Privacy Shieldin päättymisen vaikutus julkisten pilvipalveluiden hyödyntämiseen.
Ratkaisun mukaan Yhdysvaltojen lainsäädäntöön sisältyvät viranomaisten oikeudet käyttää henkilötietoja, eivät täytä enää EU:n vaatimuksia.
Vaikuttaako tämä pilvipalveluiden käyttöön?
EU:n tuomioistuin kumosi vuonna 2016 tehdyn Privacy shield -järjestelyn 16.7.2020. Aiheesta on muutamia kirjoituksia erilaisissa medioissa näkynyt. Silti meillekin asti on valunut tietoja siitä, kuinka yritykset ovat keskeyttäneet julkisiin pilvipalveluihin liittyviä hankkeita, koska epäilevät tällä EU:n päätöksellä olevan siihen vaikutusta.
Tähän on yksinkertainen vastaus. Ei vaikuta! Silloin, kun puhutaan AWS:n, Azuren tai Google Cloudin kaltaisten alustojen hyödyntämisestä. Kaikilla näillä alustoilla käyttäjäyritys on vastuussa omasta datastaan. Jos päätät AWS-alustalla, että järjestelmä, jonka olet sinne rakentanut (kerää se sitten henkilötietoja tai ei) on rakennettu Tukholman-regioonaan, niin sen sisältämä data on sitten siellä. AWS:llä ei ole oikeutta siirrellä sitä minnekään. Jos taas itse siirrät järjestelmäsi vaikkapa US-east-1 regioonalle, syyllistyt todennäköisesti säädösten vastaiseen toimintaan.
Eli kuten ei ennenkään ole AWS:llä, Azurella tai GCP:llä ollut oikeutta siirtää mitään tietojasi pois siitä regioonasta, jota hyödynnät ja ei sitä oikeutta ole nytkään. Näin ollen tällä EU:n tuomioistuimen päätöksellä ei ole mitään merkitystä siihen hyödynnätkö näitä palveluita vai et.
Toki kaiken edellytyksenä on, että yritys on implementoinut toimivan pilvenhallintamallin, jolla estetään esimerkiksi Yhdysvalloissa sijaitsevien lokaatioiden käyttö sellaiselle datalle, jossa on mahdollisesti henkilötietoja.
Jos rakentamasi palvelu, oli se sitten Tiedon, Telian tai AWS:n pilvessä, hyödyntää Google analyticsiä tai Facebook connectia, niin siinä tapauksessa sivusto voi mahdollisesti olla säädösten vastainen…
Lisää aiheesta ja sen vaikutuksista voi lukea vaikka täältä:
Pilvipalveluiden omat vastaukset aiheeseen:
