Dómur Hæstaréttar

1. Mál þetta dæma hæstaréttardómararnir Benedikt Bogason, Ása Ólafsdóttir, Ólafur Börkur Þorvaldsson, Sigurður Tómas Magnússon og Skúli Magnússon.

2. Áfrýjendur skutu málinu til Hæstaréttar 15. apríl 2024. Þeir krefjast sýknu af kröfum stefnda og málskostnaðar í héraði og fyrir Hæstarétti.

3. Stefndi krefst þess að hinn áfrýjaði dómur verði staðfestur og áfrýjendum gert að greiða sér málskostnað fyrir Hæstarétti.

Ágreiningsefni

4. Ágreiningur málsins snýr að tveimur ákvörðunum áfrýjanda Persónuverndar. Annars vegar frá 16. desember 2021 um að notkun stafrænnar kennslulausnar Seesaw í sex grunnskólum borgarinnar færi í bága við lög nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerð Evrópuþingsins og ráðsins (ESB) 2016/679 frá 27. apríl 2016 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga og niðurfellingu tilskipunar 95/46/EB (almenna persónuverndarreglugerðin). Auk þess var þar lagt fyrir stefnda að loka öllum reikningum skólabarna í stafrænu kennslulausninni og sjá til þess að öllum persónuupplýsingum þeirra yrði eytt úr henni fyrir 20. janúar 2022, eftir að afrit hefði verið tekið af þeim. Hins vegar er deilt um ákvörðun 3. maí 2022 um að leggja 5.000.000 króna sekt á stefnda. Stefndi greiddi sektina 3. júní 2022 með fyrirvara um réttmæti hennar.

5. Með héraðsdómi 5. febrúar 2024 voru framangreindar ákvarðanir felldar úr gildi og áfrýjanda íslenska ríkinu gert að endurgreiða stefnda 5.000.000 króna með nánar tilgreindum vöxtum. Héraðsdómur taldi að slíkir efnislegir annmarkar væru á íþyngjandi stjórnvaldsákvörðunum áfrýjanda Persónuverndar að fallast bæri á aðalkröfu stefnda um ógildingu þeirra jafnvel þótt vissar ályktanir hefðu verið á rökum reistar um misbresti af hálfu stefnda sem ábyrgðaraðila við undirbúning og innleiðingu kennslulausnarinnar.

6. Leyfi til að áfrýja héraðsdómi beint til Hæstaréttar var veitt 12. apríl 2024, með ákvörðun réttarins nr. 2024-23, á þeim grunni að dómur í málinu gæti haft fordæmisgildi og verulega almenna þýðingu fyrir beitingu laga nr. 90/2018. Þá var talið að ekki væru fyrir hendi þær aðstæður sem kæmu í veg fyrir að málinu yrði áfrýjað beint til Hæstaréttar, sbr. 1. mgr. 175. gr. laga nr. 91/1991 um meðferð einkamála.

Málsatvik

7. Stefndi er sveitarfélag og stærsti rekstraraðili grunnskóla á Íslandi. Árið 2021 innleiddi hann stafrænu kennslulausnina Seesaw. Stofnaður var aðgangur að lausninni fyrir 774 nemendur í 1. til 7. bekk í sex grunnskólum stefnda 8. til 13. janúar 2021. Meðal gagna málsins eru tölvupóstsamskipti milli starfsmanna skóla- og frístundasviðs stefnda og persónuverndarfulltrúa hans frá október 2020 þar sem fjallað er um mat á áhrifum á persónuvernd sem mun hafa verið unnið um það leyti. Í upphafi mun stefndi hafa óskað eftir samþykki foreldra og forráðamanna nemenda fyrir vinnslu persónuupplýsinga og byggt vinnsluheimild á 1. tölulið 9. gr. laga nr. 90/2018.

Ákvörðunin 16. desember 2021

8. Áfrýjanda Persónuvernd barst ábending í apríl 2021 um að í einum af grunnskólum stefnda hefði fyrr í þeim mánuði verið óskað eftir samþykki foreldra skólabarna fyrir notkun lausnarinnar og að fræðslu hefði verið ábótavant. Stefnda var tilkynnt með bréfi 15. apríl 2021 að hafin væri frumkvæðisathugun af því tilefni, sbr. 3. mgr. 39. gr. laga nr. 90/2018. Stefnda var þar veitt viðvörun um að fyrirhugaðar vinnsluaðgerðir kynnu að brjóta í bága við ákvæði laganna, sbr. 1. tölulið 42. gr. þeirra. Einnig var lagt fyrir stefnda að stöðva þá þegar alla vinnslu persónuupplýsinga á grundvelli 4. og 6. töluliðar greinarinnar. Giltu fyrirmælin þar til frumkvæðisathugun væri lokið.

9. Stefndi óskaði þess með bréfi daginn eftir að fyrirmælum um stöðvun vinnslu yrði breytt og vinnsla heimiluð á meðan rannsókn færi fram. Til að bregðast við athugasemdum áfrýjanda var meðal annars uppfært mat á áhrifum á persónuvernd og fræðsluefni endurbætt. Með bréfi áfrýjanda 19. apríl 2021 var fallist á beiðni stefnda og ákvörðun um stöðvun vinnslu felld niður. Kom fram að í þeirri ákvörðun fælist ekki afstaða til lögmætis vinnslunnar og yrði athugun fram haldið. Um forsendur hennar sagði að hún væri tekin í ljósi þeirra gagna sem borist hefðu frá stefnda, meðal annars uppfærðs mats á áhrifum á persónuvernd, afrits vinnslusamnings og uppfærðs fræðsluefnis.

10. Með bréfi 27. apríl 2021 óskaði áfrýjandi eftir frekari upplýsingum. Þar á meðal var beðið um upphaflegt mat á áhrifum á persónuvernd, fyrri útgáfu fræðsluefnis, upplýsingar um vinnslu staðsetningarupplýsinga í markaðssetningu hjá Seesaw Learning Inc. og lista yfir þá grunnskóla sem tekið hefðu lausnina í notkun auk fjölda nemenda. Stefndi veitti umbeðnar upplýsingar 25. maí sama ár. Í bréfi hans sagði meðal annars að lausnin hentaði einstaklega vel í námi og kennslu, sérstaklega fyrir nemendur með sérþarfir. Þá styddi hugbúnaðurinn vel við einstaklingsmiðaða nálgun náms og kennslu.

11. Áfrýjandi kallaði enn eftir upplýsingum 2. júlí 2021 um vinnslu persónuupplýsinga skólabarna í lausninni, meðal annars um hvernig hún uppfyllti skilyrði 5. töluliðar 9. gr. laga nr. 90/2018. Einnig var óskað upplýsinga um hvort farið hefði fram faglegt mat eða greining á því hvaða hagsmuni skólabörn á yngsta stigi og miðstigi hefðu af notkun lausnarinnar sem og hvort það hefði verið gert með hliðsjón af þeirri áhættu sem vinnslan gæti haft í för með sér og þar með hvort hún uppfyllti skilyrði um nauðsyn. Jafnframt hvort unnt væri að sinna skólaskyldu í fjarvinnu óháð því hvort heimsfaraldur stæði yfir með hliðsjón af skilyrði vinnsluheimildar um nauðsyn, aldri þeirra barna sem um ræddi og grunnkröfu persónuverndar um meðalhóf. Þá var kallað eftir upplýsingum um hvernig vinnslan samrýmdist sjónarmiðum um nauðsyn, sanngirni vinnslu og lágmörkun gagna, með hliðsjón af skilaskyldu samkvæmt lögum nr. 77/2014 um opinber skjalasöfn. Loks hvort stefndi teldi unnt að fyrirbyggja að viðkvæmar persónuupplýsingar samkvæmt 3. tölulið 3. gr. laga nr. 90/2018 yrðu skráðar í lausnina og ef ekki hvaða skilyrði 1. mgr. 11. gr. laganna vinnsla slíkra upplýsinga myndi uppfylla.

