Duński organ nadzorczy we wrześniu 2021 roku wydał decyzję, w której zobowiązał gminę Elsinore do dokonania oceny ryzyka przetwarzania danych osobowych za pomocą Google Chromebooks i Workspace, przetwarzanych przez gminę w szkole podstawowej. Na podstawie dokumentacji i oceny ryzyka dla osób, których dane dotyczą, przygotowanej przez gminę Elsinore, duński organ ochrony danych stwierdził wówczas, że przetwarzanie nie spełnia wymogów RODO pod kilkoma względami. Jego zdaniem, gmina, jako administrator, nie oceniła pewnych szczególnych zagrożeń związanych z konstrukcją podmiotu przetwarzającego dane w odniesieniu do czynności przetwarzania, które administrator może wykonywać jako organ publiczny. Ponadto umowa przetwarzania stanowi, że informacje mogą być przekazywane do państw trzecich w sytuacjach wymagających wsparcia technicznego bez zapewnienia wymaganego stopnia bezpieczeństwa i ochrony. W świetle decyzji z września 2021 r. duński organ ochrony danych podjął na początku lipca tego roku nową decyzję, obejmującą między innymi:
• Zawieszenie przetwarzania danych przez gminę Elsinore w przypadku przekazywania informacji do państw trzecich bez niezbędnego stopnia ochrony.
• Ogólny zakaz przetwarzania danych osobowych w Google Workspace do czasu przeprowadzenia odpowiedniej dokumentacji i oceny skutków oraz do czasu dostosowania operacji przetwarzania do RODO.
• Poważną krytykę przetwarzania danych osobowych przez gminę.
• Duński organ nadzorczy zauważa, że wiele konkretnych wniosków zawartych w tej decyzji prawdopodobnie będzie miało zastosowanie do innych duńskich gmin, które korzystają z tej samej konstrukcji podmiotu przetwarzającego dane, co gmina Elsinore.
Źródło: decyzja duńskiego organu