A nagy valószínűséggel precedensként szolgáló döntést a dán adatvédelmi hatóság, a Datatilsynet hozta meg a múlt héten.
A határozathozatalra azok után került sor, hogy egy 2020-as súlyos adatvédelmi incidenst követően Helsingør önkormányzatának adatkezelési gyakorlatát vizsgálta meg a Datatilsynet: elvégeztek egy adatvédelmi auditot az egyébként a szinte az összes dán iskolában széles körben használt Chrombookok, illetve az ezekhez kapcsolódó Google-szolgáltatások esetében.
Az adatvédelmi ügynökség a vizsgálat során megállapította, hogy a Google felhőalapú Workspace-csomagja (korábbi nevén: G Suite for Education) – mely tartalmazza többek között a Gmailt, a Google Dokumentumokat, a Naptárt, a Google Drive-ot is – olyan általános szerződési feltételekkel (ÁSZF) rendelkezik, mely több ponton sérti az európai általános adatvédelmi rendelet (GDPR) rendelkezéseit. A hatóság legfontosabb kifogása, hogy a Google akkor is továbbíthatja a dán iskolákban megszerzett adatokat az Egyesült Államokba, ha egyébként ezeket az előírásoknak megfelelően valamelyik európai uniós szerveren tárolják.
Az eredmények alapján a Datatilsynet elmarasztalta az önkormányzatot felelőtlen adatkezelés miatt, újabb kockázatelemzés elvégzését írták elő, és ezzel párhuzamosan mindaddig megtiltották a Google Workspace használatát, amíg a Google nem hozza összhangba a felhasználási feltételeket a GDPR előírásaival. A rendelkezés szerint Helsingør önkormányzatának augusztus harmadikáig törölnie kell az érintett felhasználói adatokat. A hatóság azt is közölte, hogy – mivel a szolgáltatás használata igen elterjedt a dániai közszférában – várakozásaik jés elvárásaik szerint a többi dán önkormányzat is hasonlóan fog eljárni.
A Google szóvivője hosszasan kommentálta a döntést, és elmondta, hogy a vállalat évek óta nagy erőfeszítéseket tesz, hogy megfeleljen az adatvédelmi elvárásoknak, gyakorlatukat független szakértők auditálják. Külön kiemelte, hogy a Workspace for Education szolgáltatásban keletkező tanulói adatokat a szerződéseknek megfelelően soha nem használják fel hirdetési vagy egyéb kereskedelmi célra.
A probléma gyökere régre nyúlik vissza: egy 2020-as, a Privacy Shieldet használhatatlan szerződésnek minősítő bírósági döntés következtében jelenleg gyakorlatilag nincs általános, az adatáramlásra vonatkozó EU-USA adatvédelmi szerződés – és főképp azért nincs, mert az eddig megkötött, majd felfüggesztett megállapodások mindegyike az amerikai vállalatoknak kedvezett, miközben az EU polgárai, országai igen gyenge jogérvényesítő és jogorvoslati eszközökkel rendelkeztek, rendelkeznek velük szemben.