12. Í svari stefnda 16. ágúst 2021 sagði meðal annars að vinnslan byggðist á 5. tölulið 9. gr. laga nr. 90/2018 enda þjónaði grunnskólastarf ríkum almannahagsmunum. Einnig var vísað til 1. og 2. mgr. 2. gr., 13. gr., 24. gr. og 2. mgr. 25. gr. laga nr. 91/2008 um grunnskóla, 2. gr. auglýsingar nr. 760/2011 um gildistöku aðalnámskrár grunnskóla og fjölþættrar skyldu sem hvíldi á skólastjórnendum. Það væri mat þeirra sem og stefnda að þessar skyldur yrðu ekki uppfylltar í nútímasamfélagi án notkunar fullkominnar upplýsingatækni til að styðja nemendur og skólastarfið í heild. Því væri einnig fullnægt skilyrðum 3. töluliðar 9. gr. laga nr. 90/2018. Ekki væri gert ráð fyrir vinnslu viðkvæmra persónuupplýsinga og reyndi því ekki á skilyrði 11. gr. laganna. Mat á áhrifum á persónuvernd hefði verið framkvæmt í samræmi við 29. gr. laganna. Kennarar myndu fara yfir námsgögn og skila til Borgarskjalasafns í samræmi við ákvæði laga nr. 77/2014 eða eyða úr gagnavörslu lausnarinnar. Loks væri það skýrt í leiðbeiningum til foreldra og nemenda að ekki mætti setja inn viðkvæmar persónuupplýsingar og gætu kennarar eytt slíkum upplýsingum ef þær rötuðu í hana fyrir mistök. Þá var þess óskað að gefið yrði tækifæri til að veita frekari skýringar áður en málið yrði til lykta leitt.

13. Stefndi sendi áfrýjanda fyrirspurn með tölvubréfi 23. september 2021 um stöðu málsins. Í svari áfrýjanda sama dag kom fram að unnið væri að meðferð þess en tafir hefðu orðið á afgreiðslu vegna mikilla anna. Í tölvubréfi stefnda 19. nóvember 2021 til áfrýjanda var aftur óskað upplýsinga um meðferð málsins og svaraði stofnunin sama dag að unnið væri að málinu og að vonir stæðu til að það yrði tekið fyrir á fundi stjórnar í desember. Í tölvubréfi áfrýjanda 8. desember sama ár var óskað upplýsinga um hvort og þá í hvaða tilvikum Seesaw Learning Inc. miðlaði gögnum úr lausninni til Bandaríkjanna þótt samið hefði verið um að þau yrðu varðveitt innan Evrópska efnahagssvæðisins. Þar sagði einnig að fyrirhugað væri að taka málið fyrir á fundi stjórnar 16. sama mánaðar. Með tölvubréfi stefnda 13. sama mánaðar var upplýst um að í samskiptum við erlenda félagið hefði komið fram að upplýsingar nemenda flyttust til Bandaríkjanna og væru unnar þar. Þetta hefði komið stefnda verulega á óvart í ljósi samninga við félagið um ákveðna þjónustuleið, vals á hýsingarstað innan Evrópska efnahagssvæðisins og staðfestingar hans. Í tölvubréfi stefnda daginn eftir sagði að þessar upplýsingar væru ekki í samræmi við staðfestingu Seesaw Learning Inc. til stefnda 14. desember árinu áður. Þær væru nýjar og óvæntar og bregðast þyrfti við þeim sem fyrst. Fram hefði komið í skeyti Seesaw Learning Inc. til stefnda 13. desember 2021 að flestar Evrópuþjóðir notuðu kennslulausnina í skólastarfi á grundvelli staðlaðra samningsskilmála um flutning gagna til Bandaríkjanna. Farið hefði verið yfir þá stöðluðu skilmála sem fylgdu þeim vinnslusamningi sem grunnskólar stefndu hefðu gert og virtust þeir veita umtalsverða vernd við vinnslu persónuupplýsinga. Þá óskaði stefndi leiðbeininga og álits áfrýjanda um hvort samningsskilmálarnir gætu talist fullnægjandi grundvöllur öruggs flutnings gagna til Bandaríkjanna.

14. Sem fyrr segir tók áfrýjandi Persónuvernd ákvörðun í þessum hluta málsins 16. desember 2021 með þeirri niðurstöðu að vinnslan samrýmdist ekki persónuverndarlöggjöfinni. Lagt var fyrir stefnda að loka reikningum skólabarna í Seesaw og sjá til þess að öllum persónuupplýsingum þeirra yrði eytt úr lausninni, eftir að afrit hefði verið tekið af upplýsingunum. Skyldi staðfesting á því að farið hefði verið að þessum fyrirmælum berast Persónuvernd eigi síðar en 20. janúar 2022. Efni ákvörðunarinnar er að öðru leyti skilmerkilega rakið í héraðsdómi.

Ákvörðunin 3. maí 2022

15. Með bréfi 18. janúar 2022 greindi stefndi frá því að stafræna kennslulausnin hefði verið innleidd í góðri trú um að vinnslan væri lögmæt í skilningi persónuverndarlaga og að viðhlítandi heimild fyrir vinnslu persónuupplýsinga væri fyrir hendi. Áður en gerðar yrðu frekari ráðstafanir óskaði persónuverndarfulltrúi stefnda eftir samráði við áfrýjanda Persónuvernd og leiðbeiningum. Með vísan til þeirra neikvæðu áhrifa sem stóraukinn fjöldi kórónuveirusmita hefði á skólahald var einnig óskað eftir viðbótarfresti til að bregðast við fyrirmælum um lokun til 10. júní sama ár. Á þeim tíma myndi stefndi leggja allt kapp á að ráðast í úrbætur í samræmi við leiðbeiningar og ákvörðun áfrýjanda. Til vara var óskað eftir að fresturinn yrði framlengdur til loka dags 2. febrúar 2022 í samræmi við þágildandi reglugerð um takmörkun á samkomum vegna farsóttar nr. 7/2022.

16. Í bréfi áfrýjanda 19. janúar 2022 var vísað til rökstuðnings í ákvörðun stofnunarinnar 16. desember 2021 og frestur til að fylgja fyrirmælum framlengdur til 2. febrúar 2022. Vísað var til rökstuðnings, niðurstöðu og leiðbeininga sem finna mætti í ákvörðuninni 16. desember 2021. Áfrýjandi væri tilbúinn að veita frekari ráðgjöf um innleiðingu upplýsingakerfa í grunnskólastarfi þegar meðferð málsins væri lokið en ekki hefði verið tekin ákvörðun um álagningu sektar. Loks var upplýst um að áfrýjandi hefði setið fund með fulltrúum mennta- og barnamálaráðuneytisins og Sambands íslenskra sveitarfélaga þar sem veittar voru almennar upplýsingar og leiðbeiningar.

17. Stefndi tilkynnti 2. febrúar 2022 um að brugðist hefði verið við ákvörðun áfrýjanda 16. desember 2021. Fram kom að notkun stafrænna kennslulausna á borð við Seesaw væri talin nauðsynleg af hálfu kennslusérfræðinga til að veita kennslu sem fullnægði þörfum grunnskólanema í upplýsingasamfélagi nútímans, ekki síst að teknu tilliti til samfélagslegra aðstæðna vegna heimsfaraldurs sem ekki sæi enn fyllilega fyrir endann á. Þá væri markmið að taka upp nútímalega kennsluhætti með tilliti til ákvæða grunnskólalaga og aðalnámskrár á landsvísu. Þar sem sektarákvörðun lægi ekki fyrir væri áréttað að stefndi áskildi sér rétt til að koma á framfæri athugasemdum við ákvörðun áfrýjanda í málinu kæmi slíkt til skoðunar og gerði stefndi jafnframt ráð fyrir að verða gefinn kostur á andmælum.

18. Í bréfi áfrýjanda 10. febrúar 2022 sagði að stofnunin teldi að tilefni gæti verið til að leggja stjórnvaldssekt á stefnda á grundvelli 46. gr. laga nr. 90/2018. Í ákvörðun áfrýjanda 16. desember 2021 hefði verið komist að þeirri niðurstöðu að stefndi hefði brotið gegn 1., 2. og 3. mgr. 46. gr. laganna. Með hliðsjón af framkvæmd í þeim löndum sem væru bundin af persónuverndarreglugerðinni lægi fyrir að sektir sem væru lagðar á opinbera aðila væru mun lægri en þær sem lagðar væru á stórfyrirtæki með mikla veltu. Þótt unnt væri að sekta fyrir mörg brot samkvæmt bæði 2. og 3. mgr. 46. gr. laganna í einu og sama málinu yrði samanlögð sekt aldrei hærri en efri mörk þess sektarramma sem fram kæmi í 3. mgr. greinarinnar. Gæti fyrirhuguð sekt því orðið um það bil 5.000.000 króna.

19. Stefndi sendi áfrýjanda andmæli 3. mars 2022. Með ákvörðun áfrýjanda 3. maí sama ár var lögð 5.000.000 króna sekt á stefnda. Þar sagði meðal annars að áfrýjandi hefði komist að rökstuddri niðurstöðu og tekið bindandi ákvörðun 16. desember 2021 um að vinnsla persónuupplýsinga skólabarna í stafrænu kennslulausninni hefði ekki samrýmst persónuverndarlöggjöfinni. Lyti ákvörðunin því einvörðungu að því hvort leggja ætti sekt á stefnda vegna þeirra brota sem stofnunin hefði þegar komist að niðurstöðu um og fjárhæð hennar.

