að nemendur setji inn mynd eða myndband sem sé persónulegs eðlis eða að nemendur sendi skilaboð á kennara sem innihaldi persónuupplýsingar. Hér er hins vegar ekki gert ráð fyrir að viðkvæmar persónuupplýsingar séu unnar með þessum hætti og er áhættustig þessara áhættuþátta metið „lágt“. Þá er greint frá þeirri áhættu að kennari útbúi verkefni þar sem nemendur séu beðnir um að skrifa viðkvæmar upplýsingar og er áhættustig þess metið „meðal“.

Hvað varðar þær ráðstafanir sem Kópavogsbær hefur gripið til vegna þessara áhættuþátta segir að kennarar yfirfari öll verkefni sem skráð séu í Seesaw-nemendakerfið og þurfi að samþykkja birtingu þeirra á svæði nemenda. Vísað er til þess að kennarar hafi samkvæmt því möguleika á að hafna verkefnum í samráði við nemendur, geymi verkefni persónuupplýsingar umfram viðmið. Að auki er greint frá því að kennarar og nemendur fái fræðslu um hvaða upplýsingar sé viðeigandi að skrá í verkefni og hverjar ekki. Þá séu kennarar beðnir um að huga að því þegar verkefni eru útbúin hvort verkefni kalli á að persónulegar upplýsingar um nemendur séu skráðar. Jafnframt er vísað til þess að kennarar fari yfir samþykktarblað foreldra og forráðamanna vegna myndbirtingar nemenda í skólastarfi og að slökkt hafi verið á þeim möguleika að nemendur geti sent skilaboð í Seesaw-nemendakerfinu.

Í áhættumatinu er jafnframt tilgreint sem áhættuþáttur að upplýsingar um nemendur séu aðgengilegar óviðkomandi í þriðja landi. Í þessu sambandi segir að samkvæmt upplýsingum frá Seesaw sé persónuupplýsingum miðlað til Bandaríkjanna. Kópavogsbær metur áhættustig þessa áhættuþáttar sem „meðal“ og vísar til þess að tilteknar ráðstafanir séu í gildi sem dragi úr áhættunni, þ.e. að til staðar séu stöðluð samningsákvæði um flutning persónuupplýsinga til þriðju landa og að gögn séu dulkóðuð í flutningi jafnt sem hvíld. Jafnframt er sú áhætta tilgreind að eftirlitsstofnanir í þriðju löndum hafi mögulega aðgang að gögnum í kerfinu, en áhættustig þess áhættuþáttar er metið „lágt“. Vísað er til þess að samkvæmt upplýsingum frá Seesaw hafi engar beiðnir borist frá eftirlitsstjórnvöldum um afhendingu gagna.

Þá er í áhættumatinu tilgreint sem áhættuþáttur að annálagögn um notendur séu varðveitt hjá vinnsluaðila. Fram kemur að annálagögn verði til þegar notendur tengist kerfinu og séu tengd við persónuupplýsingar sem hafi verið skráðar í kerfið. Jafnframt er vísað til þess að annálagögn séu mögulega varðveitt í þriðja landi. Kópavogsbær telur „hátt“ áhættustig felast í þessum áhættuþætti. Varðandi þær ráðstafanir sem sveitarfélagið hefur innleitt til að draga úr þessari áhættu segir að takmarkað hafi verið hvaða persónuupplýsingar séu skráðar í kerfið, auk þess sem viðauki hafi verið gerður við vinnslusamning aðila sem takmarki söfnun annálagagna þannig að þau séu aðeins tengd við viðkomandi land og sé ekki safnað með nákvæmari hætti.

Loks er í áhættumatinu tilgreindur sá áhættuþáttur að foreldrum sem skráðir eru í kerfið sé sent markaðsefni frá Seesaw og að unnið sé með tengiliðaupplýsingar þeirra umfram heimildir. Áhættuþátturinn fær „lágt“ áhættustig. Að auki er greint frá þeirri áhættu að upplýsingar séu unnar um foreldra án þeirra vitundar og að ekki séu nægilegar upplýsingar um möguleika þeirra foreldra sem vilja ekki að unnið sé með persónuupplýsingar barna þeirra í Seesaw-nemendakerfinu. Þessar áhættur fá áhættustigið „meðal“. Varðandi meðhöndlun þessara áhættuþátta er greint frá því að Seesaw hafi skuldbundið sig til að markaðssetja ekki vörur frá þriðja aðila. Að auki er vísað til þess að Kópavogsbær veiti foreldrum leiðbeiningar áður en þeim sé veittur aðgangur að kerfinu.

Mat Kópavogsbæjar á áhrifum á persónuvernd hefur ekki að geyma mat á eftirstandandi áhættu, að teknu tilliti til þeirra ráðstafana sem sveitarfélagið hefur innleitt, eða samantekna niðurstöðu. Í svörum Kópavogsbæjar er þó vísað til þess að niðurstöður matsins hafi verið samþykktar þó það hafi ekki verið gert með formlegum hætti. Þá segir að tekin hafi verið ákvörðun um notkun kerfisins fram að lokum skólaárs 2021-2022 og að stefnt sé að því að skoða málið nánar yfir sumarið.

6.2
Öryggisráðstafanir

Samkvæmt vinnsluskrá Kópavogsbæjar felast öryggisráðstafanir sveitarfélagsins í aðgangsstýringum, fræðslu um notkun kerfisins, sérstökum stillingum varðandi notkunarmöguleika, leiðbeiningum og rýni kennara á efni sem sett er inn í kerfið.

Í svörum Kópavogsbæjar er vísað til þess að sveitarfélagið leggi áherslu á að þeir skýjaþjónustuveitendur sem gengið er til samninga við séu með eigin vöktun á framkvæmd þeirra skipulagslegu og tæknilegu öryggisráðstafana sem eru á þeirra ábyrgð eftir að fyrirmæli hafi verið gefin um uppsetningu eða með vinnslusamningi. Þá segir að sveitarfélagið leggi áherslu á að fylgjast með tilkynningum um breytingar og frávik í rekstri hjá skýjaþjónustuveitendum og að með aukinni notkun skýjalausna muni vinnulag við vöktun taka mið af áhættu og umfangi vinnslu hverju sinni.

Fylgiskjal B við vinnsluskilmála Seesaw lýsir þeim öryggisráðstöfunum sem Seesaw hefur innleitt og viðheldur (e. Exhibit B to the Data Processing Agreement: Technical and organizational measures). Greint er frá því að Seesaw noti dulkóðunarstaðla, ýmist TLS 1.3 eða TLS 1.2, til að tryggja örugga miðlun tiltekinna upplýsinga í kerfinu, þ.e. innskráningarupplýsingar notenda (e. account information) og innihald verkefna (e. journal content). Þá segir að persónugreinanlegar upplýsingar séu dulkóðaðar í kerfinu þegar þær eru ekki í notkun og að stuðst sé við PBKDF2-reikniritið til að útbúa tætigildi (e. hash) fyrir lykilorð.

Seesaw kveðst reglulega fá utanaðkomandi aðila til að gera úttektir á öryggi og heilindum kerfa og innra eftirliti fyrirtækisins. Tekið er fram að upplýsingar séu varðveittar í aðgangsstýrðum gagnaverum sem séu rekin af leiðandi samstarfsaðilum með áralanga reynslu af rekstri stórra gagnavera með sólarhringsvöktun. Gagnaverin séu dreifð landfræðilega til að tryggja háan uppitíma og til að unnt sé að endurheimta aðgengi að persónuupplýsingum með skjótum hætti.

Þá segir að Seesaw hafi innleitt innri gagnaaðgangsstefnu sem takmarki aðgang að persónugreinanlegum upplýsingum við tiltekinn fjölda starfsmanna sem þurfi á aðgangi að halda vegna starfs síns, t.d. vegna tækniaðstoðar. Starfsmenn fyrirtækisins gangist undir bakgrunnsathugun áður en þeir hefji störf og skrifi undir trúnaðarsamning. Aðgangi þeirra að öllum innri kerfum og gögnum sé lokað strax við starfslok.

Greint er frá því að Seesaw viðhafi reglulegt eftirlit með kerfum sínum, mögulegum öryggisbrestum og tilraunum til óviðkomandi aðgangs. Enn fremur segir að Seesaw noti dulkóðaða QR-kóða fyrir aðgang nemenda og fjölskyldumeðlima að verkefnum (e. journal content).

7.
Miðlun persónuupplýsinga til Bandaríkjanna

Líkt og vikið er að í kafla II. 3 eru stillingar Kópavogsbæjar á þjónustunni með þeim hætti að gögn skuli varðveitt innan ESB. Samkvæmt fyrirliggjandi vinnsluskrá og vinnslusamningi er persónuupplýsingum hins vegar miðlað til Bandaríkjanna. 

Í upphaflegum svörum Kópavogsbæjar er vísað til þess að ráðleggingar persónuverndarfulltrúa sveitarfélagsins hafi verið að „ekki skyldi notast við lausn sem vistar gögn í þriðja landi“. Þær ráðleggingar hafi verið teknar til skoðunar og tekin ákvörðun um að nota kerfið áfram í takmarkaðan tíma. Í síðari svörum sveitarfélagsins er greint frá því að áhættan hafi verið metin innan ásættanlegra marka, með hliðsjón af þeim ráðstöfunum sem væru í gildi hjá vinnsluaðila.

Samkvæmt svörum Kópavogsbæjar og fyrirliggjandi vinnslusamningi styðst miðlun persónuupplýsinga til Bandaríkjanna við stöðluð samningsákvæði um flutning persónuupplýsinga til þriðju landa, sbr. c-lið 2. mgr. 46. gr. reglugerðar (ESB) 2016/679, en þeir skilmálar fylgja með vinnslusamningnum (e. Exhibit C to the Data Processing Agreement: Controller to Processor Standard Contractual Clauses).

Að auki fylgir vinnslusamningi aðila mat Seesaw á áhrifum af flutningi persónuupplýsinga til Bandaríkjanna (e. Exhibit A to the Data Processing Agreement: Seesaw Data Transfer Impact Assessment Questionnaire). Þar er greint frá því að innskráningarupplýsingar, annálagögn og upplýsingar úr verkefnum notenda, svo sem myndir, myndbönd, hljóðupptökur, skilaboð, texti eða önnur gögn sem notendur skrá, séu varðveitt í Bandaríkjunum. Jafnframt kemur fram að heilsufarsupplýsingar geti verið varðveittar að því marki sem notendur skrái slíkar upplýsingar sjálfir inn í kerfið, en slíkum upplýsingum sé ekki safnað á kerfisbundinn hátt. Hinir skráðu séu nemendur, foreldrar eða aðrir fjölskyldumeðlimir, kennarar og aðrir starfsmenn með aðgang að kerfinu.

Í matinu er vísað til þess að Seesaw notist við TLS 1.3-dulkóðun til að tryggja að innskráningarupplýsingum og upplýsingum úr verkefnum notenda sé miðlað á öruggan hátt. Líkt og áður greinir eru persónugreinanlegar upplýsingar jafnframt dulkóðaðar í hvíld, sbr. umfjöllun í kafla II.6.2. Í svörum Kópavogsbæjar er vísað til þess að í þeim tilvikum sem Seesaw noti upplýsingar til að greina notkun þjónustunnar sé gripið til nafnleysisaðferða og upplýsingarnar gerðar ópersónugreinanlegar. Í því sambandi er vísað til þjónustusamnings aðila, en í ákvæði 1.2 segir að viðskiptavinurinn, þ.e. Kópavogsbær, heimili Seesaw að aftengja persónuupplýsingar við auðkenni notenda og nota þær til að greina notkun þjónustunnar í skólum Kópavogsbæjar og til að skilja hvernig hægt sé að betrumbæta þjónustuna. Jafnframt er greint frá því að Seesaw og undirvinnsluaðilar muni ekki tengja upplýsingarnar aftur við auðkenni notenda (e. re-identify).

Þá hefur mat Seesaw á áhrifum af flutningi persónuupplýsinga til Bandaríkjanna einnig að geyma hlekk á undirvinnsluaðila Seesaw, þar sem fram kemur að Seesaw hafi samið við 34 undirvinnsluaðila sem staðsettir séu í Bandaríkjunum. Loks er greint frá því að bandarísk löggjöf gildi um starfsemi Seesaw, en ekki hafi verið skorið úr um það fyrir bandarískum dómstólum hvort Seesaw geti verið málsaðili samkvæmt bandarískum lögum um eftirlit með erlendum aðilum, þ. á m. FISA Section 702, og Seesaw hafi ekki verið gert að afhenda gögn vegna þjóðaröryggis eða fengið beiðni frá opinberum aðilum um persónuupplýsingar einstaklinga innan EES, Sviss eða Bretlands. Í svörum Kópavogsbæjar er vísað til þess að við mat á áhættu tengdri aðgangi erlendra stjórnvalda að gögnum sé hægt að leggja til grundvallar framangreindar upplýsingar frá Seesaw um aðgangsbeiðnir yfirvalda. Í því sambandi er vísað til viðauka 3 við leiðbeiningar Evrópska persónuverndarráðsins frá 18. júní 2020 nr. 1/2020 um ráðstafanir við flutning persónuupplýsinga úr landi.

8.
Andmæli vegna mögulegrar álagningar sektar

Með bréfi Persónuverndar, dags. 5. júlí 2022, var Kópavogsbæ veittur andmælaréttur vegna frekari fyrirmæla og beitingar stjórnvaldssektar. Líkt og rakið er í því bréfi voru fyrirliggjandi gögn talin benda til þess að Kópavogsbær hefði brotið gegn ákvæðum 25., 26., 28., 32. og 35. gr. reglugerðar (ESB) 2016/679, en brot gegn þeim ákvæðum geta varðað sekt allt frá 100.000 krónum til 1,2 milljarða króna eða allt að 2% af árlegri heildarveltu fyrirtækis á heimsvísu, sbr. 2. mgr. 46. gr. laga nr. 90/2018. Að auki voru fyrirliggjandi gögn talin benda til þess að Kópavogsbær hefði brotið gegn 5., 6., 13. og 46. gr. reglugerðarinnar, en brot gegn þeim ákvæðum getur varðað sekt allt frá 100.000 krónum til 2,4 milljarða króna eða allt að 4% af árlegri heildarveltu fyrirtækis á heimsvísu, sbr. 3. mgr. 46. gr. laganna.

