Retsudvalget 2023-24
REU Alm.del Bilag 116
Offentligt
2817022_0001.png
KL
Weidekampsgade 10
2300 København S
Danmark
Sendt med Digital Post
30. januar 2024
J.nr. 2023-431-0001
Dok.nr. 511645
Sagsbehandler
Makar Holst-Andersen
Brug af Google Chromebooks og Workspace for Education
Datatilsynet vender hermed tilbage til sagen, hvor tilsynet den 14. juli 2022 meddelte Helsingør
Kommune forbud mod at behandle personoplysninger ved brug af Google Chromebooks og
Workspace for Education. Datatilsynet fastholdt dette forbud ved afgørelse af 18. august 2022.
På baggrund af en efterfølgende dialog med Helsingør kommune, hvor kommunen identifice-
rede en række forhold, hvor brugen af Google Chromebooks og Workspace for Education
enten ikke havde været lovlig, eller hvor risikoen for de registrerede ikke var blevet tilstrække-
ligt identificeret og nedbragt, suspenderede Datatilsynet ovennævnte forbud ved afgørelse af
8. september 2022. Datatilsynet meddelte samtidig Helsingør kommune fire påbud.
Efterfølgende meddelte Datatilsynet i perioden frem til 24. oktober 2022 også samme fire på-
bud til følgende 52 andre kommuner:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
Albertslund Kommune
Allerød Kommune
Ballerup Kommune
Dragør Kommune
Egedal Kommune
Fanø Kommune
Favrskov Kommune
Faxe Kommune
Fredericia Kommune
Faaborg-Midtfyn Kommune
Glostrup Kommune
Greve Kommune
Gribskov Kommune
Haderslev Kommune
Hedensted Kommune
Herlev Kommune
Hjørring Kommune
Holbæk Kommune
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
Horsens Kommune
Hvidovre Kommune
Hørsholm Kommune
Ishøj Kommune
Jammerbugt Kommune
Langeland Kommune
Læsø Kommune
Mariagerfjord Kommune
Middelfart Kommune
Nordfyn Kommune
Næstved Kommune
Odder Kommune
Odense Kommune
Odsherred Kommune
Randers Kommune
Rebild Kommune
Samsø Kommune
Silkeborg Kommune
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
Slagelse Kommune
Solrød Kommune
Sorø Kommune
Svendborg Kommune
Syddjurs Kommune
Thisted Kommune
Tønder Kommune
Tårnby Kommune
Vejen Kommune
Vejle Kommune
Vesthimmerland Kommune
Vordingborg Kommune
Ærø Kommune
Aalborg Kommune
Aarhus Kommune
Brøndby Kommune
Datatilsynet
Carl Jacobsens Vej 35
2500 Valby
T 3319 3200
[email protected]
datatilsynet.dk
CVR 11883729
KL meddelte herefter Datatilsynet den 12. september 2023, at KL og KOMBIT repræsenterer
Helsingør og de 52 andre ovennævnte kommuner i den videre behandling af sagerne ved
tilsynet.
REU, Alm.del - 2023-24 - Bilag 116: Notat af 30/1-24 fra Datatilsynet om Datatilsynets afgørelse om brugen af Google Workspace i folkeskolen
1. Afgørelse
Efter en gennemgang af det materiale, som KL på vegne af de 53 kommuner senest har frem-
sendt den 30. juni 2023, finder Datatilsynet – henset til sagens omfang og kompleksitet –
grundlag for i første omgang at træffe afgørelse for så vidt angår spørgsmålet om kommuner-
nes videregivelse af personoplysninger til Google Ltd.
Datatilsynet finder i den forbindelse, at der ikke er grundlag for at tilsidesætte kommunernes
vurdering af, at det som led i kommunernes valg af undervisnings- og læringsmidler i folkesko-
len er nødvendigt at behandle og videregive personoplysninger til Google som led i brugen af
Google Chromebooks og Workspace for Education til brug for (i) levering af og (ii) forbedring
af sikkerheden og pålideligheden af de omhandlede tjenester mv. (”de oprindelige formål”), jf.
databeskyttelsesforordningens artikel 6, stk. 1, litra e, jf. artikel 6, stk. 3, og folkeskolelovens §
2, stk. 1, og § 18, stk. 1. Det omfatter bl.a. behandling af personoplysninger med henblik på
levering af tjenesterne, forbedring af sikkerheden og pålideligheden af tjenesterne, kommuni-
kation med bl.a. kommunerne og overholdelse af retlige forpligtelser.
Det er imidlertid Datatilsynets vurdering, at kommunerne ikke inden for rammerne af folkesko-
lelovens § 2, stk. 1, og § 18, stk. 1, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra e,
kan behandle og videregive personoplysninger om skoleelever til Google som led i brugen af
Google Chromebooks og Workspace for Education til brug for (i) vedligeholdelse og forbedring
af Google Workspace for Education-tjenesten, Chrome OS samt Chrome-browseren, (ii) må-
ling af ydeevnen af Chrome OS og Chrome-browseren samt (iii) udvikling af nye funktioner og
tjenester i Chrome OS og Chrome-browseren (”de afledte formål”).
På den baggrund finder Datatilsynet, at der er grundlag for at meddele kommunerne
påbud
om at bringe kommunernes behandling af personoplysninger i form af videregivelse af person-
oplysninger til Google i overensstemmelse med databeskyttelsesforordningens artikel 5, stk.
1, litra a, og artikel 6, stk.1, samt at kunne påvise dette, jf. forordningens artikel 5, stk. 2.
Det kan ske f.eks. ved:
(a) at kommunerne ophører med at videregive personoplysninger til Google til de om-
handlede formål, hvilket sandsynligvis forudsætter, at Google udvikler en teknisk mu-
lighed for, at de pågældende datastrømme afskæres,
(b) at Google afstår fra at behandle oplysninger til disse formål, eller
(c) at der fra Folketingets side tilvejebringes et tilstrækkeligt klart retsgrundlag for den
pågældende behandling.
Datatilsynet anmoder i første omgang kommunerne om at tilkendegive, hvordan kommunerne
agter at efterleve det ovennævnte påbud. Datatilsynet skal anmode om at modtage denne
tilkendegivelse senest
den 1. marts 2024.
Fristen for efterlevelse af påbuddet i øvrigt er
den 1. august 2024.
Datatilsynet skal anmode
om senest samme dato at modtage en bekræftelse på, at påbuddet er efterlevet. Påbuddet
meddeles i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d.
Ifølge databeskyttelseslovens § 41, stk. 2, nr. 4, straffes med bøde eller fængsel i op til 6
måneder den, der undlader at efterkomme et påbud meddelt af Datatilsynet i medfør af data-
beskyttelsesforordningens artikel 58, stk. 2, litra d.
Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgø-
relse.
Side 2 af 21
REU, Alm.del - 2023-24 - Bilag 116: Notat af 30/1-24 fra Datatilsynet om Datatilsynets afgørelse om brugen af Google Workspace i folkeskolen
2. Sagsfremstilling
I perioden 8. september til 24. oktober 2022 har Datatilsynet meddelt 53 kommuner følgende
påbud vedrørende kommunernes brug af Google Chromebooks og Workspace for Education:
”Datatilsynet meddeler […] Kommune et påbud om at få ændret den indgående aftale med
databehandleren på en sådan måde, at de forhold, der er nævnt i tilsynets afgørelser af
14. juli og 18. august 2022, i forhold til Helsingør Kommune, samt det materiale, […] Kom-
mune har fremsendt den […] 2022, og som hidrører fra det samlede aftalegrundlag med
leverandøren, bringes i overensstemmelse med databeskyttelsesforordningen. Dette in-
kluderer som minimum en tydeliggørelse af de steder, hvor ”databehandleren” agerer som
selvstændig dataansvarlig, samt til hvilke formål, de supportsituationer, som kommunen
ikke længere benytter, og uklarheder i [kontraktteksten], der skaber usikkerhed om data-
behandlerens ageren ud over reglen i databeskyttelsesforordningens artikel 28, stk. 3, litra
a. Herudover skal alle tilsigtede overførsler til usikre tredjelande dokumenterbart over-
holde databeskyttelsesforordningen.
Datatilsynet meddeler yderligere […] Kommune et påbud om at beskrive de datastrømme,
der finder sted, og identificere de persondata, der videregives til leverandøren, og gør
klart, hvornår denne agerer som selvstændig eller delt dataansvarlig. Dokumentationen
skal omfatte hele den teknologistak, […] Kommune bruger til behandlingen.
Datatilsynet påbyder yderligere […] Kommune at udfærdige en opdateret konsekvensana-
lyse baseret på alle de risici, som kommunen under dokumentationsprocessen har identi-
ficeret, såfremt det viser sig, at der – udover de, der nu er anmodet om artikel 36-proce-
dure for – er yderligere høje, ikke mitigerbare høje risici, omfatter påbuddet også høring
af Datatilsynet efter artikel 36.
Endelig påbyder Datatilsynet […] Kommune at fremlægge en endelig tidsfæstet plan for
lovliggørelse af eventuelle behandlinger, der ikke har kunnet lovliggøres inden fristen for
påbuddene, der er fastsat til den 3. november 2022. Datatilsynet forventer at modtage
dokumentation for påbuddenes overholdelse inden den fastsatte dato.”
Side 3 af 21
KL meddelte den 12. september 2023 Datatilsynet, at KL og KOMBIT repræsenterer de oven-
nævnte kommuner i den videre behandling af sagerne ved tilsynet og derfor ville fremkomme
med en fælles besvarelse på vegne af alle berørte kommuner.
KL fremsendte herefter den 3. november 2022 dokumentation for efterlevelse af Datatilsynets
påbud til de 53 kommuner. KL fremsendte den 4. november 2022 supplerende materiale hertil.
