Gebyr til Ålesund for bruk av Strava

Datatilsynet har vedtatt å gi Ålesund kommune et overtredelsesgebyr på kr 50 000 for deres bruk av treningsappen Strava.

Strava er en treningsapp som loggfører trening og som lar brukerne analysere og sammenligne sine data med egne eller andres treningslogger. Strava Inc. lagrer opplysningene som appen genererer. Disse opplysningene vil være å regne som personopplysninger.

Datatilsynet understreker at det ikke er Strava som her er problemet, men Ålesund kommunes rutiner for bruk av apper i skolen.

Ved to skoler i kommunen krevde lærerne at elevene måtte laste ned treningsappen Strava til bruk i gymtimene. Elevene fikk så oppgaver, mens lærerne brukte sporing ved hjelp av appen til å sjekke at alle elevene hadde fullført oppgavene.

Nedlastingen var obligatorisk, og appen ble lastet ned til elevenes private telefoner. Bruk av sporingsfunksjonen regnes som en behandling av personopplysninger om de enkelte elevene.

Bruken av Strava skjedde i en situasjon der lærerne måtte strekke seg langt for å kunne gjennomføre forsvarlig undervisning i en pandemisituasjon. Dette er likevel ikke en unnskyldning for kommunens manglende kontroll med bruk av ulike applikasjoner i skolen.

Treningsappen Strava ble tatt i bruk uten at det var gjennomført en risikovurdering. Datatilsynet anser at bruk av treningsappen Strava vil medføre aktiviteter som krever at det blir gjennomført en vurdering av personvernkonsekvenser (DPIA).

Bruk av treningsappen medfører bl. a. at det blir behandlet lokasjonsdata om elevene. Det kan også ha blitt behandlet særlige kategorier av personopplysninger dersom elevene selv har opplyst om det i appen. Treningsappen vil dessuten behandle personopplysninger ved å systematisk monitorere effektivitet og ferdigheter. Hensikten med treningsappen har vært å se om elevene har gjennomført oppgavene, men en kan også måle ferdighetene opp mot andres.

Denne saken viser at det ikke er rutiner i kommunen over hvilke apper som skal benyttes i regi av skolen. Det er heller ikke tydelige rutiner i forbindelse med nedlasting av apper, slik som at de skal risikovurderes før de blir tatt i bruk.

Denne saken viser at det ikke er rutiner i kommunen over hvilke apper som skal benyttes i regi av skolen. Det er heller ikke tydelige rutiner i forbindelse med nedlasting av apper, slik som at de skal risikovurderes før de blir tatt i bruk.

Kilde: Datatilsynet

https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2021/gebyr-til-alesund-kommune-for-bruk-av-strava/