Tanskan tietosuojaviranomainen Datatilsynet on antanut päätöksen Google Workspace for Education -sovellusten ja Chromebookien käyttökiellosta tanskalaiselle Helsingørin kunnalle. Käyttökielto on voimassa välittömästi ja jatkuu kunnes henkilötietojen käsittelyn osoitetaan olevan tietosuoja-asetuksen mukaista.

Tanskan Datatilsynet toteaa, että Helsingørin suorittama tietosuojan vaikutustenarvio (TVA, eng DPIA) ei antanut tosiasiallista kuvaa käsittelyyn liittyvistä riskeistä. Seuraavaksi Helsingørin tulee tehdä uusi TVA, jolla pyritään osoittamaan käsittelyn lainmukaisuus.

Kunnan ja Googlen välisessä henkilötietojenkäsittelysopimuksessa (DPA) oli määritelty käsittelyalueeksi Euroopan talousalue. DPA:ssa oli kuitenkin ehto, että tietoja voidaan siirtää tukitapauksissa kolmanteen maahan, esimerkiksi Yhdysvaltoihin.

Haasteena Chromebook laitteiden tietojen käsittely

Chromebookien ja Chrome OS:n osalta huomio kohdistui siihen, että oli epäselvää, miten Google mahdollisesti käyttää Chrome OS tietoja. Riskinä nähtiin se, että tietoja käsitellään tarkoituksiin, joita opetuksen järjestäjä ei voi hyväksyä. Googlen 22.7.2022 vastauksessa todettiin, että Chrome OS ei välitä tietoja käytettäväksi markkinointiin, kun kyse on opetuksen tileistä ja laitteista.

Päätöksen taustalla on henkilötietojen siirtäminen kolmansiin maihin, jolloin on riski siihen, että EU lainsäädännön toteutuminen määränpäässä voi heikentyä. Keskeisenä ongelmana oli Yhdysvaltain viranomaisten mahdollinen pääsy henkilötietoihin selkeässä, ei suojatussa muodossa. Tanskan tietosuojaviranomainen totesi, että EU:n takaamat oikeudet eivät toteudu, koska Yhdysvaltojen tiedustelulait eivät ole EU:n suhteellisuusperiaatteen mukaisia eivätkä tarjoa yksilöille tehokkaita oikeussuojakeinoja.

Google vastaa päätökseen blogissaan 22.7.2022

Syyskuusta 2021 alkaen Google on pyrkinyt kehittämään tukimallejaan. Muunmuassa GCP-palvelussa (Google Cloud Platform) on nykyisin mahdollista rajoittaa tukitapausten selvitys ETA-alueelle. Saman ominaisuuden voidaan olettaa tulevan myös Google Workspace -palvelun piiriin.

Google ilmoitti kesäkuussa 2022 tietosuojasitoumuksistaan, joiden ydinaiheena oli Googlen suunnitelma tarjota lisää palveluita henkilötietojen käsittelijän roolissa – toisin kuin rekisterinpitäjänä. Muutokset koskevat myös Chrome OS järjestelmää. Käytännössä Google tulee toteuttamaan henkilötietojen käsittelijän sitoumukset myös Chrome OS järjestelmässä. Voimme odottaa Googlelta näitä muutoksia portaittain vuosien 2023-2024 aikana.  

Vaikka tapaus liittyy Googlen palveluiden käyttöön opetuksessa, tulee huomioida, että asia ei rajoitu vain Googleen. Asia koskee kaikkia kansainvälisiä pilvipalveluja, joita käytettäessä tietoja mahdollisesti siirtyy Yhdysvaltoihin, eikä riittäviä täydentäviä suojatoimia ole käytössä. Näitä pilvipalveluita ovat mm. Microsoft O365, Microsoft Azure, Amazon Cloud Services ja Apple iCloud palveluineen.

