DIU, Alm.del - 2023-24 - Endeligt svar på spørgsmål 211: Spm. om, hvor ansvaret placeres for at føre tilsyn med den aftale, der er indgået mellem KL og Google om brug af Chromebooks

Udvalget for Digitalisering og It 2023-24
DIU Alm.del
Offentligt

Folketinget

Udvalget for Digitalisering og It

Christiansborg

1240 København K

DK Danmark

Dato:

Kontor:

Sagsbeh:

Sagsnr.:

Dok.:

2. oktober 2024

Databeskyttelseskontoret

Signe Hovmøller Ellemose

2024-11353

3421277

Besvarelse af spørgsmål nr. 211 (Alm. del) fra Folketingets Udvalg for

Digitalisering og IT

Hermed sendes besvarelse af spørgsmål nr. 211 (Alm. del), som

Folketingets Udvalg for Digitalisering og IT har stillet til justitsministeren

den 4. september 2024. Spørgsmålet er stillet efter ønske fra Lisbeth Bech-

Nielsen (SF).

Peter Hummelgaard

Louise Black Mogensen

Slotsholmsgade 10

1216 København K.

T +45 7226 8400

www.justitsministeriet.dk

[email protected]

Side 1/3

DIU, Alm.del - 2023-24 - Endeligt svar på spørgsmål 211: Spm. om, hvor ansvaret placeres for at føre tilsyn med den aftale, der er indgået mellem KL og Google om brug af Chromebooks

Spørgsmål nr. 211 (Alm. del) fra Folketingets Udvalg for Digitalisering

og IT:

”Hvor placeres ansvaret for at føre tilsyn med den aftale, der er

indgået mellem KL og Google om brug af Chromebooks i

folkeskolerne? I forlængelse heraf bedes ministeren redegøre

for, hvordan der vil blive ført tilsyn med, at delene i aftalen

bliver overholdt og lever op til gældende regler, herunder

GDPR.”

Svar:

Justitsministeriet har til brug for besvarelsen indhentet et bidrag fra

Datatilsynet, der har oplyst følgende:

”Datatilsynet er den uafhængige tilsynsmyndighed, som bl.a.

fører tilsyn med, at reglerne om databeskyttelse bliver

overholdt.

Tilsynet traf bl.a. den 30. januar 2024 afgørelse om 53

kommuners brug af Google Chromebooks. I afgørelsen

vurderede tilsynet, at der ikke var hjemmel til at videregive

personoplysninger til Google til alle de formål, der på det

tidspunkt blev videregivet til. På den baggrund gav Datatilsynet

kommunerne et påbud om at bringe behandlingen af

personoplysninger i overensstemmelse med reglerne senest den

1. august 2024. Efterfølgende blev der mellem KL og Google

indgået en aftale, hvorefter Google fremover afstår fra at

behandle de indsamlede personoplysninger til egne, afledte

formål.

Datatilsynet tilkendegav den 10. juli 2024 i et brev til

Kommunernes Landsforening (KL), der i sagen har ageret

partsrepræsentant for de involverede kommuner, at tilsynet

vurderede, at kommunerne med aftalen opfylder det påbud, som

tilsynet meddelte dem i afgørelsen fra den 30. januar 2024,

eftersom

kommunerne

ikke

længere

videregiver

personoplysninger til formål, der ikke er hjemmel til.

I brevet til KL indskærpede Datatilsynet dog samtidig, at

overholdelsen kræver, at alle de berørte kommuner agerer i

overensstemmelse med de forudsætninger og anbefalinger, KL

har anført. Dette betyder, at de berørte kommuner skal afstå fra

at benytte og lukke ned for de tjenester og dele af tjenester, hvor

personoplysninger behandles i tredjelande, hvor der ikke kan

sikres en beskyttelse af de registreredes rettigheder og

Side 2/3

DIU, Alm.del - 2023-24 - Endeligt svar på spørgsmål 211: Spm. om, hvor ansvaret placeres for at føre tilsyn med den aftale, der er indgået mellem KL og Google om brug af Chromebooks

frihedsrettigheder, der er essentiel ækvivalent med den

beskyttelse, der er inden for EU. Dette gælder også for service

og vedligeholdelse af infrastruktur fra leverandørens side, hvor

der kan ske en behandling af de personoplysninger, der

behandles for de dataansvarlige kommuner.

Endvidere indskærpede Datatilsynet, at de berørte kommuner –

som dataansvarlige – til enhver tid forventes at have både

overblik og viden om behandlingsaktiviteterne og vilkårene for

disse. Vilkårene i aftalen der gælder for behandlingen af

personoplysninger hos databehandleren, må ikke underminere

den

kontrol

over

behandlingen,

som

databeskyttelsesforordningen forudsætter, at en dataansvarlig

har, ej heller i forhold til den dataansvarliges evne til at kunne

dokumentere, sikre og påvise behandlingens lovlighed.

Datatilsynet anførte yderligere, at ingen forhold, der vedrører

den behandling af persondata, der skal udføres af

databehandleren, må være undergivet vage, uklare eller

hemmeligholdte

kontraktsbetingelser

eller

behandlingskonditioner, der forhindrer den dataansvarlige i at

foretage

vurderingen

databehandlerne

efter

databeskyttelsesforordningens artikel 28, stk. 1. Dette betyder

også, at en dataansvarlig for at kunne påvise overholdelse af

reglerne skal kunne suspendere eller stoppe en behandling,

såfremt leverancen eller vilkårene ændres til en tilstand, hvor

forordningen enten ikke overholdes eller kan påvises overholdt.

Dette skal kunne ske inden for de frister, som kontrakten eller

vilkårene for behandlingen giver den dataansvarlige som

rettighed i forholdet til databehandleren.

Endelig tilkendegav Datatilsynet, at en dataansvarlig normalt

ikke

vil

kunne

påvise

ansvarlighed

efter

databeskyttelsesforordningens artikel 5, stk. 2, jf. artikel 5, stk.

1, litra a, hvis kontrakten og øvrige vilkår for databehandlingen

er så komplicerede, uafklarede, tvetydige eller ugennemsigtige,

at den dataansvarlige ikke kan redegøre over for de registrerede,

hvordan behandlingen sker, af hvem og i hvilke roller.

Alle

disse

forhold

spørgsmål

omkring

databehandlerkonstruktionen, som stadig udestår efter

afgørelsen af 30. januar 2024, afventer den udtalelse, som

tilsynet har anmodet Det Europæiske Databeskyttelsesråd om.

Når denne foreligger vil Datatilsynet udføre sine opgaver i

overensstemmelse med databeskyttelsesforordningens artikel

57, stk. 1, og benytte de nødvendige undersøgende og

korrigerende

beføjelser,

der

følger

databeskyttelsesforordningens artikel 58, stk. 1 og 2.”

Side 3/3