Datatilsynet har præciseret, at konklusionerne fra Chromebook-sagen rækker ud over folkeskolen og omfatter generelt brugen af cloud og standardsoftware. Dataansvarlige – både offentlige og private – skal kunne dokumentere behandlingen, fastlægge formål og kategorier, indgå databehandleraftaler, gennemføre risikovurderinger og eventuelt en DPIA samt sikre lovlige overførsler til tredjelande. Afgørende er også at håndtere leverandørers eventuelle brug af data til egne formål, da dette ofte udgør en videregivelse, som kræver selvstændigt retsgrundlag.
GDPR-krav ved standardløsninger og cloud
Standardsoftware fra store udbydere behandler typisk personoplysninger gennem telemetri, diagnostik og logning. Den dataansvarlige skal derfor gennemgå leverandørens dokumentation, identificere de konkrete behandlingsaktiviteter og sikre korrekt rollefordeling samt aftaler efter GDPR artikel 28. Leverandørens egne formål kan ikke blot antages at være dækket af drifts- eller sikkerhedshensyn.
Selv hvis leverandøren beskriver indsamlingen som aggregerede eller “ufarlige” metadata, skal der foretages en juridisk kvalifikation af behandlingens karakter, formål og nødvendighed. Hvor leverandøren anvender oplysninger til egne formål, skal den dataansvarlige vurdere, om der foreligger hjemmel til videregivelsen, og om kontrakt og kontroller reelt begrænser leverandørens rådighed.
Videregivelse og hjemmel
Når udbyderen bruger oplysninger til egne formål, er der typisk tale om videregivelse. Offentlige myndigheder kan kun videregive, hvis det er nødvendigt for udførelsen af deres lovbestemte opgaver. I Chromebook-sagen fandt Datatilsynet hjemmel til visse formål (levering, sikkerhed, pålidelighed og retlige forpligtelser), men ikke til produktforbedring, nye funktioner eller præstationsmåling.
For private dataansvarlige kan legitim interesse efter artikel 6 potentielt bære visse videregivelser, men det kræver en dokumenteret interesseafvejning, gennemsigtighed, proportionalitet og passende garantier. Ved tredjelandsoverførsler skal der etableres et gyldigt overførselsgrundlag og gennemføres en overførselsvurdering.
Udlevering af arbejdsudstyr
Udlevering af bærbare computere, tablets eller mobiltelefoner – eller pålæg om at bruge bestemte apps/SaaS – medfører ofte, at leverandøren modtager oplysninger om brugerne. De samme GDPR-krav gælder: kortlægning af datastrømme, klart behandlingsgrundlag, passende aftaler og sikkerhedsforanstaltninger.
Praktisk bør organisationer føre opdaterede fortegnelser, afgrænse leverandørens formål kontraktuelt, konfigurere løsninger til dataminimering og logstyring, og foretage DPIA, hvor risikoen tilsiger det. Dermed kan brugen af standardløsninger ske på et dokumenteret, lovligt grundlag.
