Journalnummer: 2020-431-0061
Resume
Datatilsynet har gennem længere tid haft fokus på brugen af Chromebooks og Google Workspace (tidligere G Suite for Education) i kommunerne. Brugen er udbredt på landsplan, men konkret har Datatilsynet haft en verserende sag i Helsingør Kommune.
Således traf Datatilsynet en afgørelse i september 2021, hvor Helsingør Kommune bl.a. fik et påbud om at foretage en risikovurdering af kommunens behandlinger af personoplysninger i folkeskolen ved brug af Chromebooks og Workspace. Datatilsynet har nu på baggrund af den dokumentation og vurdering af risikoen for de registrerede, som Helsingør Kommune har udarbejdet, konstateret, at behandlingen ikke lever op til kravene i GDPR på flere punkter.
"Helsingør Kommune har lavet et stort og dygtigt arbejde for at kortlægge, hvordan persondata bliver brugt i folkeskolen, men det belyser også de databeskyttelsesretlige problemer, der kan være med de store tech-firmaers måder at løse opgaven på," siger Allan Frank, som er it-sikkerhedsspecialist og jurist i Datatilsynet.
Datatilsynet finder, at kommunen ikke har vurderet nogle helt konkrete risici i forhold til databehandlerkonstruktionen. Herudover fremgår det af databehandleraftalen, at der kan overføres oplysninger til tredjelande i supportsituationer uden det fornødne sikkerhedsniveau.
Set i lyset af afgørelsen fra september 2021 har Datatilsynet nu truffet en afgørelse. Den indeholder blandt andet:
- Suspension af, at Helsingør Kommune foretager behandlinger, hvor der bliver overført oplysninger til tredjelande uden det fornødne beskyttelsesniveau
- Et generelt forbud mod behandlingen med Google Workspace, indtil der er lavet en fyldestgørende dokumentation og konsekvensanalyse, og indtil behandlingerne er bragt i overensstemmelse med forordningen
- Alvorlig kritik af kommunens behandling af personoplysninger
Datatilsynet gør opmærksomhed på, at mange af konklusionerne i denne afgørelse formentlig vil gælde andre kommuner, der benytter samme behandlingskonstruktion. Datatilsynet forventer derfor, at disse kommuner selv tager relevante skridt på baggrund af afgørelsen - også selvom tilsynet for tiden færdigbehandler et antal af sager vedrørende andre kommuner.
Afgørelse
Datatilsynet vender hermed på ny tilbage til sagen, hvor Helsingør Kommune den 29. januar 2020 har anmeldt et brud på persondatasikkerheden til Datatilsynet. Anmeldelsen har følgende referencenummer:
ce0e5422ddfb3fefaa9f621cfa0f129127058500.
Datatilsynet har den 10. september 2021 truffet afgørelse vedrørende bruddet på persondatasikkerheden. Datatilsynet fandt herunder, at der var grundlag for at udtale alvorlig kritik af, at Helsingør Kommunes behandling af personoplysninger ved brug af Google Chromebooks ikke var sket i overensstemmelse med databeskyttelsesforordningens artikel 5, stk. 2, jf. artikel 5, stk. 1, litra c og f, og artikel 5, stk. 1, litra a, jf. artikel 6, stk. 1, samt artikel 32, stk. 1, artikel 33, stk. 1, og artikel 35, stk. 1.
Endvidere fandt Datatilsynet, at der var grundlag for at meddele Helsingør Kommune et påbud om at bringe at bringe sin behandling af personoplysninger ved brug af Google Chromebooks i overensstemmelse med databeskyttelsesforordningen. Dette skulle ske ved, at Helsingør Kommune gennemførte en risikovurdering af behandlingsaktiviteten, som afspejler de strømme af personoplysninger, som behandlingen indebærer. Risikovurderingen skulle dels behandle de nødvendige muligheder for at konfigurere produktet og behandle de spørgsmål om rækkevidden hjemlen i folkeskoleloven til den brug af Chromebooks, som kommunen kræver af eleverne. Hvis risikoen for de registreredes rettigheder og frihedsrettigheder blev vurderet som værende høj, skulle kommunen som led i påbuddet også gennemføre en konsekvensanalyse.
Påbuddet blev meddelt i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d.
Datatilsynet fandt derudover, at der var grundlag for at meddele Helsingør Kommune en advarsel om, at brug af Google G-Suites tillægsprogrammer uden at gennemføre en konsekvensanalyse vedrørende databeskyttelse, jf. forordningens artikel 35, stk. 1, sandsynligvis ville være i strid med databeskyttelsesforordningen.
Endelig fandt Datatilsynet, at der var grundlag for at meddele Helsingør Kommune en midlertidig begrænsning i behandlingsaktiviteten, hvis de vurderinger af risiciene, som kommunen blev påbudt at gennemføre, udviste en høj risiko for de registreredes rettigheder og frihedsrettigheder, og kommunen ikke inden påbudsfristens udløb havde nedbragt disse risici til et niveau mindre end høj. Begrænsningen indebærer, at behandling af personoplysninger, der indebærer en høj risiko for de registreredes rettigheder og frihedsrettigheder, ikke måtte ske, så længe risiciene ikke var nedbragt til et niveau lavere end høj.
Helsingør Kommune har som opfølgning på Datatilsynets afgørelse af 10. september 2021 ved brev af 10. november 2021 fremsendt sin risikovurdering vedrørende brug af Google Chromebooks og G-Suite for Education, ligesom kommunen har fremsendt yderligere dokumentation for at godtgøre behandlingsaktivitetens lovlighed. Kommunen har derudover den 9. december 2021 – som svar på Datatilsynets anmodning af 2. december 2021 – fremsendt yderligere oplysninger i sagen.
1. Afgørelse
Efter en gennemgang af Helsingør Kommunes risikovurdering og kommunens dokumentation i øvrigt finder Datatilsynet, at der er grundlag for at meddele Helsingør Kommune et forbud mod at behandle personoplysninger ved brug af Google Chromebooks og Workspace for Education. Forbuddet gælder indtil, Helsingør Kommune har bragt behandlingsaktiviteten i overensstemmelse med databeskyttelsesforordningen som anført i denne afgørelse, samt udarbejdet fyldestgørende dokumentation herfor.
Herudover suspenderes enhver overførsel af personoplysninger til USA, som Helsingør Kommune har instrueret Google Cloud EMEA Limited om at foretage som databehandler for kommunen, indtil Helsingør Kommune kan påvise, at reglerne i databeskyttelsesforordningens kapitel V er iagttaget.
Forbuddet og suspensionen træder i kraft straks, men Helsingør Kommune indrømmes en frist til den 3. august 2022 til at inddrage og nedlægge brugere og rettigheder, samt få slettet allerede overførte oplysninger.
Forbuddene meddeles i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra f og j.
Overtrædelse af et forbud meddelt af Datatilsynet straffes i medfør af databeskyttelseslovens § 41, stk. 2, nr. 4, med bøde eller fængsel indtil 6 måneder, jf. § 41, stk. 1.
Datatilsynet finder endelig grundlag for at udtale alvorlig kritik af, at Helsingør Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 5, stk. 2, jf. artikel 5, stk. 1, litra a, artikel 24, jf. artikel 28, stk. 1, artikel 35, stk. 1, samt artikel 44, jf. artikel 46, stk. 1.
2. Sagsfremstilling
En borger klagede den 11. december 2019 til Datatilsynet over Helsingør Kommunes behandling af personoplysninger.
Helsingør Kommune bekræftede ved brev af 6. januar 2020, at en forælder i 2019 havde klaget til kommunen over, at hans barn – uden hans vidende – havde fået oprettet en konto til YouTube, hvorved barnets navn kunne blive offentliggjort på YouTube.