20. Stefndi greiddi sektina með fyrirvara um réttmæti hennar 3. júní 2022 og höfðaði í kjölfarið mál þetta til ógildingar á báðum ákvörðunum áfrýjanda Persónuverndar og á hendur áfrýjanda íslenska ríkinu til endurgreiðslu sektarinnar.

Málsástæður

Helstu málsástæður áfrýjenda

21. Af hálfu áfrýjenda er byggt á því að meðferð málsins hafi verið í samræmi við málsmeðferðarreglur stjórnsýsluréttar. Stefndi sé stærsta sveitarfélag landsins og ábyrgðaraðili á vinnslu persónuupplýsinga skólabarna í grunnskólum á hans vegum og sé skylt að tilnefna persónuverndarfulltrúa sem eigi að þekkja réttarsviðið til hlítar. Gætt hafi verið meðalhófs við rannsókn og meðferð málsins. Mat á áhrifum á persónuvernd hafi verið miðað við 16. apríl 2021 þegar stefndi hafði tekið ákvörðun um að nota stafrænu kennslulausnina til frambúðar. Ekki hafi verið horft til þess að stefndi hafi í upphafi hafið notkun lausnarinnar án mats á áhrifum á persónuvernd og tilgreindrar vinnsluheimildar. Þá hafi stefndi ekki byggt á sjónarmiðum um heimsfaraldur COVID-19 við meðferð málsins á stjórnsýslustigi eða fyrir dómstólum. Með því að líta til þeirra sjónarmiða hafi héraðsdómur farið gegn 2. mgr. 111. gr. laga nr. 91/1991.

22. Áfrýjendur byggja á að túlka þurfi ákvæði laga nr. 90/2018 með hliðsjón af löggjöfinni í heild. Vinnsla á grundvelli 9. gr. laganna sé til að mynda ekki heimil ef ekki sé farið að öllum meginreglum 1. mgr. 8. gr. þeirra. Ábyrgðaraðila beri að tryggja að við vinnslu persónuupplýsinga sé farið að meginreglum löggjafarinnar og þarf að geta sýnt fram á það, sbr. 8. og 23. gr. laganna. Leggja eigi mat á vinnslu út frá eðli hennar, umfangi, samhengi og tilgangi og áhættu, mislíklegri og misalvarlegri, fyrir persónuvernd einstaklinga. Á þeim grundvelli eigi ábyrgðaraðili að taka ákvörðun um hversu ríkar kröfur skuli gerðar til afmörkunar tilgangs, nauðsynjar vinnslu, öryggis og fræðslu. Þá eigi hann að geta sýnt fram á hagsmunamat með skjalfestingu. Það sé lykilatriði innbyggðrar og sjálfgefinnar persónuverndar að tilgreina tilgang hennar svo skýrt að hann sé leiðandi fyrir innbyggða persónuvernd, setja vinnslu mörk og ákvarða hvaða persónuupplýsingar séu nauðsynlegar. Tilgangur vinnslu ætti einnig að koma í veg fyrir að persónuupplýsingar séu varðveittar lengur en þörf krefur, endurunnar eða unnar í öðrum tilgangi. Ábyrgðaraðilar verði einnig að sannreyna hvort unnt sé að ná tilgreindum tilgangi með minna gagnamagni, færri ítarlegum upplýsingum eða án vinnslu. Það sem teljist gagnlegt í þágu tilgangs þurfi ekki að vera nauðsynlegt. Í ákvörðuninni 16. desember 2021 hafi verið talið að tilgangur vinnslunnar hefði ekki verið nægilega tilgreindur og gæti ekki verið ákvarðandi fyrir nauðsyn hennar. Af skýringum stefnda hafi ekki mátt ráða að vinnslan væri nauðsynleg heldur einungis til ákveðins hagræðis og nauðsyn ekki verið skjalfest eða skýrð.

23. Eðli, umfang, samhengi og tilgangur vinnslu leiði einnig til þess að ríkar kröfur séu gerðar um mat á nauðsyn vinnslu persónuupplýsinga. Þær byggist á eðli og inntaki ábyrgðarskyldu. Um sé að ræða persónuupplýsingar barna, fengnar í skólastarfi og unnar í skýjalausn á vegum bandarísks vinnsluaðila, sbr. meginreglur 2. og 3. töluliðar 1. mgr. 8. gr. laga nr. 90/2018. Áfrýjandi hafi sérþekkingu á vinnslu persónuupplýsinga og eigi úrskurðarvald um hvort tilgangur og nauðsyn vinnslu hafi verið tilgreind með fullnægjandi hætti. Það verði ekki takmarkað á þeim grundvelli að það stjórnvald sem um ræðir hafi sérþekkingu á tilteknum málaflokki. Áhættumat skuli einnig lúta að áhættu af sjálfri vinnslunni, sbr. 1. mgr. 29. gr. laga nr. 90/2018, en stefndi hafi ekki getað vísað til gagna, mats eða annarra röksemda sem veittu fullyrðingum hans um nauðsyn vinnslunnar stoð að teknu tilliti til framangreindra þátta. Því hafi ekki verið sýnt fram á að vinnslan væri í raun nauðsynleg, sbr. 5. tölulið 9. gr. laganna eða hvernig nýtingin ætti sér stoð í grunnskólalögum og aðalnámskrá. Þá hafi ekki verið hnekkt niðurstöðu um að vinnslan hafi brotið í bága við meginreglur um sanngjarna og gagnsæja vinnslu og um geymslutakmörkun, sbr. 1. og 5. tölulið 1. mgr. 8. gr. laganna. Skilyrði um nauðsyn vinnslunnar samkvæmt 5. tölulið 9. gr. þeirra teljist því ekki uppfyllt og hún sé því ólögmæt.

24. Víða í persónuverndarlöggjöf sé vísað til eðlis, umfangs, samhengis og tilgangs vinnslu og eftir atvikum áhættu af henni, svo sem í 1. mgr. 25. gr., 1. mgr. 32. gr. og 1. mgr. 35. gr. persónuverndarreglugerðarinnar. Í leiðbeiningum Evrópska persónuverndarráðsins nr. 4/2019 sé fjallað um eðli vinnslu og í leiðbeiningum 29. gr. vinnuhópsins, WP248, um mat á áhrifum á persónuvernd sem teknar hafa verið upp af ráðinu, sbr. ákvörðun 25. maí 2018. Þar séu níu viðmiðanir sem ríki ættu að líta til þegar þau lista upp tegundir vinnsluaðgerða sem ávallt krefjist mats á áhrifum á persónuvernd. Þær séu taldar líklegar til að hafa í för með sér mikla áhættu fyrir réttindi og frelsi einstaklinga, meðal annars með hliðsjón af eðli, umfangi, samhengi og tilgangi vinnslu, sbr. 2. mgr. 29. gr. laga nr. 90/2018. Ein þeirra vísi til vinnslu sem feli í sér endurgjöf eða mat, önnur til vinnslu persónuupplýsinga sem teljast viðkvæms eðlis í almennum skilningi þess orðs og sú þriðja um vinnslu persónuupplýsinga viðkvæmra hópa, svo sem börn.

25. Framangreint endurspeglist í auglýsingu Persónuverndar nr. 828/2019 um skrá yfir vinnsluaðgerðir sem krefjist ávallt mats á áhrifum á persónuvernd og eigi sér einnig stoð í skýringum við 9. gr. í greinargerð með frumvarpi til laga nr. 90/2018. Loks njóti persónuupplýsingar barna sérstakrar verndar, sbr. til dæmis 1. mgr. 27. gr. grunnskólalaga. Verklag stefnda hafi ekki komið í veg fyrir að viðkvæmar persónuupplýsingar yrðu færðar inn í lausnina og í mati stefnda á áhrifum á persónuvernd segi að slíkar upplýsingar geti ævinlega verið færðar þar inn. Tekið hafi verið tillit til öryggisráðstafana stefnda í ákvörðun 16. desember 2021. Það sé þó ekki í samræmi við viðurkennda og samræmda túlkun persónuverndarreglna að líta svo á að þær hafi nánast eytt með öllu möguleikum á að viðkvæmar persónuupplýsingar yrðu skráðar auk þess sem vinnsla færi þegar fram við skráningu í skýjalausn. Ályktun um að telja endurgjöf kennara persónuupplýsingar viðkvæms eðlis eða upplýsingar um hrein einkamálefni hafi jafnframt byggst á túlkun stefnda sjálfs, 2. mgr. 27. gr. grunnskólalaga, túlkun annarra eftirlitsstjórnvalda á EES-svæðinu, leiðbeiningum Evrópska persónuverndarráðsins og 29. gr. vinnuhópsins og auglýsingu Persónuverndar nr. 828/2019.

