Haluamme tällä blogikirjoituksella kertoa asiakkaillemme, mihin toimenpiteisiin Google on ryhtynyt Euroopan unionin tuomioistuimen (EUT) alkusyksyn päätösten perusteella. EUT:n Schrems II -päätös koskee lukuisia palveluita, Googlen kohdalla tilanne on hyvä. Google on julkaissut selonteon (white paper), missä kuvataan mm. Googlen tekemiä tietosuojaa täydentäviä toimenpiteitä.
EUT on todennut heinäkuussa 2020 Schrems II -tuomion (C-311/18) yhteydessä, että EU:n ja Yhdysvaltojen välisen Privacy Shield ‑järjestelyn tarjoaman tietosuojan taso ei ole riittävä ja siitä annettu päätös 2016/1250 on pätemätön. Päätöksessään EUT katsoi myös, että vakiolausekkeiden soveltaminen suojamekanismina on edelleen lainmukainen (EUT tuomio C-311/18 - tiivistelmä).
Google on päivittänyt EUT:n ohjetta seuraten G Suite for Education / Google Workspace -palveluiden tietojen käsittelyn ehdot vakiolausekkeiden mukaisiksi, jotta tietojen siirron riittävä suoja toteutuu sekä tehokkuuden että lainmukaisuuden kannalta.
Lisäksi Google on koonnut palvelunsa tietosuojaa täydentävät toimenpiteet (supplementary measures) selontekoon, jotta rekisterinpitäjän on helpompi arvioida Googlen palveluiden ja henkilötietojen käsittelyn tietosuojaa vakiolausekkeiden ja lisäsuojaustoimenpiteiden perusteella. Google on sisällyttänyt selontekoon tietoja myös Yhdysvaltojen laeista (e.g. EO 12333 ja Title 50 United States Code (U.S.C.) § 1881a (FISA 702)) ja niiden sovellettavuudesta Google Cloudiin, jotta riskien arviointi kyseisen päätöksen valossa on helpompaa. Erityisesti ‘Section 702 FAA’ herätti huomiota, sillä se sallii Yhdysvaltojen kohdentaa tarkkailua myös muihin kuin Yhdysvaltojen kansalaisiin.
Googlen selonteon ja toimenpiteiden pohjalta voidaan todeta, että Google on vahvasti sitoutunut tarjoamaan parhaat tekniset, oikeudelliset ja organisatoriset takeet riittävän tietosuojatason varmistamiseksi sekä Google Cloud -asiakkaiden kansainvälisesti siirrettävien ja käsiteltävien tietojen riskin arvioimiseksi ja minimoimiseksi.
Euroopan tietosuojaneuvoston ja kansallisten tietosuojaviranomaisten ohjeet täydentävistä toimenpiteistä ovat vireillä, ja Googlen selontekoa päivitetään, kun ohjeet annetaan.
Cloudpointin blogipostaus on kirjoitettu oheisen selonteon pohjalta: “Safeguards for international data transfers with Google Workspace and G Suite for Education”
http://services.google.com/fh/files/misc/gsuite_foredu_whitepaper_gdpr_schremsii.pdf
Diana Descultescu, tietosuoja-asiantuntija