Í bréfi Persónuverndar til Kópavogsbæjar voru jafnframt rakin þau atriði sem voru talin geta leitt til þess að sekt yrði lögð á og haft áhrif til hækkunar sektarfjárhæðar, sbr. 1. mgr. 47. gr. laga nr. 90/2018, sbr. 2. mgr. 83. gr. reglugerðar (ESB) 2016/679. Í því sambandi var í fyrsta lagi talið líklegt að brot Kópavogsbæjar hefðu verið framin af ásetningi, en það gæti haft áhrif til hækkunar sektar. Kópavogsbær andmælir því að notkun sveitarfélagsins á Seesaw-nemendakerfinu í grunnskólastarfi hafi verið ásetningsbrot sem réttlæti sektarákvörðun. Í því sambandi vísar Kópavogsbær til þess að í kjölfar ákvörðunar Persónuverndar frá 16. desember 2021 í máli nr. 2021040879, varðandi notkun Reykjavíkurborgar á Seesaw-nemendakerfinu í grunnskólastarfi, hafi bærinn tryggt undirritun fullnægjandi vinnslusamnings, yfirfarið vinnsluskrá og mat á áhrifum á persónuvernd og tryggt að notkun grunnskólanna á kerfinu væri í lágmarki að því er varðaði umfang og efni persónuupplýsinga. Að auki hafi Seesaw verið veitt frekari fyrirmæli um vinnsluna með viðauka við vinnslusamning aðila og í gegnum notendastillingar á þjónustunni. Á þessum forsendum hafi Kópavogsbær litið svo á að notkunin hefði verið færð nægilega til samræmis við kröfur persónuverndarreglugerðarinnar og að komið hefði verið til móts við helstu athugasemdir Persónuverndar í fyrrgreindu máli gagnvart Reykjavíkurborg. Að auki vísar Kópavogsbær til þess að persónuverndarfulltrúi sveitarfélagsins hafi ekki ráðlagt að stöðva alfarið notkun Seesaw-nemendakerfisins vegna fyrrgreindrar ákvörðunar stofnunarinnar, heldur hafi ráðleggingarnar verið þær að hætta þyrfti notkun kerfisins ef skilmálar yrðu ekki færðir til samræmis við kröfur persónuverndarlöggjafarinnar.

Í öðru lagi taldi Persónuvernd, í fyrrgreindu bréfi, að brot Kópavogsbæjar hefðu verið alvarleg þar sem þau vörðuðu vinnslu persónuupplýsinga barna og þar sem líkur væru á að viðkvæmar persónuupplýsingar hefðu verið skráðar í kerfið. Kópavogsbær vísar til þess að vissulega hafi verið unnið með persónuupplýsingar barna, sem teljist viðkvæmur hópur skráðra einstaklinga. Hins vegar þurfi að taka mið af því að eðli og efni þeirra upplýsinga sem unnið var með hafi verið hóflegt og takmarkað. Þannig hafi í langflestum tilvikum engar líkur verið á því að nemendur gætu skráð viðkvæmar persónuupplýsingar eða upplýsingar um einkalífsmálefni inn í Seesaw-nemendakerfið. Þá hafi kerfið ekki verið notað til þess að meta árangur, gefa einkunnir eða veita umsagnir.

Í þriðja lagi taldi Persónuvernd hafa þýðingu að persónuupplýsingum hefði verið miðlað til Bandaríkjanna án þess að gripið hefði verið til viðeigandi verndarráðstafana. Hvað varðar miðlun persónuupplýsinga til Bandaríkjanna telur Kópavogsbær álagningu sektar ótímabæra í ljósi þess uppnáms sem ríki um flutning persónuupplýsinga til Bandaríkjanna og ómótaðra leiðbeininga vinnuhóps Evrópska persónuverndarráðsins um viðbrögð eftirlitsyfirvalda hvað snertir miðlun persónuupplýsinga til þriðju landa. Þá er því hafnað að Kópavogsbær hafi ekki uppfyllt ákvæði 46. gr. reglugerðar (ESB) 2016/679. Kópavogsbær hafnar þeirri túlkun Persónuverndar að 46. gr. reglugerðarinnar skyldi þann sem miðlar persónuupplýsingum til þriðja lands til að tryggja öruggan flutning persónuupplýsinga. Þess í stað telur sveitarfélagið að umrætt ákvæði skyldi þann sem miðlar upplýsingunum til að gera viðeigandi verndarráðstafanir með því skilyrði að fyrir hendi séu framfylgjanleg réttindi og skilvirk lagaleg úrræði fyrir skráða einstaklinga. Þá vísar Kópavogsbær til þess að sveitarfélaginu sé sem ábyrgðaraðila eftirlátið svigrúm til mats á áhættu og sé Persónuvernd ekki sammála því mati verði það talið tilefni til stöðvunar vinnslu en ekki álagningar sektar.

Í fjórða lagi er á því byggt í fyrrgreindu bréfi Persónuverndar að tilgangur vinnslunnar hafi ekki verið nægilega skýrt afmarkaður og vinnsluheimild þar af leiðandi ekki fyrir hendi, enda hafi ekki verið sýnt fram á nauðsyn vinnslunnar eða að hún samrýmist meginreglum um meðalhóf og lágmörkun gagna. Kópavogsbær hafnar því að hafa ekki uppfyllt ábyrgðarskyldur sínar. Sveitarfélagið vísar til þess að fullyrðingar Persónuverndar um hið gagnstæða séu ekki skýrðar með öðru en því að tilgangur vinnslunnar hafi ekki verið afmarkaður með þeim hætti að unnt væri að meta hvaða persónuupplýsingar væru nægilegar og viðeigandi fyrir vinnsluna eða hversu lengi væri rétt að varðveita þær. Í svörum Kópavogsbæjar er óskað eftir því að frestur verði veittur fyrir frekari skýringar um tilgang, meðalhóf upplýsinga og varðveislutíma þeirra þar sem tilefni gefist til að sundurliða með mun ítarlegri hætti fyrir Persónuvernd en gert hafi verið hvaða upplýsingar séu unnar í Seesaw-nemendakerfinu og fyrirbyggja þannig að ákvörðun stofnunarinnar um annmarka verði byggð á misskilningi. Frekari gögn hafa þó ekki borist Persónuvernd, þrátt fyrir að sveitarfélagið hafi átt kost á að leggja þau fram.

Þá er í svörum Kópavogsbæjar vísað til þess að notkun sveitarfélagsins á Seesaw-nemendakerfinu hafi verið tilraunaverkefni í heimsfaraldri til þess að miðla námsefni til barna í umhverfi samkomutakmarkana sóttvarnaryfirvalda. Sveitarfélagið telur að aðgerðir Persónuverndar þurfi að vera í samræmi við tilefnið og er í því sambandi vísað til meðalhófsreglu stjórnsýsluréttarins.

Að auki vísar Kópavogsbær til þess að málsmeðferð Persónuverndar hafi verið með þeim hætti að stofnunin geti ekki með réttu byggt á henni til grundvallar álagningar stjórnvaldssektar, en rannsókn stofnunarinnar á háttsemi og aðgerðum Kópavogsbæjar hafi verið ófullnægjandi.

Loks er til þess vísað að telji Persónuvernd skilyrði uppfyllt til álagningar sektar sé það mat sveitarfélagsins, með hliðsjón af ákvörðun stofnunarinnar frá 16. desember 2021 í máli nr. 2021040879, að hæfileg sekt í fyrirliggjandi máli geti ekki verið hærri en á bilinu 1 til 3 milljónir króna.

III.
Forsendur og niðurstaða Persónuverndar
1.
Gildissvið – Persónuupplýsingar

Úttektarákvörðun þessi lýtur að notkun Kópavogsbæjar á Seesaw-nemendakerfinu í 7 af 9 grunnskólum sveitarfélagsins. Sveitarfélagið hefur áætlað að u.þ.b. 1600 nemendur hafi notað kerfið skólaárið 2021-2022.

Gildissvið laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að vera hluti af skrá.

Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint með tilvísun í auðkenni hans, eins og nafn, kennitölu, staðsetningargögn og netauðkenni, eða einn eða fleiri þætti sem einkenna hann í líkamlegu, lífeðlisfræðilegu, erfðafræðilegu, andlegu, efnalegu, menningarlegu eða félagslegu tilliti, sbr. 2. tölul. 3. gr. laganna og 1. tölul. 4. gr. reglugerðarinnar.

Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur vinnslan er sjálfvirk eða ekki, svo sem söfnun, skráningu, flokkun, kerfisbindingu, varðveislu, aðlögun eða breytingu, heimt, skoðun, notkun, miðlun með framsendingu, dreifingu eða aðrar aðferðir til að gera upplýsingarnar tiltækar, samtengingu eða samkeyrslu, aðgangstakmörkun, eyðingu eða eyðileggingu, sbr. 4. tölul. 3. gr. laganna og 2. tölul. 4. gr. reglugerðarinnar.

Persónuvernd hefur í framkvæmd sinni áður fjallað um Seesaw-nemendakerfið, sbr. ákvörðun stofnunarinnar frá 16. desember 2021 í máli nr. 2021040879, sem varðaði notkun kerfisins í grunnskólastarfi af hálfu Reykjavíkurborgar og sem áður hefur verið vikið að í ákvörðun þessari.

Í III.1. kafla fyrrgreindrar ákvörðunar var meðal annars komist að þeirri niðurstöðu að verkefni sem nemendur skrá í Seesaw-nemendakerfið teldust ávallt til persónuupplýsinga þeirra ef unnt væri að tengja þau við tiltekinn nemanda, t.d. vegna þess að það væri í námsferilsmöppu viðkomandi eða ef unnt væri að sjá hver skráði verkefnið í kerfið. Þá yrði að teljast óhjákvæmilegt að verkefni í formi mynda, myndbanda og skriflegra verkefna gætu ein og sér falið í sér persónuupplýsingar. Það sama ætti við um samskipti kennara við foreldra og annálagögn, þ.e. upplýsingar um IP-tölu, tegund vafra, stýrikerfi, tæki og símaþjónustu, upplýsingar um vefsíður heimsóttar, vefsíður sem leiða á aðrar vefsíður og leitarskilyrði, sem og staðsetningargögn, sem unnt væri að tengja við tiltekna einstaklinga.

Að framangreindu virtu, og með hliðsjón af því að fyrirliggjandi mál varðar sama nemendakerfi og í meginatriðum sambærilegar aðgerðir innan kerfisins, lýtur mál þetta að vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Hvað vinnslu viðkvæmra persónuupplýsinga varðar, sbr. skilgreiningu 3. tölul. 3. gr. laga nr. 90/2018, segir í svörum Kópavogsbæjar að ekki megi varðveita viðkvæm persónugreinanleg gögn í Seesaw-nemendakerfinu. Að auki vísar Kópavogsbær til þess að meginþorri verkefna í kerfinu hafi verið þannig úr garði gerð að nemendur hafi átt takmarkaða möguleika á að skrá þar persónuupplýsingar. Sú áhætta að nemendur setji persónuupplýsingar í verkefni í kerfinu, þ. á m. viðkvæmar persónuupplýsingar, er hins vegar metin há í fyrirliggjandi mati sveitarfélagsins á áhrifum á persónuvernd. Þá er til þess að líta að Kópavogsbær telur sjálfstæð vinnubrögð nemenda og kennslu í notkun verkfæra Seesaw-nemendakerfisins vera grundvallaratriði sem huga þurfi að við notkun kerfisins, en verkfærin bjóða meðal annars upp á að myndum, myndböndum, texta og efni úr Google Drive sé hlaðið upp.

Með hliðsjón af svörum Kópavogsbæjar og aldri nemenda sem nota Seesaw-nemendakerfið, einkum nemenda á grunn- og miðstigi grunnskóla, er það mat Persónuverndar að viðkvæmar persónuupplýsingar eða upplýsingar er varða hrein einkamálefni hinna skráðu kunni í einhverjum tilvikum að hafa verið skráðar í Seesaw-nemendakerfið. Með því að skrá slíkar upplýsingar í kerfið hefur vinnsla þeirra þegar farið fram. Þrátt fyrir að það sé ekki tilgangurinn með notkun Seesaw-nemendakerfisins að vinna viðkvæmar persónuupplýsingar verður að hafa framangreint í huga við mat á lögmæti vinnslunnar, meðal annars við mat á nauðsyn, meðalhófi, sanngirni og viðeigandi öryggisráðstöfunum. Er þessi niðurstaða í samræmi við fyrrgreinda ákvörðun Persónuverndar í máli nr. 2021040879.

