GDPR-soppa ei ollutkaan tässä – Nyt vaatimukset voivat ulottua pilvialustaan asti

Helmikuussa 2022 Facebookin ja Instagramin emoyhtiö Meta myönsi harkitsevansa liiketoimintansa lopettamista Euroopassa. Vain muutama viikko aiemmin itävaltalainen tuomioistuin julisti Google Analyticsin GDPR:n vastaiseksi EU:ssa ja Tukholman kaupunki kielsi Microsoft 365:n käytön. Lisäksi yli kymmenen kaupunkia tai kuntaa Ruotsissa ovat siirtäneet integraatioalustansa pois amerikkalaisesta pilvestä.

HiQ:n Vice President ja integraatioasiantuntija, Antti Toivanen, kuvailee että teknologiamaailma on ennennäkemättömässä tilanteessa.

“Aiemmin Yhdysvallat ja Eurooppa neuvottelivat yhteisistä tietosuojakäytännöistä. Ensimmäistä kertaa molemmilla on omat säädökset, joilla ei ole yhteensopivuutta.”

Tiedon säilöminen yhdysvaltaisessa pilvessä on tietosuojariski

Vuonna 2018 EU:ssa astui voimaan GDPR-tietosuojadirektiivi. Samaan aikaan Yhdysvalloissa Trump allekirjoitti CLOUD Actin, jonka myötä heidän viranomaisillaan on oikeus vaatii tietoa USA-omisteisilta yrityksiltä – jopa silloin, kun on kyseessä EU:ssa tallennettu data.

Vuonna 2020 tilanne eteni ratkaisevaan oikeudenkäyntiin, jossa itävaltalainen juristi haastoi Facebookin oikeuteen yksityisyydensuojan loukkaamisesta ja henkilökohtaisen tiedon siirtämisestä Yhdysvaltain tiedusteluelimelle NSA:lle. Hän voitti ja syntynyt Schrems II -päätös mitätöi Yhdysvaltain ja EU:n välisen datasiirtosopimuksen.

“Päätöksen myötä herää väistämättä kysymys siitä, noudattaako yksikään yhdysvaltalaisessa pilvessä, kuten Azuressa, tietonsa säilövä toimija nykymuotoista GDPR:ää?” Toivanen pohtii.

Hän nostaa esimerkiksi verkkokauppaostamisen, jossa kuluttaja antaa suostumuksensa tietojen käsittelyyn verkkokauppiaalle. Mikäli kyseinen verkkokauppa kuitenkin säilöö tietoaan Azuren pilvessä, pääsevät yhdysvaltalaiset automaattisesti valvomaan tätä. Eurooppalainen tietosuoja ei tällöin toteudu.

Toivasen mukaan jokaisen kunnan, organisaation ja yrityksen on nyt tarkastettava, että heidän omien tietosuojakäytäntöjensä ohella myös taustajärjestelmät ja datan säilöntäpaikka ovat GDPR-yhteensopivia.

“Uhka on todellinen ja asian tiimoilla tapahtuu jatkuvasti – esimerkiksi Googlen fontit on juuri tuomittu laittomiksi Saksassa. Moni meidänkin asiakkaistamme on reagoinut ja pyytänyt integraatioalustansa siirtoa Compliant Cloudiin.”

Pilvialustan valinta kriittisenä tekijänä

Toivanen selittää, että pilvialustaksi kannattaa valita Compliant Cloud tai vastaava Open Stack-pohjainen alusta, joka on GDPR-yhteensopiva vielä Schrems II -päätöksen jälkeenkin. Pilvialustan datan tulee sijaita EU-alueella ja olla EU-valtion omistama.

Toivanen toteaa, että pahinta nykyisessä tilanteessa on epätietoisuus. Yritykset ovat luonnolliset pyrkineet ohittamaan säädöksiä vakiosopimusehdoilla (SCC, Standard Contractual Clauses), jotka jäävät auttamatta EU-direktiivien jalkoihin.

Turvallisin peliliike on varmistaa omalta teknologiatoimittajalta, että kaikki henkilötietoa tallentavat järjestelmät pyörivät pilvialustalla, joka on GDPR-yhteensopiva.

Vice President ja integraatioasiantuntija, HiQ

Antti Toivanen

Toivasen mukaan yrityksen IT-infraa on tarkasteltava kokonaisvaltaisesti aina käyttöliittymäkerroksesta eli verkkokaupasta tai asiointipalvelusta integraatiokerrokseen.

“Siinä missä vuonna 2018 yritykset keskittyivät tarkastelemaan omia asiakastiedon käsittelytapojaan, on ajatusta laajennettava nyt toimittajien ja heidän käyttämiensä pilvialustojen tasolle.”

Kuluttajia Toivanen puolestaan ohjeistaa miettimään kriittisesti, mille sivustoille antaa luvan käsitellä tietojaan.

“Sivustot, jotka lupaavat käsitellä eväste- tai henkilötietoja vaadittujen säädösten mukaisesti, eivät voi välttämättä taata sitä. Kuluttajina meidän kannattaa miettiä kahteen kertaan, ennen kuin hyväksymme evästeet tai annamme muita oikeuksia tietojemme käsittelyyn.”

Varmista verkkokauppasi tai asiointipalvelusi GDPR-mukaisuus jatkossakin.