Ilmatieteen laitos sai apulaistietosuojavaltuutetulta huomautuksen henkilötietojen siirtämisestä Yhdysvaltoihin verkkosivujen seurantateknologioiden kautta ilman pätevää siirtoperustetta. Kyse oli reCAPTCHA ja Google Analytics -palveluiden käytöstä.
Google Analyticsia käyttävät todella monet eri organisaatiot verkkosivuillaan niin Suomessa kuin muissa maissa ympäri Eurooppaa. Ne saattavat kaikki olla lainvastaisia, sanoo tietosuoja-asiantuntija Heikki Tolvanen PrivacyDesigner-yrityksestä.
Samalla huomautus Google Analyticsista on vain oire paljon laajemmasta ongelmasta eli EU-lainsäädännön epäselvästä tilasta, sanoo Elinkeinoelämän keskusliiton EK:n asiantuntija Juho Mäki-Lohiluoma.
– Yrityksille on luotu valtavaa epävarmuutta siitä, mikä oikeustila tällä hetkellä oikein on, ja eri yritykset ovat joutuneet etsimään parhaita käytäntöjä. Tilanne on tosi hankala ja epätoivottava, kun se jatkuu vuodesta toiseen, Mäki-Lohiluoma sanoo.
Tausta EU-tuomioistuimessa
Ongelma liittyy henkilötietojen siirtämiseen EU- ja ETA-alueen ulkopuolelle, erityisesti Yhdysvaltoihin, Tolvanen kertoo.
Hänen mielestään Ilmatieteen laitoksen saama päätös on vaikutukseltaan merkittävä, vähän niin kuin EU-tuomioistuimen aiemmin antama niin kutsuttu Schrems II -päätös, joka mitätöi EU:n ja Yhdysvaltojen neuvotteleman henkilötietojärjestelyn vuonna 2020.
– Päätös ei koske ainoastaan Googlen palveluiden käyttöä, vaan samat pelisäännöt soveltuvat mihin tahansa organisaatioon, joka kuuluu Yhdysvalloissa tiedustelulainsäädännön piiriin, eli käytännössä kaikki sähköisen viestinnän palveluntarjoajat.
Tolvanen kertoo, että Schrems II -päätöksen jälkeen organisaatioiden on täytynyt toteuttaa eräänlainen henkilötietojen siirtoja koskeva riskiarvio, mikäli tietoja siirretään EU- ja ETA-alueen ulkopuolelle. Niiden täytyy arvioida, onko kolmannen maan voimassa olevissa laeissa tai käytännöissä jotain, mikä heikentää EU-lainsäädännön eli käytännössä yleisen tietosuoja-asetuksen GDPR:n takaamaa tietosuojan tasoa.
Tällainen heikentävä seikka on erityisesti Yhdysvaltojen tiedustelutoiminta. Mikäli heikentäviä seikkoja on, organisaatioiden pitäisi ottaa käyttöön lisäsuojatoimia.
Asia ei usein ole organisaatioiden käsissä
Valvontaviranomainen odottaa Tolvasen mukaan vähintäänkin siirtoja koskevien riskiarviointien toteuttamista ja lisäsuojatoimien käyttöönottoa.
– Tämä edellyttää aika isoa harjoitusta, jossa käydään läpi kaikki organisaation toimittajat ja näiden alihankkijat sekä selvitetään minne dataa siirrellään palveluiden toimittamisen aikana. Sitten on hyvä ymmärtää, että Googlekaan ei ole onnistunut tähän päivään mennessä tarjoamaan riittäviä lisäsuojatoimia, eli asian lainmukaiseksi saattaminen ei ole organisaatioiden itsensä käsissä.
Google Analyticsin voi sentään korvata toisella palvelulla suhteellisen helposti. Mutta samat pelisäännöt soveltuvat sähköpostipalveluihin ja isompiin pilvipalveluihin, kuten Amazonin AWS:ään, joihin organisaatiot usein rakentavat it-infransa, Tolvanen muistuttaa.
– Näiden korvaaminen ei välttämättä onnistukaan.
Yritykset joutuvat arvioimaan tätä sääntelyriskiä samalla tavalla kuin muitakin sääntelystä tulevia velvoitteita, Mäki-Lohiluoma sanoo.
– Nykyinen tilanne aiheuttaa tietosuojan osalta merkittävää ja epätoivottavaa oikeudellista epävarmuutta.
Uusimmat
-
23:22
Saamelaismuseo Siida on vuoden eurooppalainen museo
-
22:59
Loton miljoonat lähtivät jakoon! Tässä oikea rivi
-
22:25
Suomalaisheittäjä repäisi – kisasi eri lajeissa kahdella paikkakunnalla
-
22:21
Poliisi ottanut kiinni astalon kanssa riehuneen miehen Porin keskustassa
-
22:10
Oravat saattoivat tartuttaa keskiajalla briteille viheliäisen taudin
-
22:00
Erling Haaland ylsi tähän temppuun ensimmäisen kerran – maaleja paukkui solkenaan
-
21:50
Race Across the World Suomi -sarjan voittajat ovat selvillä: "Alussa yritimme aivan liikaa saada asioita selville"
-
21:48
Barcelona-konkarin rujo moka kostautui – Real Madrid on mestari
-
21:42
Markus Mäntykannas räväyttää: Säähän U-käännös! Mielenkiintoisin aika alkaa keskiviikkoiltana
-
21:22
Jesse Puljujärvi: Ymmärrän, jos minua ei valita MM-kisoihin
-
21:19
Mies uhkaili muita kirveellä julkisella rantasaunalla Helsingissä
-
21:14
Ruotsissa on nyt konkreettinen terrori-iskun uhka – tätä se tarkoittaa sinne matkustavalle
-
21:11
Karmiva hetki: Tulvavesi pyyhkäisi pelastettavat mukaansa Brasiliassa
-
21:07
Vaalimainoksia ripustanut saksalaismeppi piestiin sairaalakuntoon
-
21:01
Anya Taylor-Joy käänsi katseita punaisella matolla – metalliset piikit varastivat huomion
-
20:48
Näin kylmäävää oli sarjavainoajan toiminta Rovaniemellä – tuhansia puheluita päivässä vuosien ajan
-
20:40
Tänään ollut kevään lämpimin päivä – pian kylmenee jopa lumen ja rännän kera
-
20:31
Ällötysvaroitus! Kahvikoneesta paljastui selkäpiitä karmiva löytö Thaimaassa
-
20:04
Kommentti: Kuka hullu sanoisi Juuse Sarokselle ei? Leijonien MM-nippu odottaa viimeistä sinettiään
-
20:00
Oulussa kadonnut mies löytynyt: Poliisi kiittää ratkaisevista havainnoista
-
Lataa lisää