Google Workspace for Education har sedan hösten 2020 använts i 24 kommunala skolor i Östersund, bland annat för att ge elever återkoppling på skoluppgifter. Närmare 6 000 elevers och 1 300 anställdas personuppgifter har behandlats i skolplattformen.
Inför en sådan omfattande behandling av barns personuppgifter i skolverksamhet ska den som är personuppgiftsansvarig, i det här fallet barn- och utbildningsnämnden, göra en konsekvensbedömning för att identifiera risker och behov av skyddsåtgärder. IMY konstaterar i sitt beslut att kommunen infört skolplattformen utan att ha genomfört en konsekvensbedömning.
– Det är nödvändigt att göra en konsekvensbedömning, om det finns en hög risk för personers fri- och rättigheter i samband med en personuppgiftsbehandling, för att kunna vidta lämpliga skyddsåtgärder, säger Nina Hellgren, jurist på IMY. Att identifiera risker och därefter hantera dem, är en viktig del av ett kontinuerligt och systematiskt dataskyddsarbete.
Att barn- och utbildningsnämnden inte utfört en konsekvensbedömning innan skolplattformen infördes gör att IMY utfärdar en administrativ sanktionsavgift på 300 000 kronor mot nämnden för överträdelse av dataskyddsförordningen, GDPR.