Helsingør Kommune oplyste endvidere, at kommunen vurderede, at det var usandsynligt, at hændelsen havde medført en risiko for de registreredes rettigheder og frihedsrettigheder og derfor ikke havde givet anledning til at anmelde et brud på persondatasikkerheden til Datatilsynet, jf. databeskyttelsesforordningens artikel 33, stk. 1.
Helsingør Kommune anmeldte den 29. januar 2020 hændelsen til Datatilsynet som et brud på persondatasikkerheden. Samtidig foretog en række andre kommuner tilsvarende anmeldelser, hvorfor Datatilsynet behandlede sagerne samlet, og tilsynet anmodede ved brev af 11. marts 2020 de pågældende kommuner om en udtalelse.
Datatilsynet traf den 10. september 2021 afgørelse vedrørende det pågældende brud på persondatasikkerheden, som Helsingør Kommune havde anmeldt til tilsynet. Datatilsynets afgørelse af 10. september 2021 er gengivet ovenfor i afsnit 1, ligesom afgørelsen i sin helhed er vedlagt som bilag.
Helsingør Kommune har som opfølgning på Datatilsynets afgørelse af 10. september 2021 ved brev af 10. november 2021 fremsendt sin risikovurdering vedrørende brug af Google Chromebooks og G-Suite for Education, ligesom kommunen har fremsendt yderligere dokumentation for at godtgøre behandlingsaktivitetens lovlighed. Kommunen har derudover den 9. december 2021 – som svar på Datatilsynets anmodning af 2. december 2021 – fremsendt yderligere oplysninger i sagen.
3. Helsingør Kommunes udtalelse
3.1. Gennemførelse af risikovurdering, herunder eventuelt en konsekvensanalyse vedrørende databeskyttelse
Helsingør Kommune har den 10. november 2021 fremsendt kommunens risikovurdering for anvendelsen af Google Chromebooks og G-Suite for Education (Google Workspace for Education).
Samtidig har Helsingør Kommune meddelt Datatilsynet, at kommunen ikke anvender Google Workspaces tillægstjenester og har på den baggrund vurderet, at kommunen ikke er forpligtet til at udarbejde en konsekvensanalyse vedrørende databeskyttelse.
3.2. Behandling af personoplysninger til andre formål
Af risikovurderingen fremgår, blandt de risici, som Helsingør Kommune har identificeret ved brug af Google Chromebooks, risikoen for ”brug af data til utilsigtede formål”. Risikoen beskrives som følgende:
”Der er risiko for, at Google eller andre tredjeparter anvender personoplysninger om lærere og elever til brug for markedsføring eller andre formål, som Helsingør Kommune som dataansvarlig ikke ønsker, at personoplysninger skal behandles til. Særligt kontaktoplysninger, IP-adresse og digitale spor (almindelige oplysninger) er relevante i denne sammenhæng. Det bemærkes, at der er tale om personoplysninger relateret til elever, der nyder en særlig beskyttelse i henhold til databeskyttelsesreglerne, hvorfor adgangen til og behandlingen af personoplysninger om eleverne udgør et yderligere element i relation til risikovurderingen.”
Om sandsynligheden for, at denne risiko materialiserer sig, fremgår følgende:
”Kommunen bruger produktet Google Workspace for Education Standard, hvor kommunen i kraft af databehandleraftalen er sikret, at data ikke anvendes til andre formål, herunder markedsføring, forudsat kommunen kun bruger Kernetjenester.
Der henvises til databehandleraftalen og Helsingør Kommunes korrespondance med Google, hvor Google har oplyst følgende: "Information as part of the use of Chromebooks and Google Workspace for Education Standard cannot be used by Google for marketing purposes towards a student or students in a class". "There are no ads shown in Google Workspace for Education core services. Also, none of the personal information collected in the core services is used for advertising purposes (ii) Students’ username, also in connection with the created Google Workspace for Education account, is only accessible to Google as a data processor, and usage of Chromebooks and Google Workspace for Education – for example viewing YouTube videos – does not lead to the publication of the username". "The school’s admin may allow students to access Google services, such as YouTube, that have features that allow users to share information with others or publicly. For example, if you leave a review in Google Play, your name and photo appear next to your activity. And if you share a photo with a friend who then makes a copy of it, or shares it again, then that photo may continue to appear in your friend’s Google Account even after you remove it from your Google Account. Remember, when you share information publicly, your content may become accessible through search engines, including Google Search. For additional information on how Workspace for Education data is shared, please see the Workspace for Education Privacy Notice."
Kernetjenester (14 tjenester: Classroom, Drev/Docs, G-mail, Chat, Chromesynkronisering, Groups, Meet, Vault, Huskeliste, Jamboard, Kalender, Keep (stickynotes), Opgaver/Tasks, Sites)
Tillægstjenester fra Google, er omfattet af andre vilkår i databehandleraftalen, hvilket betyder, at kommunen ikke kan give Google instruks om, hvordan personoplysninger må anvendes. Derfor har kommunen slået brug af Tillægstjenester fra.
Konklusion
På baggrund af ovenstående implementerede foranstaltninger er det Helsingør kommunens vurdering, at sandsynligheden for, at risikoen bliver en realitet, er lav. Det kan dog ikke fuldstændig udelukkes, at Google bryder de kontraktuelle forpligtelser og alligevel anvender personoplysninger til markedsføring eller andre utilsigtede formål, som Helsingør Kommune ikke har givet instruks til jf. databehandleraftalen.”
3.3. Overførsel af personoplysninger til tredjelande
Af risikovurderingen fremgår som en yderligere risiko, som Helsingør Kommune har identificeret ved brug af Google Chromebooks og Workspace for Education, risikoen for tredjelandsoverførsler.
Risikoen beskrives som følgende:
”Der er risiko for, at personoplysninger om elever og lærere (som udgangspunkt almindelige personoplysninger, men det kan ikke udelukkes, at følsomme personoplysninger også vil indgå) bliver overført til usikre tredjelande uden et fornødent overførselsgrundlag og uden sikring af, at det pågældende tredjeland sikrer tilsvarende databeskyttelsesrettigheder som i andre EU-lande.”
Om sandsynligheden for, at denne risiko materialiserer sig, fremgår følgende:
”Helsingør Kommune har som dataansvarlig for behandlingen af personoplysninger om eleverne implementeret nedenstående relevante mitigerende foranstaltninger med henblik på at mindske sandsynligheden for, at den beskrevne risiko bliver en realitet:
EU Kommissionens standardvilkår er indgået (overførselsgrundlag), da der er risiko for adgang fra USA via support. Der er som yderligere grundlag herfor (supplerende foranstaltninger) udarbejdet en særskilt Transfer Impact Assessment (TIA) i overensstemmelse med kravene fra Datatilsynet og EDPB. Der henvises til den pågældende udarbejdede TIA.
Det bemærkes desuden, at Helsingør Kommune har valgt en løsning, hvorefter data som det helt klare udgangspunkt alene befinder sig inden for EU i de pågældende datacentre. Det er således alene risikoen for supportadgang fra et usikkert tredjeland, der kan føre til adgang fra et usikkert tredjeland:
"Settings in Data Regions in Google Workspace for Education Standard ensures that the data center is located within the EU – and additionally: Will there be online access from countries outside of the EU, for example in connection with support."
Konklusion
På baggrund af ovenstående implementerede foranstaltninger er det Helsingør kommunens vurdering, at sandsynligheden for, at risikoen bliver en realitet, er lav.”
