EU:n ja USA:n välistä tietosuojakehystä (DPF) koskeva riittävyyspäätös voimaan 10.7.2023

Henkilötietojen siirto EU:sta Yhdysvaltoihin on ollut hyvin ongelmallista sen jälkeen, kun Schrems II -päätöksellä heinäkuussa 2020 mitätöitiin Privacy Shield -järjestelmä GDPR:n V luvun mukaisena siirtomekanismina. Unioninnäkökulmasta riskinä on nähty se, että Yhdysvaltojen viranomaiset voivat saada pääsyn EU:sta Yhdysvaltoihin siirrettyihin henkilötietoihin. Schrems II – päätöksestä lähtien henkilötietojen siirrot EU:sta Yhdysvaltoihin ovat useimmissa tapauksissa perustuneet vakiosopimuslausekkeisiin, joihin on liitetty täydentäviä toimenpiteitä. USA:n tiedustelulainsäädännön takia on kuitenkin ollut ilmeistä, että tarvitaan huomattavia lisätoimenpiteitä, jotta henkilötietojen siirrot Atlantin yli voidaan toteuttaa rekisteröityjen oikeudet turvaavalla tavalla.  EU:n valvontaviranomaiset ovat useissa tapauksissa julistaneet tietojensiirrot Yhdysvaltoihin laittomiksi riittämättömien lisätoimenpiteiden vuoksi. Rekisterinpitäjät eivät toisin sanoen ole viranomaisten mielestä pystyneet suojatoimista huolimatta varmistamaan Yhdysvaltoihin  siirrettyjen henkilötietojen riittävää suojan tasoa. Valvontaviranomaiset ovat määränneet laittomiksi katsomistaan tietojen siirroista monissa tapauksissa seuraamusmaksuja ja kieltäneet asianomaisten kolmansiin maihin tehtävien tietojen siirron. Monissa näissä päätöksissä Google Inc. on ollut USA:han siirrettävien tietojen tuoja. Tietojen siirtoon liittyvä oikeudellinen tilanne on siten ollut pitkään epävarma.

Lokakuussa 2022 Yhdysvallat pani täytäntöön presidentin toimeenpanomääräyksen (Executive Order), joka takaa eurooppalaisille rekisteröidyille aiempaa enemmän tietosuojaan liittyviä oikeuksia, esimerkiksi oikeuden tutustua omiin tietoihinsa sekä uuden riippumattoman ja puolueettoman muutoksenhakumekanismin.

Euroopan komissio on todennut, että nyt tehdyt muutokset USA:n lainsäädäntöön ovat riittäviä, ja se on antanut asiassa riittävyyspäätöksensä. Yhdysvallat on lisätty 10. heinäkuuta 2023 alkaen Euroopan komission luetteloon maista, joilla on riittävä tietosuojan taso, mutta vain tietyllä edellytyksellä: tiedot vastaanottavan yhdysvaltalaisen yrityksen ja tietojen tuojan on kuuluttavaDPF-ohjelmaan (Data Privacy Framework). Niiden siirtojen osalta, jotka voivat tukeutua DPF:ään, ei tarvita enää  GDPR:n mukaista siirtomekanismia, kuten vakiosopimuslausekkeita, tai muitakaan lisäsuojatoimenpiteitä. Toisaalta on muistettava, että vastaavuuspäätöksen nojalla tietoja voidaan siirtää vain DPF – ohjelmaan sertifitioituneille yrityksille. Muiden yritysten osalta on edelleen käytettävä muita tietosuoja-asetuksen 46 mukaisia suojakeinoja, kuten vakiosopimuslausekkeita. Lisäksi on huomattava, että riittävyyspäätöstä ei voida käyttää tiedonsiirtoihin julkisen sektorin toimijoiden välillä.

Yhdysvaltalaisen yrityksen, joka haluaa osallistua DPF-ohjelmaan, on itse sertifioitava itsensä Yhdysvaltain kansainvälisen kauppaministeriön (International Trade Administration, ITA) DPF-ohjelman verkkosivuston kautta. Yhdysvaltalainen yritys sitoutuu julkisesti noudattamaan DPF-periaatteita, ja sitoumus DPF-periaatteiden noudattamisesta on täytäntöönpanokelpoinen Yhdysvaltain lainsäädännön nojalla . Sertifioituneet yritykset sisällytetään DPF-luetteloon, ja jotta ne pysyisivät luettelossa, niiden on sertifioitava itsensä uudelleen vuosittain. Samassa yhteydessä ylläpidetään myös julkista listaa niistä yrityksistä, jotka on poistettu listalta sekä listalta poistamisen syy. Syitä voivat olla esimerkiksi vapaaehtoinen vetäytyminen, vuosittaisen uudelleensertifioinnin laiminlyönti tai jatkuva vaatimustenvastaisuus.

