Päivitetty: 6. kesäk. 2023
Kuten aiemmassa kirjoituksessamme toimme esiin, Euroopan unionin tuomioistuin antoi heinäkuussa ratkaisun Schrems II -tapauksessa, jossa se kumosi Euroopan komission päätöksen Euroopan unionin ja Yhdysvaltojen välisestä Privacy Shield -järjestelystä. Ratkaisu tarkoittaa, että henkilötietojen siirtäminen EU:sta Yhdysvaltoihin Privacy Shield -järjestelmän perusteella on laitonta.
Tuomioistuimen mukaan henkilötietojen siirto EU:n ulkopuolelle komission mallisopimuslausekkeiden (standard contractual clauses, ”SCC”) on yhä sallittua. Tuomioistuin kuitenkin painotti, että tiedon siirtoa harkitsevien organisaatioiden tulee myös mallisopimuslausekkeiden käyttöä suunnitellessaan arvioida, voidaanko riittävän tietosuojan taso taata, tarvittaessa esimerkiksi ylimääräisiä teknisiä, organisatorisia tai sopimuksellisia suojakeinoja käyttämällä. Mallisopimuslausekkeiden käyttöönotto ei siis saa olla vain rasti ruutuun -tyyppinen harjoitus, vaan yritysten tulee tehdä tapauskohtainen arviointi. Tässä arvioinnissa on otettava huomioon mm. tietojen siirtäjän ja siirron vastaanottajan väliset sopimusmääräykset sekä vastaanottajan sijaintimaan oikeusjärjestelmään liittyvät merkitykselliset tekijät. Jos henkilöt eivät saa edukseen sellaista tietosuojan tasoa, joka pääosiltaan vastaa tasoa, joka taataan EU:ssa tietosuojalainsäädännöllä, myös mallisopimuslausekkeiden nojalla tapahtuvat tiedonsiirrot voidaan keskeyttää tai kieltää.
Merkittävässä ratkaisussa on pureksittavaa niin tietosuojaviranomaisille kuin globaalissa maailmassa toimiville yrityksille. Eri maiden tietosuojaviranomaiset ovat ottaneet ratkaisuun erilaisia näkökulmia: berliiniläinen tietosuojaviranomainen suosittaa käyttämään eurooppalaisia palveluntarjoajia eli lokalisoimaan datan, kun taas brittiläinen tietosuojaviranomainen ottaa aikalisän tutkiakseen, mitä ratkaisu käytännössä tarkoittaa. Suomen tietosuojaviranomainen on viitannut Euroopan tietosuojaneuvoston julkaisemiin vastauksiin usein kysyttyihin kysymyksiin.
Vaikka ratkaisun analysointi on vielä osittain kesken, on suositeltavaa, että jokainen organisaatio tekee seuraavia toimenpiteitä:
Kartoittaa, missä määrin dataa siirretään EU/ETA-alueen ulkopuolelle. Tässä kartoituksessa erinomaisena apuna toimivat asianmukaisesti laaditut selosteet käsittelytoimista. Jos selosteet ovat vielä laatimatta, eikä organisaatio ole dokumentoinut, kuka dataa käsittelee ja missä, kannattaa viimeistään nyt ottaa tämä harjoitus työn alle. Työssä voi hyödyntää esimerkiksi tietosuojavaltuutetun mallipohjia.
Ottaa yhteyttä kumppaneihin, joiden kanssa on sovittu tietojen siirrosta Yhdysvaltoihin. Jos siirto on perustunut Privacy Shieldiin, kysy minkälaisia toimenpiteitä kumppani tekee Schrems II -ratkaisun johdosta. Ilmoituksia korvaavista tiedonsiirtomekanismeista on jo saatu: esimerkiksi Google ilmoitti ottavansa käyttöön mallisopimuslausekkeet tietyissä palveluissa, joiden ehdoissa on viitattu Privacy Shieldiin.
Neuvotella muutoksista sopimukseen ja ottaa käyttöön korvaava tiedonsiirtomekanismi, tai jos tämä ei ole mahdollista, päättää Privacy Shieldiin nojaava yhteistyö. Mallisopimuslausekkeiden ohella voidaan käyttää myös muita mekanismeja. Näitä ovat mm. yritystä sitovat säännöt (binding corporate rules ”BCR”) tai rekisteröidyn nimenomainen suostumus, joskin näiden käyttöala on verrattain pieni.
Päivittää dokumentaatio, kuten tietosuojaselosteet ja selosteet käsittelytoimista varmistaa, että niissä on kuvattu tiedonsiirtomekanismit asianmukaisesti.
Arvioida kriittisesti muitakin henkilötietojen siirtoja EU/ETA-alueen ulkopuolelle ottaen huomioon mm. lainsäädännön ja viranomaisten tiedonsaantioikeudet valtiossa, jossa siirronsaaja toimii, siirrettävien tiedon luonteen (esim. arkaluonteinen vs. pseudonymisoitu/salattu data) sekä siirronsaajan toimialan (reguloitu tai muutoin todennäköisemmin viranomaisvalvonnan kohteeksi joutuva toimiala).