Endvidere har Helsingør Kommune fremsendt sin dokumentation for iagttagelse af databeskyttelsesforordningens kapitel V ved brug af Google Workspace for Education i form af kommunens ”Transfer Impact Assessment” (herefter ”TIA”).
Det fremgår heraf, at Helsingør Kommune benytter Google Cloud EMEA Limited som databehandler med hensyn til sin brug af Google Chromebooks og Workspace for Education. Kommunen har herunder via indstillinger i Google Workspace for Education sikret sig, at personoplysninger alene opbevares i datacentre beliggende inden for EU/EØS.
Det fremgår imidlertid, at personoplysninger – desuagtet ovennævnte indstilling – kan blive overført til Google LLC i USA som led i fjernadgang i forbindelse med support. Overførslen sker på baggrund af EU-Kommissionens standardkontrakt.
Endelig fremgår følgende af pkt. 1.8 vedrørende kontekst og formål med overførslen af personoplysninger:
”As part of Google's cloud solution, Helsingør Kommune is using:
Google Chromebooks and G Suite for Education (now named Workspace), which is used by Helsingør Kommune for the purpose of educating students as part of Helsingør Kommune's public law obligation as a local, public authority to provide education. It is Helsingør Kommune's assessment that this obligation is best managed with Google as supplier of the above services and Datatilsynet has accepted this premise pursuant to the governing law in the Folkeskoleloven.
In order for Helsingør Kommune to use the mentioned services and products offered by Google, it is a requirement that Helsingør Kommune transfers the personal data related to the data subjects stated in sections 1.9-1.10 below to Google's cloud. The purpose of the transfer is thus to store the personal in the data centres (cloud), ensure a high security of the personal data as well as management/support from Google.”
Helsingør Kommune har herunder i TIA’en – så vidt Datatilsynet forstår – vurderet, om overførselsgrundlaget til USA i form af standardkontrakten er effektivt i lyset af omstændighederne ved overførslen, herunder vurderet om der er lovgivning og/eller praksis i USA, der påvirker effektiviteten af den indgåede standardkontrakt.
Af TIA’ens pkt. 2.4 fremgår således følgende:
“Based on statistics and other arguments from the data importer/data recipient, how many years in addition to the assessment period will it take before the probability of access by a public authority (that is lawful in the third country) is still only 50:50?
Based on the following statistics and arguments, it is Helsingør Kommunes assessment that even if additional 50 years were added to the assessment period of 5 years, the probability of an access by a US public authority (that is lawful in the US) that violates EU law as stated in the Schrems II judgement is still only 50 % chance of occurring within this period of 55 years and thus the risk of a lawful access occurring in the assessment period of 5 years is of a more theoretical than practical nature:
- A) Google will carefully review each request to make sure it satisfies applicable laws. If a request asks for too much information, Google will try to narrow it, and in some cases Google object to producing any information at all. Google will share the number and types of requests received in the Transparency Report.
- B) When Google receive a request from a government agency, Google will send an email to the user account before disclosing information. If the account is managed by an organisation, Google will give notice to the account administrator. If Google is legally prohibited from giving notice, it will not do so. If this is the case, Google will provide notice after the legal prohibition is lifted, such as when a statutory or court-ordered gag period has expired.
- C) When a Google entity within the EU, as it the case in this matter, receives data disclosure requests from US government authorities, Google will only provide personal data if doing so is consistent with all of the following: (i) National law in the Member State of establishment, including any applicable EU laws such as the GDPR. Google will therefore the US require the authority to follow the same due process and legal requirements that would apply if the request were made to a local provider of a similar service. (ii) International norms, which means that Google will only provide personal data in response to requests that satisfy the Global Network Initiative’s Principles on Freedom of Expression and Privacy and its associated implementation guidelines in Google’s policies. This includes any applicable terms of service and privacy policies, as well as policies related to the protection of freedom of expression.
- D) With regard to requests for information in emergencies, such as if Google reasonably believe that disclosure can prevent someone from dying or from suffering serious physical harm, Google may provide information to a government agency. This includes bomb threats, school shootings, kidnappings, suicide prevention, and missing persons cases. Google will still consider such requests in light of applicable laws and our policies.
- F) Statistics
Google GCP/G-Suite Access requests / disclosed Denmark 2019-2020: 0 / 0
Google Workspace Access requests / disclosed Denmark 2019-2020: 1 / 0
Google Global Diplomatic Legal requests: 1
Google Global User data requests / percentage disclosed Denmark 2019-2020:
30 June 2019 Emergency 2 / 50%. Other legal 29 / 52%. Preservation 8 / 45%. 31 December 2019 Emergency 3 / 0%. Other legal 48 / 38%. Preservation 12 / 41%.
30 June 2020 Emergency 5 / 100%
Other legal 80 / 58%. Preservation 34 / 63%. 31 December 2020 Emergency 1 / 100%. Other legal 87 / 75%. Preservation 32 / 41%
Google National Security Letter requests (NSL) and released 2019/2020 total number all countries: 21
Conclusion
Based on this legal approach and these statistics, it is clear that:
- It is statistically improbable that Helsingør Kommune will be the target of a request regarding the use of GCP and G-Suite (now named Workspace).
- For other services the risk is minimal given the number of requests / disclosures and the total number of users of using services provided by Google in Denmark.
- The number of NSL requests is so low than it is statistically without importance.
- If personal data are targeted for a request, Google will carry out an honest assessment of the legality based on EU law. This is supported by the statistics of actual disclosures.”
Det fremgår endvidere af TIA’ens pkt. 3.4, at personoplysningerne, der overføres til Google LLC i USA, vil være tilgængelige for Google LLC i klartekst:
”Is the personal data at issue accessible in the target jurisdiction in clear text by the data importer/recipient or a third party (i.e. the data is either not appropriately encrypted or access to the keys to decrypt is possible)?
Helsingør Kommune's personal data is always encrypted when at rest as Google uses several layers of encryption to protect customer data at rest in Google Cloud products, using one or more encryption mechanisms. Data for storage is split into chunks, and each chunk is encrypted with a unique data encryption key. These data encryption keys are stored with the data, encrypted with ("wrapped" by) key encryption keys that are exclusively stored and used inside Google's central Key Management Service. Google's Key Management Service is redundant and globally distributed.
All data stored in Google Cloud is encrypted at the storage level using AES256. In this connection, Google uses a common cryptographic library, Tink, which incorporates the FIPS 140-2 validated module, BoringCrypto, to implement encryption consistently across almost all Google Cloud products. Consistent use of a common library means that only a small team of cryptographers needs to implement and maintain this tightly controlled and reviewed code.
However, this encryption does not prevent Google personnel from accessing Helsingør Kommune's personal data because Google has the key to decrypt data. Google LLC in the U.S. is on the contrary not in possession of the decryption key. This implies that Google in the US or other Google entities outside the EU/EEA or third parties cannot access Helsingør Kommune's personal data without approval by the applicable Google entity established in the EU (Google Ireland).
Although encryption - and pseudonymisation, which is also used by Google - does not ensure that Helsingør Kommune has complete control of access to personal data in the EU data center, it serves as a mitigating factor to meet regulatory or compliance obligations, i.e. in accordance with the guidelines from the EDPB.”
Derudover fremgår det af TIA’ens pkt. 3.5 vedrørende det etablerede overførselsgrundlag:
”As stated above in section 1.7 above, it follows from Google's Data Processing Amendment to Google Workspace and/or Complementary Product Agreement modified on 24 September 2021 that the 2021 SCC will be the legal basis for transfers (including online access as part of online support) to countries outside the EU/EEA without an adequacy decision. In this connection Google is contractually obligated as processor to comply with comply with the obligations applicable to it under European Data Protection Law with respect to the processing of Helsingør Kommune's personal data.