EU ja Yhdysvallat valmistelevat uutta EU-U.S. tiedonsiirtosopimusta. Uuden sopimuksen tarkoituksena on korvata käytössä olevat mallisopimuslausekkeet henkilötietojen siirrossa EU:sta Yhdysvaltoihin ja taata EU kansalaisten oikeuksien toteutuminen.

Tietosuojakäytännöt kuntoon

Luuppi tietosuojapalvelulla hoidat mahdollisimman pienellä vaivalla opetuksenjärjestäjän tietosuojavelvollisuuksien toteutumisen toteennäyttämisen ja vähennät merkittävästi henkilökunnan tietosuoja-asioiden valmisteluun käyttämää aikaa. 

Toimenpide-ehdotukset ja lisää informaatiota

Toimenpide-ehdotukset opetuksen järjestäjälle ja lisätietoa tästä ajankohtaisesta asiasta löydät Luuppi-tietosuojapalvelun tulevasta asiakaskirjeestämme. Lisäksi ajankohtaista tietoa tarjoamme  lisää Luuppi-asiakastapaamisessa 1.9.2022, jonka kutsulinkki on asiakaskirjeessämme. Tapaamisessa käsitellään yksityiskohtaisesti tätä päätöstä, toimenpiteitä ja vaikutuksia opetuksenjärjestäjän toimintaan sekä sitä miten tämä muuttaa opetuksen tietosuojaympäristöä.

Tule kuuntelemaan ja keskustelemaan asiasta:

Cloudpoint järjestää 1.9. klo 13-16 tietosuojailtapäivän asiakkaillemme johon voi osallistua joko paikanpäällä toimistollamme Vallilassa tai sitten etänä. Käymme tilaisuudessa tarkasti läpi Tanskan päätöksen vaikutuksia, kerromme mitä opetuksen järjestäjän pitää tehdä ja julkistamme päivitetyn Luuppi-palvelumme.

Esittelemme sovelluksemme uutta versiota ja kysymyspatteristoa perusteluineen sekä kerromme lainsäädännön uusista tulkinnoista teille heti uuden lukuvuoden alkutaipaleella.

Asia on erittäin ajankohtainen ja jokaisen tietosuojapalvelua käyttävän asiakkaamme tulisi osallistua tilaisuuteen. On erittäin suositeltavaa jatkolähettää tämä organisaationne sisällä vähintään tietosuojavastaaville ja sivistys-/opetusjohdolle.

Ilmoittaudu tilaisuuteen tästä!

Cloudpointin yhteydenottolomakkeella on myös paikka tilata itsellesi opetuksen tietosuojan uutiskirjeemme jossa kerromme tietosuoja-asioista opetuksessa sekä Luuppi palvelumme kehityksestä!

 

 

Heräsikö ajatus? Kirjoita kommentti!

Sinua saattavat kiinnostaa myös nämä postaukset:

Kunnan kasvatus- ja koulutustoiminnan minimitehtävät EU tietosuoja-asetuksen täyttämiseksi
24 toukokuuta, 2018

Tässä lyhyt lista toimenpiteistä, joita kaupungin/kunnan kasvatuksen ja koulutuksen toimimalojen tulee mielestäni tehdä ...

Tietosuojakoulutukset ovat nyt osa Cloudpointin koulutustarjontaa
Tietosuojakoulutukset ovat nyt osa Cloudpointin koulutustarjontaa
21 helmikuuta, 2022

Cloudpoint tarjoaa opettajille, tvt-opettajille ja rehtoreille suunnattua tietosuojakoulutusta. Opetuksessa käytetään ny...

Markkinointi ja mainonta eivät kuulu opetuksen digitaalisiin välineisiin
Markkinointi ja mainonta eivät kuulu opetuksen digitaalisiin välineisiin
11 huhtikuuta, 2022

Lapsiin ja nuoriin kohdistuu tänä päivänä runsaasti erilaista mainontaa ja markkinointia ja suuri osa tästä tapahtuu ver...