Dania: zakaz przetwarzania danych w Google Workspace
Duński organ nadzorczy na podstawie oceny skutków przetwarzania przeprowadzonej przez jedną z gmin stwierdził, że przetwarzanie danych osobowych w ramach Google Workspace stoi w sprzeczności z wymogami RODO. Sprawa dotyczyła jednej ze szkół.
Problem leży w konstrukcji Google Workspace
Organ nadzorczy z Danii zwrócił uwagę na to, że gmina, jako administrator, w toku DPIA nie wykryła zagrożeń wiążących się z takim przetwarzaniem. W ocenie organu wiązały się one z konstrukcją podmiotu przetwarzającego dane (czyli Google) w odniesieniu do czynności przetwarzania, które ADO może wykonywać jako organ publiczny.
Zarzucono także, że w umowie przetwarzania przewidziano możliwość przekazywania danych osobowych do państw trzecich w sytuacjach wymagających wsparcia technicznego. Mimo tego umowa nie gwarantuje wymaganego stopnia bezpieczeństwa i ochrony.
Zakaz póki co tylko dla jednego ADO
Na tej podstawie duński organ nadzorczy zadecydował o:
- zawieszeniu przetwarzania danych przez gminę w przypadku przekazywania informacji do państw trzecich bez niezbędnego stopnia ochrony,
- zakazał administratorowi przetwarzania danych osobowych w Google Workspace do czasu przeprowadzenia odpowiedniej dokumentacji i oceny skutków oraz do czasu dostosowania operacji przetwarzania do RODO.
Wprawdzie nie jest to absolutny zakaz przetwarzania danych w ramach Google Workspace. Dotyczy on bowiem aktualnie tylko danego administratora. Z drugiej strony organ zapowiedział, że analogiczne rozstrzygnięcia mogą zostać podjęte w odniesieniu do innych duńskich gmin.
Przeczytaj także: Kalendarz Google – czy dane osobowe są w nim bezpieczne
- edpb.europa.eu/news/national-news/2022/danish-dpa-imposes-ban-use-google-workspace-elsinore-municipality_en
- newsletter UODO (sierpień/wrzesień 2022 r.)
- Pracownik w delegacji – jak wygląda przekazywanie jego danych osobowych do państwa trzeciego
- Mechanizmy dochodzenia roszczeń w związku z wdrożeniem ram ochrony danych UE - USA
- Upoważnienie do przetwarzania danych osobowych czy oświadczenie o poufności
- TSUE: Identyfikator personalizacji reklam zaliczany do danych osobowych według RODO
- Kara za przetwarzanie danych osobowych w rozmowach telefonicznych bez podstawy prawnej
- Zgoda marketingowa – czy także od firmy lub instytucji
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
