Google (G Suite) og GDPR

Dataforordningen (GDPR) og Google’s G Suite

Formålet med GDPR er at ensarte reglerne om persondata indenfor EU. Forordningen vil være gældende i alle EU-medlemslande, og for virksomheder som tilbyder varer eller ydelser til lande i EU.

Må man så bruge Google til personhenførbare data efter 25. maj 2018, når dataforordningen træder i kraft? Svaret er kort – JA. Du kan læse mere om det her:  Link

Men som med alt andet skal du huske, at det er dig, der er dataansvarlig. Google er blot databehandler. Så det kræver stadig at du får overblik og udarbejder retningslinjer for brugen af data. F.eks. Hvilke typer persondata du har, hvor du gemmer dem, hvor længe, hvem der har adgang og hvad de bruges til.

G Suite kan leveres under en databehandleraftale (Data Processing Amendment).
G Suite administratoren på Skoler og folkeskoler/kommune skal godkende disse:

Disse godkendes således: Link

Mange har fået opfattelsen af at personfølsomme data skal placeres i EU for at kunne leve op til Persondataforordningen / GDPR. Det er ikke korrekt (Kilde: Link). G Suite data er i dag typisk placeret i USA.

Men man kan vælge at indgå ovenstående ”Data processing amendment” og ”Model contract clauses” Disse aftaler er et yderligere tiltag for at opfylde kravene til sikkerhed i EU’s databeskyttelsesforordning. ”Model contract clauses” blev oprettet specifikt af Europa-Kommissionen for at tillade overførsel af personoplysninger ud af Europa.

Google har forpligtet sig til at overholde EU’s nye persondataforordning. Der kommer løbende flere tiltag og løsninger fra Google der understøtter deres og jeres arbejde med GDPR. Kilde: Link

Det videre arbejde med G Suite og Persondataforordningen / GDPR:

Det første skridt i retning af G Suite og GDPR-overholdelse er, at vurdere om GDPR arbejdet involverer G Suite i forhold til din arbejdsplads, og i bekræftende fald i hvilket omfang. Denne analyse begynder med, at forstå hvilke data du har, og hvor den er placeret. GDPR regulerer indsamling, opbevaring, brug og deling af “personlige data”. Personlige data defineres meget bredt under GDPR, som enhver data, der vedrører en identificeret eller identificerbar fysisk person. Persondata omfatter f.eks.: navn, adresse, telefonnummer, e-mail, medarbejdernummer, referencer, billeder osv.

Hvis din virksomhed har denne type data i e-mail indhold, kalender, G Drive, fællesdrev, Classroom, Google+, Fotos, databaser eller andre steder – eller ønsker at indsamle det, og hvis dataene tilhører eller vedrører EU-borgere, så skal du overholde GDPR.

For at forstå hvilke forpligtelser det pålægger er det vigtigt, at kategorisere dine data. Dette vil hjælpe dig med at forstå, hvilke data der er personlige, og til at identificere de systemer, hvor dataene indsamles og lagres, forstå hvorfor det blev indsamlet, hvordan data behandles og deles, og hvor længe det opbevares.