Lisäksi on suositeltavaa seurata tarkentuvia viranomaisohjeistuksia. Näitä jäämme myös Folksilla odottamaan kuumeisesti, sillä ei voida olettaa, että monellakaan yrityksellä olisi resursseja tai käytännön mahdollisuuksia analysoida tiedon vastaanottajavaltion oikeusjärjestelmää tai implementoida oma-aloitteisesti ylimääräisiä suojakeinoja. Nähtäväksi myös jää, mikä vaikutus ylimääräisillä suojakeinoilla, kuten tiedon salaamisella rekisteröidyn yksityisyydensuojan kannalta todellisuudessa on, ja toisaalta missä laajuudessa yritykset lähtevät lokalisoimaan henkilötietoja useiden yllä mainittujen epävarmuustekijöiden vuoksi.
Lisätietoja asiasta antaa:
Anna Paimela
Osakas
+358 40 1648626
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.
Päivitetty: 5. syysk. 2023
Euroopan unionin tuomioistuin antoi 16.7.2020 ratkaisun ns. Schrems II -tapauksessa (C-311/18), jossa se kumosi Euroopan komission päätöksen 2016/1250 Euroopan unionin (EU) ja Yhdysvaltojen välisestä Privacy Shield -järjestelystä, koska se ei täyttänyt EU:n tietosuojalainsäädännön vaatimuksia muun muassa johtuen Yhdysvaltojen lainsäädännön sen viranomaisille antamista oikeuksista tarkastaa ja käyttää henkilötietoja. Sen lisäksi, että henkilötietojen siirtäminen EU:sta Yhdysvaltoihin Privacy Shield -järjestelyn perusteella on nyt laitonta, annetulla ratkaisulla voi olla laajempiakin vaikutuksia, koska yhtiöiden, jotka haluavat siirtää tietojaan kolmansiin maihin, on tarkistettava kyseisten maiden viranomaisten mahdollinen pääsy siirrettyihin henkilötietoihin.
Ratkaisussa EU:n tuomioistuin katsoi myös, että mallisopimuslausekkeista annettu päätös 2010/87, joka koskee henkilötietojen siirtoa kolmansiin maihin sijoittautuneille henkilötietojen käsittelijöille, on pätevä. Käytännössä organisaatiot ovat tähän saakka käyttäneet laajasti edellä mainittuja Euroopan komission hyväksymiä mallisopimuslausekkeita ja katsoneet, että ne takaavat henkilötiedoille riittävän suojan. EU:n tuomioistuin totesi kuitenkin nyt, ettei näin ole, koska mahdolliseksi ongelmaksi voi muodostua viranomaisten pääsy siirrettäviin tietoihin. Viranomaisia eivät sido tiedon siirtäjän ja saajan välisissä sopimuksissa sovitut velvoitteet.
Yleisessä tietosuoja-asetuksessa (GDPR) säädetään, että henkilötietoja voidaan lähtökohtaisesti siirtää kolmanteen maahan vain, jos kyseinen kolmas maa varmistaa näiden tietojen osalta riittävän tietosuojan tason. GDPR:n mukaan Euroopan komissio voi todeta, että kolmas maa varmistaa kansallisen lainsäädäntönsä tai kansainvälisten sitoumustensa vuoksi riittävän tietosuojan tason. Mikäli tällaista tietosuojan riittävyyttä koskevaa päätöstä ei ole tehty, EU:hun sijoittautunut henkilötietojen siirtäjä voi toteuttaa tällaisen siirron vain, jos se on toteuttanut asianmukaiset suojatoimet, jotka voivat perustua muun muassa mallisopimuslausekkeisiin, ja jos rekisteröityjen saatavilla on täytäntöönpanokelpoisia oikeuksia sekä tehokkaita oikeussuojakeinoja. Lisäksi GDPR:ssä vahvistetaan edellytykset, joiden vallitessa tällainen siirto voi tapahtua, jos ei ole tehty tietosuojan riittävyyttä koskevaa päätöstä tai toteutettu asianmukaisia suojatoimia, esimerkiksi rekisteröidyn nimenomaisella suostumuksella tai jos siirto on tarpeen rekisteröidyn ja rekisterinpitäjän välisen sopimuksen täytäntöönpanemiseksi.
Ratkaisussa EU:n tuomioistuin totesi, että rekisteröityjen, joiden henkilötietoja siirretään kolmanteen maahan mallisopimuslausekkeiden perusteella, on saatava edukseen sellainen tietosuojan taso, joka pääosiltaan vastaa tasoa, joka taataan EU:ssa GDPR:llä. Suojan tason arvioinnissa on otettava huomioon EU:hun sijoittautuneen tietojen siirtäjän ja asianomaiseen kolmanteen maahan sijoittautuneen siirron vastaanottajan välillä sovitut sopimusmääräykset sekä, siltä osin kuin kyse on tämän kolmannen maan viranomaisten mahdollisesta pääsystä näin siirrettyihin henkilötietoihin, tämän maan oikeusjärjestelmään liittyvät merkitykselliset tekijät.