2.
Almennt um vinnslu persónuupplýsinga grunnskólanemenda í upplýsingatæknikerfum

Persónuvernd hefur áður fjallað um þau sjónarmið sem leggja verður til grundvallar við skýringu laga nr. 90/2018 og reglugerðar (ESB) 2016/679 þegar persónuupplýsingar barna eru unnar í upplýsingatæknikerfum í grunnskólastarfi. Vísast í þessu sambandi til umfjöllunar í kafla II.2. í fyrrgreindri ákvörðun stofnunarinnar í máli nr. 2021040879. Í niðurlagi kaflans segir meðal annars:

„[Þ]rátt fyrir að upplýsingatæknikerfi geti nýst kennurum, foreldrum og skólabörnum í skólastarfi og notkun þeirra verið þáttur í og aðstoðað við menntun barnanna þá fylgi[r] notkun þeirra áhætta fyrir grundvallarréttindi barnanna. Með hliðsjón af ungum aldri og þroska barnanna, þeirri stöðu sem þau eru í gagnvart skólunum, magni þeirra gagna sem hætta er á að safnist yfir skólagöngu þeirra, viðkvæmu eðli upplýsinganna sem kunna að vera skráðar, áhrifum upplýsingasöfnunarinnar á sjálfsmynd barnanna og aðgangi aðila á einkamarkaði að þessum upplýsingum, verður að fylgja ákvæðum persónuverndarlöggjafarinnar til hins ítrasta þegar stafrænar lausnir eru innleiddar í skólastarf. Á það við um öll ákvæði persónuverndarlöggjafarinnar en sérstaklega skal nefnt hversu áríðandi það er að meginregla um meðalhóf og lágmörkun gagna sé virt. Persónuupplýsingar skólabarna sem safnað er í hvers konar upplýsingatæknikerfi skulu vera nægilegar, viðeigandi og takmarkast við það sem er nauðsynlegt miðað við tilgang vinnslunnar. Til þess að þessi meginregla sé virt í raun skal tilgangur með vinnslu persónuupplýsinganna vera skilgreindur þröngt og afmarkandi. Að öðrum kosti er ekki unnt að skilgreina hvaða persónuupplýsingar eru beinlínis nauðsynlegar fyrir vinnsluna. Þá verður að hafa í huga að þrátt fyrir að vinnsla persónuupplýsinga teljist hentug fyrir kennslu þá felst ekki sjálfkrafa í því að vinnslan sé nauðsynleg í þeim tilgangi.“

Sömu lögskýringarsjónarmið verða lögð til grundvallar í fyrirliggjandi máli með hliðsjón af því að málið varðar sambærilega vinnslu persónuupplýsinga og var til skoðunar í fyrrgreindu máli.

3.
Ábyrgðaraðili og vinnsluaðili

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 6. tölul. 3. gr. laganna og 7. tölul. 4. gr. reglugerðar (ESB) 2016/679.

Ef tveir eða fleiri ábyrgðaraðilar ákveða sameiginlega tilgang vinnslu og aðferðir við hana skulu þeir teljast vera sameiginlegir ábyrgðaraðilar, sbr. 23. gr. laganna og 1. mgr. 26. gr. reglugerðarinnar.

Vinnsluaðili er einstaklingur, lögaðili, stjórnvald eða annar aðili sem vinnur með persónuupplýsingar á vegum ábyrgðaraðila, sbr. 7. tölul. 3. gr. laganna og 8. tölul. 4. gr. reglugerðarinnar.

3.1.
Ábyrgð á vinnslu

Í svörum Kópavogsbæjar er vísað til þess að sveitarfélög hafi lögum samkvæmt ákveðnu hlutverki að gegna hvað snertir ýmsan búnaði grunnskóla, og geti sú ábyrgð tekið til þess að velja, setja upp og reka hugbúnað, þ. á m. skýjaþjónustur. Kópavogsbær hafi haldið utan um vinnsluskrá vegna Seesaw-nemendakerfisins, undirritað vinnslusamning og framkvæmt mat á áhrifum á persónuvernd vegna vinnslu persónuupplýsinga grunnskólanemenda í kerfinu. Samkvæmt vinnslusamningi sé Kópavogsbær ábyrgðaraðili vegna vinnslu persónuupplýsinga í nemendakerfinu og Seesaw vinnsluaðili.

Samkvæmt leiðbeiningum Evrópska persónuverndarráðsins nr. 7/2020 frá 2. september 2020 ber, við ákvörðun um hver telst vera ábyrgðaraðili vinnslu og hver telst vera vinnsluaðili, ekki einungis líta til þeirra gagna sem fyrir liggja, til að mynda vinnslusamnings, heldur einnig hvernig fyrirkomulagi hafi raunverulega verið háttað, þ.e. hver hafi í reynd tekið ákvörðun um tilgang og aðferðir við vinnslu persónuupplýsinga. Þá verður í máli þessu að líta til þeirra sjónarmiða sem lögð voru til grundvallar við ákvörðun ábyrgðar á vinnslu persónuupplýsinga í Seesaw-nemendakerfinu í fyrrgreindri ákvörðun Persónuverndar í máli nr. 2021040879. Vísast til III.3.1. kafla hennar í því sambandi.

Samkvæmt upplýsingum í vinnslusamningi, vinnsluskrá, mati á áhrifum á persónuvernd og spurningalista þeim sem Kópavogsbær svaraði í upphaf úttektar, er unnið með eftirfarandi persónuupplýsingar um nemendur í Seesaw-nemendakerfinu:

1. Innskráningarupplýsingar: Fornöfn og netföng.

2. Verkefni nemenda.

3. Samskipti við foreldra og forráðamenn.

4. Annálagögn (e. log data): IP-tölur, smygildaauðkenni, (e. cookie identifiers), tegund vafra, stýrikerfi, upplýsingar um tæki og símaþjónustu, vefsíður heimsóttar innan kerfisins, vefsíður sem leiða inn á kerfið og leitarskilyrði notuð til að fara inn á kerfið, auk annarra upplýsingar um samskipti (e. interaction) notanda við Seesaw-nemendakerfið.

5. Staðsetningargögn (e. country-level location information).

Af gögnum málsins er ljóst að Kópavogsbær tók ákvörðun um að hefja notkun Seesaw-nemendakerfisins í grunnskólum sveitarfélagsins. Kópavogsbær hefur undirritað vinnslusamning vegna vinnslu persónuupplýsinga í kerfinu og framkvæmdi mat á áhrifum á persónuvernd vegna þeirrar vinnslu. Einnig er ljóst að Kópavogsbær ákvað tilgang og aðferðir við vinnslu innskráningarupplýsinga, upplýsinga um verkefni nemenda og upplýsinga um samskipti við foreldra og forráðamenn þeirra, þrátt fyrir að hverjum og einum skóla hafi verið undirlagt að ákveða í hvaða tilvikum forritið yrði notað og nákvæmlega hvaða verkefni yrðu sett þar inn. Af þessu leiðir að Kópavogsbær telst vera ábyrgðaraðili vinnslu þessara persónuupplýsinga í kerfinu.

Hvað varðar vinnslu annálagagna og staðsetningargagna, telur Persónuvernd að hún geti að einhverju leyti verið óhjákvæmileg við notkun kerfisins fyrir tæknilega virkni þess. Að því marki sem þessi vinnsla er óhjákvæmileg fyrir virkni kerfisins verður hún talin á ábyrgð Kópavogsbæjar, enda fellur hún undir ákvörðun sveitarfélagsins um að nota kerfið í nánar tilteknum tilgangi.

Á hinn bóginn verður ekki séð að vinnsla allra þeirra upplýsinga sem taldar eru upp í skilgreiningunni á annálagögnum sé nauðsynleg af tæknilegum ástæðum. Með hliðsjón af því að ekki er vikið sérstaklega að tilgangi þessarar vinnslu í vinnslusamningi aðila verður að ganga út frá því að Seesaw ákveði tilgang hennar og aðferðir við hana. Hið sama á við um vinnslu staðsetningargagna. Þó svo að hún kunni að vera óhjákvæmileg að einhverju marki liggur einnig fyrir að Seesaw vinnur gögnin í eigin þágu, þ.e. til að kynna nýjar vörur sem tengjast þjónustunni, líkt og fram kemur í viðauka við vinnslusamning aðila. Á hinn bóginn verður ekki fram hjá því litið að Seesaw kemst eingöngu yfir umræddar upplýsingar fyrir tilstilli Kópavogsbæjar og að sveitarfélagið hefur ákveðið að nota þjónustuna með hliðsjón af því að þessi vinnsla fari fram. Að mati Persónuverndar verður Kópavogsbær því að teljast sameiginlegur ábyrgðaraðili ásamt Seesaw hvað varðar söfnun annálagagna og staðsetningargagna sem ekki er óhjákvæmileg af tæknilegum ástæðum.

Loks telst Seesaw vera vinnsluaðili þeirrar vinnslu persónuupplýsinga í kerfinu sem fellur undir ábyrgð Kópavogsbæjar.

Í ljósi þess að úttektin beindist ekki að Seesaw verður ekki fjallað um skyldur fyrirtækisins samkvæmt persónuverndarlöggjöfinni í þessari ákvörðun.

3.2
Vinnslusamningur og samkomulag um skiptingu ábyrgðar

Vinnsla af hálfu vinnsluaðila skal falla undir samning eða aðra réttargerð samkvæmt lögum, sem skuldbindur vinnsluaðila gagnvart ábyrgðaraðila. Skal þar tilgreina viðfangsefni og tímalengd vinnslu, eðli og tilgang hennar, tegund persónuupplýsinga og flokka skráðra einstaklinga, svo og skyldur og réttindi ábyrgðaraðilans, sbr. 3. mgr. 25. gr. laga nr. 90/2018 og 3. mgr. 28. gr. reglugerðar (ESB) 2016/679. Í reglugerðarákvæðinu eru rakin þau atriði sem einkum skal mæla fyrir um í vinnslusamningi, þ.e. að vinnsluaðili:

a) vinni einungis persónuupplýsingar samkvæmt skjalfestum fyrirmælum ábyrgðaraðila,

b) tryggi að aðilar, sem hafa heimild til vinnslu persónuupplýsinga, hafi gengist undir trúnaðarskyldu eða heyri undir viðeigandi lögboðna trúnaðarskyldu,

c) geri allar viðeigandi öryggisráðstafanir samkvæmt 32. gr. reglugerðarinnar,

d) virði skilyrði reglugerðarinnar um ráðningu annars vinnsluaðila,

e) aðstoði ábyrgðaraðila með viðeigandi tæknilegum og skipulagslegum ráðstöfunum, að teknu tilliti til eðlis vinnslunnar og að því marki sem hægt er, við að uppfylla skyldur ábyrgðaraðila sem lúta að rétti skráðra einstaklinga til aðgangs að persónuupplýsingum sínum og upplýsinga um vinnsluna,

f) aðstoði ábyrgðaraðila, að teknu tilliti til eðlis vinnslunnar og upplýsinga sem vinnsluaðili hefur aðgang að, við að uppfylla skyldur sem lúta að öryggi persónuupplýsinga,

g) eyði eða skili, að vali ábyrgðaraðila, öllum persónuupplýsingum til ábyrgðaraðila eftir að veitingu þjónustu lýkur og eyði öllum afritum nema annars sé krafist í lögum,

h) geri ábyrgðaraðila aðgengilegar allar upplýsingar sem eru nauðsynlegar til að sýna fram á að skuldbindingar samkvæmt reglugerðarákvæðinu séu uppfylltar, gefi kost á úttektum og leggi sitt af mörkum til þeirra.

Þegar tveir eða fleiri aðilar eru sameiginlegir ábyrgðaraðilar fer um skyldur þeirra eftir 26. gr. reglugerðar (ESB) 2016/679, sbr. 23. gr. laga nr. 90/2018. Sameiginlegir ábyrgðaraðilar að vinnslu persónuupplýsinga skulu á gagnsæjan hátt ákveða ábyrgð hvers um sig á því að skuldbindingar samkvæmt reglugerðinni séu uppfylltar með samkomulagi sín á milli, nema að því marki sem kveðið er á um ábyrgð þeirra í lögum, sbr. 1. mgr. 26. gr. reglugerðarinnar. Samkomulag samkvæmt framangreindu skal endurspegla með tilhlýðilegum hætti hlutverk og tengsl hvers ábyrgðaraðila gagnvart skráðum einstaklingum og skal megininntak samkomulagsins gert þeim aðgengilegt, sbr. 2. mgr. sömu greinar.

Með hliðsjón af framangreindum niðurstöðum um ábyrgð á vinnslu í Seesaw-nemendakerfinu, skal vinnsla Seesaw á innskráningarupplýsingum, verkefnum nemenda, endurgjöf kennara, samskiptum kennara við foreldra, sem og vinnsla annálagagna og staðsetningargagna sem telst óhjákvæmileg fyrir virkni kerfisins, byggjast á samningi eða annarri réttargerð sem skuldbindur Seesaw gagnvart Kópavogsbæ, í samræmi við 3. mgr. 25. gr. laga nr. 90/2018 og 3. mgr. 28. gr. reglugerðar (ESB) 2016/679. Þá skal vera fyrir hendi samkomulag milli Kópavogsbæjar og Seesaw hvað varðar söfnun annarra annálagagna og staðsetningargagna en þeirra sem teljast óhjákvæmileg fyrir virkni kerfisins, auk þess sem megininntak þess samkomulags skal vera aðgengilegt hinum skráðu í samræmi 1. og 2. mgr. 26. gr. reglugerðarinnar.

Fyrirliggjandi vinnslusamningur milli Kópavogsbæjar og Seesaw er hluti af skilmálum um þjónustu Seesaw (e. Seesaw's Terms of Service), sem Kópavogsbær hefur undirgengist, og hefur verið undirritaður af báðum aðilum. Að mati Persónuverndar er því um að ræða samning sem skuldbindur vinnsluaðila gagnvart ábyrgðaraðila, sbr. 3. mgr. 25. gr. laga nr. 90/2018 og 3. mgr. 28. gr. reglugerðarinnar.

