Prema stajalištu švedskog nadzornog tijela za zaštitu osobnih podataka trebaju. Štoviše, švedsko je nadzorno tijelo kaznilo jedinicu regionalne uprave koja je odlučila u svoje 24 škole kojima upravljaju uvesti Google Workspace za svrhe komunikacije, nastave, testiranja znanja te izrade domaćih zadaća, čime je bilo obuhvaćeno 1.300 zaposlenika škola i gotovo 6.000 učenika.
Slično se dogodilo i na Islandu i gradu Reykjaviku, kojem je izrečena kazna zbog nedostataka u provedenoj Procjeni učinka na zaštitu podataka.
Međutim, ovdje je ključno prepoznati preduvjete za postojanje obveze provođenje Procjene učinka na zaštitu podataka (DPIA, Data Protection Impact Assessment), kakav postupak nije jednostavan i koji iziskuje i implementaciju mjera utvrđenih u okviru procjene rizika na prava i slobode ispitanika.
Švedsko nadzorno tijelo se prilikom donošenja odluke oslonilo na uvodne izjave 75. i 76. GDPR-a, koje kažu slijedeće:
„Rizik za prava i obveze pojedinaca, različitih vjerojatnosti i ozbiljnosti, može proizaći iz obrade osobnih podataka koja bi mogla prouzročiti fizičku, materijalnu ili nematerijalnu štetu, posebno ako ta obrada može dovesti do diskriminacije, krađe identiteta ili prijevare, financijskog gubitka, štete za ugled, gubitka povjerljivosti osobnih podataka zaštićenih poslovnom tajnom, neovlaštenog obrnutog postupka pseudonimizacije, ili bilo koje druge znatne gospodarske ili društvene štete; ili ako ispitanici mogu biti uskraćeni za svoja prava i slobode ili spriječeni u obavljanju nadzora nad svojim osobnim podacima; ako se obrađuju osobni podaci koji odaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja, članstvo u sindikatu i ako je riječ o obradi genetičkih podataka, podataka koji se odnose na zdravlje ili spolni život ili kaznene osude i kažnjiva djela ili povezane sigurnosne mjere; ako se procjenjuju osobni aspekti, osobito analiza ili predviđanje aspekata u vezi s učinkom na poslu, ekonomskim stanjem, zdravljem, osobnim preferencijama ili interesima, pouzdanošću ili ponašanjem, lokacijom ili kretanjem kako bi se izradili ili upotrebljavali osobni profili; ako se obrađuju osobni podaci osjetljivih pojedinaca, osobito djece; ili ako obrada uključuje veliku količinu osobnih podataka i utječe na velik broj ispitanika.“
Temeljem navedenog je nadzorno tijelo odlučilo da je provođenje Procjene učinka na zaštitu podataka obvezno s obzirom da se radi o djeci i velikom broju ispitanika, pa je samim time prisutan i visoki rizik na prava i slobode pojedinaca.
Možda je ključan kriterij za strogu odluku nadzornog tijela ležao u članku 25. stavku 4. GDPR-a, odnosno, o posebnom popisu vrsta obrada osobnih podataka za koje je obvezno provesti postupak Procjene učinka na zaštitu podataka, koji je javno dostupan ovdje:
i u kojem se u točkama 5. i 7. navodi da obrada treba biti opsežna i da se osobni podaci odnose na ranjive skupine ispitanika, npr. djecu.
U konkretnom slučaju su, s obzirom na broj involviranih škola i učenika, ovi kriteriji bili ispunjeni.
Takav popis je donio i AZOP, razlikuje se u svojoj strukturi od švedskog i javno je objavljen:
Prema AZOP-ovom popisu, ako pojedina škola sama odluči uvesti Google Workspace u svoje nastavne programe, i ako pri tom ne dolazi do profiliranja djece i donošenja automatiziranih odluka, niti marketinških aktivnosti i izravnog oglašavanja djeci, niti se prati lokacija kretanja učenika i zaposlenika škole ili prikupljanje podataka s pametnih uređaja koje oni koriste sa svrhom analize i predviđanja ponašanja ili interesa, tada pojedina škola u RH nije obvezna provoditi postupak Procjene učinka na zaštitu podataka.
No, ako npr. Ministarstvo znanosti i obrazovanja i/ili CARNET odluče uvesti Google Workspace u većem broju škola, sasvim je izgledno da moraju provesti Procjenu učinka na zaštitu podataka. Jesu li je proveli?
Dodatno, islandsko nadzorno tijelo je provedenu procjenu učinka na zaštitu podataka grada Reykjavika proglasilo nepotpunom zbog nedostataka iz članka 35. stavka 7. GDPR-a, odnosno, izostanka procjene nužnosti i proporcionalnosti postupaka obrade osobnih podataka od strane Googlea i procjene rizika za takve obrade osobnih podataka.
Više o švedskom i islandskom slučaju:
https://gdprhub.eu/index.php?title=IMY_%28Sweden%29_-_IMY-2023-1647&mtc=today
https://gdprhub.eu/index.php?title=Pers%C3%B3nuvernd_(Island)_-_2022020363&mtc=today
Image by gpointstudio on Freepik
#gdprcroatia