2023 年 12 月 6 日,冰岛数据保护机构 Persónuvernd 公布了若干规定,对国家较大的地方政府在小学教学工作中使用云服务的情况进行了审计。主要审计对象是谷歌的学生系统(即Google Workspace for Education系统)对小学生个人数据的处理。Persónuvernd 相应地开出了五张罚单,以下是该机构公布的处罚概况:
哈夫纳菲厄泽市
Persónuvernd 公布了编号 2022020415 裁决,对哈夫纳菲厄泽市政府(Hafnarfjörður Municipality)处以 280 万冰岛克朗(约 20430 美元)的罚款,原因是该市政府违反了关于隐私和个人数据处理法案(以下简称法案)和通用数据保护条例(以下简称GDPR)。
经调查,Persónuvernd 发现,谷歌处理小学生的个人数据的范围超出了哈夫纳菲厄泽市政府的指示。此外,谷歌的数据处理并未限制在该政府定义的目的范围内。综上,Persónuvernd 认定哈夫纳菲厄泽市政府:
1.选择谷歌作为数据处理者时未能履行责任义务,违反了法案的第 9、23 和 25(1)条以及 GDPR 第 5、24(1)和28(1)条;
2.未确保数据处理协议满足 GDPR 第 23(3)(a)条和法案第 25(3)条的要求;
3.没有足够清楚地指明个别处理操作的目的,也未能确保其小学生的个人数据不被用于其他与处理目的不兼容的目的,违反了法案第 8(1)条和 GDPR 第 5(1)(c)和 6(4)条的规定;
4.未能履行其关于存储限制和默认个人保护的义务,违反了法案第 8(1)条和第 24(2)条以及 GDPR 第 5(1)(e)条和第 25(2)条的规定;
5.未能履行其关于数据最小化和内置和默认数据保护的义务,违反了法案第 8(1)条,24(1)条和(2)条以及 GDPR 第 5(1)(c)条和第 25(1)条和(2)条的规定;
6.未进行数据保护影响评估(DPIA),违反了 GDPR 第 35(1)条和第 35(11)条以及法案第 29 条的规定,并因此未能履行其在 GDPR 第 24(1)条和法案第 23 条下的义务。此外,哈夫纳菲厄泽市政府现有的评估未能满足 GDPR 第 35(7)(a)条和第 35(7)(c)条以及法案第 29(1)条的要求;
7.未能确保个人数据安全地转移到美国,违反了 GDPR 第 46 条。
综合考虑上述情况,Persónuvernd 对哈夫纳菲厄泽市政府处以 280 万冰岛克朗的罚款,责令其整改,使其对儿童个人数据的处理符合隐私法规。
雷克雅未克市
Persónuvernd 在案号为 2022020363 的裁决中,对雷克雅未克市(City of Reykjavík)罚款 200 万冰岛克朗(约 14,560 美元),原因是该市政府违反了法案和 GDPR。
Persónuvernd 同样对雷克雅未克市在小学教学活动中使用 Google 云解决方案进行了审查,重点审查了对儿童个人数据的保护。Persónuvernd 发现,在雷克雅未克市的小学,使用 Google 学生系统处理儿童个人数据的做法也未遵守隐私法规的要求,主要体现在:
1.在进行评估并决定使用 Google 处理数据时,未履行其责任义务(法案第 8、23、25(1)条和 GDPR 第 5、24(1)、28(1)条);
2.与 Google 的数据处理协议不符合隐私法(GDPR第 28(3)(a)条和法案第 25(3)条);
3.没有足够清楚地指明个别处理操作的目的,也未能确保其小学生的个人数据不被用于其他与处理目的不兼容的目的,违反了法案第 8(1)条和 GDPR 第 5(1)(c)和 6(4)条的规定;
4.未能坚持最小化原则和内置和默认的个人保护系统(法案第 8(1)、8(3)、24(1)、24(2)条和 GDPR 第 5(1)、25(1)、25(2)条);
5.未能满足对处理影响评估的最低要求(法案第 29(1)条和 GDPR 第35(7)条);
6.未能确保安全地将个人数据转移到美国(GDPR第 46 条)。
综上,Persónuvernd 对雷克雅未克市罚款 200 万冰岛克朗,并要求其在全市的所有小学中将儿童个人数据的处理整改为符合法规的状态。
科帕沃古尔市
Persónuvernd 在案号为 2022020414 中的裁决中,对科帕沃古尔市政府(Kópavogur Municipality)处以 300 万冰岛克朗(约合 21,860 美元)的罚款,原因是该市政府违反了法案和 GDPR。
Persónuvernd 发现,科帕沃古尔市政府在小学使用 Google 学生系统处理儿童个人数据的方式不符合隐私法规:
1.在进行评估并决定使用 Google 处理数据时,未履行其责任义务(法案第 8、23、25(1)条和 GDPR 第 5、24(1)、28(1)条);
2.未遵守与 Google 的处理协议中的要求(GDPR第 28(3)(a)条和法案第 25(3)条);
3.没有足够清楚地指明个别处理操作的目的,也未能确保其小学生的个人数据不被用于其他与处理目的不兼容的目的,违反了法案第 8(1)条和 GDPR 第 5(1)(c)和 6(4)条的规定;
4.未遵守最小化原则以及内置和默认的个人保护系统(法案第8(1)条,第 24(1)条和第 24(2)条,以及GDPR第 5(1)(c)条,第 25(1)条和第 25(2)条;
