Luonnos EU:n ja Yhdysvaltojen välisen tietosuojakehyksen riittävyyttä koskevaksi päätökseksi on julkaistu - mitä seuraavaksi?

Euroopan komissio julkaisi 13. joulukuuta 2022 luonnoksen tietosuojan riittävyyttä koskevaksi päätökseksi EU:n ja Yhdysvaltojen tietosuojakehykselle (nk. EU-U.S. Data Privacy Framework, DPF), joka on tarkoitus hyväksyä vuonna 2023. EU:n henkilötietojen vienti Atlantin yli on ollut keskustelun aiheena Euroopan unionin tuomioistuimen (EUT) Schrems II -päätöksestä ja EU:n ja Yhdysvaltojen Privacy Shieldin vuoden 2020 kumoamisesta lähtien, ja se on aiheuttanut huomattavasti töitä sekä EU:ssa että Yhdysvalloissa toimiville yrityksille. Päätösluonnos on jatkumoa Yhdysvaltain presidentin Joe Bidenin lokakuussa antamaan toimeenpanomääräykseen, jolla muun muassa perustetaan tietosuojaa käsittelevä valvontatuomioistuin (Data Protection Review Court) ja rajoitetaan osittain Yhdysvaltain tiedustelupalvelujen pääsyä EU:n asukkaiden henkilötietoihin.

Päätösluonnoksessa keskeistä on:

  • Yhdysvaltojen kauppaministeriön vahvistamat tietosuojaperiaatteet, joilla varmistetaan sama suojan taso kuin mitä GDPR takaa silloin, kun henkilötietoja siirretään EU:sta sertifioiduille yhdysvaltalaisille organisaatioille.

  • Yhdysvaltalaisten organisaatioiden (uudelleen)sertifiointi DPF:n mukaisesti. Yhdysvaltalaisten organisaatioiden on julkisesti ilmoitettava sitoutumisestaan noudattaa periaatteita, asetettava yksityisyyden suojaa koskevat toimintalinjansa julkisesti saataville ja pantava ne täysimääräisesti täytäntöön. Niiden on toimitettava kauppaministeriölle tietoja esimerkiksi henkilötietojen käsittelyn tarkoituksesta ja sertifioinnin piiriin kuuluvista henkilötiedoista. Yhdysvaltalaiset organisaatiot, jotka ovat ylläpitäneet Privacy Shield -sertifiointiansa, voivat myös uudelleensertifioida DPF:n mukaisesti.

  • Tarpeellisuus ja oikeasuhteisuus henkilötietoja käytettäessä. Niiden henkilöiden perusoikeuksiin, joiden henkilötietoja siirretään Yhdysvaltoihin, puututaan vain siinä määrin, mikä on ehdottoman välttämätöntä oikeutetun tavoitteen saavuttamiseksi. Tämä koskee erityisesti tapauksia, joissa Yhdysvaltojen viranomaiset käsittelevät tietoja yleisen edun vuoksi rikosoikeudellisissa ja kansallisissa turvallisuustarkoituksissa.

  • DPF:n tarkastelu ja valvonta Euroopan komission toimesta. DPF:ää tarkastellaan uudelleen vuoden kuluessa sen voimaantulosta sen varmistamiseksi, että se on olennaisilta osin pantu täysimääräisesti täytäntöön ja että se toimii tehokkaasti käytännössä. Tämän jälkeen määräaikaisarvioinnit tehdään neljän vuoden välein. Yhdysvaltojen viranomaisten on myös ilmoitettava Euroopan komissiolle viipymättä sellaisesta Yhdysvaltojen oikeusjärjestyksen olennaisesta kehityksestä, jolla on vaikutusta DPF:ään sekä DPF:ssä arvioitujen henkilötietojen käsittelyyn liittyviin käytäntöihin.

Kun päätös on tehty, eurooppalaiset yritykset voivat siirtää henkilötietoja sertifioiduille yrityksille Yhdysvalloissa ilman täydentäviä suojatoimia. Päätöksessä säädettyjä suojatoimia sovelletaan myös silloin, kun yritykset käyttävät muita siirtomekanismeja, kuten vakiosopimuslausekkeita tai yritystä koskevia sitovia sääntöjä.

Seuraavat vaiheet

Ennen kuin EU:n ja Yhdysvaltojen välinen tietosuojakehys saadaan valmiiksi, alkaa tietosuojan riittävyyttä koskevan päätösluonnoksen hyväksymismenettely. Euroopan tietosuojaneuvosto tarkastelee nyt luonnosta ja antaa siitä sitomattomia lausuntoja, minkä jälkeen jäsenvaltioiden edustajista koostuvan komitean on hyväksyttävä se. Lisäksi Euroopan parlamentilla on oikeus uudelleentarkastella päätöstä. Kun luonnos on virallisesti hyväksytty, voidaan tehdä lopullinen tietosuojan riittävyyttä koskeva päätös.

Nähtäväksi jää, täyttääkö päätösluonnos EU:n lainsäädännön keskeiset vaatimukset, eli sen, että Yhdysvaltojen valvonta on oikeasuhteista ja että oikeussuojakeinot ovat tosiasiallisesti käytettävissä. Näin ollen Yhdysvaltojen tiedustelupalveluja ja niiden tulkintaa "suhteellisuudesta" sekä tietosuojatuomioistuimen toimintaa koskevat kysymykset ovat tulevassa päätöksessä keskeisessä asemassa. Kunnes lopullinen päätös on tehty, mikä tapahtuu arviolta kesällä 2023, on yritysten edelleen käytettävä täydentäviä suojatoimia siirtäessään henkilötietoja kolmansiin maihin.

Haluatko tietää lisää? Tarvitsetko apua yrityksesi tietosuojakysymyksissä? Ota yhteyttä tietosuojan asiantuntijoihimme.