Tietosuojavaltuutetun toimisto on todennut, että se tulee tiedottamaan Schrems II -tapauksessa annetun ratkaisun vaikutuksista lähiaikoina lisää.
Lisätietoja asiasta antaa:
Anna Paimela
Osakas
+358 40 1648626
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.
Päivitetty: 5. syysk. 2023
Ratkaisu Suomesta
Apulaistietosuojavaltuutettu antoi kesäkuussa yhden ratkaisun, joka koski pysäköintiluvan osoittavassa kortissa (ns. parkkilupalappu) ilmoitettavia tietoja. Kyseisestä ratkaisusta voi valittaa hallinto-oikeuteen, joten se ei ole vielä lainvoimainen.
Apulaistietosuojavaltuutettu antoi rekisterinpitäjälle Euroopan unionin yleisen tietosuoja-asetuksen (GDPR) mukaisen huomautuksen. Rekisterinpitäjä ei ollut parkkilupalappujen yhteydessä suorittamassaan henkilötietojen käsittelyssä noudattanut GDPR:ssä säädettyä tietojen minimoinnin periaatetta. Apulaistietosuojavaltuutettu antoi rekisterinpitäjälle GDPR:n mukaisen määräyksen saattaa parkkilupalappujen yhteydessä suorittamansa henkilötietojen käsittely GDPR:ssä säädetyn mukaiseksi eli rekisterinpitäjän oli varmistettava, ettei parkkilupalapuista enää ilmene luvan haltijan osoite- tai asiointitietoja.
Ratkaisun perusteluissa tuotiin esille, että GDPR:ssä on säädetty tietojen minimoinnin periaatteesta. Henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään. GDPR:n mukaan henkilötietojen on oltava riittäviä ja olennaisia sekä rajoituttava siihen, mikä on välttämätöntä niiden käsittelyn tarkoitusten kannalta. Täten henkilötietoja saa käsitellä ainoastaan, jos käsittelyn tarkoitusta ei voida kohtuullisesti toteuttaa muilla keinoin.
Apulaistietosuojavaltuutettu katsoi, että rekisterinpitäjä ei esittänyt mitään sellaista, joka osoitti osoitetiedon olevan välttämätöntä sen varmistamiseksi, että pysäköintipaikalle ajoneuvon pysäköineellä henkilöllä oli ollut oikeus pysäköidä ajoneuvo kyseiselle pysäköintipaikalle. Rekisterinpitäjä totesi itsekin, että nykyinen käytäntö oli korvattavissa esimerkiksi numeroista koostuvalla yksilöintitiedolla. Näin ollen käsittelyn tarkoitus oli kohtuullisesti toteutettavissa muilla keinoin. Ratkaisussa apulaistietosuojavaltuutettu totesi myös, että tietojen minimoinnin periaatetta on noudatettava, vaikka henkilötiedot olisivat julkisia tai muuten helposti saatavilla.
Ratkaisuja muualta Euroopasta
Saksan tietosuojaviranomainen määräsi 1.240.000 euron suuruisen sanktion rekisterinpitäjänä toimivalle vakuutusorganisaatiolle, joka järjesti erilaisia kilpailuja ja keräsi niihin osallistujien henkilötietoja, mukaan lukien heidän yhteystietonsa ja tiedot sairausvakuutusyhtiöstä. Rekisterinpitäjä käytti em. tietoja myös markkinointitarkoituksiin, mikäli osallistujat antoivat siihen suostumuksensa. Teknisillä ja organisatorisilla toimenpiteillä, mukaan lukien sisäiset ohjeet ja tietosuojakoulutus, rekisterinpitäjä halusi varmistaa, että markkinointitarkoituksiin käytettiin vain niitä kilpailuihin osallistujien tietoja, jotka olivat aikaisemmin antaneet siihen suostumuksensa. Rekisterinpitäjän määrittelemät toimenpiteet eivät kuitenkaan täyttäneet lakisääteisiä vaatimuksia, minkä seurauksena yli 500 henkilön, jotka osallistuivat arpajaisiin, henkilötietoja käytettiin markkinointitarkoituksiin ilman heidän antamaa suostumusta.
Unkarin tietosuojaviranomainen määräsi vuorostaan 288.000 euron suuruisen sanktion eräälle yhtiölle siitä, että se oli loukannut käyttötarkoituksen ja säilytysrajoituksen periaatteita. Yhtiön tietokanta sisälsi suuren määrän asiakastietoja, joille ei ollut enää tosiasiallisista keräystarkoitusta, eikä tiedoille ollut asetettu mitään säilytysaikaa. Unkarin tietosuojaviranomainen huomautti, että yhtiö ei ollut ryhtynyt tarkoituksenmukaisiin toimenpiteisiin tietojen hallinnan ja tietoturvan riskien vähentämiseksi.
Annamme mielellämme lisätietoja ratkaisusta ja tarvittavista toimenpiteistä. Ota yhteyttä Annaan (anna.paimela@legalfolks.fi tai + 358 40 164 8626).
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.