Datatilsynet fastholder forbud i Chromebook-sag

Journalnummer: 2020-431-0061

Resumé

Datatilsynet fastholder i en ny afgørelse det behandlingsforbud mod Helsingør Kommunes brug af Google Workspace, som tilsynet nedlagde i midten af juli.

Det sker på baggrund af en nøje gennemgang af det omfattende materiale, Helsingør Kommune 1. august har sendt til tilsynet. Efter Datatilsynets vurdering har kommunen fortsat ikke dokumentereret, at den har nedbragt de høje risici, der er for børnene i kommunens skoler.

"Lærere og elever står lige nu i en svær situation, hvor de ikke kan benytte de redskaber, de plejer. Vores afgørelse forbyder på ingen måde brug af it i skolerne - men den konkrete brug af nogle bestemte redskaber i kommunen er ikke forsvarlig over for børnenes oplysninger. Og lidt firkantet sagt er det en konsekvens af kommunens valg og fravalg gennem flere år," siger Allan Frank, som er it-sikkerhedsspecialist og jurist i Datatilsynet, og fortsætter:

"Målet her er ikke at leve op til noget uigennemskueligt bureaukrati, men at passe på elevernes oplysninger. Børn har ifølge GDPR krav på en særlig beskyttelse. Vi kan hver især som voksne mennesker frit vælge, hvilke digitale tjenester vi har lyst til at bruge, men børn skal nu engang benytte de redskaber, som folkeskolerne stiller til rådighed for dem. Og derfor er det vigtigt, at kommunerne sikrer sig, at børnenes oplysninger ikke bliver brugt til andre formål end dem, folkeskoleloven giver mulighed for - eksempelvis markedsføring, profilering eller produktudvikling."

Forbuddet vedrører - ligesom i den tidligere afgørelse - kun Helsingør Kommune.

Hovedpunkter i Datatilsynets nye afgørelse

• Datatilsynet lægger - ligesom Helsingør Kommune - til grund, at flere af behandlingerne indebærer en høj risiko for de personer, der bruger Google Workspace.
• Helsingør Kommune er af den opfattelse, at alle de relevante risici er identificeret og håndteret, men Datatilsynet vurderer, at dette ikke er tilfældet. Kommunen har i Datatilsynets øjne ikke vurderet de relevante risici, der fremgår af selve kontrakten med leverandøren, og andre offentligt kendte risikoproblemstillinger i den teknologi, de har valgt. Herudover er de risici, som kommunen har identificeret, ikke tilstrækkeligt nedbragt.
• Helsingør Kommune har vurderet, at Google alene optræder som databehandler, men efter Datatilsynets opfattelse agerer Google på flere områder som selvstændig dataansvarlig, der behandler personoplysninger til egne formål. Dette bygger blandt andet på, at Google ifølge kommunens materiale selv opfatter sig som dataansvarlig på en række områder.
• Datatilsynet konstaterer, at materialet fra Helsingør Kommune ikke lever op til indholdskravene til en konsekvensanalyse. Kommunen har eksempelvis ikke vurderet de relevante risici - selv ikke for de behandlinger, der er beskrevet - og har kun delvist beskrevet fornødne sikkerhedsforanstaltninger.
• Datatilsynet har ikke kunnet konstatere, at Helsingør Kommunes databeskyttelsesrådgiver har angivet at have bemærkninger til konsekvensanalysen.  
• Sammenfattende er det Datatilsynets vurdering, at Helsingør Kommune ikke kan nedbringe risikoen til et acceptabelt niveau uden ændringer i kontraktsgrundlaget og den teknologi, kommunen har valgt at bruge.

Hvad kan Helsingør Kommune gøre nu?

Hvis Helsingør Kommune ønsker fremover at bruge Google Workspace i skolerne, bør kommunen i samarbejde med sine leverandører håndtere de relevante risici for børnenes personoplysninger - herunder dem, som Datatilsynet har påpeget i de tre afgørelser - og udarbejde en konsekvensanalyse.

Hvis kommunen her erkender, at det ikke er fuldt ud muligt at nedbringe enhver høj risiko, er der i GDPR en mulighed for sammen med Datatilsynet at lægge en plan for lovliggørelse.

Allerede nu lægger Datatilsynet op til, at kommunen og tilsynet mødes snarest for at drøfte de næste skridt nærmere, så elever og lærere hurtigst muligt kan vende tilbage til en normal hverdag på en forsvarlig måde.

Hvad med de andre kommuner?

Selv om afgørelsen forholder sig konkret til behandlingen af personoplysninger i Helsingør Kommune, opfordrer Datatilsynet til, at andre kommuner med tilsvarende forhold ser på de samme områder som i denne sag - navnlig i forhold til videregivelse uden hjemmel og overførsel til usikre tredjelande. Her består opgaven i at vurdere, om der er lignende problemstillinger i de enkelte kommuner, og i så fald i samarbejde med leverandørerne at få styr på behandlingerne, så udstyret kan bruges i overensstemmelse med reglerne.

Ifølge GDPR er det den enkelte kommune, der er dataansvarlig. Men Datatilsynet opfordrer til, at man løfter i flok, så kommunerne går sammen - evt. i regi af KL eller relevante ressortministerier - om at løse problemerne. Mange af forholdene vil være sammenlignelige eller ens.

Selv om kommunerne er dataansvarlige, er der også en vigtig opgave hos de leverandører, kommunerne har valgt. De skal medvirke til at få dokumenteret brugen og ændret vilkårene og teknologien, hvor det er nødvendigt. Det gælder leverandører generelt - men i den konkrete sag har Datatilsynet også været i dialog med Google og direkte opfordret til, at virksomheden spiller aktivt med i forhold til at finde løsninger, der kan nedbringe risikoen for børnene.

Afgørelse

Datatilsynet vender hermed på ny tilbage til sagen, hvor Helsingør Kommune den 29. januar 2020 har anmeldt et brud på persondatasikkerheden til Datatilsynet. Anmeldelsen har følgende referencenummer:

ce0e5422ddfb3fefaa9f621cfa0f129127058500.

1.1. Afgørelsen af 10. september 2021

Datatilsynet traf den 10. september 2021 afgørelse vedrørende Helsingør Kommunes brud på persondatasikkerheden. Datatilsynet fandt bl.a., at der var grundlag for at udtale alvorlig kritik af, at Helsingør Kommunes behandling af personoplysninger ved brug af Google Chromebooks ikke var sket i overensstemmelse med databeskyttelsesforordningens[1] artikel 5, stk. 2, jf. artikel 5, stk. 1, litra c og f, og artikel 5, stk. 1, litra a, jf. artikel 6, stk. 1, samt artikel 32, stk. 1, artikel 33, stk. 1, og artikel 35, stk. 1.

Endvidere fandt Datatilsynet grundlag for at meddele Helsingør Kommune et påbud om at bringe sin behandling af personoplysninger ved brug af Google Chromebooks i overensstemmelse med databeskyttelsesforordningen. Dette skulle ske ved, at Helsingør Kommune inden den 1. november 2021 gennemførte en risikovurdering af behandlingsaktiviteten, som afspejler de strømme af personoplysninger, som behandlingen indebærer. Risikovurderingen skulle dels behandle de nødvendige muligheder for at konfigurere produktet og dels undersøge hjemlen i folkeskoleloven til kommunens krav til eleverne om brug af Google Chromebooks i skolerne. Hvis risikoen for de registreredes rettigheder og frihedsrettigheder blev vurderet som værende høj, skulle kommunen som led i påbuddet også gennemføre en konsekvensanalyse. Påbuddet blev meddelt i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d.

Datatilsynet fandt derudover, at der var grundlag for at meddele Helsingør Kommune en advarsel om, at brug af Google G-Suites tillægsprogrammer uden at gennemføre en konsekvensanalyse vedrørende databeskyttelse, jf. forordningens artikel 35, stk. 1, sandsynligvis ville være i strid med databeskyttelsesforordningen.

Endelig fandt Datatilsynet grundlag for at meddele Helsingør Kommune en midlertidig begrænsning i behandlingsaktiviteten, hvis de vurderinger af risiciene, som kommunen var blevet påbudt at gennemføre, udviste en høj risiko for de registreredes rettigheder og frihedsrettigheder, og kommunen ikke inden påbudsfristens udløb havde nedbragt disse risici til et niveau mindre end høj. Begrænsningen indebar, at behandling af personoplysninger, der indebærer en høj risiko for de registreredes rettigheder og frihedsrettigheder, ikke måtte ske, så længe risiciene ikke var nedbragt til et niveau lavere end høj.

Som opfølgning på Datatilsynets afgørelse af 10. september 2021 sendte Helsingør Kommune ved brev af 10. november 2021 kommunens risikovurdering vedrørende brug af Google Chromebooks og G-Suite for Education til Datatilsynet, ligesom kommunen sendte yderligere dokumentation for at godtgøre behandlingsaktivitetens lovlighed. Som svar på en anmodning af 2. december 2021 fra Datatilsynet sendte Helsingør Kommune derudover 9. december 2021 en række yderligere oplysninger i sagen.

1.2. Afgørelsen af 14. juli 2022

Datatilsynet traf den 14. juli 2022 en ny afgørelse vedrørende Helsingør Kommunes behandlingsaktiviteter ved brug af Google Chromebooks og Workspace for Education. Datatilsynet fandt ved denne afgørelse grundlag for at meddele Helsingør Kommune et forbud mod at behandle personoplysninger ved brug af Google Chromebooks og Workspace for Education. Forbuddet gjaldt indtil, Helsingør Kommune havde bragt behandlingsaktiviteten i overensstemmelse med databeskyttelsesforordningen – som anført i afgørelsen – og udarbejdet fyldestgørende dokumentation herfor.

Herudover suspenderede tilsynet i afgørelsen enhver overførsel af personoplysninger til USA, som Helsingør Kommune har instrueret Google Cloud EMEA Limited om at foretage som databehandler for kommunen, indtil Helsingør Kommune kunne påvise, at reglerne i databeskyttelsesforordningens kapitel V var iagttaget.

Forbuddet og suspensionen trådte i kraft straks, men Helsingør Kommune blev indrømmet en frist til den 3. august 2022 til at inddrage og nedlægge brugere og rettigheder samt få slettet allerede overførte oplysninger.

Forbuddet og suspensionen blev meddelt i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra f og j.

Datatilsynet fandt endvidere grundlag for at udtale alvorlig kritik af, at Helsingør Kommunes behandling af personoplysninger ikke var sket i overensstemmelse med databeskyttelsesforordningens artikel 5, stk. 2, jf. artikel 5, stk. 1, litra a, artikel 24, jf. artikel 28, stk. 1, artikel 35, stk. 1, samt artikel 44, jf. artikel 46, stk. 1.

2. Afgørelse

Som opfølgning på Datatilsynets afgørelse af 14. juli 2022 har Helsingør Kommune den 1. august 2022 fremsendt et dokument benævnt ”Konsekvensanalyse for Google Chromebooks og G-Suite for Education” med bilag til Datatilsynet, herunder bl.a. en revideret risikovurdering.

Efter en gennemgang og vurdering af det materiale, som Helsingør Kommune har fremsendt til Datatilsynet den 1. august 2022, finder tilsynet, at Helsingør Kommunes behandling af personoplysninger ved brug af Google Chromebooks og Workspace for Education fortsat ikke er i overensstemmelse med databeskyttelsesforordningen, herunder at dokumentationen af 1. august 2022, som Helsingør Kommune har udarbejdet, ikke er i overensstemmelse med databeskyttelsesforordningens artikel 35, stk. 1, og stk. 7, samt artikel 36, stk. 1.

På den baggrund opretholdes Datatilsynets forbud af 14. juli 2022.

Forbuddet ændres dog således, at Datatilsynet meddeler Helsingør Kommune forbud mod at behandle personoplysninger ved brug af Google Chromebooks og Workspace for Education. Forbuddet gælder, indtil Helsingør Kommune har bragt behandlingsaktiviteten i overensstemmelse med databeskyttelsesforordningen, som anført i Datatilsynets afgørelse af 14. juli 2022, og har gennemført en konsekvensanalyse vedrørende databeskyttelse, der opfylder de krav til indhold og proces for gennemførelse heraf, som findes i forordningens artikel 35 og 36. For behandlinger, hvor forudgående høring af Datatilsynet er påkrævet efter databeskyttelsesforordningens artikel 36, gælder forbuddet, indtil tilsynet har afgivet udtalelse efter artikel 36, stk. 2, og Helsingør Kommune har truffet de fornødne foranstaltninger på baggrund af Datatilsynets udtalelse, eller indtil tilsynet tillader behandlingen på et tidspunkt, inden udtalelsen foreligger.

Forbuddet, der meddeles i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra f, træder i kraft straks.

Ifølge databeskyttelseslovens^[2] § 41, stk. 2, nr. 4, straffes med bøde eller fængsel i op til 6 måneder den, der undlader at efterkomme en midlertidig eller definitiv begrænsning af behandling meddelt af Datatilsynet i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra f.