ITA:n mukaan niiden yrityksien, jotka on jo aikanaan sertifioitu aiemmin voimassa olleen Privacy Shieldin mukaisesti, ei tarvitse sertifoitua erikseen DPF:ään, vaan ne liitetään DPF:ään automaattisesti. Yrityksen tulee kuitenkin päivittää tietosuojaselosteensa DPF:n vaatimusten mukaiseksi kolmen kuukauden kuluessa riittävyyspäätöksen voimaantulosta eli 10.10.2023 ja uudistaa sertifointinsa DPF:ään vuosittain.

Periaatteet, joihin DPF:n osallistuva yritys sitoutuu, ovat tuttuja yleisestä tietosuoja-asetuksesta. Näitä ovat esimerkiksi käyttötarkoituksen rajoittamisen ja tietojen minimoinnin periaatteet sekä velvoitteet liittyen tietojen säilytysaikaan, tietoturvaan ja tietojen jakamiseen kolmansien osapuolten kesken. DPF:n seitsemään periaatteeseen liittyy kuusitoista yhtä sitovaa lisäperiaatetta. DPF:n osallistuvan yrityksen tietosuojakäytäntöä on päivitettävä siten, että siinä viitataan "EU:n ja Yhdysvaltojen välisen tietosuojakehyksen periaatteiden" noudattamiseen ja ilmoitetaan siitä, että yritys on sitoutunut noudattamaan niitä.

Jatkossa eurooppalaisen organisaation, joka on siirtämässä henkilötietoja yhdysvaltalaiselle organisaatiolle (myös samaan konserniin kuuluvalle), on tarkistettava DPF-ohjelman verkkosivulta, osallistuuko yhdysvaltalainen organisaatio DPF:ään ja soveltuuko riittävyyspäätös. Tällä hetkellä yritykset päivittävät vielä käytäntöjään ja selosteitaan, joten listautuminen DPF:ään on monien osalta vielä kesken. Osa yrityksistä saattaa vielä pohtia sitä, jatkaako entisten siirtomekanismien, kuten vakiosopimuslausekkeiden käyttöä, vai liittyykö DPF:ään.   

Mikäli yritys ei osallistu DPF:ään, on sovellettava yleisen tietosuoja-asetuksen 46 artiklan mukaista siirtomekanismia. Jos siirtomekanismiksi valitaan vakiosopimuslausekkeet, Yhdysvaltojen lainsäädännön osalta on tehtävä tietojensiirron vaikutustenarvio (Transfer Impact Assessment, ns. TIA), jossa voidaan ottaa huomioon presidentin toimeenpanomääräyksellä (Executive Order) laajennetut tietosuojaoikeudet. Mahdollisia täydentäviä suojatoimenpiteitä on sovellettava tietojen siirtoon.

EU ja Yhdysvallat ovat jo pitkään yrittäneet luoda mekanismeja, joilla henkilötietoja voitaisiin lainmukaisesti siirtää Unionista Yhdysvaltoihin. EU-tuomioistuin on jo kahdesti mitätöinyt EU:n ja Yhdysvaltojen väliset siirtojärjestelyt; Safe Harbor – järjestelyn vuonna 2015 ja Privacy Shield – järjestelmän vuonna 2020. Myöskään nyt käyttöönotettavan DPF - järjestelmän säilymisestä ei ole takeita. EU:n kansalaisvapauksien komitea esitti 14.2.2023 julkaistussa päätöslauselmassaan, että komission ei pitäisi myöntää Yhdysvalloille tietosuojan riittävyyttä koskevaa päätöstä, ja korosti, että monet Yhdysvaltoihin tehtäviin siirtoihin liittyvät vanhat ongelmat ovat edelleen ajankohtaisia. Tietosuojajärjestö NOYB (None of Your Business) on esittänyt samanlaista kritiikkiä, vaikkakin painokkaammin, ja se on ilmoittanut aikovansa avustaa asian saattamisessa EU-tuomioistuimen käsiteltäväksi. NOYB:in ennusteen mukaan DPF:n riitauttaminen saatettaisiin todennäköisesti EU-tuomioistuimen käsiteltäväksi jo vuoden 2023 lopussa tai vuoden 2024 alussa. DPF:n liittyvien epävarmuustekijöiden takia kehotamme EU:n ja Yhdysvaltojen välisiin siirtoihin osallistuvia toimijoita laatimaan varasuunnitelman siltä varalta, että DPF todella edeltäjiensä lailla mitätöidään.