Miksi Tanskan tietosuojaviranomainen Datatilsynet kielsi Google Workspacen ja Chromebookit?
Tanskan tietosuojaviranomainen Datatilsynet kielsi Google Workspacen ja Chromebookit Helsingörin koulujen opetuskäytössä, koska herkkien oppilastietojen siirtoa Yhdysvaltoihin ei pystytty riittävästi suojaamaan. Puutteellinen tietosuojan vaikutustenarviointi sekä epäselvyydet Chrome OS -järjestelmän tietojen käsittelytarkoituksissa johtivat välittömään käyttökieltoon, kunnes kunta osoittaa toimintansa olevan täysin GDPR-yhteensopivaa.
Tanskan Datatilsynet toteaa, että Helsingörin suorittama tietosuojan vaikutustenarviointi (TVA, englanniksi DPIA) ei antanut tosiasiallista kuvaa käsittelyyn liittyvistä riskeistä. Seuraavaksi Helsingörin tulee laatia uusi vaikutustenarviointi, jolla pyritään osoittamaan käsittelyn lainmukaisuus.
Kunnan ja Googlen välisessä henkilötietojen käsittelysopimuksessa (DPA) oli määritelty käsittelyalueeksi Euroopan talousalue (ETA). Sopimukseen sisältyi kuitenkin ehto, jonka mukaan tietoja voidaan siirtää tukitapauksissa kolmansiin maihin, kuten Yhdysvaltoihin.
Miten Chromebook-laitteiden tietojenkäsittely haastaa tietosuojan?
Chromebookien ja Chrome OS -käyttöjärjestelmän osalta huomio kohdistui siihen, että oli epäselvää, miten Google mahdollisesti käyttää järjestelmätietoja. Riskinä nähtiin se, että tietoja käsitellään tarkoituksiin, joita opetuksen järjestäjä ei voi hyväksyä. Googlen vastauksessa heinäkuussa 2022 todettiin, ettei Chrome OS välitä tietoja markkinointikäyttöön, kun kyse on oppilaitosten tileistä ja laitteista.
Päätöksen perimmäisenä syynä on henkilötietojen siirtäminen kolmansiin maihin, mikä voi vaarantaa EU-lainsäädännön asettaman suojan tason. Keskeinen ongelma liittyy Yhdysvaltain viranomaisten mahdolliseen pääsyyn suojattomiin henkilötietoihin. Tanskan viranomainen korosti, etteivät EU-kansalaisten oikeudet toteudu, koska Yhdysvaltojen tiedustelulait eivät täytä EU:n suhteellisuusperiaatetta eivätkä tarjoa tehokkaita oikeussuojakeinoja.
Miten Google vastaa tietosuojapäätökseen?
Google kehittää jatkuvasti tietosuojamallejaan. Esimerkiksi Google Cloud Platform (GCP) -palveluissa on nykyisin mahdollista rajoittaa tukitapausten käsittely kokonaan ETA-alueelle. Vastaavan ominaisuuden odotetaan laajenevan myös Google Workspace -palveluun.
Google julkaisi sitoumuksia, joiden tavoitteena on tarjota yhä enemmän palveluita puhtaasti henkilötietojen käsittelijän roolissa rekisterinpitäjän sijaan. Nämä muutokset koskevat myös Chrome OS -käyttöjärjestelmää, ja uudistukset toteutetaan vaiheittain.
Vaikka päätös liittyy suoraan Googlen opetuspalveluihin, haaste koskee laajasti kaikkia kansainvälisiä pilvipalveluita, joissa tietoja saattaa siirtyä Yhdysvaltoihin ilman riittäviä suojatoimia. Tällaisia palveluita ovat esimerkiksi:
- Microsoft O365 ja Microsoft Azure
- Amazon Web Services (AWS)
- Apple iCloud
Euroopan unioni ja Yhdysvallat valmistelevat uutta tiedonsiirtokehystä, jonka tarkoituksena on korvata aiemmat mallisopimuslausekkeet ja taata EU-kansalaisten perusoikeuksien toteutuminen tiedonsiirroissa.
Miten varmistat oman organisaatiosi tietosuojakäytännöt?
Opetuksen järjestäjän tietosuojavelvollisuuksien toteuttaminen on helppoa Luuppi-tietosuojapalvelun avulla. Luuppi säästää henkilökunnan aikaa ja auttaa todentamaan vaatimustenmukaisuuden vaivattomasti.
Toimenpide-ehdotukset ja lisätiedot opetuksen järjestäjille
Konkreettiset toimenpide-ehdotukset ja analyysin tästä ajankohtaisesta aiheesta löydät Luuppi-asiakaskirjeestämme. Järjestämme myös erillisen tietosuojatilaisuuden, jossa käymme yksityiskohtaisesti läpi päätöksen vaikutuksia opetuksen tietosuojaympäristöön.
Tule kuuntelemaan ja keskustelemaan aiheesta:
Cloudpoint järjestää tietosuojailtapäivän, johon voit osallistua joko paikan päällä Vallilan toimistollamme tai etäyhteydellä. Esittelemme tilaisuudessa päivitetyn Luuppi-palvelun uuden version kysymyspatteristoineen ja perusteluineen.
Aihe on äärimmäisen kriittinen jokaiselle opetuksen järjestäjälle. Suosittelemme jakamaan kutsun organisaationne tietosuojavastaaville sekä opetusjohdolle.
Ilmoittaudu Cloudpointin tietosuojailtapäivään tästä ilmoittautumislomakkeella.
Voit myös tilata opetuksen tietosuojan uutiskirjeen suoraan Cloudpointin yhteydenottolomakkeella pysyäksesi ajan tasalla lainsäädännön tulkinnoista.
Heräsikö ajatus? Kirjoita kommentti!