Journalnummer: 2020-431-0061
Resume
I juli nedlagde Datatilsynet et forbud mod brugen af Google Workspace i Helsingør Kommune, og i august fastholdt tilsynet forbuddet. Helsingør Kommune har nu i den efterfølgende dialog med Datatilsynet identificeret en række forhold, hvor brugen af Google Workspace mv. enten ikke har været lovlig, eller hvor risikoen for skoleeleverne ikke er blevet tilstrækkeligt identificeret og nedbragt. Datatilsynet har på baggrund af denne erkendelse - og konstateringen af tilsvarende forhold i flere andre kommuners behandlinger - besluttet at suspendere forbuddet i en kort periode og givet kommunen et antal påbud, der skal lovliggøre brugen.
Det betyder i praksis, at eleverne i Helsingør – i denne periode – kan genoptage brugen af Google Workspace, men at den varige anvendelse af produkterne er under forudsætning af, at kommunen får håndteret en række væsentlige udestående i forhold til kontrakter, teknologi og dokumentation.
"Når vi træffer det valg at suspendere forbuddet, skyldes det, at kommunen nu har erkendt og beskrevet de problemer, der skal lovliggøres. Der er kommet en rimelig klarhed over, hvad der udestår - og derfor giver vi nu kommunen to måneder til at få styr på det sammen med dens leverandører," forklarer Allan Frank, jurist og it-sikkerhedsspecialist i Datatilsynet.
Samme proces i Aarhus Kommune
Ud over påbuddet til Helsingør Kommune har Datatilsynet også givet et tilsvarende påbud til Aarhus Kommune. Det sker på baggrund af, at Aarhus Kommune (ligesom Helsingør Kommune) har konstateret, at nogle af de behandlinger af skolebørns personoplysninger, de hidtil har foretaget, ikke har været foretaget lovligt, og at de ikke i fornødent omfang har haft identificeret og begrænset de risici, der er for de eleverne. Derfor er der nu også i Aarhus Kommune indledt en tilsvarende proces om lovliggørelse.
Kommunernes Landsforening har orienteret Datatilsynet om, at de på vegne af et yderligere antal kommuner forventer at fremsende lignede henvendelser om lovliggørelse af brugen af Google Workspace og lignende tjenester. Datatilsynet forventer at stille de samme krav til andre kommuner, der foretager lignende behandlinger.
Juridisk baggrund
Datatilsynet forventer, at alle dataansvarlige – inden nye behandlinger af personoplysninger påbegyndes, eller når eksisterende behandlinger ændrer risikobillede – vurderer, om de programmer, services og leverandører, der bruges til at behandle personoplysningerne, rent faktisk kan bruges lovligt. Ud over dette er det et krav efter GDPR, at ingen behandlinger af personoplysninger med høje, ikke nedbragte risici iværksættes, uden at tilsynet bliver oplyst om disse og har haft mulighed for at udøve de beføjelser, som følger af GDPR.
Vurderingen og erkendelsen af, at visse services eller leverandøraftaler fører til ulovlig behandling af personoplysninger eller høje risici, der ikke kan nedbringes, er en nødvendig forudsætning for, at kunne få leverandøren til at ændre på de pågældende vilkår og services, ændre på behandlingsaktiviteterne eller ultimativt fravælge leverandøren, hvis denne ikke vil eller kan levere en ydelse, der kan bruges lovligt.
Datatilsynet har på baggrund af materialet fra Helsingør Kommune og Aarhus Kommune konstateret, at kommunerne har behandlinger, der ikke har været foretaget lovligt, og at de ikke i fornødent omfang har identificeret og begrænset de risici, der er for eleverne og lærerne. Datatilsynet har meddelt Aarhus Kommune og Helsingør Kommune et påbud om, at den kontrakt, der er indgået med databehandleren og teknologileverandøren, på en række punkter skal ændres og tydeliggøres. Kommunerne har herudover fået påbudt at identificere yderligere risici vedrørende datapunkter og data indeholdende persondata, der videregives til teknologileverandøren til dennes egne formål. Dette påbud indeholder også en nedlukning af funktionalitet i den benyttede teknologi, der medfører uhjemlet videregivelse af personoplysninger.
