Datatilsynet: Omkring halvdelen af landets kommuner bryder GDPR

https://politiken.dk/del/v6DcRtAAX4bwDe nævner ikke direkte kommuner bare halvdelen.
Man burde kunne læse artikel nu, hvis man har et gratis medie login til politikken.

Helt sikkert ikke et nemt job at være DPO ude i kommunerne i disse år.

Det norske Datailsyn har lavet et - i mine øjne som lægmand - et fremragende vejledende materiale, der kan støtte kommuner og skoler i at komme på den rette side af GDPR i forhold til Chromebooks, Chrome og hele Google-universet samt andre skytjenester.

Materialet kommer godt omkring fra myndighedsudøvelsen (forvaltningsperspektivet) over det hardcore GDPR til den pædagogiske praksis, der jo også handler om at eleverne er umyndige, hvorfor der ligger et særligt ansvar på lærere og forældre i at beskytte eleverne og sikre deres rettigheder.

Det indeholder også en særlig opmærksomhed mod at perspektivet ikke bør være kommunens men elevens :-)

Man kan kun ønske, at det danske Datatilsyn har tilsvarende ressourcer til at hjælpe kommunerne. Det meste kan dog overføres direkte.

https://www.datatilsynet.no/personvern-pa-ulike-omrader/skole-barn-unge/bruk-av-google-chromebook-og-g-suite-for-education-og-andre-skytjenester-i-grunnskolen/

men at de alligevel samtidigt blev del af en YouTube konto som der ikke var hjemmel til at oprette i hans navn.

Eller rettere, Chrome, som bruger en google konto for det er den samme.

Så vidt jeg ved forholder Schrems II-dommen sig ikke direkte til CLOUD Act, i følge den kompetente Jesper Lund (fra IT-Politisk Forening) strider den dog imod GDPR artikel 48.

Hvis vi ser bort fra CLOUD Act og antager at det amerikanske DevOp team ikke kan tilgå data i de europæiske datacentre, så burde det være muligt at overholde GDPR (så vidt jeg har forstået).

Jeg kan have min tvivl ift. "DevOp-teamet", men den eneste måde at blive klogere på det og CLOUD Act, er nok ved at nogen indleder en sag.

Synden består angiveligt i at elevens personoplysninger alene var registreret med det formål at de skulle bruges i forbindelse med hans brug af login og materialer i undervisningsøjemed, men at de alligevel samtidigt blev del af en YouTube konto som der ikke var hjemmel til at oprette i hans navn.

Dermed blev disse oplysninger så vidt jeg forstår offentliggjort til en endnu bredere kreds da han uforvarende kommenterede på en YouTube video.

Og jo, klasse og skole kan sagtens være problematiske oplysninger. Det er nok ikke alle som ville synes om at fx. Google, et forsikringsselskab eller en kommende arbejdsgiver ved at man engang gik i specialklasse. Derudover kan der også være problemer mht. navne og adressebeskyttelse og lign. hvis en tidligere voldelig forælder eller ægtefælle har fået politi-tilhold.

Afgørelsen er kommet, efter en drengs oplysninger - fulde navn, klassetrin og skole - blev offentliggjort på platformen Youtube tilknyttet en kontroversiel kommentar, som hans venner stod bag.

Hvad er Chromebooks synd egentligt?

I øvrigt, "venner" ???

Hvilke fortolkning har Datatilsynet brugt for at konkludere at man kan konfiguere Chromebooks til at overholde GDPR?. De gamle Privacy Shield/safe harbor retnings linier eller resultatet af Schrems-II afgørelsen?https://www.version2.dk/artikel/organisationer-efterspoerger-klar-aftale-dataoverfoersler-efter-schrems-ii-dom-109183

Nogen der har adgang til Politikken og kan oplyse hvilke kommuner der har brudt loven?

Fra artiklen:

Ifølge Allan Frank har undersøgelsen været meget kompliceret, fordi Google beskrivelse af databeskyttelsen er fordelt på mange regelsæt, som henviser til hinanden på kryds og tværs.

Nu kender jeg ikke Allan Frank, men jeg tror nu nok, at jeg kan tillade mig at antage, at han næppe er den langsomste knallert på havnen, hvad angår at læse og forstå beskrivelser og regelsæt vedrørende databeskyttelse. Jeg antager også, at han har betydelig bedre rammer for at bruge tid på at sætte sig ind i det.

Så hvis han føler sig udfordret, hvordan skulle almindelige mennesker så have bare skyggen af en snebolds chance i helvede?

Jeg kunne godt ønske mig to ting:

1. At en dommer hældte det brombærkrat af et regelsæt af brættet, og erklærede det virkningsløst i forhold til privatpersoner.
2. En standard "smiley-ordning", hvor virksomheder skulle selvdeklarere deres minimumsniveau, med mulighed for at skulle udbetale mærkbare nominelle erstatninger til alle brugere, hvis de bliver taget i at lyve. Og de må gerne holde mere end de lover...

Stiller det så ikke folk samme sted, hvis man er et sted, hvor standarden er at være logget ind i Chrome? Den eneste forskel er vel, at man ikke kan gøre noget på en Chromebook før man er logget ind med sit Google-ID?