Huoli Google Analyticsin tietosuojalainsäädännön mukaisuudesta hälveni EU-päätöksen myötä

Euroopan komission päätös Yhdysvaltojen tietosuojan tason riittävyydestä on astunut voimaan 10. heinäkuuta. Riittävyyspäätöksen nojalla henkilötietoja voidaan siirtää sertifioituneille yhdysvaltalaisille yrityksille, jotka ovat sitoutuneet EU:n ja Yhdysvaltojen välisessä tietosuojakehyksessä sovittuihin suojatoimiin.

Henkilötietojen siirto Euroopasta Yhdysvaltoihin on aiheuttanut päänvaivaa lukuisille yrityksille Euroopassa ja Yhdysvalloissa sen jälkeen, kun EU totesi päätöksellään aiemman Privacy Shield -järjestelyn olevan riittämätön kesällä 2020.  Tiivistettynä ongelman ytimessä ovat olleet Euroopan yksityisyydensuojalain (GDPR) ja Yhdysvaltojen tiedustelulain ristiriitaisuudet. Alusta asti on ollut selvää, että ongelman mahdollinen ratkaisu löytyy neuvottelupöydissä ja sopimalla uusista käytännöistä. Samanaikaisesti yritykset ja pilvipalvelutarjoajat ovat merkittävästi parantaneet yhdenmukaisuuttaan GDPR:n asettamiin vaatimuksiin.

EU:n 10.7.2023 tekemä tietosuojan riittävyyspäätös päättää tulkinnanvaraisuuden henkilötietojen siirrossa Euroopasta Yhdysvaltoihin, kunhan siirron osapuolena oleva yhdysvaltalaisyritys on sertifioitunut DPF-tietosuojakehyksessä (Data Privacy Framework) sovittuihin suojatoimiin. Yhdysvallat on avannut verkkoon palvelun, josta voi helposti etsiä ja tarkistaa DPF-tietosuojakehykseen kuuluvien yritysten tietoja. Rekisteristä löytyvät suuret pilvipalvelutoimittajat, kuten Amazon, Google ja Microsoft, jonka myötä voidaan todeta Google Analyticsin olevan lähtökohdiltaan GDPR-asetuksen mukainen.

Tietosuojakehykseen kuuluvien yritysten rekisterihaku:
https://www.dataprivacyframework.gov/s/participant-search