Helsingør Kommune has no reason to believe that any Google entity will not comply with the SCC.
furthermore, Helsingør Kommune will evaluate, and continuously monitor, that Google complies with the 2021 SCC by reviewing, for example, audit reports and standard certifications made available. Helsingør Kommune also has the right to carry out a special 3rd party audit if assessed necessary, cf. the DPA.”
Endelig fremgår det af TIA’ens pkt. 4.1.1 for så vidt angår lovgivning og/eller praksis i USA, der påvirker effektiviteten af den indgåede standardkontrakt:
“The data importer/recipient is not subject to a higher interest from a public foreign authority in requesting access to the personal data (i.e., the data importer or potential recipient is not subject to national law facilitating mass surveillance)
Section 702 FISA
The US entity Google LLC may in practice be seen as the parent company for the EU entities providing the services to Helsingør Kommune. Google LLC. may qualify as a Electronic Commutations Service Provider pursuant to Section 702 FISA for its US customers as the term is broadly understood: "any other communication service provider who has access to wire or electronic communications either as such communications are transmitted or as such communications are stored."
However, there is a high likelihood that the data accessible to the Google LLC, is per se excluded from access under Section 702 FISA because it is data that are not transmitted by it but to it for the purpose of providing a support service. Thus, it is a communication targeted to a "U.S. person" for which the intelligence searches are prohibited (see Alan Charles Raul, "Why Schrems II Might Not Be a Problem for EU-U.S. Data Transfers", December 21, 2020, available at https://bit.ly/3qHNMy7 and a full paper from the same author at https://bit.ly/2V9veez with the follow-up post "Transferring EU Data To US After New Contractual Safeguards" of May 17, 2021, available at https://bit.ly/3l12oHZ). In addition, Helsingør Kommune's personal data does not comprise personal data about "U.S. Persons" and US authorities are thus barred from accessing data under Section 702 FISA for this reason as well.
Hence, it likely that Helsingør Kommune's personal data in EU data centres will not be subject to Section 702 FISA.
We understand that this argument may not be shared by everyone and that requests nevertheless may take place in relation to Google, which is why we rate the probability of this argument to be valid very conservatively to be on the safe side.
EO 12.333
Executive Order 12.333 (EO 12.333) authorizes US intelligence agencies to collect foreign “signals intelligence” information, which is information collected from communications and other data passed or accessible by radio, wire and other electromagnetic means (i.e. all data from telecom and IT infrastructure). EO 12.333 thus permits “surveillance in transit”, such as the accessing of data that are not properly encrypted while it is passing over transatlantic cables. As described under section 3.3. above, all personal data will be transmitted with required and strong encryption in transit. It is thus our assessment that the required technical measurement
through encryption means that EO 12.333 will not entail a higher risk for mass surveillance US authorities.”
Det fremgår herunder, at Helsingør Kommune har vurderet sandsynligheden for, at ovennævnte vurdering er retvisende til 40 %.
På baggrund af Helsingør Kommunes brev af 10. november 2021 med bilag anmodede Datatilsynet den 2. december 2021 kommunen om yderligere oplysninger. Datatilsynet oplyste herunder, at eventuelle overførsler af personoplysninger til USA som led i support – efter Datatilsynet opfattelse – var tilsigtede, desuagtet at kommunen har vurderet dette som en risiko for supportadgang fra USA.
Datatilsynet anmodede herunder Helsingør Kommune bl.a. om en kopi af kommunens overførselsgrundlag, eventuelle ændringer i instruks og databehandleraftale med Google, samt en gennemgang af eventuelle supplerende foranstaltninger, som kommunen måtte have vurderet som nødvendige.
Helsingør Kommune har ved brev af 9. december 2021 – som en præcisering af den ovennævnte risiko – anført følgende:
”Den mulige overførsel til Google – og den tilknyttede risiko – hænger sammen med Googles setup. Dvs. at selvom kommunen har valgt en EU-cloud, så har Google i databehandleraftalen sikret sig ret til potentielt at få support fra tredjelande. Dette er også baggrunden for, at Google har etableret et overførselsgrundlag efter de nye SCC (fra juni 2021), som kommunen lægger til grund i sin vurdering af risikoen.
Generelt om risikoen ved netop support kan i øvrigt generelt følgende forhold lægges til grund: I helt særlige supportsituationer fra et usikkert tredjeland vil der være et meget begrænset vindue, hvor supporteren potentielt kan få adgang til personoplysninger i klar tekst. Det er meget usandsynligt, at supporteren i det begrænsede vindue vil være forpligtet fra regeringen [i det usikre tredjelande] til at give personoplysningerne.
Kommunen bemærker endvidere, at det fremgår af den udarbejdede TIA, at kommunen har vurderet, at brugen af Google Workspace for Education er nødvendig for at løse kommunens opgaver efter folkeskoleloven, at muligheden for support fra tredjelande ikke kan vælges fra, når Google er databehandler, og at kommunen derfor har vurderet risikoen ved at benytte Google.
Overførselsgrundlaget er som anført de nye SCC (fra juni 2021).”
Med hensyn til de anvendte datakilder har Helsingør Kommune oplyst følgende:
”Der er tale om forskellige ”datakilder” i forhold til risikovurderingen og TIA’en. Risikovurderingen tager udgangspunkt i dels, at databehandleraftalen nærmere beskriver relationen mellem parterne, dvs. at Google er databehandler for kommunen, og at Google forbeholder sig ret til i forbindelse med support at yde denne fra tredjelande, dels at kommunen har sikret sig, at ydelse leveres fra en EU-cloud.
TIA’en baserer sig på de dokumenter og links, der er angivet i underfanen i TIA’en.”
Derudover har Helsingør Kommune vedrørende sine vurderinger, der fremgår af TIA’en, oplyst følgende:
”Vurderingerne i TIA’en af sandsynligheden for, at de enkelte legale argumenter holder, er et skøn. Det er i den forbindelse kommunens vurdering, at de indsatte sandsynligheder er konservative, dvs. at kommunen har ladet tvivl komme hensynet til de registreredes rettigheder og frihedsrettigheder til gode. Hvis Datatilsynet har en anden, begrundet vurdering af sandsynligheden for, at de enkelte argumenter holder, hører kommunen gerne herom. Det bemærkes endvidere for god ordens skyld, at den beregnede samlede risiko – bl.a. ud fra disse argumenter, omstændighederne omkring den mulige overførsel, offentliggjorte statistikker fra Google, praksis og de mitigerende foranstaltninger – er ganske lav. Kommunen forpligter sig i øvrigt til løbende at overvåge og evaluere sandsynligheden af, at disse argumenter holder.
Lovligheden af brug af Google Workspace for Education er under disse omstændigheder således ikke afhængig af, om skønnet over sandsynligheden for holdbarheden af et enkelt argument ikke med begrundede argumenter kan rykkes.”
Endelig har Helsingør Kommune fremsendt en lang række dokumentation vedrørende databehandlerkonstruktionen med Google Cloud EMEA Limited, herunder databehandleraftalen ”Data Processing Amendment to Google Workspace and/or Complementary Product Agreement” dateret 24. september 2021.
4. Begrundelse for Datatilsynets afgørelse
Generelt er det Datatilsynets opfattelse, at en dataansvarlig, der benytter en databehandler – for alle behandlinger – skal overholde og kunne påvise overholdelsen af databeskyttelsesforordningen og databeskyttelsesloven, uanset hvor i databehandlerkæden behandling sker.
Det følger af databeskyttelsesforordningens artikel 5, stk. 2, hvoraf det fremgår, at den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 overholdes. Det betyder bl.a., at den dataansvarlige er ansvarlig for og skal kunne påvise, at personoplysningerne behandles lovligt, rimeligt og på en gennemsigtig måde, jf. artikel 5, stk. 1, litra a.
