Jau kopš 2018. gada maija visās Eiropas Savienības dalībvalstīs tika uzsākts Vispārīgās datu aizsardzības regulas (GDPR) ieviešanas process, taču regulas neievērošana aizvien rada nepatīkamus starpgadījumus, kuros neziņas un neuzmanības dēļ nevajadzīgam riskam tiek pakļauta viena no neaizsargātākajām sabiedrības grupām – bērni un jaunieši. Rūpējoties par drošību, Dānijas Datu aizsardzības iestāde aizliegusi skolās izmantot Chromebook datorus, kamēr nav veikts izvērsts potenciālo risku novērtējums. Šāds lēmums ietekmēs 45 valsts pašvaldības.
Konteksts
Dānijas Datu aizsardzības iestāde saņēma divas sūdzības par Helsingoras pašvaldības veikto personas datu apstrādi saistībā ar Chromebook datoru piegādi pamatskolām.
Sūdzībās bija norādīts, ka Helsingoras pašvaldība bez vecāku ziņas un piekrišanas skolēniem ir izveidojusi Google kontus, nodrošinot viņiem piekļuvi dažādām programmām, tostarp Gmail un YouTube. Šie konti bija nepieciešami, lai izmantotu Chromebook datorus, kuros instalēta programmu pakete “G-suite” jeb Google produkts, kas īpaši paredzēts bērnu un jauniešu izglītībai.
Kad skolēni izmantoja šīs programmas, pieslēdzoties no saviem skolas profiliem, platformās tika parādīti viņu vārdi, kā arī skolas un klases informācija. Vecāki nevarēja šo informāciju labot vai anonimizēt, jo piekļuve lietotāju pārvaldības paneļiem bija tikai pašvaldībai.
Sākotnēji pašvaldība nemaz nezināja, ka skolēni var izmantot G-suite komplekta pamatprogrammu papildinājumus. Tāpēc tā nebija veikusi attiecīgās apstrādes riska novērtējumu, jo īpaši attiecībā uz konfidencialitātes zaudēšanu. Tā arī nebija īstenojusi tehniskus vai organizatoriskus pasākumus, lai nodrošinātu datu subjektu tiesības saistībā ar sociālo plašsaziņas līdzekļu izmantošanu, pieslēdzoties no izveidotajiem skolas profiliem.
Kad pašvaldība saņēma pirmo sūdzību par šo jautājumu, tā ierobežoja skolēnu piekļuvi platformai YouTube un mainīja publiski pieejamo informāciju profilos, iekļaujot tikai skolēnu vārdu un skolu.
Neziņas sekas
Helsingoras pašvaldība neuzskatīja, ka šis incidents varētu apdraudēt datu subjektu tiesības un brīvības, un tāpēc neziņoja Dānijas Datu aizsardzības iestādei. Tā uzskatīja, ka informācija, kas netīši kopīgota ar YouTube, bija vien parasti personas dati vārdu, uzvārdu, skolas un klašu veidā vai informācija, kas pati par sevi neļauj tieši sazināties ar personu vai vākt informāciju par uzvedību.
Šīs situācijas dēļ Dānijas Datu aizsardzības iestāde izdeva rīkojumu pret pašvaldību, lai tā saskaņotu datu apstrādes darbības attiecīgi Vispārīgās datu aizsardzības regulas jeb GDPR vadlīnijām. Pašvaldībai tika uzdots veikt riska novērtējumu par Chromebook un Google pakalpojumu izmantošanu skolās un, ja risks datu subjektiem un viņu brīvībām tiek novērtēts kā augsts, pārtraukt to izmantošanu, līdz risks tiek samazināts.
Augsts risks bērnu tiesībām un brīvībām
Dānijas Datu aizsardzības iestāde uzskata, ka jaunu un sarežģītu tehnoloģiju, tostarp programmatūru, izmantošana, jo īpaši izglītības jomā, kur datu subjekti ir bērni un jaunieši, parasti rada augstu risku šo skolēnu tiesībām un brīvībām. Visiem ir zināms, ka Google uzņēmējdarbības modelis paredz informācijas vākšanu, mērķtiecīgas mārketinga aktivitātes un iegūtās informācijas pārdošanu, tādēļ šie faktori būs jāiekļauj attiecīgo risku novērtējumā.
