I et svar til Region Syddanmark, præciserede Datatilsynet i denne uge, at budskaberne i Chromebook-sagen også er relevante for andre cloudbaserede tjenester, herunder uden for folkeskolens regi.
Datatilsynet synes at have brugt Chromebook-sagen som et udstillingsvindue for en lang række databeskyttelsesretlige forpligtelser og overvejelser, som alle dataansvarlige skal opfylde, før de iværksætter en behandling af personoplysninger, herunder:
Behandlingen skal kortlægges og kunne dokumenteres
Det skal fastlægges, hvilke typer oplysninger der behandles, om hvem og til hvilke formål
Det skal undersøges, om der bliver videregivet oplysninger til andre
Der skal identificeres et retsgrundlag for alle formål med behandlingen, herunder for eventuelle videregivelser
Der skal foretages en risikovurdering – og i nogle tilfælde en DPIA
Der skal indgås databehandleraftaler med databehandlere
Der skal gives information til de personer, der behandles oplysninger om
Der skal tilvejebringes et grundlag for overførsler til tredjelande
Og meget mere.
Alt dette er ikke overraskende… Men Chromebook-sagen indeholder også et par budskaber, som nogle måske har overset?
Man skal også leve op til GDPR, når man gør brug af standardsystemer.
Umiddelbart forekommer det åbenlyst, men mange overser måske, at standardsystemer og -programmer leveret af de store kendte navne som Google, Microsoft og AWS, m.fl. også behandler personoplysninger.
Chromebook-sagen handler om Chromebooks med apps og browser udleveret til skoleelever, og svaret til Region Syddanmark handler om brug af Microsoft 365 i administrationen, men konklusionerne er gældende for ibrugtagning af principielt alle cloudbaserede tjenester.
Databehandleraftaler vil ofte indeholde bestemmelser om leverandørens brug af data til egne formål. Det er dit ansvar at afdække det – og forholde dig til det.
Det er ikke altid nemt at finde rundt i den righoldige og ofte komplekse dokumentation, der stilles til rådighed – men det er en opgave, der skal løses.
Du skal forholde dig til det, selv om leverandøren oplyser, at der kun indsamles umiddelbart ufarlige metadata, som blot anvendes i aggregeret form.
Når leverandøren bruger oplysninger til egne formål, vil det ofte være en videregivelse fra dig til leverandøren – og du har ansvaret for, at det er lovligt.
Du er nødt til at forstå, hvilke oplysninger leverandøren indsamler og til hvilke formål.
Du skal også identificere det retsgrundlag, der gør videregivelsen lovlig.
Udlevering af en computer med programmer til brug for opgaveløsningen, vil ofte indebære at du videregiver oplysninger til leverandøren om dem der bruger computeren.
Chromebook-sagen handler om Chromebooks udleveret til skoleelever, og svaret til Region Syddanmark handler om brug af Microsoft 365 i administrationen, men konklusionerne gælder også, når man udleverer computer, tablet og mobil til sine medarbejdere.
Det samme gælder, hvis du pålægger medarbejderne at benytte et program til deres opgaveløsning.
Hvad med biler forbundet til internettet? Hvis der er tale om personoplysninger, er kravene de samme.
At identificere en hjemmel til videregivelse er ikke altid lige til.
Offentlige myndigheder kan kun videregive almindelige personoplysninger til leverandøren, hvis det er nødvendigt for de opgaver, myndigheden er pålagt. Det vil kræve en konkret vurdering af det lovgrundlag, der tildeler myndigheden sine opgaver, men i praksis vil videregivelsen formentlig sjældent kunne anses for nødvendig for myndighedens udførelse af en opgave.
I Chromebook-sagen vurderede Datatilsynet folkeskoleloven og fandt, at der var hjemmel til at videregive elevernes oplysninger med henblik på levering af tjenesterne, forbedring af sikkerheden og pålideligheden af tjenesterne, kommunikation med bl.a. kommunerne og overholdelse af retlige forpligtelser, men at der ikke var hjemmel at videregive elevernes oplysninger til vedligeholdelse ogforbedring af leverandørens tjenester, eller til måling af ydeevnen og udvikling af nye funktioner og tjenester.
Datatilsynet har endnu ikke taget stilling til private dataansvarliges videregivelse, herunder baseret på interesseafvejningsreglen.
Det er Bird & Birds vurdering, at der for private dataansvarlige må være et videre rum for videregivelse af oplysninger. Men det afhænger selvfølgelig altid af en konkret vurdering, som efterfølgende skal kunne dokumenteres.
Kontakt os for specialiseret rådgivning
Vores team af databeskyttelsesspecialister kan hjælpe jer med at gennemgå databehandleraftaler og datastrømme, og at vurdere den databeskyttelsesretlige rollefordeling. Vi kan ligeledes bistå med at fortolke den lovgivning der pålægger offentlige myndigheder deres opgaver for at vurdere om, og i hvilket omfang, en sådan lovgivning kan bære, at der videregives til leverandørens egne formål.