Endvidere fremgår det af forordningens artikel 24, stk. 1, at den dataansvarlige skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med denne forordning. Dette skal ske under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, og foranstaltningerne skal om nødvendigt revideres og ajourføres.
Datatilsynet har med denne afgørelse alene taget stilling til, om – og i hvilket omfang – Helsingør Kommune som den dataansvarlige behandler personoplysninger i overensstemmelse med databeskyttelsesreglerne. Datatilsynets kompetence følger af databeskyttelseslovens § 27 og databeskyttelsesforordningens kapitel VI og VII, herunder forordningens artikel 55, stk. 2.
4.1. Brug af Google Chromebooks og Google Workspace for Education
Det følger af folkeskolelovens § 2, stk. 1, at kommunalbestyrelsen har ansvaret for folkeskolen.
For grundskolen følger det lovens § 18, stk. 1, og § 19, at undervisningens tilrettelæggelse, herunder valg af undervisnings- og arbejdsformer, metoder, undervisningsmidler og stofudvælgelse, samt betalingen for dette, i alle fag leve op til folkeskolens formål, mål for fag samt emner og varieres, så den svarer til den enkelte elevs behov og forudsætninger.
Det er Datatilsynets opfattelse, at såvel valg om brug af it i undervisningen, herunder hvilket fabrikat og software, der skal benyttes, falder inden for dette råderum.
Datatilsynet bemærker herunder, at databeskyttelsesreglerne er teknologineutrale, og tilsynet kan alene vurdere de forhold, hvor der sker behandling af personoplysninger, jf. databeskyttelsesforordningens artikel 2, stk. 1.
Mens folkeskoleloven – efter Datatilsynets opfattelse – tillægger kommunalbestyrelsen kompetence til at beslutte om – og i givet fald – hvilket it-udstyr, der skal benyttes i undervisningen, skal denne brug fortsat ske inden for rammerne af databeskyttelsesforordningen og databeskyttelsesloven.
Børn og unges rettigheder nyder en særlig beskyttelse i databeskyttelsesreglerne. Det er Datatilsynets opfattelse, at dette hensyn indgår i vurderingen af hvilke behandlinger, der kan udføres på baggrund af den hjemmel, folkeskoleloven giver den enkelte kommune.
Som det også fremgår af Datatilsynets afgørelse af 10. september 2021, er det tilsynets opfattelse, at Helsingør Kommune kan bestemme hvilke redskaber, der benyttes i kommunens folkeskoler, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra e. Dette gælder også oprettelse af den enkelte elev som bruger af et sådan system.
Det er dog fortsat en væsentlig forudsætning, at databeskyttelsesforordningen og databeskyttelsesloven i øvrigt overholdes ved den behandling af personoplysninger, der finder sted.
4.2. Risiko og konsekvenser
Datatilsynets finder generelt, at Helsingør Kommunes risikovurdering vedrørende brug af Google Chromebooks og Workspace for Education behandler de væsentligste scenarier og trusler.
Det er dog Datatilsynets opfattelse, at brug af ny, kompleks teknologi, herunder software – især på undervisningsområdet, hvor de registrerede er børn og unge – normalt indebærer en høj risiko for disse elevers rettigheder og frihedsrettigheder.
I det konkrete tilfælde, hvor det er alment kendt, at de teknologier, der benyttes til levering og systemunderstøttelse af den valgte service – Google Chromebooks og Workspace for Education – også benyttes til at levere øvrige dele af Googles produkter, og disse benyttes til oplysningsindsamling, målrettet markedsføring og salg af disse oplysninger. Sådanne forhold skal derfor indgå i vurderingen af risiciene for de registreredes rettigheder og frihedsrettigheder ved brug af Google Workspace for Education.
Datatilsynet finder, at Helsingør Kommunes risikovurdering ikke til fulde dokumenterer de risikoscenarier, som kan opstå som følge af databehandlerkonstruktionen og de foretagne systemvalg. Det gælder særligt, (i) hvordan de anvendte enheder og programmer reelt håndterer de indsamlede personoplysninger, samt (ii) hvordan Helsingør Kommune kontrollerer Googles adgang til personoplysningerne, herunder særligt ved ordinær brug af Google Chromebooks styresystem og Google Workspaces interaktion med Googles backend i forhold til de muligheder for adskillelse af personoplysninger, som skal ske i henhold til databehandleraften.
Det er Datatilsynets opfattelse, at gennemførelse af en konkret risikovurdering og konsekvensanalyse – inden udlevering af it-udstyr til elever og behandling af elevernes oplysninger – er en forudsætning for at kunne etablere og opretholde et passende sikkerhedsniveau. Det skyldes, at et passende sikkerhedsniveau skal ses i lyset af de risici, herunder konsekvenser, som behandlingen af elevernes personoplysninger kan have for de pågældende. Datatilsynet bemærker, at flere af ovennævnte manglende iagttagelser af databeskyttelsesreglerne kunne have være undgået, hvis Helsingør Kommune havde vurderet risiciene ved behandlingen og truffet passende foranstaltninger i lyset af disse risici.
Datatilsynet finder på ovenstående baggrund, at Helsingør Kommune – (i) ved ikke at inkludere de risikoscenarier som kan opstå som følge af databehandlerkonstruktionen og de foretagne systemvalg i sin risikovurdering, (ii) ved ikke at have foretaget tilstrækkelig afprøvning af omfang og virkemåde af den valgte hardware og benyttede software, samt (iii) ved ikke at kunne dokumentere, hvordan kommunen kontrollerer Googles adgang til personoplysningerne, herunder særligt ved ordinær brug af Google Chromebooks styresystem og Google Workspaces interaktion med Googles backend i forhold til de muligheder for adskillelse af personoplysninger, som kan ske i henhold til databehandleraften – ikke har påvist, at personoplysninger behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede jf. databeskyttelseslovens artikel 5, stk. 2, jf. artikel 5, stk. 1, litra a.
4.3. Brug af oplysninger til andre formål
Det er Datatilsynets opfattelse, at Helsingør Kommunes behandling af personoplysninger efter folkeskoleloven, jf. forordningens artikel 6, stk. 1, litra e, ikke omfatter situationer, hvor personoplysninger behandles til andre formål end de, der er forudsat i folkeskoleloven. Oplysningerne kan dermed heller ikke lovligt videregives til andre dataansvarlige til brug for disses formål, når der er tale om formål, som ikke er forudsat i folkeskoleloven. Dette omfatter også den behandling af personoplysninger, der kan ske ved elevernes brug af udstyret og softwaren, herunder metadataoplysninger, der benyttes til markedsføring og profilering, uanset om oplysningerne anvendes til direkte markedsføring mod den enkelte elev eller indirekte som en del af en gruppe (klasse, årgang, skole osv.).
Datatilsynet lægger til grund, at Helsingør Kommune ikke benytter Google Workspace for Educations tillægsprodukter.
Det fremgår af Helsingør Kommunes risikovurdering, at personoplysninger, der indsamles i kerneservices – ifølge databehandleraftalen – ikke bliver brugt til markedsføringsformål.
Datatilsynet lægger til grund, at Helsingør Kommune som dataansvarlig har vurderet, at ”det ikke fuldstændigt kan udelukkes, at Google bryder de kontraktuelle forpligtelser og alligevel anvender personoplysninger til markedsføring eller andre utilsigtede formål, som Helsingør Kommune ikke har givet instruks til jf. databehandleraftalen.”
