デンマークは、ヘルシンゲル市の当局者が昨年行った後、学校でのGoogleのサービスを事実上禁止しています 順序付けられました Googleによる個人データの処理に関するリスク評価を実施するため。
で 先週公開された評決、デンマークのデータ保護機関であるDatatilsynetは、GoogleのクラウドベースのWorkspaceソフトウェアスイート(Gmail、Google Docs、Calendar、Google Driveを含む)を使用する学生が関与するデータ処理が、欧州連合のGDPRデータプライバシーの「要件を満たしていない」ことを明らかにしました規則。
具体的には、当局は、データが通常GoogleのEUデータセンターの1つに保存されている場合でも、データ処理者契約(またはGoogleの利用規約)により、サポートを提供する目的でデータを他の国に転送することが許可されているように見えることを発見しました。
GoogleのChromebookノートパソコン、ひいてはGoogle Workspaceは、デンマーク全土の学校で使用されています。 しかし、Datatilsynetは、自治体が2020年に「個人データのセキュリティ違反」を報告した後、リスク評価のためにHelsingørに特に焦点を当てました。この最新の判決は、技術的には現在Helsingørの学校にのみ適用されますが、Datatilsynetは、到達した結論の多くに注目しています。 GoogleChromebooksとWorkspaceを使用する「おそらく他の自治体に適用される」でしょう。 ヘルシンゲルで下された決定の裏で、これらの他の自治体が「適切な措置を講じる」ことを期待していると付け加えた。
禁止はすぐに有効になりますが、Helsingørは8月3日までユーザーデータを削除する必要があります。
データフロー
この問題の中心にあるのは、EUと米国の間でデータを共有する方法を規制する、現在は機能していないEU-USプライバシーシールドです。 新しいデータフロー契約は原則として合意されていますが、まだ有効になっておらず、多くの組織が行き詰まっています。 その結果、大手テクノロジー企業は、データ処理の実践について標準的な契約条項に依存しています。
Googleの広報担当者はTechCrunchに次のように語った。
生徒や学校は、使用するテクノロジーが法に準拠し、責任を負い、安全であることを期待していることを私たちは知っています。 そのため、Googleは何年もの間、プライバシーのベストプラクティスと勤勉なリスク評価に投資し、ドキュメントを広く利用できるようにして、組織がGDPRに準拠するのをどのように支援しているかを誰もが確認できるようにしています。
学校は独自のデータを所有しています。 私たちは彼らとの契約に従ってのみ彼らのデータを処理します。 Workspace for Educationでは、学生のデータが広告やその他の商業目的で使用されることはありません。 独立した組織が当社のサービスを監査しており、安全性とコンプライアンスの可能な限り最高の基準を維持するために、当社の慣行を常に見直しています。
この最新の発表は、フランス、イタリア、オーストリアのローカルデータウォッチドッグが、個人データが処理のために米国に転送されることを考えると、訪問者を追跡するためにGoogleAnalyticsを使用するウェブサイトがヨーロッパのデータプライバシールールに違反していると判断した後に行われます。 一方、アイルランドのデータ保護委員会(DPC)は現在、Facebookの親会社であるMetaがヨーロッパと米国の間でデータを転送する方法を検討しています。これは、ヨーロッパ人がWhatsAppやInstagramなどのサービスにアクセスする方法に影響を与える可能性があります。
欧州の立法者がより高度なデジタル主権を確立することを熱望しているため、Googleは、公的および私的組織が会社にとどまるのを支援するために、プラットフォームとインフラストラクチャを強化してきました。 数か月前、Googleは、ヨーロッパのWorkspaceユーザー向けに新しい「ソブリンコントロール」を展開し、「EUとの間のデータ転送を制御、制限、監視」できるようにすることを発表しました。
ただし、これらのコントロールは今年後半まで利用できなくなり、追加のデータコントロールツールが2023年中に登場します。また、これらの新しいツールがGDPRコンプライアンスの観点から水密であるかどうかは、この初期段階ではまだ明らかではありません。