Datatilsynet har siden sommeren gennemgået det omfattende materiale, som KL på vegne af 53 kommuner har sendt i sagen om brugen af Google Workspace i skolerne, og har på den baggrund truffet en afgørelse, som offentliggøres i dag.
Materialet har nu givet en uddybende beskrivelse af de centrale forhold i skolernes brug af tjenesten og leverandørens anvendelse af data. Dette var en oprindelig forudsætning for, at kommunerne kunne begynde at behandle oplysningerne i Google Workspace, og de pågældende analyser skulle derfor have været på plads, inden værktøjerne blev taget i brug. Denne manglende afklaring og de ufuldstændige analyser er bedømt og sanktioneret i Datatilsynets tidligere afgørelser mod de 53 kommuner.
Kommunerne konstaterer i det nu indleverede materiale, at der sker en videregivelse af personoplysninger, som Google bruger til egne formål. Datatilsynet har derfor vurderet lovligheden af disse videregivelser og truffet afgørelse i denne del af sagen, da afklaringen af dette er en forudsætning for at kunne behandle oplysningerne i det hele taget. Samtidig sætter denne afklaring rammerne for en løsning, hvor der fremover vil kunne behandles personoplysninger om skolebørnene.
"Inden man tager et værktøj i brug, skal man som dataansvarlig få sig et overblik over, hvordan man behandler personoplysninger i det, og man skal kunne dokumentere det. Det krav gælder alle organisationer. Men når der er tale om offentlige myndigheder – hvor vi som borgere ikke selv kan fravælge, at vores oplysninger bliver behandlet – har Datatilsynet en særlig forventning om, at de nødvendige analyser bliver både gennemført og dokumenteret," siger Allan Frank, it-sikkerhedsspecialist og jurist i Datatilsynet, og fortsætter:
"De fleste it-standardprodukter har i dag et meget komplekst kontraktgrundlag, som ikke bare rummer mange muligheder for variationer i behandlingen af personoplysninger, men også har en relativt høj ændringsfrekvens. Dette gør det sværere end nødvendigt for dataansvarlige virksomheder og myndigheder at leve op til GDPR, fordi man let mister overblikket over, hvad der sker med data. Vi i Datatilsynet opfordrer derfor til, at kontrakterne gøres mere gennemskuelige - ikke bare i forhold til behandlingsstrukturen, men også i forhold til konsekvenserne, når forhold omkring leverancen ændres.”
Påbud om lovliggørelse af videregivelse
Konklusionen i Datatilsynets afgørelse er, at der er hjemmel til at videregive elevernes oplysninger med henblik på levering af tjenesterne, forbedring af sikkerheden og pålideligheden af tjenesterne, kommunikation med bl.a. kommunerne og overholdelse af retlige forpligtelser.
Det er dog samtidig vurderingen, at folkeskoleloven ikke tilstrækkeligt klart hjemler, at kommunerne videregiver elevernes oplysninger til vedligeholdelse og forbedring af Google Workspace for Education-tjenesten, ChromeOS og Chrome-browseren, eller til måling af ydeevnen og udvikling af nye funktioner og tjenester i ChromeOS og Chrome-browseren.
Derfor giver Datatilsynet et påbud til kommunerne om at bringe behandlingen i overensstemmelse med reglerne ved at sikre, at der er hjemmel til alle de behandlinger, der sker. Det kan eksempelvis ske ved:
- At kommunerne ikke længere videregiver personoplysninger til Google til disse formål. Det vil sandsynligvis kræve, at Google udvikler en teknisk mulighed for, at de pågældende datastrømme afskæres.
- At Google selv afstår fra at behandle oplysningerne til disse formål.
- At Folketinget tilvejebringer et tilstrækkeligt klart retsgrundlag for videregivelse til disse formål.
Kommunerne skal efterleve påbuddet fra 1. august 2024, men skal senest 1. marts tilkendegive, hvordan de har til hensigt at efterleve det.
"It-services fungerer i dag ofte på den måde, at videregivelse af personoplysninger er indbygget i produktet, og at anvendelsen af oplysningerne ofte er en forudsætning for, at man kan få det fulde udbytte i produkternes funktionalitet. Det sker dog ikke altid med tilstrækkeligt fokus på beskyttelsen af de borgere, hvis oplysninger bliver brugt. Men hverken funktionaliteten af de løsninger, man gerne vil bruge, leverandørens markedsposition, den standardiserede opbygning eller den blotte anvendelse af et standardprodukt kan begrunde, at man ikke lever op til de regler om databeskyttelse, som man fra politisk hold har besluttet, at vi skal have i Europa," siger Allan Frank.
Hvilke dele af afgørelsen udestår?
På baggrund af kommunernes tilbagemelding den 1. marts 2024 vil Datatilsynet meddele kommunerne, hvilke yderligere konkrete forhold der – ud over de ændringer, der allerede er sket og beskrevet i det fremsendte materiale – skal håndteres inden påbudsfristen den 1. august 2024. Denne delafgørelse afhænger af, hvordan kommunerne vil efterleve påbuddet om behandlingsgrundlaget for de nævnte videregivelser, og derfor er der tale om en trinvis proces.
Vil du vide mere?
Læs selve afgørelsen her.
Læs tidligere afgørelser i sagen her (september 2021 - juli 2022 - august 2022)
Pressehenvendelser kan rettes til kommunikationskonsulent Anders Due på tlf. 29 49 32 83 eller ad@datatilsynet.dk.