MyFondia VirtuaaliLakimies
1. marraskuuta, 2016

Miten uusi Privacy Shield -järjestely vaikuttaa Atlantin ylittävään tietojensiirtoon?

Elokuun alussa astui voimaan Euroopan komission 12. heinäkuuta hyväksymä EU:n ja Yhdysvaltojen välinen Privacy Shield järjestely. Järjestelyllä luotiin yksi uusi vaihtoehto Atlantin yli kulkevaan tietojensiirtoon. Järjestelyn luomisen tarpeen taustalla oli Safe Harbor järjestelmän murentuminen vuonna 2015 Euroopan unionin tuomioistuimen antamassa ns. Schrems ratkaisussa .

Privacy Shield turvaa EU kansalaisen tietoturvalliset perusoikeudet siirrettäessä tietoja yli Atlantin. Privacy Shieldin nojalla suojaa saavat myös ETA-maiden kansalaiset, eli EU maiden lisäksi myös Islannin, Liechtensteinin ja Norjan kansalaiset kuuluvat järjestelyn piiriin. Tästä voisi päätelläIso-Britannian kansalaisten säilyvän EU eron jälkeenkin mahdollisesti Privacy Shieldin suojan piirissä maan kuuluessa ETA-alueeseen.

Yhdysvaltalainen yritys voi sertifioida itsensä osaksi Privacy Shiled -järjestelyä lupaamalla noudattaa sen puitteissa luotuja sääntöjä. Yritysten tulee suorittaa tämä sertifiointi vuosittain. Sääntöjen noudattamista valvoo Yhdysvaltain kauppaministeriö, ja yrityksille, jotka eivät sääntöjä noudata on määrättävissä sanktioita tai ne voidaan sulkea pois järjestelyn piiristä ja Privacy Shield -listalta.

Järjestelyssä mukana olevien organisaatioiden tulee toimia tietojen keräämisessä ja käsittelyssä Privacy Shieldissä säädettyjen periaatteiden mukaisesti. Näitä ovat muun muassa seuraavat:

  1. Kerättyjä tietoja saa käyttää vain siihen tarkoitukseen, johon ne on alun perin kerätty, sekä käyttöön johon rekisteröity on antanut suostumuksensa;
  2. Tietojen kerääjän tulee varmistua, että kerätty tieto on todenmukaista sekä ajantasaista;
  3. Tietojen kerääjän tulee varmistua siitä, että tiedot on suojattu esimerkiksi niiden katoamista, luvatonta käyttöä tai muuttamista vastaan;
  4. Siirrettäessä tietoja järjestelyn ulkopuolelle on tietojen siirtäjän varmistuttava siitä, että tiedoilla säilyy sama suojelun taso;
  5. Tietojen kerääjää koskettaa myös ankarampi vastuu, jos sen puolesta tietoja keräävä, säilyttävä tai käsittelevä osapuoli ei täytä tätä järjestelyssä säädettyä tasoa; ja
  6. Organisaatioiden on annettava rekisteröidyille tiedot useista heidän henkilötietojensa käsittelyyn liittyvistä keskeisistä aiheista (kuten kerättävien tietojen laji ja tietojen käsittelyn tarkoitus). Rekisteröidyllä on lisäksi oikeus saada kohtuullisessa ajassa tieto siitä, käsitteleekö organisaatio hänen tietojaan.

Lisäksi EU-kansalaisille luotiin useita riidanratkaisumenetelmiä tilanteisiin, joissa kansalainen katsoo, että hänen tietojaan on käytetty väärin. Riidanratkaisun ensisijainen vaihtoehto on osoittaa huomautus järjestelyn piirissä toimivalle organisaatiolle. Tämän lisäksi kansalaisilla on mahdollisuus saattaa asia ratkaistavaksi kansallisen tietoturvaviranomaisen kautta aina järjestelyssä perustetulle kolmesta sovittelijasta koostuvalle Privacy Shield paneelille. Sen päätökset ovat sitovia ja täytäntöön pantavissa Yhdysvaltojen tuomioistuimissa. Paneeli on luotu yksinomaan kansalaisten suojaksi, mistä johtuen yritykset tai organisaatiot eivät voi saada asiaansa paneelin käsiteltäväksi.

Voimaantulleella järjestelyllä rajoitettiin myös merkittävästi Yhdysvaltojen viranomaisten mahdollisuutta suorittaa tietojen massavalvontaa. Tätä massavalvontaa pidettiinkin Privacy Shieldin edeltäjän Safe Harbourin toimiessa ongelmallisena, ja se oli Safe Harbour -järjestelyn lakkaamisen taustalla. Nyt luotuun järjestelmään on lisätty erillinen ja riippumaton asiamies, joka toimii nimenomaan tapauksissa, joissa EU-kansalainen haluaa kyseenalaistaa Yhdysvaltojen kansallisen turvallisuuden nimissä suorittaman tietojenhaun.