Η αρχή προστασίας δεδομένων της Δανίας (Datilsynet) εξέδωσε εντολή σχετικά με τη διοχέτευση δεδομένων μαθητών στην Google μέσω της χρήσης των
Chromebook
και των υπηρεσιών
Google Workspace
στα σχολεία της χώρας.
Το θέμα τέθηκε υπόψη του οργανισμού πριν από περίπου τέσσερα χρόνια από έναν ενδιαφερόμενο γονέα και ακτιβιστή, τον Jesper Graugaard, ο οποίος διαμαρτυρήθηκε για τον τρόπο με τον οποίο τα δεδομένα των μαθητών αποστέλλονται στην Google χωρίς να λαμβάνεται υπόψη η πιθανότητα κακής χρήσης ή ο αντίκτυπος που θα μπορούσε να έχει σε αυτά τα άτομα στο μελλοντικός.
Το πρακτορείο έχει τώρα
αποφασισμένος
ότι οι τρέχουσες μέθοδοι μεταφοράς προσωπικών δεδομένων στην Google δεν έχουν νομική βάση για όλους τους σκοπούς που αποκαλύπτονται. Ως εκ τούτου, 53 δήμοι σε όλη τη Δανία πρέπει να προσαρμόσουν τις πρακτικές επεξεργασίας δεδομένων τους.
Συγκεκριμένα, οι δήμοι καλούνται να:
- Διακοπή της μεταφοράς προσωπικών δεδομένων στην Google για συγκεκριμένους σκοπούς ή λήψη σαφούς νομικής βάσης για τέτοιες μεταφορές,
- Αναλύστε και τεκμηριώστε τον τρόπο επεξεργασίας των προσωπικών δεδομένων πριν χρησιμοποιήσετε εργαλεία όπως το Google Workspace και
- Βεβαιωθείτε ότι η Google απέχει από την επεξεργασία τυχόν δεδομένων που λαμβάνει για σκοπούς που δεν συμμορφώνονται.
Η υπηρεσία διευκρίνισε ότι οι επιτρεπόμενες χρήσεις των δεδομένων μαθητών περιλαμβάνουν την παροχή των εκπαιδευτικών υπηρεσιών που προσφέρει το Google Workspace, την ενίσχυση της ασφάλειας και αξιοπιστίας αυτών των υπηρεσιών, τη διευκόλυνση της επικοινωνίας και την εκπλήρωση νομικών υποχρεώσεων.
Οι μη επιτρεπόμενες περιπτώσεις είναι σκοποί που σχετίζονται με τη διατήρηση και τη βελτίωση του Google Workspace for
Education
, του ChromeOS και του προγράμματος περιήγησης Chrome, συμπεριλαμβανομένης της μέτρησης της απόδοσης ή της ανάπτυξης νέων λειτουργιών και υπηρεσιών για αυτές τις πλατφόρμες.
“Οι σημερινές υπηρεσίες πληροφορικής συχνά λειτουργούν με τέτοιο τρόπο ώστε η μεταφορά προσωπικών δεδομένων να ενσωματώνεται στο προϊόν και ότι η χρήση των πληροφοριών αποτελεί συχνά προϋπόθεση για την πλήρη αξιοποίηση της λειτουργικότητας των προϊόντων.”
δηλωθείς
ο ειδικός σε θέματα ασφάλειας πληροφορικής και νόμου του οργανισμού, Allan Frank.
«Ωστόσο, αυτό δεν συμβαίνει πάντα με επαρκή εστίαση στην προστασία των πολιτών των οποίων οι πληροφορίες χρησιμοποιούνται».
“Όμως ούτε η λειτουργικότητα των λύσεων που θέλετε να χρησιμοποιήσετε, η θέση του προμηθευτή στην αγορά, η τυποποιημένη δομή ή η απλή χρήση ενός τυπικού προϊόντος δεν μπορεί να δικαιολογήσει τη μη συμμόρφωση με τους κανόνες για την
προστασία δεδομένων
, που έχει αποφασιστεί από πολιτική άποψη. άποψη που πρέπει να έχουμε στην
Ευρώπη
».
Η απόφαση της αρχής δεν μεταφράζεται άμεσα σε απαγόρευση των Chromebook, τα οποία χρησιμοποιούνται ευρέως στα σχολεία της Δανίας, αλλά επιβάλλει σημαντικούς περιορισμούς στον τρόπο κοινής χρήσης προσωπικών δεδομένων με την Google.
Επίσης, δεδομένου ότι ο περιορισμός της επεξεργασίας ευαίσθητων δεδομένων στο τέλος της Google θα είναι δύσκολο, αν όχι αδύνατο, να διασφαλίσουν οι δήμοι, ενδέχεται να μην υπάρχει πρακτικός τρόπος να τηρούνται οι νέες πολιτικές χωρίς να αποκλειστεί η χρήση των Google Chromebook ή/και του Google Workspace.
Οι δήμοι έχουν προθεσμία έως την 1η Μαρτίου 2024, για να δηλώσουν πώς ακριβώς σκοπεύουν να συμμορφωθούν με την εντολή της Datatilsynet και έως την 1η Αυγούστου 2024, να ευθυγραμμίσουν πλήρως τις πρακτικές επεξεργασίας δεδομένων τους με τις νέες απαιτήσεις.
Αν και οι άνθρωποι στη Δανία και αλλού
ευπρόσδεκτη
ανακοίνωση του πρακτορείου,
σημείωσαν πολλοί
τον αδικαιολόγητα μεγάλο χρόνο που χρειάστηκε η εξουσία για να καταλήξει σε μια απόφαση, που ήταν 4,5 χρόνια.
Επιπλέον, οι παρατηρητές επεσήμαναν ότι οι κακές πρακτικές που εντοπίζονται στην έκθεση του οργανισμού επιμένουν για τουλάχιστον μια δεκαετία και θα πρέπει να δικαιολογούν πρόστιμα ή άλλα διορθωτικά μέτρα για τους υπεύθυνους.
VIA:
bleepingcomputer.com