Datatilsynet forbeholder sig endvidere retten til at benytte yderligere beføjelser efter databeskyttelsesforordningens artikel 58, stk. 2, for forhold beskrevet i denne afgørelse, når Helsingør Kommune har fremlagt endelig dokumentation, som til fulde belyser behandlingernes lovlighed og risici for de registreredes rettigheder og frihedsrettigheder. Derudover kan de ovennævnte forhold også være genstand for sanktioner efter databeskyttelseslovens § 41.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

3. Sagsfremstilling

I forlængelse af Datatilsynets afgørelse den 14. juli 2022 har Helsingør Kommune den 1. august 2022 fremsendt nyt materiale i sagen i form af dokumentet ”Konsekvensanalyse for Google Chromebooks og G-Suite for Education” med fire bilag:

1. Revideret risikovurdering
2. Indstillinger af Google Chromebooks og G Suite for Education v. 1.0 dateret 29. juli 2022 gældende for en skole i kommunen og kopi af, at identiske indstillinger var fastsat for alle kommunens skoler
3. Dokumentpakke bestående af auditrapporter, kontraktvilkår, Google Whitepapers og Google User Data Requests
4. Skematisk gennemgang af problemstillinger og implementerede mitigerende foranstaltninger

3.1. Helsingør Kommunens bemærkninger

Helsingør Kommune har i sin fremsendelsesmail af 1. august 2022 bl.a. anført følgende:

”Vedlagt er kommunens konsekvensanalyse, som tager stilling til de rejste spørgsmål. Som bilag til konsekvensanalysen er der bl.a. en lang række screenshots i bilag 2, der dokumenterer kommunens indstillinger. Den samlede dokumentation udgøres af flere hundrede screenshots. Kommunen har imidlertid på grund af antallet hér alene vedlagt screenshots for én skole for at illustrere disse indstillinger, men hvis Datatilsynet ønsker at modtage alle disse screenshots, sender kommunen gerne dette. […]

Da skoleåret for kommunens skolesøgende børn begynder den 8. august 2022, og da brugen af Tjenesterne er en afgørende forudsætning for at kunne levere den planlagte undervisning i skoleåret 2022/2023, er det naturligvis af stor betydning for kommunen at få forbuddet trukket tilbage. […]

For god ordens skyld bemærkes, at selvom kommunens elever møder til de nye skoleår den 8. august 2022, så vil kommunen ikke udlevere computere og give adgang til Tjenesterne for de nye elever i 0. klasse. […]”

Af Helsingør Kommunes dokument ”Konsekvensanalyse vedrørende Google Chromebooks og G-Suite for Education” af august 2022 fremgår bl.a. følgende:

”Beskrivelse af behandlingsaktiviteterne

1.Behandlingernes karakter, omfang, sammenhæng og formål

Til brug for undervisningen, anvendes en digital læringsplatform baseret på Google Chromebooks med Workspace for Education Standard. Platformen muliggør deling af dokumenter mellem elever og lærere og gør det generelt muligt at samarbejde i klassen og på tværs af klasser.

Oplysninger indeholdt i Tjenesterne relaterer sig til elever og lærere.

Der behandles som udgangspunkt hverken følsomme oplysninger, CPR-numre eller oplysninger om strafbare forhold relateret til eleverne eller lærerne via systemerne. Det kan dog ikke udelukkes, at disse oplysninger kan indgå i e-mails fra lærerne eller via andet materiale, og der er også givet instruktion til lærerne, som skal forebygge dette. Dette må derfor anses som særdeles usædvanligt og utilsigtet.

Der er tale om personoplysninger relateret til elever, der generelt nyder en særlig beskyttelse i henhold til databeskyttelsesreglerne, da elever i den undervisningspligtige alder anses for en sårbar gruppe af personer henset til elevernes alder.

Helsingør Kommune arbejder målrettet med at forberede børn og unge til fremtidens samfund og arbejdsmarked som led i kommunens løsning af opgaver med at tilbyde undervisning. Alle klassetrin arbejder dagligt med it som en integreret del af undervisningen i alle fag for at understøtte den faglige læring i fagene og elevernes digitale færdigheder, hvilket understreger nødvendigheden af behandlingen.

For at sikre skolerne og eleverne en fremadrettet bæredygtig model for it-understøttet undervisning har kommunen valgt Tjenesterne som kommunens undervisningsplatform.

2. Personoplysninger, modtagere og det tidsrum, personoplysningerne opbevares i

Der behandles følgende typer af personoplysninger, på følgende måde, for at løse undervisningsopgaven.

• Personoplysninger Navn, Unilogin, klasse, mailadresse (brugernavn, unilogin + domæne), skole, materiale produceret, mails afsendt og billeder (profilbilleder eller i materiale).
• Modtagere Internt: Lærere, administratorer, elever. Eksternt: Wizkids og Google som databehandler
• Tidsrum for opbevaring Data opbevares indtil en elev enten skifter kommune – eller tre måneder efter eleven går ud efter endt skolegang (celle J9 i risikoanalysen).

3. Systematisk beskrivelse af behandlingsaktiviteten

KL beskriver den generelle behandlingsaktivitet for skoleområdet således:

”Behandling af personoplysninger sker med henblik på tilrettelæggelse af skoleåret herunder elevvurderinger, trivselsmålinger, erstatningskrav fra elever og eleverklæringer.

Der behandles desuden personoplysninger i forbindelse med skolebestyrelser, herunder medlemmer og vederlag til medlemmer og rådgivende organer, herunder elevråd, forældreråd og pædagogiske råd”

Yderligere:

Til brug for undervisningen, anvendes en digital læringsplatform baseret på Google Chromebooks med Workspace for Education Standard – Tjenesterne. Platformen muliggør deling af dokumenter mellem elever og lærere og gør det generelt muligt at samarbejde i klassen og på tværs af klasser.

Fra ”vugge til grav” kan dette systematisk fremstilles således:

1. Behandling af fysisk maskine
   1. Indkøb af fysisk maskine/Chromebook
   2. Udlevering til elev/forældre
   3. Tilbagelevering fra elev/forældre
   4. Genudlevering (efter powerwash)/destruktion
2. Kontooprettelse og –administration af kommunens overordnede Googlekonto
   1. Oprettelse og konfiguration af konto (fx hvor opbevares data)
   2. Udvælgelse af faciliteter (kun core)
   3. Backup
   4. Logning af aktiviteter (elever, lærere og admins)
3. Brugeradministration og systemovervågning
   1. Oprettelse af klasser (automatisk via TEA)
   2. Oprettelse af elever (automatisk via TEA)
   3. Oprettelse af aliasser for navnebeskyttede elever (manuelt. Indtil da er de i venteposition).
   4. Rapportering af elever og læreres brug af GWfES
   5. Når elev forlader Helsingør Kommune folkeskole, registreres det i TEA og elevens data slettes efter 3 måneder (automatisk)
4. Lærer-aktiviteter
   1. Oprettelse og opbevaring af lektieplaner, opgaver, spørgeskemaer (Classroom, Drev)
   2. Evaluering af opgaver (Classroom, Drev)
   3. Chat (Hangouts, Meet)
5. Elev-aktiviteter
   1. Oprettelse og opbevaring af opgaver (Drev), læsning af lektieplan
   2. Skrive og aflevere opgave og læse evaluering
   3. Chat (Hangouts, Meet)
   4. De aktiver, som personoplysningerne er afhængige af (hardware, software, netværk, personer, papir, papirforsendelseskanaler), identificeres.

• Chromebook (browser er ”klient” for cloudløsning)
• Workspace for Education Standard (opsat som datacenter Europa) (del af cloudløsning)
• Googles datacenter (del af cloudløsning)
• Skolenetværk
• Admins (kommunens it-skolesupportere)
• Wizkids
• Skolesekretærer (TEA elevadministrationsplatform, aliasser)
• Lærere
• Elever

Vurdering af risici og beskrivelse af foranstaltninger, der imødegår disse

Den udarbejdede risikovurdering er vedlagt som bilag 1 til denne konsekvensanalyse under rækkerne ”privacy by design” og ”brug af data til utilsigtede formål”. Dokumentationen for de implementerede mitigerende foranstaltninger er vedlagt som bilag 2 og 3.

Lovlighed og de registreredes rettigheder

1. Behandlingernes lovlighed

[…]

Det fremgår af Datatilsynets afgørelse af 14. juli 2022, at kommunen ikke i tilstrækkelig grad har sikret Googles rolle som databehandler i forhold til Googles adgang til personoplysningerne, herunder særligt ved ordinær brug af Google Chromebooks styresystem og Google Workspaces interaktion med Googles backend, samt at kommunen ikke har tilvejebragt de fornødne garantier for, at Google vil opfylde kravene i databeskyttelsesforordningen, jf. forordningens artikel 24, jf. artikel 28, stk. 1.

Det er kommunens vurdering, at de foranstaltninger, der er beskrevet i den i oktober 2021 udarbejdede risikovurdering, sædvanligvis vil være tilstrækkelige til at dokumentere, at Google alene agerer som databehandler og i overensstemmelse med denne rolle.

Det bemærkes, at kommunen ikke i øvrigt er bekendt med praksis fra Datatilsynet, som i andre tilfælde stiller krav om en tilsvarende dokumentation i forhold til brugen af en databehandler, som ikke har en ”forhistorie” med at agere uden for rammerne af databehandlerrollen.

I Datatilsynets afgørelse af 14. juli 2022 er dette kritiske standpunkt over for Google som databehandler, så vidt kommunen kan vurdere, ikke er nærmere underbygget. Datatilsynet har imidlertid mundtligt efter afgørelsen henvist til, at praksis fra Holland sår tvivl om, hvorvidt Google behandler personoplysninger fra Tjenesterne på undervisningsområdet til egne, kommercielle formål, som er uvedkommende og usaglige i forhold til brugen af Tjenesterne på dette område.

Kommunen har derfor som led i arbejdet med denne konsekvensanalyse også tilvejebragt oplysninger om, hvilke kritikpunkter der har været mod Google i den hollandske sag[3]. Det drejer sig nærmere om følgende overordnede spørgsmål pr. februar-marts 2021:

• Manglende formålsbegrænsning af Customer Data
• Manglende formålsbegrænsning af Diagnostic Data
• Manglende gennemsigtighed i forhold til Customer Data
• Manglende gennemsigtighed i forhold til Diagnostic Data
• Manglende hjemmel for Google til at behandle personoplysninger som dataansvarlig
• Manglende kontrol over den måde, Google behandler personoplysninger på
• Manglende kontrol med behandlingen af personoplysninger hos Googles underleverandører
• Manglende mulighed for de registrerende til at få indsigt

Kommunen forstår den hollandske DPIA således, at disse spørgsmål i det væsentlige drejer sig om udfordringer knyttet til, at Google helt eller delvist var dataansvarlig, at Google krævede ret til at behandle personoplysninger som databehandler som led i sine ydelser til formål, som var vanskeligt forenelig med Tjenesterne, og at behandlingen af bl.a. cookie- og telemetrioplysninger indebar en behandling, som var ikke-gennemsigtig.

Kommunen har i bilag 4 for fuldstændighedens skyld vurderet en række problemstillinger, der blev rejst i den hollandske sag. Denne gennemgang viser, at disse problemstillinger har meget begrænset relevans i forhold til Helsingør Kommunes brug af Tjenesterne, da roller og opsætning er afgørende forskellig. En væsentlig årsag hertil er bl.a., at kommunen alene benytter Kernetjenesterne, og at Google derfor alene har en rolle som databehandler og dermed alene behandler personoplysninger til kommunens formål. Google har entydigt i denne sag (bl.a. i databehandleraftalen og den vedlagte dokumentation i bilag 2 og 3) vedkendt sig denne rolle med de begrænsninger, der følger heraf.

Disse problemstillinger er således ikke relevante i denne sag, fordi Google i denne sag alene agerer som databehandler og ikke behandler personoplysninger til egne formål eller kræver adgang til at behandle personoplysninger til mere generelle formål, som ikke er afgrænset til kommunens interesse i behandlingen.

Kommunen har derfor valgt at fokusere de mitigerende foranstaltninger på at dokumentere, at Google alene er databehandler og alene behandler personoplysninger som databehandler til de formål, som følger af kommunens instruks, når Google behandler personoplysninger som databehandler for kommunen.

En mere skematisk gennemgang af de potentielle problemstillinger angivet i den Hollandske afgørelse og dertilhørende DPIA med dertilhørende angivelse af, hvordan Helsingør Kommune har mitigeret disse problemstillinger, er angivet som bilag 4 til denne konsekvensanalyse.

Disse mitigerende foranstaltninger er følgende:

• Der er vedlagt dokumentation for, at kommunen har valgt indstillinger, der sikrer, at kommunen alene anvender Kernetjenester, jf. bilag 2. Disse indstillinger indebærer, at Google alene har en rolle som databehandler, og at Google alene må handle inden for kommunens instruks og dermed ikke lovligt kan varetage egne formål.
• Der er indhentet dokumentation i form af uafhængige tredjepartserklæringer for, at Google som databehandler, ikke varetager egne formål, jf bilag 3. Denne dokumentation sikrer, at en uafhængig tredjepart har revideret Googles behandling af personoplysninger som databehandler, og derved at Google som databehandler handler inden for den givne instruks, og at Google ikke varetager egne formål i strid med databehandleraftalen.
• Denne konsekvensanalyse giver et overblik over de undersøgelser og overvejelser, som kommunen har foretaget i anledning af de rejste spørgsmål, samt vurderer, om behandlingen på baggrund af ovenstående indebærer en høj risiko.

