Suomennos 6.10.2015 Microsoftin lakiasioista vastaavan johtajan Brad Smithin viestistä asiakkaillemme koskien EU:n ja Yhdysvaltain välistä Safe Harbor -sopimusta. Alkuperäisen kirjoituksen löydät tästä.
6.10.2015, Brad Smith – President and Chief Legal Officer
Euroopan unionin tuomioistuin on tänään (6.10.2015) antanut päätöksen koskien EU:n ja Yhdysvaltain välistä Safe Harbor -sopimusta, ja ymmärrämme, että joillakin asiakkaillamme voi olla kysymyksiä päätöksen vaikutuksista. Asiakkaat saattavat erityisesti pohtia, tarkoittaako tämä päätös sitä, että he eivät enää voi siirtää asiakastietoja Euroopan unionista Yhdysvaltoihin.
Uskomme, että Microsoftin yrityspilvipalveluiden asiakkaat voivat hyvin jatkaa tietojen siirtoa luottamalla suorittamiimme lisätoimenpiteisiin ja oikeudellisiin suojaamistoimenpiteisiin. Tähän kuuluvat muun muassa yksityisyydensuojaa koskevat tiukat lisätoimenpiteet sekä EU:n mallilausekkeiden noudattaminen, mikä mahdollistaa asiakkaillemme tietojen siirron EU:n ja muiden paikkojen – mukaan lukien Yhdysvaltojen – välillä myös ilman Safe Harboria. Tämäntapaiset toimenpiteet on huomioitu aiemmin tänään sekä päätöksessä että Euroopan komission kommenteissa.
Microsoftin pilvipalvelut, mukaan lukien Azure Core Services, Office 365, Dynamics CRM Online ja Microsoft Intune, ovat yhdenmukaisia EU:n mallilausekkeiden kanssa ja kuuluvat näin ollen kyseisten suojaamistoimien piiriin.
Emme myöskään usko, että päätös vaikuttaa kuluttajapalveluihimme merkittävällä tavalla. Käyttöehdoissamme todetaan selkeästi, että toimittaaksemme kyseisiä palveluja siirrämme dataa käyttäjien välillä, ja tämä siirto voi tapahtua esimerkiksi silloin, kun yksi käyttäjä lähettää sähköpostin tai muuta online-sisältöä toiselle käyttäjälle. Meillä on myös datakeskuksia monissa eri maissa ja monilla eri alueilla, ja monet niistä sijaitsevat Euroopassa.
Ei ole sattumaa, että voimme luottaa näihin vaihtoehtoisiin oikeudellisiin suojaamistoimiin. Olimme osanneet varautua tänään annettuun päätökseen, ja olimme ottaneet käyttöön varatoimenpiteitä yritysasiakkaitamme varten. Nämä perustuvat siihen työhön, jota olemme tehneet yli neljän vuoden ajan lisätäksemme asiakkaidemme suojaa ja varmistaaksemme, että asiakkaamme pystyvät noudattamaan lakeja ja määräyksiä siirtyessään Microsoftin pilveen. Olemme suorittaneet useita eri toimenpiteitä:
- Olemme tehneet kattavaa teknistä, operationaalista ja oikeudellista työtä, jotta olemme pystyneet vuoden 2011 alusta lähtien sisällyttämään EU:n mallilausekkeet pilvisopimuksiimme. Aiemmin tänä vuonna Microsoftista tuli ensimmäinen suuri pilvipalveluntarjoaja, joka otti käyttöön ensimmäisen kansainvälisen pilvipalveluiden yksityisyydensuojaa koskevan ISO 27018 -standardin.
- Saimme huhtikuussa 2014 Euroopassa EU:n tietosuojatyöryhmältä (Article 29 Working Party) vahvistuksen, että EU:n mallilausekkeiden täytäntöönpano sopimuksissamme noudattaa tietosuojatyöryhmän tiukkoja vaatimuksia. Tietosuojatyöryhmä edustaa kaikkia EU-alueen tietosuojaviranomaisia, ja he ovat johtavia asiantuntijoita näissä asioissa. Olimme ensimmäinen teknologiayhtiö, joka on saanut kyseisen vahvistuksen. Kuten ilmoitimme viime huhtikuussa, tämä tarkoittaa sitä, että pilvipalveluitamme käyttävät asiakkaamme voivat luottaa suojaukseen ja jatkaa tietojen siirtoa Yhdysvaltoihin ja muualle.
