Tietosuojavaltuutetun toimisto (Dataombudsmannens byrå) ger Helsingfors stad en reprimand för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Dataombudsmannens byrå tagit emot en anmälan om att Helsingfors stad inte ingått ett personuppgiftsbiträdesavtal med ett företag som upprätthåller en webbaserad elevvårdstjänst där elever kan kontakta en skolkurator eller skolpsykolog. Dataombudsmannens byrå bad därför Helsingfors stad att förklara vem som ansvarade för upprätthållandet av tjänsten.
Som svar på denna begäran klargjorde Helsingfors stad att det inte fanns någon avtalsdokumentation med det företag som upprätthöll tjänsten avseende roller eller dataskydd. Helsingfors stad uppgav också att de inte längre använde företaget för att driva tjänsten och att tjänsten nu sköttes av Helsingfors stad själva.
På grundval av den information som lämnats av Helsingfors stad ansåg Dataombudsmannens byrå att ett annat företag utfört det regelbundna underhållet av onlinetjänsten för Helsingfors stads räkning och därmed agerat som personuppgiftsbiträde. Dataombudsmannens byrå konstaterade att det företag som skötte underhållet av tjänsten, i avsaknad av ett personuppgiftsbiträdesavtal mellan parterna, inte hade någon avtalsenlig skyldighet att till exempel garantera säkerheten vid behandlingen eller konfidentialiteten.
På grundval av den information som samlats in ansåg Dataombudsmannens byrå att Helsingfors stad brutit mot artikel 28.3 GDPR genom att inte uppfylla sin skyldighet som personuppgiftsansvarig att ingå ett avtal om behandling av personuppgifter med personuppgiftsbiträdet. Dataombudsmannens byrå gav därför Helsingfors stad en reprimand i enlighet med artikel 58.2 (b) GDPR.