IT之家 7 月 19 日消息,在去年赫尔辛格市被命令对谷歌处理的个人数据进行风险评估之后,丹麦实际上已禁止谷歌在学校提供的服务。
在上周发布的一项裁决中,丹麦数据保护机构 Datatilsynet 透露,涉及使用谷歌基于云的 Workspace 软件套件(包括 Gmail、Google Docs、日历和 Google Drive)的学生数据处理“不符合”欧盟 GDPR 数据隐私法规。
(资料图片)
具体来说,当局发现数据处理器协议 —— 或谷歌的条款和条件 —— 似乎允许将数据传输到其他国家 / 地区以提供支持,即使数据通常存储在谷歌的欧盟数据中心之一。
Google 的 Chromebook 笔记本电脑以及扩展的 Google Workspace 在丹麦各地的学校中使用。在 2020 年报告“违反个人数据安全”之后,Datatilsynet 专门针对赫尔辛格进行风险评估。虽然这项最新裁决在技术上目前仅适用于赫尔辛格的学校,但 Datatilsynet 指出,已经得出的许多结论将“可能适用于使用 Google Chromebook 和 Workspace 的其他城市”。Datatilsynet 补充说,希望这些其他城市在赫尔辛格做出决定后“采取相关措施”。
该禁令立即生效,赫尔辛格必须在 8 月 3 日之前删除用户数据。
谷歌发言人回应称:
“我们理解学生和学校希望他们使用的技术合法、负责且安全。这就是为什么多年来,Google 一直投资于隐私最佳实践和认真的风险评估,并广泛提供我们的文档,以便任何人都可以看到我们如何帮助组织遵守 GDPR。
学校拥有自己的数据。我们仅根据与他们签订的合同处理数据。在 Workspace for Education 中,学生的数据绝不会用于广告或其他商业目的。独立组织对我们的服务进行了审计,我们不断审查做法,以保持尽可能高的安全和合规标准。”
这一最新公告是在法国、意大利和奥地利的当地数据监管机构裁定使用谷歌分析来跟踪访问者的网站违反欧洲数据隐私规则之后发布的,因为个人数据被转移到美国进行处理。与此同时,爱尔兰数据保护委员会 (DPC) 目前正在审查 Facebook 母公司 Meta 如何在欧洲和美国之间传输数据,这可能会影响欧洲人访问 WhatsApp 和 Instagram 等服务的方式。
几个月前,谷歌宣布将为欧洲 Workspace 用户推出新的“主权控制”,允许他们“控制、限制和监控进出欧盟的数据传输”。
但是,这些控制措施要到今年晚些时候才能使用,其他数据控制工具将在 2023 年全年推出。而且在早期阶段,这些新工具是否符合 GDPR 的严苛规定仍不清楚。