Szwedzki organ nadzoru nałożył 26 tys. euro kary na Radę ds. dzieci i edukacji gminy Östersund za brak przeprowadzenia oceny skutków dla ochrony danych (DPIA) przed użyciem Google Workspace w szkołach gminy.
Kontekst sprawy
W 2020 r. Rada ds. Dzieci i Edukacji gminy Östersund (administrator) postanowiła zintegrować Google Workspace z własnymi systemami i szkołami, ale nie przeprowadziła DPIA. Uznano, że jako że w 2014 r. inny podległy organ wykonał analizę przed wdrożeniem Google Workspace, to nie trzeba już przeprowadzić DPIA. Google Workspace przetwarzał dane osobowe 1 303 pracowników i 5 945 uczniów, w tym imiona i nazwiska, adresy e-mail oraz przynależność do klas i grup. Dopiero po wdrożeniu tego systemu administrator zaczął przeprowadzać ocenę wpływu dla ochrony danych. Proces ten trwał przez trzy lata i nadal nie został zakończony do czasu dochodzenia prowadzonego przez organ nadzoru.
W momencie rozpoczęcia postępowania administrator wyjaśnił, że część trwającej oceny skutków została przeprocesowana i podjęto odpowiednie działania. Na przykład wdrożono dokumenty dotyczące polityki ochrony danych, opracowano kursy szkoleniowe i wdrożono ograniczenia dotyczące przechowywania. Administrator wskazał, że ich DPIA wykazała te same ryzyka co analiza z 2014 roku. Jedynym pytaniem, na które należało odpowiedzieć, było to, czy korzystanie z Google Workspace wymagało przekazania danych osobowych do kraju trzeciego (kraju spoza UE/EOG).
DPIA przed rozpoczęciem procesu!
Jak wskazał organ nadzoru, dla administratora powinno być jasne, że przetwarzanie przy wykorzystaniu Google Workspace było obarczone wysokim ryzykiem i wymagało przeprowadzenia oceny skutków. Organ ochrony danych powołał się na motywy 75 i 76 RODO, które łącznie stanowią, że gdy przetwarzanie danych dotyczy dzieci i dużej liczby osób, których dane dotyczą, uznaje się je za przetwarzanie wysokiego ryzyka. Artykuł 35(1) RODO stanowi, że ocena skutków jest konieczna, gdy przetwarzanie może powodować wysokie ryzyko. Było również jasne, że administrator musi przeprowadzić ocenę skutków zgodnie z art. 35(4) RODO, a więc wykazem rodzajów operacji przetwarzania, które należy poddać ocenie – opublikowanym przez organ nadzorczy.
Szwedzki organ ochrony danych uznał, że działania administratora po 2020 r. nie stanowiły okoliczności łagodzących, które zmniejszyłyby wysokość potencjalnej grzywny. Wynikało to z faktu, że administrator powinien był ustanowić i wdrożyć te środki przed rozpoczęciem korzystania z usługi. Ponadto ocena wpływy nie została zakończona po trzech latach od rozpoczęcia nad nią pracy. W związku z tym organ nałożył na administratora karę w wysokości około 26 tys. euro.
Po co nam DPIA?
DPIA to nieco bardziej rozbudowana ocena ryzyka, przewidziana – zgodnie z treścią art. 35 ust. 1 RODO – dla czynności przetwarzania, które „ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych”. Fakt, że inna organizacja przeprowadziła już DPIA w podobnej sytuacji, nie powoduje, że możemy bezrefleksyjnie skopiować jej wyniki. Kompleksowa analiza dokonana przed wdrożeniem danego narzędzia pozwala nie tylko zapewnić odpowiednią ochronę danych osobowych, ale również ustalić, czy jest ono adekwatne do zakładanych celów.
Źródło: