Gebyr til Ålesund kommune for bruk av Strava
Datatilsynet har vedteke å gje Ålesund kommune eit overtredelsesgebyr på 50 000 kronar for deira bruk av treningsappen Strava.
Strava er ein treningsapp som loggfører trening og som lar brukarane analysere og samanlikne sine data med eigne eller andre sine treningsloggar. Strava Inc. lagrar opplysningane som appen genererer. Desse opplysningane vil vere å rekne som personopplysningar.
Vi understrekar at det ikkje er Strava i seg sjølv som her er problemet, men Ålesund kommune sine rutinar for bruk av appar i skulen.
Bakgrunn for saka
Ved to skular i Ålesund kravde lærarane at elevane måtte laste ned treningsappen Strava til bruk i gymtimane. Elevane fekk så oppgåver, medan lærarane brukte sporing ved hjelp av appen til å sjekke at alle elevane hadde fullført oppgåvene.
Nedlastinga var obligatorisk, og appen vart lasta ned til elevane sine private telefonar. Bruk av sporingsfunksjonen reknast som ei behandling av personopplysningar om dei einskilde elevane.
Bruken av Strava skjedde i ein situasjon der lærerarane måtte strekke seg langt for å kunne gjennomføre forsvarleg undervisning i ein pandemisituasjon. Dette er likevel ikkje ei unnskuldning for kommunen sin manglande kontroll med bruk av ulike applikasjonar i skulen.
Vår vurdering
Treningsappen Strava vart teke i bruk utan at det var gjennomført ei risikovurdering. Datatilsynet anser at bruk av treningsappen Strava vil medføre aktivitetar som krev at det vert gjennomført ei vurdering av personvernkonsekvensar (DPIA).
Bruk av treningsappen gjer mellom anna at det vert behandla lokasjonsdata om elevane. Det kan også ha vore behandla særlege kategoriar av personopplysningar dersom elevane sjølve har opplyst om det i appen. Treningsappen vil dessutan behandle personopplysningar ved å systematisk monitorere effektivitet og ferdigheter. Hensikta med treningsappen har vore å sjå om elevane har gjennomført oppgåvene, men ein kan også måle ferdigheitene opp mot andre sine.
Denne saka syner at det ikkje er rutiner i kommunen over hvilke apper som skal nyttast i regi av skulen. Det er heller ikkje tydelege rutiner i samband med nedlasting av appar, slik som at dei skal risikovurderast før dei vert tekne i bruk.