Vurdering av personvernkonsekvenser
Det skal gjennomføres en vurdering av personvernkonsekvenser når det er sannsynlig at en type behandling vil medføre en høy risiko for fysiske personers rettigheter og friheter. Dette kravet følger av personvernforordningen artikkel 35.
Les vår generelle veiledning om vurdering av personvernkonsekvenser (DPIA)
Hva som utgjør en «høy risiko for fysiske personers rettigheter og friheter» må vurderes ut ifra behandlingens art, omfang, formål og sammenhengen den utføres i. Det europeiske personvernrådet (EDPB) har skissert ni kriterier som kan gi en indikasjon på at det skal gjennomføres en vurdering av personvernkonsekvenser (DPIA). Dere finner en oversikt over disse kriteriene i kapittelet om «Når er det høy risiko?» i vår genrelle veiledning
Man kan anta at det skal gjennomføres en personvernkonsekvensvurdering dersom to av kriteriene er oppfylt. Behandling av personopplysninger i grunnskolen gjennom bruk av Chromebook og GSFE oppfyller i våre øyne følgende to kriterier:
- «sårbare registrerte» (barn)
- «innovativ bruk eller anvendelse av ny teknologisk eller organisatorisk løsning» (bruk av skytjenester i grunnskolen)
Personvernforordningens fortalepunkt 38 understreker også viktigheten av å være særlig oppmerksom på barns personvern da de er mindre kjent med risikoer, konsekvenser og hvilke garantier som skal være på plass for å sikre deres rettigheter og friheter. Barn har også begrenset mulighet til selv å ivareta sine rettigheter og friheter.
Etter vår vurdering vil en behandling av personopplysninger i skolen ved bruk av Chromebook og Google sine øvrige tjenester innebære en høy risiko for de registrertes rettigheter og friheter, og vil følgelig kreve at det gjennomføres en vurdering av personvernkonsekvenser, jf. personvernforordningen artikkel 35.