Børn og unge har en særlig beskyttelse i GDPR. Datatilsynet er ekstra opmærksom på dette, særligt når deres personoplysninger udsættes for behandlinger, de ikke kan undgå - f.eks. som led i den obligatoriske undervisning.
Datatilsynets afgørelse i den konkrete sag om brugen af Google Chromebooks i Helsingør Kommune konstaterer, at folkeskoleloven giver kommunerne ret til at vælge det IT-udstyr og de programmer, der skal bruges i undervisningen.
Det påhviler kommunen som dataansvarlig at sikre, at IT-udstyret og programmerne bliver brugt på en sådan måde, at databeskyttelsesreglerne overholdes. Særligt, at de udførte behandlinger ikke går ud over det formål, folkeskoleloven foreskriver. Datatilsynet nævner som eksempel på et sådan formål videregivelse, hvor oplysninger bruges til markedsføring eller profilering af ydelser.
I den konkrete sag havde kommunen ikke foretaget de fornødne vurderinger af risikoen for de registreredes rettigheder.
Datatilsynet udtaler i afgørelsen, at det for dele af brugeroprettelsen til Chromebook og brugen af G-Suite er nødvendigt at konfigurere adgangen til applikationerne og måden, de fungerer på, for, at disse kan benyttes lovligt.
Da kommunen ikke havde vurderet dette, havde kommunen heller ikke dokumentation for, at konfiguration var sket på en måde, der passede til de risici, der var for de registrerede.
Datatilsynet konstaterede, at de manglende vurderinger førte til flere overtrædelser af forordningen.
Datatilsynet gav Helsingør Kommune et påbud om at bringe behandlingen af oplysninger i overensstemmelse med forordningen. Hvis kommunen ikke kunne nedbringe risikoen ved behandlingerne, fik kommunen pålagt en begrænsning, der gør, at kommunen ikke må behandle de pågældende oplysninger efter en given frist.
Herudover udtalte tilsynet alvorlig kritik af kommunens behandlinger. Tilsynet gav også Helsingør kommune en advarsel om, at brug af tillægsprodukter til G-Suite ikke ville kunne behandles lovligt uden en foretaget konsekvensanalyse, hvor risici ved behandlingen var nedbragt til mindre end en høj risiko for de registreredes rettigheder og frihedsrettigheder.
Vil du vide mere?
Du kan læse afgørelsen her.
Du kan også læse om, hvornår man må behandle personoplysninger.