Det fremgår af risikovurderingen, at behandlingen i forhold til de registreredes rettigheder og frihedsrettigheder med disse mitigerende foranstaltninger har en mellemrisiko, som kommunen kan acceptere. Det bemærkes i den forbindelse, at risikoen scores til 8, som er den laveste score i kategorien for mellemrisiko. Det bemærkes endvidere, at den primære grund til, at risikoen ikke er lavere, er, at der er tale om behandling af oplysninger om skoleelever i den undervisningspligtige alder, og at børn nyder en særlig beskyttelse i de databeskyttelsesretlige regler. Risikoen for skoleelever er herved mitigeret til et acceptabelt niveau.

Det er således samlet set kommunens vurdering, at de to identificerede risici i Datatilsynets afgørelse er mitigeret til at passende, acceptabelt niveau.

2. Grundbetingelser og lovlig behandling

For at kunne behandle personoplysninger i Tjenesterne som led i løsningen af den lovbestemte undervisningsopgave skal kommunen have et juridisk grundlag for behandling af personoplysninger.

Selvom det følger af folkeskoleloven, at kommunen skal tilbyde undervisning til børn i den undervisningspligtige alder – og behandling af personoplysninger er en forudsætning herfor – er det kommunens vurdering, at folkeskoleloven ikke alene udgør hjemlen for denne behandling end det egentlige hjemmelsgrundlag.

Som ovenfor beskrevet behandles der i Tjenesterne som udgangspunkt alene almindelige ikke-fortrolige personoplysninger. Fortrolige eller følsomme oplysninger vil således forventeligt ikke blive behandlet, og hvis det sker, er det usædvanligt, usystematisk og utilsigtet. Denne konsekvensanalyse fokuserer derfor på den tilsigtede behandling af almindelige personoplysninger.

Denne tilsigtede behandling sker til løsning af opgaver i samfundets interesse og som led i offentlig myndigheds-udøvelse, som kommunen er pålagt (undervisningsforpligtelsen). Det indebærer, at databeskyttelsesforordningens artikel 6, stk. 1, litra e, udgør behandlingsgrundlaget for behandlingen af personoplysninger i Tjenesterne.

Datatilsynet har i forhold til principperne for behandling af personoplysninger anført, at kommunen ikke har påvist, at behandlingen er lovlig, rimelig og gennemsigtig. Dette skyldes ifølge afgørelsen, at kommunen

• Ikke har inkluderet de risikoscenarier, som kan opstå som følge af databehandlerkonstruktionen og de foretagne systemvalg i sin risikovurdering
• Ikke har foretaget tilstrækkelig afprøvning af omfang og virkemåde af den valgte hardware og benyttede software
• Ikke kan dokumentere, hvordan kommunen kontrollerer Googles adgang til personoplysningerne, herunder særligt ved ordinær brug af Google Chromebooks styresystem og Google Workspaces interaktion med Googles backend i forhold til de muligheder for adskillelse af personoplysninger, som kan ske i henhold til [databehandleraftalen]

Som ovenfor anført er der nærmere redegjort for, hvorfor disse problemstillinger har begrænset relevans i denne sag. Som også anført, har kommunen endvidere vedlagt dokumentation, som nærmere beskriver, hvorfor Google efter kommunens vurdering ikke har en realistisk mulighed for at udviske grænsen mellem sin rolle som databehandler og Googles egne formål, som adskiller sig fra at levere ydelser til kommunen, jf. bilag 2 og 3.

Kommunen forstår gældende ret således, at kontraktuelle forpligtelser også kan udgøre mitigerende foranstaltninger. Kommunen vil derfor endvidere for god ordens skyld også henvise til databehandleraftalen med Google[4], hvor følgende er anført:

”5.2 Scope of Processing.

5.2.1 Customer’s Instructions. Customer instructs Google to process Customer Personal Data only in accordance with applicable law: (a) to provide, secure, and monitor the Services and TSS; (b) as further specified via Customer’s use of the Services (including the Admin Console and other functionality of the Services) and TSS; (c) as documented in the form of the Agreement (including this Data Processing Amendment); and (d) as further documented in any other written instructions given by Customer and acknowledged by Google as constituting instructions for purposes of this Data Processing Amendment (collectively, the "Instructions").

5.2.2 Google’s Compliance with Instructions. Google will comply with the Instructions unless prohibited by European Law.

5.2.3 Instruction Notifications. Google will immediately notify Customer if, in Google’s opinion: (a) European Law prohibits Google from complying with an Instruction; (b) an Instruction does not comply with European Data Protection Law; or (c) Google is otherwise unable to comply with an Instruction, in each case unless such notice is prohibited by European Law. This Section does not reduce either party’s rights and obligations elsewhere in the Agreement.

5.3. Additional Products. If Google at its option makes any Additional Products available to Customer in accordance with the Additional Product Terms, and if Customer opts to install or use those Additional Products, the Services may allow those Additional Products to access Customer Personal Data as required for the interoperation of the Additional Products with the Services. For clarity, this Data Processing Amendment does not apply to the processing of personal data in connection with the provision of any Additional Products installed or used by Customer, including personal data transmitted to or from such Additional Products. Customer may use the functionality of the Services to enable or disable Additional Products, and is not required to use Additional Products in order to use the Services.”

Som tidligere beskrevet anvender kommunen ikke Tillægstjenesterne, og databehandleraftalen er således meget klar i forhold til, at Google alene har en rolle som databehandler, og at Google alene kan behandle personoplysninger til kommunens formål.

Den samlede mængde af mitigerende foranstaltninger i form af databehandleraftalen med Google, kommunens indstillinger m.v., jf. bilag 2, Googles supplerende dokumentation, jf. bilag 3, og vurderingen af relevansen af den hollandske sag, Datatilsynet har henvist til, jf. bilag 4, indebærer, at der efter kommunens vurdering er tilstrækkelig dokumentation til, at kommunen har påvist, at behandlingen er lovlig, rimelig og gennemsigtig.

Kommunen bemærker i den forbindelse endvidere, at denne dokumentation ikke skal vurderes i et tomrum. Det forhold, at Tjenesterne utvivlsomt er omfattet af databeskyttelsesforordningens anvendelsesområde og Datatilsynets kompetence, de aftalte forpligtelser for Google i kraft af databehandleraftalen og kommunens instruks og Googles dokumentation for, at Google lever op til disse forpligtelser, sammenholdt med en mere generel aftaleretlig forpligtelse for Google over for kommunen fører samlet til, at Google ved at behandle oplysninger i strid hermed ville udsætte sig for en meget stor risiko for bøder og erstatningskrav.

Ud over princippet om lovlig behandling vil kommunen også særligt henvise til princippet om dataminimering. I risikovurderingen er dette behandlet som et særskilt spørgsmål i række 11, og det er kommunens vurdering, at også dette princip overholdes.

3. De registreredes rettigheder

Kommunen har udarbejdet privatlivspolitikker og procedurer, som bidrager til at sikre de registreredes rettigheder. Kommunen oplyser således de registrerede om behandlingen. Kommunen vil [ud over] information i privatlivspolitikken på hjemmesiden fremsende fornyet oplysningsbrev til medarbejderne.

Kommunen har endvidere procedurer for håndtering af indsigtsanmodninger samt anmodninger fra de registrerede om berigtigelse og sletning m.v. Procedurerne sikrer, at kommunen besvarer en anmodning fra en registreret uden unødig forsinkelse og senest efter en måned, medmindre anmodningen er kompliceret, hvorefter svarfristen vil kunne forlænges med yderligere to måneder.

Særligt i forhold til håndteringen af anmodninger fra de registrerede er kommunens procedurer understøttet af databehandleraftalen med Google, hvor følgende er anført:

”9.2 Data Subject Requests.

9.2.1 Responsibility for Requests. During the Term, if Google’s Cloud Data Protection Team receives a request from a data subject that relates to Customer Personal Data and identifies Customer, Google will: (a) advise the data subject to submit their request to Customer; (b) promptly notify Customer; and (c) not otherwise respond to that data subject’s request without authorization from Customer. Customer will be responsible for responding to any such request including, where necessary, by using the functionality of the Services.

9.2.2 Google’s Data Subject Request Assistance. Google will (taking into account the nature of the processing of Customer Personal Data) assist Customer in fulfilling its (or, where Customer is a processor, the relevant controller’s) obligations under Chapter III of the GDPR to respond to requests for exercising the data subject’s rights by:

7. providing Additional Security Controls in accordance with Section 7.1.3 (Additional Security Controls);
8. complying with Sections 9.1 (Access; Rectification; Restricted Processing; Portability) and 9.2.1 (Responsibility for Requests); and
9. if subsections (a) and (b) above are insufficient for Customer (or the relevant controller) to comply with such obligations, upon Customer’s request, providing Customer with additional reasonable cooperation and assistance.”

Det er på denne baggrund kommunens vurdering, at brugen af Tjenesterne vil kunne sikre de registreredes rettigheder. […]

Monitorering og opdatering

Konsekvensanalysen gennemgås mindst en gang om året, og gennemgås i øvrigt, hvis det vurderes ud fra en risikobaseret tilgang, at der kan være ændringer af betydning vedrørende de omfattede behandlingsaktiviteter.

De registreredes synspunkter

Som led i konsekvensanalysen skal den dataansvarlige, hvis det relevant, indhente de registreredes eller deres repræsentanters synspunkter. Disse synspunkter kan indhentes ved hjælp af forskellige midler afhængigt af situationen. Det er op til den dataansvarlige at vælge, hvordan dette skal foregå. Der kan fx anvendes fokusgrupper, spørgeskemaer, forelæggelse for medarbejdernes repræsentanter eller høring af en relevant organisation. Hvis den dataansvarliges endelige afgørelse afviger fra de registreredes synspunkter, skal myndighedens eller virksomhedens begrundelse for at gå videre eller ikke beskrives.

Denne konsekvensanalyse er netop baseret på en klage fra en forælder og Datatilsynet afgørelser. Helsingør Kommune har dermed ikke på baggrund af en faglig vurdering fundet det relevante at inddrage yderligere synspunkter fra de registrerede eller deres repræsentanter.

Forelæggelse for DPO

Denne konsekvensanalyse har været forelagt for kommunens DPO, Bech-Bruun, i august 2022.

[…]

Bilag 3 – Dokumentation for at Google som databehandler ikke varetager egne formål

1. ISO 27001-certificering

Google er ISO 27001-certificeret[5]. Denne certificering af Google som organisation indebærer et krav om, at Google efterlever gældende lovgivning og krav. Det drejer sig bl.a. om følgende

• Afsnit 4.2 Forståelse for interessenters behov og forventninger, hvor det af litra b fremgår, at organisationen skal fastlægge interessenters krav, som er relevante for informationssikkerhed. Kommunen lægger til, at dette også omhandler krav i forbindelse med indgåede kontrakter, jf. nærmere nedenfor.
• Anneks A: A5.1 Retningslinjer for styring af informationssikkerhed, hvoraf det fremgår, at formål er ”at give retningslinjer for og understøtte informationssikkerheden i overensstemmelse med forretningsmæssige krav og relevante love og forskrifter”.
• Anneks A: A18.1 Overensstemmelse med lov- og kontraktuelle krav, hvoraf det fremgår, at formålet er ”at forhindre [organisationens] overtrædelse af lov-, myndigheds- eller kontraktskrav i relation til informationssikkerhed og andre sikkerhedskrav”.

De nævnte krav skal efterleves for at opfylde betingelserne for at opnå certificering.