Datatilsynet lægger endvidere til grund, at Helsingør Kommune også behandler personoplysninger af særlige kategorier, jf. forordningens artikel 9, ved brug af Google Workspace for Education.
Datatilsynet skal i den forbindelse generelt indskærpe, at en dataansvarlig – i medfør af databeskyttelsesforordningens artikel 28, stk. 1 – udelukkende må benytte databehandlere, der kan stille de fornødne garantier for, at vedkommende vil overholde databeskyttelsesreglerne i forbindelse med sin behandling af oplysningerne på den dataansvarliges vegne.
Det indebærer, at en forventning hos den dataansvarlige om, at den valgte databehandler vil handle i strid med den indgåede databehandleraftale – i sig selv – medfører, at den dataansvarlige ikke kan benytte den pågældende databehandler, jf. forordningens artikel 28, stk. 1.
Datatilsynet har imidlertid lagt til grund, at Helsingør Kommune ved sin vurdering af denne risiko alene anser risikoen for, at databehandleren handler i strid med databehandleraftalen som hypotetisk frem for decideret påregnelig.
Datatilsynet finder, at Helsingør Kommune – i sin vurdering af denne risiko – ikke har dokumenteret, at Helsingør Kommune i denne situation benytter en databehandler, der kan stille de fornødne garantier for, at vedkommende vil opfylde kravene i databeskyttelsesforordningen, jf. forordningens artikel 24, jf. artikel 28, stk. 1.
Datatilsynet har lagt særlig vægt på, at der ville være tale om et indgribende rettighedstab for de registrerede, hvis den omhandlede risiko materialiserede sig, og at kommunen i sin risikovurdering ikke har anført reelt afhjælpende tekniske eller organisatoriske foranstaltninger med henblik på at mitigere denne risiko. Det er herunder Datatilsynet opfattelse, at Helsingør Kommunes henvisning til, at kommunen har tillid til, at leverandøren generelt overholder aftalen, ikke udgør en fornøden nedbringelse af denne risiko.
Datatilsynet bemærker i øvrigt, at enhver risiko, der indebærer en høj konsekvens for de registreredes rettigheder og frihedsrettigheder – også ved relativt lave sandsynligheder for, at risikoen realiseres – sandsynligvis vil indebære en høj risiko for de registreredes rettigheder, hvilket udløser pligten til at gennemføre en konsekvensanalyse vedrørende databeskyttelse, jf. forordningens artikel 35, stk. 1.
Henset hertil – og til Helsingør Kommunes egen vurdering om, at det ikke kan udelukkes, at databehandleren vil handle i strid med databehandleraftalen – er det Datatilsynets opfattelse, at forholdet udløser pligten til at gennemføre en konsekvensanalyse vedrørende databeskyttelse, forordningens artikel 35, stk. 1.
På den baggrund – og idet Helsingør Kommune har oplyst, at kommunen ikke har gennemført en konsekvensanalyse vedrørende databeskyttelse – finder Datatilsynet, at Helsingør Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med forordningens artikel 35, stk. 1.
4.4. Overførsler af personoplysninger til tredjelande
4.5. Overførsel af personoplysninger ved cloudinfrastrukturen
Datatilsynet har indledningsvis noteret sig, at det er Helsingør Kommunes opfattelse, at kommunen har konfigureret sin brug af Google Workspace for Education på en sådan måde, at ”data som det helt klare udgangspunkt alene befinder sig inden for EU i de pågældende datacentre. Det er således alene risikoen for supportadgang fra et usikkert tredjeland, der kan føre til adgang fra et usikkert tredjeland.”
Helsingør Kommunes aftalegrundlag med Google, der regulerer behandlingsaktiviteten, omfatter bl.a. “Data Processing Amendment to Google Workspace and/or Complementary Product Agreement” (aftaletillæg), der er dateret den 24. september 2021.
Af aftaletillæggets fremgår bl.a. følgende:
”10.1 Data Storage and Processing Facilities. Subject to Google’s data location commitments under the Service Specific Terms and to the remainder of this Section 10 (Data Transfers), Customer Data may be processed in any country in which Google or its Subprocessors maintain facilities. […]
- Subprocessors
11.1 Consent to Subprocessor Engagement. Customer specifically authorizes the engagement as Subprocessors of those entities listed as of the Amendment Effective Date at the URL specified in Section 11.2 (Information about Subprocessors). In addition, without prejudice to Section 11.4 (Opportunity to Object to Subprocessor Changes), Customer generally authorizes the engagement as Subprocessors of any other third parties (“New Subprocessors”).
11.2 Information about Subprocessors. Information about Subprocessors, including their functions and locations, is available at: https://workspace.google.com/intl/en/terms/subprocessors.html (as may be updated by Google from time to time in accordance with this Data Processing Amendment).”
Aftaletillæggets pkt. 11.2 henviser til en oversigt over underdatabehandlere, der benyttes til brug for levering af Google Workspace for Education. Af oversigten fremgår en lang række underdatabehandlere, som benyttes til at levere teknisk support, og som er beliggende i såvel EU som i tredjelande, herunder tredjelande, hvor EU-Kommissionen ikke har truffet afgørelse om landenes beskyttelsesniveau, jf. artikel 45.
Af oversigten fremgår også en lang række af Googles datterselskaber, der benyttes til begrænsede aktiviteter i forbindelse med bl.a. Google Workspace, og som også befinder sig såvel inden for som uden for EU/EØS.
Datatilsynet har ikke med denne afgørelse taget stilling til, i hvilket omfang Helsingør Kommune ved at benytte Google Workspace for Education – i tillæg til USA, jf. nærmere nedenfor i afsnit 4.6 – overfører personoplysninger til andre tredjelande, desuagtet at oplysningerne ”opbevares” inden for EU/EØS.
Datatilsynet skal imidlertid henstille, at Helsingør Kommune – bl.a. ved en gennemgang af Google Workspace ”Service Specific Terms”, der er omtalt i aftaletillæggets pkt. 10.1 – sikrer sig, at oplysningerne, som led i anden behandling end ”opbevaring”, fx som led i generel service og support af den underliggende cloudinfrastruktur mv., ikke overføres til tredjelande, medmindre Helsingør Kommune instruerer databehandleren heri og tilvejebringer et gyldigt overførselsgrundlag.
Det er Datatilsynets opfattelse, at den dataansvarlige skal tilvejebringe et gyldigt overførselsgrundlag til alle de tredjelande, hvortil personoplysninger kan blive overført som led i leveringen af en ydelse i henhold til aftalegrundlaget, herunder også ved service og support.
4.6. Overførsel af personoplysninger til USA
Indledningsvis bemærker Datatilsynet, at der – efter tilsynets opfattelse – er tale om en tilsigtet og instrueret overførsel til USA for Helsingør Kommunes vedkommende som følge af den aftalte mulighed for at yde support – i eller fra USA – med adgang til personoplysninger.
Reglerne om overførsel til tredjelande, herunder de mulige overførselsgrundlag, findes i databeskyttelsesforordningens kapitel V.
Hovedreglen for overførsel af personoplysninger til tredjelande fremgår af det generelle princip i databeskyttelsesforordningens artikel 44. Heraf fremgår, at:
”Enhver overførsel af personoplysninger, som underkastes behandling eller planlægges behandlet efter overførsel til et tredjeland eller en international organisation, må kun finde sted, hvis betingelserne i [kapitel V] med forbehold af de øvrige bestemmelser i denne forordning opfyldes af den dataansvarlige og databehandleren, herunder ved videreoverførsel af personoplysninger fra det pågældende tredjeland eller den pågældende internationale organisation til et andet tredjeland eller en anden international organisation. Alle bestemmelserne i dette kapitel anvendes for at sikre, at det beskyttelsesniveau, som fysiske personer garanteres i medfør af denne forordning, ikke undermineres.”