26. Skylt sé að taka tilhlýðilegt tillit til eðlis upplýsinga sem unnið er með við ákvörðun um beitingu stjórnvaldssektar og fjárhæðar hennar, sbr. 1. og 7. tölulið 1. mgr. 47. gr. laga nr. 90/2018. Heimilt hafi verið að byggja ákvörðun um sekt á ákvörðuninni 16. desember 2021 enda um að ræða sama stjórnsýslumálið. Þá hafi efnislegar niðurstöður fyrri ákvörðunar ekki verið til endurskoðunar í þeirri seinni. Við mat á alvarleika brota, að teknu tilliti til eðlis, umfangs, samhengis og tilgangs vinnslu í samræmi við 1. tölulið 1. mgr. 47. gr. laganna, beri að horfa til ábyrgðarskyldu, sbr. 23. gr. og 1. mgr. 25. gr. þeirra. Niðurstaða hins áfrýjaða dóms gangi því gegn reglum um ábyrgðarskyldur ábyrgðaraðila og forsendum dóms Evrópudómstólsins 16. júlí 2020 í máli nr. C-311/18. Stefnda hafi einnig borið að tryggja að ákvæði í vinnslusamningi um að heimilt væri að flytja persónuupplýsingar til Bandaríkjanna og vinna þær þar væru óskuldbindandi. Hann hafi einungis átt að leita til vinnsluaðila sem gæti veitt nægilegar tryggingar fyrir gerð viðeigandi tæknilegra og skipulagslegra ráðstafana til að vinnslan uppfyllti kröfur laga nr. 90/2018. Almennt upplýsingaöryggi hafi hvorki þýðingu né dulkóðun vinnsluaðila sem haldi sjálfur á dulkóðunarlykli eða hafi greiðan aðgang að honum. Brot stefnda hafi því verið alvarlegt enda hafi ekki verið hægt að útiloka tjón þar sem persónuupplýsingar höfðu verið vistaðar og unnar í Bandaríkjunum án þess að tryggja viðeigandi vernd. Um var að ræða vinnslu persónuupplýsinga 774 barna í skólastarfi í allt að eitt ár. Þá standi fjölmörg brot eftir í ákvörðuninni 16. desember 2021 sem ekki hafi verið fjallað um í hinum áfrýjaða dómi.

Helstu málsástæður stefnda

27. Stefndi byggir á að hann hafi aldrei verið upplýstur um að fyrirhuguð væri taka ákvörðunar eða um efni hennar. Öll samskipti hafi lotið að beiðnum áfrýjanda Persónuverndar um upplýsingar. Þannig hafi verið komið í veg fyrir að stefndi nyti lögbundins andmælaréttar, sbr. 13. gr. stjórnsýslulaga, og málið ekki verið rannsakað til hlítar. Til að mynda sé óljóst að hvaða leyti tekið hafi verið tillit til COVID-19-farsóttarinnar við stjórnsýslulega meðferð málsins. Að þessu hafi þó verið vikið í bréfi stefnda 16. ágúst 2021, bréfi persónuverndarfulltrúa hans 18. janúar 2022, upphaflegu mati á áhrifum persónuverndar frá október 2020 og uppfærðu mati 16. apríl 2021.

28. Stefndi telur að vinnsla persónuupplýsinga geti byggst á viðhlítandi vinnsluheimild 1. mgr. 9. gr. og 1. mgr. 11. gr. laga nr. 90/2018 og talist heimil og lögmæt eftir því. Skortur á fylgni við meginreglur feli í sér sjálfstætt brot á 1. mgr. 8. gr. laganna en hafi ekki sjálfkrafa í för með sér að vinnsluheimild eftir 9. eða 11. gr., sem sé til staðar, falli úr gildi. Á hinn bóginn séu bein tengsl á milli skorts á vinnsluheimild í 9. og 11. gr. laganna og meginreglu 1. töluliðar 1. mgr. 8. gr. um að vinnsla skuli vera lögmæt, sanngjörn og gagnsæ. Af því leiði að þegar engin vinnsluheimild sé fyrir hendi teljist vinnsla ólögmæt og meginreglur jafnframt brotnar. Þessu sé á hinn bóginn ekki öfugt farið. Í hinum áfrýjaða dómi hafi verið tekið mið af ábyrgðarskyldu við mat á hvort ákvarðanir áfrýjanda hafi verið haldnar annmörkum en stofnunin hafi ekki áður gert kröfu um að ábyrgðarreglan eða mat á fylgni við hana væri skjalfest sérstaklega umfram það sem leiði af lögum nr. 90/2018. Tilgangur 29. gr. laganna sé að lýsa hvernig ábyrgðaraðili meti vinnslu út frá eðli, umfangi, samhengi, tilgangi og áhættu. Ekki sé um að ræða tvenns konar staðfestingu eða mat á áhættu.

29. Tilgangur vinnslu persónuupplýsinga í stafrænu kennslulausninni hafi verið kennsla í grunnskólum og samskipti við foreldra og forsjáraðila á grundvelli grunnskólalaga. Hann hafi verið skýrt afmarkaður í vinnsluskrá og í mati á áhrifum á persónuvernd og byggst á ítarlegu faglegu mati sérfræðinga stefnda í kennslufræðum. Auk þess átti að útbúa verklagsreglur og fræðslu um notkun lausnarinnar um skipulagslegar ráðstafanir til að stuðla að því að einungis nauðsynleg vinnsla færi fram og til að tryggja innbyggða og sjálfgefna persónuvernd. Stefndi hafi metið nauðsyn vinnslu persónuupplýsinga grunnskólanemenda í mati á áhrifum á persónuvernd og sérstaklega vikið að því að um persónuupplýsingar barna væri að ræða. Ekki verði ráðið af ákvæðum laga nr. 90/2018 að rökstyðja þurfi nauðsyn hvers þáttar vinnslu hvers tiltekins flokks persónuupplýsinga í lausninni vegna verks sem unnið er í þágu almannahagsmuna samkvæmt 5. tölulið 9. gr. laganna. Stjórnvöld hafi rúmar heimildir til að vinna með persónuupplýsingar þegar það sé nauðsynlegt í tengslum við opinberar skyldur. Sú krafa sé sveigjanleg og veiti opinberum aðilum víðtækt svigrúm til að leggja mat á hvað sé viðeigandi og málefnalegt svo að þeir geti sinnt verkefnum sínum með þeim hætti sem hlutaðeigandi löggjöf geri ráð fyrir.

30. Vinna stefnda við mat á áhrifum á persónuvernd hafi hafist í febrúar 2020 og lokið með mati á áhrifum á persónuvernd sem sent hafi verið persónuverndarfulltrúa stefndu 19. október 2020 og samþykkt af hans hálfu. Ósannað sé að viðkvæmar persónuupplýsingar hafi verið skráðar í kerfið og ekkert komið fram um að fyrirhugað væri að skrá slíkar upplýsingar. Því hafi verið óheimilt að byggja sektarákvörðunina 3. maí 2022 á órökstuddum getgátum um hugsanlega skráningu ótilgreindra upplýsinga og gefa sér að þær hlytu að vera viðkvæms eðlis. Í lögum nr. 90/2018 sé auk þess ekki að finna skilgreiningu á persónuupplýsingum sem teljist „viðkvæms eðlis“. Þar sé hins vegar fjallað um „viðkvæmar persónuupplýsingar“, sbr. 3. tölulið 3. gr. laganna en endurgjöf kennara sé ekki þar meðal. Hugtakið persónuupplýsingar viðkvæms eðlis virðist því hafa verið notað af áfrýjanda án lagastoðar til að gefa tilteknum upplýsingum aukið vægi. Auk þess gæti misskilnings um eðli endurgjafar kennara í lausninni. Um sé að ræða leiðsögn um hvað megi betur fara í verkefnum nemenda en ekki lokaeinkunn og teljist það ekki til upplýsinga viðkvæms eðlis.

