Det offentliges brug af Cloud
Oversat titel
Public sector use of Cloud
Forfatter
Skyum, Katrine Platon
Semester
4. semester
Uddannelse
Udgivelsesår
2025
Afleveret
2025-05-15
Antal sider
44
Abstract
Danmark er blandt de mest digitaliserede samfund, og den offentlige sektor anvender i stigende grad cloud-løsninger, ofte leveret af amerikanske virksomheder, til at understøtte drift, uddannelse og service til borgere. Dette speciale undersøger, hvordan kommuner og andre offentlige myndigheder kan bruge cloud-tjenester i overensstemmelse med GDPR, med fokus på rolle- og ansvarsfordelingen mellem den dataansvarlige og databehandleren samt de risici, som komplekse standardkontrakter og leverandørstyring medfører. Problemformuleringen adresserer i hvilket omfang private databehandlere lovligt kan anvende personoplysninger til egne formål, og hvilket ansvar den offentlige myndighed har for at sikre leverandørens overholdelse af GDPR. Metodisk bygger specialet på retsdogmatisk analyse af databeskyttelsesforordningens behandlingsregler, fortolkningsprincipper og relevante vejledninger fra bl.a. Datatilsynet og Det Europæiske Databeskyttelsesråd, suppleret med udvalgt praksis; der afgrænses fra en dyb behandling af tredjelands-overførsler, registreredes rettigheder, konsekvensanalyser og EU’s Data Act. Caser som den danske Chromebooksag, en litauisk COVID-app-sag og Bindi mod Kommissionen illustrerer de praktiske udfordringer. Specialet konkluderer, at den dataansvarlige fastlægger formålene og det lovlige behandlingsgrundlag og skal sikre, at behandling ikke sker uden hjemmel; en databehandler må ikke behandle oplysninger for egne interesser, og hvis det sker, anses den som dataansvarlig med en ulovlig behandling til følge. Resultaterne peger på behovet for klare, gennemsigtige databehandleraftaler og styrket leverandørstyring i den offentlige sektor.
Denmark is among the most digitalized societies, and the public sector increasingly relies on cloud services—often from U.S. providers—to support operations, education, and services for citizens. This thesis examines how municipalities and other public authorities can use cloud solutions in compliance with the GDPR, focusing on the allocation of roles and responsibilities between data controllers and processors and the risks posed by complex standard contracts and vendor management. The research question asks to what extent private processors may lawfully use personal data for their own purposes and what responsibility public authorities have to ensure vendor compliance with the GDPR. Methodologically, the thesis employs a doctrinal legal analysis of the GDPR’s processing rules, interpretation principles, and relevant guidance from authorities such as the Danish Data Protection Agency and the European Data Protection Board, supplemented by selected case law; it delimits away from in-depth treatment of third-country transfers, data subject rights, data protection impact assessments, and the EU Data Act. Cases including the Danish Chromebook case, a Lithuanian COVID app, and Bindi v Commission illustrate practical challenges. The thesis concludes that the controller determines purposes and lawful bases and must ensure that processing does not occur without legal grounds; a processor must not process data for its own interests, and if it does, it will be considered a controller and the processing will be unlawful. The findings highlight the need for clear, transparent data processing agreements and strengthened vendor management in the public sector.
[Dette resumé er genereret ved hjælp af AI]
Emneord