GDPR, Google ja itslearning

itslearning julkisti äskettäin yhteistyön Googlen kanssa. Tämä nosti esiin muutamia kysymyksiä tietosuojasta. Roolissani DPO:na en ole mukana kaupallisessa tai strategisessa päätöksenteossa, mutta minulta kysytään usein mielipidettä tietosuojaa sivuaviin asioihin lähes kaikessa mitä me teemme. Läpinäkyvyyden takaamiseksi, tässä minun ajatuksiani aiheesta.

Ajatellaanpa itslearningin pilvi-integraatioita noin yleisesti (itslearningiin voidaan integroida myös Office 365 ja Dropbox). Pilvipalveluita saa yleensä kahdella maulla, vaikka ne ulkoisesti muistuttavat toisiaan, kyse on kokonaan eri lajista, kun vaihtoehtoja vertaillaan toisiinsa tietosuojan näkökulmasta.

Vanilja: Organisaation yhteinen ratkaisu, keskitetty tunnushallinta

Lakritsi: Käyttäjän oma tunnus, josta hän vastaa itse.

(On olemassa myös kolmas maku – tässä tapauksessa organisaatiot yrittävät yhdistellä yllä mainittuja – GDPR:n näkökulmasta tästä jää suuhuni paha maku).

Puhutaan ensin vaniljan mausta. Jos sinä, opettajana tai opiskelijana, saat organisaatioltasi Googlen (tai Microsoftin) tunnukset, kyse on vaniljan mausta. GDPR:n kannalta oppilaitos on datan omistaja ja Google on datan käsittelijä. Google voi käsitellä dataa ainoastaan oppilaitoksen myöntämällä luvalla. Yksinkertaisesti, tällöin Google pitää kaiken henkilökohtaisen tiedon erillään suklaan makuisista palveluistaan (kaupalliset palvelut kuluttajille) eikä yritä suoraan rahastaa käyttäjän henkilökohtaisilla tiedoilla.

Tämä ei tarkoita että kaikki pitäisivät vaniljan mausta. Jokaisesta organisaatiosta, joka sitoutuu tällaiseen palveluun, tulee datan omistaja ja tähän liittyy lukuisia yksityisyyttä suojaavia velvollisuuksia. Lopulta organisaation tulee päättää sopiiko tällainen palvelumalli heille ja tarjoaako se riittävän tietoturvan tason.

Lakritsin makuun ei liity organisaatioita, jotka ottaisivat hoitaakseen henkilötietojen käsittelyn. Käyttäjät asioivat suoraan palvelun tarjoajan kanssa, josta GDPR:n myötä tulee datan käsittelijä. Palvelun tarjoaja määrittää kuinka kerättyä dataa käytetään ja tähän liittyy usein myös rahallisen hyödyn tavoittelu. (Tämä tulee ilmaista palveluntarjoajan käyttöehdoissa, lue ne tarkasti.)

Google for Education ja itslearning -yhteistyö perustuu vaniljan makuun. Tämä ratkaisu on valmistettu organisaatioille, jotka tarjoavat käyttäjilleen Google-tilit (G-Suite for Education). Tällöin organisaatio on arvioinut Googlen sopivuuden henkilötietojen käsittelijänä ja yhteinen DPA (Data processing Agreement) on allekirjoitettu. Tämä sopimus ei tarkoita sitä, että itslearning alkaisi välittömästi käsittelemään käyttäjien henkilökohtaista dataa Googlen kautta.

Eli jos organisaatio tahtoo integroida Googlen itslearningiin, siirtyykö henkilökohtaisia tietoja tällöin järjestelmien välillä? Ei. Pieni tietomäärä, joka liikkuu G Suiten ja itslearningin välillä, on käyttäjän itsensä hallinnoimaa. Google ei voi käsitellä tätä tietoa irrallisena. Lisäksi on ehkä syytä mainita, että ainoa henkilökohtainen tieto jonka itslearning siirtää G Suiteen, ovat käyttäjänimet, jotka organisaatio on itseasiassa jakanut jo Googlen kanssa tunnuksia luodessaan.

itslearning tarjoaa mahdollisuuden integroida myös lakritsin makuisia tunnuksia. Jos olet Dropboxin käyttäjä ja tahdot kätevän tavan tuoda tiedostoja itslearningiin, voit tehdä sen helposti omilla Dropbox-tunnuksillasi. Tässäkään tapauksessa itslearning ei lähetä henkilötietojasi eteenepäin.

Yhteenvetona: Asiakkaat päättävät haluavatko käyttää pilvipalveluita itslearningissä. itslearning ei lähetä mitään sellaista henkilökohtaista tietoa eteenpäin, mitä asiakas ei ole itse hyväksynyt. Asiakkaat voivat milloin tahansa perua pilvipalvelukytkökset kytkemällä sivustoltaan pääsyn pilvipalveluihin pois päältä.


Tämä on kuudes John Arthur Bergin (Data Protection Officer, DPO) kirjoittama blogimerkintä. Lue John Arthur Bergin muut artikkelit.

Marja hoitaa itslearningin markkinointia sekä vastaa asiakkuuksista.

Ei kommentteja

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Näytä tuotekohtaiset artikkelit

Viimeisimmät viserrykset

Uusi artikkeli käyttäjäsivustolla: Oppimistavoitteiden edistymisraportti users.itslearning.fi…

reply · retweet · favorite

Artikkeliarkisto