2. Googles supplerende garantier og oplysninger, som er indsat nedenfor:

 

Customer Questions	Google Responses
1) Can Google guarantee that Google does not, when it acts as data processor for Helsingør Kommune, process Customer Data or other personal data for which Helsingør Kommune is data controller for marketing purposes?	Our customers' data is theirs, not Google’s. Google only processes Customer Data in accordance with the contracts with customers, and specifically commits in the Google Workspace for Education Terms of Service that Google does not process Customer Data for its own purposes, including for advertising purposes. Google’s commitment to process Customer Data only in accordance with customer contracts and for no other purpose is also subject to audit by an independent third party auditor (currently, EY). For example, Google’s latest SOC 2 report de-scribes various tests performed by EY regarding the Control 22 description “The organization only processes customer data in accordance with the applicable data processing terms and does not process customer data for any other purpose”, with no deviations being noted. Please see our response to question 6 for further instructions on how to download our SOC 2 report and other compliance-related resources. For users in primary and secondary schools, Google does not use any user personal information (or any information associated with a Google Workspace for Education Account) to target advertising, whether in Google Workspace Core Services (such as Gmail or Calendar), Chrome Education Upgrade, or other Google services accessed while using a Google Work-space for Education account.
2) Can Google confirm that when the settings in Google Workspace and Google Chromebooks are set to make sure that only Core Services are used and available and that Additional Service are disabled, then Google will only process personal data as data processor and not for other purposes than the ones instructed by Helsingør Kommune?	When Additional Services are disabled and only Workspace Core Services are used: Google processes Customer Personal Data as a processor and only under your instructions. As mentioned in our response to question 1, we do not process Customer Data (including Customer Personal Data) for our own purposes (including advertising purposes), and this commitment is subject to audit by our independent third party auditor. Google processes Service Data as a controller for limited purposes in accordance with our Google Cloud Privacy Notice. As per our Notice, Service Data is the personal information we collect or generate during our provision and administration of the Google Workspace services, excluding Customer Data. We have provided more information about the purposes for which we process Service Data in our response to question 3 below.
3) Does Google as data processor process Diagnostic Data, including telemetry, cookies, etc. for other purposes than the one instructed by Helsingør Kommune?	If “Diagnostic Data” (as described in your question) contains personal data, then that is classified as “Service Data” when it has been collected or generated through the Workspace Core Services. Google may process this Service Data as a controller for the limited purposes described in section “Why we process data” of the Google Cloud Privacy Notice.
4) When Google provides online technical support, can such support be initiated by Google on its own initiative, or will it only be initiated on request by Helsingør Kommune?	We understand “online technical support” to refer to our Technical Support Services for Google Workspace. As explained in our Google Workspace Subprocessors URL, Technical Support Services are “customer-initiated”, and would not be initiated by Google since, by their nature, Technical Support Services are dependent on a request from a customer. This article describes how your administrator can contact Google directly for support.
5) Will it in the near future be possible as a general Google feature to opt out of online technical support from unsecure third countries?	First, we would like to clarify that each Subprocessor we engage goes through a rigorous selection process to ensure it has the required technical expertise and can deliver the appropriate level of security and privacy. We provide the same contract commitments for all Subprocessors in Section 11 of our Data Processing Amendment. As noted in our response to question 4, we understand “online technical support” to refer to our Technical Support Services for Google Workspace. Google continues to heavily invest on features to offer enhanced geo-location control over data. At the moment, to be able to offer 24/7 Technical Support Services as part of the ‘follow the sun’ support model, these services may be provided from locations outside the EU/EEA. However, as stated in our Google Workspace Subprocessors URL: ·          each Third Party Subprocessor providing Technical Support Services “only has access to Customer Data if Customer explicitly elects to share Customer Data in the course of a support case (e.g. screen-shots)”. ·          Google Group Subprocessors providing Technical Support Services “may require limited, authorized access to Customer Data to respond to Customer-initiated requests”. Our customers can rely on our Standard Contractual Clauses (as well as our supplementary measures) as a legal mechanism to meet their compliance needs with regards to the transfer of Customer Personal Data (i.e. the personal data comprised in Customer Data) outside the EU.
6) If possible, Helsingør Kommune will appreciate any documentation, including documentation from third parties such as audits, etc., to support the answers provided above.	Compliance Resources Our Compliance Reports Manager provides you with easy, on-demand access to critical compliance resources. Please go to https://cloud.google.com/security/compliance/compliance-re-ports-manager/ and sign-in with your Google Workspace ac-count to see all the resources available to you. You may specifically want to review our: • ISO certification (27001, 27017, 27018, 27701) * SOC 1, 2 and 3 audit reports As indicated above, we are also gathering other talking points and resources that may be useful to support your Data Protection Impact Assessment. We will share these with you early next week. Other Useful Resources Chromebooks 1. ChromeOS 1-Pager 2. ChromeOS (ISO 27001, 27017/18, SOC1) * Chrome Enterprise Upgrade * Chrome Education Upgrade * Chrome Nonprofit Upgrade * Chromebook Enterprise Our Guide on how to customize and implement Google Workspace (including Privacy best practices) 1. Google Workspace for EDU data protection implementation guide Data Processing Terms & Customer Data Processing Commitments 2.Google Workspace Service-Specific Terms 3. Data Processing Amendment to Google Workspace and/or Complementary Product Agreement 4. Google’s adherence to the EU GDPR Code of Conduct Service Data 5. Google Cloud Privacy Notice 6. Google’s commitment on processing of Service Data Data Transfers and Schrems II ruling 7. Transfer Impact Assessment: How to Assess the Risk of Cloud EEA-U.S.Data Transfers Using European Data Protec-tion Board’s Recommendations (dokumentet er udeladt, da dokumentet i sin helhed, af Google anses som fortroligt) 8. Google Cloud’s implementation of the New EU Standard Contractual Clauses 9. Safeguards for international data transfers with Google Cloud 10. Reaffirming Google Cloud’s commitments to EU businesses in light of the EDPB’s Recommendations 11. Google Cloud welcomes EU’s new Standard Contractual Clauses for cross-border data transfers Additional Privacy Resources 12. Privacy Resource Center 13. Google Transparency Report 14. Enhancing our privacy commitments to customers (blog post 2020)

 

Manglende formålsbegrænsning for kundedata
Potentielle problemstillinger	Hvordan har Helsingør Kommune mitigeret risikoen?
Google ønsker ikke udtrykkeligt at udelukke den videre behandling af Helsingør kommunes personoplysninger i rollen som selvstændig dataansvarlig med det formål at afsløre ulovlig aktivitet uden først at indhente forudgående skriftlig godkendelse fra Kunden. Google leverer ikke kontrolelementer til at tilsidesætte eller undgå scanning, filtrering eller anden analyse af spam og malware, hvor det er kommercielt, teknisk og rimeligt muligt.	Google er alene databehandler, da kommunen kun bruger Kernetjenester, og Google er således ikke dataansvarlig. Denne problemstilling er ikke relevant. (Dette er bl.a. bekræftet af databehandleraftalen og af ISO 27001-certificeringen.) Eleverne har ikke adgang til e-mailfunktionen. En kontrol af lærernes brug af e-mail er slået til, herunder [af] vedhæftede filer ikke er skadelige, og at indkommende e-mails med vedhæftninger åbnes i en sandkasse. Denne problemstilling er ikke relevant.
Google behandler personoplysninger som selvstændig dataansvarlig med henblik på markedsføring, pro-filering, dataanalyser og markedsundersøgelser.	Risikoen er mitigeret, da Google kontraktuelt har forpligtet sig til ikke at behandle oplysninger til disse formål, da kommunen alene anvender Kernetjenester, jf. databehandleraftalens pkt. 5.
Der er risiko for, at maskinel indlæring til forbedring af indholdet af stave- og grammatikdata ikke er begrænset til Helsingør Kommunes eget domæne	Kommunen er dataansvarlig, dvs. behandling af tekster m.v. sker til kommunens formål. Herudover er metadata-rapporteringer slået fra, så Google har adgang til identificerbare personoplysninger i forbindelse med maskinel læring.
Når Google anonymiserer oplysninger og efterfølgende anvender disse, er anonymiseringen ikke tilstrækkelig.	Google har oplyst, at anonymiseringen sker som foreskrevet i WP29-vejledningen.
Manglende formålsbegrænsning for diagnostiske data
Potentielle problemstillinger	Hvordan har Helsingør Kommune mitigeret risikoen?
Google behandler diagnosticeringsdata (herunder telemetridata), supportdata, feedbackdata og alle indstillinger/konfigurationer valgt af Enterprise-kunder til en lang række egne formål.	Diagnosticeringsdata og feedback er slået fra som dokumenteret i bilag 2.
Google følger ikke de anbefalede foranstaltninger til at inkludere Chrome Enterprise i G Suite Enterprise-tilbuddet eller inkludere separat Chrome-browser med "databehandler" på Android-enheder og Chromebooks (hvor det ikke er realistisk at installere en anden browser).	Google er alene databehandler, da kommunen kun bruger Kernetjenester, og Google er således ikke dataansvarlig. Denne problemstilling er ikke relevant. (Dette er bl.a. bekræftet af databehandleraftaler og ISO 27001-certificeringen.)
Intet juridisk grundlag for Google
Potentielle problemstillinger	Hvordan har Helsingør Kommune mitigeret risikoen?
Google ønsker ikke at blive databehandler for diagnostiske data, supportdata og feedbackdata.	Google er databehandler, og diagnosticeringsdata og feedback er slået fra som dokumenteret i bilag 2.
Med hensyn til det juridiske grundlag for indsamling af cookie- og telemetridata fra slutbrugerenheder oplyser Google, at Google anvender cookies og lignende teknologier, der er nødvendige for, at tjenesterne kan fungere.	Diagnosticeringsdata og feedback er slået fra som dokumenteret i bilag 2. Herudover er Google alene databehandler, og det juridiske grundlag er derfor fastlagt af kommunen.
Standardindstillinger for beskyttelse af personoplysninger, som ikke fremmer integriteten
Potentielle problemstillinger	Hvordan har Helsingør Kommune mitigeret risikoen?
Det er ikke muligt at ændre Googles standardindstillinger, hvorved Helsingør Kommune ikke kan beskytte personoplysningerne via privacy by default.	Kommunens valg af indstillinger fremmer privacy by design som dokumenteret i risikovurderingen og den vedlagte dokumentation for indstillinger, og kommunen finder de foreliggende muligheder for indstillinger i Tjenesterne tilstrækkelige, jf. bilag 1 og 2.
Manglende kontrol underdatabehandlere
Potentielle problemstillinger	Hvordan har Helsingør Kommune mitigeret risikoen?
Det er ikke muligt at kontrollere Googles underdatabehandlere via audits eller tilsvarende.	Google er databehandler for Helsingør Kommune i denne sag, og kommunen fører tilsyn med Google som databehandler og i fornødent omfang med underdatabehandlere svarende til de interne procedurer herfor. Kommunen finder samlet, at databehandleraftalen giver tilstrækkelig mulighed herfor.
Manglende indsigt i personoplysninger
Potentielle problemstillinger	Hvordan har Helsingør Kommune mitigeret risikoen?
Der er risiko for, at Google ikke giver den nødvendige adgang til de personoplysninger, der er indeholdt i telemetri- og cookiedata.	Diagnosticeringsdata og feedback er slået fra som dokumenteret i bilag 2. Herudover er Google alene databehandler, og det juridiske grundlag er derfor fastlagt af kommunen. Det bemærkes i øvrigt, at Google i databehandleraftalen har forpligtet sig til at bistå med at besvare indsigtsanmodninger. ”

4. Begrundelse for Datatilsynets afgørelse

Datatilsynet bemærker indledningsvis, at tilsynet ved denne afgørelse ikke har taget stilling til, om Helsingør Kommune har overtrådt det forbud, som kommunen blev meddelt ved tilsynets afgørelse af 14. juli 2022.

Denne afgørelse tager alene stilling til, om – i givet fald i hvilket omfang – Helsingør Kommune ved den fremsendte dokumentation har påvist, at kommunen kan gennemføre behandlingsaktiviteten i overensstemmelse med databeskyttelsesreglerne.

4.1. Relevante regler

Det fremgår af databeskyttelsesforordningens artikel 35, stk. 1, at den dataansvarlige – forud for en behandlingsaktivitet – skal foretage en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger. Det gælder, hvis behandlingen, navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder.

Af forordningens artikel 35, stk. 2, følger endvidere, at den dataansvarlige skal rådføre sig med databeskyttelsesrådgiveren, hvis en sådan er udpeget, når der foretages en konsekvensanalyse vedrørende databeskyttelse. Bestemmelsen har en naturlig sammenhæng med forordningens artikel 39, stk. 1, litra c, hvoraf det fremgår, at databeskyttelsesrådgiveren som minimum bl.a. har til opgave at rådgive med hensyn til konsekvensanalysen og overvåge dens opfyldelse, når der anmodes herom i henhold til artikel 35.

Databeskyttelsesforordningens artikel 35 indeholder herudover en række mindstekrav, som en konsekvensanalyse som minimum skal opfylde. Disse krav fremgår af bestemmelsens stk. 7 og omfatter:

1. en systematisk beskrivelse af de planlagte behandlingsaktiviteter og formålene med behandlingen
2. en vurdering af, om behandlingsaktiviteterne er nødvendige og står i rimeligt forhold til formålene
3. en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder som omhandlet i stk. 1, og
4. de foranstaltninger, der påtænkes for at imødegå disse risici, herunder garantier, sikkerhedsforanstaltninger og mekanismer, som kan sikre beskyttelse af personoplysninger og påvise overholdelse af denne forordning, under hensyntagen til de registreredes og andre berørte personers rettigheder og legitime interesser.

Derudover fremgår det af databeskyttelsesforordningens artikel 35, stk. 11, at den dataansvarlige, i hvert fald når der er en ændring af den risiko, som behandlingerne udgør, skal vurdere, om det er nødvendigt at foretage en fornyet gennemgang for at vurdere, om den nye behandling er dækket af allerede foretagne konsekvensanalyser.

Endelig fremgår det af forordningens artikel 36, stk. 1, at tilsynsmyndigheden skal høres inden behandling, hvis en konsekvensanalyse viser, at behandlingen vil føre til høj risiko i mangel af foranstaltninger truffet af den dataansvarlige for at begrænse risikoen.

