Datatilsynet anser att det finns skäl att meddela Helsingörs kommun ett förbud mot att behandla personuppgifter med hjälp av Google Chromebooks och Workspace for Education. Datatilsynet beslutar även att Helsingörs kommun ska avbryta all överföring av personuppgifter till USA tills kommunen kan visa att reglerna i kapitel V i dataskyddsförordningen (GDPR) efterlevs.
Av beslutet framgår att Datatilsynet änge fokuserat på användningen av Chromebooks och Google Workspace (tidigare G Suite for Education) i kommunerna. Användningen är utbredd i hela landet men Datatilsynet har haft ett pågående ärende i Helsingörs kommun. Genom ett beslut i september 2021 ålades bland annat Helsingörs kommun att genomföra en riskbedömning av kommunens behandling av personuppgifter i grundskolan med hjälp av Chromebooks och Workspace.
Datatilsynet har nu utifrån den dokumentation och bedömning av risken för de registrerade som Helsingörs kommun tagit fram konstaterat att behandlingen inte uppfyller kraven i GDPR på flera punkter. Helsingörs kommun har enligt Datatilsynet inte bedömt några konkreta risker i förhållande till upplägget mellan aktuella personuppgiftsbiträden. Vidare anger personuppgiftsbiträdesavtalet enligt Datatilsynet att information kan överföras till tredjeländer i supportsituationer utan nödvändig säkerhetsnivå.
Mot denna bakgrund finner Datatilsynet att det finns grund för att meddela Helsingörs kommun ett förbud mot att behandla personuppgifter med Google Chromebooks och Workspace for Education. Förbudet gäller tills Helsingörs kommun fått behandlingsverksamheten i linje med dataskyddsförordningen, samt utarbetat adekvat dokumentation för detta.
Vidare beslutar Datatilsynet att all överföring av personuppgifter till USA som Helsingörs kommun har instruerat Google Cloud EMEA Limited att utföra som personuppgiftsbiträde åt kommunen avbryts tills Helsingörs kommun kan visa att reglerna i kapitel V i GDPR följs.
Datatilsynet finner slutligen skäl att framföra allvarlig kritik mot att Helsingörs kommuns behandling av personuppgifter inte har skett i enlighet med artiklarna 5.2, 24, 28.1, 35.1, 44 och 46.1 GDPR.