Valtorin pilvipalvelusopimuksia tarkistettu tietosuojan osalta
Valtori on tehnyt selvitystyötä yksityisyydensuojaan liittyvän Privacy shield -järjestelyn mitätöinnin seurauksista.
Työtä on tehty seuraavilla osa-alueilla
- Henkilötietojen käsittelyn vaikutustenarvioinnit
- Konsultointi, viranomaisyhteistyö
- Asiakas- ja palvelutoimittajayhteistyö
- Sopimusten läpikäynti ja vakiosopimuslausekkeiden varmistaminen
- Vertaistoimijayhteistyö
Euroopan unionin tuomioistuin mitätöi Privacy shield -sopimuksen 16.7.2020 (Schrems II -päätös). Sopimus sääteli eurooppalaisten henkilötietojen GDPR:n mukaista käsittelyä Yhdysvalloissa. Tämän vuoksi GDPR-säännösten mukaisuus tulee turvata kahdenvälisin ehdoin.
Valtorin selvitystyö on edennyt pilvipalveluiden tarjoajien sopimusten läpikäynnin osalta. Microsoft on päivittänyt hankintasopimuksensa ja Amazon Web Services (AWS) -sopimuksissa ovat voimassa Schrems II -päätöksen mukaiset vakiosopimuslausekkeet.
Microsoftin EA-pilvipalvelusopimukseen uusi päivitysliite
Valtorin ja Microsoftin pilvipalvelusopimuksiin on tulossa päivitysliite. Sopimuksen nykyisiä liitteitä ovat Online Services Ehdot (OST) ja sen Data Protection Addendum (DPA).
Valtori ja Microsoft ovat havainneet haasteita sopimusehdoissa. Sopimus on ollut Valtorin nimissä ja on ollut epäselvää, ulottuvatko rekisterinpitäjien oikeudet myös yksittäisiin Valtorin asiakasorganisaatioihin. Tästä syystä Valtori laati Microsoftin kanssa sopimusliitteen, jonka avulla varmistetaan, että OST/DPA ulottuu myös rekisterinpitäjiin.
AWS-sopimuksissa vakiosopimuslausekkeet
AWS:n kanssa tehdyissä sopimuksissa nojataan tietosuojan osalta EU:n hyväksymiin vakiosopimuslausekkeisiin (AWS: EU-US Privacy Shield FAQ). Kun asiakastietoja siirretään Euroopan talousalueen ulkopuolelle, AWS tarjoaa tietosuojan turvaamisen mekanismiksi sekä AWS Data Processing -sopimusliitteen lausekkeita että niitä tukevia täydentäviä toimenpiteitä.
Valtori jatkaa AWS-palveluiden osalta selvitystyötä datakartoituksella, jossa pohjaudutaan Pilvipalveluiden turvallisuuden arviointikriteeristön vaatimuksiin.
Työn alla ovat myös Valtorin rekisterinpitäjänä tekemät tietosuojan vaikutustenarvioinnit. Microsoft Azure AD -palvelun osalta arviointi on valmistunut.
