Retsudvalget 2020-21
REU Alm.del
Offentligt
2347874_0001.png
Retsudvalget
Christiansborg
Ministeren
Frederiksholms Kanal 21
1220 København K
Tlf. nr.: 32 92 50 00
E-mail: [email protected]
www.uvm.dk
CVR nr.: 20453044
Svar på spørgsmål 633 (Alm. del):
I brev af 8. februar 2021 har udvalget efter ønske fra Karina Lorentzen
Dehnhardt (SF) stillet mig følgende spørgsmål:
Spørgsmål 633:
Vil ministeren, idet der henvises til artiklen ”Folketingspolitikere har fået
nok: »Børns digitale beskyttelse sejler«” fra Version2.dk den 3. februar
2021, besvare følgende:
- Mener ministeren, at det er acceptabelt, at en stor del af kommu-
nerne ikke laver en risikovurdering af børns databeskyttelse, når
eleverne f.eks. bruger Googles G Suite for Education eller Mi-
crosoft Office 365?
- Hvilke initiativer er iværksat fra ministerens og Datatilsynets side
i lyset af, at Datatilsynet tidligere har vurderet, at den manglende
risikovurdering i mange kommuner er imod reglerne i GDPR?
- Hvilke konkrete regler er kommunerne underlagt i forhold til
børns databeskyttelse?
- Hvilke initiativer vil ministeren iværksætte for at sikre, at kom-
munerne lever op til databeskyttelsesreglerne for børn og i almin-
delighed?
Svar:
Som dataansvarlige er kommunerne forpligtet til at sikre, at enhver be-
handling af elevernes personoplysninger sker i overensstemmelse med
databeskyttelsesreglerne. Ligesom alle øvrige aktører på undervisnings-
området har kommunerne således en væsentlig opgave i at beskytte og
værne om børns og unges data.
Børne- og Undervisningsministeriet har til brug for besvarelsen af spørgs-
målet vedrørende, hvilke konkrete regler kommunerne er underlagt, ind-
hentet et bidrag fra Datatilsynet, der har oplyst følgende:
8. marts 2021
Sags nr.: 21/03845
 REU, Alm.del - 2020-21 - Endeligt svar på spørgsmål 633: Spm. om kommentar til artiklen Folketingspolitikere har fået nok: »Børns digitale beskyttelse sejler« fra Version2.dk den 3. februar 2021, til børne- og undervisningsministeren
’’Det
følger bl.a. af databeskyttelsesreglerne, at behandling af personoplysninger må
finde sted, hvis én af betingelserne i databeskyttelsesforordningens artikel 6, stk. 1, litra
a-f, er opfyldt.
Når kommunerne behandler
herunder opbevarer
elevers personoplysninger i
Googles og Microsofts produkter i undervisningsøjemed, sker det på grundlag af arti-
kel 6, stk. 1, litra e, hvorefter behandling af personoplysninger bl.a. kan ske, hvis be-
handlingen er nødvendig af hensyn til udførelse af en opgave, som henhører under of-
fentlig myndighedsudøvelse. Kommunernes (herunder skolernes) behandling af elevers
oplysninger i Googles og Microsofts produkter til brug for undervisningen forudsætter
således, at behandlingen er nødvendig i forhold til udførelse af de opgaver, kommu-
nerne er pålagt som offentlige myndigheder.
Behandling af personoplysninger skal i øvrigt altid ske i overensstemmelse med de grund-
læggende principper i databeskyttelsesforordningens artikel 5.
Der gælder således bl.a. et princip om formålsbegrænsning, hvilket betyder, at indsam-
ling af personoplysninger kun må ske til udtrykkeligt angivne og legitime formål. Senere
behandling må ikke være uforenelig med disse formål. Der gælder også et princip om
dataminimering, hvorefter personoplysninger skal være tilstrækkelige, relevante og be-
grænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles.
Herudover gælder der et grundlæggende princip om opbevaringsbegrænsning, hvilket in-
debærer, at personoplysninger skal opbevares på en sådan måde, at det ikke er muligt
at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål,
hvortil de pågældende personoplysninger behandles. Dette betyder med andre ord, at
kommunerne
på baggrund af formålet med behandlingen af elevernes oplysninger
skal vurdere, hvor længe det er nødvendigt at opbevare oplysningerne (dvs. fastsætte pas-
sende slettefrister).
Et yderligere grundlæggende princip, som kan nævnes, er princippet om integritet og
fortrolighed. Det følger heraf, at personoplysninger skal behandles på en måde, der
sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyt-
telse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller
beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstalt-
ninger.
Databeskyttelsesforordningen fastsætter endvidere en række yderligere forpligtelser,
som kommunerne skal leve op til, herunder bl.a. regler om behandlingssikkerhed og
iagttagelse af de registreredes rettigheder.
Reglerne om de registreredes rettigheder findes i databeskyttelsesforordningens kapitel
III.
For så vidt angår reglerne om behandlingssikkerhed følger det af databeskyttelsesfor-
ordningens artikel 32, at kommunerne skal indføre passende tekniske og organisato-
2
 REU, Alm.del - 2020-21 - Endeligt svar på spørgsmål 633: Spm. om kommentar til artiklen Folketingspolitikere har fået nok: »Børns digitale beskyttelse sejler« fra Version2.dk den 3. februar 2021, til børne- og undervisningsministeren
riske foranstaltninger for at sikre elevernes rettigheder og frihedsrettigheder. Ved vur-
deringen af, hvad der udgør passende foranstaltninger, skal der bl.a. tages hensyn til
den pågældende behandlings karakter og formål samt risiciene for elevernes rettigheder
og frihedsrettigheder. En væsentlig del af vurderingen af niveauet for behandlingssik-
kerhed er personoplysningernes karakter, herunder om der er tale om oplysninger af
fortrolig eller følsom karakter.’’
Børne- og Undervisningsministeriet er bekendt med, at der i løbet af ja-
nuar 2020 bl.a. i Version2 og Politikkens Skoleliv har været historier om,
at flere kommuner står til at få kritik fra Datatilsynet i forbindelse med,
at kommunerne ikke har udarbejdet de fornødne risikovurderinger i for-
bindelse med skolernes brug af Googles og Microsofts produkter i un-
dervisningen, og at kommunerne ikke i tilstrækkelig grad har tilpasset pri-
vatlivsindstillingerne i den forbindelse.
Det er naturligvis bekymrende, hvis kommunerne ikke overholder data-
beskyttelsesreglerne. Jeg er derfor glad for, at Datatilsynet har taget sagen
op med henblik på at træffe afgørelser i disse sager. Datatilsynet har end-
videre oplyst, at de rådgiver kommunerne med henblik på at understøtte,
at kommunerne overholder gældende regler.
Jeg har tillid til, at kommunerne retter sig efter de afgørelser og den vej-
ledning, som de får fra Datatilsynet.
Jeg har endvidere bedt Styrelsen for It og Læring om løbende at følge
udviklingen i sagen, herunder være i dialog med henholdsvis Datatilsynet
og KL.
Med venlig hilsen
Pernille Rosenkrantz-Theil
3