Danimarka veri koruma yetkilisi (Datatilsynet), ülkedeki okullarda Chromebook’lar ve Google Workspace hizmetlerinin kullanımı yoluyla öğrenci verilerinin Google’a aktarılmasıyla ilgili bir tedbir kararı çıkardı.
Konu, yaklaşık dört yıl önce kaygılı bir ebeveyn ve aktivist olan Jesper Graugaard tarafından ajansın dikkatine sunuldu. Jesper Graugaard, öğrenci verilerinin Google’a, kötüye kullanım potansiyeli veya bu kişiler üzerinde yaratabileceği etki dikkate alınmadan gönderilmesini protesto etti. gelecek.
Ajans artık kişisel verileri Google’a aktarmaya yönelik mevcut yöntemlerin, açıklanan tüm amaçlar açısından yasal bir dayanağı olmadığına karar verdi. Bu nedenle, Danimarka’daki 53 belediyenin veri işleme uygulamalarını ayarlaması gerekiyor.
Özellikle belediyelere aşağıdakiler emredilir:
- Kişisel verilerin belirli amaçlarla Google’a aktarılmasını durdurma veya bu tür aktarımlar için açık bir hukuki dayanak elde etme,
- Google Workspace gibi araçları kullanmadan önce kişisel verilerin nasıl işlendiğini analiz edip belgeleyin ve
- Google’ın, aldığı verileri uyumlu olmayan amaçlarla işlemekten kaçındığından emin olun.
Ajans, öğrenci verilerinin izin verilen kullanımlarının arasında Google Workspace tarafından sunulan eğitim hizmetlerinin sağlanması, bu hizmetlerin güvenliğinin ve güvenilirliğinin artırılması, iletişimin kolaylaştırılması ve yasal yükümlülüklerin yerine getirilmesinin yer aldığını açıkladı.
İzin verilmeyen durumlar, performansın ölçülmesi veya bu platformlar için yeni özellikler ve hizmetlerin geliştirilmesi de dahil olmak üzere Google Workspace for Education, ChromeOS ve Chrome tarayıcının bakımı ve iyileştirilmesiyle ilgili amaçlardır.
Ajansın BT güvenliği, “Günümüzün BT hizmetleri çoğu zaman kişisel verilerin aktarımının ürüne entegre edildiği ve bilgilerin kullanımının genellikle ürünlerin işlevselliğinden tam olarak yararlanmak için bir ön koşul olduğu şekilde çalışmaktadır” dedi. ve hukuk uzmanı Allan Frank.
“Ancak bu her zaman bilgileri kullanılan vatandaşların korunmasına yeterince odaklanıldığında gerçekleşmez.”
“Ancak ne kullanmak istediğiniz çözümlerin işlevselliği, tedarikçinin pazar konumu, standartlaştırılmış yapısı ya da yalnızca standart bir ürünün kullanılması, siyasi açıdan kararlaştırılan veri koruma kurallarına uymamayı haklı gösteremez.” Avrupa’da sahip olmamız gereken bir bakış açısı.”
Yetkilinin kararı, doğrudan Danimarka okullarında yaygın olarak kullanılan Chromebook’ların yasaklanması anlamına gelmiyor ancak kişisel verilerin Google ile nasıl paylaşılabileceği konusunda önemli kısıtlamalar getiriyor.
Ayrıca, Google açısından hassas veri işlemeyi kısıtlamanın belediyeler için imkansız olmasa da zor olacağı göz önüne alındığında, Google Chromebook’ların ve/veya Google Workspace’in kullanımını engellemeden yeni politikalara uymanın pratik bir yolu olmayabilir.
Belediyelerin, 1 Mart 2024’e kadar Datatilsynet’in talimatına nasıl uymayı planladıklarını tam olarak beyan etmeleri ve 1 Ağustos 2024’e kadar da veri işleme uygulamalarını yeni gerekliliklere tam olarak uyumlu hale getirmeleri gerekiyor.
Danimarka ve diğer yerlerdeki insanlar ajansın duyurusunu memnuniyetle karşılasa da, çoğu kişi otoritenin bir karara varmasının gereksiz derecede uzun bir süre (4,5 yıl) aldığını belirtti.
Ek olarak gözlemciler, kurumun raporunda tespit edilen kötü uygulamaların en az on yıldır devam ettiğine ve sorumlulara para cezası verilmesi veya diğer düzeltici önlemlerin alınması gerektiğine dikkat çekti.