Датският орган за защита на личните данни Datatilsynet отправи официално порицание към 51 датски общини за начина, по който използват продуктите на Google в началното образование. Става дума основно за Google Chromebooks и Google Workspace for Education, които са широко внедрени в училищната система.
Макар да не са наложени финансови санкции, решението изпраща ясен сигнал: използването на глобални облачни услуги в публичния сектор изисква пълна правна и техническа яснота относно трансфера и обработката на лични данни.
Кой носи отговорност – общините или Google?
В конкретния случай общините се явяват администратори на лични данни, а Google – обработващ данни. Проблемът възниква от факта, че Google използва верига от подизпълнители (sub-processors), част от които се намират извън Европейския съюз.
Съгласно GDPR, когато лични данни се прехвърлят извън Европейското икономическо пространство (ЕИП), администраторът трябва да гарантира, че нивото на защита е еквивалентно на това в ЕС.
Ако такива гаранции липсват, трансферът може да бъде считан за незаконосъобразен.
Позицията на Европейския комитет по защита на данните
Още преди две години Datatilsynet отправя запитване към Европейския комитет по защита на данните (EDPB) относно задълженията на администраторите при използване на обработващи и подизпълнители извън ЕС.
Отговорът е категоричен:
Администраторът трябва да разполага с пълен и детайлен преглед на всички обработващи и подизпълнители, включително:
-
тяхната роля
-
местоположение
-
правно основание за трансфер
-
съответствие с правилата на GDPR
-
механизми за международен обмен на данни
Според датския регулатор общините не са изпълнили тези изисквания.
Договорите не са достатъчни
Datatilsynet подчертава, че чисто договорните клаузи не са достатъчни, когато става въпрос за трансфер на данни към държави, които не осигуряват адекватно ниво на защита.
Общините не са проверили в достатъчна степен дали подизпълнителите на Google спазват условията по договорите за обработка, особено по отношение на трансграничните трансфери.
Това означава, че обработката на лични данни на ученици в началните училища не отговаря изцяло на изискванията на европейското законодателство за защита на личните данни.
Риск от неправилна конфигурация
Регулаторът предупреждава също, че неправилната конфигурация на Google услугите може сама по себе си да доведе до нарушение на GDPR.
Това поставя допълнителна отговорност върху публичните институции:
-
да осигурят техническа компетентност
-
да следят за промени в условията на услугата
-
да адаптират настройките спрямо изискванията за защита на данните
Липсата на достатъчно ресурси или експертиза не освобождава администратора от отговорност.
По-широкият контекст – облачните услуги в образованието
Случаят повдига по-широк въпрос относно използването на американски облачни доставчици в европейския публичен сектор. След решенията на Съда на ЕС по казусите Schrems II и последвалите дебати около трансфера на данни към САЩ, институциите са под засилен надзор.
Образователната среда е особено чувствителна, тъй като обработва данни на непълнолетни лица – категория, изискваща засилена защита.
Макар и без глоби, порицанието на 51 датски общини представлява сериозно предупреждение към публичния сектор в ЕС.
Основните изводи са ясни:
-
Администраторът носи пълната отговорност за веригата от обработващи
-
Договорните гаранции не са достатъчни без реална проверка
-
Международният трансфер на данни остава високорискова зона
-
Неправилната конфигурация може да доведе до самостоятелно нарушение
В ерата на дигиталното образование удобството на облачните услуги не може да изпреварва изискванията за защита на личните данни. Европейските институции ясно показват, че съответствието с GDPR не е формалност, а структурно задължение.