Í vinnslusamningnum kemur fram að í vinnslu Seesaw felist að fyrirtækið útvegi stafrænar námsferilsmöppur, eins og lýst sé í skilmálum um þjónustuna. Hinir skráðu séu hverjir þeir einstaklingar sem noti kerfið í gegnum reikninga notenda. Tegundir upplýsinga séu innskráningarupplýsingar, annálagögn, myndir, myndbönd, hljóð, skilaboð, textar og önnur gögn sem séu skráð í kerfið. Í viðauka við vinnslusamninginn er jafnframt greint frá því að staðsetningargögn notenda séu unnin. Þá eru í vinnslusamningnum ákvæði um lokun reikninga einstakra nemenda og lok samningsins. Að mati Persónuverndar er því með fullnægjandi hætti kveðið á um viðfangsefni vinnslunnar, tímalengd og eðli hennar, tegundir persónuupplýsinga og flokka skráðra einstaklinga, sbr. 3. mgr. 25. gr. laganna og 3. mgr. 28. gr. reglugerðarinnar. Í vinnslusamningi eru jafnframt ákvæði um trúnaðarskyldu hvers þess sem vinnur með persónuupplýsingar á vegum Seesaw, skyldu til að viðhafa viðeigandi öryggisráðstafanir, tilhögun varðandi undirvinnsluaðila, aðstoð við afgreiðslu beiðna skráðra einstaklinga um aðgang að persónuupplýsingum sínum og um upplýsingar um vinnslu, samvinnu við ábyrgðaraðila og eftirlitsstjórnvöld við mat á áhrifum á persónuvernd, fyrirfram­samráð og ef öryggisbrestur verður í kerfinu, eyðingu og skil upplýsinga við lok samningstíma og um úttektir á hlítni Seesaw við vinnslusamninginn. Skilmálarnir uppfylla að því leyti skilyrði b-h-liða 3. mgr. 28. gr. reglugerðarinnar, sbr. 3. mgr. 25. gr. laganna.

Í vinnslusamningnum segir að Seesaw megi aðeins vinna persónuupplýsingar í þeim tilgangi sem lýst er í samningnum og í samræmi við fyrirmæli ábyrgðaraðila, sem eigi að öllu leyti að felast í samningnum sjálfum sem og þjónustuskilmálum Seesaw (e. Seesaw's Terms of Service). Í vinnslusamningnum eru að mati Persónuverndar ekki nákvæm eða skýr ákvæði um tilgang vinnslunnar, en þar segir að tilgangurinn sé að veita notendum kerfisins þjónustu í samræmi við þjónustuskilmála Seesaw, þ. á m. vinnslusamning aðila. Í fylgiskjali A við vinnslusamninginn má finna sambærilega lýsingu á tilgangi þess hluta vinnslunnar sem á sér stað í Bandaríkjunum, þ.e. að tilgangur vinnslunnar sé að veita þjónustu samkvæmt samningum milli aðila, t.d. veita notendum aðgang að Seesaw-nemendakerfinu og tæknilega aðstoð í tengslum við þjónustuna. Þá er í viðauka við vinnslusamninginn greint frá tilgangi afmarkaðs hluta vinnslunnar, þ.e. að Seesaw vinni staðsetningargögn í þeim tilgangi að geta átt í samskiptum við notendur vegna virkni kerfisins og sent fjölskyldumeðlimum, sem tengdir eru nemanda sem skráður er í kerfið, upplýsingar um nýjar vörur sem tengist notkun þeirra á þjónustunni. Ekki er kveðið nánar á um tilgang annarra vinnsluaðgerða í vinnslusamningi aðila, fylgiskjölum við hann eða viðauka. Þá liggja ekki fyrir fyrirmæli frá Kópavogsbæ til Seesaw um vinnsluna sem gætu verið vinnslusamningi til fyllingar hvað varðar tilgang vinnslunnar.

Á hinn bóginn er til þess að líta að vinnslusamningur aðila vísar til þess að öll fyrirmæli, sem lúti að vinnslu persónuupplýsinga, séu í vinnslusamningnum og þjónustuskilmálum Seesaw. Í ákvæði 2. mgr. 1. gr. þjónustuskilmálanna segir að persónuverndarstefna Seesaw (e. Privacy Policy) sé hluti af skilmálum um þjónustuna sem Seesaw veitir. Í persónuverndarstefnu Seesaw er greint frá því að fyrirtækið vinni persónuupplýsingar í því skyni að:

1. Veita aðgang að Seesaw-nemendakerfinu og varðveita gögn notenda.

2. Veita kennurum, stjórnendum skóla, foreldrum og forráðamönnum tæknilega aðstoð.

3. Veita stjórnendum skóla upplýsingar um virkni Seesaw-nemendakerfisins innan skóla.

4. Tilkynna notendum um virkni og uppfærslur á aðgangi, sé veitt leyfi fyrir slíkum tilkynningum.

5. Rannsaka, skilja og greina notkun á þjónustunni ásamt því að betrumbæta og þróa nýja notkunarmöguleika.

6. Kynna og auglýsa þjónustuna ásamt endurbótum á Seesaw-nemendakerfinu sem geta gagnast kennurum, skólum, foreldrum og forráðamönnum.

7. Rannsaka, koma í veg fyrir og koma upp um atvik í þjónustunni sem gætu brotið gegn skilmálum Seesaw, lögum eða öðrum reglum. Að beiðni skóla getur Seesaw rannsakað tiltekna aðganga til að skera úr um hvort farið sé að reglum skólans.

Samkvæmt 2. gr. persónuverndarstefnu Seesaw getur fyrirtækið gert breytingar á stefnunni til að gera grein fyrir breyttum starfsháttum fyrirtækisins, eða vegna breytinga á löggjöf sem fyrirtækið þarf að fylgja. Notendum kerfisins, þ.e. hinum skráðu, er eftir atvikum tilkynnt um slíkar breytingar og samþykkja þær með áframhaldandi notkun kerfisins. Kópavogsbær telur að tilvísað ákvæði persónuverndarstefnunnar eigi ekki við um aðila sem séu í skuldbindandi samningssambandi við Seesaw, og vísar í því sambandi til ákvæðis 10.11 í þjónustusamningi aðila. Í tilvísuðu ákvæði þjónustusamningsins er kveðið á um að breytingar á samningnum skuli vera skriflegar, að þær skuli vera undirritaðar af báðum aðilum og að þar skuli koma skýrt fram að verið sé að breyta samningnum. Samkvæmt orðalagi ákvæðisins virðist það því aðeins eiga við um breytingar á þjónustusamningi aðila, en sá samningur hefur jafnframt að geyma ákvæði um breytingar á þjónustuskilmálum og persónuverndarstefnu Seesaw, sbr. ákvæði 1.9. Ákvæðið kveður á um að notendur þjónustunnar, sem tengjast stjórnandareikningi viðskiptavinarins (e. End Users associated with Customer's Admin Account) verði að samþykkja þjónustuskilmála og persónuverndarstefnu fyrirtækisins áður en notkun þjónustunnar hefst. Jafnframt segir að Seesaw kunni að uppfæra þjónustuskilmálana og persónuverndarstefnuna í samræmi við ákvæði þeirra. Þjónustusamningur aðila gildi hins vegar ekki um þær breytingar og viðskiptavinurinn hefur ekki aðkomu að þeim. Líkt og vikið er að hér að framan, kveður 2. gr. persónuverndarstefnu Seesaw á um að fyrirtækið geti breytt stefnunni, meðal annars til að gera grein fyrir breyttum starfsháttum fyrirtækisins, en notendur samþykkja þær breytingar með áframhaldandi notkun kerfisins. Samkvæmt því eru breytingar á persónuverndarstefnu Seesaw ekki háðar samþykki viðskiptavinarins, þ.e. Kópavogsbæjar. Því er að mati Persónuverndar ljóst að Seesaw getur einhliða gert breytingar á tilgangi vinnslunnar án beinnar aðkomu sveitarfélagsins.

Persónuvernd telur að líta megi svo á að ákvæði persónuverndarstefnu Seesaw, sem gerð eru hluti af vinnslusamningi Kópavogsbæjar og fyrirtækisins, geymi í sjálfu sér næga tilgreiningu á tilgangi vinnslu persónuupplýsinga í nemendakerfi fyrirtækisins. Hins vegar er óhjákvæmilegt að líta til þess að fyrirtækinu er heimilt að breyta þeirri tilgreiningu einhliða. Getur þá reynst erfitt fyrir bæði Kópavogsbæ og eftirlitsstjórnvöld eins og Persónuvernd að meta hvort Seesaw vinni í reynd persónuupplýsingar einungis samkvæmt skjalfestum fyrirmælum Kópavogsbæjar. Athugast í því sambandi að breyttur tilgangur vinnslu persónuupplýsinga getur leitt til breytinga á vinnslu persónuupplýsinga þannig að vinnslan rúmist ekki innan upphaflegra fyrirmæla ábyrgðaraðila. Þykir samkvæmt þessu ekki fært að líta svo á að vinnslusamningurinn sé að þessu leyti í samræmi við ákvæði a-liðar 3. mgr. 28. gr. reglugerðar (ESB) 2016/679, sbr. 3. mgr. 25. gr. laga nr. 90/2018.

Í þessu sambandi áréttar Persónuvernd, að þrátt fyrir að algengt sé að vinnsluaðilar, sem bjóða ábyrgðaraðilum upplýsingatækniþjónustu, setji fram staðlaða og almenna skilmála um notkun tiltekins upplýsingatæknikerfis og vinnslu persónuupplýsinga í því, leysir það ábyrgðaraðila ekki undan ábyrgðarskyldum sínum. Í því felst meðal annars að ábyrgðaraðilar bera ábyrgð á því að vinnsluaðilar vinni einungis persónuupplýsingar samkvæmt skjalfestum fyrirmælum ábyrgðaraðilans.

Líkt og rakið er í kaflanum hér að framan er það niðurstaða Persónuverndar að Kópavogsbær og Seesaw teljist sameiginlegir ábyrgðaraðilar hvað varðar söfnun annarra annálagagna og staðsetningargagna en þeirra sem teljast tæknilega óhjákvæmileg fyrir virkni nemendakerfisins. Ekki liggur fyrir sérstakt samkomulag milli Kópavogsbæjar og Seesaw varðandi vinnslu þessara gagna, að frátöldum vinnslusamningi aðila og viðauka við hann. Fyrrgreind skilyrði 26. gr. reglugerðar (ESB) 2016/679 teljast því ekki uppfyllt hvað þá vinnslu varðar, sbr. 23. gr. laga nr. 90/2018. Þar sem ábyrgð á vinnslu þessara gagna er ekki skýr getur vinnslan enn fremur ekki talist gagnsæ gagnvart hinum skráðu, sbr. 1. tölul. 1. mgr. 8. gr. laganna og a-lið 1. mgr. 5. gr. reglugerðarinnar, en nánar er fjallað um lögmæti vinnslunnar í kafla III.4.3 hér á eftir, þ. á m. gagnsæi hennar.

Að öllu framangreindu virtu, telst vinnslusamningur Kópavogsbæjar við Seesaw ekki vera í samræmi við ákvæði a-liðar 3. mgr. 28. gr. reglugerðar (ESB) 2016/679, sbr. 3. mgr. 25. gr. laga nr. 90/2018, þar sem ókleift er að meta hvort Seesaw vinni persónuupplýsingar einungis samkvæmt skjalfestum fyrirmælum Kópavogsbæjar. Þá liggur ekki fyrir samkomulag um sameiginlega ábyrgð varðandi söfnun annálagagna og staðsetningargagna sem teljast ekki tæknilega nauðsynleg fyrir virkni Seesaw-nemendakerfisins samkvæmt 1. mgr. 26. gr. reglugerðarinnar, sbr. 23. gr. laganna.

4.
Lögmæti vinnslu

Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Að auki verður vinnsla viðkvæmra persónuupplýsinga að samrýmast einhverju af viðbótarskilyrðum 1. mgr. 11. gr. laganna, sbr. 2. mgr. 9. gr. reglugerðarinnar, en líkt og áður greinir er það mat Persónuverndar að viðkvæmar persónuupplýsingar um nemendur, eins og þær eru skilgreindar í 3. tölul. 3. gr. laganna, verði í einhverjum tilvikum skráðar í Seesaw-nemendakerfið, sbr. umfjöllun í kafla III.1. hér að framan.

Við mat á heimild til vinnslu verður einnig að líta til ákvæða annarra laga sem við eiga hverju sinni.

Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að samrýmast öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða (1. tölul. lagaákvæðisins), að þær skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.), að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.), að þær skuli varðveittar í því formi að ekki sé unnt að bera kennsl á skráða einstaklinga lengur en þörf krefur miðað við tilgang vinnslu (5. tölul.) og að þær skuli unnar með þeim hætti að viðeigandi öryggi persónuupplýsinganna sé tryggt (6. tölul.). Þá skulu ábyrgðaraðilar geta sýnt fram á að vinnsla persónuupplýsinga samrýmist ávallt þessum meginreglum, sbr. 2. mgr. 8. gr. laganna og 2. mgr. 5. gr. reglugerðarinnar.

4.1.
Vinnsluheimild

Það er hlutverk ábyrgðaraðila að ákveða skýrt tilgreindan, lögmætan og málefnalegan tilgang vinnslu persónuupplýsinga og tryggja að þær séu unnar með lögmætum hætti og eingöngu í tilgreindum tilgangi, sbr. 1. og 2. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og a- og b-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Í því felst meðal annars að vinnsla persónuupplýsinga þarf að byggjast á viðeigandi vinnsluheimild og þurfa ábyrgðaraðilar að geta sýnt fram á að svo sé. Til þess að vinnsla persónuupplýsinga sé lögmæt þarf tilgangur hennar og vinnsluheimild að liggja fyrir áður en vinnsla hefst.

Samkvæmt vinnsluskrá Kópavogsbæjar er tilgangur vinnslu persónuupplýsinga í Seesaw-nemendakerfinu meðal annars að veita nemendum aðgang að rafrænu kennsluefni, leggja verkefni fyrir nemendur og eiga í samskiptum við foreldra og forráðamenn nemenda og miðla upplýsingum til þeirra. Í svörum sveitarfélagsins er vísað til þess að vinnslan byggist á 3. tölul. 9. gr. laga nr. 90/2018, sem kveður á um að vinnsla persónuupplýsinga sé heimil sé hún nauðsynleg í þeim tilgangi að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila.

