DIU alm. del - svar på spm. 211 om, hvor ansvaret placeres for at føre tilsyn med den aftale, der er indgået mellem KL og Google om brug af Chromebooks

Side 1/3
Besvarelse af spørgsmål nr. 211 (Alm. del) fra Folketingets Udvalg for
Digitalisering og IT
Hermed sendes besvarelse af spørgsmål nr. 211 (Alm. del), som
Folketingets Udvalg for Digitalisering og IT har stillet til justitsministeren
den 4. september 2024. Spørgsmålet er stillet efter ønske fra Lisbeth Bech-
Nielsen (SF).
Peter Hummelgaard
/
Louise Black Mogensen
Folketinget
Udvalget for Digitalisering og It
Christiansborg
1240 København K
DK Danmark
Dato: 2. oktober 2024
Kontor: Databeskyttelseskontoret
Sagsbeh: Signe Hovmøller Ellemose
Sagsnr.: 2024-11353
Dok.: 3421277
Slotsholmsgade 10
1216 København K.
T +45 7226 8400
www.justitsministeriet.dk
jm@jm.dk
Offentligt
DIU Alm.del - endeligt svar på spørgsmål 211
Udvalget for Digitalisering og It 2023-24
Side 2/3
Spørgsmål nr. 211 (Alm. del) fra Folketingets Udvalg for Digitalisering
og IT:
”Hvor placeres ansvaret for at føre tilsyn med den aftale, der er
indgået mellem KL og Google om brug af Chromebooks i
folkeskolerne? I forlængelse heraf bedes ministeren redegøre
for, hvordan der vil blive ført tilsyn med, at delene i aftalen
bliver overholdt og lever op til gældende regler, herunder
GDPR.”
Svar:
Justitsministeriet har til brug for besvarelsen indhentet et bidrag fra
Datatilsynet, der har oplyst følgende:
”Datatilsynet er den uafhængige tilsynsmyndighed, som bl.a.
fører tilsyn med, at reglerne om databeskyttelse bliver
overholdt.
Tilsynet traf bl.a. den 30. januar 2024 afgørelse om 53
kommuners brug af Google Chromebooks. I afgørelsen
vurderede tilsynet, at der ikke var hjemmel til at videregive
personoplysninger til Google til alle de formål, der på det
tidspunkt blev videregivet til. På den baggrund gav Datatilsynet
kommunerne et påbud om at bringe behandlingen af
personoplysninger i overensstemmelse med reglerne senest den
1. august 2024. Efterfølgende blev der mellem KL og Google
indgået en aftale, hvorefter Google fremover afstår fra at
behandle de indsamlede personoplysninger til egne, afledte
formål.
Datatilsynet tilkendegav den 10. juli 2024 i et brev til
Kommunernes Landsforening (KL), der i sagen har ageret
partsrepræsentant for de involverede kommuner, at tilsynet
vurderede, at kommunerne med aftalen opfylder det påbud, som
tilsynet meddelte dem i afgørelsen fra den 30. januar 2024,
eftersom kommunerne ikke længere videregiver
personoplysninger til formål, der ikke er hjemmel til.
I brevet til KL indskærpede Datatilsynet dog samtidig, at
overholdelsen kræver, at alle de berørte kommuner agerer i
overensstemmelse med de forudsætninger og anbefalinger, KL
har anført. Dette betyder, at de berørte kommuner skal afstå fra
at benytte og lukke ned for de tjenester og dele af tjenester, hvor
personoplysninger behandles i tredjelande, hvor der ikke kan
sikres en beskyttelse af de registreredes rettigheder og
Side 3/3
frihedsrettigheder, der er essentiel ækvivalent med den
beskyttelse, der er inden for EU. Dette gælder også for service
og vedligeholdelse af infrastruktur fra leverandørens side, hvor
der kan ske en behandling af de personoplysninger, der
behandles for de dataansvarlige kommuner.
Endvidere indskærpede Datatilsynet, at de berørte kommuner –
som dataansvarlige – til enhver tid forventes at have både
overblik og viden om behandlingsaktiviteterne og vilkårene for
disse. Vilkårene i aftalen der gælder for behandlingen af
personoplysninger hos databehandleren, må ikke underminere
den kontrol over behandlingen, som
databeskyttelsesforordningen forudsætter, at en dataansvarlig
har, ej heller i forhold til den dataansvarliges evne til at kunne
dokumentere, sikre og påvise behandlingens lovlighed.
Datatilsynet anførte yderligere, at ingen forhold, der vedrører
den behandling af persondata, der skal udføres af
databehandleren, må være undergivet vage, uklare eller
hemmeligholdte kontraktsbetingelser eller
behandlingskonditioner, der forhindrer den dataansvarlige i at
foretage vurderingen af databehandlerne efter
databeskyttelsesforordningens artikel 28, stk. 1. Dette betyder
også, at en dataansvarlig for at kunne påvise overholdelse af
reglerne skal kunne suspendere eller stoppe en behandling,
såfremt leverancen eller vilkårene ændres til en tilstand, hvor
forordningen enten ikke overholdes eller kan påvises overholdt.
Dette skal kunne ske inden for de frister, som kontrakten eller
vilkårene for behandlingen giver den dataansvarlige som
rettighed i forholdet til databehandleren.
Endelig tilkendegav Datatilsynet, at en dataansvarlig normalt
ikke vil kunne påvise ansvarlighed efter
databeskyttelsesforordningens artikel 5, stk. 2, jf. artikel 5, stk.
1, litra a, hvis kontrakten og øvrige vilkår for databehandlingen
er så komplicerede, uafklarede, tvetydige eller ugennemsigtige,
at den dataansvarlige ikke kan redegøre over for de registrerede,
hvordan behandlingen sker, af hvem og i hvilke roller.
Alle disse forhold og de spørgsmål omkring
databehandlerkonstruktionen, som stadig udestår efter
afgørelsen af 30. januar 2024, afventer den udtalelse, som
tilsynet har anmodet Det Europæiske Databeskyttelsesråd om.
Når denne foreligger vil Datatilsynet udføre sine opgaver i
overensstemmelse med databeskyttelsesforordningens artikel
57, stk. 1, og benytte de nødvendige undersøgende og
korrigerende beføjelser, der følger af
databeskyttelsesforordningens artikel 58, stk. 1 og 2.”