Datatilsynet meddelte den 4. november 2022 KL og de berørte kommuner, at tilsynets forbud
af 18. august 2022 blev suspenderet, indtil sagsbehandlingen af det modtagne materiale var
færdig. Datatilsynet oplyste i den forbindelse, at tilsynet forventede at færdiggøre sagsbehand-
lingen inden udgangen af 2022.
I den efterfølgende periode blev KL opmærksom på, at der efter KL’s opfattelse var behov for
at uddybe og ændre dele af materialet, for at kommunerne i højere grad kunne efterleve Da-
tatilsynets påbud. KL anmodede derfor den 2. december 2022 Datatilsynet om at afvente dette
yderligere materiale.
Datatilsynet imødekom KL’s anmodning og fastsatte en frist til den 23. januar 2023 til at frem-
sende dette yderligere materiale.
KL sendte den 23. januar 2023 dette yderligere materiale. På baggrund af et møde mellem
Datatilsynet og KL, Aarhus Kommune og KOMBIT om materialet fandt KL, at der var behov
for at uddybe det indsendte materiale. KL anmodede derfor den 23. marts 2023 Datatilsynet
om at afvente denne uddybning.
KL oplyste den 16. juni 2023 foranlediget af en rykker fra Datatilsynet af samme dato, at KL
forventede at sende det uddybende materiale inden udgangen af juni 2023.
REU, Alm.del - 2023-24 - Bilag 116: Notat af 30/1-24 fra Datatilsynet om Datatilsynets afgørelse om brugen af Google Workspace i folkeskolen
Datatilsynet modtog den 30. juni 2023 en samlet besvarelse med 32 bilag fra KL, der samtidig
oplyste, at dokumentsamlingen udgjorde de berørte kommuners dokumentation for efterle-
velse af Datatilsynets påbud.
KL’s besvarelse af 30. juni 2023 med bilag udgør sammen med ovenstående en samlet sags-
fremstilling. KL’s besvarelse af 30. juni 2023 samt bilag 16 og 26 hertil vedlægges som bilag
til denne afgørelse.
Side 4 af 21
3. Generelle bemærkninger
Datatilsynet anerkender først og fremmest det store arbejde, som kommunerne som de data-
ansvarlige har udført med henblik på at efterleve Datatilsynets påbud. Der foreligger nu en
fyldestgørende beskrivelse af, hvilke data der bliver behandlet, af hvem og i hvilken rolle. Kom-
munernes arbejde har også medført ændringer i de tjenester, som kommunerne benytter, og
de kontraktvilkår, som tjenesterne leveres under.
Datatilsynet indskærper dog, at dette arbejde skulle have været udført, inden Google Chrome-
books og Workspace for Education blev taget i brug. Kommunernes behandling af personop-
lysninger inden dette arbejde er derfor, som Datatilsynet tidligere har truffet afgørelse om, sket
i strid med flere bestemmelser i databeskyttelsesforordningen.
Hvor flere dataansvarlige benytter samme systemer og udfører tilnærmelsesvis de samme
behandlinger af personoplysninger, er der efter Datatilsynets opfattelse en væsentlig synergi
i at lave fælles vurderinger omkring risikomomenter, eventuelle konsekvensanalyser og miti-
gerende foranstaltninger.
Herudover skal Datatilsynet opfordre til, at der i sammenslutninger og organer, der repræsen-
terer kategorier af dataansvarlige, udarbejdes adfærdskodeks i overensstemmelse med data-
beskyttelsesforordningens artikel 40 med henblik at specificere databeskyttelsesforordningens
anvendelse.
En adfærdskodeks kan give korrekte og praktiske anvisninger på, hvordan man i forbindelse
med en eller flere behandlingsaktiviteter skal indrette sig for at efterleve databeskyttelsesreg-
lerne. Det kan f.eks. være ved at fastlægge procedurer, som skal følges ved en bestemt be-
handlingsaktivitet. En adfærdskodeks vil derfor være et nyttigt redskab til at hjælpe med at
overholde databeskyttelsesreglerne for de myndigheder, der har tilsluttet sig kodeksen.
Mens tilslutningen til og overholdelsen af en adfærdskodeks gør det lettere at overholde data-
beskyttelsesreglerne, fritager den ikke de enkelte kommuner fra de pligter og opgaver, der
påhviler dem som dataansvarlige. Dette er særlig væsentligt i de situationer, hvor den dataan-
svarlige vælger at afvige fra forudsætningerne i de fælles koncepter og behandlinger, f.eks.
ved anvendelse af et system til andre formål.
3.1. Om lovlig behandling af personoplysninger
Princippet om lovlighed i forvaltningen (legalitetsprincippet) indebærer, at en offentlig myndig-
heds afgørelser og forvaltning i øvrigt skal have støtte i lov eller andet retsgrundlag.
Når det gælder databeskyttelsesreglerne, indebærer dette princip, at offentlige myndigheder
– foruden at sikre, at myndighedernes egen opgaveløsning sker i overensstemmelse med da-
tabeskyttelsesreglerne – også skal sikre, at de it-løsninger, som myndighederne beslutter at
bruge til at understøtte myndighedernes opgaveløsning, ligger inden for rammerne af de da-
tabeskyttelsesretlige regler.
REU, Alm.del - 2023-24 - Bilag 116: Notat af 30/1-24 fra Datatilsynet om Datatilsynets afgørelse om brugen af Google Workspace i folkeskolen
2817022_0005.png
Offentlige myndigheder skal derfor sikre sig og træffe foranstaltninger med henblik på, at myn-
dighederne ikke designer, udvikler eller anskaffer og tager løsninger i brug, som ikke overhol-
der databeskyttelsesreglerne. Det kan bl.a. ske ved, at myndigheder i deres anskaffelsespro-
cedurer og projektmodeller fastsætter relevante krav, der sikrer anskaffelse eller udvikling af
løsninger i overensstemmelse med databeskyttelsesreglerne. Omfanget af disse krav kan ef-
ter Datatilsynets opfattelse variere under hensyntagen til karakteren, omfanget og formålet
med den behandlingsaktivitet, som løsningen skal understøtte, samt de risici for borgerne, der
kan være forbundet med brug af løsningen. Under alle omstændigheder skal disse krav bestå
af mere end blot et enkelt krav til leverandøren om, at løsningen skal overholde databeskyttel-
sesreglerne. Kravene kan f.eks. afspejle de foranstaltninger, som myndigheden har vurderet,
at det er nødvendigt at træffe på baggrund af sin risikovurdering eller konsekvensanalyse for
at sikre løsningens lovlighed.
Endelig bemærker Datatilsynet, at funktionaliteten af de løsninger, der ønskes anvendt, eller
markedspositionen af den leverandør, der ønskes valgt, ikke kan begrunde en manglende
overholdelse af databeskyttelsesreglerne. En standardiseret opbygning af løsningerne eller
den blotte anvendelse af et standardprodukt kan ligeledes ikke begrunde en manglende over-
holdelse af databeskyttelsesreglerne.
Side 5 af 21
4. Begrundelse for Datatilsynets afgørelse
4.1. Kortlægning af datastrømme og rollefordeling mellem kommunerne og Google
4.1.1. Rollefordeling
En konsekvensanalyse vedrørende databeskyttelse skal, jf. databeskyttelsesforordningens ar-
tikel 35, stk. 7, mindst indeholde bl.a. en systematisk beskrivelse af de planlagte behandlings-
aktiviteter og formålene med behandlingen.
Det er en grundlæggende forudsætning for at vurdere og dokumentere sin overholdelse af
databeskyttelsesreglerne, at man har kendskab til og kan beskrive, hvilke oplysninger man
behandler, til hvilke(t) formål og i hvilken rolle.
På baggrund af Datatilsynets påbud har KL i samarbejde med Google kortlagt, hvilke roller
henholdsvis kommunerne og Google har ved kommunernes brug af Google Chromebooks og
Workspace for Education, samt hvilke personoplysninger der behandles, af hvem og til
hvilke(t) formål.
Overordnet er kommunerne den dataansvarlige for behandling af personoplysninger ved kom-
munernes brug af Google Chromebooks og Workspace for Education. KL har derudover op-
lyst, at Googles rolle på tværs af teknologistakken er følgende:
Dataansvarlig
Teknologistakken
Service
Data
Customer
Personal
Data
Chrome OS
Chrome browser
Chrome EDU Upgrade
Workspace for Education (incl. Chrome Sync)
Ja
Ja
Ja
Ja
Ja
Ja
Nej
Nej
Nej
Nej
Nej
Nej
Databehandler
Service
Data
Customer
Personal
Data
Nej
Nej
Ja
Ja
REU, Alm.del - 2023-24 - Bilag 116: Notat af 30/1-24 fra Datatilsynet om Datatilsynets afgørelse om brugen af Google Workspace i folkeskolen
2817022_0006.png
KL har således oplyst, at Google er dataansvarlig for enhver behandling af personoplysninger,
der sker som led i brug af Chrome OS og Chrome-browseren, og at Google ikke er databe-
handler for kommunerne i den forbindelse.
Endvidere har KL oplyst, at Google er dataansvarlig for behandling af
Service Data
i Chrome
EDU Upgrade og Workspace for Education, og at Googles behandling af
Customer Data
i
disse to produkter sker som databehandler for kommunerne.
En beskrivelse af de behandlingsaktiviteter, som Google er dataansvarlig for, fremgår af bilag
26 til KL’s besvarelse (vedlagt). Kortlægningen indeholder også en nærmere beskrivelse af de
specifikke oplysninger, der behandles, og af de konkrete formål med behandlingen.
Datatilsynet forstår, at
Customer Data
overordnet set omfatter indholdsdata, f.eks. dokumen-
ter, der håndteres i Workspace mv., mens
Service Data
primært omfatter udledte diagnostiske
data om f.eks. skoleelevers brug af produkterne.