Til að rökstyðja að umrædd vinnsla geti byggst á þeirri heimild er í svörum Kópavogsbæjar vísað til þess að lagaskylda hvíli á sveitarfélaginu til að veita menntun samkvæmt lögum nr. 91/2008 um grunnskóla. Vísað er til fjölþættrar skyldu sem hvílir á sveitarfélaginu samkvæmt þeim lögum, þ. á m. í ljósi 2. gr. laganna um markmið þeirra og hlutverk grunnskóla, 17. gr. laganna varðandi nemendur með sérþarfir og 24. gr. laganna um aðalnámskrá grunnskóla. Þá er vísað til reglugerða með stoð í lögunum, svo og þess að aðalnámskrá grunnskóla hafi einkum lagt grunninn að kröfum um notkun stafrænnar tölvu- og nettækni til miðlunar, samskipta og efnissköpunar í grunnskólastarfi.

Við mat á því hvort vinnsla persónuupplýsinga geti stuðst við 3. tölul. 9. gr. laga nr. 90/2018, sbr. c-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, þarf að hafa í huga að vinnsluheimildin gerir almennt ráð fyrir því að lög mæli fyrir um að tiltekin vinnsla persónuupplýsinga skuli fara fram eða að nauðsyn vinnslunnar verði leidd af ákvæðum laga sem gilda um starfsemi ábyrgðaraðila.

Þegar vinnsla persónuupplýsinga fer fram af hálfu stjórnvalda í tengslum við lögbundin verkefni þeirra hefur Persónuvernd á hinn bóginn litið svo á að vinnslan geti einkum stuðst við 5. tölul. 9. gr. laga nr. 90/2018, sbr. e-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Samkvæmt þeim ákvæðum er vinnsla persónuupplýsinga heimil sé hún nauðsynleg vegna verkefnis sem unnið er í þágu almannahagsmuna eða við beitingu opinbers valds sem ábyrgðaraðili fer með. Persónuvernd hefur talið að sveitarfélög geti byggt vinnslu persónuupplýsinga grunnskólanemenda í upplýsingatæknikerfum á þessum grundvelli, í ljósi þeirra verkefna sem þeim eru falin með lögum nr. 91/2008 og réttarheimildum sem settar eru með stoð í lögunum. Vísast um þetta atriði til kafla III.4.1. í fyrrgreindri ákvörðun stofnunarinnar í máli nr. 2021040879.

Af 2. mgr. 8. gr. laga nr. 90/2018 og 2. mgr. 5. gr. reglugerðar (ESB) 2016/679 leiðir að ábyrgðaraðili þarf að geta sýnt fram á lögmæti vinnslu, þ. á m. að hún styðjist við viðeigandi vinnsluheimildir. Í því felst jafnframt að ábyrgðaraðili þarf að geta sýnt fram á að öllum skilyrðum tiltekinnar vinnsluheimildar sé fullnægt, meðal annars um nauðsyn vinnslu.

Krafa vinnsluheimildarinnar um að vinnsla sé nauðsynleg í tilteknum tilgangi og í þágu tilgreindra hagsmuna endurspeglar meginreglu persónuverndarlöggjafarinnar um meðalhóf. Það ræðst af aðstæðum hverju sinni hvort vinnsla telst nauðsynleg. Ábyrgðaraðilum er falið visst mat í þeim efnum en þeir þurfa að meta nauðsyn fyrir hvern og einn þátt vinnslunnar, þ.e. vinnsluaðgerða sem ekki mynda röð, sbr. 4. tölul. 3. gr. laganna. Matið, fyrir hvern og einn þátt vinnslunnar, ræðst svo af hagsmunum af tilteknu verki og hvort hægt er að gæta þeirra hagsmuna með einhverjum þeim hætti sem felur í sér takmarkaðri vinnslu persónuupplýsinga. Við það mat er að líta til umfangs vinnslunnar og eðlis og efnis þeirra upplýsinga sem unnið er með.

Í fyrrgreindri ákvörðun Persónuverndar í máli nr. 2021040879 var á því byggt að við mat á nauðsyn vinnslu sé jafnframt rétt að líta til þess hvort hinir skráðu séu börn, enda njóta persónuupplýsingar þeirra sérstakrar verndar. Í því sambandi verði einnig að líta til aldurs og þroska barnanna, þeirrar stöðu sem þau eru í gagnvart skólanum sínum, magns þeirra gagna sem hætta er á að safnist yfir skólagöngu þeirra, og aðgangs Seesaw, fyrirtækis á einkamarkaði, að upplýsingunum. Eiga sömu sjónarmið við í fyrirliggjandi máli.

Í svörum Kópavogsbæjar er vísað til þess að Seesaw-nemendakerfið hafi verið metið nauðsynlegt til notkunar fyrir nemendur skólaárið 2021-2022 einkum vegna heimsfaraldurs Covid-19. Ekki verður þó ráðið af gögnum málsins að Kópavogsbær hafi framkvæmt almennt mat á nauðsyn vinnslu persónuupplýsinga í tengslum við notkun Seesaw-nemendakerfisins. Þá hafi sveitarfélagið tekið ákvörðun um að nota kennslukerfið áfram, þrátt fyrir ákvörðun Persónuverndar frá 16. desember 2021 í máli nr. 2021040879, þar sem það hafi verið metið forsvaranlegt með hliðsjón af hagsmunum nemenda. Nánari lýsing á því hagsmunamati liggur hins vegar ekki fyrir. Þá verður ekki séð að Kópavogsbær hafi metið nauðsyn notkunar Seesaw-nemendakerfisins samanborið við aðra valkosti, t.d. notkun annarra upplýsingatæknikerfa sem fela í sér takmarkaðri vinnslu persónuupplýsinga.

Þrátt fyrir framangreint telur Persónuvernd unnt að líta svo á að vinnsla innskráningarupplýsinga nemenda, verkefna þeirra, samskipti kennara við foreldra, sem og annálagagna og staðsetningargagna sem teljast tæknilega óhjákvæmileg fyrir virkni kerfisins, geti talist nauðsynleg vegna verkefnis sem unnið er í þágu almannahagsmuna eða við beitingu opinbers valds sem Kópavogsbær fer með, í þeim tilgangi að veita menntun samkvæmt lögum nr. 91/2008. Hins vegar er jafnframt ljóst að fram fer söfnun persónuupplýsinga í annálagögnum og staðsetningargögnum, sem teljast ekki óhjákvæmileg fyrir virkni kerfisins, en sveitarfélagið ber ábyrgð á þeirri vinnslu með Seesaw, sbr. umfjöllun í kafla III.3.1. Sú vinnsla verður ekki álitin nauðsynleg í þágu þess að sveitarfélagið sinni lögbundnum verkefnum sínum samkvæmt ákvæðum laga nr. 91/2008, að teknu tilliti til þess í hvaða tilgangi umræddar upplýsingar eru notaðar af hálfu Seesaw samkvæmt persónuverndarstefnu fyrirtækisins. Í því sambandi verður jafnframt til þess að líta, svo sem áður hefur verið rakið, að Seesaw getur tekið einhliða ákvörðun um breyttan tilgang vinnslunnar og er tilgangur vinnslunnar ekki skýrt afmarkaður að því leyti. Því getur vinnslan ekki verið heimil á grundvelli 5. tölul. 9. gr. laga nr. 90/2018 og e-liðar 1. mgr. 6. gr. reglugerðar (ESB) 2016/679.

Að framangreindu virtu er það niðurstaða Persónuverndar að vinnsla Kópavogsbæjar á persónuupplýsingum grunnskólanemenda í Seesaw-nemendakerfinu hafi ekki byggst á vinnsluheimild samkvæmt 9. gr. laga nr. 90/2018 og 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Af því leiðir jafnframt að vinnslan hafi ekki verið lögmæt, sbr. 1. tölul. 1. mgr. 8. gr. laganna og a-lið 1. mgr. 5. gr. reglugerðarinnar.

4.2.
Tilgangur vinnslu, meðalhóf, lágmörkun gagna og varðveislutími

Persónuupplýsingar skulu fengnar í skýrt tilgreindum og lögmætum tilgangi og ekki unnar frekar á þann hátt að ósamrýmanlegt sé þeim tilgangi, vera nægilegar, viðeigandi og takmarkast við það sem er nauðsynlegt miðað við tilgang vinnslunnar og vera varðveittar í því formi að ekki sé unnt að bera kennsl á skráða einstaklinga lengur en þörf krefur miðað við þann tilgang, sbr. 2., 3. og 5. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og b-, c- og e-liði 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Samkvæmt ábyrgðarskyldu 2. mgr. 8. gr. laganna og 2. mgr. 5. gr. reglugerðarinnar þurfa ábyrgðaraðilar einnig að geta sýnt fram á að þessum reglum sé fylgt.

Hvað varðveislutímann varðar kemur fram í svörum Kópavogsbæjar að námsgögnum úr Seesaw-nemendakerfinu sé almennt eytt þremur mánuðum eftir að skólagöngu lýkur, en kunni í einhverjum tilvikum að teljast skilaskyld samkvæmt lögum nr. 77/2014 um opinber skjalasöfn, líkt og gildi um önnur námsgögn í skólastarfi. Telur Persónuvernd ekki tilefni til að gera athugasemd við þetta fyrirkomulag, að því marki sem um skilaskyld gögn er að ræða.

Hins vegar er til þess að líta að í kafla III.4.1. hér á undan er fjallað um söfnun persónuupplýsinga í annálagögnum og staðsetningargögnum, sem teljast ekki óhjákvæmileg fyrir virkni kerfisins. Sú vinnsla var ekki álitin nauðsynleg í þágu þess að sveitarfélagið sinnti lögbundnum verkefnum sínum samkvæmt ákvæðum laga nr. 91/2008, að teknu tilliti til þess í hvaða tilgangi umræddar upplýsingar eru notaðar af hálfu Seesaw. Vinnsla þessara upplýsinga fer að því leyti fram í öðrum og ósamrýmanlegum tilgangi miðað við hinn upphaflega, sbr. 2. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og b-liði 1. mgr. 5. gr. reglugerðar (ESB) 2016/679.

Þegar hefur verið komist að þeirri niðurstöðu að tilgangur þeirrar vinnslu sem hér er til umfjöllunar, þ.e. sú vinnsla sem fellur undir sameiginlega ábyrgð Kópavogsbæjar, hafi ekki verið nægilega skýrt afmarkaður, þar sem Seesaw geti tekið einhliða ákvörðun um breyttan tilgang vinnslunnar, sbr. umfjöllun í kafla III.4.1. hér að framan. Með hliðsjón af því og framangreindum ákvæðum er það einnig niðurstaða Persónuverndar að tilgangur vinnslunnar hafi ekki verið nægilega skýrt afmarkaður til þess að unnt sé að meta hvaða persónuupplýsingar eru nægilegar og viðeigandi fyrir vinnsluna eða hversu lengi er rétt að varðveita þær, sbr. 2., 3. og 5. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og b-, c- og e-liði 1. mgr. 5. gr. reglugerðar (ESB) 2016/679.

Að framangreindu virtu hefur Kópavogsbær ekki sýnt fram á að vinnslan hafi samrýmst 2., 3. og 5. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og b-, c- og e-liðum 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, sbr. 2. mgr. ákvæðanna.

4.3.
Sanngjörn og gagnsæ vinnsla

Persónuupplýsingar skulu unnar með sanngjörnum og gagnsæjum hætti gagnvart skráðum einstaklingum, sbr. 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og a-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Krafan um sanngjarna og gagnsæja vinnslu persónuupplýsinga felur meðal annars í sér að einstaklingum á að vera það ljóst þegar persónuupplýsingum um þá er safnað, þær notaðar, skoðaðar eða unnar á annan hátt. Einnig á þeim að vera ljóst að hvaða marki persónuupplýsingar eru eða munu verða unnar. Hvers kyns upplýsingar og samskipti, sem tengjast vinnslunni, skulu jafnframt vera auðveldlega aðgengileg og auðskiljanleg og á skýru og einföldu máli. Á þetta einkum við um upplýsingar til skráðra einstaklinga um meðal annars hver ábyrgðaraðilinn er og tilganginn með vinnslunni. Þá skal gera einstaklingum ljósa áhættu, reglur, verndarráðstafanir og réttindi í tengslum við vinnslu persónuupplýsinga og hvernig þeir geta neytt réttar síns í tengslum við vinnsluna.

Þegar hefur verið komist að þeirri niðurstöðu að ekki liggi skýrt fyrir hver ber ábyrgð á söfnun annálagagna og staðsetningargagna, sem eru ekki talin nauðsynleg fyrir virkni Seesaw-nemendakerfisins, og að í því sambandi hafi skort samkomulag milli Kópavogsbæjar og Seesaw um vinnsluna sem skýri hver beri ábyrgð á umræddri vinnslu gagnvart hinum skráðu. Samkvæmt 2. mgr. 26. gr. reglugerðar (ESB) 2016/679 skal megininntak slíks samkomulags vera aðgengilegt hinum skráðu. Í þeirri kröfu felst ekki að samkomulagið sjálft sé gert aðgengilegt heldur megininntak þess og ætti slík samantekt a.m.k. að endurspegla þau atriði sem vísað er til í 13. gr. og 14. gr. reglugerðarinnar, sbr. 1. mgr. 26. gr. reglugerðarinnar. Af meginreglunni um sanngjarna og gagnsæja vinnslu, eins og hún verður skýrð með hliðsjón af 1. mgr. 12. gr. reglugerðarinnar, leiðir að slík samantekt hefði jafnframt þurft að vera aðgengileg hinum skráðu á einum stað, t.d. á vefsíðu Kópavogsbæjar, og á íslensku. Í þessu sambandi telur Persónuvernd tilefni til að árétta að sú krafa verður að öllu jöfnu ekki gerð að megininntak vinnslusamnings sé gert aðgengilegt hinum skráðu, nema að því tilskildu að hann geymi ákvæði um skiptingu sameiginlegar ábyrgðar og að öðru sérstöku samkomulagi þar að lútandi sé ekki til að dreifa. Eins og hér háttar til liggur hins vegar ekki fyrir að samantekt af þessum toga hafi verið gerð aðgengileg fyrir skráða einstaklinga.

