Ilmatieteen laitos sai apulaistietosuojavaltuutetulta huomautuksen henkilötietojen siirtämisestä Yhdysvaltoihin verkkosivujen seurantateknologioiden kautta ilman pätevää siirtoperustetta. Kyse oli reCAPTCHA ja Google Analytics -palveluiden käytöstä.
Google Analyticsia käyttävät todella monet eri organisaatiot verkkosivuillaan niin Suomessa kuin muissa maissa ympäri Eurooppaa. Ne saattavat kaikki olla lainvastaisia, sanoo tietosuoja-asiantuntija Heikki Tolvanen PrivacyDesigner-yrityksestä.
Samalla huomautus Google Analyticsista on vain oire paljon laajemmasta ongelmasta eli EU-lainsäädännön epäselvästä tilasta, sanoo Elinkeinoelämän keskusliiton EK:n asiantuntija Juho Mäki-Lohiluoma.
Lue myös: Ilmatieteen laitos sai huomautuksen henkilötietojen siirroista Googlelle
– Yrityksille on luotu valtavaa epävarmuutta siitä, mikä oikeustila tällä hetkellä oikein on, ja eri yritykset ovat joutuneet etsimään parhaita käytäntöjä. Tilanne on tosi hankala ja epätoivottava, kun se jatkuu vuodesta toiseen, Mäki-Lohiluoma sanoo.
Tausta EU-tuomioistuimessa
Ongelma liittyy henkilötietojen siirtämiseen EU- ja ETA-alueen ulkopuolelle, erityisesti Yhdysvaltoihin, Tolvanen kertoo.
Hänen mielestään Ilmatieteen laitoksen saama päätös on vaikutukseltaan merkittävä, vähän niin kuin EU-tuomioistuimen aiemmin antama niin kutsuttu Schrems II -päätös, joka mitätöi EU:n ja Yhdysvaltojen neuvotteleman henkilötietojärjestelyn vuonna 2020.
– Päätös ei koske ainoastaan Googlen palveluiden käyttöä, vaan samat pelisäännöt soveltuvat mihin tahansa organisaatioon, joka kuuluu Yhdysvalloissa tiedustelulainsäädännön piiriin, eli käytännössä kaikki sähköisen viestinnän palveluntarjoajat.
Tolvanen kertoo, että Schrems II -päätöksen jälkeen organisaatioiden on täytynyt toteuttaa eräänlainen henkilötietojen siirtoja koskeva riskiarvio, mikäli tietoja siirretään EU- ja ETA-alueen ulkopuolelle. Niiden täytyy arvioida, onko kolmannen maan voimassa olevissa laeissa tai käytännöissä jotain, mikä heikentää EU-lainsäädännön eli käytännössä yleisen tietosuoja-asetuksen GDPR:n takaamaa tietosuojan tasoa.
Tällainen heikentävä seikka on erityisesti Yhdysvaltojen tiedustelutoiminta. Mikäli heikentäviä seikkoja on, organisaatioiden pitäisi ottaa käyttöön lisäsuojatoimia.
Asia ei usein ole organisaatioiden käsissä
Valvontaviranomainen odottaa Tolvasen mukaan vähintäänkin siirtoja koskevien riskiarviointien toteuttamista ja lisäsuojatoimien käyttöönottoa.
– Tämä edellyttää aika isoa harjoitusta, jossa käydään läpi kaikki organisaation toimittajat ja näiden alihankkijat sekä selvitetään minne dataa siirrellään palveluiden toimittamisen aikana. Sitten on hyvä ymmärtää, että Googlekaan ei ole onnistunut tähän päivään mennessä tarjoamaan riittäviä lisäsuojatoimia, eli asian lainmukaiseksi saattaminen ei ole organisaatioiden itsensä käsissä.
Google Analyticsin voi sentään korvata toisella palvelulla suhteellisen helposti. Mutta samat pelisäännöt soveltuvat sähköpostipalveluihin ja isompiin pilvipalveluihin, kuten Amazonin AWS:ään, joihin organisaatiot usein rakentavat it-infransa, Tolvanen muistuttaa.
– Näiden korvaaminen ei välttämättä onnistukaan.
Yritykset joutuvat arvioimaan tätä sääntelyriskiä samalla tavalla kuin muitakin sääntelystä tulevia velvoitteita, Mäki-Lohiluoma sanoo.
– Nykyinen tilanne aiheuttaa tietosuojan osalta merkittävää ja epätoivottavaa oikeudellista epävarmuutta.
0:47