Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Chromebook-sagens relevans – herunder når du udleverer en computer eller mobiltelefon som arbejdsredskab

Bird & Bird
08/03/2024
Chromebook-sagens relevans – herunder når du udleverer en computer eller mobiltelefon som arbejdsredskab
Bird & Bird logo
I et svar til Region Syddanmark, præciserede Datatilsynet i denne uge, at budskaberne i Chromebook-sagen også er relevante for andre cloudbaserede tjenester, herunder uden for folkeskolens regi.

Datatilsynet synes at have brugt Chromebook-sagen som et udstillingsvindue for en lang række databeskyttelsesretlige forpligtelser og overvejelser, som alle dataansvarlige skal opfylde, før de iværksætter en behandling af personoplysninger, herunder:

  • Behandlingen skal kortlægges og kunne dokumenteres
  • Det skal fastlægges, hvilke typer oplysninger der behandles, om hvem og til hvilke formål
  • Det skal undersøges, om der bliver videregivet oplysninger til andre
  • Der skal identificeres et retsgrundlag for alle formål med behandlingen, herunder for eventuelle videregivelser
  • Der skal foretages en risikovurdering – og i nogle tilfælde en DPIA
  • Der skal indgås databehandleraftaler med databehandlere
  • Der skal gives information til de personer, der behandles oplysninger om Der skal tilvejebringes et grundlag for overførsler til tredjelande
  • Og meget mere.


Alt dette er ikke overraskende… Men Chromebook-sagen indeholder også et par budskaber, som nogle måske har overset?


Man skal også leve op til GDPR, når man gør brug af standardsystemer.

  • Umiddelbart forekommer det åbenlyst, men mange overser måske, at standardsystemer og -programmer leveret af de store kendte navne som Google, Microsoft og AWS, m.fl. også behandler personoplysninger.
  • Chromebook-sagen handler om Chromebooks med apps og browser udleveret til skoleelever, og svaret til Region Syddanmark handler om brug af Microsoft 365 i administrationen, men konklusionerne er gældende for ibrugtagning af principielt alle cloudbaserede tjenester.
 

Databehandleraftaler vil ofte indeholde bestemmelser om leverandørens brug af data til egne formål. Det er dit ansvar at afdække det – og forholde dig til det.

  • Det er ikke altid nemt at finde rundt i den righoldige og ofte komplekse dokumentation, der stilles til rådighed – men det er en opgave, der skal løses.
  • Du skal forholde dig til det, selv om leverandøren oplyser, at der kun indsamles umiddelbart ufarlige metadata, som blot anvendes i aggregeret form.

 

Når leverandøren bruger oplysninger til egne formål, vil det ofte være en videregivelse fra dig til leverandøren – og du har ansvaret for, at det er lovligt.

  • Du er nødt til at forstå, hvilke oplysninger leverandøren indsamler og til hvilke formål.
  • Du skal også identificere det retsgrundlag, der gør videregivelsen lovlig.

 

Udlevering af en computer med programmer til brug for opgaveløsningen, vil ofte indebære at du videregiver oplysninger til leverandøren om dem der bruger computeren.

  • Chromebook-sagen handler om Chromebooks udleveret til skoleelever, og svaret til Region Syddanmark handler om brug af Microsoft 365 i administrationen, men konklusionerne gælder også, når man udleverer computer, tablet og mobil til sine medarbejdere.
  • Det samme gælder, hvis du pålægger medarbejderne at benytte et program til deres opgaveløsning.
  • Hvad med biler forbundet til internettet? Hvis der er tale om personoplysninger, er kravene de samme.

 

At identificere en hjemmel til videregivelse er ikke altid lige til.

  • Offentlige myndigheder kan kun videregive almindelige personoplysninger til leverandøren, hvis det er nødvendigt for de opgaver, myndigheden er pålagt. Det vil kræve en konkret vurdering af det lovgrundlag, der tildeler myndigheden sine opgaver, men i praksis vil videregivelsen formentlig sjældent kunne anses for nødvendig for myndighedens udførelse af en opgave.
  • I Chromebook-sagen vurderede Datatilsynet folkeskoleloven og fandt, at der var hjemmel til at videregive elevernes oplysninger med henblik på levering af tjenesterne, forbedring af sikkerheden og pålideligheden af tjenesterne, kommunikation med bl.a. kommunerne og overholdelse af retlige forpligtelser, men at der ikke var hjemmel at videregive elevernes oplysninger til vedligeholdelse ogforbedring af leverandørens tjenester, eller til måling af ydeevnen og udvikling af nye funktioner og tjenester.
  • Datatilsynet har endnu ikke taget stilling til private dataansvarliges videregivelse, herunder baseret på interesseafvejningsreglen.
  • Det er Bird & Birds vurdering, at der for private dataansvarlige må være et videre rum for videregivelse af oplysninger. Men det afhænger selvfølgelig altid af en konkret vurdering, som efterfølgende skal kunne dokumenteres.

Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
Fagligt indhold, der kunne være relevante for dig
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
Artikler, der kunne være relevante for dig
EDPB har vedtaget en vejledning om interesseafvejningsreglen
EDPB har vedtaget en vejledning om interesseafvejningsreglen
21/10/2024
Persondata
Ret til indsigt i oplysninger på utilsigtet modtager
Ret til indsigt i oplysninger på utilsigtet modtager
11/11/2024
Persondata
Meta giver brugerne flere valgmuligheder
Meta giver brugerne flere valgmuligheder
18/11/2024
Persondata
Kommune får kritik for deres sikkerhedsprocedurer
Kommune får kritik for deres sikkerhedsprocedurer
19/11/2024
Persondata, Compliance
Datatilsynet anmelder Lyngby-Taarbæk Kommune til politiet
Datatilsynet anmelder Lyngby-Taarbæk Kommune til politiet
29/11/2024
Persondata
Status på Datatilsynets spørgsmål til Rigspolitiet om brug af ansigtsgenkendelse
Status på Datatilsynets spørgsmål til Rigspolitiet om brug af ansigtsgenkendelse
06/12/2024
Persondata
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du at udgive materiale?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted