I ett nytt beslut bekräftar Datailsynet Helsingörs kommuns förbud mot att använda Google Workspace, vilket myndigheten införde i mitten av juli. Beslutet är en följd av en noggrann granskning av det omfattande material som Helsingörs kommun överlämnat till Datailsynet den 1 augusti 2022. Enligt Datailsynet har Helsingörs kommun fortfarande inte dokumenterat att kommunen minskat de höga riskerna för barn i kommunens skolor. Liksom i det tidigare beslutet gäller förbudet endast Helsingörs kommun.
Huvudpunkterna i Datailsynets nya beslut är följande:
- I likhet med Helsingörs kommun anser Datailsynet att flera av behandlingarna innebär en hög risk för de personer som använder Google Workspace.
- Helsingörs kommun anser att alla relevanta risker har identifierats och hanterats, men Datailsynet anser att så inte är fallet. Kommunen har enligt Datailsynet inte bedömt de relevanta risker som framgår av själva avtalet med leverantören och andra offentligt kända riskfrågor i den teknik som valts. Dessutom har de risker som kommunen identifierat inte begränsats i tillräcklig utsträckning.
- Helsingörs kommun har bedömt att Google enbart agerar som personuppgiftsbiträde, men enligt Datailsynets uppfattning agerar Google på flera områden som en självständig personuppgiftsansvarig som behandlar personuppgifter för egna ändamål. Detta grundar sig bland annat på att Google enligt kommunens material själv uppfattar sig som personuppgiftsansvarig på ett antal områden.
- Europeiska datatillsynsmannen (EDPS) konstaterar att det material som Helsingörs kommun tillhandahåller inte uppfyller innehållskraven för en konsekvensbedömning. Kommunen har till exempel inte bedömt de relevanta riskerna, inte ens för den beskrivna behandlingen, och har endast delvis beskrivit de nödvändiga säkerhetsåtgärderna.
- Datailsynet har inte kunnat konstatera att dataskyddsombudet i Helsingörs kommun angett att han har några kommentarer till konsekvensbedömningen.
Sammanfattningsvis anser Datailsynet att Helsingörs kommun inte kan minska risken till en godtagbar nivå utan att ändra avtalsunderlaget och den teknik som kommunen valt.
Om Helsingörs kommun vill använda Google Workspace i skolor i framtiden bör kommunen enligt Datailsynet samarbeta med sina leverantörer för att ta itu med de relevanta riskerna för barns personuppgifter, inklusive de risker som Datailsynet identifierat i de tre besluten, och utarbeta en konsekvensbedömning. Om kommunen inser att det inte är fullt möjligt att minska en hög risk, ger dataskyddsförordningen en möjlighet att samarbeta med dataskyddsmyndigheten för att utarbeta en plan för legalisering.
Datailsynet föreslår att kommunen och myndigheten träffas så snart som möjligt för att diskutera nästa steg mer ingående, så att elever och lärare kan återgå till det normala livet så snart som möjligt på ett ansvarsfullt sätt.
Även om beslutet specifikt gäller behandlingen av personuppgifter i Helsingörs kommun uppmanar Datailsynet andra kommuner med liknande omständigheter att titta på samma områden som i detta fall, särskilt när det gäller obehörigt utlämnande och överföring till osäkra tredje länder. Här gäller det att bedöma om det finns liknande problem i de enskilda kommunerna och i så fall samarbeta med leverantörerna för att få kontroll över bearbetningen så att utrustningen kan användas i enlighet med reglerna.
Enligt dataskyddsförordningen är varje kommun personuppgiftsansvarig. Datailsynet efterlyser dock en kollektiv insats, så att kommunerna går samman för att lösa problemen. Många av situationerna kommer att vara jämförbara eller liknande.
Även om kommunerna är personuppgiftsansvariga finns det också en viktig uppgift för de leverantörer som kommunerna valt. De måste hjälpa till att dokumentera användningen och ändra villkoren och tekniken vid behov. Detta gäller för leverantörer i allmänhet, men i det här fallet har Datailsynet också haft en dialog med Google och har direkt uppmanat företaget att spela en aktiv roll för att hitta lösningar som minskar risken för barn.