A Autoridade de Proteção de Dados da Islândia (DPA) realizou uma investigação de ofício sobre o uso das soluções em nuvem do Google e do Google Workspace para educação nas escolas primárias da cidade de Reykjavík. A investigação foi baseada em um questionário enviado à cidade, um arquivo de processamento contendo informações sobre os dados processados no sistema estudantil do Google, uma Avaliação de Impacto na Proteção de Dados (DPIA), um acordo de processamento de dados e termos e políticas de privacidade do Google.

As principais conclusões da DPA foram:

Responsabilidade pelo Processamento de Dados: A cidade de Reykjavík é considerada controladora de dados no uso dos sistemas do Google nas escolas, mas não com relação ao processamento de dados de serviço pelo Google. Contudo, a cidade tem a responsabilidade de garantir que as atividades de processamento estejam em conformidade com os princípios do GDPR.

Uso de Dados Pessoais pelo Provedor de Serviços: Quando um provedor de serviços usa dados pessoais para seus próprios fins, deve ser considerado um controlador. A cidade de Reykjavík falhou em garantir que os dados pessoais fossem processados apenas para fins especificados por ela.

Legalidade do Processamento: A DPA determinou que a cidade de Reykjavík agiu em violação do GDPR ao permitir que o Google usasse dados de serviço para outros fins e ao não adotar as medidas organizacionais necessárias para reforçar os princípios de privacidade por design e por default.

Avaliação de Impacto na Proteção de Dados Incompleta: A DPIA realizada pela cidade de Reykjavík não cumpriu todos os requisitos mínimos do Artigo 35(7) do GDPR, falhando em incluir operações de processamento de dados de serviço pelo Google.

Transferência Insegura de Dados Pessoais para os EUA: A cidade de Reykjavík também violou o Artigo 44 do GDPR ao não garantir uma transferência segura de dados pessoais para os EUA.

Como resultado, a DPA ordenou que a cidade de Reykjavík adequasse suas operações de processamento em conformidade com o GDPR e impôs uma multa administrativa de 2.000.000 ISK (aproximadamente 14.000 dólares) devido à gravidade das infrações, que envolvem dados pessoais de crianças e potencialmente dados sensíveis.

Com informações - GDPRHub.

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

20 de Dezembro, 2023

Autoridade de proteção de dados da Islândia identifica violações do GDPR nas escolas pelo uso do Google Workspace

Quer ficar por dentro das ultimas notícias na área?

Posts recentes