Danmark: Helsingörs kommun får inte behandla personuppgifter med hjälp av Google Chromebooks och Workspace for Education

Datatilsynet anser att det finns skäl att meddela Helsingörs kommun ett förbud mot att behandla personuppgifter med hjälp av Google Chromebooks och Workspace for Education. Datatilsynet beslutar även att Helsingörs kommun ska avbryta all överföring av personuppgifter till USA tills kommunen kan visa att reglerna i kapitel V i dataskyddsförordningen (GDPR) efterlevs.

Av beslutet framgår att Datatilsynet änge fokuserat på användningen av Chromebooks och Google Workspace (tidigare G Suite for Education) i kommunerna. Användningen är utbredd i hela landet men Datatilsynet har haft ett pågående ärende i Helsingörs kommun. Genom ett beslut i september 2021 ålades bland annat Helsingörs kommun att genomföra en riskbedömning av kommunens behandling av personuppgifter i grundskolan med hjälp av Chromebooks och Workspace. 

Datatilsynet har nu utifrån den dokumentation och bedömning av risken för de registrerade som Helsingörs kommun tagit fram konstaterat att behandlingen inte uppfyller kraven i GDPR på flera punkter. Helsingörs kommun har enligt Datatilsynet inte bedömt några konkreta risker i förhållande till upplägget mellan aktuella personuppgiftsbiträden. Vidare anger personuppgiftsbiträdesavtalet enligt Datatilsynet att information kan överföras till tredjeländer i supportsituationer utan nödvändig säkerhetsnivå.

Mot denna bakgrund finner Datatilsynet att det finns grund för att meddela Helsingörs kommun ett förbud mot att behandla personuppgifter med Google Chromebooks och Workspace for Education. Förbudet gäller tills Helsingörs kommun fått behandlingsverksamheten i linje med dataskyddsförordningen, samt utarbetat adekvat dokumentation för detta.

Vidare beslutar Datatilsynet att all överföring av personuppgifter till USA som Helsingörs kommun har instruerat Google Cloud EMEA Limited att utföra som personuppgiftsbiträde åt kommunen avbryts tills Helsingörs kommun kan visa att reglerna i kapitel V i GDPR följs.

Datatilsynet finner slutligen skäl att framföra allvarlig kritik mot att Helsingörs kommuns behandling av personuppgifter inte har skett i enlighet med artiklarna 5.2, 24, 28.1, 35.1, 44 och 46.1 GDPR.

Mer information

Myndighet: Datatilsynet

Land: Danmark

Lagrum: Art. 5 GDPR, art. 24 GDPR, art. 28 GDPR, art. 35 GDPR, art. 44 GDPR, art. 46 GDPR

Sanktionsavgift: N/A

Mottagare: Helsingörs kommun

Beslutsnummer: 2020-431-0061

Beslutsdatum: 2022-07-14

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

03 OKT

Artificiell intelligens & personuppgifter

En genomgång av de viktigaste reglerna för artificiell intelligens ur ett dataskyddsperspektiv.

05 OKT

NIS 2-direktivet – Cybersäkerhet i praktiken

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

07 MAR

Molntjänster & tredjelandsöverföringar

En genomgång av de viktigaste reglerna för tredjelandsöverföringar vid användning av molntjänster enligt GDPR.