Hvis den dataansvarlige ved at gennemføre konsekvensanalysen – og træffe de nødvendige foranstaltninger – således ikke selv har kunnet nedbringe risikoen til et niveau, der er mindre end højt, skal Datatilsynets høres, inden behandlingen sættes i gang. Dette skal ske for at sikre dels behandlingens lovlighed, dels at den dataansvarlige har identificeret de relevante risici for de registrerede og nedbragt disse risici. Datatilsynet rådgiver i den forbindelse den dataansvarlige om, hvorvidt alle relevante risici er identificeret, og hvilke foranstaltninger, den dataansvarlige i givet fald kan træffe for at mitigere disse risici. Datatilsynet kan i tilknytning hertil benytte alle sine beføjelser.

Der er således tale om en væsentlig retssikkerhedsmæssig garanti for de registreredes rettigheder og frihedsrettigheder. Tilsidesættelsen af denne garanti underminerer Datatilsynets – som den kompetente tilsynsmyndighed – muligheder for at få kendskab til og påse lovligheden af højrisikobehandlinger og indebærer dermed en risiko for krænkelse af de registreredes rettigheder og frihedsrettigheder.

Databeskyttelsesforordningens regler om konsekvensanalyse og eventuel høring af Datatilsynet skal sikre, at ingen behandling, hvor der er en iboende høj risiko for de registreredes rettigheder og frihedsrettigheder, igangsættes, uden at den dataansvarlige har arbejdet med og nedbragt sådanne risici.

En konsekvensanalyse vedrørende databeskyttelse er således et værktøj, som gør den dataansvarlige i stand til at arbejde med de risici, som en behandlingsaktivitet kan indebære, på en systematisk måde.

En fyldestgørende beskrivelse af behandlingsaktiviteten, jf. artikel 35, stk. 7, litra a, er forudsætningen for, at den dataansvarlige kan vurdere og dokumentere behandlingsaktivitetens lovlighed, jf. stk. 7, litra b.

Tilsvarende er de faktuelle forhold vedrørende behandlingsaktiviteten og dennes lovlighed en forudsætning for at vurdere eventuelle risici i form af fravigelser fra den tilsigtede, lovlige behandlingsaktivitet, jf. stk. 7, litra c.

Endelig er denne risikovurdering, jf. litra c, en forudsætning for at identificere og træffe de relevante og passende foranstaltninger, jf. litra d.

Datatilsynet kan i øvrigt henvise til tilsynets og Justitsministeriets vejledning om konsekvensanalyser fra marts 2018, som er tilgængelig på Datatilsynets hjemmeside. Derudover har Det Europæiske Databeskyttelsesråd i oktober 2017 vedtaget sine ”Retningslinjer for konsekvensanalyse vedrørende databeskyttelse (DPIA) og bestemmelse af, om behandlingen "sandsynligvis indebærer en høj risiko" i henhold til forordning (EU) 2016/679”, som ligeledes er tilgængelig på Datatilsynets hjemmeside i en dansk version. 

4.2. Behandlinger der har en høj iboende risiko

Datatilsynet meddelte den 10. september 2021 Helsingør Kommune et påbud om at bringe kommunens behandling af personoplysninger ved brug af Google Chromebooks og Workspace i overensstemmelse med databeskyttelsesreglerne. Hvis det herunder viste sig, at risikoen for de registreredes rettigheder og frihedsrettigheder forbundet hermed var høj, skulle kommunen også gennemføre en konsekvensanalyse vedrørende databeskyttelse.

Helsingør Kommune fremsendte den 10. november 2021 kommunens risikovurdering til Datatilsynet med henblik på at påvise, at kommunen havde bragt sin behandlingsaktivitet i overensstemmelse med databeskyttelsesreglerne. Helsingør Kommune anførte i den forbindelse, at det var kommunens vurdering, at kommunen ikke var forpligtet til at gennemføre en konsekvensanalyse vedrørende databeskyttelse, idet kommunen ikke benyttede Google Workspace Tillægstjenester.

Datatilsynet meddelte den 14. juli 2022 Helsingør Kommune et forbud mod at behandle personoplysninger ved brug af Google Chromebooks og Workspace indtil, at kommunen havde bragt behandlingsaktiviteten i overensstemmelse med databeskyttelsesforordningen som anført i afgørelsen, samt udarbejdet fyldestgørende dokumentation herfor.

Datatilsynet lagde herunder vægt på, at Helsingør Kommune ikke til fulde havde vurderet og dokumenteret de risikoscenarier, der kan opstå som følge af brugen af Google som leverandør og Google Chromebooks og Workspace som system. Datatilsynet lagde endvidere vægt på, at de risikoscenarier, som kommunen imidlertid havde vurderet og dokumenteret, indikerede, at der sandsynligvis var en høj iboende risiko ved den pågældende behandlingsaktivitet.

Datatilsynet lagde i den forbindelse i sin afgørelse af 14. juli 2022 til grund, at Helsingør Kommune ikke benyttede Google Workspace Tillægsprodukter. Det lægger Datatilsynet – i overensstemmelse med det af Helsingør Kommune oplyste – fortsat til grund.

Helsingør Kommune har i sin beskrivelse af behandlingsaktiviteten, som er gengivet i afsnit 3.1. ovenfor, anført, at Google Chromebooks og Workspace benyttes i undervisningen på tværs af alle klassetrin, og at der behandles en række nærmere angivne personoplysninger om bl.a. eleverne. Efter Datatilsynets opfattelse er der derved tale om samme behandlingsaktivitet, som også er genstand for tilsynets afgørelse af 10. september 2021 og 14. juli 2022.

Det er derfor – som det også fremgår af Datatilsynets afgørelse 14. juli 2022 – Datatilsynets vurdering, at Helsingør Kommunes behandling af personoplysninger ved brug af Google Chromebooks og Workspace sandsynligvis indebærer en iboende høj risiko for fysiske personers rettigheder og frihedsrettigheder.

Det skyldes, at ny, kompleks teknologi, herunder software, særligt på undervisningsområdet, hvor de registrerede er børn og unge, efter Datatilsynets opfattelse normalt indebærer en høj risiko for disse elevers rettigheder og frihedsrettigheder. 

Datatilsynet bemærker herunder, at en behandlingsaktivitet som denne indeholder to af de ni momenter, som efter retningslinjerne fra Det Europæiske Databeskyttelsesråd[6] indikerer en høj iboende risiko. Endvidere er det Datatilsynets opfattelse, at Helsingør Kommunes konkrete brug af Google Chromebooks og Workspace indeholder et tredje moment, der indikerer en høj iboende risiko, navnlig at der er tale om omfattende behandling af personoplysninger, idet det omhandlede hardware og software benyttes på tværs af kommunens folkeskoler.

Det er derfor Datatilsynets vurdering, at Helsingør Kommune er forpligtet til at gennemføre en konsekvensanalyse vedrørende databeskyttelse i overensstemmelse med databeskyttelsesforordningens artikel 35.

Dette fremgår ligeledes af Datatilsynets afgørelse af 14. juli 2022. Datatilsynet har i den forbindelse – som en indikation på, at behandlingsaktiviteten sandsynligvis har en høj iboende risiko – nærmere vurderet, i hvilket omfang oplysninger, som Helsingør Kommune er dataansvarlig for, behandles til andre formål end de, der er forudsat i folkeskoleloven.

Datatilsynet har herunder anført følgende:

”Det er Datatilsynets opfattelse, at Helsingør Kommunes behandling af personoplysninger efter folkeskoleloven, jf. forordningens artikel 6, stk. 1, litra e, ikke omfatter situationer, hvor personoplysninger behandles til andre formål end de, der er forudsat i folkeskoleloven. Oplysningerne kan dermed heller ikke lovligt videregives til andre dataansvarlige til brug for disses formål, når der er tale om formål, der ikke er forudsat i folkeskoleloven. Dette omfatter også den behandling af personoplysninger, der kan ske ved elevernes brug af udstyret og softwaren, herunder metadataoplysninger, der benyttes til markedsføring og profilering, uanset om oplysningerne anvendes til direkte markedsføring og profilering eller indirekte som en del af en gruppe (klasse, årgang, skole osv.).”

Det er således Datatilsynets vurdering, at den omhandlede behandlingsaktivitet generelt – som følge af tilstedeværendelsen af tre overordnede momenter, der indikerer, at behandlingsaktiviteten sandsynligvis indebærer en høj iboende risiko, og på baggrund af det specifikke risikoscenarie om behandling af personoplysninger til andre formål – kræver, at Helsingør Kommune gennemfører en konsekvensanalyse vedrørende databeskyttelse, jf. forordningens artikel 35.

Afslutningsvis bemærker Datatilsynet, at det fremgår af Datatilsynets og Justitsministeriets vejledning om konsekvensanalyser fra marts 2018, at det ikke er nødvendigt at gennemføre en konsekvensanalyse for aktiviteter, der var igangværende på det tidspunkt, hvor databeskyttelsesforordningen fandt anvendelse, og som blev kontrolleret af Datatilsynet i medfør af den dagældende persondatalovs regler om anmeldelsespligt i kapitel 12 og 13.

Det fremgår imidlertid endvidere, at den dataansvarlige – hvis der er sker en ændring af behandlingsaktiviteten – skal tage stilling til, om der på baggrund af databeskyttelsesforordningens regler skal gennemføres en konsekvensanalyse. Dette skal læses i sammenhæng med databeskyttelsesforordningens artikel 35, stk. 11, hvorefter den dataansvarlige er forpligtet til løbende at vurdere, om ændringer af behandlingsaktiviteten giver anledning til at revidere en eksisterende konsekvensanalyse, i hvert fald når der er en ændring af den risiko, som behandlingsaktiviteterne udgør.

Datatilsynet har herunder noteret sig, at der er sket ændringer af ”Tjenestespecifikke vilkår for Google Workspace” otte gange siden oktober 2020 og ændringer af ”Data Processing Amendment to Google Workspace and/or Complementary Product Agreement” fem gange siden maj 2018. Endvidere er både Chrome OS og Chrome-browseren siden maj 2018 blevet væsentligt opdateret et betydeligt antal gange fra version 67 til 104.

Det er generelt Datatilsynets opfattelse, at væsentlige ændringer i vilkår, software og applikationer almindeligvis udgør en væsentlig ændring af risikoen, som behandlingsaktiviteten udgør.

Selv om den pågældende behandlingsaktivitet er påbegyndt inden den 25. maj 2018, er det derfor Datatilsynets opfattelse, at forpligtelsen for Helsingør Kommune til at gennemføre en konsekvensanalyse efter databeskyttelsesforordningens artikel 35 er blevet udløst efter, at forordningen fandt anvendelse, og at Helsingør Kommune har været forpligtet til løbende at ajourføre denne konsekvensanalyse.

4.3. Helsingør Kommunes dokumentation af 1. august 2022

Helsingør Kommune har den 1. august 2022 – som opfølgning på Datatilsynet afgørelse af 14. juli 2022 – fremsendt sin dokumentation vedrørende kommunens brug af Google Chromebooks og Workspace.

Af dokumentationen fremgår det bl.a., at den alene er udarbejdet på baggrund af Datatilsynets afgørelse af 14. juli 2022, og at dokumentationen skal adressere de risici, som tilsynet har behandlet i sin afgørelse af 14. juli 2022.

Det fremgår herunder, at Helsingør Kommune for at imødekomme de af Datatilsynet rejste spørgsmål har foretaget følgende:

”Der er vedlagt dokumentation for, at kommunen har valgt indstillinger, der sikrer, at kommunen alene anvender Kernetjenester, jf. bilag 2. Disse indstillinger indebærer, at Google alene har en rolle som databehandler, og at Google alene må handle inden for kommunens instruks og dermed ikke lovligt kan varetage egne formål.

Der er indhentet dokumentation i form af uafhængige tredjepartserklæringer for, at Google som databehandler ikke varetager egne formål, jf. bilag 3. Denne dokumentation sikrer, at en uafhængig tredjepart har revideret Googles behandling af personoplysninger som databehandler, og derved at Google som databehandler handler inden for den givne instruks, og at Google ikke varetager egne formål i strid med databehandleraftalen.

Denne konsekvensanalyse giver et overblik over de undersøgelser og overvejelser, som kommunen har foretaget i anledning af de rejste spørgsmål, samt vurderer, om behandlingen på baggrund af ovenstående indebærer en høj risiko.”

Som det fremgår ovenfor, har Datatilsynet imidlertid – som det også var tilfældet i Datatilsynets afgørelse af 14. juli 2022 – lagt til grund, at Helsingør Kommune ikke benytter Tillægstjenester, men alene benytter Kernetjenester.

Helsingør Kommune har som dokumentation for, (i) at kommunen i tilstrækkelig grad har sikret, at Google alene behandler personoplysninger som databehandler, og (ii) at Google ikke behandler personoplysninger til egne formål, fremsendt en beskrivelse af de kontraktuelle foranstaltninger, som kommunen har indgået med Google med henblik herpå, samt en beskrivelse af de tekniske foranstaltninger, som kommunen har truffet i samme øjemed.

Kontraktuelle foranstaltninger

Helsingør Kommune har overordnet anført, at Google ved sin levering af Google Chromebooks og Workspace alene agerer som databehandler og ikke behandler personoplysninger til egne formål eller kræver adgang til at behandle personoplysninger til mere generelle formål, som ikke er afgrænset til kommunens interesse i behandlingen.

