Hyppää pääsisältöön
TuoreimmatLiigaSääRikosPolitiikkaAsian ytimessä.doc
Uutiset
KotimaaUlkomaatRikosPolitiikkaTalousMielipiteetSää
Urheilu
LiigaMM-ralliJääkiekon MM-kisatJääkiekkoF1JalkapalloYleisurheilu
Viihde
SeurapiiritTV-ohjelmatElokuvatKuninkaallisetMusiikkiSalatut elämät
Lifestyle
RuokaTerveys ja hyvinvointiSeksi ja parisuhdeAutotHoroskooppi
Makuja
ReseptitRuokauutiset
Videot
MTV Uutiset LiveUusimmat
Tv-opas
Muistilista
  • MTV UutisetKonepajankuja 7
    00510 Helsinki
  • Uutistoimituksen päivystys010 300 5400
  • Uutisvinkkiuutiset@mtv.fi
  • WhatsApp040 578 5504
Sisällöt
  • Tomi Einonen
    Vastaava päätoimittaja
  • Ilkka Ahtiainen
    Uutispäätoimittaja
  • Mona Haapsaari
    Toimituspäällikkö
  • Teemu Niikko
    Toimituspäällikkö, urheilu
Liiketoiminta
  • Iina Eloranta
    VP, Channels and Digital Consumption
SuomiAreena
  • Jeremias Kontio
    Vastaava tuottaja
Muut palvelut
  • MTV Katsomo
  • SuomiAreena
Asiakaspalvelu
  • MTV Uutiset -palaute
  • MTV Katsomon asiakaspalvelu
  • Tietoa yhtiöstä
  • Avoimet työpaikat
  • Mainosta MTV:ssä
  • Tietosuojalauseke
  • Käyttöehdot
EtusivuVideotTuoreimmatLuetuimmatOdota

Suomalaiset yritykset oudossa välitilassa yhdysvaltalaisten verkkopalvelujen kanssa

All Over Press
Julkaistu 27.05.2023 16:04

MTV UUTISET–STT

Ilmatieteen laitos sai apulaistietosuojavaltuutetulta huomautuksen henkilötietojen siirtämisestä Yhdysvaltoihin verkkosivujen seurantateknologioiden kautta ilman pätevää siirtoperustetta. Kyse oli reCAPTCHA ja Google Analytics -palveluiden käytöstä.

Google Analyticsia käyttävät todella monet eri organisaatiot verkkosivuillaan niin Suomessa kuin muissa maissa ympäri Eurooppaa. Ne saattavat kaikki olla lainvastaisia, sanoo tietosuoja-asiantuntija Heikki Tolvanen PrivacyDesigner-yrityksestä.

Samalla huomautus Google Analyticsista on vain oire paljon laajemmasta ongelmasta eli EU-lainsäädännön epäselvästä tilasta, sanoo Elinkeinoelämän keskusliiton EK:n asiantuntija Juho Mäki-Lohiluoma.

Lue myös: Ilmatieteen laitos sai huomautuksen henkilötietojen siirroista Googlelle

– Yrityksille on luotu valtavaa epävarmuutta siitä, mikä oikeustila tällä hetkellä oikein on, ja eri yritykset ovat joutuneet etsimään parhaita käytäntöjä. Tilanne on tosi hankala ja epätoivottava, kun se jatkuu vuodesta toiseen, Mäki-Lohiluoma sanoo.

Tausta EU-tuomioistuimessa

Ongelma liittyy henkilötietojen siirtämiseen EU- ja ETA-alueen ulkopuolelle, erityisesti Yhdysvaltoihin, Tolvanen kertoo.

Hänen mielestään Ilmatieteen laitoksen saama päätös on vaikutukseltaan merkittävä, vähän niin kuin EU-tuomioistuimen aiemmin antama niin kutsuttu Schrems II -päätös, joka mitätöi EU:n ja Yhdysvaltojen neuvotteleman henkilötietojärjestelyn vuonna 2020.

– Päätös ei koske ainoastaan Googlen palveluiden käyttöä, vaan samat pelisäännöt soveltuvat mihin tahansa organisaatioon, joka kuuluu Yhdysvalloissa tiedustelulainsäädännön piiriin, eli käytännössä kaikki sähköisen viestinnän palveluntarjoajat.