4.1.2. Aftalegrundlag
Kommunernes brug af Chromebooks og Workspace for Education er reguleret af to aftaler
med Google. Det drejer sig om
Google Workspace for Education Terms of Service
(dateret
26. september 2023) og
Chrome Online Agreement
(dateret 7. april 2022).
Aftalerne omfatter produkterne Workspace for Education
1
og Chrome EDU Upgrade
2
, som
fremgår af ovenstående oversigt over teknologistakken.
Aftalen
Google Workspace for Education Terms of Services
henviser derudover bl.a. til
Cloud
Data Processing Addendum
(dateret 26. september 2023), som dermed udgør databehand-
leraftalen for så vidt angår produktet Workspace for Education.
Derudover henviser aftalen
Chrome Online Agreement
bl.a. til
Data Processing Amendment
to Chrome Agreements
(dateret 16. februar 2023), som udgør databehandleraftalen for pro-
duktet Chrome EDU Upgrade.
I begge aftalesæt har
Customer Data
og
Customer Personal Data
specifikke betydninger.
Service Data,
der behandles som led i brug af Workspace for Education og Chrome EDU
Upgrade, er nærmere defineret i
Google Cloud Privacy Notice
(dateret 21. august 2023) og er
ikke omfattet af kommunernes aftale med Google, men behandles af Google som den data-
ansvarlige.
Kommunernes brug af Chrome OS og Chrome browseren, jf. nærmere nedenfor, er ligeledes
ikke reguleret af aftaler mellem kommunerne og Google.
I stedet reguleres brugen af Chrome OS ifølge Google af Googles generelle tjenestevilkår
3
og
privatlivspolitik
4
. Tjenestevilkårene indgås ikke med kommunerne, men med den enkelte slut-
bruger, som i dette tilfælde er skoleelever (og disses forældre).
Tilsvarende fremgår følgende af bilag 26, s. 3 nederst:
Side 6 af 21
1
2
3
4
Se definitionen af
Services
i pkt. 15.19 i
Google Workspace for Education Terms of Service
Se definitionen af
Chrome Services
i pkt. 15 i Chrome Online Agreement.
Google Terms of Service (dateret 5. januar 2022):
https://policies.google.com/terms
Google Privacy Policy (dateret 4. oktober 2023):
https://policies.google.com/privacy
REU, Alm.del - 2023-24 - Bilag 116: Notat af 30/1-24 fra Datatilsynet om Datatilsynets afgørelse om brugen af Google Workspace i folkeskolen
2817022_0007.png
“Today, Google acts as a data controller when providing ChromeOS and Chrome browser,
for both Customer Data and Service Data. As part of providing Chrome services, Google
processes personal identifiers relating to devices or end users of Chrome, which are only
used for the purposes set forth in the Google Privacy Policy.”
Side 7 af 21
På den baggrund – og på baggrund af den rollefordeling mellem kommunerne og Google, som
KL har oplyst – lægger Datatilsynet til grund, at brugen af Chrome browseren heller ikke er
reguleret af en aftale mellem kommunerne og Google, men i stedet reguleres af Googles ge-
nerelle tjenestevilkår og privatlivspolitik, som det også er tilfældet for Chrome OS.
4.1.3. Formålene med behandling af personoplysninger
KL har i forbindelse med sin dialog med Google fundet det nødvendigt, at aftalegrundlaget
med Google præciseres med hensyn til de formål, som Google behandler oplysningerne. Som
en del af besvarelsen af 30. juni 2023 har KL fremsendt udkast til kontrakttillæg, som præci-
serer bl.a. hvilke formål Google må behandle oplysningerne til.
For Workspace for Education vil Google herefter behandle
Customer Data
som databehandler
for kommunerne til at levere tjenesten og support (efter anmodning fra kommunerne). Google
har derudover præciseret, at
Customer Data
ikke vil blive behandlet i markedsføringsøjemed
eller til forbedring af Googles produkter og tjenester, herunder også Workspace for Education.
Google har endvidere forpligtet sig til kun at behandle
Service Data,
der genereres ved brug
af Workspace for Education, som dataansvarlig til at forbedre og optimere ydelsen, pålidelig-
heden, kernefunktionaliteten, tilgængeligheden, databeskyttelsen, sikkerheden og effektivite-
ten af it-infrastrukturen af (a) Google Workspace for Education og support hertil, samt (b)
Google Cloud, Google Cloud Marketplace og Google Workspace Marketplace tjenester, for-
udsat at kommunerne bruger sådanne tjenester. Google vil ikke behandle
Service Data
til at
forbedre eller optimere andre Google produkter eller tjenester.
For Chrome EDU Upgrade vil Google behandle
Customer Personal Data
til:
(a) to provide, secure, and monitor the Services and any TSS requested by Customer; (b)
to support Customer’s and its End Users’ secure and compliant use of the Services; (c) as
described in this Data Processing Amendment, including Sections 10 (Data Transfers) and
11 (Subprocessors); (d) as described in Section 7 (Confidentiality; Legal Process) of the
Agreement, provided that any disclosure by Google or any Subprocessor with its address
in the EEA complies with European Data Protection Law; and (e) as further specified via
(i) Customer’s compliant use of the Services (including the Admin Console and other Ser-
vices functionality) and any TSS requested by Customer, and (ii) any other written instruc-
tions given by Customer and acknowledged by Google as constituting instructions under
this Addendum”
KL har derudover oplyst, at
Service Data,
der behandles som led i Chrome EDU Upgrade, er
en delmængde af de
Service Data,
der behandles som led i Chrome browseren.
Endvidere har KL oplyst, at Google er dataansvarlig for behandling af alle personoplysninger,
uanset om oplysningerne karakteriseres som
Service Data
eller
Customer Personal Data,
som
led i brugen af Chrome OS og Chrome browseren.
Formålene med Googles behandling af
Service Data
i Chrome EDU Upgrade, og alle øvrige
personoplysninger i Chrome OS og Chrome browseren fremgår af Googles privatlivspolitik
5
.
Sammenfattende har KL oplyst, at Google behandler personoplysninger, som virksomheden
er selvstændigt dataansvarlig for, på tværs af teknologistakken til følgende formål:
5
Google Privacy Policy (dateret 4. oktober 2023):
https://policies.google.com/privacy
REU, Alm.del - 2023-24 - Bilag 116: Notat af 30/1-24 fra Datatilsynet om Datatilsynets afgørelse om brugen af Google Workspace i folkeskolen
2817022_0008.png
Side 8 af 21
Tjeneste
Workspace
for Education
Oprindelige formål
Levere cloudtjenester kommunerne anmoder om
Give anbefalinger om optimering af brug af cloud-
tjenesterne
Bistå kommunerne
Beskytte kommunerne, Googles brugere, kunder,
offentligheden og Google
Overholde retlige forpligtelser
Afledte formål
Vedligeholde og forbedre
cloudtjenester
Levere og forbedre andre tje-
nester, som kommunerne
anmoder om
Chrome OS
Levere Googles tjenester
Forbedre sikkerheden og pålideligheden af tjene-
ster
Kommunikere med kunder
Levere personaliserede tjenester (Google Sync)
6
Overholde retlige forpligtelser
Vedligeholde og forbedre
Googles services
Måle ydelse
Udvikle nye features og tje-
nester
Chrome
browseren
Levere Googles tjenester
Forbedre sikkerheden og pålideligheden af tjene-
ster
Kommunikere med kunder
Levere personaliserede tjenester (Google Sync)
7
Overholde retlige forpligtelser
Vedligeholde og forbedre
Googles tjenester
Måle ydelse
Udvikle nye features og tje-
nester
Endelig har KL nærmere beskrevet de ovennævnte formål, og hvordan personoplysninger be-
handles som led i de disse formål. Det fremgår af bilag 26 til KL’s besvarelse (vedlagt).
4.1.4. Datatilsynets vurdering
Efter en gennemgang af KL’s besvarelse finder Datatilsynet, at kommunerne har beskrevet,
hvilke personoplysninger der behandles som led i brugen i kommunernes brug af Chrome-
books Workspace for Education, samt hvilke roller kommunerne og Google har ved behand-
lingen af oplysningerne. Beskrivelsen omfatter hele teknologistakken.
Datatilsynet anser herefter tilsynets påbud om at beskrive de datastrømme, der finder sted, og
beskrive hvilke personoplysninger der videregives til Google som efterlevet.
Datatilsynet bemærker dog, at beskrivelsen af datastrømmene og aftalegrundlaget, der regu-
lerer kommunernes brug af Chromebooks og Workspace for Education, er komplekst. Det in-
debærer efter tilsynets opfattelse i sig selv en risiko for en manglende overholdelse af databe-
skyttelsesreglerne. Det skyldes, at selv mindre ændringer i teknologistakken eller aftalegrund-
laget kan indebære konsekvensændringer, som kommunerne kan overse.
6 Google har oplyst, at levering af personaliserede tjenester “is a purpose under the Google Privacy Policy that applies to
processing via Chrome Sync, except when the customer uses that service as part of Workspace for Education (in which case,
the Google Privacy Policy, including this purpose, will not apply to that processing, and the Google Cloud Privacy Notice will
apply instead). As we understand that all of the relevant Danish municipalities will use Chrome Sync as part of Workspace for
Education, this processing purpose will not be applicable to their end users.”
7 Se note 6.
REU, Alm.del - 2023-24 - Bilag 116: Notat af 30/1-24 fra Datatilsynet om Datatilsynets afgørelse om brugen af Google Workspace i folkeskolen
Datatilsynet opfordrer derfor kommunerne til at indgå i yderligere dialog med Google om at
forsimple navnlig aftalegrundlaget eller sikre sig, at kommunerne besidder eller har adgang til
de fornødne tekniske og juridiske kompetencer for at sikre, at databeskyttelsesreglerne over-
holdes.