Kommunen har herunder henvist til databehandleraftalen med Google[7], hvoraf følgende fremgår:

”5.2 Scope of Processing.

5.2.1 Customer’s Instructions. Customer instructs Google to process Customer Personal Data only in accordance with applicable law: (a) to provide, secure, and monitor the Services and TSS; (b) as further specified via Customer’s use of the Services (including the Admin Console and other functionality of the Services) and TSS; (c) as documented in the form of the Agreement (including this Data Processing Amendment); and (d) as further documented in any other written instructions given by Customer and acknowledged by Google as constituting instructions for purposes of this Data Processing Amendment (collectively, the "Instructions").

5.2.2 Google’s Compliance with Instructions. Google will comply with the Instructions unless prohibited by European Law. […]” (Datatilsynets understregning)

Af Googles databehandleraftale fremgår derudover følgende:

”2. Definitions

2.1 Capitalized terms defined in the Agreement apply to this Data Processing

Amendment. In addition, in this Data Processing Amendment: […]

Customer Data means data submitted, stored, sent or received via the Services by Customer or End Users.

Customer Personal Data means the personal data contained within the Customer Data, including any special categories of personal data defined under European Data Protection Law.”

Endvidere har Helsingør Kommune anført en række spørgsmål, som kommunen har fået besvaret af Google. Heraf fremgår bl.a., at Google bekræfter, at behandling af ”Customer Personal Data” alene sker i overensstemmelse med kundens instruks, og at Google ikke behandler ”Customer Personal Data” til egne formål.

Definitionen af ”Customer Personal Data” omfatter – som det fremgår af afsnit 2 i Googles databehandleraftale – alene oplysninger, som indtastes, opbevares, sendes eller modtages via Google Workspace af kunden eller slutbrugeren.

Det er Datatilsynets vurdering, at denne definition ikke omfatter alle eventuelle personoplysninger, der genereres ved brug af Google Chromebooks og Workspace.

Datatilsynet har herved navnlig lagt vægt på Googles egen besvarelse af kommunens spørgsmål 2 og 3, hvoraf følgende fremgår:

”2) Can Google confirm that when the settings in Google Workspace and Google Chromebooks are set to make sure that only Core Services are used and available and that Additional Service are disabled, then Google will only process personal data as data processor and not for other purposes than the ones instructed by Helsingør Kommune?

When Additional Services are disabled and only Workspace Core Services are used:

• Google processes Customer Personal Data as a processor and only under your instructions. As mentioned in our response to question 1, we do not process Customer Data (including Customer Personal Data) for our own purposes (including advertising purposes), and this commitment is subject to audit by our independent third party auditor.
• Google processes Service Data as a controller for limited purposes in accordance with our Google Cloud Privacy Notice. As per our Notice, Service Data is the personal information we collect or generate during our provision and administration of the Google Workspace services, excluding Customer Data. We have provided more information about the purposes for which we process Service Data in our response to question 3 below.

3) Does Google as data processor process Diagnostic Data, including telemetry, cookies, etc. for other purposes than the one instructed by Helsingør Kommune?               

If “Diagnostic Data” (as described in your question) contains personal data, then that is classified as “Service Data” when it has been collected or generated through the Workspace Core Services.

Google may process this Service Data as a controller for the limited purposes described in section “Why we process data” of the Google Cloud Privacy Notice.” (Datatilsynets understregning)

Med hensyn til afgrænsningen af “Service Data” fremgår det af Googles privatlivspolitik (Google Cloud Privacy Notice) af 20. april 2022, at det bl.a. drejer sig om følgende:

”Service Data is the personal information Google collects or generates during the provision and administration of the Cloud Services, excluding any Customer Data and Partner Data. Service Data includes:

• Cloud payments and transactions. We keep reasonable business records of charges, payments, and billing details and issues.
• Cloud settings and configurations. We record your configuration and settings, including resource identifiers and attributes. This includes service and security settings for data and other resources.
• Technical and operational details of your usage of Cloud Services. We collect information about usage, operational status, software errors and crash reports, authentication credentials, quality and performance metrics, and other technical details necessary for us to operate and maintain Cloud Services and related software. This information may include device identifiers, identifiers from cookies or tokens, and IP addresses.”

Med hensyn til formålene med Googles behandling af de omhandlede personoplysninger fremgår følgende af privatlivspolitikken:

”Google processes Service Data for the following purposes:

• Provide Cloud Services you request. Service Data is primarily used to deliver the Cloud Services that you and our customers request. This includes a number of processing activities that are necessary to provide the Cloud Services, including processing to bill for services usage, to ensure services are working as intended, to detect and avoid outages or other problems you might experience, and to secure your data and the services you use.
• Make recommendations to optimize use of Cloud Services. We may process Service Data to provide you and our customers with recommendations and tips. These suggestions may include ways to better secure your account or data, options to reduce service charges or improve performance, and information about new or related products and features. We may also evaluate your response to our recommendations.
• Maintain and improve Cloud Services. We evaluate Service Data to help us improve the performance and functionality of Cloud Services. As we optimize Cloud Services for you, this may improve them for our customers and vice versa.
• Provide and improve other services you request. We may use Service Data to deliver and improve other services that you and our customers request, including Google or third-party services that are enabled via the Cloud Services, administrative consoles, APIs, or the Google Cloud Platform Marketplace or Google Workspace Marketplace.
• Assist you. We use Service Data when needed to provide technical support and professional services as requested by you and our customers, and to assess whether we have met your needs. We also use Service Data to improve our online support, and to communicate with you and our customers. This includes notifications about updates to Cloud Services, and responding to support requests.
• Protect you, our users, the public, and Google. We use Service Data to improve the safety and reliability of our services. This includes detecting, preventing, and responding to fraud, abuse, security risks, and technical issues that could harm our users, our customers, the public, or Google. These activities are an important part of our commitment to secure our services.
• Comply with legal obligations. We may need to process Service Data to comply with our legal obligations, for example, where we’re responding to legal process or an enforceable governmental request, or to meet our financial record-keeping obligations.
• Other purposes with your consent. We may ask for your consent to process information for other purposes not covered in this Privacy Notice. You have the right to withdraw your consent at any time.

To achieve these purposes, we may use Service Data together with information we collect from other Google products and services. We may use algorithms to recognize patterns in Service Data. Manual collection and review of Service Data may also occur, such as when you interact directly with our billing or support teams. We may aggregate and anonymize Service Data to eliminate personal details, and we may use Service Data for internal reporting and analysis of applicable product and business operations.”

Med andre ord genereres og indsamles der således – efter Datatilsynets opfattelse – ved elevernes og lærernes brug af Google Chromebooks og Workspace en række yderligere oplysninger, som videregives til Google med henblik på, at Google behandler disse personoplysninger til egne formål, jf. ovenfor.

Når Helsingør Kommune beslutter, hvilke redskaber der benyttes i kommunens folkeskoler, herunder af den enkelte elev, er det kommunen, der fastlægger formålene med og hjælpemidlerne til den behandling af personoplysninger, der sker ved brug af redskaberne. Helsingør Kommune er således den dataansvarlige for behandling af personoplysninger om de omhandlede elever og lærere, hvilket også fremgår af Datatilsynets afgørelse af 14. juli 2022.

Det fremgår også af afgørelsen, at Helsingør Kommune – som den dataansvarlige – ikke kan behandle personoplysninger til andre formål, end de, der er forudsat i folkeskoleloven.

Oplysningerne kan dermed heller ikke lovligt videregives til andre dataansvarlige til brug for disses formål, når der er tale om formål, som ikke er forudsat i folkeskoleloven. Dette omfatter også den behandling af personoplysninger, der kan ske ved elevernes brug af udstyret og softwaren.

Det er Datatilsynets opfattelse, at den behandling af personoplysninger, som er forudsat i folkeskolelovens regler om undervisningspligt, og dermed kan ske efter databeskyttelsesforordningens artikel 6, stk. 1, litra e, ikke omfatter, at oplysningerne kan videregivelse til andre selvstændige dataansvarlige, herunder til brug for formål så som videreudvikling af teknologileverandørers applikationer mv. Det er Datatilsynets opfattelse, at offentlige myndigheders videregivelse af personoplysninger til private dataansvarlige generelt kræver særskilt hjemmel, når der er tale om formål, som ligger uden for de myndighedsopgaver, som den offentlige myndighed er pålagt at varetage.    

I dette tilfælde er der tale om, at Helsingør Kommune – som den dataansvarlige som følge af sin beslutning om, at kommunens folkeskoleelever skal benytte det pågældende udstyr – videregiver personoplysninger til Google til brug for Googles egne formål, der nærmere fremgår af Googles privatlivspolitik.

Det er således Datatilsynets vurdering, at de kontraktuelle foranstaltninger og udtalelser fra Google, som Helsingør Kommune har dokumenteret, er uden betydning for de forhold, der er beskrevet i Datatilsynets afgørelse af 14. juli 2022.

Datatilsynet har herved navnlig lagt vægt på, at Helsingør Kommunes instruks til Google om alene at behandle ”Customer Personal Data” til kommunens formål ikke omfatter alle de personoplysninger, der behandles ved kommunens elevers brug af Google Chromebooks og Workspace, og at der er en række personoplysninger i form af ”Service Data”, der indsamles og videregives til Google til brug for Googles egne formål.

Datatilsynet har herunder noteret sig, at det ikke længere er Helsingør Kommunes vurdering, at det ikke kan udelukkes, at Google handler i strid med sine kontraktuelle forpligtelser og behandler personoplysninger til andre formål end instrueret af kommunen.

Tekniske foranstaltninger

Af dokumentationens bilag 2 fremgår de tekniske foranstaltninger, som Helsingør Kommune har truffet for at forhindre og afgrænse behandling af personoplysninger uden for kommunens instruks. Med hensyn til disse foranstaltninger er det – efter en gennemgang heraf – Datatilsynets opfattelse, at der navnlig er tale om applikationsindstillinger, som forhindrer eller begrænser kommunens elever og lærere i at dele oplysninger med andre.

Det drejer sig bl.a. om (i) deling af dokumenter via dedikeret delefunktionalitet eller via fællesdrev, (ii) begrænsninger i lærernes adgange til mailvedhæftninger, (iii) begrænsninger i elevers adgang til e-mail generelt, (iv) adgangsbegrænsning til deltagelse i videokonferencer, (v) adgangsbegrænsning til kalenderoplysninger, (vi) begrænsninger i adgang til Workspace fra tredjelande mv.

Med hensyn til begrænsninger af Googles brug af personoplysninger er der alene enkelte indstillinger, der knytter sig hertil.

Det drejer sig om (i) afskæringen af brug af private Google-konti på de omhandlede Chromebooks, (ii) afgrænsning af deling af diagnostiske data til Parallels, (iii) afskæringen af adgang til at give Google brugerfeedback for så vidt angår de benyttede applikationer, (iv) deling af data med Google ved oprydning i Chrome-browseren, (v) afskæring af Googles indsamling af indtastede webadresser og metadata med henblik på forbedring af søgning og browsing.

Det er Datatilsynets vurdering, at størstedelen af disse indstillinger ikke afgrænser eller forhindrer generering og indsamling af Service Data ved brug af Google Chromebooks og Workspace og videregivelse heraf fra Helsingør Kommune til Google.

Datatilsynet har herved lagt vægt på, at størstedelen af indstillingerne vedrører begrænsninger i kommunens læreres og elevers deling af oplysninger med andre udenforstående, og at de øvrige enkelte indstillinger alene vedrører udvalgte, særlige funktionaliteter i Google Workspace, herunder fx adgangen til at give Google direkte brugerfeedback eller indsamling af indtastede webadresser.

Datatilsynet har endvidere lagt vægt på, at indstillingen, der afgrænser deling af diagnostiske data til Parallels ikke afskærer generering og indsamling af Service Data og videregivelse heraf til Google, idet indstillingen vedrører applikationen Parallels, som Datatilsynet bekendt er en virtualiseringsapplikation, og dermed ikke Google Chromebooks eller Workspace.

På den baggrund er det Datatilsynets vurdering, at de tekniske foranstaltninger ikke kan sikre, at personoplysninger alene behandles til Helsingør Kommunes formål.

Samlet set er det således Datatilsynets vurdering, at hverken de kontraktuelle eller tekniske foranstaltninger er egnede til at imødegå de risici, der er centrale i den fremsendte dokumentation.

Det er derudover Datatilsynets vurdering, at de identificerede og beskrevne risici i sig selv endvidere ikke i tilstrækkeligt omfang tager højde for alle dele af den omhandlede behandlingsaktivitet.

Datatilsynet har lagt vægt på, at identifikation og beskrivelse af de identificerede risici alene tager udgangspunkt i det øverste lag af teknologistakken i form af Google Workspace. Ved ikke tillige at undersøge og beskrive de øvrige elementer af Google Chromebooks – såsom bl.a. Chrome-browseren og Google OS – har Helsingør Kommune ikke identificeret risicienes fulde omfang.

Det er endvidere Datatilsynets opfattelse, at Helsingør Kommune – ved alene at forholde sig til de ovennævnte risici – ikke har inkluderet alle relevante behandlingsaktiviteter, der kan indebære en høj risiko for de registreredes rettigheder og frihedsrettigheder.

