Danish DPA Banned the Use of Google Chromebooks and Google Workspace in Schools in Helsingor Municipality
https://arxiv.org/abs/2407.19377
Zhrnutie: Dánska samospráva ako zriaďovateľ základných škôl porušila práva a slobody detí tým, že (podľa GDPR) nedostatočne zabezpečila ochranu osobných údajov detí pri používaní Google Chromebook a Google Workspace, kde sa osobné údaje spracúvajú nezabezpečene v tretej krajine (USA), ktorá má odlišnú/slabšiu ochranu ako EÚ - samospráva neposúdila dostatočne tieto riziká. Dánsky úrad na ochranu osobných údajov zakázal samospráve používať tieto služby. Prípad je z roku 2022, po druhom zrušení dohody EÚ-USA o cezhraničnom prenose údajov.
Odporúčania: Štandardné doložky o ochrane osobných údajov pri cezhraničnom prenose nemožno považovať automaticky za dostatočné, treba posúdiť prípady individuálne. Dodatočné efektívne opatrenia:
- Prenášané dáta sú plne šifrované a šifrovací kľúč je v rukách správcu dát na území EÚ/EHP.
- Osobné údaje sú pseudonymizované/anonymizované.
- Spracovanie dát je rozdelené (časť na území EÚ/EHP a časť na území tretích krajín).
Posúdenie rizík:
- Je riziko, že Google alebo iné tretie strany používajú osobné údaje (napr. IP adresa, digitálna stopa, kontaktné údaje) na marketing alebo iné účely, ktoré zodpovodná osoba nemá pod kontrolou, pričom osobné údaje detí vyžadujú zvýšenú ochranu. Google by mal byť v pozícii sprostredkovateľa spracúvania osobných údajov pre prevádzkovateľa, ale kvôli používaniu osobných údajov na marketing alebo iné účely, je tiež v postavení samostatného prevádzkovateľa, pričom nezískal osobitný súhlas na spracovanie osobných údajov od dotknutých osôb v pracovnom alebo školskom prostredí.
- Je riziko, že osobné údaje budú prenášané do tretích krajín, ktoré majú nižšiu úroveň ochrany ako EÚ - Google Ireland prenáša časť údajov do Google LLC USA.
Moje poznámky na záver:
- Túto argumentáciu možno použiť v princípe na všetky cloudové služby prevádzkové v USA a inde vo svete pre klientov v EÚ - napr. Google, Microsoft, Meta, Apple, Amazon…
- Riešenie: používať cloudové služby prevádzkované v EÚ (tých je málo), alebo šifrovaný privátny cloud.
- Kedy sa konečne budú slovenské úrady zaoberať touto témou? Či azda slovenské úrady garantujú, že všetko je v poriadku a žiadne riziká nehrozia? Napr. slovenské školstvo je takmer na 100 % závislé od monopolných cloudových služieb Microsoft a Google, pričom školy neposudzujú riziká, nezískavajú súhlas od dotknutých osôb, nemajú funkčné bezpečnostné opatrenia, nešifrujú dáta…