Suomalaiset yritykset oudossa välitilassa yhdysvaltalaisten verkkopalvelujen kanssa
Ilmatieteen laitos sai apulaistietosuojavaltuutetulta huomautuksen henkilötietojen siirtämisestä Yhdysvaltoihin verkkosivujen seurantateknologioiden kautta ilman pätevää siirtoperustetta. Kyse oli reCAPTCHA ja Google Analytics -palveluiden käytöstä.
Google Analyticsia käyttävät todella monet eri organisaatiot verkkosivuillaan niin Suomessa kuin muissa maissa ympäri Eurooppaa. Ne saattavat kaikki olla lainvastaisia, sanoo tietosuoja-asiantuntija Heikki Tolvanen PrivacyDesigner-yrityksestä.
Samalla huomautus Google Analyticsista on vain oire paljon laajemmasta ongelmasta eli EU-lainsäädännön epäselvästä tilasta, sanoo Elinkeinoelämän keskusliiton EK:n asiantuntija Juho Mäki-Lohiluoma.
– Yrityksille on luotu valtavaa epävarmuutta siitä, mikä oikeustila tällä hetkellä oikein on, ja eri yritykset ovat joutuneet etsimään parhaita käytäntöjä. Tilanne on tosi hankala ja epätoivottava, kun se jatkuu vuodesta toiseen, Mäki-Lohiluoma sanoo.
Tausta EU-tuomioistuimessa
Ongelma liittyy henkilötietojen siirtämiseen EU- ja ETA-alueen ulkopuolelle, erityisesti Yhdysvaltoihin, Tolvanen kertoo.
Hänen mielestään Ilmatieteen laitoksen saama päätös on vaikutukseltaan merkittävä, vähän niin kuin EU-tuomioistuimen aiemmin antama niin kutsuttu Schrems II -päätös, joka mitätöi EU:n ja Yhdysvaltojen neuvotteleman henkilötietojärjestelyn vuonna 2020.
– Päätös ei koske ainoastaan Googlen palveluiden käyttöä, vaan samat pelisäännöt soveltuvat mihin tahansa organisaatioon, joka kuuluu Yhdysvalloissa tiedustelulainsäädännön piiriin, eli käytännössä kaikki sähköisen viestinnän palveluntarjoajat.
Tolvanen kertoo, että Schrems II -päätöksen jälkeen organisaatioiden on täytynyt toteuttaa eräänlainen henkilötietojen siirtoja koskeva riskiarvio, mikäli tietoja siirretään EU- ja ETA-alueen ulkopuolelle. Niiden täytyy arvioida, onko kolmannen maan voimassa olevissa laeissa tai käytännöissä jotain, mikä heikentää EU-lainsäädännön eli käytännössä yleisen tietosuoja-asetuksen GDPR:n takaamaa tietosuojan tasoa.
Tällainen heikentävä seikka on erityisesti Yhdysvaltojen tiedustelutoiminta. Mikäli heikentäviä seikkoja on, organisaatioiden pitäisi ottaa käyttöön lisäsuojatoimia.
Asia ei usein ole organisaatioiden käsissä
Valvontaviranomainen odottaa Tolvasen mukaan vähintäänkin siirtoja koskevien riskiarviointien toteuttamista ja lisäsuojatoimien käyttöönottoa.
– Tämä edellyttää aika isoa harjoitusta, jossa käydään läpi kaikki organisaation toimittajat ja näiden alihankkijat sekä selvitetään minne dataa siirrellään palveluiden toimittamisen aikana. Sitten on hyvä ymmärtää, että Googlekaan ei ole onnistunut tähän päivään mennessä tarjoamaan riittäviä lisäsuojatoimia, eli asian lainmukaiseksi saattaminen ei ole organisaatioiden itsensä käsissä.
Google Analyticsin voi sentään korvata toisella palvelulla suhteellisen helposti. Mutta samat pelisäännöt soveltuvat sähköpostipalveluihin ja isompiin pilvipalveluihin, kuten Amazonin AWS:ään, joihin organisaatiot usein rakentavat it-infransa, Tolvanen muistuttaa.
– Näiden korvaaminen ei välttämättä onnistukaan.
Yritykset joutuvat arvioimaan tätä sääntelyriskiä samalla tavalla kuin muitakin sääntelystä tulevia velvoitteita, Mäki-Lohiluoma sanoo.
– Nykyinen tilanne aiheuttaa tietosuojan osalta merkittävää ja epätoivottavaa oikeudellista epävarmuutta.
Uusimmat
-
00:56
Celine Dionin ja Lady Gagan duetto jäi haaveeksi
-
00:47
Olympiatuli syttyi kuumailmapalloon Pariisin kaatosateessa – vakavasti sairas Celine Dion huipensi avajaiset
-
00:24
Olympiatulen sytyttäjät paljastuivat! Nolo moka väritti avajaisten huipennusta
-
00:01
Kysely: Lähes puolet suomalaisista pitää oman kunnan terveyspalveluja riittämättöminä
-
23:59
YK: Yli 180 000 palestiinalaista on joutunut pakenemaan taisteluja Etelä-Gazassa muutaman viime päivän aikana
-
23:23
Savonlinnan oopperajuhlissa helteet tuovat oman haasteensa Olavinlinnassa esiintymiseen – Torikka: Happi loppuu
-
23:01
Suomalainen startup-yritys muokkaa sinilevästä aurinkorasvan raaka-ainetta
-
22:12
Raju kulissifarssi julki kesken Pariisin seremonian – "Tämä on häpeällistä"
-
22:01
Kim Kardashian julkaisi näyttäviä otoksia Italiasta: "Seksipommi on astunut villaan"
-
21:58
"Pystyi hädin tuskin kävelemään" – nainen syötti koiransa hengiltä Uudessa-Seelannissa
-
21:55
Räväkät otteet Seinellä! Katso kuvat Suomen olympiajoukkueen avajaisriemusta
-
21:54
Trump vakuutti Netanjahulle voivansa järjestää asiat Lähi-Idässä, jos hänestä tulee presidentti
-
21:06
Muistatko Alexian? Uh La La La -hitti villitsee edelleen
-
21:05
Suomen keihästoivolta onnistunut veto olympialaisten kynnyksellä: "Tehoja oli"
-
21:03
Kerava pystytti omat asuntomessut peruutettujen tilalle - yli puolet uudesta kaupunginosasta viheraluetta
-
20:30
MTV seuraa: Pariisin olympialaisten avajaisissa esiintyi suomalainen viulisti
-
20:01
Huumeita, strippareita ja alkoholia – tosi-tv-tähti Scott Disick muistelee rankkoja aikojaan
-
19:41
Kaksi lasta löydettiin elottomana vedestä Vantaan Kuusijärveltä
-
19:31
Patrik Laineesta ilouutinen
-
19:20
Kolme ämpäriä joka päivä poimiva Prania ja Mari odottavat sukulaisiaan marjanpoimintaan Suomeen: "Ei heitä päästetä – on ikävä!"
-
Lataa lisää