- Halusimme varmistaa, että tämä etu koskee kaikkia yrityspilvipalveluidemme asiakkaita, joten viime vuodesta lähtien olemme sisällyttäneet EU:n mallilausekkeiden noudattamisen vakio-osaksi suurimpiin yrityspilvipalveluihimme liittyviin sopimuksiin jokaisen asiakkaamme kanssa. Microsoftin pilvipalveluasiakkaiden ei tarvitse suorittaa mitään muita toimia kuuluakseen näiden toimenpiteiden piiriin.
Sitoumuksemme yksityisyydensuojaan ei rajoitu pelkästään siihen vaativaan työhön, jota pilvipalveluidemme yhdenmukaisuus EU:n mallilausekkeiden kanssa on edellyttänyt.
- Joulukuussa 2013 ilmoitimme useista lisätoimenpiteistä, joilla pyrimme lisäämään asiakastietojen suojausta. Näihin kuuluivat palveluidemme suojauksen merkittävä lisääminen, koodimme lisääntynyt läpinäkyvyys, sekä asiakkaiden vahvempi oikeudellinen suoja hallitusten asiakastietopyyntöjen osalta.
- Minkä tahansa valtion hallituksen halutessa pääsyn asiakkaidemme tietoihin, pyyntö tulee tehdä asianmukaisen ja tiettyyn tiliin tai tunnisteeseen kohdistetun oikeudellisen prosessin kautta. Kuten julkaisemistamme tiedoista käy ilmi, hallitusten tietopyynnöillä on vaikutusta vain murto-osaan asiakkaistamme.
- Olemme tilanteen niin vaatiessa haastaneet näitä kohdistettuja oikeudellisia vaatimuksia oikeudessa menestyksekkäästi.
- Olemme investoineet merkittävästi datakeskuksiin ympäri maailman, osittain siksi, että pystyisimme pitämään tiedon lähempänä asiakkaita. Meillä on tällä hetkellä yli 100 datakeskusta 19 alueella ja 40 maassa.
Tämänpäiväinen päätös luonnollisesti nostaa esiin tärkeitä asioita, ja sen myötä on entistäkin tärkeämpää, että Euroopan komissio ja Yhdysvaltojen hallitus pääsevät yhteisymmärrykseen oikeasta tavasta edetä asiassa. Tuemme tätä pyrkimystä. Siitä käy myös selvästi ilmi maailmanlaajuinen tarve uudistaa digitaalista yksityisyyden suojaa koskevaa lainsäädäntöä laajemminkin, jotta yksityisen ja julkisen turvallisuuden välille saataisiin parempi tasapaino. Olemme puhuneet tämän puolesta jo jonkin aikaa.
On myös olemassa toimia, jotka voidaan toteuttaa Yhdysvalloissa nopeallakin aikataululla, kuten esimerkiksi ECPA Amendments Actin, LEADS Actin sekä Judicial Redress Actin voimaansaattaminen. Kaikki nämä auttaisivat.
Toivomme, että hallitukset Atlantin molemmin puolin työskentelevät yhdessä kohti samaa tavoitetta. Monet Euroopan valtiot harkitsevat parhaillaan muutosten tekemistä valvontaa koskevaan lainsäädäntöönsä. Sen sijaan, että valtioiden valvontaa yksinkertaisesti vain lisättäisiin, kuten jotkin tahot ovat pyrkineet tekemään, huomion tulisi kiinnittyä siihen, että turvallisuuden ja yksityisyyden välille saadaan sopiva tasapaino vaarantamatta niistä kumpaakaan.
Samanaikaisesti kun Microsoftin pilvipalveluasiakkaat voivat jatkaa liiketoimiaan, on selvää, että maailma tulee hyötymään uudistetusta sopimuksesta – ja uudistuksista – tällä alalla Euroopan ja Yhdysvaltojen välillä. Olemme sitoutuneet työskentelemään läheisessä yhteistyössä muiden alan toimijoiden kanssa sekä tukemaan tietosuojaviranomaisia ja hallituksia EU-tuomioistuimen päätöksessä asetettujen tavoitteiden saavuttamiseksi. Ihmiset eivät käytä teknologiaa, johon he eivät luota. Meidän tulee työskennellä yhdessä tämän luottamuksen rakentamiseksi.
Linkki aluperäiseen Brad Smithin blogiin.