La protezione dei dati personali ha proposto a Garðabær, Hafnarfjarðarbær, Kópavogsbær, Reykjanesbær e alla città di Reykjavík di conformare il trattamento dei dati personali degli studenti delle scuole primarie nel sistema studentesco di Google, Google Workspace for Education, alla legislazione sulla privacy. Inoltre sono state comminate sanzioni amministrative ai Comuni.
Gli audit hanno esaminato il modo in cui i dati personali degli studenti delle scuole elementari dei comuni venivano trattati nel sistema Google Student. Gli audit hanno rivelato che Google tratta i dati personali degli studenti delle scuole elementari oltre le istruzioni delle autorità locali e non si è ritenuto che fosse dimostrato che il trattamento rientrasse nelle finalità definite dalle autorità locali per il trattamento dei dati personali negli studenti sistema.
La conclusione dell’Agenzia per la protezione personale è stata che ci sono state molteplici violazioni da parte dei comuni della legislazione sulla protezione personale con l’utilizzo del sistema studentesco. I comuni non sembravano aver adempiuto alle proprie responsabilità quando hanno valutato e deciso di utilizzare Google come responsabile del trattamento, e gli accordi di trattamento dei comuni con Google non soddisfacevano tutti i requisiti della legislazione sulla privacy. Inoltre, le autorità locali non hanno adempiuto alle proprie responsabilità, relative al fatto che i dati personali degli studenti delle scuole elementari non devono essere trattati per scopi diversi e incompatibili rispetto a quelli specificati dalle autorità locali per il trattamento. Inoltre, i comuni non hanno adempiuto ai propri obblighi relativi alla minimizzazione dei dati e alla protezione personale integrata e predefinita. Inoltre, Garðabær, Hafnarfjarðarbær, Kópavogsbær e Reykjanesbær non hanno adempiuto ai loro obblighi in materia di limitazione della conservazione e protezione personale predefinita. Le valutazioni di Garðabær, Hafnarfjarðarbær, Reykjanesbær e Reykjavík City sull’impatto sulla protezione personale erano errate, ma Kópavogsbær non ha effettuato tale valutazione. Inoltre, le autorità locali non hanno garantito il trasferimento sicuro dei dati personali negli Stati Uniti fino al 10 giugno scorso, quando è stata approvata la decisione di equivalenza relativa al trasferimento dei dati personali dall’Europa agli Stati Uniti.
La conclusione dell’Agenzia per la protezione personale si basa, tra le altre cose, su sul fatto che i dati personali dei bambini godono di una protezione speciale ai sensi della legislazione in materia di protezione personale, oltre al fatto che si ritiene che informazioni su questioni puramente private dei bambini siano registrate nel sistema studentesco e che si ritenga probabile che i loro dati personali sensibili è stato registrato nel sistema. Si è inoltre ritenuto che esistesse il rischio associato al trasferimento di dati personali negli Stati Uniti e ivi trattati senza l’adozione di adeguate misure di protezione. D’altro canto, si è ritenuto anche che non risultasse essersi verificato alcun danno a seguito delle violazioni e che le autorità locali hanno risposto alle richieste del Garante per la protezione dei dati personali trattando il caso in modo chiaro e conciso.
https://www.personuvernd.is/personuvernd/frettir/uttektir-a-skyjathjonustu-google-i-grunnskolastarfi