Alvorlig kritik til Helsingør Kommune for manglende overholdelse af databeskyttelsesregler ved brug af Chromebooks

Sagen omhandler Helsingør Kommunes brug af Google Chromebooks og G-Suite i undervisningen. Kommunen anmeldte et brud på persondatasikkerheden til Datatilsynet, idet elevernes fulde navne var tilgængelige i forbindelse med brugen af YouTube via deres skolekonti. Datatilsynet undersøgte, om kommunens behandling af personoplysninger var i overensstemmelse med databeskyttelsesreglerne.

Kommunens argumenter:

• Kommunen mente, at oprettelsen af skolekonti var nødvendig i henhold til folkeskoleloven og undervisning i IT.
• Kommunen havde indgået en databehandleraftale med Google.
• Kommunen havde ikke været opmærksom på, at eleverne via G-Suite fik adgang til tillægsprogrammer som YouTube, hvor deres navne kunne blive offentliggjort.

Klager fra forældre:

• Forældre klagede over, at kommunen uden samtykke havde oprettet Google-konti til eleverne, hvilket gav adgang til bl.a. YouTube.
• Elevernes fulde navne blev vist ved brug af G-mail, og forældrene kunne ikke ændre eller anonymisere disse oplysninger.
• Login-oplysninger var påklistret elevernes computere, hvilket udgjorde en sikkerhedsrisiko.

Datatilsynets vurdering:

• Datatilsynet vurderede, at kommunen som dataansvarlig har pligt til at sikre, at brugen af IT-udstyr og programmer overholder databeskyttelsesreglerne.
• Datatilsynet fandt, at kommunen ikke havde foretaget tilstrækkelige risikovurderinger af behandlingen af personoplysninger i forbindelse med brugen af Chromebooks og G-Suite.
• Datatilsynet bemærkede, at børn og unges rettigheder nyder særlig beskyttelse i databeskyttelsesreglerne.

Datatilsynet udtalte alvorlig kritik af Helsingør Kommunes behandling af personoplysninger i forbindelse med brugen af Google Chromebooks og G-Suite.

Centrale elementer i afgørelsen:

• Datatilsynet meddelte Helsingør Kommune et påbud om at bringe behandlingen af oplysninger i overensstemmelse med databeskyttelsesforordningen Databeskyttelsesforordningen art. 58.
• Kommunen fik en frist til 1. november 2021 til at foretage en risikovurdering af behandlingerne og udarbejde en konsekvensanalyse, hvis risikoen vurderes som høj.
• Helsingør Kommune modtog en advarsel om, at brugen af G-Suites tillægsprogrammer uden en databeskyttelsesretlig konsekvensanalyse ville være i strid med databeskyttelsesforordningen Databeskyttelsesforordningen art. 58.
• Datatilsynet pålagde en midlertidig begrænsning i behandlingerne, hvis risici ikke nedbringes tilstrækkeligt inden for fristen.
• Datatilsynet fandt, at Helsingør Kommune havde overtrådt databeskyttelsesforordningens artikel 5, stk. 2, jf. artikel 5, stk. 1, litra c og litra f, artikel 5, stk. 1, litra a jf. artikel 6, stk. 1, artikel 32, stk. 1, 33, stk. 1 og 35, stk. 1.