Disse påbud er fastsat med frister på to måneder, og det er meddelt kommunerne, at Datatilsynet har til hensigt at forbyde måden, de pågældende behandlingsaktiviteter bliver udført på, hvis kommunerne ikke kan få leverandøren til ændre de pågældende forhold.
Afgørelse
1. Afgørelse
Datatilsynets forbud til Helsingør Kommune af 18. august 2022 suspenderes indtil 5. november 2022.
Datatilsynet meddeler Helsingør Kommune et påbud om at få ændret den indgående aftale med databehandleren på en sådan måde, at de forhold, der er nævnt i tilsynets afgørelser af 14. juli og 18. august 2022, samt det materiale, Helsingør Kommune har fremsendt den 1. september 2022, og som hidrører fra det samlede aftalegrundlag med leverandøren, bringes i overensstemmelse med databeskyttelsesforordningen. Dette inkluderer som minimum en tydeliggørelse af de steder, hvor ”databehandleren” agerer som selvstændig dataansvarlig, samt til hvilke formål, de supportsituationer, som kommunen ikke længere benytter, og uklarheder i kontraktsteksten, der skaber usikkerhed om databehandlerens ageren ud over reglen i databeskyttelsesforordningens artikel 28, stk. 3, litra a. Herudover skal alle tilsigtede overførsler til usikre tredjelande dokumenterbart overholde databeskyttelsesforordningen.
Datatilsynet meddeler yderligere Helsingør Kommune et påbud om at beskrive de datastrømme, der finder sted, og identificere de persondata, der videregives til leverandøren, og gør klart, hvornår denne agerer som selvstændig eller delt dataansvarlig. Dokumentationen skal omfatte hele den teknologistak, Helsingør Kommune bruger til behandlingen.
Datatilsynet påbyder yderligere Helsingør Kommune at udfærdige en opdateret konsekvensanalyse baseret på alle de risici, som kommunen under dokumentationsprocessen har identificeret, såfremt det viser sig, at der – udover de, der nu er anmodet om artikel 36-procedure for – er yderligere høje, ikke mitigerbare høje risici, omfatter påbuddet også høring af Datatilsynet efter artikel 36.
Endelig påbyder Datatilsynet Helsingør Kommune at fremlægge en endelig tidsfæstet plan for lovliggørelse af eventuelle behandlinger, der ikke har kunnet lovliggøres inden fristen for påbuddene, der er fastsat til den 3. november 2022. Datatilsynet forventer at modtage dokumentation for påbuddenes overholdelse inden den fastsatte dato.
Påbuddene er meddelt efter databeskyttelsesforordningens artikel 58, stk. 2, litra d.
Undladelse af at efterkomme et påbud kan - med mindre højere straf er forskyldt - straffes med bøde eller fængsel indtil 6 måneder jf. databeskyttelseslovens § 41, stk. 2, nr. 4.
Såfremt Helsingør Kommune inden den 5. november 2022 opfylder betingelserne i forbuddet af 18. august 2022, kan Datatilsynet efter gennemgang af dokumentation herfor hæve forbuddet.
2. Sagsfremstilling
Den 18. august afgjorde Datatilsynet bl.a., at Helsingør Kommunes behandling af personoplysninger ved brug af Google Chromebooks og Workspace for Education ikke var i overensstemmelse med databeskyttelsesforordningen.
Datatilsynet opretholdt på den baggrund tilsynets forbud af 14. juli 2022.
