Utbildningsnämnden i Stockholms stad åläggs att betala en administrativ sanktionsavgift på 4 000 000 sek

Utbildningsnämnden ansvarar för driften av kommunal verksamhet inom förskola, grundskola, grundsärskola, fritidshem, gymnasieskola och gymnasiesärskola. Nämnden nyttjar ett flertal system och e-tjänster (bl.a. Skolplattformen) i dess pedagogiska och administrativa verksamhet. Nämnden är personuppgiftsansvarig för den personuppgiftsbehandling som skett i systemen.

Datainspektionen har nu konstaterat att Utbildningsnämnden har behandlat personuppgifter i strid med artikel 5.1 f i GDPR, som ställer krav på den personuppgiftsansvarige att vidta lämplig säkerhet för personuppgifter, inbegripet skydd mot obehörig och otillåten behandling m.m.

I tillsynsbeslutet har Datainspektionen konstaterat att Utbildningsnämnden haft en behörighetstilldelning som varit mer omfattande än vad som är nödvändigt med hänsyn till vad respektive rollinnehavare behöver för att utföra sina arbetsuppgifter.

Man konstaterade vidare att obehöriga under drygt ett år haft åtkomst till systemet. I detta har obehöriga under dryg ett år haft åtkomst till integrationskänsliga personuppgifter rörande lärare med skyddad identitet.

Vidare har man underlåtit att göra en konsekvensbedömning för systemet, trots att behandlingarna sannolikt skulle leda till hög risk för fysiska personer fri- och rättigheter.

Utbildningsnämnden i Stockholms stad ska till följd av dessa brister betala en administrativ sanktionsavgift på 4 000 000 sek.

Beslutet meddelades den 23 november 2020 och har diarienummer DI-2019-7024 och finns att tillgå här https://www.datainspektionen.se/nyheter/allvarliga-brister-i-skolplattformen-i-stockholm/