Tietosuojavaltuutetun toimisto (Dataombudsmannens byrå) har utfärdat en reprimand mot en kommun för överträdelser av dataskyddsförordningen (GDPR). Dataombudsmannens byrå har också utfärdat ett föreläggande till den personuppgiftsansvarige att se till att behandlingen av personuppgifter överensstämmer med dataskyddsförordningens bestämmelser.
Av beslutet framgår att en vårdnadshavare lämnat in ett klagomål till Dataombudsmannens byrå då elevers personuppgifter varit allmänt synliga via adressboken i e-postsystemet MS Office 356 som användes i den grundutbildning som staden anordnade. Personuppgifterna i fråga var en elevs namn, roll, e-postadress, skola och årskurs. Vårdnadshavaren hävdade att elevernas personuppgifter var synliga för en onödigt stor grupp i syfte att organisera undervisningen. Elevernas personuppgifter var synliga i alla grundskolor och gymnasieskolor i staden.
Den personuppgiftsansvarige, som var den stad som anordnade utbildningen, uppgav att den har en rättslig skyldighet att tillhandahålla grundskoleutbildning. Den personuppgiftsansvarige hävdade att genomförandet av MS Office 365-tjänsten är viktigt för att organisera grundskoleutbildning och för att lära ut digitala färdigheter i skolorna i enlighet med den nationella läroplanen för grundskoleutbildning.
Dessutom hävdade den personuppgiftsansvarige bland annat att synligheten av uppgifterna i fråga är nödvändig, eftersom identifiering av rätt mottagare innan ett meddelande skickas säkerställer dataskydd, integritet och konfidentialitet i kommunikationen. Den personuppgiftsansvarige ansåg att risken för att ett meddelande går till fel person när man skickar e-post är större än risken för att informationen är synlig för andra. Den personuppgiftsansvarige presenterade också att meddelanden mellan elever i olika skolor kan förekomma för att organisera valfria ämnen, hobby- och färdighetsgrupper och tvärvetenskapliga inlärningsenheter som krävs enligt läroplanen.
I sitt svar till den personuppgiftsansvarige uppgav vårdnadshavaren bland annat att de inte motsätter sig användningen av digitala verktyg i undervisningen, men att staden inte motiverat varför minderårigas personuppgifter skulle vara synliga för alla användare i alla skolor i staden.
Dataombudsmannens byrå beslutade att den personuppgiftsansvarige brutit mot artiklarna 5.1 (a), 5.1 (c), 5.1 (f) och 25.2 GDPR när den gjorde elevernas personuppgifter tillgängliga i e-postsystemets adressbok, så att uppgifterna var synliga för eleverna, studenterna och personalen i alla grundskolor och gymnasieskolor i staden. Dataombudsmannens byrå ansåg att den personuppgiftsansvarige inte visat att det var lämpligt och nödvändigt att elevernas personuppgifter var så allmänt synliga för att organisera grundskoleundervisningen.
Mot bakgrund av principen om uppgiftsminimering enligt artikel 5.1 (c) GDPR ansåg Dataombudsmannens byrå inte att den personuppgiftsansvariges argument var tillräckliga när den personuppgiftsansvarige ansåg att den nuvarande praxisen var nödvändig för att ha kontakt mellan personer som går i olika grundskolor, liksom mellan grundskoleelever och gymnasieelever när det gäller genomförandet av ämnesövergripande inlärningsenheter i enlighet med läroplanen för grundskolan, och verksamheten i valbara ämnen, hobbygrupper och färdighetsgrupper osv, inte heller när den personuppgiftsansvarige ansett att det är nödvändigt att uppgifterna är synliga eftersom lärarna måste kommunicera med de elever de undervisar, som kan befinna sig i andra skolor än de själva.
Dataombudsmannens byrå ansåg att det inte är nödvändigt för alla elever att ha kontakt med andra utanför den egna skolan. Dessutom betonade Dataombudsmannens byrå att det faktum att det system som används inte gör det möjligt att tekniskt begränsa synligheten av personuppgifter inte utgör en grund för att behandla personuppgifter mer än vad som är nödvändigt för uppgifter som rör tillhandahållande av grundutbildning. Dataombudsmannens byrå ansåg också att det strider mot principen om konfidentialitet enligt artikel 5.1 (f) GDPR att personuppgifterna är synliga i adressboken i alla andra skolor i staden, och betonade att detta är särskilt viktigt när det rör sig om uppgifter om barn. Slutligen ansåg Dataombudsmannens byrå att den personuppgiftsansvarige enligt artikel 25.2 GDPR ska använda sådana it-lösningar som är lämpliga med hänsyn till verksamhetens art.
Dataombudsmannens byrå utfärdade en reprimand till den personuppgiftsansvarige enligt artikel 58.2 (b) GDPR och ett föreläggande till den personuppgiftsansvarige enligt artikel 58.2 (d) GDPR att se till att behandlingen av uppgifterna överensstämmer med dataskyddsförordningens bestämmelser.
Dessutom betonade Dataombudsmannens byrå att den personuppgiftsansvarige bör omvärdera tillgängligheten av personuppgifter om elever i grundskolan i den e-postadressbok som den använder. Den personuppgiftsansvarige bör se till att den inte längre behandlar elevernas uppgifter i e-postsystemets adressbok på ett sådant sätt att de är synliga utanför den egna skolan, såvida det inte finns skäl för en bredare synlighet i samband med organiseringen av utbildningen. Tillgängligheten av elevernas uppgifter i e-postadressboken måste också vara nödvändig och motiverad för att organisera grundskoleundervisningen.