Við mat á því hvort skilyrði 1. tölul. 1. mgr. 8. gr. laganna og a-liðar 1. mgr. 5. gr. reglugerðarinnar um gagnsæi sé uppfyllt skal jafnframt hafa hliðsjón af 12.-14. gr. reglugerðarinnar um gagnsæi og fræðslu til skráðra einstaklinga. Í 1. og 2. mgr. 13. gr. reglugerðarinnar er fjallað um þær upplýsingar sem ber að veita við öflun persónuupplýsinga hjá skráðum einstaklingi. Þar segir meðal annars að ábyrgðaraðili skuli skýra frá tilgangi með fyrirhugaðri vinnslu og hver lagagrundvöllur hennar er (c-liður 1. mgr.), hverjir viðtakendur persónuupplýsinga eru (e-liður 1. mgr.), hvort persónuupplýsingum sé miðlað til þriðja lands (f-liður 1. mgr.), hversu lengi persónuupplýsingar eru varðveittar (a-liður 2. mgr.) og hver séu réttindi hinna skráðu (b-liður 2. mgr.).

Í svörum Kópavogsbæjar er vísað til þess að fræðsla til foreldra og nemenda hafi tekið til þess hvernig vinnsla persónuupplýsinga fari fram, þ.e með hvaða upplýsingar sé unnið og í hvaða tilgangi. Í fræðsluefni Kópavogsbæjar er að auki vikið að rétti til að eyða upplýsingum, æski foreldri eða forráðamaður þess. Þá hefur fyrirliggjandi fræðsluefni að geyma hlekk á persónuverndarstefnu Seesaw og grein á vefsíðu Seesaw þar sem greint er frá því hvaða gögn eru varðveitt, sbr. nánari umfjöllun í kafla II.5.3.

Af gögnum málsins verður hins vegar ekki séð að veittar hafi verið aðrar upplýsingar um vinnsluna, svo sem um viðtakendur persónuupplýsinga eða miðlun persónuupplýsinga til þriðju landa, en fyrir liggur að persónuupplýsingum er miðlað til Bandaríkjanna og að undirvinnsluaðilar Seesaw eru 35 talsins, þar af 34 í Bandaríkjunum. Að auki er ekki fjallað um hversu lengi persónuupplýsingar eru varðveittar eða um réttindi hinna skráðu, að því frátöldu að hægt sé að fara fram á að tilteknum upplýsingum verði eytt úr kerfinu. Með hliðsjón af framangreindu telur Persónuvernd skorta á að veittar hafi verið fullnægjandi upplýsingar um vinnslu persónuupplýsinga í Seesaw-nemendakerfinu. Skilyrði 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og a-liðar 1. mgr. 5. gr. reglugerðar (ESB) 2016/679 um gagnsæja vinnslu teljast að þessu leyti ekki vera uppfyllt.

Þá verður umfjöllun um persónuvernd í lok fræðsluefnis Kópavogsbæjar, þar sem vísað er til þess að Seesaw fylgi evrópskum persónuverndarlögum, talin villandi og að því leyti ekki í samræmi við áskilnað 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og a-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679 um gagnsæja og sanngjarna vinnslu, með hliðsjón af fyrri ákvörðun Persónuverndar í máli nr. 2021040879. Er í því sambandi litið til þess að vinnsla persónuupplýsinga grunnskólanemenda Kópavogsbæjar í Seesaw-nemendakerfinu er að miklu sambærileg þeirri vinnslu persónuupplýsinga sem Reykjavíkurborg hafði með höndum í tilvísuðu máli.

Að framangreindu virtu hefur Kópavogsbær ekki uppfyllt ábyrgðarskyldur sínar samkvæmt 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og a-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679.

5.
Öryggi

Ábyrgðaraðilar og vinnsluaðilar skulu gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja viðunandi öryggi persónuupplýsinga með hliðsjón af nýjustu tækni, kostnaði við framkvæmd, eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu, mislíklegri og misalvarlegri, fyrir réttindi og frelsi einstaklinga, sbr. 1. mgr. 27. gr. laga nr. 90/2018 og 1. mgr. 32. gr. reglugerðar (ESB) 2016/679. Meðal þeirra ráðstafana sem gera skal, eftir því sem við á, er að nota gerviauðkenni og dulkóða persónuupplýsingar, tryggja viðvarandi trúnað, samfellu, tiltækileika og álagsþol vinnslukerfa og þjónustu, geta gert persónuupplýsingar tiltækar og endurheimt aðgang að þeim tímanlega ef til kemur efnislegt eða tæknilegt atvik, og taka upp ferla til að prófa og meta reglulega skilvirkni tæknilegra og skipulagslegra ráðstafana til að tryggja öryggi vinnslunnar. Þegar viðunandi öryggi er metið skal einkum hafa hliðsjón af þeirri áhættu sem vinnslan hefur í för með sér, einkum að því er varðar óviljandi eða ólögmæta eyðingu persónuupplýsinga eða að þær glatist, breytist, verði birtar eða veittur aðgangur að þeim í leyfisleysi, sbr. 2. mgr. 32. gr. reglugerðarinnar.

5.1.
Mat á áhrifum á persónuvernd

Í fyrrgreindri ákvörðun Persónuverndar í máli nr. 2021040879 komst stofnunin að þeirri niðurstöðu að vinnsla persónuupplýsinga í Seesaw-nemendakerfinu af hálfu Reykjavíkurborgar hefði krafist mats á áhrifum á persónuvernd samkvæmt 4., 8. og 9. tölul. 3. gr. auglýsingar nr. 828/2019, sbr. 2. mgr. 29. gr. laga nr. 90/2018 og 4. mgr. 35. gr. reglugerðar (ESB) 2016/679. Um þetta atriði vísast nánar til umfjöllunar í kafla III.4.4. í þeirri ákvörðun. Persónuvernd telur að sömu röksemdir eigi við varðandi þá vinnslu persónuupplýsinga sem til umfjöllunar er í fyrirliggjandi máli.

Ef líklegt er að vinnsla persónuupplýsinga geti haft í för með sér mikla áhættu fyrir réttindi og frelsi einstaklinga, einkum þar sem beitt er nýrri tækni og með hliðsjón af eðli, umfangi, samhengi og tilgangi vinnslunnar, skal ábyrgðaraðili láta fara fram mat á áhrifum fyrirhugaðra vinnsluaðgerða á vernd persónuupplýsinga áður en vinnslan hefst og getur eitt mat tekið til nokkurra svipaðra vinnsluaðgerða sem geta haft í för með sér svipaða áhættuþætti, sbr. 1. mgr. 29. gr. laga nr. 90/2018 og 1. mgr. 35. gr. reglugerðar (ESB) 2016/679.

Í mati á áhrifum á persónuvernd skal meta áhrif fyrirhugaðra vinnsluaðgerða á vernd persónuupplýsinga áður en vinnsla hefst, sbr. 1. mgr. 29. gr. laga nr. 90/2018 og 1. mgr. 35. gr. reglugerðar (ESB) 2016/679. Ábyrgðaraðilar geta notfært sér mismunandi aðferðarfræði við framkvæmd matsins en samkvæmt 84. lið formálsorða reglugerðarinnar ætti einkum að meta uppruna, eðli, sérkenni og alvarleika þeirrar áhættu sem leiðir af vinnsluaðgerðum. Samkvæmt 90. lið formálsorða reglugerðarinnar ætti matið einkum að fela í sér ráðstafanir, verndarráðstafanir og fyrirkomulag sem er ætlað að draga úr þessari áhættu, tryggja vernd persónuupplýsinga og sýna fram á að farið sé að reglugerðinni. Samkvæmt 7. mgr. 35. gr. reglugerðarinnar skal mat á áhrifum á persónuvernd að lágmarki innihalda kerfisbundna lýsingu á fyrirhuguðum vinnsluaðgerðum og tilganginum með vinnslunni (a-liður ákvæðisins), mat á því hvort vinnsluaðgerðirnar eru nauðsynlegar og hóflegar miðað við tilganginn með þeim (b-liður), mat á áhættu fyrir réttindi og frelsi skráðra einstaklinga (c-liður) og lýsingu á þeim ráðstöfunum sem fyrirhugað er að grípa til gegn slíkri áhættu, þ.m.t. verndarráðstafanir, öryggisráðstafanir og fyrirkomulag við að tryggja vernd persónuupplýsinga (d-liður).

Ítarleg grein er gerð fyrir matinu sem Kópavogsbær framkvæmdi á áhrifum á persónuvernd vegna vinnslu persónuupplýsinga í Seesaw-nemendakerfinu í kafla II.6.1. hér að framan. Í matinu eru taldir upp tilteknir áhættuþættir, sú vinnsluaðgerð sem áhættan varðar, mögulegar afleiðingar áhættunnar, áhættustig (lágt, meðal eða hátt) og þær ráðstafanir sem sveitarfélagið hefur innleitt til að draga úr þeirri áhættu.

Í mati Kópavogsbæjar er fjallað um þá áhættu að nemendur setji persónuupplýsingar í verkefni í kerfinu, þ. á m. viðkvæmar persónuupplýsingar, og að ítarlegri persónuupplýsingar séu því unnar en ella væri. Sá áhættuþáttur fær „hátt“ áhættustig samkvæmt mati sveitarfélagsins. Áhættan af því að nemendur skrifi um persónulega hagi sína eða fjölskyldu sinnar, að nemendur segi frá persónulegum hlutum í hljóðskrá, að nemendur setji inn mynd eða myndband sem sé persónulegs eðlis eða að nemendur sendi skilaboð á kennara sem innihaldi persónuupplýsingar fær hins vegar „lágt“ áhættustig og tekur ekki mið af því að viðkvæmar persónuupplýsingar geti verið skráðar. Umræddir áhættuþættir virðast því ekki hafa verið metnir með samræmdum hætti. Líkt og greint er frá í leiðbeiningum til kennara („Hvað er Seesaw?“), þá eru sjálfstæð vinnubrögð nemenda og kennsla á verkfæri Seesaw-nemendakerfisins grundvallaratriði sem hafa þarf í huga við notkun kerfisins í skólastarfi. Því verður ekki séð hvað skýrir umræddan mun á áhættumati. Líkt og Persónuvernd hefur þegar komist að er það mat stofnunarinnar að viðkvæmar persónuupplýsingar eða upplýsingar er varða hrein einkamálefni hinna skráðu kunni í einhverjum tilvikum að hafa verið skráðar í Seesaw-nemendakerfið, sbr. umfjöllun í kafla III.1. Þá er í matinu ekki vikið að áhrifum þessara áhættuþátta á réttindi og frelsi hinna skráðu, sbr. c-lið 7. mgr. 35. gr. reglugerðar (ESB) 2016/679.

Samkvæmt fyrirliggjandi vinnsluskrá og vinnslusamningi er ljóst að persónuupplýsingum er miðlað til Bandaríkjanna. Í mati Kópavogsbæjar á áhrifum á persónuvernd fær sú áhætta einkunnina „meðal“ að upplýsingar um nemendur verði aðgengilegar óviðkomandi í þriðja landi, en sú áhætta að erlendar eftirlitsstofnanir hafi mögulega aðgang að gögnum í kerfinu fær einkunnina „lágt“. Í svörum Kópavogsbæjar er jafnframt greint frá þeim ráðleggingum persónuverndarfulltrúa sveitarfélagsins að notast ekki við lausn sem vistar gögn í þriðja landi. Í mati Kópavogsbæjar er greint frá því að til staðar séu stöðluð samningsákvæði um flutning persónuupplýsinga til þriðju landa og að gögn séu dulkóðuð í flutningi jafnt sem hvíld. Sú dulkóðun sem Seesaw hefur innleitt telst hins vegar ekki fullnægjandi verndarráðstöfun, líkt og nánar verður vikið að í kafla III.6 hér á eftir. Með hliðsjón af því hefur Kópavogsbær ekki brugðist við greindri áhættu með fullnægjandi hætti. Auk þess hefur ekki farið fram mat á þessari áhættu fyrir réttindi og frelsi hinna skráðu, sbr. c-lið 7. mgr. 35. gr. reglugerðar (ESB) 2016/679.

Í mati Kópavogsbæjar er að auki greint frá þeirri áhættu að annálagögn, sem verða til þegar notendur tengjast Seesaw-nemendakerfinu, séu mögulega varðveitt í þriðja landi með tengingu við persónuupplýsingar. Sú áhætta fær „hátt“ áhættustig. Vísað er til þess að sveitarfélagið hafi takmarkað þær persónuupplýsingar sem skráðar eru í kerfið til að bregðast við þessari áhættu. Að auki hafi verið gerður viðauki við vinnslusamning aðila sem takmarki söfnun annálagagna þannig að þau séu einungis „tengd við viðkomandi land“ og því ekki safnað með nákvæmari hætti. Samkvæmt vinnslusamningi aðila vinnur Seesaw annálagögn (e. log data), sem eru varðveitt í Bandaríkjunum, sbr. fylgiskjal A við vinnslusamninginn. Annálagögn eru skilgreind í persónuverndarstefnu Seesaw, en þar segir að meðal annars sé átt við IP-tölur, smygildaauðkenni (e. cookie identifiers), tegund vafra, stýrikerfi, upplýsingar um tæki og símaþjónustu, vefsíður heimsóttar innan kerfisins, vefsíður sem leiða inn á kerfið, leitarskilyrði notuð til að fara inn á kerfið og aðrar upplýsingar um samskipti (e. interactions) notanda við Seesaw-nemendakerfið. Jafnframt verður ekki séð að vinnsla annálagagna hafi verið takmörkuð með viðauka við vinnslusamning aðila, en í viðauka er aðeins fjallað um vinnslu staðsetningargagna. Af framangreindu virtu hefur Kópavogsbær ekki brugðist við tilgreindri áhættu með fullnægjandi hætti. Þá hefur ekki farið fram mat á þeirri áhættu sem felst í söfnun annálagagna og staðsetningargagna á réttindi og frelsi hinna skráðu, sbr. c-lið 7. mgr. 35. gr. reglugerðar (ESB) 2016/679.

