Novinky

  2. Titulní stránka
  3. Novinky
  4. Španělský dozorový úřad rozhodl: ministerstvo školství porušilo GDPR tím, že žákům poskytovalo vzdělávací cloud Microsoftu
Španělský dozorový úřad rozhodl: ministerstvo školství porušilo GDPR tím, že žákům poskytovalo vzdělávací cloud Microsoftu

Španělský dozorový úřad rozhodl: ministerstvo školství porušilo GDPR tím, že žákům poskytovalo vzdělávací cloud Microsoftu

Novinky Date: Zobrazení: 2

Španělský dozorový úřad rozhodl: ministerstvo školství porušilo GDPR tím, že žákům poskytovalo vzdělávací cloud Microsoftu

Katalánský úřad pro ochranu dat konstatoval, že Ministry of Education and Sports poskytovalo cloudové vzdělávací služby veřejným školám prostřednictvím Microsoftu jako zpracovatele osobních údajů – a přitom porušilo pravidla transparentnosti, zásadu privacy by design, povinnost provést posouzení vlivů na ochranu osobních údajů a ustanovení o mezinárodním předávání dat.

Rozhodnutí z tohoto týdne týkající se španělského ministerstva školství je jedním z nejvýznamnějších svého druhu v Evropě. Jde o přímý střet mezi praxí veřejného vzdělávání a požadavky GDPR v oblasti cloudových služeb amerických technologických společností – a není to případ ojedinělý. Závěry katalánského dozorového orgánu (CTPDA) přicházejí v době, kdy obdobné otázky řeší školy, univerzity i veřejná správa napříč celou Unií.

Čeho se porušení týkají

Katalánský úřad identifikoval v systému čtyři oblasti porušení. Transparentnost: žáci, rodiče ani učitelé nebyli dostatečně informováni o tom, jak jsou jejich osobní údaje zpracovávány v rámci cloudové služby, kdo má k datům přístup a za jakých podmínek. Privacy by design: architektura řešení nebyla od počátku navržena tak, aby minimalizovala rozsah zpracování osobních údajů a zajistila jejich ochranu strukturálními prostředky – tedy nikoli jako dodatečná vrstva, ale jako součást samotného systému. Posouzení vlivů na ochranu osobních údajů (DPIA): ministerstvo nepřipravilo povinné posouzení dopadů na soukromí před spuštěním cloudového řešení ve školách, přestože zpracování osobních údajů dětí v rozsahu vzdělávacího cloudu DPIA jednoznačně vyžaduje. Mezinárodní předávání dat: cloudová infrastruktura Microsoftu zahrnuje přenosy osobních údajů do třetích zemí, přičemž ministerstvo neprokázalo, že tato předávání splňují podmínky Kapitoly V GDPR.

Image

Proč je tento případ důležitý za hranicemi Španělska

Vzdělávací cloudové balíčky Microsoftu (Microsoft 365 Education) jsou nasazeny v tisících škol napříč Evropskou unií, a to v řadě případů bez předchozí důkladné analýzy souladu s GDPR. Rozhodnutí CTPDA je sice katalánské a v zásadě zavazuje přímo dotčené španělské ministerstvo, ale doktrína a argumentační linie, na které stojí, jsou plně přenositelné do jakékoli jiné jurisdikce v rámci EU. Každá veřejná instituce, která provozuje vzdělávací nebo jinak citlivý cloud na infrastruktuře amerického zpracovatele, by měla toto rozhodnutí číst jako výzvu k přezkumu vlastní dokumentace: platné záznamy o činnostech zpracování, aktuální DPIA, smluvní dojednání o zpracování osobních údajů a ověření mechanismu předávání dat do USA (standardní smluvní doložky nebo alternativní záruky).

Ostatní pozoruhodná rozhodnutí z GDPRhub

Mimo španělský případ přinesl čtvrteční přehled GDPRhub hned několik dalších rozhodnutí, která ilustrují šíři každodenní praxe dozorových orgánů.

Belgický úřad APD/GBA uložil technologické společnosti pokutu v celkové výši 176 946,61 eur za to, že po odchodu externího spolupracovníka ponechala aktivní jeho firemní e-mailový účet. Vedle samotné pokuty úřad nařídil zpřístupnit protokoly přístupu, splnit žádost o přístup k osobním údajům a data následně smazat. Jde o upozornění, které by si správci IT měli vytisknout nad svůj offboarding checklist: neaktivní e-mailový účet, ke kterému nadále přichází pošta nebo z něhož lze číst historii, je z pohledu GDPR aktivním zpracováním bez právního základu.

Tentýž belgický úřad pak v jiném případě rozhodl o dvou pokutách v celkové výši 86 000 eur pro veřejného poskytovatele vody. Porušení spočívalo ve třech bodech: nedostatečné informování volajících o nahrávání hovorů, absence možnosti vznést námitku před samotným zahájením nahrávání a chybějící platná smlouva se zpracovatelem. Případ je modelovým příkladem toho, že i zdánlivě triviální záležitost – nahrávání zákaznické linky – vyžaduje formálně správně nastavenou dokumentaci a souhlas nebo alespoň transparentní informování.

Italský Garante pokutoval poradenskou společnost 85 000 eur za nedostatečné zabezpečení zpracování v souvislosti s datovým únikem. Firma navíc neinformovala dotčené subjekty údajů o úniku, dokud ji k tomu úřad výslovně nezavázal.

Zdroj

GDPRhub

Kontakt

Další články

NovinkyLada

Podle informací německého deníku Handelsblatt chce Evropská komise ještě před letní přestávkou uzavřít vyšetřování Googlu podle Aktu o digitálních trzích a uložit mu nejvyšší pokutu, jaká kdy byla v
NovinkyLada

Katalánský úřad pro ochranu dat konstatoval, že Ministry of Education and Sports poskytovalo cloudové vzdělávací služby veřejným školám prostřednictvím Microsoftu jako zpracovatele osobních údajů –
Premium novinkyLada

CISA zařadila 27. května 2026 do katalogu Known Exploited Vulnerabilities tři zranitelnosti pocházející z koordinovaného útoku na softwarový dodavatelský řetězec. Všechny tři CVE jsou propojeny
  • Domů
  • O nás
  • Expertiza
  • Software
  • Novinky
  • Kontakt