Datatilsynet har pålagt 53 kommuner at lovliggøre brugen af Google Chromebooks i folkeskolen. Myndigheden finder, at der ulovligt videregives personoplysninger til Google, når oplysninger behandles til Googles egne formål, som ikke har hjemmel i Folkeskoleloven. Kommunerne skal redegøre for deres plan og sikre fuld lovliggørelse inden fristen.
Datatilsynets påbud og begrundelse
Efter tilsynets vurdering kan kommunerne lade Google behandle data som databehandler for at levere og beskytte tjenesten. Når Google derimod anvender oplysninger til egne formål, optræder Google som selvstændig dataansvarlig, og den videregivelse kræver et udtrykkeligt retsgrundlag.
Der er ikke fornøden hjemmel i Folkeskoleloven til at dele elevers og læreres oplysninger med private aktører med henblik på produktudvikling eller andre egne forretningsformål. Afgørelsen skærper dermed fokus på rollefordeling, behandlingsgrundlag og formålsbegrænsning efter GDPR i sektorens anvendelse af cloud-løsninger.
Interesseret i forvaltningsret? Deltag i Forvaltningskonferencen 2026
Læs mere her →Mulige veje til lovliggørelse
Datatilsynet anviser tre hovedspor, som kommunerne kan arbejde videre med, alt efter kontraktuelle og tekniske muligheder:
- Stop for videregivelse til Googles egne formål, fx via tekniske ændringer, der effektivt blokerer anvendelsen.
- At Google ophører med at bruge data til egne formål og alene agerer databehandler.
- Etablering af et klart retsgrundlag ved lov, som hjemler videregivelsen.
Afgørelsen har bred rækkevidde ud over Chromebooks. Offentlige og private organisationer bør kortlægge dataflow, vurdere om databehandlere eller underdatabehandlere bliver selvstændigt dataansvarlige i dele af processen og sikre, at databehandleraftaler, tekniske kontroller og governance afspejler GDPR’s krav.
