在赫尔辛格市的官员去年被命令对谷歌处理个人数据的风险评估之后,丹麦实际上禁止了谷歌在学校的服务。
在上周发布的一项裁决中,丹麦数据保护机构 Datatilsynet 透露,涉及使用谷歌基于云的 Workspace 软件套件(包括 Gmail、谷歌文档、日历和谷歌云端硬盘)的学生的数据处理“不符合”欧盟的 GDPR 数据隐私法规。
具体来说,当局发现数据处理器协议——或谷歌的条款和条件——似乎允许将数据传输到其他国家以提供支持,即使数据通常存储在谷歌的欧盟数据中心之一。
Google 的 Chromebook 笔记本电脑以及扩展的 Google Workspace 在丹麦各地的学校中使用。但在该市早在 2020 年报告“违反个人数据安全”之后,Datatilsynet 专门针对赫尔辛格进行风险评估。虽然这项最新裁决在技术上目前仅适用于赫尔辛格的学校,但 Datatilsynet 指出,它已经得出的许多结论将“可能适用于使用 Google Chromebook 和 Workspace 的其他城市”。它补充说,它希望这些其他城市在赫尔辛格做出决定后“采取相关措施”。
该禁令立即生效,但赫尔辛格必须在 8 月 3 日之前删除用户数据。
数据流
问题的核心是现已失效的欧盟-美国隐私盾,它规范了欧盟和美国之间如何共享数据。虽然一项新的数据流协议已在原则上达成一致,但尚未生效,这让许多组织陷入了困境。因此,大型科技公司在数据处理实践中依赖标准合同条款。
谷歌发言人告诉 TechCrunch:
我们知道,学生和学校希望他们使用的技术合法、负责且安全。这就是为什么多年来,Google 一直投资于隐私最佳实践和认真的风险评估,并广泛提供我们的文档,以便任何人都可以看到我们如何帮助组织遵守 GDPR。
学校拥有自己的数据。我们仅根据我们与他们签订的合同处理他们的数据。在 Workspace for Education 中,学生的数据绝不会用于广告或其他商业目的。独立组织对我们的服务进行了审计,我们不断审查我们的做法,以保持尽可能高的安全和合规标准。
鉴于个人数据被转移到美国进行处理,法国、意大利和奥地利的本地数据监管机构裁定使用 Google Analytics 跟踪访问者的网站违反了欧洲数据隐私规则。与此同时,爱尔兰的数据保护委员会 (DPC)目前正在考虑 Facebook 的母公司 Meta 如何在欧洲和美国之间传输数据,这可能会影响欧洲人访问 WhatsApp 和 Instagram 等服务的方式。
随着欧洲立法者热衷于建立更大程度的数字主权,谷歌一直在加强其平台和基础设施,以帮助确保公共和私人组织与公司合作。几个月前,谷歌宣布将为欧洲的 Workspace 用户推出新的“主权控制”,允许他们“控制、限制和监控进出欧盟的数据传输”。
但是,这些控制措施要到今年晚些时候才能使用,其他数据控制工具将在 2023 年全年推出。在早期阶段,这些新工具在 GDPR 合规性方面是否无懈可击仍不清楚。