Υπόθεση Chromebook στα σχολεία: Αυστηρές παρατηρήσεις της δανικής αρχής σε 51 δήμους

Σοβαρή κριτική άσκησε η δανική αρχή προστασίας δεδομένων Datatilsynet σε 51 δήμους σχετικά με τη χρήση προϊόντων της Google για εκπαιδευτικούς σκοπούς στη δημόσια πρωτοβάθμια εκπαίδευση. Η απόφαση αφορά τη λεγόμενη «υπόθεση Chromebook» και εντάσσεται σε ένα εκτεταμένο και σύνθετο πλαίσιο εποπτικού ελέγχου που αφορά τη χρήση των Google Workspace for Education και Google Chrome Education στα δημόσια σχολεία της Δανίας.

Στο πλαίσιο της υπόθεσης, η Αρχή εξέτασε ειδικότερα κατά πόσον οι δήμοι, ως υπεύθυνοι επεξεργασίας, έχουν συμμορφωθεί με τις υποχρεώσεις που απορρέουν από τη χρήση της Google ως εκτελούσας την επεξεργασία. Η εξέταση αυτή πραγματοποιήθηκε, μεταξύ άλλων, ως συνέχεια γνωμοδότησης του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων του Οκτωβρίου 2024, η οποία εστιάζει στις υποχρεώσεις του υπευθύνου επεξεργασίας κατά τη συνεργασία με εκτελούντες και υποεκτελούντες την επεξεργασία.

Ιδιαίτερη βαρύτητα δόθηκε στο ζήτημα της χρήσης υποεκτελούντων την επεξεργασία εκτός της Ευρωπαϊκής Ένωσης. Η Datatilsynet επικεντρώθηκε στο γεγονός ότι η Google, ως εκτελούσα την επεξεργασία για λογαριασμό των δήμων, χρησιμοποιεί υποεκτελούντες την επεξεργασία εγκατεστημένους σε τρίτες χώρες. Στο πλαίσιο αυτό, εξετάστηκαν οι εκτιμήσεις και η τεκμηρίωση των δήμων σχετικά με τη νομιμότητα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που λαμβάνει χώρα από τους υποεκτελούντες αυτούς.

Η απόφαση της δανικής αρχής αναλύει τις βασικές αρχές που απορρέουν από τη γνωμοδότηση του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, ιδίως ως προς την υποχρέωση του υπευθύνου επεξεργασίας να γνωρίζει και να μπορεί να ταυτοποιεί τους εκτελούντες και υποεκτελούντες την επεξεργασία που χρησιμοποιεί, καθώς και να επαληθεύει και να τεκμηριώνει ότι αυτοί δεσμεύονται από ισοδύναμες υποχρεώσεις προστασίας δεδομένων. Επιπλέον, εξετάζεται η υποχρέωση τεκμηρίωσης σε περιπτώσεις διαβίβασης δεδομένων προσωπικού χαρακτήρα από την ΕΕ προς τρίτες χώρες, συμπεριλαμβανομένων και τυχόν περαιτέρω διαβιβάσεων.

Στο διατακτικό της απόφασης, η Datatilsynet άσκησε κριτική για τον τρόπο με τον οποίο οι δήμοι επεξεργάζονται δεδομένα προσωπικού χαρακτήρα μέσω της χρήσης των προϊόντων της Google στην εκπαίδευση. Παράλληλα, προειδοποίησε ότι είναι πιθανό να παραβιάζεται ο Γενικός Κανονισμός Προστασίας Δεδομένων εάν οι δήμοι δεν έχουν διαμορφώσει τις ρυθμίσεις των επίμαχων προγραμμάτων σύμφωνα με τις προϋποθέσεις και τις λειτουργικές απαιτήσεις που έχουν τεθεί από την Ένωση Δήμων της χώρας. Αντίστοιχη προειδοποίηση απευθύνθηκε και σε σχέση με την ανάθεση επεξεργασιών που συνεπάγονται περαιτέρω επεξεργασία σε τρίτες χώρες, όταν δεν μπορεί να διασφαλιστεί επίπεδο προστασίας ουσιαστικά ισοδύναμο με εκείνο της ΕΕ.

Τέλος, η αρχή ανέφερε ότι ο υπεύθυνος επεξεργασίας δεν μπορεί να κάνει νόμιμη χρήση προϊόντων, όταν το πλαίσιο, οι ρόλοι και οι σχέσεις της επεξεργασίας δεδομένων προσωπικού χαρακτήρα δεν είναι σαφώς προσδιορισμένα. Επισημαίνεται επίσης η υποχρέωση του υπευθύνου επεξεργασίας να διαθέτει τους αναγκαίους πόρους ώστε να διασφαλίζει διαρκώς τη νομιμότητα της επεξεργασίας, ιδίως σε περιπτώσεις όπου αλλάζουν οι λειτουργίες ή ο τρόπος χρήσης του επιλεγμένου προϊόντος ή τροποποιούνται οι συμβατικοί όροι που το διέπουν.