Enhver overførsel af personoplysninger kan således alene ske, hvis betingelserne i forordningens kapitel V er opfyldt.
Datatilsynet forstår forordningens artikel 44 som en forpligtelse for såvel den dataansvarlige og databehandleren. Begge parter er derfor forpligtet til at sørge for, at der tilvejebringes et overførselsgrundlag, der er effektivt i lyset af alle omstændighederne ved overførslen. Det gælder også i de tilfælde, hvor det i praksis er databehandleren, der har indgået en standardkontrakt i henhold til forordningens artikel 46, stk. 2, litra c, med eventuelle underdatabehandlere i tredjelande. I så fald består forpligtelsen for den dataansvarlige i praksis i at sikre sig – og kunne påvise over for Datatilsynet – at databehandleren har etableret det fornødne overførselsgrundlag, og at dette overførselsgrundlag er effektivt i lyset af alle omstændighederne ved overførslen, herunder ved implementeringen af supplerende foranstaltninger om nødvendigt.
Det er endvidere Datatilsynets opfattelse, at det – med forbehold af undtagelserne i forordningens artikel 49 – af formuleringen i artikel 44 om, at enhver overførsel af personoplysninger, kun må ske hvis betingelserne i kapitel V, er opfyldt, sammenholdt med princippet om, at beskyttelsesniveauet, der sikres med databeskyttelsesforordningen ikke må undermineres, skal forstås således, at enhver overførsel skal være omfattet af fornødne garantier. Det er således ikke tilstrækkeligt, at næsten alle overførsler eller en procentdel af overførsler nyder den beskyttelse, der er forudsat i databeskyttelsesforordningen, medmindre dette er hjemlet i forordningen.
En af mulighederne for at tilvejebringe et gyldigt overførselsgrundlag efter kapitel V er ved at indgå en standardkontrakt vedtaget af EU-Kommissionen med den organisation i tredjelandet, hvortil oplysningerne overføres, jf. forordningens artikel 46, stk. 1, litra c.
Det fremgår herunder af sagen, at Helsingør Kommune har instrueret sin databehandler – Google Cloud EMEA Limited i Irland – i at overføre personoplysninger til en underdatabehandler – Google LLC – i USA. Overførslen sker på baggrund af en EU-Kommissionens standardkontrakt mellem Google Cloud EMEA Limited og Google LLC i USA. Denne standardkontrakt er blevet anvendt som grundlag for overførsler til USA siden ultimo september 2021.
I sagen C-311/18, Schrems II, har EU-Domstolen præciseret, at brugen af EU-Kommissionens standardkontrakter forudsætter, at der kan sikres et beskyttelsesniveau for personoplysningerne i det pågældende tredjelande, som i det væsentlige svarer til beskyttelsesniveauet inden for EU/EØS.[1]
EU-Domstolen bemærkede videre, at der kan være situationer, hvor EU-Kommissionens standardkontrakt ikke udgør ”et tilstrækkeligt middel til at sikre den effektive beskyttelse af de personoplysninger, som er overført til det pågældende tredjeland, i praksis. Dette er navnlig tilfældet, når lovgivningen i dette tredjeland tillader, at dets offentlige myndigheder gør indgreb i de registreredes rettigheder vedrørende disse oplysninger.”[2]
I sådanne tilfælde, hvor standardkontrakten, henset til deres karakter, ikke kan give garantier, der rækker videre end den kontraktlig forpligtelse til at sikre, at der sikres det nødvendige beskyttelsesniveau, kan der, afhængigt af forholdene i tredjelandet, være behov for, at der træffes supplerende foranstaltninger for at sikre, at der tilvejebringes det nødvendige beskyttelsesniveau.[3] Sådanne supplerende foranstaltninger kan være både tekniske, organisatoriske og kontraktuelle.[4]
Det er således nødvendigt at – i hvert enkelt tilfælde – at undersøge, om lovgivningen i tredjelandet sikrer det fornødne beskyttelsesniveau af de personoplysninger, som overføres på grundlag af standardkontrakten, og efter behov at træffe supplerende foranstaltninger i tillæg til standardkontrakten.[5]
EU-Domstolen har endvidere vurderet, hvorvidt udvalgt lovgivning i USA – Foreign Intelligence Surveillance Act (FISA) sektion 702 og Executive Order 12 333 (E.O. 12 333) – tillader, at amerikanske offentlige myndigheder gør indgreb i de registreredes rettigheder i et omfang på en måde, der ikke opfylder EU-rettens mindstekrav.
FISA sektion 702 (FISA 702) bemyndiger den amerikanske regering til at indhente oplysninger om personer, der ikke er amerikanske statsborgere mv. (”non-U.S. persons”), og som med rimelighed kan forventes at befinde sig uden for USA, med henblik på indsamling af udenlandske efterretningsoplysninger (”foreign intelligence information”). Det sker ved udstedelse af direktiver til ”electronic communications service providers” om at udlevere eller foranstalte udlevering af personoplysninger, der sendes til eller modtages fra en ”selektor”, idet en del af denne kommunikation ligeledes videregives til retshåndhævende myndigheder.[6]
Med hensyn til E.O. 12333 gør dette retsgrundlag det muligt for retshåndhævende myndigheder at få adgang til oplysninger, der er i ”transit” til USA, ved at tilgå undersøiske kabler, og at indsamle og opbevare disse oplysninger, før de når til USA og dér bliver undergivet FISA’s bestemmelser.[7]
EU-Domstolen fastslog herefter, at hverken FISA sektion 702 eller E.O. 12 333, sammenholdt med Presidential Policy Directive-28 (PPD-28), opfylder EU-rettens proportionalitetskrav med den følge, at overvågningsprogrammer, der er baseret på disse bestemmelser, ikke kan anses for at være begrænset til det strengt nødvendige. Domstolen fastslog endvidere, at FISA 702 eller E.O. 12 333, sammenholdt med PDD-28, ikke giver de registrerede rettigheder, som kan håndhæves over for de amerikanske myndigheder ved domstolene.[8]
I sin vurdering af, om der er forhold i USA som forhindrer standardkontrakten, der benyttes som overførselsgrundlag, i at være et tilstrækkeligt middel til at sikre et beskyttelsesniveau, der i det væsentlige svarer til niveauet inden for EU/EØS, har Helsingør Kommune anført, at det er sandsynligt, at Google LLC skal anses som en ”eletronic communications service provider”, som dette begreb er defineret i 50 U.S.C. § 1881(b)(4).
Det er tilsvarende Datatilsynets vurdering, at Google LLC – ved levering af den tjeneste (support mv.), der giver anledning til overførsel af personoplysninger hertil – skal anses som en ”eletronic communications service provider” og dermed kan være genstand for direktiver fra retshåndhævende myndigheder i henhold til FISA 702.
Helsingør Kommune har derudover anført, at der er en høj sandsynlighed for, at oplysninger, der er tilgængelige for Google LLC per se ikke kan tilgås under FISA 702, idet personoplysningerne ikke overføres af Google LLC, men til Google LLC med henblik på levering af support. Helsingør Kommune har herunder anført, at der således er tale om elektronisk kommunikation til en ”U.S. person”, hvorfor retshåndhævende myndigheder i lyset af de begrænsninger, der findes i FISA 702, er udelukket fra at indhente disse oplysninger. Kommunen har derudover anført, at personoplysningerne, der overføres til Google LLC, ikke udgør personoplysninger om ”U.S. persons”, og at retshåndhævende myndigheder også af denne grund er afskåret fra at indsamle oplysningerne under FISA 702.
