Schrems II:n seuraukset: Päivitetty selonteko Googlen kansainvälisen tiedonsiirron suojatoimista

HUOM! Blogin jatkopäivityksen voit lukea täältä. 

Euroopan unionin tietosuojaneuvosto korostaa Schrems II:n päätöksen yhteydessä, että vakiolausekkeita harkittaessa, tietosuojatason varmistaminen kuuluu ensisijaisesti henkilötietojen rekisterinpitäjän ja käsittelijän vastuualueeseen. Näin ollen, jotta vakiolausekkeiden riittävät suojatoimet täyttyisivät, on varmistettava, että kyseinen maa, mihin tietoja siirretään, noudattaa GDPR:n edellyttämää tietosuojaa. Jos edellytykset eivät täyty, osapuolten on arvioitava, olisiko mahdollista ‘lisätoimenpiteillä’ varmistaa vaadittu tietosuojataso.

Google on päivittänyt EUT:n ohjetta seuraten G Suite for Education / Google Workspace -palveluiden tietojen käsittelyn ehdot vakiolausekkeiden mukaisiksi, jotta tietojen siirron riittävä suoja toteutuu sekä tehokkuuden että lainmukaisuuden kannalta.

Lisäksi Google on koonnut palvelunsa tietosuojaa täydentävät toimenpiteet (supplementary measures) selontekoon, jotta rekisterinpitäjän on helpompi arvioida Googlen palveluiden ja henkilötietojen käsittelyn tietosuojaa vakiolausekkeiden ja lisäsuojaustoimenpiteiden perusteella. Google on sisällyttänyt selontekoon tietoja myös Yhdysvaltojen laeista (e.g. EO 12333 ja Title 50 United States Code (U.S.C.) § 1881a (FISA 702)) ja niiden sovellettavuudesta Google Cloudiin, jotta riskien arviointi kyseisen päätöksen valossa on helpompaa. Erityisesti ‘Section 702 FAA’ herätti huomiota, sillä se sallii Yhdysvaltojen kohdentaa tarkkailua myös muihin kuin Yhdysvaltojen kansalaisiin.

Googlen selonteon ja toimenpiteiden pohjalta voidaan todeta, että Google on vahvasti sitoutunut tarjoamaan parhaat tekniset, oikeudelliset ja organisatoriset takeet riittävän tietosuojatason varmistamiseksi sekä Google Cloud -asiakkaiden kansainvälisesti siirrettävien ja käsiteltävien tietojen riskin arvioimiseksi ja minimoimiseksi.

Euroopan tietosuojaneuvoston ja kansallisten tietosuojaviranomaisten ohjeet täydentävistä toimenpiteistä ovat vireillä, ja Googlen selontekoa päivitetään, kun ohjeet annetaan.

Cloudpointin blogipostaus on kirjoitettu oheisen selonteon pohjalta: “Safeguards for international data transfers with Google Workspace and G Suite for Education”
http://services.google.com/fh/files/misc/gsuite_foredu_whitepaper_gdpr_schremsii.pdf

Diana Descultescu, tietosuoja-asiantuntija

Cloudpoint on sitoutunut auttamaan asiakkaitaan kaikissa tilanteissa. Ajattelemme asiakkaan puolesta ennen napin painallusta alati muuttuvassa maailmassa. Yhteistyö- ja toimintamallimme varmistaa onnistumisen siellä missä teemme töitä – Huolehdimme persuksille potkimisesta ja aikataulun pitävyydestä.