4.2. Videregivelse af personoplysninger
4.2.1. Databeskyttelsesforordningen
Personoplysninger kan behandles på baggrund af et af flere behandlingsgrundlag, som findes
i databeskyttelsesforordningens artikel 6, stk. 1. For offentlige myndigheder vil behandling af
personoplysninger oftest ske, fordi det er nødvendigt for at overholde en retlig forpligtelse, jf.
artikel 6, stk. 1, litra c, eller fordi behandlingen er nødvendig af hensyn til udførelse af en
opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, jf.
artikel 6, stk. 1, litra e.
Behandlingen skal i begge tilfælde have et såkaldt supplerende retsgrundlag, som forpligter
eller berettiger myndigheden til at udføre en bestemt myndighedsopgave. Det følger af data-
beskyttelsesforordningens artikel 6, stk. 3.
4.2.2. Krav til det supplerende retsgrundlag
Databeskyttelsesforordningens artikel 6, stk. 3, indeholder flere krav til det supplerende rets-
grundlag, som dermed skal opfylde visse kriterier.
For det første kræves det efter artikel 6, stk. 3, 1. pkt., at grundlaget for behandlingen skal
fremgå af EU-retten eller national ret.
Det fremgår af præambelbetragtning nr. 45, at databeskyttelsesforordningen ikke indebærer,
at der kræves en specifik lov til hver enkelt behandling efter artikel 6, stk. 1, litra e. Det kan
være tilstrækkeligt med en lov som grundlag for adskillige databehandlingsaktiviteter. Der stil-
les dog krav om, at behandling efter bestemmelsen sker på baggrund af EU-retten eller natio-
nal ret. Endvidere følger det af præambelbetragtning nr. 41 til databeskyttelsesforordningen,
at det pågældende retsgrundlag ikke nødvendigvis kræver en lov, men at retsgrundlaget dog
bør være klart og præcist, og anvendelsesområdet bør være forudsigeligt for personer omfattet
af retsgrundlagets anvendelsesområde.
Af Justitsministeriets betænkning nr. 1565/2017, s. 132f., fremgår følgende om forordningens
artikel 6, stk. 1, litra e:
”Det må i den forbindelse antages, at artikel 6, stk. 1, litra e, er direkte anvendelig som
behandlingsgrundlag, så længe den dataansvarlige udfører en opgave i samfundets inte-
resse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige
har fået pålagt. Brugen af artikel 6, stk. 1, litra e, som behandlingsgrundlag forudsætter
således ikke en national, implementerende hjemmelslovgivning om selve behandlingen af
personoplysninger i forbindelse med udførelse af opgaver i samfundets interesse eller
som led i offentlig myndighedsudøvelse.
Brugen af artikel 6, stk. 1, litra e, kræver heller ikke nødvendigvis, at opgaven, som kræver
behandling af personoplysninger, udtrykkeligt i lovgivningen er pålagt myndigheden. Der
kan i den forbindelse henvises til [Datatilsynets udtalelse i sagen med j.nr. 2004-54-1394],
hvor tilsynet fandt det naturligt, at Undervisningsministeriet, som den centrale myndighed
på området, løste en opgave vedrørende digital tilmelding til og ansøgning om optagelse
på uddannelser, selvom der ikke var en udtrykkelig lovhjemmel, der pålagde ministeriet
opgaven. Ministeriet kunne derfor bruge bl.a. § 6, stk. 1, nr. 5, i persondataloven om be-
handling, der er nødvendig af hensyn til udførelsen af en opgave i samfundets interesse.”
Side 9 af 21
Derudover fremgår følgende af betænkningens s. 160 om forordningens artikel 6, stk. 3:
”Det følger derudover af forordningens artikel 6, stk. 3, 2. pkt., specifikt vedrørende be-
handling, der er omhandlet i artikel 6, stk. 1, litra e – dvs. af hensyn til udførelse af en
REU, Alm.del - 2023-24 - Bilag 116: Notat af 30/1-24 fra Datatilsynet om Datatilsynets afgørelse om brugen af Google Workspace i folkeskolen
2817022_0010.png
opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse –
at behandlingen skal være ”nødvendig for udførelsen af en opgave i samfundets interesse
eller som henhører under offentlig myndighedsudøvelse”. Det må også her være tilstræk-
keligt for opfyldelse af dette nødvendighedskrav, at det kan udledes af den pågældende
nationale lov med dens forarbejder, under forudsætning af at behandlingen rent faktisk er
”nødvendig”.
I artikel 6, stk. 3, sidste led, er der et yderligere krav til den lovgivning, som tilpasser an-
vendelsen af databeskyttelsesforordningen. Der er et krav om, at medlemsstaternes nati-
onale ret skal opfylde et formål i samfundets interesse og stå i rimeligt forhold til det legi-
time mål, som forfølges. Databeskyttelsesforordningen fastsætter således et krav om pro-
portionalitet og iagttagelse af samfundets interesse i forbindelse med national ret og EU-
ret, der tilpasser anvendelsen af databeskyttelsesforordningen.”
Side 10 af 21
I forbindelse med Justitsministeriets nationale evaluering af databeskyttelsesreglerne i april
2021 udtalte Datatilsynet bl.a. følgende i et bidrag til ministeriet:
”Bestemmelserne i forordningens artikel 6, stk. 2 og 3, indebærer for det første, at behand-
lingen – for at kunne ske i medfør af 6, stk. 1, litra e – skal fremgå af EU-retten eller
medlemsstaternes nationale ret. Det betyder, at anvendelsen af artikel 6, stk. 1, litra e,
kræver, at behandlingen er forudsat i EU-retten eller national ret, men ikke nødvendigvis,
at der er en national implementerende hjemmelslovgivning om selve behandlingen. […]
I andre og langt de fleste tilfælde vil særlovgivningen imidlertid ikke indeholde specifikke
krav til behandlingen af personoplysninger eller i øvrigt foreskrive specifikt, om og hvilke
personoplysninger der skal behandles. Behandling af personoplysninger vil imidlertid ty-
pisk være en forudsætning for, at myndigheden kan løse de opgaver, som lovgivningen
foreskriver. Dette kunne f.eks. være en myndigheds vurdering af en borgers ret til sociale
ydelser efter den sociale lovgivning eller lovgivning om myndighedens opgaver på børne-
og skoleområdet.
Hvornår behandling i henhold til forordningens artikel 6, stk. 1, litra e, kan anses for nød-
vendig, skal i disse tilfælde holdes op imod de opgaver og forpligtelser, som myndigheden
har i henhold til den lovgivning, som regulerer dens virke. Tilsvarende gælder i forhold til
det krav om nødvendighed, som følger af forordningens artikel 5, stk. 1, litra c.
Det er i den forbindelse vigtigt at understrege, at databeskyttelsesreglerne ikke har til for-
mål at stå i vejen for eller besværliggøre offentlige myndigheders opgavevaretagelse. Da-
tabeskyttelsesreglerne, herunder kravet om nødvendighed, indebærer således ikke, at of-
fentlige myndigheder for enhver pris skal tilrettelægge deres opgavevaretagelse på en
sådan måde, at der behandles færrest muligt personoplysninger, hvis dette vil afskære
myndigheden fra at løse sine opgaver på den i lovgivningen tiltænkte måde.
Det databeskyttelsesretlige krav om nødvendighed er derimod fleksibelt og giver den da-
taansvarlige – i denne kontekst offentlige myndigheder – muligheden for at vurdere, hvad
der i det enkelte tilfælde er relevant og sagligt, dvs. nødvendigt, for at myndigheden kan
varetage sine opgaver på den måde, som er tiltænkt med lovgivningen. I den forbindelse
er det også vigtigt at holde sig for øje, at den myndighed, som i lovgivningen forudsættes
at udføre en opgave, i sagens natur har de bedste forudsætninger for at vurdere, hvad der
er sagligt og relevant for at løse opgaven, idet det netop er den pågældende myndighed,
som har mest kendskab til, hvordan eventuel sektorspecifik lovgivning udmøntes i praksis.
Det vil således ligge inden for rammerne af databeskyttelsesforordningens artikel 6, stk.
1, litra e, hvis myndigheden kan pege på et lovgrundlag som årsagen til behandlingen, og
hvis behandlingen ikke – ud fra en generel betragtning – er unødigt indgribende for den
registrerede, f.eks. fordi behandlingen udelukkende er en praktisk måde for myndigheden
at opfylde formålet på, som ikke tager hensyn til den registrerede.
Med andre ord har offentlige myndigheder ganske vide rammer for at vurdere, hvilken
behandling af oplysninger der er nødvendig for at varetage myndighedens opgaver i hen-
hold til lovgivningen.”
Endelig udtaler EU-Domstolen følgende i sin dom af 24. februar 2022 i sagen C-175/20
8
:
”I denne henseende bemærkes ikke desto mindre, at den lovgivning, som danner grundlag
for behandlingen, for at opfylde det krav om proportionalitet, som artikel 5, stk. 1, litra c),
[…] er udtryk for […], skal fastsætte klare og præcise regler, der regulerer rækkevidden
og anvendelsen af den omhandlede foranstaltning, og som opstiller mindstekrav, således
8
C-175/20,
Valsts ieņēmumu dienests,
præmis 83.
REU, Alm.del - 2023-24 - Bilag 116: Notat af 30/1-24 fra Datatilsynet om Datatilsynets afgørelse om brugen af Google Workspace i folkeskolen
2817022_0011.png
at de personer, hvis personoplysninger er berørt, råder over tilstrækkelige garantier, der
gør det muligt effektivt at beskytte disse oplysninger mod risikoen for misbrug. Denne lov-
givning skal være retligt bindende i national ret og navnlig angive, under hvilke omstæn-
digheder og på hvilke betingelser der kan vedtages en foranstaltning om behandling af
sådanne oplysninger, hvorved det sikres, at indgrebet begrænses til det strengt nødven-
dige”
Side 11 af 21
Kravet til klarheden af det pågældende lovgrundlag afhænger dermed generelt af, hvor indgri-
bende behandlingen af personoplysninger, der sker i løsningen, vil være for borgeren. Hvis
der er tale om en helt harmløs behandling, vil kravene være mindre, end hvis der er tale om
en indgribende behandling, hvor der stilles større krav til klarheden af lovgrundlaget.