Forbuddet blev dog ændret således, at Datatilsynet meddelte Helsingør Kommune forbud mod at behandle personoplysninger ved brug af Google Chromebooks og Workspace for Education. Forbuddet gælder, indtil Helsingør Kommune har bragt behandlingsaktiviteten i overensstemmelse med databeskyttelsesforordningen som anført i Datatilsynets afgørelse af 14. juli 2022, og indtil kommunen har gennemført en konsekvensanalyse vedrørende databeskyttelse, der opfylder de krav til indhold og proces for gennemførelse heraf, som findes i forordningens artikel 35 og 36. For behandlinger, hvor forudgående høring af Datatilsynet er påkrævet efter databeskyttelsesforordningens artikel 36, gælder forbuddet, indtil tilsynet har afgivet udtalelse efter artikel 36, stk. 2, og Helsingør Kommune har truffet de fornødne foranstaltninger på baggrund af Datatilsynets udtalelse, eller indtil tilsynet tillader behandlingen på et tidspunkt, inden udtalelsen foreligger.
Forbuddet trådte i kraft straks.
3. Helsingør Kommunes bemærkninger
Helsingør kommune har ved e-mail den 1. september 2022 fremsendt en anmodning om høring af Datatilsynet. Høringen har denne ordlyd:
”Grundlaget for høringen
I Datatilsynets afgørelse af 14. juli 2022 over for Helsingør Kommune, nedlagde Datatilsynet et generelt forbud mod Helsingør Kommunes behandling af personoplysninger via Google Chromebooks og Google Workspace for Education Standard (”Tjenesterne”), indtil Helsingør Kommune udarbejdede en konsekvensanalyse for behandlingen af personoplysninger som foreskrevet og afgrænset i Datatilsynets afgørelse afsnit 4.2 og 4.3. På denne baggrund fremsendte Helsingør Kommune den forespurgte konsekvensanalyse.
Imidlertid når Datatilsynet i sin afgørelse af den 18. august 2022 frem til, at Helsingør Kommune i forbindelse med udarbejdelsen af denne konsekvensanalyse, skulle have foretaget en forudgående høring af Datatilsynet, jf. databeskyttelsesforordningens artikel 36, stk. 1. Datatilsynet baserer i afgørelsen denne vurdering på, at de foranstaltninger, som Helsingør Kommune har truffet med hensyn til videregivelse af personoplysninger til Google samt en række andre identificerede risici relateret til behandlingen af personoplysninger via Tjenesterne, ikke er egnede til at imødegå disse forhold.
Helsingør Kommune vedkender, at der ikke på nuværende tidspunkt foreligger tilstrækkelige tekniske, kontraktuelle eller organisatoriske foranstaltninger med henblik på at mitigere disse residuale høje risici relateret til elevernes rettigheder og frihedsrettigheder. Helsingør Kommune ønsker således med nærværende brev at høre Datatilsynet som foreskrevet i databeskyttelsesforordningens artikel 36, stk. 1 med henblik på at modtage Datatilsynets skriftlige rådgivning jf. databeskyttelsesforordningens artikel 36, stk. 2.
Opfyldelse af de formelle krav
I forhold til de formelle krav angivet i databeskyttelsesforordningens artikel 36, stk. 3, bemærker Helsingør Kommune følgende:
- Helsingør Kommune er dataansvarlig for den behandling af personoplysninger, der foretages via Tjenesterne og Google Ireland Limited er databehandler. Google Ireland Limited kan dog agere dataansvarlig for ”service data” og denne problemstilling er bl.a. genstand for nærværende høring, da videregivelsen relaterer sig til skoleelevers personoplysninger.
- Formålet er at anvende en digital læringsplatform baseret på Google Chromebooks med Workspace for Education Standard. Platformen muliggør deling af dokumenter mellem elever og lærere og gør det generelt muligt at samarbejde i klassen og på tværs af klasser. Kommunerne er forpligtede til at stille digitale læringsmidler og læringsplatforme til rådighed for eleverne på skolerne. Adgang til digitale læringsmidler er nødvendigt for at kunne leve op til mål for fagene i folkeskolen. En del af folkeskolens afgangsprøver samt nationale test afvikles digitalt. Kommunerne er forpligtede til at stille digitale hjælpemidler til rådighed for elever med særlige behov, herunder ordblinde elever.
