Datatilsynet har sat foreløbigt punktum i Chromebook-sagen: Skærpede krav til kommunerne

Nyhed
29.07.2024

I mere end tre år har Datatilsynet lagt arm med en lang række kommuner om brugen af Google Chromebooks i den danske folkeskole. Nu er der sat foreløbigt punktum i sagen, efter Datatilsynet gav kommunerne et påbud om, at de skulle ændre deres brug af Google Chromebooks, så den var i overensstemmelse med loven, senest den 1. august 2024. Læs med i denne artikel og bliv klogere på, hvordan de skærpede forhold, som kommunerne fremover skal overholde, har betydning for dig som dataansvarlig.

Kommunernes reaktion på skærpede krav

52 kommuner anvender Google Workspace i folkeskolerne. Google anvender børnenes data til egne formål og det er, ifølge Datatilsynet, ulovligt, fordi kommunerne ikke har lovhjemmel til at videregive oplysninger om skolebørnene til en privat virksomhed, der bruger oplysningerne til egne formål.

 

Derfor fik kommunerne et påbud om at lovliggøre brugen af Google Workspace. Det har kommunerne, ifølge KL, gjort ved at ændre kontrakten med Google, så personoplysninger udelukkende vil blive behandlet efter den dataansvarlige kommunes instruks.

 

Kommunerne vil samtidig fremover afstå fra at benytte services, hvor behandling af personoplysninger sker i tredjelande, hvor der ikke er beskyttelse af de registreredes rettigheder svarende til den beskyttelse, som GDPR giver.

 

Sådan skal du kunne oplyse om databehandlingen

Det fremgår af Datatilsynets brev til KL, at Datatilsynet mener, at en dataansvarlig skal kunne redegøre over for de registrerede, hvordan behandlingen sker, af hvem og i hvilke roller. Ifølge Datatilsynet vil det ikke være muligt, hvis kontrakten og øvrige vilkår for databehandlingen er kompliceret, uafklaret, tvetydig eller ugennemsigtig.

 

Det er HjulmandKaptains vurdering, at alle dataansvarlige bør notere sig denne bemærkning fra Datatilsynet. Mange dataansvarlige har svært ved at forstå rækkevidden og indholdet af de kontrakter, der indgås med blandt andre de store tech-virksomheder, og det er, ifølge Datatilsynet, altså i strid med GDPR.

Ifølge Datatilsynet, må ingen forhold, der vedrører en databehandlers behandling af personoplysninger være undergivet vage, uklare eller hemmeligholdte kontraktsbetingelser eller behandlingskonditioner, der forhindrer den dataansvarlige i at foretage vurderingen af databehandlerens overholdelse af GDPR.

 

Men hvad vil det sige i praksis? Forstå GDPR én gang for alle på bare 5 minutter i denne video 

Datatilsynet indskærper krav til kommunerne

Samtidigt indskærper Datatilsynet en række forhold, som kommunerne skal være opmærksom på, for at den videre brug af Google Workspace er lovlig. Den enkelte kommune skal – inde påbudsfristen den 1. august 2024 – blandt andet sikre, at den nye kontrakt er indgået med Google. Med det menes altså, at kommunen har indført kontrolforanstaltninger, så det kan påvises, at GDPR overholdes, og at den enkelte kommune afstår fra at benytte – og lukker ned for – de tjenester og dele af tjenester, hvor personoplysninger behandles i tredjelande, hvor der ikke sker en beskyttelse svarende til GDPR, herunder for services og vedligeholdelse af infrastruktur fra leverandørens side.

 

Spørgsmål til Det Europæiske Databeskyttelsesråd

Datatilsynet oplyser, at det har bedt Det Europæiske Databeskyttelsesråd (EDPB) om en udtalelse om blandt andet rækkevidden af den dataansvarliges dokumentationsforpligtelse for databehandlerens brug af underdatabehandlere.

 

HjulmandKaptains vurdering af sagen og dens betydning for dig

Datatilsynet har tidligere givet udtryk for, at den dataansvarlige som udgangspunkt må stole på databehandlerens oplysninger om, hvordan personoplysninger behandles. I afgørelsen fra Datatilsynet påpeges det dog, at det er tilsynets opfattelse, at en dataansvarlig normalt vil være i strid med GPPR, hvis kontrakten og øvrige vilkår for databehandlingen er så komplicerede, uafklarede eller ugennemsigtige, at den dataansvarlige ikke kan redegøre for, hvordan behandlingen sker, af hvem og i hvilke roller. Særligt på den baggrund anbefaler HjulmandKaptain, at alle dataansvarlige sikrer, at der er dokumentation for sådanne oplysninger, hvilket typisk kræver ret omfattende forudgående undersøgelser. Det gælder eksempelvis særligt, hvis du anvender tjenester, hvor du har accepteret udbyderens standardvilkår, og/eller der er tale om komplekse databehandlerkonstellationer, f.eks. fordi der anvendes en lang række underdatabehandlere. Det er desuden HjulmandKaptains vurdering, at Chromebook-sagen kan – og med stor sandsynlighed vil – blusse op igen, hvis kommunerne ikke er i stand til at leve op til dokumentationskravene, som måtte blive defineret af EDPB.

 

Lad HjulmandKaptains specialister i GDPR hjælpe dig

Har du spørgsmål til Datatilsynets praksis eller har du brug for rådgivning om, hvordan du håndterer GDPR-reglerne, så kontakt vores specialister i GDPR for en uforpligtende snak.

Tilmeld dig
HjulmandKaptains
nyhedsbrev

Få nyheder, invitationer til arrangementer, gode råd og viden om jura inden for de fagområder, der interesserer dig.

 

Tilmeld nyhedsbrev