4.2.3. Folkeskoleloven
Kommunernes myndighedsopgaver på skoleområdet fremgår af folkeskoleloven
9
. Af lovens §
1, stk. 1, og § 2, stk. 1, fremgår følgende:
Ӥ
1.
Folkeskolen skal i samarbejde med forældrene give eleverne kundskaber og færdig-
heder, der: forbereder dem til videre uddannelse og giver dem lyst til at lære mere, gør
dem fortrolige med dansk kultur og historie, giver dem forståelse for andre lande og kultu-
rer, bidrager til deres forståelse for menneskets samspil med naturen og fremmer den
enkelte elevs alsidige udvikling. […]
Ӥ
2.
Kommunalbestyrelsen har ansvaret for folkeskolen, jf. dog § 20, stk. 3, § 44 og § 45,
stk. 2, 2. pkt. Kommunalbestyrelsen har ansvaret for, at alle børn i kommunen sikres ret
til vederlagsfri undervisning i folkeskolen.”
Derudover følger følgende af lovens § 5, stk. 1 og 2:
Ӥ
5.
Indholdet i undervisningen vælges og tilrettelægges, så det giver eleverne mulighed
for faglig fordybelse, overblik og oplevelse af sammenhænge. Undervisningen skal give
eleverne mulighed for at tilegne sig de enkelte fags erkendelses- og arbejdsformer. I vek-
selvirkning hermed skal eleverne have mulighed for at anvende og udbygge de tilegnede
kundskaber og færdigheder gennem undervisningen i tværgående emner og problemstil-
linger.
Stk. 2.
Undervisningen i 1.-9. klasse gives inden for 3 fagblokke og omfatter for alle elever:
[…]”
Af forarbejderne til bestemmelsen (Folketingstidende 1992-93, tillæg A, lovforslag af 22. april
1993, sp. 8939) fremgår følgende:
”For alle fagene i de tre grupper gælder det, at man skal være opmærksom på, at edb skal
integreres, som det er beskrevet i undervisningsvejledningen for gældende lovs obligato-
riske emne edb og i de supplementer til fagenes læseplaner, der udsendes og er udsendt
fra ministeriet de seneste år. Integration af edb giver mulighed for en udvikling af fagenes
emner, begreber og metoder og eksempler herpå vil indgå i kommende undervisningsvej-
ledninger.”
I den sammenhæng fremgår følgende af forarbejderne til lovens § 7 (a. st., sp. 8943), der
fastsætter obligatoriske emner, der skal indgå i undervisningen i grundskolen:
”Edb foreslås afskaffet som obligatorisk emne, idet det forudsættes, at indholdet integreres
i de obligatoriske fag på de yngste klassetrin. Derved får alle elever en grundlæggende
forståelse af informationsteknologiens begreber og metoder og et kendskab til, hvor data-
maskinerne med fordel kan anvendes i fagene. Dette kendskab skal danne grundlag for
den generelle integration af edb i fagene, jf. herved tillige bemærkningerne til lovforslagets
§ 5.”
Det fremgår derudover af folkeskolelovens § 18, stk. 1, der bl.a. omhandler valg af undervis-
ningsmidler:
9
Lovbekendtgørelse nr. 1086 af 15. august 2023 om folkeskolen.
REU, Alm.del - 2023-24 - Bilag 116: Notat af 30/1-24 fra Datatilsynet om Datatilsynets afgørelse om brugen af Google Workspace i folkeskolen
Side 12 af 21
”Undervisningens tilrettelæggelse, herunder valg af undervisnings- og arbejdsformer, me-
toder, undervisningsmidler og stofudvælgelse, skal i alle fag leve op til folkeskolens formål,
mål for fag samt emner og varieres, så den svarer til den enkelte elevs behov og forud-
sætninger.”
Endvidere fremgår af lovens § 19, stk. 1, følgende:
”De nødvendige undervisningsmidler skal stilles vederlagsfrit til rådighed for eleverne.
Dette gælder dog ikke instrumenter og udstyr, som anvendes ved undervisning i fritiden
efter § 3, stk. 6, og som hjemtages af eleverne til eget brug.”
Af forarbejderne til bestemmelsen (Folketingstidende 1992-93, tillæg A, lovforslag af 22. april
1993, sp. 8956) fremgår følgende:
”Som følge af, at edb er overgået fra at være et obligatorisk emne til at være en integreret
del af fagenes indhold, forudsættes det, at den igangværende udvikling med at udstyre
skolerne med informationsteknologiske undervisningsmidler og give lærerne den nødven-
dige undervisningsmæssige baggrund fortsætter, så intentionerne om edb’s fulde integra-
tion kan realiseres inden for de nærmest år.”
Indførelsen af edb som obligatorisk emne skete ved lov nr. 435 af 13. juni 1990. Til støtte for
indførelsen af faget som obligatorisk emne udarbejdede Undervisningsministeriet – som for-
udsat i forarbejderne til bestemmelsen (Folketingstidende 1989-90, tillæg A, lovforslag af 14.
marts 1990, sp. 5194) – en vejledende læseplan og undervisningsvejledning. Af læseplanen
og undervisningsvejledningen fremgår følgende om formålet med edb-faget:
”Formål
for det obligatoriske emne edb
– eleverne skal være fortrolige med at benytte maskinel og programmel.
– eleverne skal opnå kendskab til, hvordan datamaskinen anvendes i kommunikations- og
problemløsningsprocesser.
– eleverne skal opnå kendskab til, hvordan anvendelsen af datamaskiner påvirker kom-
munikations- og problemløsningsprocesser.
Bemærkninger til formålet
Mennesker har til alle tider kommunikeret med hinanden ved hjælp af lyde, billeder, skrift
osv. I mange af disse kommunikationsprocesser har de anvendt redskaber, fx blyant, pen-
sel, skrivemaskine og telefon. Sådanne redskaber vil altid have indvirkning på, hvordan
mennesker kommunikerer med hinanden. På samme måde forholder det sig, når vi løser
problemer.
Anvendelsen af edb er efterhånden så udbredt, at man med rette kan hævde, at der er
tale om et redskab, som alle vil komme til at benytte. Mange andre redskaber retter sig
stort set mod fysiske processer. Således er det ikke med edb, idet dette redskab i overve-
jende grad understøtter processer af intellektuel art.
Det er derfor af overordentlig stor betydning, at mennesker er i stand til hensigtsmæssigt
at inddrage edb i kommunikations- og problemløsningsprocesser. Samtidig vil dette være
en væsentlig forudsætning for at kunne begå sig i et samfund, hvor demokratiske beslut-
ningsprocesser og omgangsformer er en selvfølgelighed. Der er altså tale om nogle for-
udsætninger, som alle borgere skal besidde, og som derfor må være en del af den almene
dannelse på linje med fx at kunne læse, skrive og regne.
Formålet for undervisningen i edb omfatter 3 aspekter:
– betjenings-aspektet,
som vedrører almene betjeningsmæssige færdigheder samt kend-
skab til de overordnede principper for datamaskinens virkemåde. Undervisningen skal re-
sultere i, at eleverne bliver fortrolige med arbejdet ved en datamaskine, og at de herigen-
nem får opbygget hensigtsmæssige billeder af, hvordan materiel og programmel virker og
samvirker. Dette konkretiseres i undervisningsforløbene.
– begrebs-aspektet,
som vedrører kendskab til de begreber og metoder, der benyttes, når
datamaskinen anvendes til kommunikation og problemløsning. Undervisningen skal resul-
tere i, at eleverne især bliver opmærksomme på de fællestræk i form af begreber og me-
toder, der findes i stort set alle edb-anvendelser. En sådan opmærksomhed vil medvirke
til, at der skabes struktur i elevernes edb-viden.
REU, Alm.del - 2023-24 - Bilag 116: Notat af 30/1-24 fra Datatilsynet om Datatilsynets afgørelse om brugen af Google Workspace i folkeskolen
2817022_0013.png
– betydnings-aspektet,
som vedrører kendskab til den betydning for processen, datama-
skinen har, når den anvendes i forbindelse med, at mennesker kommunikerer eller løser
problemer. Undervisningen skal resultere i, at eleverne ved deres senere anvendelse af
datamaskinen er opmærksomme på, om edb-anvendelsen i disse processer ændrer be-
tingelser og resultater.
Det er vigtigt at understrege, at hovedmålet med undervisningen er, at eleverne sikres
handlemuligheder i anvendelsessituationer. Sådanne handlemuligheder har eleverne kun,
hvis anvendelsen af edb ikke domineres af tekniske problemer eller af elevernes mang-
lende kendskab til grundlæggende edb-begreber og -metoder (jf. afsnittet »Karakterise-
ring af edb-undervisningen«). Undervisningen skal derfor medvirke til, at eleverne bliver i
stand til at bruge edb på en hensigtsmæssig måde.
Det skal yderligere understreges, at det er vigtigt, at eleverne opnår kendskab til, at data-
maskinen gennem brugernes valg af forskellige programmer kan benyttes til løsning af
mange, forskelligartede opgaver. Dette betyder, at datamaskinen er et af de mest fleksible
værktøjer, vi har rådighed over, og at vi ofte kan blive tvunget til at vælge, om og i givet
fald hvordan vi vil anvende datamaskinen. På mange områder vil det, at man begynder at
bruge datamaskiner, betyde store ændringer i forhold til anvendelsen af hidtidig teknik:
der kan åbnes for helt nye muligheder, men der kan også fremkomme nye begrænsninger
i forhold til, hvad der før var muligt.”
