Haluamme tällä kirjoituksella kertoa asiakkaillemme, mihin toimenpiteisiin Google on ryhtynyt Euroopan unionin tuomioistuimen (EUT) alkusyksyn päätösten perusteella. EUT:n Schrems II -päätös koskee lukuisia palveluita. Googlen kohdalla tilanne on hyvä, ja yhtiö on julkaissut selonteon (white paper) tietosuojaa täydentävistä toimenpiteistään.
Miten Schrems II -tuomio vaikuttaa Googlen tiedonsiirtoon?
Euroopan unionin tuomioistuimen Schrems II -päätös mitätöi Privacy Shield -järjestelyn, mutta vakiolausekkeet säilyvät edelleen laillisena siirtomekanismina. Google vastaa tähän päivittämällä Google Workspace- ja G Suite -palveluidensa tietojen käsittelyehdot vastaamaan tiukentuneita EU-vaatimuksia sekä tarjoamalla kattavia lisäsuojatoimia asiakkaidensa tietoturvan ja oikeudellisen suojan takaamiseksi.
EUT on todennut heinäkuussa 2020 Schrems II -tuomion (C-311/18) yhteydessä, että EU:n ja Yhdysvaltojen välisen Privacy Shield -järjestelyn tarjoaman tietosuojan taso ei ole riittävä ja siitä annettu päätös 2016/1250 on pätemätön. Päätöksessään EUT katsoi kuitenkin, että vakiolausekkeiden soveltaminen suojamekanismina on edelleen täysin lainmukainen (katso EUT-tuomion C-311/18 tiivistelmä).
Euroopan unionin tietosuojaneuvosto korostaa Schrems II:n päätöksen yhteydessä, että vakiolausekkeita harkittaessa tietosuojatason varmistaminen kuuluu ensisijaisesti henkilötietojen rekisterinpitäjän ja käsittelijän vastuualueeseen. Jotta vakiolausekkeiden riittävät suojatoimet täyttyisivät, on varmistettava, että vastaanottava maa noudattaa GDPR:n edellyttämää tietosuojaa. Jos edellytykset eivät täyty, osapuolten on arvioitava, voidaanko vaadittu tietosuojataso varmistaa lisätoimenpiteillä.
Google on päivittänyt EUT:n ohjeita seuraten G Suite for Education / Google Workspace -palveluiden tietojen käsittelyn ehdot vakiolausekkeiden mukaisiksi, jotta tietojen siirron riittävä suoja toteutuu tehokkaasti ja lainmukaisesti.
Lisäksi Google on koonnut palvelunsa tietosuojaa täydentävät toimenpiteet (supplementary measures) selontekoon helpottaakseen riskien arviointia. Selonteko sisältää tarkat tiedot Yhdysvaltojen lainsäädännöstä ja sen soveltuvuudesta Google Cloud -palveluihin:
| Yhdysvaltojen säädös | Merkitys ja sovellettavuus Google Cloudiin |
|---|---|
| FISA 702 (Section 702 FAA) | Sallii viranomaisten kohdistaa tarkkailua muihin kuin Yhdysvaltojen kansalaisiin. Google tarjoaa lisäsuojatoimia tämän riskin minimoimiseksi. |
| Executive Order (EO) 12333 | Presidentillinen määräys ulkomaantiedustelusta, joka otetaan huomioon siirron kokonaisriskien arvioinnissa. |
Googlen selonteon pohjalta voidaan todeta, että Google on vahvasti sitoutunut tarjoamaan parhaat tekniset, oikeudelliset ja organisatoriset takeet riittävän tietosuojatason varmistamiseksi sekä kansainvälisesti siirrettävien tietojen riskin arvioimiseksi.
Euroopan tietosuojaneuvoston ja kansallisten tietosuojaviranomaisten ohjeet täydentävistä toimenpiteistä ovat vireillä, ja Googlen selontekoa päivitetään jatkuvasti ohjeistuksen tarkentuessa.
Artikkeli on kirjoitettu Googlen virallisen selvityksen pohjalta: Safeguards for international data transfers with Google Workspace and G Suite for Education (PDF).
Diana Descultescu
Tietosuoja-asiantuntija, Cloudpoint Oy
1 Henkilötietojen siirtoa varten kolmansiin maihin sijoittautuneille henkilötietojen käsittelijöille.
2 Tietosuojavaltuutetun toimisto. (2020). Euroopan tietosuojaneuvosto otti kantaa Schrems II-päätökseen ja käsitteli PSD2-maksupalveludirektiiviä koskevaa ohjetta. Haettu 16.12.2020.
Cloudpoint on sitoutunut auttamaan asiakkaitaan kaikissa tilanteissa. Ajattelemme asiakkaan puolesta ennen napin painallusta alati muuttuvassa maailmassa. Yhteistyö- ja toimintamallimme varmistaa onnistumisen siellä missä teemme töitä – Huolehdimme projektien ohjauksesta ja aikataulun pitävyydestä.
Heräsikö ajatus? Kirjoita kommentti!