31. Stefndi tekur einnig fram að hann hafi verið í góðri trú um að gögnin yrðu einungis vistuð í Evrópu. Síðar hafi komið í ljós að þau voru vistuð og unnin í Bandaríkjunum. Hvorki hafi verið sýnt fram á tjón vegna þessa né leiddar að því líkur. Samningur hafi komist á milli stefnda og Seesaw Learning Inc. í samræmi við staðlaða samningsskilmála sem hafi verið samþykktir í kjölfar dóms Evrópudómstólsins í máli nr. C-311/18. Í ákvörðun áfrýjanda 3. maí 2022 segi að ekkert bendi til annars en að almennt upplýsingaöryggi erlenda félagsins hafi verið fullnægjandi og að notast hafi verið við viðeigandi tæknilegar og skipulagslegar ráðstafanir. Jafnframt liggi fyrir staðfesting frá félaginu um að gögn nemenda hafi verið dulkóðuð í flutningi og geymslu sem og að lágmarkskröfur um dulkóðun gagna hafi verið samkvæmt nánar tilteknum staðli og verklagsreglum. Því hafi raunverulegt gagna- og upplýsingaöryggi verið tryggt. Miðlun persónuupplýsinga í lausninni fari fram í samræmi við nýjustu útgáfur dulkóðunarstaðla, lykilorð varin með tætigildi og bent á í ákvörðun áfrýjanda að upplýsingar á vefsíðu félagsins sem vísað sé til í vinnsluskilmálum gefi til kynna að upplýsingaöryggi sé fullnægjandi, sbr. 1. mgr. 32. gr. persónuverndarreglugerðarinnar, þótt stefnda hafi láðst að skjalfesta formlega afstöðu sína um öryggisráðstafanir þess.

32. Meðalhófs hafi enn fremur ekki verið gætt við álagningu sektar þar sem taka hefði átt tillit til áhrifa COVID-19, ekkert tjón hafi orðið, fáir nemendur orðið fyrir einhverjum áhrifum, ætlað brot varað skamman tíma og stefndi verið fús til samvinnu við áfrýjanda frá upphafi. Hin sérstaka vernd persónuupplýsinga barna í 38. lið formálsorða persónuverndarreglugerðarinnar eigi ekki við um vinnslu stefnda og úr hófi að láta þetta hafa áhrif til þyngingar sektar. Ákvörðun um stöðvun á notkun lausnarinnar 15. apríl 2021 hafi auk þess verið felld úr gildi 19. sama mánaðar og stefndi haft réttmætar væntingar til þess að ekki yrðu gerðar athugasemdir við áframhaldandi notkun. Auk þess hafi í ákvörðun um sekt 3. maí 2022 verið fallist á að stefndi hefði verið góðri trú og því ekki ástæða fyrir hann að tilkynna ætluð brot. Ekki virðist þó hafa verið tekið tillit til þess við ákvörðun sektar. Þá hafi sú ákvörðun að öllu leyti verið byggð á þeim sjónarmiðum sem lögð hafi verið til grundvallar ákvörðun áfrýjanda 16. desember 2021 án þess að tekið hafi verið tillit til andmæla stefnda.

Niðurstaða

Heimildir dómstóla til endurskoðunar ákvarðana áfrýjanda Persónuverndar

33. Aðilar deila um hvort form- eða efnisannmarkar hafi verið á ákvörðunum áfrýjanda Persónuverndar 16. desember 2021 og 3. maí 2022. Af þeim sökum þarf að fjalla um heimildir dómstóla til endurskoðunar ákvarðana áfrýjanda Persónuverndar.

34. Í 38. gr. laga nr. 90/2018 er fjallað um skipulag og stjórnsýslu áfrýjanda. Þar segir í 1. mgr. að Persónuvernd sé sjálfstæð stofnun með sérstaka stjórn og taki ekki við fyrirmælum frá stjórnvöldum eða öðrum aðilum. Þá verði ákvörðunum stofnunarinnar samkvæmt lögunum heldur ekki skotið til annarra stjórnvalda en aðilum máls sé heimilt að leggja ágreining sinn fyrir dómstóla með venjubundnum hætti. Í greinargerð með frumvarpi til laganna segir að með þessu sé áréttuð sú almenna regla sem leidd verði af 60. og 70. gr. stjórnarskrár lýðveldisins Íslands nr. 33/1944 að aðilum máls sé heimilt að leggja ágreining sinn fyrir dómstóla líkt og gildi um allar stjórnvaldsákvarðanir.

35. Sú meginregla hefur verið leidd af fyrirmælum stjórnarskrárinnar í 2. gr. um þrígreiningu ríkisvalds og 60. gr. um endurskoðun dómstóla á stjórnvaldsákvörðunum að dómstólar séu almennt ekki bærir til að taka efnislegar ákvarðanir um málefni sem lögum samkvæmt eru á hendi handhafa framkvæmdarvalds, sbr. til dæmis dóm Hæstaréttar 2. júní 2016 í máli nr. 595/2015. Frá þessari meginreglu er þó að finna undantekningar í dómaframkvæmd. Rök að baki þeim verður að meta í ljósi þess hvers eðlis stjórnvaldsákvörðun er hverju sinni.

36. Ákvörðun um refsingu eða önnur viðurlög við lögbrotum telst í eðli sínu falla undir verksvið dómsvalds en ekki framkvæmdarvalds. Engu að síður hefur löggjafanum verið talið heimilt að fela stjórnvöldum úrskurðarvald um tiltekin viðurlög á hendur einstaklingum og lögaðilum, svo sem um stjórnvaldssektir vegna brota á lögum, án þess að í bága fari við 2. gr. stjórnarskrárinnar. Slíka heimild er að finna í 46. gr. laga nr. 90/2018 en stjórn áfrýjanda fer samkvæmt 3. mgr. 38. gr. laganna með ákvörðun um álagningu sekta. Þessa heimild verður að skýra í ljósi þess að dómstólar hafa víðtækt vald til að endurskoða efnislegt lögmæti slíkrar stjórnvaldsákvörðunar, svo sem um sönnunaratriði, túlkun lagaatriða og fjárhæð sekta. Þannig er réttur einstaklinga og lögaðila til að bera stjórnvaldsákvarðanir um réttindi sín og skyldur undir dómstóla tryggður svo sem áskilið er í 1. mgr. 70. gr. stjórnarskrárinnar. Þegar dómstólar fjalla um álagningu stjórnvaldssekta sem einstaklingar eða lögaðilar skjóta til þeirra mæla sjónarmið um réttaröryggi og skilvirkni auk þess með því að þeir geti tekið nýja efnislega ákvörðun í máli, meðal annars um lækkun fjárhæðar sektar eða að hún verði felld niður fremur en að ógilda sektarákvörðun og vísa máli til nýrrar ákvörðunar um sekt fyrir stjórnvaldi. Um slíka framkvæmd við endurskoðun stjórnvaldsákvarðana má meðal annars vísa til dóms Hæstaréttar 4. mars 2021 í máli nr. 26/2020 og þeirra dóma sem þar er vísað til.

Ákvörðun áfrýjanda Persónuverndar 16. desember 2021

37. Með ákvörðun áfrýjanda Persónuverndar 16. desember 2021 var því slegið föstu að vinnsla persónuupplýsinga skólabarna í stafrænni kennslulausn Seesaw á vegum stefnda samrýmdist ekki persónuverndarlöggjöfinni. Þá var lagt fyrir stefnda að loka reikningum skólabarna í henni og sjá til þess að öllum persónuupplýsingum yrði eytt, eftir að afrit hefði verið tekið af þeim. Stefndi er ábyrgðaraðili fyrrgreindrar vinnslu persónuupplýsinga sem fólst í notkun kennslulausnarinnar, sbr. 6. tölulið 3. gr. laga nr. 90/2018. Hann bar því ábyrgð á að vinnslan samrýmdist ákvæðum laga nr. 90/2018 og persónuverndarreglugerðarinnar, þar á meðal að fyrir lægi fullnægjandi heimild fyrir vinnslu persónuupplýsinga, meginreglna persónuverndarlöggjafarinnar hefði verið gætt, fræðsluskyldu sinnt og hugað að réttindum hinna skráðu. Þá er ekki ágreiningur um að Seesaw Learning Inc. telst vinnsluaðili samkvæmt 7. tölulið 3. gr. laganna en stefndi og erlenda félagið sameiginlegir ábyrgðaraðilar vegna vinnslu svonefndra annálagagna.

Málsmeðferð við töku ákvörðunarinnar 16. desember 2021

38. Stefndi hefur byggt á því að málsmeðferðarreglur stjórnsýsluréttar hafi verið brotnar við meðferð þess hluta málsins sem lauk með ákvörðun áfrýjanda Persónuverndar 16. desember 2021. Andmælaréttur hafi ekki verið virtur, sbr. 13. gr. stjórnsýslulaga, og áfrýjandi ekki uppfyllt rannsóknarskyldu sína samkvæmt 10. gr. sömu laga.

