GDPR ja tietosuoja globaalissa julkisen pilven ympäristössä

GDPR. Tuo nelikirjaiminen lyhenne lienee kummitellut varsin monen ihmisen pöydällä ja ajatuksissa kuluvan vuoden aikana. Se tuntuu värittävän kiihtyvällä tahdilla niin kahvipöytäkeskusteluja, asiakastapaamisia, lähes kaikkien toimialojen tapahtumia kuin yritysten koulutuskalentereitakin. Osa tulkitsee sen karrikoiden kuoliniskuksi kuluttajamarkkinoinnille ja tarpeeksi siirtää kaikki data omassa siivouskomerossa sijaitsevalle palvelimelle. Toisille se taas edustaa selkeytystä EU:n tietosuojaa käsittelevään sääntö- ja direktiiviviidakkoon, joka antaa hyvän ponnistuslaudan taata yksilölle oikeus parempaan tietosuojaan ja edistää modernien pilvipalveluiden käyttöönottoa.

 

Olen itse osallistunut Ohjelmistoyrittäjien yhteistyössä HPP-asianajotoimiston kanssa järjestämälle GDPR-kurssille sekä työstänyt omaa sisäistä projektiamme LAKIUS Oy:n Villy Lindfeltin koko Gappsin porukalle pitämän koulutuksen kautta. Tämä ei toisaalta tee minusta tämän aiheen asiantuntijaa, mutta auttaa pohtimaan asiaa käytännön näkökulmasta. Kysymys siis kuuluukin, että miten modernien julkisen pilven palveluiden päälle toimintansa rakentaneen yrityksen tulisi oikeasti tähän suhtautua ja miten me Gappsilla näemme Googlen kaltaisen globaalin toimijan tässä yhtälössä. 

 

Gapps on aika lähellä sitä arkkityyppiä yrityksestä, jonka lähes kaikki palvelut, niin sisäisesti käytössä olevat kuin asiakkaille tarjottavat, ovat tavalla tai toisella pilvessä. Tämä on osaltaan pakottanut ottamaan selvää miten GDPR tulee vaikuttamaan pilvipohjaisiin palveluihin ja mitä niiden tietosuojassa on osattava ottaa huomioon.

 

 

Meidän tapauksessamme Google on keskeisin toimija, jonka palveluita käytämme sekä tarjoamme asiakkaille, joten tämä on luontaisin tapa aloittaa selvitys. Google julkisti oman oman GDPR-sitoumuksensa jo tämän vuoden toukokuussa, joka löytyy oheisesta blogista. Tällä laajuudella globaalisti toimivalle yritykselle tietosuoja ja tietoturva on niin keskeisessä roolissa, että moni vaatimuksista oli jo vuotta ennen siirtymäajan päättymistä linjassa uuden asetuksen suhteen. Google on koostanut tiedot on myös omalle GDPR-sivustolle, jossa vielä selkeäsanaisesti linjataan sitoutuminen tietosuoja-asetuksen loppuihin vaatimuksiin tuon siirtymäajan puitteissa. Viimeisin lisäys tuohon päivämäärään valmistautumiseen oli uusittu datan käsittelyyn kantaa ottava Data Processing Amendment Google Cloudin keskeisimpien tuotteiden osalta (G Suite DPA 2.0 & Google Cloud Platform DPA 2.0). Molemmat päivitetyt sopimukset voi hyväksyä jo nyt ja ne astuvat voimaan 24.5.2018.

 

Se mikä pilvipalveluiden osalta usein nousee keskusteluissa esille on datan sijainti ja sen asema tietosuoja-asetuksessa. Uusi tietosuoja-asetus kieltää datan siirron EU-alueen ulkopuolelle ellei toimija noudata tiettyjä ennalta määriteltyjä vaatimuksia (henkilötietojen siirrot kolmansiin maihin tai kansainvälisille järjestöille, tietosuoja-asetuksen artiklat 44-50). Google on osaltaan sitoutunut tähän DPA-dokumentaatioissaan ja noudattaa jo tällä hetkellä EU-komission mallisopimuslausekkeita taatessaan tarvittavan tietosuojan tason kun dataa liikutellaan globaalissa infrastruktuurissa myös EU:n ulkopuolelle. Eli kun yritys itse on ottanut tämän huomioon omassa tietosuoja- / rekisteriselosteessaan sekä tarkistanut oman organisaationsa tietosuoja-asetukset (ohje G Suite asiakkaille), voi Googlen kaltaisten kansainvälisten toimijoiden palveluita käyttää täysin GDPR:n mukaisesti.

 

Kun selusta on kunnossa ja oma pilvikumppani on tietosuoja-asetukseen sitoutunut, niin voidaan siirtyä tutkimaan kuinka oman yrityksen päivittäinen toiminta tulee järjestää siirtymäajan jälkeisessä maailmassa. Eli seuraavassa blogissa pureudumme muutaman käytännön esimerkin kautta siihen kuinka modernit pilvipalvelut auttavat yrityksiä vastaamaan GDPR:n tuomiin haasteisiin. Jos oma projektisi on jo niin pitkällä, että asia on enemmän kuin ajankohtainen, niin ota yhteyttä.