Side 13 af 21
4.2.4. Digitaliseringsstrategien 2011 til 2015
KL har i sin analyse og vurdering ad flere omgange henvist til den fællesoffentlige digitalise-
ringsstrategi 2011 til 2015, der blev udarbejdet i august 2011 af den daværende regering,
kommunerne og regionerne.
10
Anvendelsen og udvikling af digitale læringsmidler var et fokusområde i denne strategi, hvor
det flere steder understreges, at folkeskolen skal følge med tiden. KL har herunder henvist til
bilag 3.1.a til strategien, hvoraf bl.a. følgende fremgår:
”I forbindelse med den økonomiske indsprøjtning er der behov for en drøftelse med bran-
chen for digitale læremidler om, hvordan de kan forpligtes på at arbejde for en udvikling,
der understøtter nogle af de visioner, der er beskrevet ovenfor. Blandt andet kan det drøf-
tes, hvordan det kan fremmes, at private aktører medvirker til at oversætte og tilpasse
afprøvede udenlandske digitale læremidler til danske forhold med henblik på salg.”
KL har derudover henvist til bilag 3.4 til strategien, hvoraf bl.a. følgende fremgår:
”En forudsætning for, at satsningen på it kan lykkes, er, at it integreres i udvikling af nye
undervisnings- og læringsformer, således at den traditionelle undervisning ikke bare vide-
reføres med ”strøm på”. Der er derfor gennem forsøg og forskning behov for generelt at
højne vidensniveauet om, hvordan man mest effektivt øger elevernes læring fagligt og
social set ved hjælp af it-redskaber, herunder viden om, hvordan lærerne kan tilrettelægge
og understøtte undervisningen ved hjælp af digitale læremidler og digitalt baserede læ-
ringsforløb.”
Endelig har KL henvist til aftale mellem regeringen og KL om kommunernes økonomi for 2012.
Heraf fremgår bl.a. følgende:
”Styrket
anvendelse af it i folkeskolen
Digitale læreprocesser indgår i dag i mange folkeskoler, men der er brug for en mere
grundlæggende omstilling. Det indgår derfor i den fællesoffentlige digitaliseringsstrategi,
at der i de kommende år sættes fokus på en styrket anvendelse af IT, så det bliver en
integreret del af undervisningen i folkeskolen.
It skal medvirke til at styrke elevernes faglighed og ruste dem bedre til fremtidige uddan-
nelses- og jobmuligheder, understøtte en mere målrettet tilrettelæggelse af undervisnin-
gen samt muliggøre en bedre ressourceudnyttelse i folkeskolen.
Regeringen og KL er derfor enige om en ambitiøs indsats, hvor regeringen har reserveret
500 mio.kr. fra Fonden for Velfærdsteknologi til over de kommende år at:
10 Digitaliseringsstrategien 2011 til 2015 med bilag kan tilgås her:
https://digst.dk/strategier/den-faellesoffentlige-digitaliserings-
strategi/tidligere-strategier/digitaliseringsstrategien-2011-til-2015/
REU, Alm.del - 2023-24 - Bilag 116: Notat af 30/1-24 fra Datatilsynet om Datatilsynets afgørelse om brugen af Google Workspace i folkeskolen
Bidrage til at udvikle markedet for digitale læremidler, herunder stimulere et stort
udbud af kvalitetsprodukter.
Understøtte effektive distributionskanaler som sikrer en let og overskuelige ad-
gang til digitale læremidler, herunder give adgang til digitale læringsmål.
Medvirke til at erfaringer fra forsøgs- og forskningsprojekter udbredes, herunder
yde begrænset støtte til demonstrationsskoler, så udviklingen af it-baserede læ-
ringsformer fokuseres på områder og i fag, hvor effekten er størst.
Side 14 af 21
Regeringen og KL er enige om at midlerne udmøntes efter principperne beskrevet i bilag
2. Eventuelle bidrag til indkøb af læremidler medfinansieres af kommunerne, mindst sva-
rende til den statslige andel.
For at muliggøre omstillingen på området indgår det i aftalen, at kommunerne frem mod
2014 inden for de nuværende investeringsrammer vil sikre, at alle elever har adgang til
den nødvendige it-infrastruktur blandt andet i form af stabile og sikre trådløse netværk
med tilstrækkelig kapacitet, sikker opbevaring, strømføring m.v.”
4.2.5. Datatilsynets vurdering
Efter Datatilsynets opfattelse har offentlige myndigheder, som det er forudsat i databeskyttel-
sesforordningen, præambelbetragtningerne hertil, samt Justitsministeriets betænkning nr.
1565/2017, en vid adgang til at behandle personoplysninger, når det er nødvendigt af hensyn
til udførelse af deres myndighedsopgaver.
Datatilsynet anerkender, at det ovennævnte ”nødvendighedskrav” er fleksibelt og giver offent-
lige myndigheder en bred margin for at vurdere, hvad der i det enkelte tilfælde er relevant og
sagligt, dvs. nødvendigt, for at myndigheden kan varetage sine opgaver på den måde, som er
tiltænkt med lovgivningen.
Spørgsmålet er herefter, i hvilket omfang kommunerne kan udstrække denne fleksibilitet til at
omfatte brug af undervisnings- og læringsmidler, som gennem deres opbygning og leverance-
model indebærer, at kommunerne videregiver personoplysninger til en anden selvstændig da-
taansvarlig, leverandøren af læringsmidlerne – her Google – til brug for (i) levering og (ii) for-
bedring af læringsmidlerne samt (iii) udvikling af nye funktioner og tjenester.
Indledningsvis bemærker Datatilsynet, at KL har anført, at vurderingen af, om kommunerne
har hjemmel til at videregive personoplysninger til Google skal foretages i to tempi. For det
første vurderes det, om kommunerne har hjemmel til at videregive personoplysninger til
Google til brug for levering af tjenesten. Dernæst vurderes det, om kommunerne har påset,
om Google lovligt kan modtage og behandle personoplysningerne til andre formål, herunder
udvikling af nye funktioner og tjenester, efter databeskyttelsesforordningens artikel 5, stk. 1,
litra a.
Det er Datatilsynets opfattelse, at vurderingen af, om kommunerne har hjemmel til at videre-
give personoplysninger til Google skal foretages i lyset af alle de formål, som oplysningerne
skal behandles til. Kommunerne skal derfor vurdere, om der er hjemmel til videregivelse af
personoplysninger til brug for levering af tjenesten og til andre formål, herunder udvikling af
nye funktioner og tjenester. Det omfatter alle de formål, som kommunerne på videregivelses-
tidspunktet er bekendt med, at oplysningerne vil blive behandlet til.
Datatilsynet henviser navnlig til tilsynets afgørelse over for Helsingør kommune af 18. august
2022. Heraf fremgår bl.a. følgende:
”Oplysningerne kan dermed heller ikke lovligt videregives til andre dataansvarlige til brug
for disses formål, når der er tale om formål, som ikke er forudsat i folkeskoleloven. Dette
omfatter også den behandling af personoplysninger, der kan ske ved elevernes brug af
udstyret og softwaren.
Det er Datatilsynets opfattelse, at den behandling af personoplysninger, som er forudsat i
folkeskolelovens regler om undervisningspligt, og dermed kan ske efter
REU, Alm.del - 2023-24 - Bilag 116: Notat af 30/1-24 fra Datatilsynet om Datatilsynets afgørelse om brugen af Google Workspace i folkeskolen
2817022_0015.png
databeskyttelsesforordningens artikel 6, stk. 1, litra e, ikke omfatter, at oplysningerne kan
videregivelse til andre selvstændige dataansvarlige, herunder til brug for formål så som
videreudvikling af teknologileverandørers applikationer mv. Det er Datatilsynets opfat-
telse, at offentlige myndigheders videregivelse af personoplysninger til private dataansvar-
lige generelt kræver særskilt hjemmel, når der er tale om formål, som ligger uden for de
myndighedsopgaver, som den offentlige myndighed er pålagt at varetage.”
Side 15 af 21
Kommunerne kan således ikke først vurdere, om der er hjemmel til videregivelse af personop-
lysninger til visse formål (levering af tjenesten) og herefter lægge til grund, at de øvrige formål
(udvikling af nye produkter mv.), hvortil personoplysningerne også behandles, skal vurderes
som Googles egen viderebehandling af personoplysningerne til andre formål efter databeskyt-
telsesforordningens artikel 6, stk. 4, og stk. 1.
Datatilsynet lægger i den forbindelse særligt vægt på, at der er tale om behandlinger, der er
bestemt i aftalegrundlaget og forudsat for behandlingernes udførelse, og situationen kan derfor
ikke sidestilles med forholdet hvor en 3. mand efter en videregivelse, som selvstændigt data-
ansvarlig efterfølgende vælger at benytte persondata til nye egne formål.
KL har overordnet anført, at det er forudsat i folkeskoleloven, at edb og digitale læringsmidler
skal integreres fuldt ud i undervisningen, og at den fællesoffentlige digitaliseringsstrategi for
2011 til 2015 har fokus på, at der sammen med branchen for digitale undervisningsmidler
arbejdes for en større integration af digitale læringsmidler i undervisningen, herunder udvikling
af nye undervisnings- og læringsmidler.
KL har uddybende anført, at det ved brug af digitale værktøjer er nødvendigt at benytte tekni-
ske data til løbende at udvikle og forbedre værktøjerne. Kommunerne ville over tid få utidssva-
rende produkter, hvis leverandørerne ikke løbende forbedrede og udviklede værktøjerne. Ud-
viklingen af digitale undervisningsmidler har, som det er forudsat folkeskoleloven, den fælles-
offentlige digitaliseringsstrategi 2011 til 2015 på folkeskoleområdet samt økonomiaftalen, lø-
bende fundet sted. Efter KL’s opfattelse vil undervisningen i folkeskolen ikke leve op til forud-
sætningen i folkeskoleloven om fuld integration af edb eller digitale undervisningsmidler i un-
dervisningen, hvis disse undervisningsmidler ikke løbende modnes gennem udvikling, opda-
tering og forbedring.
