Hvad har Datatilsynet kritiseret i Chromebook-sagen?

Tilsynet kritiserer kommunernes håndtering af personoplysninger via Googles uddannelsesprodukter, herunder mangelfuld konfiguration og utilstrækkelig dokumentation. Det vurderes, at dette kan medføre overtrædelser af GDPR.

Hvilke krav gælder ved brug af underdatabehandlere uden for EU?

Controlleren skal sikre et beskyttelsesniveau, der i det væsentlige svarer til EU, og anvende gyldige overførselsgrundlag som standardkontraktbestemmelser med nødvendige supplerende foranstaltninger. Kravene skal verificeres og dokumenteres.

Hvad betyder KL’s konfigurationskrav for kommunerne?

Kommunerne skal konfigurere Google-løsninger efter KL’s forudsætnings- og funktionskrav. Manglende efterlevelse vil sandsynligvis udgøre en overtrædelse af GDPR, ifølge Datatilsynet.

Datatilsynet giver 51 kommuner alvorlig kritik i Chromebook-sag

2 dage siden

•

Datatilsynet

Datatilsynet giver 51 kommuner alvorlig kritik i Chromebook-sag

IT-ret Offentlig ret EU-ret Persondata og cybersikkerhed

Datatilsynet retter alvorlig kritik mod 51 kommuner i Chromebook-sagen og advarer om GDPR-brud ved forkert konfiguration og tredjelandsoverførsler. Kommuner skal dokumentere kontrol med underdatabehandlere og sikre EU-ækvivalent beskyttelse.

Datatilsynets alvorlige kritik og advarsler i Chromebook-sagen

Datatilsynet har afgjort den omfattende Chromebook-sag og udtaler alvorlig kritik af 51 kommuners brug af Google Workspace for Education og Chrome Education i folkeskolen. Kritikken knytter sig især til den dataansvarliges styring, dokumentation og kontrol af databehandlere og underdatabehandlere, i forlængelse af EDPB’s udtalelse om controllerens forpligtelser.

Tilsynet advarer samtidig om, at manglende konfiguration af løsningerne i overensstemmelse med KL’s forudsætnings- og funktionskrav sandsynligvis vil være i strid med GDPR. Afgørelsen kan læses hos Datatilsynet: Læs afgørelsen her.

Krav til databehandlere, underdatabehandlere og tredjelandsoverførsler

EDPB præciserer, at den dataansvarlige skal kunne identificere sine databehandlere og verificere samt dokumentere, at underdatabehandlere er underlagt tilsvarende databeskyttelsesforpligtelser. Det omfatter også dokumentation ved overførsel fra en EU-baseret databehandler til en underdatabehandler i et tredjeland og eventuelle videreoverførsler.

Datatilsynet fremhæver, at det sandsynligvis er ulovligt at antage en databehandler, hvis behandling medfører viderebehandling i tredjelande uden et beskyttelsesniveau, der i det væsentlige svarer til EU. Controlleren skal vurdere overførselsgrundlag, anvende standardkontraktbestemmelser med supplerende foranstaltninger og føre sporbar dokumentation.

Konfiguration, dokumentation og løbende lovliggørelse

Produkter med uklare behandlingskonstruktioner kan ikke anvendes lovligt. Kommunerne skal kunne redegøre for datagange, indstillinger og retsgrundlag, og føre evidens for risikovurderinger, DPIA og tekniske og organisatoriske foranstaltninger i praksis.

Løbende compliance er påkrævet: Den dataansvarlige skal sikre tilstrækkelige ressourcer til at justere, når produkter eller aftalegrundlag ændrer sig, og standse eller ændre behandlingen, hvis krav ikke kan opfyldes. Tidligere skridt i forløbet kan konsulteres hos Datatilsynet: September 2021, Juli 2022, August 2022 og Januar 2024.

Hovedpointerne i afgørelsen kan opsummeres sådan:

Alvorlig kritik af kommunernes behandling ved brug af Googles uddannelsesprodukter.
Advarsel om sandsynlige GDPR-brud ved manglende konfiguration i tråd med KL’s krav.
Advarsel om ulovlighed ved tredjelandsoverførsler uden EU-ækvivalent beskyttelse.

Læs hele artiklen hos Datatilsynet →

Søgeord