39. Málsmeðferð áfrýjanda hófst sem fyrr segir með bréfi til stefnda 15. apríl 2021 þar sem tilkynnt var að stofnunin hefði hafið frumkvæðisathugun á notkun kennslulausnarinnar í grunnskólum stefnda. Þá væri líklegt að fyrirhugaðar vinnsluaðgerðir með henni brytu í bága við persónuverndarlöggjöfina og lagt fyrir stefnda að stöðva alla vinnslu persónuupplýsinga. Sú stöðvun var síðar felld úr gildi með bréfi 19. sama mánaðar.

40. Þau bréfaskipti sem aðilar áttu í kjölfarið lutu einkum að því að upplýsa málið. Með bréfum 27. apríl og 2. júlí 2021 var óskað gagna sem stefndi sendi 25. maí og 16. ágúst sama ár. Í kjölfar fyrirspurnar stefnda um stöðu málsins 23. september 2021 sagði í bréfi áfrýjanda að unnið væri að meðferð þess. Þá upplýsti áfrýjandi 19. nóvember 2021 vegna fyrirspurnar stefnda sama dag að unnið væri að málinu og að vonir stæðu til að það yrði tekið fyrir á fundi stjórnar í desember. Í bréfi áfrýjanda 8. desember 2021 kom fram að fyrirhugað væri að taka málið fyrir á fundi stjórnar 16. sama mánaðar. Þar var einnig óskað nánar tilgreindra upplýsinga frá stefnda um vörslu gagna innan Evrópska efnahagssvæðisins og ætlaða vinnslu þeirra í Bandaríkjunum. Svör stefnda voru veitt með bréfum 13. og 14. sama mánaðar þar sem ítrekuð var ósk hans um að leitað yrði leiða í samráði við áfrýjanda um hvernig mætti nýta stafrænu kennslulausnina áfram í skólastarfi.

41. Eins og að framan greinir voru samskipti málsaðila fram að töku ákvörðunarinnar að meginstefnu til í formi beiðna um upplýsingar og svara stefnda við þeim. Var honum því aldrei veittur formlegur réttur til andmæla með vísan til 13. gr. stjórnsýslulaga sem hefðu þó ótvírætt talist vandaðir stjórnsýsluhættir í ljósi stöðu og hlutverks áfrýjanda. Þá er til þess að líta að við þær aðstæður sem upp voru komnar í málinu 14. desember 2021 bar áfrýjanda að gefa stefnda kost á því að tjá sig frekar um flutning upplýsinga til Bandaríkjanna og vinnslu þar. Er þá horft til þess vægis sem þessu atriði var veitt í ákvörðuninni. Á það er hins vegar fallist með héraðsdómi að stefndi hefði mátt gera sér grein fyrir því í meginatriðum að hverju rannsókn áfrýjanda beindist og að fyrirhugað væri að stjórn stofnunarinnar tæki ákvörðun í málinu tiltekinn dag eins og raunin varð. Þá hefur stefndi ekki bent á frekari gögn sem hann hefði viljað koma á framfæri við áfrýjanda í aðdraganda ákvörðunarinnar. Eru því ekki slíkir formannmarkar á ákvörðun áfrýjanda 16. desember 2021 að leiða eigi til ógildingar hennar í heild.

Tegundir persónuupplýsinga

42. Stefndi byggir enn fremur á því að það hafi ekki verið tilgangur vinnslu í stafrænu kennslulausninni að skrá þar viðkvæmar persónuupplýsingar samkvæmt 3. tölulið 3. gr. laga nr. 90/2018. Auk þess hafi engar slíkar upplýsingar í reynd verið skráðar.

43. Ákvörðun áfrýjanda Persónuverndar var að þessu leyti byggð á því að óhjákvæmilegt teldist að til þess kæmi að viðkvæmar persónuupplýsingar kynnu að verða færðar inn í stafrænu kennslulausnina og í því tilliti meðal annars litið til aldurs nemenda. Var vísað um þetta til uppfærðs mats stefnda á mati á áhrifum á persónuvernd 16. apríl 2021 þar sem fram kom að ljóst væri að viðkvæmar persónuupplýsingar gætu ævinlega verið færðar í lausnina. Aftur á móti hefur ekki verið sýnt fram á að slíkar persónuupplýsingar hafi verið færðar inn í lausnina eða það verið tilgangur stefnda. Þá liggur fyrir að notendum var ráðlagt um viðbrögð ef slíkt gerðist. Þótt fallist sé á með áfrýjanda að stefndi hafi í fyrrgreindu mati á áhrifum á persónuvernd tekið fram að slíkar upplýsingar gætu ratað inn í lausnina, verður í ljósi atvika málsins ekki dregin sú ályktun að það eitt hefði átt að hafa þá efnislegu þýðingu sem því var veitt í málinu.

44. Í ákvörðun áfrýjanda er jafnframt komist að þeirri niðurstöðu að persónuupplýsingar í hinni stafrænu kennslulausn væru „viðkvæms eðlis“. Hugtakið persónuupplýsingar viðkvæms eðlis er ekki að finna í lögum nr. 90/2018. Áfrýjandi Persónuvernd byggir um þetta meðal annars á meginreglu persónuverndarlöggjafarinnar um meðalhóf og lágmörkun gagna, sbr. 3. tölulið 1. mgr. 8. gr. laga nr. 90/2018, og leiðbeiningum 29. gr. vinnuhópsins, WP248. Þar séu níu viðmiðanir sem ríki eigi að líta til þegar þau telja upp tegundir vinnsluaðgerða sem ávallt krefjist mats á áhrifum á persónuvernd, sbr. einnig auglýsingu Persónuverndar nr. 828/2019.

45. Fallist er á með héraðsdómi að finna megi því nokkra stoð í lögskýringargögnum að baki 2. og 3. tölulið 1. mgr. 8. gr. laga nr. 90/2018 að telja sumar persónuupplýsingar viðkvæms eðlis án þess þó að þær séu „viðkvæmar persónuupplýsingar“ í skilningi 3. töluliðar 3. gr. laganna. Þá segir í 10. lið formálsorða persónuverndarreglugerðarinnar að hún veiti aðildarríkjunum ákveðið svigrúm til að skilgreina reglur sínar, meðal annars um vinnslu sérstakra flokka persónuupplýsinga, svonefndra viðkvæmra upplýsinga, sbr. einnig auglýsingu Persónuverndar nr. 828/2019. Þá kemur fram í athugasemdum um ákvæði sem síðar varð að 9. gr. laga nr. 90/2018 að við mat á nauðsyn vinnslu megi gera ríkar kröfur ef um er að ræða upplýsingar um hrein einkamálefni einstaklinga, svo sem um félagsleg vandamál, hjónaskilnaði og samvistarslit, ættleiðingar og annað sem sanngjarnt er og eðlilegt að fari leynt.

46. Ekki er fallist á að sýnt hafi verið fram á að sú endurgjöf kennara sem fyrirhugað var að færa inn í kennslulausnina sé slíks eðlis að hún falli fyrirvaralaust undir að vera persónuupplýsingar „viðkvæms eðlis“. Þótt óumdeilt sé að upplýsingar um börn njóti ríkrar verndar samkvæmt persónuverndarlöggjöfinni verður ekki dregin sú afdráttarlausa ályktun að allar upplýsingar um endurgjöf til barna teljist af því tagi heldur verður að meta það hverju sinni. Í ljósi þeirrar málsmeðferðar sem áfrýjandi viðhafði í aðdraganda ákvörðunarinnar er það álit réttarins að stefndi eigi að njóta vafans að þessu leyti en hann hefur haldið því fram að sú endurgjöf sem hér um ræðir sé ekki viðkvæms eðlis í framangreindum skilningi.

47. Er því ekki fallist á að áfrýjandi Persónuvernd hafi í ákvörðun sinni 16. desember 2021 lagt viðhlítandi grunn að efnislegri niðurstöðu sinni að þessu leyti og er það efniságalli á fyrrgreindri ákvörðun.

Heimild til vinnslu persónuupplýsinga

48. Aðilar deila einnig um hvort stefndi hafi haft heimild til að vinna persónuupplýsingar í stafrænu kennslulausninni. Óumdeilt er að vinnsla svonefndra annálagagna um notkun í henni, svo sem um staðsetningargögn foreldra og forráðamanna í þágu markaðssetningar, féll ekki undir ætlaða vinnsluheimild stefnda. Ekki er ágreiningur um þá niðurstöðu áfrýjanda Persónuverndar 16. desember 2021 að í því fólst brot gegn persónuverndarlöggjöfinni.