Endelig har KL anført, at det fremgår af den fællesoffentlige digitaliseringsstrategi 2011 til
2015, at ”formålet med de digitale læringsprocesser er, at de skal styrke elevernes faglighed
og ruste dem bedre til fremtiden.”
11
Det vil efter KL’s opfattelse ikke være muligt at ruste ele-
verne til fremtiden med gårsdagens digitale læringsmidler. Det er i den forbindelse ikke uventet
for kommunerne, at produkterne, som de aftager, forbedre og udvikles. Det er tillige et ønske
for kommunerne, at produkterne følger med tiden.
Som anført i Datatilsynets afgørelse af 14. juli 2022 over for Helsingør Kommune, har kommu-
nerne som led i deres ansvar for folkeskolen ret og pligt til at tilrettelægge undervisningen, så
den lever op til folkeskolens formål samt målsætninger for de enkelte fag. Det omfatter bl.a.
valg af undervisnings- og arbejdsformer, undervisningsmidler mv. Det følger af folkeskolelo-
vens § 2, stk. 1, og § 18, stk. 1.
Disse bestemmelser medfører efter Datatilsynets opfattelse også en vis adgang til at behandle
personoplysninger, når det er nødvendigt som led i kommunernes valg af undervisnings- og
læringsmidler.
11 Digitaliseringsstrategien 2011 til 2015, Fokusområde 3 – Folkeskolen skal udfordre den digitale generation, s. 22.
REU, Alm.del - 2023-24 - Bilag 116: Notat af 30/1-24 fra Datatilsynet om Datatilsynets afgørelse om brugen af Google Workspace i folkeskolen
Størstedelen af de oplysninger, som Google modtager og behandler til egne formål som led i
kommunernes brug af Google Chromebooks og Workspace for Education, er metadata om
den enkelte elevs brug af værktøjerne. Det omfatter bl.a. oplysninger om computerens indstil-
linger, oplysninger om brugen af værktøjerne, applikationerne, Chrome-browseren mv.
Google har over for KL oplyst, at formålet med at behandle disse oplysninger overordnet kan
opdeles i (i) oprindelige formål og (ii) afledte formål. Ifølge Google er de oprindelige formål
uløseligt forbundet med Googles levering af de omhandlede værktøjer og tjenester til kommu-
nerne. Alle de omhandlede personoplysninger modtages og behandles i første omgang til
dette formål. Derudover gør de afledte formål det muligt for Google at levere værdi til kunder
og slutbrugere med hensyn til deres brug af de omhandlede værktøjer og tjenester og på an-
den måde opfylde Googles forpligtelse som den dataansvarlige.
For så vidt angår de afledte formål har Google oplyst, at det bl.a. omfatter (i) vedligeholdelse
og forbedring af Google Workspace for Education-tjenesten, Chrome OS samt Chrome-brow-
seren, (ii) måling af ydeevnen af Chrome OS og Chrome-browseren, samt (iii) udvikling af nye
funktioner og tjenester i Chrome OS og Chrome-browseren.
Google har endvidere redegjort for, hvordan virksomheden behandler oplysningerne til disse
afledte formål:
”When processing for these purposes, Google engineers do not use (and have no interest
in using) personal data about specific end users or administrators at an individual level.
Google has no interest in (for example) understanding whether and how a specific user
uses a specific tool in one of its services, but Google does have an interest in understand-
ing whether and how Google's users in general, on an overall level, use that tool. This
means that Google’s staff do not access or use any specific identifiers […] relating to any
end user when processing for these purposes.
For example, in the context of ChromeOS, Google has no interest in processing an end
user's specific device ID or serial number in order to “measure performance”, but Google
has an interest in processing large datasets of numbers of managed devices per country,
regions, licenses, feature usage and failure rates etc keyed to a pseudonymous ID to un-
derstand the revenue distributions and generate insights of areas where Google needs to
improve and – as such – “measure performance”.”
Side 16 af 21
Datatilsynet lægger til grund, at kommunerne som led i deres brug af Chromebooks og Google
Workspace for Education behandler og videregiver personoplysninger til Google, og at disse
oplysninger alene behandles til de oprindelige formål og de afledte formål, som KL har anført.
Endvidere lægger Datatilsynet til grund, at oplysningerne med hensyn til de afledte formål kun
behandles til udvikling og forbedring af tjenester, som kommunerne har indkøbt, og at Google
ikke behandler disse oplysninger – eller andre oplysninger såsom indholdsdata – til markeds-
føringsformål.
På baggrund af de ovennævnte ændringer af folkeskoleloven finder Datatilsynet, at det må
anses for at have været intentionen fra lovgivers side, at edb skal udgøre en integreret del af
folkeskolen. Det er navnlig kommet til udtryk med indførelsen af edb som obligatorisk fag, hvor
eleverne skulle opnå kendskab til, hvordan edb kunne anvendes i kommunikations- og pro-
blemløsningsprocesser, og hvordan brug af edb påvirker sådanne processer. Siden er inte-
grationen af edb blevet udvidet, idet det obligatoriske fag blev afskaffet, og edb blev en inte-
greret del af alle folkeskolens fag.
Datatilsynet anerkender derudover, at der over en årrække er sket en udvikling i, hvordan it-
systemer og -services leveres. Siden 1990’erne er der sket væsentlige ændringer i såvel arki-
tektur og funktionalitet som leverancemodel. Det er i dag i langt højere grad normen, at leve-
randørerne af it-systemer og -services indsamler og måler oplysninger om systemernes brug.
REU, Alm.del - 2023-24 - Bilag 116: Notat af 30/1-24 fra Datatilsynet om Datatilsynets afgørelse om brugen af Google Workspace i folkeskolen
Det sker med henblik på at udnytte løsningernes fulde funktionalitet samt løbende at forbedre
det leverede og er i høj grad faciliteret af internettets udbredelse og den stigende mængde
regnekraft, der er til rådighed.
Datatilsynet bemærker dog, at denne udvikling ikke nødvendigvis til fulde er sket med den
fornødne fokus på databeskyttelsesreglerne og hensynet til den enkelte borger. Selvom der i
Danmark siden persondatalovens indførelse i 2000 har eksisteret næsten enslydende krav til
lovlig behandling af personoplysninger, har de dataansvarlige ikke i fornødent omfang stillet
krav til deres leverandører af it-systemer og -services, der sikrede, at udviklingen i hvordan it-
services bliver leveret, skete inden for rammerne af databeskyttelsesreglerne.
Samlet set finder Datatilsynet, at der ikke er grundlag for at tilsidesætte kommunernes vurde-
ring af, at det som led i kommunernes valg af undervisnings- og læringsmidler i folkeskolen er
nødvendigt at behandle og videregive personoplysninger til Google som led i brugen af Google
Chromebooks og Workspace for Education til brug for (i) levering af og (ii) forbedring af sik-
kerheden og pålideligheden af de omhandlede tjenester mv. (”de oprindelige formål”), jf. data-
beskyttelsesforordningens artikel 6, stk. 1, litra e, jf. artikel 6, stk. 3, og folkeskolelovens § 2,
stk. 1, og § 18, stk. 1. Det omfatter bl.a. behandling af personoplysninger med henblik på
levering af tjenesterne, forbedring af sikkerheden og pålideligheden af tjenesterne, kommuni-
kation med bl.a. kommunerne og overholdelse af retlige forpligtelser.
Datatilsynet har herved navnlig lagt vægt på, at de pågældende formål er uløseligt forbundet
med Googles levering af Google Chromebooks og Workspace for Education til kommunerne,
hvilket også skal ses i lyset af den teknologiske udvikling og udviklingen i, hvordan it-services
og -tjenester leveres i dag.
Datatilsynet anerkender derudover, at videreudvikling af de undervisnings- og læringsmidler,
som kommunerne har besluttet at gøre brug af i folkeskolen, er nødvendig for at sikre, at læ-
ringsmidlerne afspejler den tidsmæssige samtid, så eleverne kan lære at håndtere dagens og
fremtidens problemstillinger og udfordringer med tidssvarende og moderne værktøjer.
Det er imidlertid Datatilsynets vurdering, at kommunerne ikke inden for rammerne af folkesko-
lelovens § 2, stk. 1, og § 18, stk. 1, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra e,
kan behandle og videregive personoplysninger om skoleelever til Google som led i brugen af
Google Chromebooks og Workspace for Education til brug for (i) vedligeholdelse og forbedring
af Google Workspace for Education-tjenesten, Chrome OS samt Chrome-browseren, (ii) må-
ling af ydeevnen af Chrome OS og Chrome-browseren, samt (iii) udvikling af nye funktioner
og tjenester i Chrome OS og Chrome-browseren (”de afledte formål”).
Datatilsynet lægger herved særligt vægt på, at disse afledte formål ikke kun dækker udviklin-
gen af de konkrete undervisnings- og læringsmidler, som kommunerne aftager, men også den
generelle udvikling af Googles produkter, f.eks. Chrome OS og Chrome-browseren. Disse pro-
dukter leveres ikke udelukkende til kommunerne, men udbydes generelt på markedet, og vi-
dereudviklingen gavner dermed i bredeste forstand disse produkters og leverandørens mar-
kedsposition. Endvidere har Datatilsynet lagt vægt på, at denne udvikling sker på baggrund af
personoplysninger om skoleelever, der indsamles som led i deres brug af læringsmidlerne,
som skoleeleverne er forpligtede til at bruge, dette uanset at disse personoplysninger aggre-
geres til generelle brugsmønstre.
