Danmark: Datatilsynet uttrycker kritik mot Helsingørs kommun användning av Google Chromebooks och G Suite for Education

Datatilsynet har beslutat det första i en serie fall som rör användning av Google Chromebooks och G Suite for Education (nu kallad Workspace) i grundskolan, efter Helsingør kommuns rapporterade dataintrång den 29 januari 2020.

I Datatilsynets beslut i det specifika fallet om användning av Google Chromebooks i Helsingør kommun står det att folkeskoleloven ger kommunerna rätt att välja vilken IT-utrustning och program som ska användas i undervisningen. Det är kommunens ansvar som personuppgiftsansvarig att se till att IT-utrustningen och programmen används på ett sådant sätt att dataskyddsförordningen (“GDPR”) följs.

I det specifika fallet har Helsingør kommun inte gjort nödvändiga bedömningar av risken för de registrerades rättigheter. Datatilsynet anger i beslutet att för delar av användarskapandet för Chromebook och användningen av G-Suite är det nödvändigt att konfigurera åtkomsten till applikationerna och hur de fungerar för att de ska kunna användas lagligt. Eftersom kommunen inte bedömt detta har kommunen inte heller någon dokumentation om att konfigurationen hade skett på ett sätt som passade riskerna för de registrerade. Datatilsynet anser därför att de saknade bedömningarna lett till flera överträdelser av GDPR. Datatilsynet utfärdade ett föreläggande till Helsingør kommun om att få behandlingen av information i enlighet med förordningen. Om kommunen inte kunde minska risken för behandlingen fick kommunen en begränsning som innebär att kommunen inte får behandla informationen i fråga efter en given tidsfrist.

Dessutom uttryckte Datatilsynet allvarlig kritik mot kommunens behandling av personuppgifter och noterade deras överträdelser av artiklarna 5.1 (a), (c) och (f), 5.2, 6.1, 32.1, 33.1 och 35.1 GDPR. Granskningen gav också Helsingør kommun en varning om att användningen av ytterligare produkter för G-Suite inte kan behandlas lagligt utan en konsekvensbedömning avseende dataskydd, där riskerna med behandlingen reducerades till mindre än en hög risk för de registrerades rättigheter och friheter.

Mer information

Myndighet: Datatilsynet

Land: Danmark

Lagrum: Art. 5 GDPR, art. 6 GDPR, art. 32 GDPR, art. 33 GDPR, art. 35 GDPR

Sanktionsavgift: N/A

Mottagare: Helsingør kommun

Beslutsnummer: 2020-431-0061

Beslutsdatum: 2021-09-10

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

14 MAR

NIS 2-direktivet – Cybersäkerhet i praktiken

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

21 MAR

Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och hur du kan använda AI-system på ett lagenligt sätt.

11 APR

Introduktion till Cyber Resilience Act

En genomgång av Cyber Resilience Act och hur du kan tillverka, distribuera och sälja produkter med digitala element på ett lagenligt sätt.