Amenzi administrative aplicate de către Autoritatea Islandeză pentru Protecția Datelor pentru încălcarea prevederilor Regulamentului General privind Protecția Datelor
Centrul Național pentru Protecția Datelor cu Caracter Personal, cu titlu informativ și aplicativ, comunică despre o serie de sancțiuni aplicate de către Autoritatea Islandeză pentru Protecția Datelor (SA) pentru încălcarea articolului 5 (Principii legate de prelucrarea datelor cu caracter personal), articolului 6 (Legalitatea prelucrării), articolului 24 (Responsabilitatea operatorului), articolului 25 (Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit), articolului 28 (Persoana împuternicită de operator), articolului 35 (Evaluarea impactului asupra protecției datelor), articolului 44 (Principiul general al transferurilor) și articolului 46 (Transferuri în baza unor garanții adecvate) pentru utilizarea Google Workspace for Education.
SA Islandeză a decis să investigheze utilizarea serviciilor cloud în școlile primare. Ancheta s-a limitat la utilizarea Google Workspace for Education, sistemul educațional Google, în cele mai mari cinci municipalități din Islanda. În urma investigațiilor s-a constatat că, datele cu caracter personal ale elevilor nu au fost prelucrate doar la instrucțiunile municipalității, ci și în scopurile proprii ale Google. Municipalitatea nu a reușit să demonstreze modul în care prelucrarea ulterioară de către Google a fost compatibilă cu scopul pentru care au fost colectate inițial datele cu caracter personal ale elevilor, și anume, pentru a oferi educație în conformitate cu legea națională privind școala obligatorie.
În acest context, SA Islandeză a impus o serie de sancțiuni, cum ar fi:
-
Amendă administrativă în valoare de 19.907 de euro (3.000.000 ISK) municipalității Kópavogur;
-
Amendă administrativă în valoare de 16.590 de euro (2.500.000 ISK) municipalității Garðabær;
-
Amendă administrativă în valoare de 18.580 de euro (2.800.000 ISK) municipalității Hafnarfjörður;
-
Amendă administrativă în valoare de 16.590 de euro (2.500.000 ISK) municipalității Reykjanesbær;
-
Amendă administrativă în valoare de 13.270 de euro (2.000.000 ISK) municipalității Reykjavík.
CNPDCP, în calitate de autoritate națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității operatorilor de date cu caracter personal de a respecta prevederile cadrului legislativ în materie de protecție a datelor cu caracter personal și de a se asigura că operațiunile de prelucrare a datelor cu caracter personal sunt conforme legislației în vigoare.