- I forhold til foranstaltninger og garantier til beskyttelse af de registreredes rettigheder og frihedsrettigheder, henviser Helsingør Kommune til (i) vedlagte bilag 1 og de deri beskrevne garantier og implementerede foranstaltninger samt (ii) den tidligere fremsendte konsekvensanalyse relateret til Tjenesterne og de dertilhørende bilag.
- Databeskyttelsesrådgiveren er Bech-Bruun Advokatpartnerselskab, Langelinie Allé 35, 2100 København Ø.
- Konsekvensanalysen, der er udarbejdet i samarbejde med kommunes databeskyttelsesrådgiver, er allerede sendt til Datatilsynet.
- Helsingør Kommune fremsender naturligvis yderligere oplysninger og dokumenter, som Datatilsynet måtte anmode om.
Datatilsynets rådgivning
Til brug for Datatilsynets rådgivning som nærmere foreskrevet i databeskyttelsesforordningens artikel 36, stk. 2, vedlægger Helsingør Kommune som bilag 1 til dette forudgående høringsbrev, en liste over samtlige databeskyttelsesretlige risici, der er identificeret af Google i relation til Tjenesterne.
Datatilsynet har tidligere modtaget denne liste, men listen er, dels blevet ajourført og opdateret svarende til det anførte i Datatilsynets e-mail af 18. august 2022, dels generelt opdateret og tilpasset danske forhold. Listen angiver samtidig de residuale databeskyttelsesrisici relateret til Tjenesterne, der på nuværende tidspunkt er for høje og som dermed er genstand for nærværende høring.
Datatilsynet har yderligere anmodet om, at følgende forhold yderligere skal indgå som et tillæg til artikel 36-processen:
- Hvilke Service Data kommunen vil videregive til Google, som Google fortsat vil være dataansvarlig for i forhold til ”Planned future” samt til hvilke formål disse Service Data vil bruge anvendt til. Kommunen har i går anmodet Google om at bidrage til en afklaring af disse spørgsmål. Dette har imidlertid ikke kunnet nås inden afsendelse af dette brev, og kommunen kan derfor i stedet anføre følgende om de næste skridt: Kommunen vil sammen med Google inden for de næste 14 dage afklare med Google, om ovenstående umiddelbart kan besvares. Hvis dette ikke er tilfældet, vil kommunen sørge for, at spørgsmålet kan besvares senest 14 dage inden færdiggørelsen af en opdateret konsekvensanalyse for brugen af Tjenesterne, jf. nærmere herom nedenfor.
Denne ovenstående risiko og de i bilag 1 anførte risici udgør hermed de samlede databeskyttelsesrisici omfattet af denne høring.
***
Helsingør Kommune anmoder om, at Datatilsynet på baggrund af nærværende høringsbrev, ophæver forbuddet mod at bruge Tjenesterne under forudsætning af, at Helsingør Kommune overholder de af Datatilsynet nærmere fastsatte vilkår for ophævelse af forbuddet, herunder udarbejdelse og fremsendelse af en opdateret konsekvensanalyse for brugen af Tjenesterne med et forventet færdiggørelsestidspunkt på 2-3 måneder fra d.d.”
Den fremsendte anmodning om høring var også vedlagt et skema, der indeholdt de høje ikke nedbragte risici, der i det væsentlige stemmer overens med den konsekvensanalyse, der er udført i Holland.
[Her er en del af dokumentationen udeladt]
4. Begrundelse for Datatilsynets afgørelse
Datatilsynet konstaterer, i overensstemmelse med Helsingør Kommunens egne bemærkninger i anmodningen af 1. september 2022, at der ved de pågældende behandlinger eksisterer en høj risiko for de registreredes rettigheder, som ikke kan nedbringes jf. databeskyttelsesforordningens artikel 36, stk. 1.
Datatilsynet finder, at flere af behandlingerne i sig selv ikke er i overensstemmelse med databeskyttelsesforordningen, og at andre af behandlingerne igen ikke er tilstrækkeligt identificeret eller har fået begrænset risikoen i fornødent omfang. Datatilsynet konstaterer derfor, at betingelserne for Datatilsynets rådgivning efter artikel 36, stk. 2, er til stede.