Enn fremur inniheldur fyrirliggjandi mat ekki kerfisbundna lýsingu á fyrirhuguðum vinnsluaðgerðum og tilganginum með vinnslunni, né heldur mat á því hvort einstakar vinnsluaðgerðir séu nauðsynlegar og hóflegar miðað við tilgang þeirra, líkt og áskilið er samkvæmt a- og b-liðum 7. mgr. 35. gr. reglugerðar (ESB) 2016/679. Þrátt fyrir að afleiðingar einstakra áhættuþátta séu tilgreindar skortir verulega á að lagt sé mat á áhættu fyrir réttindi og frelsi skráðra einstaklinga, sbr. c-lið 7. mgr. 35. gr. reglugerðarinnar.

Að mati Persónuverndar skortir að auki umfjöllun um áhættu vegna undirvinnsluaðila í fyrirliggjandi mati á áhrifum á persónuvernd, en ljóst er að Seesaw hefur samið við 35 undirvinnsluaðila sem eru allir staðsettir utan Evrópu, þar af 34 í Bandaríkjunum. Þá er ekki vikið að áhættu samfara tengingu Seesaw-nemendakerfisins við þau tæki sem forritið er notað í og mögulegri miðlun persónuupplýsinga milli kerfa, en Persónuvernd áleit þó mat á þessari áhættu nauðsynlegt í fyrrgreindri ákvörðun í máli nr. 2021040879, sbr. kafla III.4.4.1. í henni.

Í svörum Kópavogsbæjar er vísað til þess að mat á áhrifum á persónuvernd vegna vinnslu persónuupplýsinga í Seesaw-nemendakerfinu hafi verið yfirfarið í kjölfar títtnefndrar ákvörðunar Persónuverndar í máli nr. 2021040879. Þó er að mati Persónuverndar ljóst er að fyrirliggjandi mat Kópavogsbæjar er að mörgu leyti háð sömu ágöllum og mat Reykjavíkurborgar í umræddu máli. Því verður ekki séð að Kópavogsbær hafi tekið nægt tillit til þeirra athugasemda sem Persónuvernd gerði þar.

Með hliðsjón af framangreindu verður fyrirliggjandi mat ekki talið standast lágmarkskröfur 35. gr. reglugerðar (ESB) 2016/679, sbr. 1. mgr. 29. gr. laga nr. 90/2018.

5.2.
Viðeigandi öryggisráðstafanir

Það heyrir undir ábyrgðarskyldu ábyrgðaraðila að tryggja öryggi persónuupplýsinga, sbr. 6. tölul. 1. mgr. 8. gr. og 23. gr. laga nr. 90/2018 og f-lið 1. mgr. 5. gr. og 1. mgr. 24. gr. reglugerðar (ESB) 2016/679.

Þegar ábyrgðaraðili ákveður að fela vinnsluaðila að vinna fyrir sig persónuupplýsingar skal ábyrgðaraðilinn einungis leita til vinnsluaðila sem veita nægilegar tryggingar fyrir því að þeir geri viðeigandi tæknilegar og skipulagslegar ráðstafanir til að vinnslan uppfylli kröfur reglugerðar (ESB) 2016/679 og að vernd réttinda skráðra einstaklinga sé tryggð, sbr. 1. mgr. 25. gr. laga nr. 90/2018 og 1. mgr. 28. gr. reglugerðarinnar.

Samkvæmt vinnsluskrá Kópavogsbæjar fela öryggisráðstafanir sveitarfélagsins í sér aðgangsstýringar, fræðslu um notkun kerfisins, sérstakar stillingar varðandi notkunarmöguleika, leiðbeiningar og rýni kennara á efni sem sett er inn.

Í svörum sveitarfélagsins er jafnframt gerð grein fyrir því að sveitarfélagið leggi áherslu á að þeir skýjaþjónustuveitendur sem gengið er til samninga við séu með eigin vöktun á framkvæmd þeirra skipulagslegu og tæknilegu ráðstafana sem eru á þeirra ábyrgð eftir að fyrirmæli hafa verið gefin um uppsetningu eða með vinnslusamningi við upphaf viðskiptasambandsins.

Í fylgiskjali B við vinnslusamning aðila er kveðið á um þær öryggisráðstafanir sem Seesaw hefur innleitt og viðheldur, meðal annars hvað varðar dulkóðun gagna í flutningi og hvíld, úttektir á öryggi, öryggi gagnavera, aðgangsstýringar og trúnaðaryfirlýsingar starfsmanna fyrirtækisins, sbr. nánari umfjöllun í kafla II.6.2. Að mati Persónuverndar gefa þessar upplýsingar almennt til kynna að upplýsingaöryggi sé fullnægjandi hjá Seesaw, sbr. 1. mgr. 27. gr. laga nr. 90/2018 og 1. mgr. 32. gr. reglugerðar (ESB) 2016/679, sbr. þó umfjöllun hér á eftir varðandi miðlun persónuupplýsinga til þriðju landa. Þá verður talið að Kópavogsbær hafi tekið afstöðu til þeirra öryggisráðstafana sem viðhafðar eru hjá Seesaw með því að samþykkja þjónustuskilmála fyrirtækisins og með undirritun vinnslusamnings, þ. á m. fylgiskjala hans.

6.
Miðlun persónuupplýsinga til Bandaríkjanna

Miðlun persónuupplýsinga til þriðja lands, þ.e. lands utan Evrópska efnahagssvæðisins, er aðeins heimil ef farið er að ákvæðum V. kafla reglugerðar (ESB) 2016/679, en þeim kafla er ætlað að tryggja fullnægjandi vernd við miðlun persónuupplýsinga til þriðju landa eða alþjóðastofnana, sbr. 44. gr. reglugerðarinnar. Í tilvísuðu ákvæði kemur jafnframt fram að beita skuli öllum ákvæðum kaflans þannig að tryggja megi að ekki sé grafið undan vernd einstaklinga sem tryggð er með reglugerðinni.

Samkvæmt fyrirliggjandi vinnsluskrá og vinnslusamningi er persónuupplýsingum miðlað til Bandaríkjanna. Styðst sú miðlun við stöðluð samningsákvæði um flutning persónuupplýsinga til þriðju landa, sbr. c-lið 2. mgr. 46. gr. reglugerðar (ESB) 2016/679, en þeir skilmálar fylgja með vinnslusamningnum.

Ábyrgðaraðila er því aðeins heimilt að miðla persónuupplýsingum til viðtökulands, sem telst ekki tryggja fullnægjandi vernd, að hann hafi gert viðeigandi verndarráðstafanir og að fyrir hendi séu framfylgjanleg réttindi og skilvirk lagaleg úrræði fyrir skráða einstaklinga, sbr. 1. mgr. 46. gr. reglugerðar (ESB) 2016/679. Samkvæmt c-lið 2. mgr. sömu greinar, geta viðeigandi verndarráðstafanir falist í stöðluðum samningsákvæðum um miðlun persónuupplýsinga til þriðju landa. Þegar stuðst er við tilvísað ákvæði þarf jafnframt að huga að fyrrgreindri 44. gr. reglugerðarinnar sem kveður meðal annars á um að miðlun persónuupplýsinga megi ekki grafa undan þeirri vernd sem reglugerðinni er ætlað að tryggja.

Í dómi Evrópudómstólsins frá 16. júlí 2020 í máli nr. C-311/18 (Schrems II) er vísað til þess að við miðlun persónuupplýsinga til þriðju landa þurfi að tryggja sambærilega vernd og almenna persónuverndarreglugerðin kveður á um, óháð því hvaða ákvæði V. kafla reglugerðar (ESB) 2016/679 stuðst er við, en sá áskilnaður leiðir af 44. gr. reglugerðarinnar. Styðjist ábyrgðaraðili við staðlaða samningsskilmála við flutning persónuupplýsinga til þriðja lands, þarf ábyrgðaraðili því að tryggja í framkvæmd að skilmálarnir veiti sambærilega vernd og almenna persónuverndarreglugerðin kveður á um. Við ákvörðun um hvort undirgangast skuli staðlaða samningsskilmála þurfa ábyrgðaraðilar því að leggja mat á hvort viðtökulandið veiti fullnægjandi vernd. Við slíkt mat skal meðal annars huga að aðstæðum og lagaumhverfi í viðkomandi landi, sér í lagi hvað varðar persónuvernd. Í þessu sambandi var í dómi Evrópudómstólsins sérstaklega nefnt að í Bandaríkjunum hafa eftirlitsstofnanir víðtækar heimildir, samkvæmt lögum, til að nota persónuupplýsingar sem fluttar eru frá Evrópusambandinu til Bandaríkjanna án þess að þurfa að gæta að persónuvernd einstaklinga. Af dóminum má jafnframt ráða að ef stöðluð samningsákvæði geta ekki komið í veg fyrir aðgang erlendra eftirlitsstofnana þurfi ábyrgðaraðilar að innleiða viðbótarverndarráðstafanir samhliða stöðluðum samningsskilmálum til þess að tryggja í framkvæmd að skilmálarnir veiti nægilega vernd.

Í tilmælum Evrópska persónuverndarráðsins frá 18. júní 2020 nr. 1/2020 um ráðstafanir til flutnings persónuupplýsinga úr landi (e. Recommendations on measures that supplement transfer tools to ensure compliance with EU level of protection of personal data) er með nánari hætti útfært hverju ábyrgðaraðilum ber að gæta að við flutning persónuupplýsinga til þriðju landa, meðal annars með hliðsjón af framangreindum dómi Evrópudómstólsins. Hvað varðar mögulegan aðgang erlendra eftirlitsstofnana að persónuupplýsingum sem miðlað er til þriðju landa segir í tilmælunum að samningsbundnar og skipulagslegar viðbótarráðstafanir dugi almennt ekki til að koma í veg fyrir slíkan aðgang, heldur þurfi jafnframt að innleiða tæknilegar ráðstafanir, svo sem dulkóðun. Hins vegar hefur Evrópska persónuverndarráðið jafnframt bent á að það geti reynst verulega erfitt í tengslum við SaaS-skýjalausnir (Software as a Service-lausnir), þ.e. lausnir sem veita notendum möguleikann á að nota tiltekinn hugbúnað eftir þörfum, að innleiða viðbótarráðstafanir sem veiti fullnægjandi vernd. Miðli ábyrgðaraðili persónuupplýsingum til skýjaþjónustuveitanda, sem þarf aðgang að persónuupplýsingum ódulkóðuðum (e. in the clear), þá veiti dulkóðun í flutningi og í hvíld ekki viðeigandi vernd, enda hafi skýjaþjónustuveitandi aðgang að dulkóðunarlyklinum og persónuupplýsingunum ódulkóðuðum.

Samkvæmt fylgiskjali A við vinnslusamning aðila eru innskráningarupplýsingar, annálagögn og upplýsingar úr verkefnum notenda varðveittar í Bandaríkjunum. Í fylgiskjali B kemur fram að persónugreinanlegar upplýsingar séu dulkóðaðar í hvíld og að innskráningarupplýsingar og upplýsingar úr verkefnum notenda séu dulkóðaðar í flutningi. Hins vegar verður ekki ráðið af skjalinu að annálagögn séu dulkóðuð í flutningi, þrátt fyrir að slík gögn séu jafnframt varðveitt í Bandaríkjunum. Þá hefur ekki komið fram af hálfu Kópavogsbæjar að persónuupplýsingar, sem unnar eru af undirvinnsluaðilum Seesaw, séu dulkóðaðar. Hins vegar er vísað til þess í svörum Kópavogsbæjar að persónuupplýsingar séu gerðar ópersónugreinanlegar þegar þær eru notaðar í tilteknum tilgangi, þ.e. til þess að greina notkun á þjónustu í skólum sveitarfélagsins og til þess að skilja hvernig megi betrumbæta þjónustuna.

Ljóst er af fyrrgreindum dómi Evrópudómstólsins frá 16. júlí 2020 í máli nr. C-311/18 og tilmælum Evrópska persónuverndarráðsins frá 18. júní 2020 nr. 1/2020 að ábyrgðaraðila ber að tryggja að þær viðbótarverndarráðstafanir sem innleiddar eru vegna miðlunar persónuupplýsinga til þriðja lands séu fullnægjandi. Líkt og að framan greinir er í þessu tilviki stuðst við dulkóðun í hvíld, auk þess sem tilteknar upplýsingar eru dulkóðaðar í flutningi. Með hliðsjón af því að Seesaw-nemendakerfið er SaaS-skýjalausn telur Persónuvernd að leggja verði til grundvallar að til þess að dulkóðun geti skilað viðeigandi vernd þurfi allar persónuupplýsingar sem fluttar eru til Bandaríkjanna að vera dulkóðaðar í flutningi, í hvíld og að öðru leyti þegar þær eru í notkun. Að auki er mikilvægt að dulkóðunarlykillinn sé varðveittur með viðeigandi hætti sem tryggi að dulkóðun veiti persónuupplýsingum í reynd þá vernd sem stefnt er að. Í ljósi þess að gögn málsins bera með sér að þetta hafi ekki verið gert þykir að mati Persónuverndar ekki fært að líta svo á að þær verndarráðstafanir sem gerðar eru vegna flutnings hafi verið fullnægjandi. Þá verður ekki talið að persónuupplýsingar, notaðar í þeim tilgangi að greina þjónustuna og til þess að betrumbæta hana, hafi verið aftengdar einstaklingum þannig að ekki sé lengur unnt að persónugreina hina skráðu, enda er tæknilega gerlegt að tengja upplýsingarnar aftur við auðkenni notenda (e. re-identify), sbr. ákvæði 1.2 í þjónustusamningi aðila.