Tolvanen kertoo, että Schrems II -päätöksen jälkeen organisaatioiden on täytynyt toteuttaa eräänlainen henkilötietojen siirtoja koskeva riskiarvio, mikäli tietoja siirretään EU- ja ETA-alueen ulkopuolelle. Niiden täytyy arvioida, onko kolmannen maan voimassa olevissa laeissa tai käytännöissä jotain, mikä heikentää EU-lainsäädännön eli käytännössä yleisen tietosuoja-asetuksen GDPR:n takaamaa tietosuojan tasoa.

Tällainen heikentävä seikka on erityisesti Yhdysvaltojen tiedustelutoiminta. Mikäli heikentäviä seikkoja on, organisaatioiden pitäisi ottaa käyttöön lisäsuojatoimia.

Asia ei usein ole organisaatioiden käsissä

Valvontaviranomainen odottaa Tolvasen mukaan vähintäänkin siirtoja koskevien riskiarviointien toteuttamista ja lisäsuojatoimien käyttöönottoa.

– Tämä edellyttää aika isoa harjoitusta, jossa käydään läpi kaikki organisaation toimittajat ja näiden alihankkijat sekä selvitetään minne dataa siirrellään palveluiden toimittamisen aikana. Sitten on hyvä ymmärtää, että Googlekaan ei ole onnistunut tähän päivään mennessä tarjoamaan riittäviä lisäsuojatoimia, eli asian lainmukaiseksi saattaminen ei ole organisaatioiden itsensä käsissä.

Google Analyticsin voi sentään korvata toisella palvelulla suhteellisen helposti. Mutta samat pelisäännöt soveltuvat sähköpostipalveluihin ja isompiin pilvipalveluihin, kuten Amazonin AWS:ään, joihin organisaatiot usein rakentavat it-infransa, Tolvanen muistuttaa.

– Näiden korvaaminen ei välttämättä onnistukaan.

Yritykset joutuvat arvioimaan tätä sääntelyriskiä samalla tavalla kuin muitakin sääntelystä tulevia velvoitteita, Mäki-Lohiluoma sanoo.

–  Nykyinen tilanne aiheuttaa tietosuojan osalta merkittävää ja epätoivottavaa oikeudellista epävarmuutta.

0:47Kaksivaiheinen tunnistautuminen on helppo keino parantaa omaa tietoturvaaKaksivaiheinen tunnistautuminen on helppo keino parantaa omaa tietoturvaa

Lisää aiheesta:

Viestinnän salausta kiertävä EU-asetuskompromissi herättää yhä epäluuloja – tarkoitus estää kuvat lasten hyväksikäytöstäTiktok on suomalaisten viranomaisten puhelimissa pääasiassa kielletty, mutta vapaa-ajan käyttöä ei juuri valvotaKuka käräytti Trumpin? Suomessa laki suojaa pian ilmiantajia – tästä whistleblower-ilmiössä on kyseEuropol huolissaan – EU:n tietosuoja-asetus on vaikeuttanut nettirikosten tutkintaa "EU:n uusi tietosuoja-asetus ei estä uusia skandaaleja" – Sosiaalisen median jättien suitsiminen vasta alussa Suuria muutoksia tiedossa: Uusi tietosuoja-asetus helpottaa palveluiden kilpailuttamista ja tuo ihmisille oikeuden "tulla unohdetuksi"
TietoturvaKotimaa

Tuoreimmat aiheesta

Tietoturva
  • to19:57
    Pankit

    Tämä arkinen asia altistaa digihuijauksille – "Pankit eivät tee tarpeeksi", sanoo IT-asiantuntija

  • to15:57
    Danske Bank

    Huijaukset liikaa – Danske Bank pohtii Turvatili-nimen vaihtamista

  • ti11:54
    Aktia Pankki

    Aktialle liki miljoonan euron rapsut – laiminlöi tietoturvallisuuden

  • 26.10.22:49
    Ruotsi

    Ruotsin kantaverkkoyhtiö tietomurron kohteena – hakkeriryhmä uhkaa julkaista dataa

  • 16.10.16:38
    Kymenlaakso

    Työntekijän epäillään tarkastelleen luvatta lähes 600 ihmisen terveystietoja