1. Afgørelse
Datatilsynet meddeler Aarhus Kommune et påbud om at få ændret den indgående aftale med databehandleren på en sådan måde, at de forhold, der er nævnt i tilsynets afgørelser af 14. juli og 18. august 2022, i forhold til Helsingør Kommune, samt det materiale, Aarhus Kommune har fremsendt den 1. september 2022, og som hidrører fra det samlede aftalegrundlag med leverandøren, bringes i overensstemmelse med databeskyttelsesforordningen. Dette inkluderer som minimum en tydeliggørelse af de steder, hvor ”databehandleren” agerer som selvstændig dataansvarlig, samt til hvilke formål, de supportsituationer, som kommunen ikke længere benytter, og uklarheder i kontraktsteksten, der skaber usikkerhed om databehandlerens ageren ud over reglen i databeskyttelsesforordningens artikel 28, stk. 3, litra a. Herudover skal alle tilsigtede overførsler til usikre tredjelande dokumenterbart overholde databeskyttelsesforordningen.
Datatilsynet meddeler yderligere Aarhus Kommune et påbud om at beskrive de datastrømme, der finder sted, og identificere de persondata, der videregives til leverandøren, og gør klart, hvornår denne agerer som selvstændig eller delt dataansvarlig. Dokumentationen skal omfatte hele den teknologistak, Aarhus Kommune bruger til behandlingen.
Datatilsynet påbyder yderligere Aarhus Kommune at udfærdige en opdateret konsekvensanalyse baseret på alle de risici, som kommunen under dokumentationsprocessen har identificeret, såfremt det viser sig, at der – udover de, der nu er anmodet om artikel 36-procedure for – er yderligere høje, ikke mitigerbare høje risici, omfatter påbuddet også høring af Datatilsynet efter artikel 36.
Endelig påbyder Datatilsynet Aarhus Kommune at fremlægge en endelig tidsfæstet plan for lovliggørelse af eventuelle behandlinger, der ikke har kunnet lovliggøres inden fristen for påbuddene, der er fastsat til den 3. november 2022. Datatilsynet forventer at modtage dokumentation for påbuddenes overholdelse inden den fastsatte dato.
Påbuddene er meddelt efter databeskyttelsesforordningens artikel 58, stk. 2, litra d.
Undladelse af at efterkomme et påbud kan - med mindre højere straf er forskyldt - straffes med bøde eller fængsel indtil 6 måneder jf. databeskyttelseslovens § 41, stk. 2, nr. 4.
2. Sagsfremstilling
Aarhushus Kommune har den 1. september 2022, fremsendt en anmodning om høring af Datatilsynet.
3. Kommunens bemærkninger
Aarhus Kommunes brev af 1. september 2022, med anmodning om artikel 36 procedure.
Opdatering af sag 2021-432-0056, samt anmodning om høring jf. Artikel 36
Opdatering af materiale
Aarhus Kommune har gennem august 2022, på baggrund i Datatilsynets afgørelse vedr. Helsingør Kommunes anvendelse af Google Workspace for Education, revurderet risikovurderingen for Aarhus Kommunes anvendelse af samme.
Vi fremsender hermed, som aftalt med Allan Frank, den opdaterede dokumentation, således at Aarhus Kommunes sag 2021-432-0056 kan opdateres ifm. Datatilsynets håndtering af den.
Det opdaterede materiale er vedlagt i form af:
- Bilag 15 - Policies-cb.json.covered_personalinfo.pdf
- Bilag 16 Risikovurdering - konsekvensanalyse - Workspace for Education Opdateret august 2022.xlsx
- Svar på Datatilsynets høring vedr. brugen af Google Chromebooks - opdateret august 2022.pdf
- Svar på spørgsmål om tredjelandsoverførsler i relation til sag 2021- 432-0056 - opdateret august 2022.pdf
Det gælder for de sidste tre filer, som er opdateringer af tidligere fremsendt materiale, at alle opdateringer foretaget i august 2022 fremgår i rød tekst for hurtig identifikation.
Artikel 36 høring
I forbindelsen med revurderingen af vores risikovurdering er der, i lyset af Helsingør-afgørelsen, og en gennemgang af det hollandske datatilsyns dokumenter vedr. løsningen, identificeret en række forhold, hvor Aarhus Kommune vurderer at vi har brug for dialog med Datatilsynet jf. databeskyttelsesforordningens artikel 36 vedr. høring.
Artikel 36 stk. 3’s krav om indlevering af oplysninger foretages hermed gennem ovenstående opdaterede Bilag 16, i det Aarhus Kommunes model for risikovurdering/konsekvensanalyse indeholder beskrivelse af ansvarsfordelingen (litra a), behandlingens formål og hjælpemidler (litra b), foranstaltninger og garantier (litra c) og konsekvensanalyse (litra e). Vedrørende litra d’s krav om databeskyttelsesrådgiverens kontaktoplysninger, så er Aarhus Kommune, som beskrevet i konsekvensanalysen aktuelt uden udpeget DPO. Funktionen varetages, som telefonisk aftalt med Datatilsynet, af Borgmesterens Afdeling (Aarhus Kommune), og kontaktoplysningerne er databeskyttelsesraadgiver@aarhus.dk og tlf. 89402000.