Som det fremgår ovenfor, har Datatilsynet i sin afgørelse af 14. juli 2022 – som en indikation på, at behandlingsaktiviteten sandsynligvis har en høj iboende risiko – nærmere vurderet, i hvilket omfang oplysninger, som Helsingør Kommune er dataansvarlig for, behandles til andre formål end de, der er forudsat i folkeskoleloven.

Når der foreligger en indikation – en sandsynlighed – på, at en behandlingsaktivitet sandsynligvis har en høj iboende risiko, skal der gennemføres en konsekvensanalyse vedrørende databeskyttelse, jf. forordningens artikel 35, stk. 1.

Det er ikke tilstrækkeligt, at en sådan konsekvensanalyse alene tager højde for de enkelte delelementer, der sandsynligvis kan indebære en høj risiko. Konsekvensanalysen har derimod til formål at beskrive og vurdere disse – såvel som eventuelle yderligere – risikoscenarier.

Det er således ikke tilstrækkeligt, at Helsingør Kommune kun har forholdt sig til risiciene for de registreredes rettigheder og frihedsrettigheder i Google Workspace – og ikke i hele teknologistakken, herunder bl.a. Chrome-browseren og Google OS.

4.4. Mindstekrav til konsekvensanalyser vedrørende databeskyttelse

Databeskyttelsesforordningens regler om konsekvensanalyse og eventuel høring af Datatilsynet skal sikre, at ingen behandling, hvor der er en iboende høj risiko for de registreredes rettigheder og frihedsrettigheder, igangsættes, uden at den dataansvarlige har arbejdet med og nedbragt en sådanne risici.

En konsekvensanalyse vedrørende databeskyttelse er således et værktøj, som gør den dataansvarlige i stand til at arbejde med de risici, som en behandlingsaktivitet kan indebære, på en systematisk måde. Mindstekravene til en konsekvensanalyse fremgår af forordningens artikel 35, stk. 7 og omfatter:

1. en systematisk beskrivelse af de planlagte behandlingsaktiviteter og formålene med behandlingen
2. en vurdering af, om behandlingsaktiviteterne er nødvendige og står i rimeligt forhold til formålene
3. en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder som omhandlet i stk. 1, og
4. de foranstaltninger, der påtænkes for at imødegå disse risici, herunder garantier, sikkerhedsforanstaltninger og mekanismer, som kan sikre beskyttelse af personoplysninger og påvise overholdelse af denne forordning, under hensyntagen til de registreredes og andre berørte personers rettigheder og legitime interesser.

En fyldestgørende beskrivelse af behandlingsaktiviteten, jf. artikel 35, stk. 7, litra a, er forudsætningen for, at den dataansvarlige kan vurdere og dokumentere behandlingsaktivitetens lovlighed, jf. stk. 7, litra b.

Tilsvarende er de faktuelle forhold vedrørende behandlingsaktiviteten og dennes lovlighed en forudsætning for at vurdere eventuelle risici i form af fravigelser fra den tilsigtede, lovlige behandlingsaktivitet, jf. stk. 7, litra c. Endelig er denne risikovurdering, jf. litra c, en forudsætning for at identificere og træffe de relevante og passende foranstaltninger, jf. litra d.

Det er Datatilsynets opfattelse, at den dataansvarlige, som del af en konsekvensanalyse, inden behandlinger påbegyndes, skal vurdere behandlingsaktivitetens lovlighed. Dette følger af bestemmelsens litra b, og indebærer en vurdering af, hvordan alle relevante bestemmelser af databeskyttelsesforordningen, herunder særligt kapitel II-V, overholdes, når aktiviteten gennemføres, som aktiviteten er tiltænkt og designet.

Derudover skal den dataansvarlige vurdere, om der findes risikoscenarier, der kan indebære, at der sker ulovlig behandling af personoplysninger. Ved sådanne risikoscenarier forstår Datatilsynets mulige situationer, der kan opstå utilsigtet, og som indebærer en afvigelse af den tiltænkte, lovlige behandlingsaktivitet.

Det kan eksempelvis være utilsigtet behandling af personoplysninger, som den dataansvarlige ikke har hjemmel til at behandle. Det kan også være en utilsigtet indsamling af flere oplysninger end nødvendigt i lyset af formålet eller en utilsigtet manglende sletning af oplysninger, når den dataansvarlige ikke længere har behov for oplysningerne. Ligeledes kan det være utilsigtede overførsler til tredjelande eller brug af databehandlere, der ikke kan stille de fornødne garantier for databeskyttelsesforordningens overholdelse.

Det er Datatilsynets erfaring, at gennemførelse og ajourføring af en konsekvensanalyse og metoden hertil er et godt redskab til at identificere eventuelle ulovlige behandlingssituationer. Hvis den dataansvarlige i forbindelse med gennemførelse og ajourføring af en konsekvensanalyse identificerer, at den påtænkte eller igangværende behandlingsaktivitet ikke overholder databeskyttelsesreglerne på en eller flere måder, skal den dataansvarlige afhjælpe disse. Det kan typisk ske via en ændring af det kontraktgrundlag, der ligger til grund for behandlingsaktiviteten, hvis andre dataansvarlige eller databehandlere er involveret, eller gennem et re-design af behandlingsaktiviteten. I yderste konsekvens kan det indebære, at den pågældende påtænkte behandlingsaktivitet ikke kan igangsættes eller fortsættes ved allerede igangværende behandlinger.

Det er dermed en forudsætning for at vurdere eventuelle risici ved en behandlingsaktivitet, at aktiviteten er lovlig, som den er tiltænkt og designet.

4.5. Helsingør Kommunes ”konsekvensanalyser vedrørende databeskyttelse”

Efter en gennemgang af Helsingør Kommunes dokumentation af 1. august 2022 finder Datatilsynet, at dokumentationen ikke opfylder mindstekravene til en konsekvensanalyse, jf. databeskyttelsesforordningens artikel 35, stk. 7, litra a-d.

Datatilsynet har herved lagt vægt på, at dokumentationen ikke indeholder en fyldestgørende og systematisk beskrivelse af behandlingsaktiviteten, herunder en teknisk beskrivelse af det udstyr og de applikationer, der understøtter behandlingen, jf. bestemmelsens stk. 7, litra a. Dokumentationen indeholder derimod alene en overordnet beskrivelse af typer af personoplysninger og kategorier af registrerede samt en overordnet angivelse af formålet med behandlingsaktiviteten.

Datatilsynet har endvidere lagt vægt på, at dokumentationen alene overordnet indeholder (i) en vurdering af behandlingens lovlighed, jf. forordningens artikel 5, stk. 1, litra a, med hensyn til mulig videregivelse af personoplysninger til Google, (ii) en beskrivelse af det behandlingsgrundlag, der ligger til grund for kommunens behandling af personoplysninger, samt (iii) en overordnet henvisning til, at kommunen har udarbejdet politikker og procedurer for at håndtere de registreredes rettigheder.

Dokumentationen mangler dermed bl.a. en fyldestgørende vurdering af, hvordan behandlingsaktiviteten opfylder de grundlæggende krav i forordningens artikel 5, hvilken undtagelse i databeskyttelsesforordningens artikel 9, der danner grundlag for kommunens behandling af følsomme personoplysninger[8], og af hvordan de registreredes rettigheder efter kapitel III helt konkret iagttages ved brug af Google Chromebooks og Workspace.

Derudover har Datatilsynet lagt vægt på, at Helsingør Kommune ikke har identificeret og vurderet alle relevante risici ved behandlingsaktiviteten, at de risici, kommunen har identificeret, ikke er vurderet fyldestgørende, da der alene tages udgangspunkt i øverste lag af teknologistakken frem for hele teknologistakken, jf. afsnit 4.3. ovenfor, og at kommunen kun delvist har beskrevet foranstaltninger relateret til behandlingssikkerhed, jf. forordningens artikel 32.

Det er derfor Datatilsynets samlede vurdering, at Helsingør Kommune – selv for de dele af behandlingsaktiviteten, som kommunen har beskrevet – ikke har gennemført en konsekvensanalyse, jf. databeskyttelsesforordningens artikel 35, stk. 1, idet dokumentationen af 1. august 2022 ikke opfylder mindstekravene hertil i forordningens artikel 35, stk. 7.

Endelig har Datatilsynet noteret sig, at Helsingør Kommunes dokumentation af 1. august 2022 har været forelagt Helsingør Kommunes databeskyttelsesrådgiver Bech-Bruun i august 2022. Det fremgår imidlertid ikke om, og i givet fald i hvilket omfang, databeskyttelsesrådgiveren havde bemærkninger til den udarbejdede dokumentation.

Datatilsynet har ikke kunnet konstatere, at databeskyttelsesrådgiveren har angivet at have bemærkninger til den udarbejdede dokumentation.

Datatilsynet skal henstille, at Helsingør Kommune inkluderer eventuelle bidrag fra kommunens databeskyttelsesrådgiver i fremtidige konsekvensanalyser. Bemærkningerne fra databeskyttelsesrådgiveren om den rådgivning, der er en pligt efter databeskyttelsesforordningens artikel 35, stk. 2, er af væsentlig betydning med henblik på at dokumentere, at databeskyttelsesrådgiveren har haft lejlighed og rum til at udføre de opgaver, der påhviler denne efter databeskyttelsesforordningens artikel 39.

Endelig bemærker Datatilsynet, at den dataansvarlige, jf. forordningens artikel 38, stk. 1, skal sikre, at databeskyttelsesrådgiveren inddrages tilstrækkeligt og rettidigt, hvilket efter Datatilsynets opfattelse indebærer, at rådgiveren – afhængigt af den konkrete behandlingsaktivitet – almindeligvis bør tildeles mere end én dag til at gennemgå det relevante materiale.

4.6. Behandlinger foretaget uden konsekvensanalyse og/eller forudgående høring af tilsynsmyndigheden

Datatilsynet finder endvidere, at Helsingør Kommune ved ikke at foretage høring af Datatilsynet i forbindelse med gennemførelse af  – det kommunen selv opfattede som – en konsekvensanalyse, har handlet i strid med forordningens artikel 36.

Som det fremgår i afsnit 4.3. ovenfor, er det Datatilsynets vurdering, at de foranstaltninger, som Helsingør Kommune har truffet med hensyn til videregivelse af personoplysninger til Google, ikke er egnede til at imødegå dette forhold.

Det er i den forbindelse Datatilsynets opfattelse, at Helsingør Kommune som en lovbestemt aktør på et område – folkeskoleområdet – hvor behandling af personoplysninger iboende kan have alvorlige konsekvenser for de registrerede, navnlig børn og unge som det er tilfældet i denne sag, og som efter databeskyttelsesreglerne nyder særlig beskyttelse, må forventes at have betydelig ekspertise og erfaring med håndtering af databeskyttelsesretlige problemstillinger. Det gælder ikke mindst, når kommunen beslutter at benytte sig af ny, kompleks teknologi, hvor behandling af personoplysninger kan medføre en flerhed af databeskyttelsesretlige problemstillinger og ofte indebære høje risici.

Efter Datatilsynets opfattelse burde Helsingør Kommune have været bekendt med, at de kontraktuelle og tekniske foranstaltninger, som kommunen har truffet, ikke var egnede til at imødegå det omhandlede forhold, og at eventuelle risici dermed ikke var nedbragt til et mindre end højt niveau.

For så vidt angår en uacceptabel restrisiko kan Datatilsynet bl.a. henvise til Det Europæiske Databeskyttelsesråds retningslinjer for konsekvensanalyse, hvoraf følgende fremgår:

”Et eksempel på en uacceptabelt høj residualrisiko omfatter tilfælde, hvor de registrerede kan udsættes for betydelige eller endog uoprettelige konsekvenser, som de muligvis ikke kan overvinde (f.eks.: uretmæssig adgang til data, som kan føre til en trussel mod de registreredes liv, afskedigelse, økonomisk tab), og/eller når det virker indlysende, at risikoen vil indtræffe (f.eks.: når det ikke er muligt at begrænse antallet af personer, der har adgang til dataene på grund af de anvendte metoder til udveksling, anvendelse eller distribution, eller når en velkendt sårbarhed ikke afhjælpes).”[9]

Endvidere er det Datatilsynets opfattelse, at en uacceptabelt høj residualrisiko kan omfatte tilfælde, hvor der kan ske (i) uhjemlede behandlinger, (ii) behandlinger, der ligger ud over de lovlige formål eller (iii) gentagne brud på persondatasikkerheden. Det gælder særligt, når sådanne tilfælde indlysende vil indtræffe – enten på grund af de forhold, der følger af en kontrakt, som har betydning for behandlingsaktiviteten, eller ved kendte forhold i den teknologi eller service, der anvendes.

På den baggrund finder Datatilsynet, at Helsingør Kommune i forbindelse med udarbejdelsen af sin dokumentation, som efter kommunens opfattelse udgjorde en konsekvensanalyse, skulle have foretaget høring af Datatilsynet, jf. forordningens artikel 36, stk. 1.

