Skolnämnd får sanktionsavgift för missad konsekvensbedömning

Författare:

|

Datum:

|

En kommun i norra Sverige har tilldelats en sanktionsavgift av Integritetsskyddsmyndigheten (IMY) för att inte ha genomfört en ny konsekvensbedömning vid övergången från Google Apps for Education till Google Workspace for Education. Enligt IMY skulle bytet ha hanterats som en migrering till ett nytt IT-system, vilket krävde en förnyad konsekvensbedömning i enlighet med reglerna i GDPR.

IMY:s utredning av Barn- och utbildningsnämnden i Östersunds kommun visade att kommunen inte hade följt artikel 35 i GDPR före lanseringen av Google Workspace i 24 skolor under hösten 2020. Google Workspace behandlar i det här fallet personuppgifter om nästan 6 000 elever och 1 300 anställda, inklusive namn, e-postadresser och klasstillhörighet.

Trots att kommunen inte slutförde en konsekvensbedömning innan det nya systemet togs i bruk, har en sådan utredning påbörjats i efterhand. Den konsekvensbedömning som just nu genomförs inkluderar också frågan om personuppgifter överförs till ett tredje land utanför EU och EES. Regelbrottet har lett till att kommunen har fått en sanktionsavgift på 300 000 kronor.

År 2014 bedömde kommunen riskerna med Google Apps for Education enligt de tidigare reglerna i personuppgiftslagen (PUL) och fann då inga betydande risker. I maj 2020 beslutade de att migrera tjänsten till sin egen domän, och i juni 2020 lanserades den nya tjänsten inom kommunens IT-miljö.

I IMY:s beslut framhölls att nämnden borde ha genomfört en konsekvensbedömning på grund av den storskaliga behandlingen av personuppgifter, inklusive känsliga uppgifter om barn. Behandlingen innefattade återkoppling på elevernas akademiska prestationer, vilket ur dataskyddsreglernas perspektiv utgör skyddsvärd information. Enligt IMY kan behandlingen av sådan information ha en betydande inverkan på barnens rätt till dataskydd men också andra rättigheter.  

IMY bedömde att de nya behandlingsaktiviteter som infördes genom Google Workspace sannolikt skulle utgöra en hög risk för enskildas rättigheter och friheter, särskilt med tanke på databehandlingens art och ändamål. I beslutet betonades att den tidigare riskbedömningen för Google Apps for Education från 2014 inte hade uppdaterats för att återspegla den nya tjänsten från Google och de nya tjänstevillkoren.

Läs mer:

IMY pressmeddelande, Sanktionsavgift mot kommun som inte bedömt konsekvenser innan Google Workspace infördes (imy.se), 30 november 2023

IMY tillsynsbeslut, 28 November 2023