49. Áfrýjandi er eftirlitsstjórnvald, sbr. 39. gr. laga nr. 90/2018, og annast eftirlit með framkvæmd laganna og persónuverndarreglugerðinni, sérákvæðum í lögum sem fjalla um vinnslu persónuupplýsinga og annarra reglna sem við eiga. Stefndi ber aftur á móti ábyrgð á rekstri almennra grunnskóla sveitarfélagsins eins og fram kemur í 1. mgr. 5. gr. grunnskólalaga. Í 1. mgr. 24. gr. þeirra segir að ráðherra setji grunnskólum aðalnámskrá. Í henni er meðal annars kveðið á um uppeldishlutverk grunnskóla og meginstefnu í kennslu og kennsluskipan í samræmi við hlutverk þeirra. Þá er skólastjóri forstöðumaður grunnskóla, stjórnar honum, veitir faglega forustu og ber ábyrgð á starfi hans gagnvart sveitarstjórn, sbr. 1. mgr. 7. gr. laganna.

50. Í 8. gr. laga nr. 90/2018 er að finna meginreglur sem ávallt skal gæta að við vinnslu persónuupplýsinga. Samkvæmt 1. tölulið 1. mgr. greinarinnar skulu persónuupplýsingar unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða. Í 2. tölulið er mælt fyrir um að þær skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi. Þá kemur fram í 3. tölulið málsgreinarinnar að gætt skuli að því að umfang vinnslunnar sé ekki umfram það sem nauðsynlegt er miðað við tilgang hennar. Öll vinnsla persónuupplýsinga verður jafnframt að hvíla á einhverri þeirra heimilda sem getið er um í 9. gr. laganna. Í 1. tölulið þeirrar greinar er mælt fyrir um að vinnsla geti hvílt á samþykki hins skráða, í 3. tölulið að hún sé nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila og í 5. tölulið er síðan að finna heimild til vinnslu persónuupplýsinga þegar hún er nauðsynleg vegna verks sem unnið er í þágu almannahagsmuna eða við beitingu opinbers valds sem ábyrgðaraðili fer með.

51. Þótt álitaefni á sviði persónuverndar lúti að sérþekkingu ábyrgðaraðila á tilteknu sviði, svo sem um málefni skóla og kennslu, ryður það ekki brott heimild áfrýjanda til að leggja sjálfstætt mat á hvort tilgangur vinnslu persónuupplýsinga sé nægilega skýrt afmarkaður og þar með hvort vinnsluheimild sé fyrir hendi. Önnur niðurstaða fæli í sér takmörkun á valdheimildum áfrýjanda í andstöðu við ákvæði laga nr. 90/2018 og persónuverndarreglugerðarinnar. Á hinn bóginn verður að játa ábyrgðaraðila ákveðið svigrúm til þess að taka ákvarðanir um vinnslu persónuupplýsinga til að fullnægja lagaskyldu sem hvílir á honum, sbr. 3. tölulið 9. gr. laganna, eða ef hún er nauðsynleg vegna verks sem unnið er í þágu almannahagsmuna eða við beitingu opinbers valds sem hann fer með í skilningi 5. töluliðar málsgreinarinnar. Í því ljósi er fallist á að stefndi hafi notið heimildar til vinnslu almennra persónuupplýsinga í stafrænu kennslulausninni, sbr. 5. tölulið 9. gr. laga nr. 90/2018, og í því tilliti notið ákveðins svigrúms til mats á þeim leiðum sem til greina komu.

52. Þær upplýsingar sem unnar voru í kennslulausninni þurftu einnig að vera fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi. Auk þess bar að gæta þess við vinnslu upplýsinganna að þær væru nægilega viðeigandi og ekki umfram það sem nauðsynlegt var miðað við tilgang vinnslunnar. Hefur áfrýjandi meðal annars byggt á því að þetta skilyrði hafi ekki verið uppfyllt þar sem stefndi hafi einungis sýnt fram á hagræði af notkun lausnarinnar en ekki nauðsyn.

53. Þótt áfrýjandi Persónuvernd hafi það hlutverk að hafa eftirlit samkvæmt lögum nr. 90/2018 getur það ekki náð til þess að stofnunin leggi eigið mat til grundvallar við endurskoðun á vali á leiðum til að mæta þeim skyldum sem á stefnda hvíla. Hefur ekkert komið fram sem haggar því mati stefnda að vinnsla persónuupplýsinga hafi verið nauðsynleg í þágu þeirra almannahagsmuna sem liggja fyrrgreindri löggjöf um málefni grunnskóla til grundvallar. Að þessu gættu verður fallist á að nægilegt mat hafi farið fram hjá sérfræðingum stefnda á að umþrætt vinnsla hafi verið nauðsynleg í fyrrgreindum skilningi, einkum í ljósi framangreindrar niðurstöðu um eðli þeirra upplýsinga sem færðar voru inn í lausnina. Er þá jafnframt litið til þeirrar málsmeðferðar sem áfrýjandi viðhafði og áður er lýst og nýtur stefndi vafans að þessu leyti. Var ákvörðun áfrýjanda 16. desember 2021 því ekki rétt að þessu leyti og telst það efniságalli á henni.

Miðlun persónuupplýsinga til Bandaríkjanna

54. Aðilar deila jafnframt um skyldur stefnda sem ábyrgðaraðila vegna vinnslu og flutnings persónuupplýsinga skólabarna til Bandaríkjanna. Af hálfu áfrýjanda hefur því verið haldið fram að stefnda hafi borið að taka tillit til ábyrgðarskyldu þegar ákvarðanir voru teknar um vinnslu persónuupplýsinga. Þetta eigi til að mynda við um val á vinnsluaðila og mögulegar verndarráðstafanir í tengslum við flutning persónuupplýsinga til óöruggra þriðju landa, sbr. 23. gr. og 1. mgr. 25. gr. laga nr. 90/2018 og nánari ákvæði persónuverndarreglugerðarinnar.

55. Með vísan til forsendna héraðsdóms er fallist á að stefndi geti ekki vikið sér undan ábyrgðarskyldum sínum með því að vísa til misvísandi upplýsinga frá vinnsluaðila auk þess sem líta verður til þess að um persónuupplýsingar barna var að ræða. Jafnframt haggaði það ekki framangreindum skyldum stefnda samkvæmt persónuverndarlöggjöfinni þótt fram kæmu misvísandi upplýsingar frá hinum erlenda vinnsluaðila. Niðurstaða áfrýjanda um að brotið hefði verið gegn 46. gr. reglugerðarinnar með því að tryggja ekki öruggan flutning persónuupplýsinga til Bandaríkjanna var í samræmi við persónuverndarlöggjöfina. Voru því forsvaranlegar ályktanir dregnar um þennan þátt málsins í ákvörðun áfrýjanda 16. desember 2021.

Niðurstaða um efnislegt gildi ákvörðunarinnar 16. desember 2021

56. Samkvæmt ályktunarorðum ákvörðunarinnar 16. desember 2021 samrýmdist vinnsla persónuupplýsinga skólabarna í stafrænu kennslulausninni á vegum stefnda hvorki lögum nr. 90/2018 né persónuverndarreglugerðinni. Þeir efnislegu annmarkar ákvörðunarinnar sem hér hefur verið vikið að breyta því þó ekki að í ýmsum atriðum var vinnsla stefnda á persónuupplýsingum í lausninni eftir sem áður ekki í samræmi við persónuverndarlöggjöfina. Eru því ekki næg efni til að fella þennan þátt ákvörðunarorða áfrýjanda Persónuverndar úr gildi.

57. Að virtum þeim atvikum sem lágu fyrir og stöðu málsins við ákvörðunina 16. desember 2021 er það hins vegar mat réttarins að sá þáttur hennar sem laut að lokun reikninga skólabarna og eyðingu persónuupplýsinga hafi verið úr hófi. Er þá einnig horft til ríkra skyldna um leiðbeiningu og ráðgjöf sem hvíla á stofnuninni samkvæmt lögum nr. 90/2018 og reglum stjórnsýsluréttar svo og ítrekaðra óska stefnda þar að lútandi undir meðferð málsins.

Ákvörðunin 3. maí 2022

58. Í kjölfar fyrrgreindrar ákvörðunar óskaði stefndi 18. janúar 2022 leiðbeininga áfrýjanda Persónuverndar um hvernig hann gæti komið vinnslu persónuupplýsinga í stafrænu kennslulausninni í lögmælt horf. Með bréfi áfrýjanda 10. febrúar 2022 var aftur á móti boðuð álagning sektar og yrðu leiðbeiningar ekki veittar fyrr en ákvörðun um hana lægi fyrir. Sendi stefndi andmæli af því tilefni 3. mars 2022. Með ákvörðun áfrýjanda 3. maí sama ár var lögð 5.000.000 króna sekt á stefnda. Þar kom fram að rökstudd og bindandi ákvörðun hefði verið tekin 16. desember 2021 um brot stefnda. Lyti ákvörðunin nú einungis að því hvort leggja ætti sekt á hann vegna þeirra brota sem stofnunin hefði þegar komist að niðurstöðu um og fjárhæð hennar, sbr. 46. gr. laga nr. 90/2018 að teknu tilliti til 47. gr. þeirra.

