Datatilsynet har sat foreløbigt punktum i Chromebook-sagen: Skærpede krav til kommunerne
I mere end tre år har Datatilsynet lagt arm med en lang række kommuner om brugen af Google Chromebooks i den danske folkeskole. Nu er der sat foreløbigt punktum i sagen, efter Datatilsynet gav kommunerne et påbud om, at de skulle ændre deres brug af Google Chromebooks, så den var i overensstemmelse med loven, senest den 1. august 2024. Læs med i denne artikel og bliv klogere på, hvordan de skærpede forhold, som kommunerne fremover skal overholde, har betydning for dig som dataansvarlig.
Kommunernes reaktion på skærpede krav
52 kommuner anvender Google Workspace i folkeskolerne. Google anvender børnenes data til egne formål og det er, ifølge Datatilsynet, ulovligt, fordi kommunerne ikke har lovhjemmel til at videregive oplysninger om skolebørnene til en privat virksomhed, der bruger oplysningerne til egne formål.
Derfor fik kommunerne et påbud om at lovliggøre brugen af Google Workspace. Det har kommunerne, ifølge KL, gjort ved at ændre kontrakten med Google, så personoplysninger udelukkende vil blive behandlet efter den dataansvarlige kommunes instruks.
Kommunerne vil samtidig fremover afstå fra at benytte services, hvor behandling af personoplysninger sker i tredjelande, hvor der ikke er beskyttelse af de registreredes rettigheder svarende til den beskyttelse, som GDPR giver.
Sådan skal du kunne oplyse om databehandlingen
Det fremgår af Datatilsynets brev til KL, at Datatilsynet mener, at en dataansvarlig skal kunne redegøre over for de registrerede, hvordan behandlingen sker, af hvem og i hvilke roller. Ifølge Datatilsynet vil det ikke være muligt, hvis kontrakten og øvrige vilkår for databehandlingen er kompliceret, uafklaret, tvetydig eller ugennemsigtig.
Det er HjulmandKaptains vurdering, at alle dataansvarlige bør notere sig denne bemærkning fra Datatilsynet. Mange dataansvarlige har svært ved at forstå rækkevidden og indholdet af de kontrakter, der indgås med blandt andre de store tech-virksomheder, og det er, ifølge Datatilsynet, altså i strid med GDPR.
Ifølge Datatilsynet, må ingen forhold, der vedrører en databehandlers behandling af personoplysninger være undergivet vage, uklare eller hemmeligholdte kontraktsbetingelser eller behandlingskonditioner, der forhindrer den dataansvarlige i at foretage vurderingen af databehandlerens overholdelse af GDPR.
Men hvad vil det sige i praksis? Forstå GDPR én gang for alle på bare 5 minutter i denne video
Datatilsynet indskærper krav til kommunerne
Samtidigt indskærper Datatilsynet en række forhold, som kommunerne skal være opmærksom på, for at den videre brug af Google Workspace er lovlig. Den enkelte kommune skal – inde påbudsfristen den 1. august 2024 – blandt andet sikre, at den nye kontrakt er indgået med Google. Med det menes altså, at kommunen har indført kontrolforanstaltninger, så det kan påvises, at GDPR overholdes, og at den enkelte kommune afstår fra at benytte – og lukker ned for – de tjenester og dele af tjenester, hvor personoplysninger behandles i tredjelande, hvor der ikke sker en beskyttelse svarende til GDPR, herunder for services og vedligeholdelse af infrastruktur fra leverandørens side.
Spørgsmål til Det Europæiske Databeskyttelsesråd
Datatilsynet oplyser, at det har bedt Det Europæiske Databeskyttelsesråd (EDPB) om en udtalelse om blandt andet rækkevidden af den dataansvarliges dokumentationsforpligtelse for databehandlerens brug af underdatabehandlere.
HjulmandKaptains vurdering af sagen og dens betydning for dig
Datatilsynet har tidligere givet udtryk for, at den dataansvarlige som udgangspunkt må stole på databehandlerens oplysninger om, hvordan personoplysninger behandles. I afgørelsen fra Datatilsynet påpeges det dog, at det er tilsynets opfattelse, at en dataansvarlig normalt vil være i strid med GPPR, hvis kontrakten og øvrige vilkår for databehandlingen er så komplicerede, uafklarede eller ugennemsigtige, at den dataansvarlige ikke kan redegøre for, hvordan behandlingen sker, af hvem og i hvilke roller. Særligt på den baggrund anbefaler HjulmandKaptain, at alle dataansvarlige sikrer, at der er dokumentation for sådanne oplysninger, hvilket typisk kræver ret omfattende forudgående undersøgelser. Det gælder eksempelvis særligt, hvis du anvender tjenester, hvor du har accepteret udbyderens standardvilkår, og/eller der er tale om komplekse databehandlerkonstellationer, f.eks. fordi der anvendes en lang række underdatabehandlere. Det er desuden HjulmandKaptains vurdering, at Chromebook-sagen kan – og med stor sandsynlighed vil – blusse op igen, hvis kommunerne ikke er i stand til at leve op til dokumentationskravene, som måtte blive defineret af EDPB.
Lad HjulmandKaptains specialister i GDPR hjælpe dig
Har du spørgsmål til Datatilsynets praksis eller har du brug for rådgivning om, hvordan du håndterer GDPR-reglerne, så kontakt vores specialister i GDPR for en uforpligtende snak.
Nyheder
Se flere-
Nyhed16.09.2024Disse særlige rettigheder har du, hvis du er kommet til skade under en pakkerejse
Læs nyhed
-
Nyhed10.09.2024
Har du krav på erstatning, hvis du er blevet væltet af en anden cyklist?
Læs nyhed
-
Nyhed04.09.2024
Ny kendelse: Bliv klogere på de grunde, der kan udelukke tilbudsgivere
Læs nyhed
-
Case30.08.2024
HjulmandKaptain rådgav Viemose Netherlands B.V. om købet af Viemose-Driboga A/S
Se case
-
Case29.08.2024
HjulmandKaptain bistår kapitalejeren med salget af ShipCargo ApS
Se case
-
Nyhed28.08.2024
Nyt lovforslag skal hjælpe iværksættere som led i Iværksætter-pakken
Læs nyhed
-
Nyhed28.08.2024
Nyt perspektiv til designere i modebranchen: Kendt skodesign opnår ophavsretlig beskyttelse
Læs nyhed
-
Nyhed27.08.2024
Ny dom viser: Sådan bør du som arbejdsgiver forholde dig til en illoyal medarbejder
Læs nyhed
-
Nyhed23.08.2024
HjulmandKaptain cementerer international tilstedeværelse inden for international voldgift
Læs nyhed
Tilmeld dig
HjulmandKaptains
Få nyheder, invitationer til arrangementer, gode råd og viden om jura inden for de fagområder, der interesserer dig.