MyFondia VirtuaaliLakimies
20. lokakuuta, 2015

Henkilötiedot USA:ssa – mitä tehdä juuri nyt?

6.10.2015 EU-tuomioistuin mitätöi päätöksen, jolla komissio oli v. 2000 hyväksynyt Safe harbor –järjestelmän. EU-tuomioistuin päätti, että USA:n tietosuojalainsäädäntö ja Safe harbor -järjestelmä eivät vastaa EU:n tietosuojalainsäädännön vaatimuksia, kun ne sallivat yhdysvaltalaisille organisaatioille siirrettyihin henkilötietoihin ja sähköisen viestinnän tietoihin kohdistuvan laajamittaisen viranomaisseurannan.

USA:n kauppaministeriön ja Euroopan komission luoma Safe Harbor -järjestelmä mahdollisti 15 vuoden ajan eurooppalaisten henkilötietojen siirron USA:han, jos vastaanottava yhdysvaltalainen yritys oli liittynyt järjestelmään ja sitoutunut noudattamaan sen tietosuojavaatimuksia. Järjestelmä oli merkittävässä roolissa ja mahdollisti osaltaan henkilötietojen käsittelyä vaativan liiketoiminnan EU:n ja USA:n välillä. Pelkästään sen varassa on toiminut n. 4.400 yritystä. Lista siihen liittyneistä yrityksistä löytyy täältä . Mukana ovat mm. Amazon, Google, Microsoft ja Twitter. EU-tuomioistuimen päätös koskee siis monia suomalaisiakin yrityksiä, jotka käyttävät näiden yritysten pilvi- tai muita palveluja ja siirtävät niille henkilötietoja. Suomalaisten ja muiden eurooppalaisten yritysten on ratkaistava, missä määrin ja millä edellytyksillä ne voivat käyttää näiden yritysten palveluja jatkossa.

Selventääkseen tilannetta EU:n tietosuojaviranomaisten yhteistyöelin (Article 29 Working Party) antoi oman ohjeensa päätöksen johdosta 16.10.2015. Sen mukaan Safe harbor -järjestelmään perustuva tietojen siirto on nyt laitonta, mutta henkilötietoja voidaan toistaiseksi siirtää USA:han käyttämällä komission hyväksymiä mallisopimuslausekkeita.

Ongelmana on kuitenkin, että mallilausekkeiden ja muiden sopimusehtojen käyttö ei estä USA:n viranomaisten harjoittamaa valvontaa. Yhdysvaltalaisten yritysten on sallittava viranomaisille pääsy eurooppalaisten henkilötietoihin USA:n lainsäädännön mukaisesti riippumatta siitä, mitä ne sopivat eurooppalaisten yritysten kanssa. Ennen pitkää EU:n tietosuojaviranomaisten on pakko puuttua myös tähän. Nyt ne päättivät vielä odottaa, että EU ja USA löytävät poliittiset, juridiset ja tekniset ratkaisut tilanteeseen 31.1.2016 mennessä ennen, kuin ne puuttuvat muuten kuin Safe harbor -järjestelmän perusteella tapahtuvaan tietojen siirtoon. Saksassa Schleswig-Holsteinin tietosuojaviranomainen ehti ottaa jo askeleen pidemmälle ja ilmoitti 14.10.2015, että tietoja ei voida siirtää USA:han mallilausekkeillakaan ja että yritysten pitää harkita vaihtoehtoja kaikelle henkilötietojen käsittelylle USA:ssa. Sen mukaan ainoa ratkaisu on, että USA muuttaa merkittävästi lainsäädäntöään.

Paine ratkaisun löytymiseen on kova. USA:ssa lainsäädännöllistä painetta kasvattavat teknologiajättiläiset, Facebook, Google, IBM, Microsoft ja Yahoo etunenässä. Ne vaativat yhteisellä kirjeellä 15.10.2015 USA:n edustajainhuonetta hyväksymään Judicial Redress Actin, jolla eurooppalaisille taattaisiin sama tietosuoja kuin yhdysvaltalaisille. Niiden mielestä USA:n elinkeinoelämän kilpailukyvyn kannalta luottamuksen palauttaminen on elintärkeää. Samaan aikaan jatkuvat neuvottelut uudesta Safe harbor -järjestelmästä.

Mitä suomalaisen yrityksen pitäisi siis tehdä juuri nyt? Google lähestyi asiakkaitaan ja ilmoitti odottavansa lisätietoja Euroopan komissiolta ja tietosuojaviranomaisilta sekä nopeita tuloksia Safe harbor -järjestelmää koskevista neuvotteluista. Se ilmoitti myös nopeuttavansa mallilausekkeiden laatimista pilvipalveluitaan ja muita tuotteitaan varten. Se ilmoitti myös pitävänsä asiakkaansa ajan tasalla tulevasta kehityksestä. EU:n tietosuojaviranomaiset puolestaan ilmoittivat aloittavansa asiaa koskevat kansalliset viestintähankkeet.

Jos vastaisin suomalaisen yrityksen henkilötietojen käsittelystä, niin juuri nyt selvittäisin, koskeeko ongelma ylipäätään yritystäni, eli käsitelläänkö yritykseni asiakas-, työntekijä- tai muita henkilötietoja USA:ssa. Jos käsitellään, niin miten siirron lainmukaisuudesta on huolehdittu - Safe harbor -järjestelmällä, mallisopimuslausekkeilla, henkilön suostumuksella vai miten. Muihin toimenpiteisiin ryhtyisin vasta, kun tietosuojaviranomaiset ovat antaneet selkeät käytännön ohjeet hyväksyttävästä toimintatavasta. Juuri nyt en kyllä ottaisi käyttöön uusia tiedonsiirtoja USA:han, vaan valitsisin eurooppalaisia palvelimia tai palveluita.

Luottaisin siihen, että kyllä luonto tikanpojan puuhun ajaa ja USA ja EU löytävät ihan pikapuoliin kelpo ratkaisun – niin kuin aina ennenkin.