Að öllu framangreindu virtu hefur Kópavogsbær ekki tryggt öruggan flutning persónuupplýsinga til Bandaríkjanna, sbr. 46. gr. reglugerðar (ESB) 2016/697, enda voru fullnægjandi viðbótarverndarráðstafanir ekki innleiddar. Af því leiðir jafnframt að vinnslan samrýmdist ekki ákvæði 44. gr. reglugerðarinnar.

7.
Samantekt niðurstöðu og fyrirmæli

Persónuvernd hefur komist að þeirri niðurstöðu að vinnsla persónuupplýsinga grunnskólanemenda í Seesaw-nemendakerfinu á vegum Kópavogsbæjar hafi ekki verið í samræmi við ákvæði persónuverndarlöggjafarinnar.

Í fyrsta lagi var vinnslusamningur Kópavogsbæjar við Seesaw ekki í samræmi við ákvæði a-liðar 3. mgr. 28. gr. reglugerðar (ESB) 2016/679, sbr. 3. mgr. 25. gr. laga nr. 90/2018. Þá liggur ekki fyrir samkomulag um sameiginlega ábyrgð varðandi vinnslu annálagagna og staðsetningargagna sem eru ekki óhjákvæmileg fyrir virkni kerfisins, samkvæmt 1. mgr. 26. gr. reglugerðarinnar, sbr. 23. gr. laganna. Af því leiðir jafnframt að Kópavogsbær gætti ekki að fyrirmælum 2. mgr. 26. gr. reglugerðarinnar um að megininntak slíks samkomulags skuli gert aðgengilegt hinum skráðu.

Í öðru lagi rúmaðist vinnsla Kópavogsbæjar á persónuupplýsingum grunnskólanemenda í Seesaw-nemendakerfinu ekki að öllu leyti innan þeirra lögbundnu verkefna sem sveitarfélaginu eru falin með lögum nr. 91/2008. Því gat vinnslan ekki verið heimil á grundvelli á 5. tölul. 9. gr. laga nr. 90/2018 og e-liðar 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Af því leiðir jafnframt að vinnslan var ekki lögmæt, sbr. 1. tölul. 1. mgr. 8. gr. laganna, sbr. a-lið 1. mgr. 5. gr. reglugerðarinnar.

Í þriðja lagi uppfyllti Kópavogsbær ekki ábyrgðarskyldur sínar samkvæmt 2., 3. og 5. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og b-, c- og e-liðum 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, sbr. 2. mgr. ákvæðanna, þ.e. þeim kröfum að persónuupplýsingar skuli fengnar í skýrt tilgreindum og lögmætum tilgangi og ekki unnar frekar á þann hátt að ósamrýmanlegt sé þeim tilgangi, að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar og að ekki skuli vera unnt að bera kennsl á skráða einstaklinga lengur en þörf krefur miðað við tilgang vinnslunnar.

Í fjórða lagi uppfyllti Kópavogsbær ekki ábyrgðarskyldur sínar samkvæmt 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og a-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, sbr. 2. mgr. ákvæðanna, þ.e. þeirri kröfu að persónuupplýsingar skuli unnar með sanngjörnum og gagnsæjum hætti.

Í fimmta lagi stóðst mat á áhrifum á persónuvernd sem Kópavogsbær gerði vegna vinnslunnar ekki lágmarkskröfur 35. gr. reglugerðar (ESB) 2016/679, sbr. 1. mgr. 29. gr. laga nr. 90/2018.

Í sjötta lagi tryggði Kópavogsbær ekki öruggan flutning persónuupplýsinga til Bandaríkjanna, sbr. 46. gr. reglugerðar (ESB) 2016/679, og braut því gegn ákvæði 44. gr. reglugerðarinnar.

Með hliðsjón af eðli og umfangi brota Kópavogsbæjar, sem og að teknu tilliti til þess að hinir skráðu eru börn, eðlis þeirra upplýsinga sem um ræðir og umfangs vinnslunnar, og með vísan til 6. og 7. tölul. 42. gr. laga nr. 90/2018, er að mati Persónuverndar óhjákvæmilegt að leggja fyrir Kópavogsbæ að loka reikningum nemenda í Seesaw-nemendakerfinu og sjá til þess að öllum persónuupplýsingum þeirra verði eytt úr kerfinu. Kópavogsbær skal þó áður sjá til þess að hafa tekið afrit af upplýsingunum til að afhenda nemendum eða, eftir atvikum, til varðveislu í skólunum. Eins og hér háttar til er það mat Persónuverndar að persónuvernd nemenda verði ekki tryggð með öðrum hætti.

Staðfesting á því að farið hafi verið að þessum fyrirmælum skal berast Persónuvernd eigi síðar en 2. júní 2023.

 

IV.
Beiting viðurlaga
1.
Sjónarmið við beitingu viðurlaga

Að öllu framangreindu virtu kemur til skoðunar hvort leggja skuli stjórnvaldssekt á Kópavogsbæ á grundvelli 46. gr. laga nr. 90/2018, sbr. 83. gr. reglugerðar (ESB) 2016/679.

Sekt samkvæmt 2. mgr. 46. gr. laganna getur numið allt frá 100.000 krónum til 1,2 milljarða króna eða allt að 2% af árlegri heildarveltu fyrirtækis á heimsvísu, þegar brotið hefur verið gegn meðal annars 26., 28. og 35. gr. reglugerðarinnar.

Sekt samkvæmt 3. mgr. 46. gr. laganna getur numið frá 100.000 krónum til 2,4 milljarða króna eða allt að 4% af árlegri heildarveltu fyrirtækis á heimsvísu, þegar brotið hefur verið gegn meðal annars 5., 6., 44. og 46. gr. reglugerðarinnar.

Svo sem greinir í kafla III.7. hér á undan braut Kópavogsbær gegn öllum þeim ákvæðum sem þar eru tilgreind hvað varðar vinnslu persónuupplýsinga grunnskólanemenda í Seesaw-nemendakerfinu.

Við ákvörðun um hvort beita skuli stjórnvaldssekt og hver fjárhæð hennar skuli vera, skal tekið tillit til þeirra þátta sem taldir eru upp í 1. mgr. 47. gr. laga nr. 90/2018, sbr. 2. mgr. 83. gr. reglugerðar (ESB) 2016/679. Með hliðsjón af þeim ákvæðum, telur Persónuvernd að eftirfarandi atriði verði metin Kópavogsbæ til málsbóta við ákvörðun um hvort beita skuli stjórnvaldssekt og hver fjárhæð hennar skuli vera:

1. Ekkert tjón virðist hafa orðið vegna vinnslu persónuupplýsinga grunnskólanemenda Kópavogsbæjar í Seesaw-nemendakerfinu, þótt ekki sé hægt að útiloka það með hliðsjón af því að persónuupplýsingar nemenda voru vistaðar og unnar í óöruggu þriðja landi, þ.e. Bandaríkjunum, án þess að viðeigandi vernd væri tryggð, sbr. 1. tölul. 1. mgr. 47. gr. laganna og a-lið 2. mgr. 83. gr. reglugerðarinnar.

2. Ekkert bendir til annars en að almennt upplýsingaöryggi Seesaw sé fullnægjandi, þ.e. að fyrirtækið notist við viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir við vinnslu persónuupplýsinga í samræmi við 1. mgr. 27. gr. laganna og 32. gr. reglugerðarinnar, sbr. 4. tölul. 47. gr. laganna og d-lið 2. mgr. 83. gr. reglugerðarinnar.

3. Kópavogsbær hefur svarað erindum Persónuverndar við meðferð málsins með skýrum og greinargóðum hætti, auk þess sem sveitarfélagið fór að fyrirmælum stofnunarinnar um stöðvun vinnslu persónuupplýsinga grunnskólanemenda í Seesaw-nemendakerfinu, sbr. 6. og 9. tölul. 1. mgr. 47. gr. laganna og f- og i-liði 2. mgr. 83. gr. reglugerðarinnar.

Hins vegar telur Persónuvernd að eftirfarandi atriði geti frekar leitt til þess að stjórnvaldssekt verði beitt og haft áhrif til hækkunar sektar:

1. Kópavogsbær hélt áfram notkun Seesaw-nemendakerfisins þrátt fyrir fyrrgreinda ákvörðun Persónuverndar í máli nr. 2021040879 og án þess að gripið væri til fullnægjandi ráðstafana til að tryggja að vinnsla persónuupplýsinga grunnskólanemenda í kerfinu samrýmdist persónuverndarlöggjöf. Er það mat Persónuverndar að brot Kópavogsbæjar hafi verið framin af stórfelldu gáleysi, sbr. 2. tölul. 1. mgr. 47. gr. laga nr. 90/2018 og b-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, að teknu tilliti til kafla 4.2.2 í leiðbeiningum Evrópska persónuverndarráðsins frá 12. maí 2022 nr. 4/2022 um útreikning stjórnvaldssekta samkvæmt almennu persónuverndarreglugerðinni (e. Guidelines on the calculation of administrative fines under the GDPR).

Í svörum Kópavogsbæjar er greint frá því að persónuverndarfulltrúi sveitarfélagsins hafi, vegna fyrrgreindrar ákvörðunar í máli nr. 2021040879, mælst til þess við grunnskóladeild sveitarfélagsins að notkun Seesaw-nemendakerfisins yrði hætt ef skilmálar yrðu ekki færðir til samræmis við kröfur persónuverndarreglugerðarinnar. Í kjölfarið hafi Kópavogsbæjar gripið til ýmissa ráðstafana til þess að tryggja að notkun kerfisins væri færð nægilega til samræmis við kröfur persónuverndarlöggjafarinnar og að komið væri til móts við helstu athugasemdir Persónuverndar í fyrrgreindu máli. Vinnsla persónuupplýsinga í fyrirliggjandi máli var hins vegar áfram í meginatriðum sömu annmörkum háð og í tilvitnuðu máli. Að mati Persónuverndar hefði Kópavogsbæ því mátt vera ljóst að ekki var komið til móts við þær athugasemdir sem gerðar voru í umræddri ákvörðun og að vinnsla persónuupplýsinga grunnskólanemenda í Seesaw-nemendakerfinu samrýmdist þar af leiðandi ekki lögum nr. 90/2018 og reglugerð (ESB) 2016/679.

2. Brot Kópavogsbæjar vörðuðu persónuupplýsingar barna sem njóta sérstakrar verndar samkvæmt persónuverndarlöggjöfinni og teljast brot á vinnslu þeirra því alvarleg. Einnig er til þess að líta að líkur þóttu á að skráðar yrðu í kerfið viðkvæmar persónuupplýsingar, eins og þær eru skilgreindar í persónuverndarlögunum, og upplýsingar viðkvæms eðlis, eins og til upplýsingar um hrein einkamálefni nemenda, sbr. 1. og 7. tölul. 1. mgr. 47. gr. laganna og a- og g-liði 2. mgr. 83. gr. reglugerðarinnar, sbr. nánari umfjöllun í köflum III.1. og 5.1.

Í svörum Kópavogsbæjar er tekið fram að í langflestum tilvikum hafi engar líkur verið á því að nemendur hafi átt þann möguleika að miðla viðkvæmum upplýsingum eða einkalífsmálefnum inn í verkefni í Seesaw-nemendakerfinu. Samkvæmt fyrirliggjandi mati Kópavogsbæjar á áhrifum á persónuvernd er hins vegar ljóst að sveitarfélagið taldi að þessi hætta væri fyrir hendi. Um þetta atriði vísast nánar til umfjöllunar í köflum III.1. og 2. hér að framan.

3. Áhætta fylgir því að persónuupplýsingar hafi verið fluttar til Bandaríkjanna og unnar þar án þess að gripið hafi verið til viðeigandi verndarráðstafana, sbr. dóm Evrópudómstólsins frá 16. júlí 2020 í máli nr. C-311/18 (Schrems II). Brot þar að lútandi telst því alvarlegt, sbr. 1. og 4. tölul. 1. mgr. 47. gr. laganna og a- og -d liði 2. mgr. 83. gr. reglugerðarinnar.

Með hliðsjón af öllu framangreindu er það niðurstaða Persónuverndar að leggja beri stjórnvaldssekt á Kópavogsbæ. Þykir hún vera hæfilega ákveðin 4.000.000 króna.

Á k v ö r ð u n a r o r ð:

Vinnsla persónuupplýsinga grunnskólanemenda í Seesaw-nemendakerfinu á vegum Kópavogsbæjar samrýmdist ekki lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerð (ESB) 2016/679. Vinnslan samrýmdist ekki meginreglum löggjafarinnar um lögmæta, sanngjarna og gagnsæja vinnslu, skýrt tilgreindan, lögmætan og málefnalegan tilgang, meðalhóf og varðveislu persónuupplýsinga. Kópavogsbær braut jafnframt gegn ákvæðum um vinnsluheimildir, samkomulag um skiptingu ábyrgðar, innihald vinnslusamnings, mat á áhrifum á persónuvernd og flutning persónuupplýsinga til þriðju landa.

Lagt er fyrir Kópavogsbæ að loka reikningum nemenda í Seesaw og sjá til þess að öllum persónuupplýsingum þeirra verði eytt úr kerfinu en þó ekki áður en tekin hafa verið afrit af upplýsingunum til að afhenda börnunum eða, eftir atvikum, til varðveislu í skólunum.

Staðfesting á því að farið hafi verið að þessum fyrirmælum skal berast Persónuvernd eigi síðar en 2. júní 2023.

Lögð er 4.000.000 króna stjórnvaldssekt á Kópavogsbæ. Sektina skal greiða í ríkissjóð innan mánaðar frá dagsetningu ákvörðunar þessarar, sbr. 6. mgr. 46. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.

Persónuvernd, 2. maí 2023

Ólafur Garðarsson

formaður

Björn Geirsson                Árnína Steinunn Kristjánsdóttir

Vilhelmína Haraldsdóttir             Þorvarður Kári Ólafsson