Vuonna 2021 Alankomaissa nousi laaja huoli henkilötietojen suojasta opetuksen Chromebook-laitteita käytettäessä. Vastatakseen näihin huoliin ja tietosuoja-asetuksen (GDPR) vaatimuksiin Google kehitti tietosuojaa vahvistavan ominaisuuden: ChromeOS:n datankäsittelijätilan (Data Processor Mode, DPM). Datankäsittelijätilaan kuuluvat uudet käsittelijäehdot, jotka selkeyttävät Chromebook-laitteiden toteuttamaa henkilötietojen käsittelyä. Nämä ehdot ovat saatavilla nyt myös Suomessa, mutta niiden tuomat muutokset on syytä huomioida tietosuojan vaikutustenarvioinnissa.
Miten Chromebookien uusi datankäsittelijätila vaikuttaa opetuksen tietosuojaan?
Uusi datankäsittelijätila (Data Processor Mode) vahvistaa tietosuojaa tekemällä Googlesta peruspalveluiden henkilötietojen käsittelijän rekisterinpitäjän sijaan. Tämä muutos parantaa oppilaiden tietosuojaa, mutta vaatii opetuksen järjestäjiltä lakisääteisen tietosuojan vaikutustenarvioinnin (DPIA) välitöntä päivittämistä uusia sopimusehtoja vastaavaksi.
Datankäsittelijätilan käyttöönotto ja vaikutukset
Aikaisemmin opetuksen järjestäjällä ei ole ollut mahdollisuutta rajoittaa Googlen roolia rekisterinpitäjänä Chromebook-laitteiden tietojenkäsittelyssä, mutta uusi datankäsittelijätila tuo tähän muutoksen uuden palvelujaottelun avulla. Jatkossa Chromebook-laitteiden ominaisuudet erotellaan selkeästi kahdeksi kokonaisuudeksi: peruspalvelut (Essential Services) ja lisäpalvelut (Optional Services).
Uuteen palvelujaotteluun sovelletaan datankäsittelijätilaa koskevaa sopimusta (tutustu ChromeOS Data Processor Mode Agreement (DPMA) -sopimukseen). Sopimuksen mukaan Google sitoutuu toimimaan vain henkilötietojen käsittelijänä peruspalveluiden osalta.
| Palvelutyyppi | Googlen rooli | Hallinta ja toimenpiteet |
|---|---|---|
| Peruspalvelut (Essential Services) | Henkilötietojen käsittelijä (Processor) | Sovelletaan DPMA-sopimusta automaattisesti tietosuojan parantamiseksi. |
| Lisäpalvelut (Optional Services) | Rekisterinpitäjä (Controller) | Pääkäyttäjä voi poistaa palvelut käytöstä hallintapaneelista riskien minimoimiseksi. |
Huomaa käyttöönoton edellytykset:
Datankäsittelijätilan käyttöönotto vaatii, että Chromebook-laitteet on liitetty opetuksen Google-ympäristön keskitettyyn hallintaan CEU-lisensseillä (Chrome Education Upgrade). Voit tilata hallintalisenssit ja Zero-touch-käyttöönoton suoraan meiltä! Lue lisää Chrome Education Upgrade -lisensseistä
Datankäsittelijätilan vaikutus opetuksen tietosuojaan
Googlen panostukset Chromebook-laitteiden tietojenkäsittelyn läpinäkyvyyteen ovat merkittävä edistysaskel opetuksen tietosuojassa. Vaikka datankäsittelijätilan vaikutukset opetuksen tietosuojaan ovat pääosin positiiviset, vaatii tämä käsittelymuutos kuitenkin huolellisuutta opetuksen järjestäjältä. Rekisterinpitäjänä opetuksen järjestäjän on ennen käsittelyn muutosta arvioitava suunniteltujen käsittelytoimien vaikutuksia oppijoiden henkilötietojen suojalle (tietosuojan vaikutustenarviointi eli DPIA).
Sekä opetuksen Google-tunnuksia että opetuksen Chromebook-laitteita hallinnoidaan Google Workspace for Education -palvelussa. Opetuksen Chromebook-laitteiden tietosuojan vaikutustenarviointia ei voida toteuttaa erillisesti, vaan Google Workspace for Education -palvelun tietosuojan vaikutustenarviointi tarvitsee päivityksen. Mikäli tietosuojan vaikutuksenarviointia ei ole vielä tehty ja opetuksessa käytetään sekä Google-palveluita että Chromebook-laitteita, on näiden arviointi suositeltavaa toteuttaa yhdessä.
Tietosuojan vaikutustenarviointi on jatkuva prosessi
Chromebook-laitteiden käsittelymuutos korostaa tietosuojan jatkuvista muutoksista aiheutuvia haasteita: DPIA ei ole kertaluonteinen toimenpide, vaan se on jatkuva prosessi. Tietosuojan vaikutustenarviointi vaatii säännöllistä ylläpitoa, jotta siinä voidaan ottaa huomioon henkilötietojen käsittelyn ja tietosuojariskien muutokset. Jopa tietosuojan parantamiseksi suunnitellut muutokset täytyy sisällyttää ja päivittää tietosuojan vaikutustenarviointiin, sillä ne voivat tuoda mukanaan uusia riskejä, jotka on tiedostettava ja joihin on puututtava.
Tietosuojan vaikutustenarvioinnin tekemisen vaativuutta ei pidä vähätellä. Organisaation yksilölliset tarpeet, vastuu omien riskien tiedostamisesta sekä juridinen ja tekninen osaaminen vaativat merkittävästi resursseja opetuksen järjestäjiltä.
Kumppanimme, Suomen johtava opetuksen tietosuojapalvelu Edudata.io huolehtii, että asiakkaat ovat aina ajan tasalla tietosuojaa koskevista muutoksista. CIPP/E-sertifioidut tietosuojajuristit ovat tietoisia myös uusimmasta Chromebook-laitteiden uudistuksen vaikutuksesta, ja DPIA-palvelun tilaajille kerrotaan DPIA-dokumentin muutostarpeesta jo tulevalla viikolla. Autamme myös mielellämme asiakkaita, jotka ovat toteuttaneet tietosuojan vaikutustenarvioinnin kertatyönä – ota yhteyttä tietosuojatiimiimme, niin katsotaan yhdessä kuinka voimme auttaa!
Heräsikö ajatus? Kirjoita kommentti!