Datainspektionens sanktionsbeslut rörande GDPR mot Utbildningsnämnden i Stockholms stad samt mot Gnosjö kommun
Datainspektionen har under november beslutat om två sanktionsbeslut rörande GDPR. Det ena riktar sig till Utbildningsnämnden i Stockholm stad, nedan nämnden, och rör den digitala plattform som används, den s.k. Skolplattformen och det andra riktar sig mot Gnosjö kommun med anledning av olaglig kamerabevakning på ett LSS-boende. Nedan redogörs i korthet för besluten.
Skolplattformen är det IT-system som används för bland annat elevadministration i Stockholm och består av flera olika delsystem. Systemen innehåller såväl känsliga och integritetskänsliga uppgifter som uppgifter om elever, vårdnadshavare och lärare med sekretessmarkerade uppgifter eller skyddad identitet. Datainspektionen har efter inkomna anmälningar om flera personuppgiftsincidenter uppmärksammats på bl.a. obehörig åtkomst till elevuppgifter i Skolplattformen. Datainspektionen har mot bakgrund av incidenterna granskat de säkerhetsåtgärder som används för åtkomst till personuppgifter i olika moduler, inkluderat organisatoriska åtgärder i form av behörighetstilldelning. Datainspektionen har vidare granskat de tekniska åtgärder som nämnden vidtagit för att säkerställa en lämplig säkerhetsnivå.
Vid granskningen har det bl.a. framkommit, avseende ett av delsystemen, att lärare haft möjlighet att se uppgifter om sekretessmarkerade personer och elever med skyddad identitet. Vidare har vårdnadshavare genom ett annat delsystem haft möjlighet att komma åt andra barns uppgifter rörande exempelvis namn, betyg, utvecklingssamtal, personnummer m.m. Enligt nämnden har en person utnyttjat denna möjlighet och gjort personsökningar på 101 unika personer.
Datainspektionen har efter sin granskning bedömt att nämnden inte har säkerställt en lämplig säkerhet för personuppgifterna som är lämplig i förhållande till riskerna, inbegripet skydd mot obehörig eller otillåten behandling genom användning av lämpliga tekniska åtgärder. I ett IT-system som Skolplattformen hanteras stora mängder personuppgifter. Datainspektionen understryker därför vikten av att den personuppgiftsansvariga vidtar tillräckliga säkerhetsåtgärder för att skydda uppgifterna och säkerställer skyddet löpande.
Datainspektionen har även granskat skyldigheten att utföra konsekvensbedömningar. I det här fallet behandlas känsliga uppgifter eller uppgifter av mycket personlig karaktär, uppgifter i stor omfattning samt uppgifter som rör sårbara registrerade vilket talar för att konsekvensbedömningar måste genomföras. Som en god praxis bör också, enligt Datainspektionen, en konsekvensbedömning ses över kontinuerligt och utvärderas regelbundet. Datainspektionen konstaterade att det inte förelåg någon omständighet som talade för att en konsekvensbedömning inte krävts. Det faktum att systemet lanserades före den 25 maj 2018 påverkar inte inspektionens bedömning. Om nämnden skulle ha gjort en fullständig konsekvensbedömning så kunde de konstaterade bristerna sannolikt undvikits.
Datainspektionen utfärdade en sanktionsavgift på fyra miljoner kronor. I Sverige är maxgränsen för sanktionsavgifter mot myndigheter 10 miljoner kronor.
I det andra beslutet, mot socialutskottet i Gnosjö kommun, hade Datainspektionen tagit emot ett klagomål från en anhörig på ett LSS-boende som gjort gällande att det förekom olaglig kameraövervakning. Datainspektionen konstaterar i sitt beslut att det saknas en rättslig grund för kamerabevakningen som skedde i den boendes sovrum samt att det inte genomförts en konsekvensbedömning innan bevakningen inleddes och att man inte tydligt informerat om kamerabevakningen. Eftersom socialutskottet inte gjort någon konsekvensbedömning så har det inte heller gjorts någon bedömning av om behandlingen medförde några risker för den registrerades fri- och rättigheter. Därmed har socialutskottet inte heller kunnat visa att den höga risk som sannolikt föreligger har sänkts på ett sådant sätt att det har saknats anledning att begära förhandssamråd hos
Datainspektionen.
Datainspektionen konstaterade att kameraövervakningen stred mot GDPR såväl som kamerabevakningslagen och utfärdade en administrativ sanktionsavgift på 200 000 kronor mot socialutskottet.
Konsekvenser och rekommendationer
Sanktionsbesluten visar dels på vikten av att säkerställa en lämplig säkerhet för personuppgifter i förhållande till riskerna, inbegripet skydd mot obehörig eller otillåten behandling genom användning av lämpliga tekniska åtgärder, dels vikten av att utföra ändamålsenliga konsekvensbedömningar där så är påkallat. En konsekvensbedömning kan beskrivas som ett verktyg för att identifiera risker med behandlingen av personuppgifter och ta fram rutiner och åtgärder för att hantera riskerna, och därmed bedöma om behandlingen är proportionerlig i förhållande till syftet med den. Till hjälp att avgöra om en konsekvensbedömning behöver utföras eller inte har Europeiska dataskyddsstyrelsen, EDPD, tagit fram riktlinjer beträffande i vilka situationer en behandling sannolikt leder till en hög risk för fysiska personers fri- och rättigheter. Det ska understrykas att konsekvensbedömningarna ska ses över löpande och hållas uppdaterade.
Vi rekommenderar att både personuppgiftsansvariga och personuppgiftsbiträden löpande ser över sina interna rutiner och riktlinjer vad gäller hantering av personuppgifter i syfte att efterleva GDPR. WSA kan vara behjälpliga i sådant arbete.
Behöver er verksamhet stöd i arbetet med att efterleva GDPR är ni välkommen att höra av er till oss. Du hittar våra kontor här.