17. joulukuuta 2020

Schrems II:n seuraukset: Päivitetty selonteko Googlen kansainvälisen tiedonsiirron suojatoimista

HUOM! Blogin jatkopäivityksen voit lukea täältä

Haluamme tällä blogikirjoituksella kertoa asiakkaillemme, mihin toimenpiteisiin Google on ryhtynyt Euroopan unionin tuomioistuimen (EUT) alkusyksyn päätösten perusteella. EUT:n Schrems II -päätös koskee lukuisia palveluita, Googlen kohdalla tilanne on hyvä. Google on julkaissut selonteon (white paper), missä kuvataan mm. Googlen tekemiä tietosuojaa täydentäviä toimenpiteitä.

EUT on todennut heinäkuussa 2020 Schrems II -tuomion (C-311/18) yhteydessä, että EU:n ja Yhdysvaltojen välisen Privacy Shield ‑järjestelyn tarjoaman tietosuojan taso ei ole riittävä ja siitä annettu päätös 2016/1250 on pätemätön. Päätöksessään EUT katsoi myös, että vakiolausekkeiden soveltaminen suojamekanismina on edelleen lainmukainen (EUT tuomio C-311/18 - tiivistelmä). 


Euroopan unionin tietosuojaneuvosto korostaa Schrems II:n päätöksen yhteydessä, että vakiolausekkeita harkittaessa, tietosuojatason varmistaminen kuuluu ensisijaisesti henkilötietojen rekisterinpitäjän ja käsittelijän vastuualueeseen. Näin ollen, jotta vakiolausekkeiden riittävät suojatoimet täyttyisivät, on varmistettava, että kyseinen maa, mihin tietoja siirretään, noudattaa GDPR:n edellyttämää tietosuojaa. Jos edellytykset eivät täyty, osapuolten on arvioitava, olisiko mahdollista ‘lisätoimenpiteillä’ varmistaa vaadittu tietosuojataso.

Google on päivittänyt EUT:n ohjetta seuraten G Suite for Education / Google Workspace -palveluiden tietojen käsittelyn ehdot vakiolausekkeiden mukaisiksi, jotta tietojen siirron riittävä suoja toteutuu sekä tehokkuuden että lainmukaisuuden kannalta.

Lisäksi Google on koonnut palvelunsa tietosuojaa täydentävät toimenpiteet (supplementary measures) selontekoon, jotta rekisterinpitäjän on helpompi arvioida Googlen palveluiden ja henkilötietojen käsittelyn tietosuojaa vakiolausekkeiden ja lisäsuojaustoimenpiteiden perusteella. Google on sisällyttänyt selontekoon tietoja myös Yhdysvaltojen laeista (e.g. EO 12333 ja Title 50 United States Code (U.S.C.) § 1881a (FISA 702)) ja niiden sovellettavuudesta Google Cloudiin, jotta riskien arviointi kyseisen päätöksen valossa on helpompaa. Erityisesti ‘Section 702 FAA’ herätti huomiota, sillä se sallii Yhdysvaltojen kohdentaa tarkkailua myös muihin kuin Yhdysvaltojen kansalaisiin.

Googlen selonteon ja toimenpiteiden pohjalta voidaan todeta, että Google on vahvasti sitoutunut tarjoamaan parhaat tekniset, oikeudelliset ja organisatoriset takeet riittävän tietosuojatason varmistamiseksi sekä Google Cloud -asiakkaiden kansainvälisesti siirrettävien ja käsiteltävien tietojen riskin arvioimiseksi ja minimoimiseksi.

Euroopan tietosuojaneuvoston ja kansallisten tietosuojaviranomaisten ohjeet täydentävistä toimenpiteistä ovat vireillä, ja Googlen selontekoa päivitetään, kun ohjeet annetaan.

Cloudpointin blogipostaus on kirjoitettu oheisen selonteon pohjalta: “Safeguards for international data transfers with Google Workspace and G Suite for Education”
http://services.google.com/fh/files/misc/gsuite_foredu_whitepaper_gdpr_schremsii.pdf

Diana Descultescu, tietosuoja-asiantuntija
Cloudpoint - onnistumisvarmuutta sinne missä sitä tarvitaan


1.  ..henkilötietojen siirtoa varten kolmansiin maihin sijoittautuneille henkilötietojen käsittelijöille...
2. Tietosuojavaltuutetun toimisto. (2020). Euroopan tietosuojaneuvosto otti kantaa Schrems II-päätökseen ja käsitteli PSD2-maksupalveludirektiiviä koskevaa ohjetta Haettu 16.12.2020 osoitteesta https://tietosuoja.fi/-/euroopan-tietosuojaneuvosto-otti-kantaa-schrems-ii-paatokseen-ja-kasitteli-psd2-maksupalveludirektiivia-koskevaa-ohjetta

Ei kommentteja:

Lähetä kommentti

Kiitos kommentistasi!