Google on ilmoittanut muuttavansa tietojenkäsittely toimintatapojaan. Cloudpointin Google-asiantuntuntijamme ja Edudata.io palvelun tietosuoja-asiantuntijamme kertovat nyt mitä uusi muutos tarkoittaa tietosuojan ja Googlen näkökulmasta. Tämä muutos on positiivinen maksullisille Google Workspace for Education käyttäjille ja opetuksen järjestäjille tietosuojan silmin katsottuna.
Google tuo Google Workspace for Education -asiakkaiden saataville uuden Workspace for Education Service Data Addendumin (Addendum), jossa Google sitoutuu käsittelemään Google Workspace -palvelussa kerättyä palvelutietoa käsittelijän roolissa. Aikaisemmin Google on käsitellyt palvelutietoja laajemmin rekisterinpitäjänä.
Uudet ehdot perustuvat Google Workspace for Educationista Euroopassa tehtyihin tietosuojan vaikutustenarviointeihin ja niissä tunnistettuihin riskeihin. Alankomaiden viranomaisten sekä Tanskan Helsingorissa tehdyissä vaikutustenarvioinneissa Googlen rooli rekisterinpitäjänä suhteessa kaikkeen Google Workspacen käytöstä syntyneeseen palvelutietoon nähtiin ongelmallisena.
Tämä uusi tietosuojaan liittyvä positiivinen muutos, Addendum, on saatavilla Google Workspace for Education Standard ja Plus lisenssitason asiakkaille, joita myös Cloudpoint tarjoaa luotettavana ja pitkäaikaisimpana Googlen kumppanina Suomessa. Turvalliseen ja lainsäädännön mukaiseen käyttöön liittyy myös palvelun eri asetukset oikeat määritykset joihin liittyen Cloudpoint tarjoaa teknistä pääkäyttäjäpalveluamme (hopea tai kultataso) sekä ympäristön terveystarkastusta (auditointia).
Mitä uusi muutos tarkoittaa?
Addendumissa Google sitoutuu käsittelemään Google Workspace palvelutietoa käsittelijän roolissa. Palvelutieto on Google Workspacen käytöstä syntynyttä diagnostiikkatietoa, jonka perusteella käyttäjä on mahdollista tunnistaa. Google käsittelee edelleen tiettyjä palvelutietoja rekisterinpitäjänä Supplemental Google Cloud Privacy Noticen mukaisesti. Supplemental Google Cloud Privacy Notice koskee vain sellaisia organisaatioita, jotka ovat hyväksyneet uuden Addendumin.
Mistä järjestelmänvalvoja hyväksyy uudet ehdot?
Addendum on saatavilla vain maksullisissa Google Workspace for Education Standard ja Plus -tilauksissa. Asiakkailla on mahdollisuus hyväksyä uudet ehdot ja liitteet Google Workspace -hallinnassa.
Google Workspace for Education -ympäristön pääkäyttäjä hyväksyy palvelun käyttöehdot Google Admin -hallinnassa. Palvelun juridiset tiedot ja käyttöehdot ovat tarkasteltavissa admin-hallinnassa reitillä Account > Account settings > Legal & compliance. Samassa osiossa pääkäyttäjä ilmoittaa Googlelle ajantasaiset tietosuojayhteystiedot, kuten tietosuojavastaavan tiedot (Data protection officer details). Sivun alaosasta löytyvät Google Workspace -palvelusopimukset.
Ensimmäisessä kohdassa on Google Workspace -palvelun henkilötietojen käsittelysopimus (CDPA), joka on osa palvelun käyttöehtoja. Tästä seuraavassa osiossa organisaatio voi ilmoittaa EU:n tietosuojalainsäädännön pätevän heidän henkilötietojen käsittelyyn. Google tarkistaa asiakkaan EU-tietosuojalainsäädännön alaisuuden asiakkuuden laskutusosoitteen mukaan, mutta Cloudpoint suosittelee sitoumuksen vahvistamista myös Google Workspace -hallinnassa. Uusi Workspace for Education Service Data Addendum löytyy EDU Standard ja Plus asiakkailla tämän alta.
Viimeinen kohta käyttöehdoista koskee Yhdysvaltalaisen terveydenhuollon erityisiä vaatimuksia käyttäjien terveystietojen käsittelyyn liittyen. Näitä HIPAA-ehtoja (Health Insurance Portability and Accountability Act) suomalaisen opetuksenjärjestäjän ei tarvitse hyväksyä.
Tietosuojan vaikutustenarvioinnit – Google Workspace for Education
Workspace for Education Service Data Addendum on vapaaehtoinen opetuksenjärjestäjälle ja vain Education Standard että Plus -asiakkaat voivat sen halutessaan hyväksyä Googlen hallinnassa. Mikäli organisaatio ei hyväksy Addendumia Google Workspace -hallinnassa, vanhat, voimassaolevat tietosuojaa ja tietojen käsittelyä koskevat ehdot pysyvät ennallaan.
Opetuksenjärjestäjän on tietosuojalainsäädännön sekä European Data Protection Boardin julkista sektoria koskevan 17.1.2023 tehdyn määräyksen mukaisesti tehtävä laaja tietosuojan vaikutustenarviointi (DPIA) esimerkiksi Google Workspace käytöstä opetuksessa.
Kun Google Workspace for Education -palvelun laajaa tietosuojan vaikutustenarviointia tehdään, on asiakkaan syytä huomioida mm. palveluntarjoajan keräämien diagnostiikkatietojen muodostamat riskipisteet ja niiden vaikutus palvelun jäännösriskiin. Tämän jäännönriskin pienentäminen on nyt mahdollista käyttämällä Workspacen maksullista versioita, Standard tai Plus -palvelua.
Lisäksi myös Alankomaiden tietosuojaviranomainen sekä Suomen tietosuojavaltuutettu ovat ottaneet kantaa näiden palvelutietojen keräämiseen liittyen sekä Googlen että Microsoftin tapauksissa, jonka seurauksena Google muutti ehtojaan ja sitoutuu jatkossa käsittelemään palvelusta kerättyä dataa suurelta osin käsittelijän roolissa – Workspace for Education Service Data Addendum.
Cloudpointin Edudata.io palvelu tarjoaa erilaisia palveluita opetuksenjärjestäjälle tietosuojan lainmukaisen toiminnan takaamiseksi. Hallinnoi koko tietosuojaprosessia Edudata.io:lla ja huolehdi, että laajat tietosuojanarvioinnit on tehty lain mukaisesti ja kustannustehokkaasti, sekä kaikki sovellukset arvioitu läpinäkyvästi. Lue lisää Edudata.io palvelusta >>
Heräsikö ajatus? Kirjoita kommentti!