5.未履行存储限制和默认个人保护义务(法案第 8(1)条,第 8(5)条和第 24(2)条,以及 GDPR 第 5(1)(e)条,和第 25(2)条);
6.未及时进行影响评估并遵守现有评估的要求(法案第 29(1)条和第 23条,以及 GDPR 第 24(1)条,第 35(1)条,第 35(行政罚款)7)条,和第 35(11)条);
7.未确保个人数据安全地传输至美国(GDPR 第 46条)。
综上,Persónuvernd 对科帕沃古尔市政府处以 300 万冰岛克朗的行政罚款。Persónuvernd 还表示,如果科帕沃古尔市政府希望继续使用 Google 云服务,它必须整改现有违规行为,使儿童个人数据的处理符合隐私法规。
雷克亚内斯贝尔市
Persónuvernd 在案号为 2022020416 中的裁定中表示,对雷克亚内斯贝尔市政府(Reykjanesbær Municipality)处以约 250 万克朗(约合 18210 美元)的罚款,原因是该市违反了法案和 GDPR。
Persónuvernd 发现,雷克亚内斯贝尔市政府在小学中使用 Google 学生系统处理儿童个人数据的方式并未遵守隐私法规的规定,违反了以下内容:
1.在决定让 Google 作为数据处理者时,未履行其责任义务(法案的第 8条,第 23(1)条和第 25条,GDPR的第 5(1)条,第 5(2)条和第 25条);
2.与 Google 的处理协议不符合隐私法规(GDPR 的第 28(3)(a)条和数据处理法的第 25(3)条);
3.未明确处理目的和处理不兼容目的(法案的第 8(1)条和第 8(2)条, GDPR 的第 5(1)(b)条和第 6(4)条);
4.未能坚持最小化原则和内置和默认的个人保护系统(法案的第 8(1)条,第 8(3)条,第 24(1)条和第 24(2)条,GDPR 的第5(1)条,第 25(1)条和第 25(2)条);
5.未能履行存储限制和默认个人保护义务(数据处理法的第 8(1)条,第 8(5)条和第 24(2)条,GDPR 的第 5(1)(e)条和第 25(2)条);
6.未能及时进行影响评估和未能符合现有评估的最低要求(GDPR 的第 29(1)条,第 23 条,第 35(1)条,第 35(11)条,第 24(1)条和第 35(7)条);
7.未能确保将个人数据安全地传输到美国(GDPR 第 46 条)。
鉴于以上情况,Persónuvernd 向雷克亚内斯贝尔市政府处以 250 万克朗的罚款,并命令其通过纠正上述的问题,使市政府下所有小学的儿童个人数据处理符合隐私法规。
加尔达贝尔市
Persónuvernd 在案件编号 2022020418 中的裁决中表示,对加尔达贝儿市政府处以 2.5 百万克朗(约合 18,210 美元)的罚款,原因是该市违反了法案和 GDPR。
Persónuvernd 发现,Google 处理小学生的个人数据超出了加尔达贝儿市政府的指示范围;数据处理也并未局限于加尔达贝儿市政府定义的数据处理目的。Persónuvernd 认定加尔达贝儿市政府存在以下违规行为:
1.在选择 Google 作为数据处理者时未履行其责任义务,违反了 GDPR 的第 26 条和第 29 条以及法案的第 23 条;
2.未确保与 Google 的数据处理在加尔达贝儿市政府指示的个人数据处理范围内,违反了 GDPR 的第 28 条和法案的第 25 条;
3.未确保个人数据的处理符合合法性、公平性和透明性的原则,违反了 GDPR 的第 5 条和法案的第 8 条;
4.未履行其与目的限制、存储限制、数据最小化和隐私保护相关的处理义务,违反了GDPR的第 5 条和第 32 条;
5.未进行满足 GDPR 第 35 条最低要求的影响评估。
6.谷歌将个人数据传输到美国,但没有足够的保护措施。
鉴于以上情况,Persónuvernd 对加尔达贝儿市政府处以 2.5 百万克朗的罚款,并要求其整改上述违规行为。
总结
冰岛的数据保护机构 Persónuvernd 近期针对地方政府使用 Google Workspace for Education 系统中涉及的隐私和个人数据处理违规行为做出一系列裁决,这释放出了一个重要的合规信号。这些案例不仅强调了企业在选择和使用第三方云服务提供商时必须遵守的隐私和数据保护标准,还展示了监管机构对这些规定的严格执行态度。
这一事件提醒所有的出海企业,随着数据隐私和保护标准的不断提高,合规不仅是一项法律义务,也是建立消费者信任和保持企业竞争力的关键。在进入国际市场时,企业必须深入了解并遵守当地的隐私法规和数据保护标准,这不仅包括了解和遵守 GDPR,还可能涉及其他国家和地区的类似法规,如冰岛的个人数据保护法案,以防止不必要的财务和商誉风险。
Kaamel 的应对
Kaamel 始终站在隐私保护的前沿,我们坚信通过技术驱动的方式帮助企业识别和解决隐私合规风险。
创新的 Kaamel AI 检测引擎 依托主流法规和监管判例,可以帮助企业快速、全面识别自身的隐私合规风险。Kaamel 也为企业提供全方位的隐私合规解决方案。助力企业在出海业务经营中更加有效地应对监管和用户需求,减轻隐私风险与合规隐患,在国际化市场建立隐私信任。