Kommuner får påbud i Chromebook-sagen

Nyhed

30.01.2024

Nu er afgørelsen endelig kommet: Brugen af Google Chromebooks i folkeskolerne sker på ulovlig vis, og brugen heraf skal gøres lovlig senest den 1. august 2024, lyder det nu fra Datatilsynet.

Den har været længe ventet – afgørelsen i den såkaldte Google Chromebook-sag. Nu er den offentliggjort, og meddelelsen er klar: De 53 kommuner, der anvender Google Chromebook i skolerne, overtræder GDPR.

Med afgørelsen er de berørte kommuner nu blevet meddelt et påbud om at lovliggøre brugen af tjenesten senest den 1. august 2024. Men allerede den 1. marts 2024 skal kommunerne oplyse til Datatilsynet, hvordan de har tænkt sig at sikre lovliggørelsen.

Personoplysninger videregives til ulovligt formål

Når kommunerne anvender Google Chromebook, videregiver de personoplysninger om brugerne til Google. Det må de gerne, mener Datatilsynet, men kun til formål der ligger inden for rammerne af den danske folkeskolelov, og hvor Google derfor har rollen som databehandler.

Det betyder, at kommunerne gerne må videregive personoplysninger, så Google kan levere tjenesten og sikre tilstrækkelig sikkerhed i tjenesten. Men det er ulovligt at videregive personoplysninger til Google, som Google anvender til egne formål. Det kan f.eks. være udvikling af nye funktioner og tjenester.

I de tilfælde er Google nemlig selvstændig dataansvarlig, og der er ikke hjemmel i Folkeskoleloven til at dele personoplysninger med private virksomheder, så disse virksomheder kan udvikle deres forretning.

3 mulige løsninger for kommunerne

Datatilsynet anviser i afgørelsen tre mulige løsninger:

At kommunerne ikke længere videregiver personoplysninger til Google, som bruges til Googles egne formål. Dette vil sandsynligvis kræve, at Google udvikler en teknisk mulighed, der standser videregivelsen
At Google selv stopper med at behandle oplysningerne til egne formål
At Folketinget vedtager et klart retsgrundlag, så videregivelsen bliver lovlig

HjulmandKaptains vurdering og bemærkninger til afgørelsen

Afgørelsen er ikke overraskende, vurderer HjulmandKaptain. Der er intet nyt i, at en dataansvarlig skal have lovhjemmel til at videregive personoplysninger til en anden dataansvarlig. Afgørelsen kan imidlertid få stor betydning for anvendelsen af en lang række andre systemer i både offentlige og private organisationer.

Både offentlige myndigheder og private virksomheder anvender i stor stil databehandlere – eller disses underdatabehandlere. Det betyder, at der sker en videregivelse af oplysninger til databehandlerens egne formål. Det er derfor væsentligt at undersøge, i hvilke tilfælde dette ellers sker og på den baggrund sikre, at der er hjemmel til behandlingen.

Den dataansvarlige er forpligtet til at kortlægge det dataflow, der sker i en behandling af data – og dermed fastslå om en databehandler – eller underdatabehandler – på noget tidspunkt i processen bliver selvstændig dataansvarlig, som det er tilfældet med Google i den konkrete sag. I så fald skal myndigheden eller virksomheden sikre sig, at der er hjemmel til denne videregivelse.

Lad HjulmandKaptains specialister i databeskyttelse hjælpe dig

Har du brug for vores hjælp til at vurdere, hvad afgørelsen betyder for din virksomhed, eller hvordan du sikrer en lovlig praksis ved brug af Google Chromebooks, så tag fat i HjulmandKaptains specialister i databeskyttelse. Vi står klar til at hjælpe dig og din virksomhed.