4.7. Relevante emner for konsekvensanalyse

For Helsingør Kommunes fremtidige arbejde med konsekvensanalyser vedrørende databeskyttelse henviser Datatilsynet generelt til Datatilsynets og Justitsministeriets vejledning om konsekvensanalyse, særligt kapitel 4 om ”særlige tilfælde”, samt den af Datatilsynet udarbejdede liste efter databeskyttelsesforordningens artikel 35, stk. 4, over behandlinger, der altid kræver udarbejdelse af konsekvensanalyse.

Datatilsynet henviser endvidere til Det Europæiske Databeskyttelsesråds retningslinjer om konsekvensanalyser fra oktober 2017[10], herunder særligt følgende:

”Derefter er det op til den dataansvarlige at vurdere risiciene for de registreredes rettigheder og frihedsrettigheder og at identificere de påtænkte foranstaltninger til at begrænse disse risici til et acceptabelt niveau og at påvise overensstemmelse med den generelle forordning om databeskyttelse (artikel 35, stk. 7, jf. III.C.c). Et eksempel kunne være anvendelse af passende tekniske og organisatoriske sikkerhedsforanstaltninger ved lagring af personoplysninger på bærbare computere (effektiv kryptering af hele harddisken, robust nøgleforvaltning, passende adgangskontrol, sikrede sikkerhedskopier osv.) som supplement til de eksisterende politikker (meddelelse, samtykke, retten til aktindsigt, retten til at gøre indsigelse osv.). [...]”

Det er Datatilsynets opfattelse, at en dataansvarlig – for at foretage den korrekte vurdering efter databeskyttelsesforordningens artikel 35 – er forpligtet til at inddrage de momenter og den viden, der er, både omkring behandlingen i sig selv, men også omkring forhold omkring den løsning og teknologi, der vælges til at understøtte behandlingen – i dette tilfælde Google Chromebooks og Workspace. Dette inkluderer hele teknologistakken, der anvendes til behandlingen.

Foruden de direkte relevante faktuelle oplysninger om behandlingsaktiviteten, herunder dens formål og proportionalitet, vil det også være relevant at inddrage oplysninger om de benyttede databehandlere og andre typer af teknologileverandører. Det er bl.a. relevant at undersøge:

1. i særdeleshed de oplysninger, der fremgår af samtlige vilkår, som fremgår af databehandleraftalen og/eller kontrakten med teknologileverandøren, og som angiver, hvilke vilkår ydelsen leveres under,
2. offentligt kendskab til allerede kendte risikoproblemstillinger eller sikkerhedssvagheder i den valgte teknologi eller services, og
3. forhold, hvor ens databehandler og leverandør allerede har erkendt, at de er enten uafklarede eller har udeståender i forhold til databeskyttelsesforordningens overholdelse.

Endvidere er det mere specifikt relevant for den dataansvarlige eksempelvis at undersøge, hvorvidt der i databehandleraftalen og/eller kontrakten er vilkår, som gør det umuligt for den dataansvarlige at overholde sine pligter efter databeskyttelsesforordningen. Det kan eksempelvis være tilfældet, hvis der slet ikke – eller kun vanskeligt – kan gives en bindende instruks til databehandleren om behandling af personoplysninger, eller hvis der findes kontraktvilkår, som giver databehandleren ret til – som selvstændig dataansvarlig – at behandle persondata, uden at den dataansvarlige har hjemmel hertil.

Derudover er det relevant at undersøge, hvorvidt der har været tilfælde, hvor teknologileverandøren behandler personoplysninger til andre formål, end det lovlige formål om at levere ydelsen (uanset om den dataansvarlige har instrueret leverandøren heri eller ej). Det kan også være tilfælde, hvor den dataansvarlige ikke har den fornødne kontrol over behandlingen af oplysningerne, fx fordi kontraktstrukturen og vilkårene er komplicerede eller endda uforståelige, eller den dataansvarlige ikke kan skaffe det fornødne overblik over, hvordan databehandleren reelt behandler personoplysningerne.

Det kan også være relevant at foretage undersøgelser af de tekniske aspekter ved leverancen. Der kan således fx være tilfælde, hvor det – enten via leverandørens egne oplysninger eller via offentligt tilgængelige undersøgelser – viser sig, at der via leverede service eller applikation sker behandling af personoplysninger i et større omfang, end det ellers er umiddelbart af kontraktgrundlaget, og dermed indsamles, videregives eller på anden måde behandles uberettiget.

Endelig er det relevant at foretage egenkontrol og (løbende) efterprøvning, vurdering og evaluering af den påtænkte behandlingsaktivitet. Det er et krav for så vidt angår behandlingssikkerhed efter databeskyttelsesforordningens artikel 32, men kan derudover mere generelt være en kilde til de momenter og den viden, som bør give den dataansvarlige anledning til at (re)vurdere, om der findes risici ved den omhandlede behandlingsaktivitet, og hvordan disse i givet fald kan håndteres. Et andet oplagt sted er også opfølgning og evaluering af de brud på persondatasikkerheden jf. forordningens artikel 33, som den dataansvarlige oplever.

For så vidt angår relevante metoder og momenter til brug for gennemførelse af en konsekvensanalyse vedrørende databeskyttelse, særligt ved brug af teknologileverandører, kan Datatilsynet henvise til kapitlerne ”Kend dine services” og ”Kend din leverandør” i Datatilsynets vejledning om cloud fra marts 2022, som er tilgængelig på tilsynets hjemmeside, ligesom tilsynet generelt kan henvise til ISO/IEC 29 134, der er en internationalt anerkendt standard for gennemførelse af konsekvensanalyser.

I lyset heraf står det ikke Datatilsynet klart, hvordan Helsingør Kommune ikke generelt og tidligere har vurderet, at der ved den pågældende behandlingsaktivitet generelt sandsynligvis var en iboende høj risiko, herunder særligt idet dele af denne risiko kunne mitigeres.

Datatilsynet anerkender i den forbindelse, at Helsingør Kommune, som det fremgår af dokumentationens bilag 2 har truffet en række foranstaltninger, der – også efter Datatilsynets opfattelse – begrænser risiciene for de registreredes rettigheder og frihedsrettigheder ved brug af Google Chromebooks og Workspaces Kernetjenester.

Det står ligeledes Datatilsynet uklart, hvordan de faktuelle oplysninger om Google Chromebooks og Workspace, der er offentligt tilgængelige som følge af lignende undersøgelser i Holland[11], har ”meget begrænset relevans”, når en række af undersøgelserne også er relevante for brugen af Kernetjenester og ikke alene Tillægstjenester.

Datatilsynet henviser herunder bl.a. til bilag 2 til en opdatering af konsekvensanalysen vedrørende databeskyttelse foretaget af Amsterdam University for Applied Sciences og Groningen Universitet.[12] Heraf fremgår bl.a. nærmere information om, de personoplysninger, der indsamles ved brug af Chrome OS og Chrome-browseren uafhængigt af eventuelle indstillinger i Workspace.

Ligeledes henviser Datatilsynet til, at det – ifølge denne opdaterede konsekvensanalyse[13] – ikke forekommer muligt at mitigere de relevante risikoscenarier uden ændringer i kontraktgrundlaget, der ligger til grund for Googles levering af Chromebooks og Workspace, og teknologien, der benyttes hertil.

Endelig henviser Datatilsynet til Googles pressemeddelelse  af 17. juni 2022 med overskriften ”New Commitments on the Processing of Service Data for Our Cloud Customers”[14], hvoraf det fremgår, at Google forventer at kunne tilbyde samme vilkår for ”Service Data” som for ”Customer Data”, startende i 2023 og i successive faser i 2024. Det fremgår endvidere heraf, at Google vil arbejde på en ændring af Chrome OS, hvilket – for de såkaldte ”administrerede systemer” – også vil omfatte Chrome-browseren. Disse tjenester vil til den tid også kunne leveres som et ”rent” databehandler-modus.

5. Sammenfatning

Efter en gennemgang og vurdering af det materiale, som Helsingør Kommune den 1. august 2022 har sendt, finder Datatilsynet, at Helsingør Kommunes behandling af personoplysninger ved brug af Google Chromebooks og Workspace for Education fortsat ikke er i overensstemmelse med databeskyttelsesforordningen, herunder at dokumentationen af 1. august 2022, som Helsingør Kommune har udarbejdet, ikke er i overensstemmelse med databeskyttelsesforordningens artikel 35, stk. 1, og stk. 7 samt artikel 36, stk. 1.

Det tidligere meddelte forbud af 14. juli 2022 opretholdes derfor, men ændres således, at Datatilsynet meddeler Helsingør Kommune forbud mod at behandle personoplysninger ved brug af Google Chromebooks og Workspace for Education. Forbuddet gælder, indtil Helsingør Kommune har bragt behandlingsaktiviteten i overensstemmelse med databeskyttelsesforordningen som anført i afgørelsen af 14. juli 2022 og har efterlevet forordningens artikel 35, stk. 1, stk. 7 og artikel 36, stk. 1. For behandlinger, hvor høring af Datatilsynet er påkrævet efter databeskyttelsesforordningens artikel 36, gælder forbuddet, indtil tilsynet har afgivet udtalelse efter artikel 36, stk. 2, eller tilsynet tillader behandlingen på et tidspunkt, inden udtalelsen foreligger.

Forbuddet, der meddeles i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra f, træder i kraft straks.

Ifølge databeskyttelseslovens § 41, stk. 2, nr. 4, straffes med bøde eller fængsel i op til 6 måneder den, der undlader at efterkomme en midlertidig eller definitiv begrænsning af behandling meddelt af Datatilsynet i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra f.

Datatilsynet forbeholder sig endvidere retten til at benytte yderligere beføjelser efter databeskyttelsesforordningens artikel 58, stk. 2, og sanktioner efter databeskyttelseslovens § 41, for de skete forhold påpeget i denne afgørelse, når der er fremlagt endelig dokumentation, som til fulde belyser behandlingernes risici for de registreredes rettigheder.

6. Afsluttende bemærkninger

Som opfølgning på ovenstående – dog uafhængigt af det opretholdte forbud – indgår Datatilsynet meget gerne i dialog med Helsingør Kommune om håndteringen af den nævnte problemstilling. Datatilsynet foreslår i første omgang at afholde et møde mellem Datatilsynet, Helsingør Kommune og eventuelt KL og imødeser gerne en række forslag til mulige mødetidspunkter.

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)

[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).

[3] Se DPIA Google G Suite Enterprise, Data protection impact assessment on the processing of personal data on 3 platforms with the Chrome browser and as installed apps, Version 1 – for consultation with the Dutch DPA, 9 July 2020, with update on 12 February 2021, udarbejdet af Ministry of Justice and Security Strategic Vendor Management Microsoft (DPIA).

[4] Data Processing Agreement to Google Workspace and/or Complementary Product Agreement, July 7, 2022.

[5] Der henvises nærmere til Google Cloud: Data Processing Agreement to G Suite and/or Complementary Product Agreement (Version 2.1) af 19.8.2019, https://workspace.google.com/terms/10293019/dpa_terms.html, Anneks A: A18.1.

[6] Det Europæiske Databeskyttelsesråds retningslinjer for konsekvensanalyse vedrørende databeskyttelse (DPIA) og bestemmelse af, om behandlingen "sandsynligvis indebærer en høj risiko" i henhold til forordning (EU) 2016/679, s. 12.

[7] Data Processing Agreement to Google Workspace and/or Complementary Product Agreement, July 7, 2022.

[8] Datatilsynet henviser herunder til Helsingør Kommunes egen beskrivelse af behandlingsaktiviteten, hvoraf det fremgår, at der bl.a. behandles oplysninger om elevvurderinger og trivselsmålinger. Sådanne oplysninger vil efter Datatilsynets opfattelse sædvanligvis omfatte særlige kategorier af personoplysninger efter forordningens artikel 9.

[9] Artikel 29 gruppens retningslinjer for konsekvensanalyse vedrørende databeskyttelse (DPIA) og bestemmelse af, om behandlingen "sandsynligvis indebærer en høj risiko" i henhold til forordning (EU) 2016/679, WP 248, som er tiltrådt af Det Europæiske Databeskyttelsesråd.

[10] Artikel 29 gruppens retningslinjer for konsekvensanalyse vedrørende databeskyttelse (DPIA) og bestemmelse af, om behandlingen "sandsynligvis indebærer en høj risiko" i henhold til forordning (EU) 2016/679, WP 248, som er tiltrådt af Det Europæiske Databeskyttelsesråd.

[11] En række myndigheder i Holland har gennem de seneste år gennemført konsekvensanalyser vedrørende databeskyttelse af såvel Google G Suite Enterprise og Google Workspace for Education. Det drejer sig om analysen udarbejdet af Ministry of Justice and Security samt analysen udarbejdet for Groningen Universitet og Amsterdam University of Applied Sciences samt opdateringen heraf.

[12] Update DPIA report Google Workspace for Education af 2. august 2021.

[13] Datatilsynet henviser for god ordens skyld også til den oprindelige konsekvensanalyse af 15. juli 2020, opdateret 12. marts 2021 fra Groningen Universitet og Amsterdam University of Applied Sciences.

[14] Introducing new commitments on the processing of service data for our cloud customers | Google Cloud Blog