MyFondia VirtuaaliLakimies
6. elokuuta, 2020

Tärkeitä muutoksia liittyen henkilötietojen siirtämiseen USA:han

Privacy Shield ei ole enää heinäkuun 16. päivän jälkeen ollut hyväksyttävä mekanismi henkilötietojen siirtämiseen EU:sta USA:han. Vaikka on olemassa vaihtoehtoisia tapoja, niihin liittyy myös paljon epävarmuutta. Seuraavana yhteenveto tämänhetkisestä tilanteesta, ja miten toimia odotettaessa lisäopastusta.

Yleinen tietosuoja-asetus (GDPR) sisältää säännöt siitä, miten ja milloin henkilötietojen siirto EU:n ulkopuolisiin maihin, eli ns. kolmansiin maihin, on sallittua. Esimerkki tällaisesta kolmannesta maasta on Yhdysvallat, jossa käytetään markkinoiden suosituimpia pilvipalveluita ja muita digitaalisista foorumeita. Kaikki, jotka ovat käyttäneet pilvi- ja muita palveluita, joiden palvelin sijaitsee Yhdysvalloissa, ovat toistaiseksi voineet luottaa siihen, että henkilötietojen siirtäminen maahan on laillista Privacy Shieldin nojalla, jos kyseisiä palveluita tarjoava yritys on ollut listautuneena Privacy Shield -järjestelmään. Sitoutumalla Privacy Shield - järjestelmään yhdysvaltalaiset yritykset ovat voineet osoittaa riittävän korkeatasoisen suojan käsitelleessään henkilötietoja, ja sitä kautta voineet vastaanottaa tietoja eurooppalaisilta yrityksiltä.

Schrems II -päätös

EU tuomioistuin on 16. heinäkuuta antamallaan tuomiollaan, niin kutsutulla Schrems II -tapauksella, kieltänyt Privacy Shield -järjestelmän käyttämisen. Tämä tarkoittaa sitä, että Privacy Shieldiin ei ole enää mahdollista tukeutua, kun on kyse henkilötietojen siirtämisestä USA:han. EU-tuomioistuin ottaa lisäksi tuomiossaan kantaa komission mallisopimuslausekkeiden (SCC) pätevyyteen. Mallisopimuslausekkeita on myös käytetty suojamekanismina, kun tietoja on siirretty kolmansiin maihin. Lausunnossaan EU-tuomioistuin toteaa mallisopimuslausekkeiden olevan vielä hyväksytty mekanismi tietojen siirtoon. Henkilötietoja siirtävien yritysten (avustajat tai johtajat) ja vastaanottavien yritysten pitää kuitenkin etukäteen arvioida, tarjoaako vastaanottava maa riittävän suojan henkilötietojen suojaamiseen. EU-tuomioistuin korostaa, että jos kolmansien maiden viranomaisilla on oikeus käsitellä henkilötietoja GDPR:ää loukkaamalla tavalla, on henkilötietojen siirto keskeytettävä.

Schrems II –tapauksen seuraukset vaikuttavat tätä kautta kaikkiin eurooppalaisiin yrityksiin, jotka käyttävät yhdysvaltalaisia pilvipalvelujen toimittajia, tai jotka muilla tavoin siirtävät henkilötietoja USA:han. Mallisopimuslausekkeita käyttävien yritysten on myös tarkistettava, etteivät vastaanottajamaan lait riko tietosuoja-asetuksessa rekisteröidyille annettavia oikeuksia sopimuslausekkeiden ehdoista huolimatta. Schrems II-tapauksella on suuri vaikutus henkilötietojen siirtämiseen kolmansiin maihin ja erityisesti USA:han. Tästä johtuen Euroopan tietosuojaneuvosto (EDPB) on ilmoittanut aikovansa tehdä tarkemman analyysin tuomiosta.

Tuomion vaikutukset

Euroopan tietosuojaneuvosto julkaisi 24. heinäkuuta verkkosivustollaan kysymys- ja vastauspalstan liittyen edellä mainittuun tuomioon. Tuomio vaikuttaa paitsi mallisopimuslausekkeisiin myös ns. yritystä koskeviin sitoviin sääntöihin (BCR). Jos yritystä koskevat sitovat säännöt on allekirjoitettu henkilötietojen siirtämistä varten, on osapuolten myös tehtävä sama arvio kuin mallisopimuslausekkeita käytettäessä. Toisin sanoen arvioida, voidaanko edelleen luottaa yritystä koskeviin sitoviin sääntöihin, vai onko vastaanottajamaan laki ristiriidassa tietosuoja-asetuksen kanssa, mikä johtaa siihen, että henkilötietojen suojan tasoa ei voida taata.

Privacy Shieldin edeltäjän Safe Harbourin mitätöinti vuonna 2015 mahdollisti mekanismien uudelleenjärjestelyyn siirtymäkauden aikana. Tietosuojaneuvosto tarkentaa, että Privacy Shield on julistettu mitättömäksi tuomiossa, ja sitä sovelletaan välittömästi. Tästä johtuen kaikki henkilötietojen siirtämiset USA:han, jotka perustuivat ainoastaan Privacy Shieldiin, ovat olleet mitättömiä 16. heinäkuuta lähtien.

Miten valmistautua ennen lisäohjeistusta?

Jos sekä siirtävä että vastaanottava yritys päätyvät siihen, että komission mallisopimuslausekkeet tai yritystä koskevat sitovat säännöt eivät tarjoa riittävää suojaa henkilötietojen siirtoihin, osapuolten on sovellettava lisäsuojatoimenpiteitä. Tietosuojaneuvosto aikoo antaa lisäohjeistusta koskien mainittuja lisäsuojatoimenpiteitä.

Lisäohjeiden odottamisen puitteissa suosittelemme niille, jotka haluavat olla mahdollisimman valmistautuneita, tarkistamaan seuraavat asiat:

  • Siirretäänkö henkilötietoja USA:han ja missä määrin? Esimerkiksi mitä yhdysvaltalaisten yritysten tarjoamia palvelimia, jotka sijaitsevat Yhdysvalloissa, on käytössä?
  • Mikäli henkilötietoja siirretään USA:han, mitä siirtomekanismia käytetään tällä hetkellä? Käyttääkö vastaanottajayritys esimerkiksi Privacy Shieldiä? Onko mallisopimuslausekkeista sovittu vastaanottajayrityksen kanssa, tai onko rekisteröidyiltä pyydetty suostumus siirtoon?
  • Siirretäänkö henkilötietoja kolmansiin maihin ja missä määrin?
  • Muista lisäksi huomioida myös konsernin sisäiset sopimukset!

Fondia seuraa ja päivittää tilannetta jatkuvasti. Jos sinulla herää kysyttävää aiheesta, ota yhteyttä Fondian Privacy tiimiin.