Efter en gennemgang af de retlige begrænsninger for indsamling af oplysninger under FISA 702[9] er det Datatilsynets opfattelse, at begrænsningerne tager sigte mod at forhindre indsamling – såvel direkte som indirekte – af oplysninger om amerikanske personer, herunder også virksomheder, når sådanne personer er målet for indsamlingen.
Begrænsningerne finder således efter Datatilsynets opfattelse ikke anvendelse, hvis og i det omfang danske borgere eller Helsingør Kommune som helhed bliver genstand for indsamlingen af oplysninger i henhold til FISA 702.
Det er endvidere Datatilsynets opfattelse, at FISA 702 efter sit formål udgør et retligt grundlag for, at amerikanske retshåndhævende myndigheder kan indhente oplysninger om udenlandske personer, og som med rimelighed kan forventes at befinde sig uden for USA, med henblik på indsamling af udenlandske efterretningsoplysninger.
På den baggrund er det Datatilsynets vurdering, at de personoplysninger, der overføres til Google LLC, vil kunne indhentes af amerikanske retshåndhævende myndigheder. Datatilsynet har herved lagt på vægt, at Google LLC skal anses som en ”electronic communications service provider”, og at personoplysningerne, der overføres til Google LLC, vedrører kommunens skoleelever og ansatte, dvs. danske borgere.
Det er således Datatilsynets vurdering, at overførsel af de omhandlede oplysninger er omfattet af forhold i USA som forhindrer standardkontrakten, der benyttes som overførselsgrundlag, i at være et tilstrækkeligt middel til at sikre et beskyttelsesniveau, der i det væsentlige svarer til niveauet inden for EU/EØS. Helsingør Kommune er dermed forpligtet til at sikre, at der etableres supplerende foranstaltninger, der kan bringe beskyttelsesniveauet op til det påkrævede niveau.
Datatilsynet bemærker herunder, at kontraktuelle og organisatoriske supplerende foranstaltninger almindeligvis ikke vil imødegå adgang til eller indsamling af personoplysninger af amerikanske retshåndhævende myndigheder til overvågningsformål. Det vil derfor være nødvendigt at træffe supplerende tekniske foranstaltninger.
Helsingør Kommune har anført, at personoplysningerne er krypteret i såvel transit som i hvile, når oplysningerne overføres og behandles af Google LLC. Kommunen har imidlertid ligeledes anført, at Google LLC kan få adgang til oplysningerne i klartekst.
Det er Datatilsynets vurdering, at kryptering kan være en effektiv supplerende foranstaltninger, der er egnet til at supplere EU-Kommissionens standardkontrakt og samlet set bringe beskyttelsesniveauet i et tredjeland op til det påkrævede europæiske niveau.
Datatilsynet finder imidlertid, at krypteringen i det foreliggende tilfælde ikke er egnet til at imødegå de forhold i USA, som forhindrer standardkontrakten i at være et tilstrækkeligt middel til at sikre den effektive beskyttelse af de overførte personoplysninger.
Datatilsynet har herved lagt vægt på, at amerikanske retshåndhævende myndigheders indsamling af personoplysninger i henhold til FISA 702 sker ved udstedelse af direktiver til ”electronic communication service providers” og dermed forudsætter disses bistand, og at de overførte personoplysninger under disse omstændigheder kan blive indhentet under FISA 702, da Google LLC har adgang til oplysningerne i klartekst.
Datatilsynet finder herefter, at personoplysninger, som Helsingør Kommune har instrueret Google Cloud EMEA Limited i at overføre til USA, ikke sikres et beskyttelsesniveau, der i det væsentlige svarer til beskyttelsesniveauet i EU/EØS, og at Helsingør Kommune ikke har truffet de fornødne supplerende foranstaltninger for at bringe beskyttelsesniveauet op til det påkrævede niveau.
Datatilsynet finder derfor, at overførslen af personoplysninger, som Helsingør Kommune har instrueret Google Cloud EMEA Limited i at foretage ikke sker i overensstemmelse med databeskyttelsesforordningens artikel 44, jf. artikel 46, stk. 1, litra c.
4.7. Sammenfatning
Henset til det meddelte påbud af 10. september 2021, og den meddelte behandlingsbegrænsning af samme dato, og efter en gennemgang af Helsingør Kommunes risikovurdering og kommunens dokumentation i øvrigt finder Datatilsynet, at der er grundlag for at meddele Helsingør Kommune et forbud mod at behandle personoplysninger ved brug af Google Chromebooks og Workspace for Education. Forbuddet gælder indtil, Helsingør Kommune har bragt behandlingsaktiviteten i overensstemmelse med databeskyttelsesforordningen som anført i denne afgørelse, samt udarbejdet fyldestgørende dokumentation herfor.
Herudover suspenderes enhver overførsel af personoplysninger til USA, som Helsingør Kommune har instrueret Google Cloud EMEA Limited om at foretage som databehandler for kommunen, indtil Helsingør Kommune kan påvise, at reglerne i databeskyttelsesforordningens kapitel V er iagttaget.
Forbuddet og suspensionen træder i kraft straks, men Helsingør Kommune indrømmes en frist til den 3. august 2022 til at inddrage og nedlægge brugere og rettigheder, samt få slettet allerede overførte oplysninger.
Forbuddene meddeles i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra f og j.
Overtrædelse af et forbud meddelt af Datatilsynet straffes i medfør af databeskyttelseslovens § 41, stk. 2, nr. 4, med bøde eller fængsel indtil 6 måneder, jf. § 41, stk. 1.
Datatilsynet finder endelig grundlag for at udtale alvorlig kritik af, at Helsingør Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 5, stk. 2, jf. artikel 5, stk. 1, litra a, artikel 24, jf. artikel 28, stk. 1, artikel 35, stk. 1, samt artikel 44, jf. artikel 46, stk. 1.
4.8. Valg af korrigerende foranstaltninger
Datatilsynet har ved valg af korrigerende foranstaltning lagt vægt på at bringe den ulovlige tilstand til ophør hurtigt. Herudover har Datatilsynet i formildende retning tillagt vægt, at Helsingør Kommune – i alle faser af sagens behandling – har medvirket positivt og ansvarligt for at skabe den fornødne dokumentation og klarhed over behandlingerne, ligesom det er tillagt særlig vægt, at de omhandlede overførsler af personoplysninger til USA tidligere var undergivet en tilstrækkelighedsvurdering, jf. forordningens artikel 45, der bortfaldt.
5. Afsluttende bemærkninger
Datatilsynet bemærker, at det påhviler Helsingør Kommune at berigtige og slette oplysninger i overensstemmelse med afgørelsen. Kommunen må derfor kontakte de registrerede børns forældre med henblik på at udføre de berigtigelser, anonymiseringer eller sletninger af de registrerede personoplysninger, forældrene ikke selv kan foretage i de systemer, hvor elevernes personoplysninger utilsigtet er offentliggjort eller videregivet.
[1] EU-Domstolens dom af 16. juli 2020 i sagen C-311/18, Schrems II, præmis 101 og 105.
[2] EU-Domstolens dom af 16. juli 2020 i sagen C-311/18, Schrems II, præmis 126
[3] Ibid., præmis 133.
[4] Det Europæiske Databeskyttelsesråds anbefalinger 01/2020 om supplerende foranstaltninger, afsnit 52.
[5] EU-Domstolens dom af 16. juli 2020 i sagen C-311/18, Schrems II, præmis 134
[6] Ibid., præmis 61.
[7] Ibid., præmis 63.
[8] EU-Domstolens dom af 16. juli 2020 i sagen C-311/18, Schrems II, præmis 181, 182 og 184.
[9] Se U.S.C. 50 § 1881a(b).