Selvom at der kan siges at være tale om en mindre indgribende behandling af personoplys-
ninger, idet oplysningerne pseudonymiseres og aggregeres, hvorfor kravene til det nødven-
dige lovgrundlag er mindre, og uanset den fleksibilitet, der efter Datatilsynets opfattelse findes
i databeskyttelsesforordningens artikel 6, stk. 1, litra e, og det ”nødvendighedskrav”, der
Side 17 af 21
REU, Alm.del - 2023-24 - Bilag 116: Notat af 30/1-24 fra Datatilsynet om Datatilsynets afgørelse om brugen af Google Workspace i folkeskolen
fremgår af bestemmelsen, ses der efter Datatilsynets opfattelse ikke i de relevante bestem-
melser i folkeskoleloven at kunne findes det fornødne grundlag for kommunernes videregi-
velse af oplysninger til de omhandlede formål.
Det synes således ikke at fremgå hverken af folkeskolens ordlyd eller forarbejder, at det er en
nødvendig del af eller en forudsætning for kommunernes opgaveløsning i henhold til folkesko-
leloven, at kommunerne videregiver personoplysninger om skoleelever til leverandøren af un-
dervisnings- og læringsmidler med henblik på leverandørens generelle videreudvikling af sine
it-produkter ved brug af disse oplysninger. Det følger hverken af en naturlig forståelse af lovens
bestemmelser om, hvordan edb oprindeligt skulle integreres i folkeskolen – og siden i de en-
kelte fag – eller af læseplanen og undervisningsvejledningen om edb-faget og formålet her-
med.
Det fremgår således ikke, at det fra Folketingets side har været tilsigtet, at den generelle vide-
reudvikling af de undervisnings- og læringsmidler, som kommunerne beslutter skal anvendes
i folkeskolen, skal kunne ske ved at videregive personoplysninger om skoleelever, som bruger
de omhandlede undervisnings- og læringsmidler, til tredjeparter, herunder leverandøren heraf.
Endvidere fremgår det på ingen måde, at Folketinget generelt har forudset den teknologiske
udvikling, der er sket siden vedtagelsen af de omhandlede bestemmelser i folkeskoleloven i
1993.
Det kan ikke føre til et andet resultat, at KL i tillæg til folkeskoleloven og forarbejderne hertil
har henvist til den fællesoffentlige digitaliseringsstrategi 2011 til 2015 og økonomiaftalen mel-
lem kommunerne og regeringen fra 2012. Ingen af disse kan anses for at være et udtryk for
lovgivers intention om, hvilke opgaver og forpligtelser kommunerne har i henhold til folkesko-
len, og hvordan disse skal varetages.
Endelig bemærker Datatilsynet, at de nævnte betragtninger ikke forekommer at være et isole-
ret problem i relation til folkeskoleloven. Datatilsynet opfordrer derfor til, at der fra lovgivers
side fremadrettet tages entydigt stilling til, i hvilket omfang personoplysninger om borgere som
en del af samfundskontrakten kan eller skal videregives i tilfælde som det omhandlede, her-
under særligt i offentligt-private samarbejder.
Datatilsynet finder derfor grundlag for at meddele kommunerne
påbud
om at bringe kommu-
nernes behandling af personoplysninger i form af videregivelse af personoplysninger til Google
i overensstemmelse med databeskyttelsesforordningens artikel 5, stk. 1, litra a, og artikel 6,
stk.1, samt at kunne påvise dette, jf. forordningens artikel 5, stk. 2.
Det kan ske f.eks. ved:
(a) at kommunerne ophører med at videregive personoplysninger til Google til de om-
handlede formål, hvilket sandsynligvis forudsætter, at Google udvikler en teknisk mu-
lighed for, at de pågældende datastrømme afskæres,
(b) at Google afstår fra at behandle oplysninger til disse formål, eller
(c) at der fra Folketingets side tilvejebringes et tilstrækkeligt klart retsgrundlag for den
pågældende behandling.
Datatilsynet anmoder i første omgang kommunerne om at tilkendegive, hvordan kommunerne
agter at efterleve det ovennævnte påbud. Datatilsynet skal anmode om at modtage denne
tilkendegivelse senest
den 1. marts 2024.
Side 18 af 21
REU, Alm.del - 2023-24 - Bilag 116: Notat af 30/1-24 fra Datatilsynet om Datatilsynets afgørelse om brugen af Google Workspace i folkeskolen
Fristen for efterlevelse af påbuddet i øvrigt er
den 1. august 2024.
Datatilsynet skal anmode
om senest samme dato at modtage en bekræftelse på, at påbuddet er efterlevet. Påbuddet
meddeles i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d.
Ifølge databeskyttelseslovens § 41, stk. 2, nr. 4, straffes med bøde eller fængsel i op til 6
måneder den, der undlader at efterkomme et påbud meddelt af Datatilsynet i medfør af data-
beskyttelsesforordningens artikel 58, stk. 2, litra d.
Side 19 af 21
5. Afsluttende bemærkninger
På baggrund af sagens karakter har Datatilsynet besluttet at orientere Folketingets Retsudvalg
og Udvalget for Digitalisering og It samt Justitsministeriet og Børne- og Undervisningsministe-
riet om sagen.
For så vidt angår de øvrige spørgsmål i sagen bemærker Datatilsynet, at tilsynet fortsat be-
handler disse og forventer at fortsætte behandlingen parallelt med kommunernes efterlevelse
af det ovennævnte påbud.
Det bemærkes, at Datatilsynet forventer at offentliggøre denne afgørelse på sin hjemmeside.
Med venlig hilsen
Allan Frank
Bilag:
Kopi af KL’s besvarelse af 30. juni 2023
Kopi af bilag 16 til KL’s besvarelse af 30. juni 2023
Retsgrundlag
REU, Alm.del - 2023-24 - Bilag 116: Notat af 30/1-24 fra Datatilsynet om Datatilsynets afgørelse om brugen af Google Workspace i folkeskolen
Bilag: Retsgrundlag
Uddrag af Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om
beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og
om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (gene-
rel forordning om databeskyttelse).
Artikel 2, stk. 1.
Denne forordning finder anvendelse på behandling af personoplysninger, der
helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikkeautoma-
tisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.
Artikel 4.
I denne forordning forstås ved:
1)
»personoplysninger«: enhver form for information om en identificeret eller identificer-
bar fysisk person (»den registrerede«); ved identificerbar fysisk person forstås en fy-
sisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator
som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator
eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiolo-
giske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet
»behandling«: enhver aktivitet eller række af aktiviteter — med eller uden brug af au-
tomatisk behandling — som personoplysninger eller en samling af personoplysninger
gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering,
opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved
transmission, formidling eller enhver anden form for overladelse, sammenstilling eller
samkøring, begrænsning, sletning eller tilintetgørelse
»dataansvarlig«: en fysisk eller juridisk person, en offentlig myndighed, en institution
eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med
hvilke hjælpemidler der må foretages behandling af personoplysninger; hvis formå-
lene og hjælpemidlerne til en sådan behandling er fastlagt i EU-retten eller medlems-
staternes nationale ret, kan den dataansvarlige eller de specifikke kriterier for udpe-
gelse af denne fastsættes i EU-retten eller medlemsstaternes nationale ret
»databehandler«: en fysisk eller juridisk person, en offentlig myndighed, en institution
eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne
Side 20 af 21
2)
[…]
7)
8)
[…]
Artikel 5.
Personoplysninger skal:
a)
b)
behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede
(»lovlighed, rimelighed og gennemsigtighed«)
indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på
en måde, der er uforenelig med disse formål; viderebehandling til arkivformål i sam-
fundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske
formål i overensstemmelse med artikel 89, stk. 1, skal ikke anses for at være uforene-
lig med de oprindelige formål (»formålsbegrænsning«)
være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de
formål, hvortil de behandles (»dataminimering«)
være korrekte og om nødvendigt ajourførte; der skal tages ethvert rimeligt skridt for
at sikre, at personoplysninger, der er urigtige i forhold til de formål, hvortil de behand-
les, straks slettes eller berigtiges (»rigtighed«)
opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et
længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende per-
sonoplysninger behandles; personoplysninger kan opbevares i længere tidsrum, hvis
c)
d)
e)
REU, Alm.del - 2023-24 - Bilag 116: Notat af 30/1-24 fra Datatilsynet om Datatilsynets afgørelse om brugen af Google Workspace i folkeskolen
f)
personoplysningerne alene behandles til arkivformål i samfundets interesse, til viden-
skabelige eller historiske forskningsformål eller til statistiske formål i overensstem-
melse med artikel 89, stk. 1, under forudsætning af, at der implementeres passende
tekniske og organisatoriske foranstaltninger, som denne forordning kræver for at sikre
den registreredes rettigheder og frihedsrettigheder (»opbevaringsbegrænsning«)
behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende person-
oplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod
hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tek-
niske eller organisatoriske foranstaltninger (»integritet og fortrolighed«).
Side 21 af 21
Stk. 2.
Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 overholdes (»an-
svarlighed«).
Artikel 6.
Behandling er kun lovlig, hvis og i det omfang mindst ét af følgende forhold gør sig
gældende:
a)
b)
Den registrerede har givet samtykke til behandling af sine personoplysninger til et
eller flere specifikke formål.
Behandling er nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede
er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den re-
gistreredes anmodning forud for indgåelse af en kontrakt.
Behandling er nødvendig for at overholde en retlig forpligtelse, som påhviler den da-
taansvarlige.
Behandling er nødvendig for at beskytte den registreredes eller en anden fysisk per-
sons vitale interesser.
Behandling er nødvendig af hensyn til udførelse af en opgave i samfundets interesse
eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har
fået pålagt.
Behandling er nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge
en legitim interesse, medmindre den registreredes interesser eller grundlæggende
rettigheder og frihedsrettigheder, der kræver beskyttelse af personoplysninger, går
forud herfor, navnlig hvis den registrerede er et barn.
c)
d)
e)
f)
Første afsnit, litra f), gælder ikke for behandling, som offentlige myndigheder foretager som
led i udførelsen af deres opgaver.