Datatilsynet konstaterer endvidere, at der for de af behandlingerne, der ikke er tilstrækkeligt identificeret, eller har fået begrænset risikoen i fornødent omfang, skal ske en hurtig lovliggørelse. Datatilsynet vurderer, at det er nødvendigt at sikre den fornødne fremdrift i en sådan lovliggørelse. Tilsynet har derfor på de udestående punkter besluttet at give en række påbud med en kortere frist i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d.
Herudover har Datatilsynet tillagt det vægt, at der skabes mulighed for, at Helsingør Kommune sammen med andre dataansvarlige kommuner, der har behandling af personoplysninger, der ligner Helsingør Kommunes, samlet kan gå til databehandleren og leverandøren og få en endelig lovlig løsning, der dækker alle.
På denne baggrund udtaler Datatilsynet:
Datatilsynets forbud til Helsingør Kommune af 18. august 2022 suspenderes indtil 5. november 2022.
Datatilsynet meddeler Helsingør Kommune et påbud om at få ændret den indgående aftale med databehandleren på en sådan måde, at de forhold, der er nævnt i tilsynets afgørelser af 14. juli og 18. august 2022, samt det materiale, Helsingør Kommune har fremsendt den 1. september 2022, og som hidrører fra det samlede aftalegrundlag med leverandøren, bringes i overensstemmelse med databeskyttelsesforordningen. Dette inkluderer som minimum en tydeliggørelse af de steder, hvor ”databehandleren” agerer som selvstændig dataansvarlig, samt til hvilke formål, de supportsituationer, som kommunen ikke længere benytter, og uklarheder i kontraktsteksten, der skaber usikkerhed om databehandlerens ageren ud over reglen i databeskyttelsesforordningens artikel 28, stk. 3, litra a. Herudover skal alle tilsigtede overførsler til usikre tredjelande dokumenterbart overholde databeskyttelsesforordningen.
Datatilsynet meddeler yderligere Helsingør Kommune et påbud om at beskrive de datastrømme, der finder sted, og identificere de persondata, der videregives til leverandøren, og gør klart, hvornår denne agerer som selvstændig eller delt dataansvarlig. Dokumentationen skal omfatte hele den teknologistak, Helsingør Kommune bruger til behandlingen.
Datatilsynet påbyder yderligere Helsingør Kommune at udfærdige en opdateret konsekvensanalyse baseret på alle de risici, som kommunen under dokumentationsprocessen har identificeret, såfremt det viser sig, at der – udover de, der nu er anmodet om artikel 36-procedure for – er yderligere høje, ikke mitigerbare høje risici, omfatter påbuddet også høring af Datatilsynet efter artikel 36.
Endelig påbyder Datatilsynet Helsingør Kommune at fremlægge en endelig tidsfæstet plan for lovliggørelse af eventuelle behandlinger, der ikke har kunnet lovliggøres inden fristen for påbuddene, der er fastsat til den 3. november 2022. Datatilsynet forventer at modtage dokumentation for påbuddenes overholdelse inden den fastsatte dato.
Påbuddene er meddelt efter databeskyttelsesforordningens artikel 58, stk. 2, litra d.
Undladelse af at efterkomme et påbud kan - med mindre højere straf er forskyldt - straffes med bøde eller fængsel indtil 6 måneder jf. databeskyttelseslovens § 41, stk. 2, nr. 4.
Såfremt Helsingør Kommune inden den 5. november 2022 opfylder betingelserne i forbuddet af 18. august 2022, kan Datatilsynet efter gennemgang af dokumentation herfor hæve forbuddet.
Datatilsynet forbeholder sig endvidere retten til at benytte yderligere beføjelser efter databeskyttelsesforordningens artikel 58, stk. 2, for forhold beskrevet i de tidligere afgørelser, når Helsingør Kommune har fremlagt endelig dokumentation, som til fulde belyser behandlingernes lovlighed og risici for de registreredes rettigheder og frihedsrettigheder. Derudover kan de ovennævnte forhold også være genstand for sanktioner efter databeskyttelseslovens § 41.