Huomautus: Tämä artikkeli on alun perin julkaistu 17.12.2020. Tämän jälkeen palvelun käyttöliittymässä ja toiminnoissa on saattanut tapahtua muutoksia.
Miten henkilötietojen siirto EU:n ja Yhdysvaltojen välillä toteutetaan turvallisesti ja lainmukaisesti? Vuonna 2020 annettu Euroopan unionin tuomioistuimen (EUT) niin sanottu Schrems II -ratkaisu muutti digitaalisten palveluiden tietosuojakenttää pysyvästi. Tässä päivitetyssä selonteossa tarkastelemme kansainvälisen tiedonsiirron nykytilaa ja niitä suojatoimia, joilla varmistetaan Google Workspace- ja Google Workspace for Education -palveluiden turvallinen ja vaatimustenmukainen käyttö opetuksessa sekä organisaatioissa.
Schrems II -päätöksestä uuteen tietosuojakehykseen (DPF)
Heinäkuussa 2020 EUT mitätöi Schrems II -tuomiollaan (C-311/18) aiemman EU:n ja Yhdysvaltojen välisen Privacy Shield -järjestelyn, sillä se ei taannut riittävää tietosuojan tasoa suhteessa Yhdysvaltojen viranomaistiedusteluun. Tuomioistuin kuitenkin vahvisti, että vakiolausekkeiden (Standard Contractual Clauses, SCC) käyttö tiedonsiirron perustana on edelleen mahdollista, kunhan niitä tarvittaessa täydennetään maakohtaisilla lisäsuojatoimenpiteillä.
Tilanne helpottui merkittävästi, kun Euroopan komissio hyväksyi heinäkuussa 2023 uuden EU:n ja Yhdysvaltojen välisen tietosuojakehyksen (EU-US Data Privacy Framework, DPF). Syyskuussa 2025 EU:n yleinen tuomioistuin vahvisti tämän tietosuojakehyksen riittävyyspäätöksen laillisuuden hylkäämällä sitä vastaan nostetun kanteen. Google LLC on täysin sertifioitunut DPF-kehyksen mukaisesti, mikä tarjoaa vankan ja ensisijaisen laillisen perusteen henkilötietojen siirroille Yhdysvaltoihin.
Miksi vakiolausekkeet ja suojatoimenpiteet ovat silti tärkeitä?
Vaikka uusi DPF-tietosuojakehys tuo kaivattua oikeusvarmuutta, vastuullinen rekisterinpitäjä – kuten opetuksen järjestäjä tai yritys – ei voi ulkoistaa huolellisuusvelvoitettaan kokonaan. Kansainvälistä tiedonsiirtoa ja tietosuojaa on edelleen arvioitava kokonaisvaltaisesti, ja vakiolausekkeet sekä tekniset lisäsuojatoimet muodostavat tärkeän turvaverkon.
Google Workspace on suunniteltu vastaamaan tiukimpiin GDPR-vaatimuksiin. Google tarjoaa käyttäjilleen kattavan tietojenkäsittelysopimuksen (Data Processing Amendment), johon on sisällytetty EU-komission hyväksymät vakiolausekkeet.
Googlen tekniset, organisatoriset ja oikeudelliset suojatoimet
Google on sitoutunut suojaamaan käyttäjiensä tietoja Yhdysvaltojen kansallisen turvallisuuden lainsäädännöltä (kuten FISA Section 702 ja EO 12333) seuraavilla täydentävillä toimenpiteillä:
1. Tekninen suojaus ja salaus:
Google käyttää vahvaa salausta tietojen siirrossa ja säilytyksessä (encryption in transit and at rest).
Organisaatiot voivat ottaa käyttöön asiakaspuolen salauksen (Client-Side Encryption, CSE), jolloin salausavaimet säilytetään asiakkaan omassa tai eurooppalaisen kumppanin hallinnassa. Tällöin Googlella tai Yhdysvaltojen viranomaisilla ei ole teknistä mahdollisuutta purkaa datan salausta.
2. Pääsyn läpinäkyvyys (Access Transparency):
Google tarjoaa tarkat lokitiedot tilanteista, joissa Googlen henkilöstö tarvitsee pääsyn asiakkaan dataan esimerkiksi tuki- tai ylläpitotehtävissä.
3. Tietojen maantieteellinen sijainti (Data Regions):
Google Workspace -pääkäyttäjät voivat määrittää, että organisaation ensisijaiset tiedot (kuten sähköpostit, dokumentit ja kalenterimerkinnät) tallennetaan ja käsitellään Euroopassa sijaitsevissa konesaleissa.
Kansallinen sääntely ja KHO:n Espoo-päätös
Suomessa opetuksen tietosuojakeskustelua on vauhdittanut korkeimman hallinto-oikeuden (KHO) antama merkittävä päätös koskien Google Workspace for Educationin käyttöä Espoon perusopetuksessa. KHO vahvisti, ettei pelkkä perusopetuslain mukainen yleinen velvoite järjestää opetusta riitä käsittelyn oikeusperusteeksi (GDPR 6 art. 1 kohdan c alakohta - lakisääteinen velvoite) ilman riittävän täsmällistä kansallista lainsäädäntöä digitaalisten oppimisympäristöjen käytöstä.
Tämä päätös korostaa sitä, että opetuksen järjestäjän on huolellisesti määriteltävä oikeat oikeusperusteet (kuten yleistä etua koskeva tehtävä, GDPR 6 art. 1 kohdan e alakohta) ja laadittava kattava tietosuojan vaikutustenarviointi (DPIA) yhteistyössä asiantuntijoiden kanssa.
Miten tästä eteenpäin?
Kansainvälisen tiedonsiirron pelisäännöt ovat vakiintuneet uuden tietosuojakehyksen myötä, mutta paikallinen vaatimustenmukaisuus ja tekniset määritykset vaativat jatkuvaa huomiota.
Me Cloudpointilla olemme erikoistuneet opetuksen ja julkishallinnon tietosuojakysymyksiin. Autamme organisaatiotasi toteuttamaan:
Tietosuojan vaikutustenarvioinnit (DPIA) ja tiedonsiirron riskiarvioinnit (TIA).
Google Workspace for Education -ympäristön tekniset auditoinnit ja parhaiden suojatoimien (kuten maantieteellisten rajauksien ja asiakaspuolen salauksen) käyttöönoton.
Ajantasaisen dokumentaation hyödyntäen kehittämäämme opetuksen Edudata.io-tietosuojaratkaisua.
Ota yhteyttä, niin varmistetaan yhdessä, että opetuksen digitaaliset työkalut ovat turvallisia, toimivia ja kaikilta osin lainmukaisia!
--
Cloudpoint Oy – onnistumisvarmuutta sinne, missä sitä tarvitaan. Part of Delling Cloud.*
Heräsikö ajatus? Kirjoita kommentti!