Bedömde inte konsekvenser – nu får Östersund GDPR-bot

Skol Elever

Foto: Adobe stock

IMY utfärdar en sanktionsavgift på 300 000 kronor mot barn- och utbildningsnämnden i Östersunds kommun. Anledningen är att nämnden inte genomfört en konsekvensbedömning innan skolplattformen Google Workspace började användas på kommunens 24 skolor.

Sedan hösten 2020 har 24 kommunala skolor i Östersund använt Google Workspace for Education. Runt 6 000 elevers och 1 300 anställdas personuppgifter har behandlats i plattformen.

Detta trots att personuppgiftsansvarig, i detta fall barn- och utbildningsnämnden, inte gjort en konsekvensbedömning för att identifiera risker och eventuella skyddsåtgärder.

– Det är nödvändigt att göra en konsekvensbedömning, om det finns en hög risk för personers fri- och rättigheter i samband med en personuppgiftsbehandling, för att kunna vidta lämpliga skyddsåtgärder. Att identifiera risker och därefter hantera dem, är en viktig del av ett kontinuerligt och systematiskt dataskyddsarbete, säger Nina Hellgren, jurist på IMY.

På grund av detta delar IMY ut en en sanktionsavgift på 300 000 kronor mot barn- och utbildningsnämnden för överträdelse av GDPR.

30 november 2023Uppdaterad 30 november 2023Reporter Fredrik Adolfssoninformationssäkerhet

Voisters nyhetsbrev

SENASTE NYTT