Datatilsynet har beslutat det första i en serie fall som rör användning av Google Chromebooks och G Suite for Education (nu kallad Workspace) i grundskolan, efter Helsingør kommuns rapporterade dataintrång den 29 januari 2020.
I Datatilsynets beslut i det specifika fallet om användning av Google Chromebooks i Helsingør kommun står det att folkeskoleloven ger kommunerna rätt att välja vilken IT-utrustning och program som ska användas i undervisningen. Det är kommunens ansvar som personuppgiftsansvarig att se till att IT-utrustningen och programmen används på ett sådant sätt att dataskyddsförordningen (“GDPR”) följs.
I det specifika fallet har Helsingør kommun inte gjort nödvändiga bedömningar av risken för de registrerades rättigheter. Datatilsynet anger i beslutet att för delar av användarskapandet för Chromebook och användningen av G-Suite är det nödvändigt att konfigurera åtkomsten till applikationerna och hur de fungerar för att de ska kunna användas lagligt. Eftersom kommunen inte bedömt detta har kommunen inte heller någon dokumentation om att konfigurationen hade skett på ett sätt som passade riskerna för de registrerade. Datatilsynet anser därför att de saknade bedömningarna lett till flera överträdelser av GDPR. Datatilsynet utfärdade ett föreläggande till Helsingør kommun om att få behandlingen av information i enlighet med förordningen. Om kommunen inte kunde minska risken för behandlingen fick kommunen en begränsning som innebär att kommunen inte får behandla informationen i fråga efter en given tidsfrist.
Dessutom uttryckte Datatilsynet allvarlig kritik mot kommunens behandling av personuppgifter och noterade deras överträdelser av artiklarna 5.1 (a), (c) och (f), 5.2, 6.1, 32.1, 33.1 och 35.1 GDPR. Granskningen gav också Helsingør kommun en varning om att användningen av ytterligare produkter för G-Suite inte kan behandlas lagligt utan en konsekvensbedömning avseende dataskydd, där riskerna med behandlingen reducerades till mindre än en hög risk för de registrerades rättigheter och friheter.