Skolplattformen Google Workspace for Educations har sedan 2020 använts i 24 kommunala skolor bland annat för att ge återkoppling på tilldelade elevuppgifter. Cirka 6.000 elever och 1.300 anställdas personuppgifter har behandlats i systemet utan att Östersunds kommun gjort en risk- och konsekvensanalys av den personuppgiftsbehandling som sker.
IMY (Integritetsskyddsmyndigheten) menar att en så pass omfattande personuppgiftsbehandling i behöver föregås av en risk- och konsekvensanalys. Därför utfärdar IMY en sanktionsavgift på 300.000 kronor till ban- och utbildningsnämnden.
Allvarlig risk för den enskildes kontroll över sina personuppgifter
– Det är nödvändigt att göra en konsekvensbedömning, om det finns en hög risk för personers fri- och rättigheter i samband med en personuppgiftsbehandling, för att kunna vidta lämpliga skyddsåtgärder, säger Nina Hellgren, jurist på IMY. Att identifiera risker och därefter hantera dem, är en viktig del av ett kontinuerligt och systematiskt dataskyddsarbete.
Att barn- och utbildningsnämnden inte utfört en konsekvensbedömning innan skolplattformen infördes gör att IMY utfärdar en administrativ sanktionsavgift på 300 000 kronor mot nämnden för överträdelse av dataskyddsförordningen, GDPR.
Länk: IMY:s beslut
Kravet på konsekvensbedömning
Att utföra en konsekvensbedömning är obligatoriskt om behandlingen av personuppgifter sannolikt leder till en hög risk för personers fri- och rättigheter. I dataskyddsförordningen, GDPR, anges exempel på situationer där det krävs en konsekvensbedömning. IMY har tagit fram kriterier för personuppgiftsbehandlingar som måste föregås av en bedömning. Kriterierna finns listade i ”Förteckning enligt artikel 35.4 i dataskyddsförordningen”.