59. Í sektarákvörðuninni var sérstaklega litið til nokkurra þátta sem voru taldir leiða til álagningar stjórnvaldssektar og hefðu áhrif til hækkunar hennar. Brot stefnda hefðu þannig varðað persónuupplýsingar barna sem nytu sérstakrar verndar. Líkur væru á skráningu viðkvæmra persónuupplýsinga og persónuupplýsinga viðkvæms eðlis, svo sem endurgjafar kennara eða upplýsinga um hrein einkamálefni. Mikil áhætta fylgdi flutningi þeirra til Bandaríkjanna og vinnslu þar án þess að gripið hefði verið til viðeigandi verndarráðstafana. Tilgangur vinnslunnar hefði ekki verið nægilega skýrt afmarkaður og vinnsluheimild þar af leiðandi ekki fyrir hendi, enda ekki hægt að sýna fram á nauðsyn vinnslu eða að hún samræmdist meginreglum um meðalhóf og lágmörkun gagna. Brotin hefðu náð til persónuupplýsinga nemenda í 1. til 7. bekk í að minnsta kosti sex grunnskólum og varað um nokkurra mánaða tímabil eða allt að eitt ár. Þá hefði ekki verið fylgt ákvæðum persónuverndarlöggjafarinnar þegar kennslulausnin var tekin í notkun og stefndi ákveðið að nota hana með þeim hætti sem gert var. Stefndi bæri einnig ábyrgð á flutningi persónuupplýsinga nemenda til Bandaríkjanna og vinnslu þeirra þar. Ábyrgð á kröfum um innbyggða og sjálfgefna persónuvernd hefði ekki verið fullnægt og annálagögn hefðu verið unnin í öðrum og ósamrýmanlegum tilgangi en þeim sem tilgreindur var.

60. Samkvæmt VII. kafla laga nr. 90/2018 eru áfrýjanda Persónuvernd veittar víðtækar heimildir, meðal annars til að takmarka eða banna vinnslu persónuupplýsinga og leggja á stjórnvaldssektir. Nánar er fjallað um sektarheimild áfrýjanda í 46., sbr. 47. gr. laganna. Við meðferð mála sem kann að lykta með stjórnvaldsákvörðun er áfrýjandi jafnframt bundinn af ákvæðum stjórnsýslulaga sem og óskráðum reglum stjórnsýsluréttar. Samkvæmt 10. gr. stjórnsýslulaga ber honum þannig að sjá til þess að mál sé nægjanlega upplýst áður en ákvörðun er tekin og að aðili eigi þess kost að tjá sig áður um efni máls enda liggi ekki fyrir í gögnum málsins afstaða hans og rök fyrir henni eða slíkt sé augljóslega óþarft, sbr. 13. gr. laganna. Við mat á þeim nánari skyldum sem hvíla á áfrýjanda að þessu leyti ber meðal annars að horfa til fyrrgreindrar stöðu hans, valdheimilda og nánari atvika máls. Ríkar kröfur verður þannig að gera til rannsóknar af hálfu stofnunarinnar áður en verulega íþyngjandi ákvörðun er tekin á matskenndum grundvelli, til að mynda um stöðvun vinnslu eða stjórnvaldssektir.

61. Í forsendum sektarákvörðunar áfrýjanda 3. maí 2022 var komist að þeirri niðurstöðu að brot stefnda hefðu verið alvarleg. Að framan var komist að þeirri niðurstöðu að stefndi hefði haft vinnsluheimild samkvæmt 5. tölulið 9. gr. laga nr. 90/2018. Þá hefur verið rakið að það var hvorki ráðagerð stefnda né tilgangur kennslulausnarinnar að skrá í hana viðkvæmar persónuupplýsingar í skilningi 3. töluliðar 3. gr. laga nr. 90/2018. Eins og atvikum var háttað ræður það ekki úrslitum þótt ekki væri hægt að útiloka að slíkt gerðist fyrir slysni. Fyrir lá að stefndi var meðvitaður um hættu að þessu leyti og hafði gripið til ákveðinna ráðstafana vegna þess. Enn fremur liggur ekkert fyrir um að viðkvæmar persónuupplýsingar hafi í reynd verið skráðar í lausnina þannig að tjón hafi hlotist af. Jafnframt nýtur stefndi vafans um að sú endurgjöf kennara sem gert var ráð fyrir að færð yrði í lausnina verði jafnað til persónuupplýsinga viðkvæms eðlis. Þá var stefnda með ákvörðun áfrýjanda 19. apríl 2021 heimilað að nota lausnina að svo stöddu áfram í skólastarfi.

62. Til viðbótar við þessa efnisannmarka á sektarákvörðuninni 3. maí 2022 er einnig til þess að líta að sá ágalli var á stjórnsýslulegri meðferð þessa hluta málsins að óvíst er hvort og þá að hvaða marki skýringar stefnda í andmælabréfi 3. mars 2022, sem honum var ekki gefinn kostur á að koma á framfæri fyrr, hefðu haft fyrir framhald málsins hefðu þær komið fram áður en ákvörðun 16. desember 2021 var tekin. Þessi annmarki á málsmeðferð stofnunarinnar er alvarlegri fyrir þær sakir að við ákvörðun sektar var ekki litið til eða höfð hliðsjón af efnislegum andmælum stefnda að því marki sem þau lutu að forsendum fyrri ákvörðunarinnar.

63. Þrátt fyrir það sem rakið var að framan um efnislega annmarka á ákvörðun áfrýjanda Persónuverndar 16. desember 2021 standa eftir önnur óumdeild brot stefnda sem þar var fjallað um. Þar á meðal að hann uppfyllti ekki meginreglu persónuverndar um sanngirni og gagnsæi vinnslu og gætti ekki að því að persónuupplýsingar skyldi ekki varðveita lengur en nauðsynlegt væri miðað við tilgang vinnslu eða ákvæði laganna um innbyggða og sjálfgefna persónuvernd. Þá hefði ekki verið sýnt fram á fullnægjandi heimild fyrir vinnslu svonefndra annálagagna í þágu markaðssetningar og ekki veitt fullnægjandi fræðsla í tengslum við vinnsluna. Til viðbótar hefði vinnslusamningur stefnda og erlenda félagsins ekki verið fullnægjandi eða eftir atvikum samkomulag um sameiginlega ábyrgð legið fyrir. Auk þess hefði mat stefnda á áhrifum á persónuvernd ekki staðist lágmarkskröfur og ekki verið fullnægt ábyrgðarskyldum um að tryggja öryggi við vinnslu persónuupplýsinga.

64. Að öllu framangreindu gættu eru einungis efni til að fallast á kröfu stefnda um ógildingu þess hluta ákvörðunarinnar 16. desember 2021 sem laut að lokun reikninga skólabarna í stafrænni kennslulausn Seesaw Learning Inc. Þá eru samkvæmt öllu framansögðu og að teknu tilliti til þeirra sjónarmiða um ákvörðun stjórnvaldssekta sem fram koma í 47. gr., sbr. 46. gr. laga nr. 90/2018, ekki efni til að gera stefndu sekt. Verður því fallist á endurgreiðslukröfu stefnda á hendur áfrýjanda íslenska ríkinu með vöxtum eins greinir í dómsorði.

65. Eftir þessum úrslitum og með vísan til 3. mgr. 130. gr. laga nr. 91/1991 verður áfrýjendum gert að greiða stefnda sameiginlega málskostnað. Verður hann ákveðinn í einu lagi í héraði og Hæstarétti eins og í dómsorði greinir.

Dómsorð:

Felldur er úr gildi sá hluti ákvörðunar áfrýjanda Persónuverndar 16. desember 2021 sem laut að lokun reikninga skólabarna í Seesaw-kennslulausninni. Að öðru leyti er hafnað kröfu stefnda Reykjavíkurborgar um ógildingu ákvörðunarinnar.

Áfrýjandi íslenska ríkið endurgreiði stefnda stjórnvaldssekt að fjárhæð 5.000.000 krónur, sem lögð var á hann með ákvörðun áfrýjanda Persónuverndar 3. maí 2022 með vöxtum samkvæmt 1. mgr. 8. gr. laga nr. 38/2001 um vexti og verðtryggingu frá 3. júní 2022 til 27. júní 2023 en frá þeim degi með dráttarvöxtum samkvæmt 1. mgr. 6. gr. sömu laga til greiðsludags.

Áfrýjendur greiði óskipt stefnda samtals 3.000.000 króna í málskostnað í héraði og fyrir Hæstarétti.