Nedenstående er de risici fra risikovurderingen/konsekvensanalysen (se Bilag 16 Risikovurdering - konsekvensanalyse - Workspace for Education – Opdateret august 2022.xlsx), hvor der enten i løsningen, eller i aftalegrundlaget (databehandleraftaler, terms of service mm.), er forhold hvor der efter vores vurdering er høj risiko for de registrerede og hvor vi samtidigt ikke er lykkedes med at iværksætte en passende foranstaltning, eller ændring af aftalegrundlaget med databehandleren, for at nedbringe den høje risiko, og hvor Aarhus Kommune derfor beder om Datatilsynets rådgivning.
[Her er en del af dokumentationen udeladt]
Afsluttende bemærkninger
Aarhus Kommune står klar til, jf. artikel 36, stk. 3, litra f, at supplere det fremsendte materiale med eventuelle yderligere oplysninger Datatilsynet måtte efterspørge, og herunder indgå i afklarende dialog.
4. Aarhus Kommunes risikovurdering
Se bilag 2.
5. Aarhus Kommunes konsekvensanalyse
[Her er en del af dokumentationen udeladt]
Herudover har Aarhus fremsendt deres risikovurdering. Denne er vedlagt afgørelsen som bilag 2.
6. Begrundelse for Datatilsynets afgørelse
Datatilsynet konstaterer, i overensstemmelse med Aarhus Kommunens egne bemærkninger i anmodningen af 1. september 2022, at der ved de pågældende behandlinger eksisterer en høj risiko for de registreredes rettigheder, som ikke kan nedbringes jf. databeskyttelsesforordningens artikel 36, stk. 1.
Datatilsynet finder, at flere af behandlingerne i sig selv ikke er i overensstemmelse med databeskyttelsesforordningen, og at andre af behandlingerne igen ikke er tilstrækkeligt identificeret eller har fået begrænset risikoen i fornødent omfang. Datatilsynet konstaterer derfor, at betingelserne for Datatilsynets rådgivning efter artikel 36, stk. 2, er til stede.
Datatilsynet konstaterer endvidere, at der for de af behandlingerne, der ikke er tilstrækkeligt identificeret, eller har fået begrænset risikoen i fornødent omfang, skal ske en hurtig lovliggørelse. Datatilsynet vurderer, at det er nødvendigt at sikre den fornødne fremdrift i en sådan lovliggørelse. Tilsynet har derfor på de udestående punkter besluttet at give en række påbud med en kortere frist i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d.
Herudover har Datatilsynet tillagt det vægt, at der skabes mulighed for, at Aarhus Kommunen sammen med andre dataansvarlige kommuner, der har behandling af personoplysninger, der ligner Aarhus Kommunes, samlet kan gå til databehandleren og leverandøren og få en endelig lovlig løsning, der dækker alle.
På denne baggrund udtaler Datatilsynet:
Datatilsynet meddeler Aarhus Kommune et påbud om at få ændret den indgående aftale med databehandleren på en sådan måde, at de forhold, der er nævnt i tilsynets afgørelser af 14. juli og 18. august 2022, i forhold til Helsingør Kommune, samt det materiale, Aarhus Kommune har fremsendt den 1. september 2022, og som hidrører fra det samlede aftalegrundlag med leverandøren, bringes i overensstemmelse med databeskyttelsesforordningen. Dette inkluderer som minimum en tydeliggørelse af de steder, hvor ”databehandleren” agerer som selvstændig dataansvarlig, samt til hvilke formål, de supportsituationer, som kommunen ikke længere benytter, og uklarheder i kontraktsteksten, der skaber usikkerhed om databehandlerens ageren ud over reglen i databeskyttelsesforordningens artikel 28, stk. 3, litra a. Herudover skal alle tilsigtede overførsler til usikre tredjelande dokumenterbart overholde databeskyttelsesforordningen.
Datatilsynet meddeler yderligere Aarhus Kommune et påbud om at beskrive de datastrømme, der finder sted, og identificere de persondata, der videregives til leverandøren, og gør klart, hvornår denne agerer som selvstændig eller delt dataansvarlig. Dokumentationen skal omfatte hele den teknologistak, Aarhus Kommune bruger til behandlingen.
Datatilsynet påbyder yderligere Aarhus Kommune at udfærdige en opdateret konsekvensanalyse baseret på alle de risici, som kommunen under dokumentationsprocessen har identificeret, såfremt det viser sig, at der – udover de, der nu er anmodet om artikel 36-procedure for – er yderligere høje, ikke mitigerbare høje risici, omfatter påbuddet også høring af Datatilsynet efter artikel 36.
Endelig påbyder Datatilsynet Aarhus Kommune at fremlægge en endelig tidsfæstet plan for lovliggørelse af eventuelle behandlinger, der ikke har kunnet lovliggøres inden fristen for påbuddene, der er fastsat til den 3. november 2022. Datatilsynet forventer at modtage dokumentation for påbuddenes overholdelse inden den fastsatte dato.
Påbuddene er meddelt efter databeskyttelsesforordningens artikel 58, stk. 2, litra d.
Undladelse af at efterkomme et påbud kan - med mindre højere straf er forskyldt - straffes med bøde eller fængsel indtil 6 måneder jf. databeskyttelseslovens § 41, stk. 2, nr. 4.
Datatilsynet forbeholder sig endvidere retten til at benytte yderligere beføjelser efter databeskyttelsesforordningens artikel 58, stk. 2, for forhold beskrevet i anmodningen og iøvrigt fremlagt materiale, når Aarhus Kommune har fremlagt endelig dokumentation, som til fulde belyser behandlingernes lovlighed og risici for de registreredes rettigheder og frihedsrettigheder. Derudover kan de ovennævnte forhold også være genstand for sanktioner efter databeskyttelseslovens § 41.