top of page

Privacy Shield kumoon – mitä tehdä nyt?

Kuten aiemmassa kirjoituksessamme toimme esiin, Euroopan unionin tuomioistuin antoi heinäkuussa ratkaisun Schrems II -tapauksessa, jossa se kumosi Euroopan komission päätöksen Euroopan unionin ja Yhdysvaltojen välisestä Privacy Shield -järjestelystä. Ratkaisu tarkoittaa, että henkilötietojen siirtäminen EU:sta Yhdysvaltoihin Privacy Shield -järjestelmän perusteella on laitonta.


Tuomioistuimen mukaan henkilötietojen siirto EU:n ulkopuolelle komission mallisopimuslausekkeiden (standard contractual clauses, ”SCC”) on yhä sallittua. Tuomioistuin kuitenkin painotti, että tiedon siirtoa harkitsevien organisaatioiden tulee myös mallisopimuslausekkeiden käyttöä suunnitellessaan arvioida, voidaanko riittävän tietosuojan taso taata, tarvittaessa esimerkiksi ylimääräisiä teknisiä, organisatorisia tai sopimuksellisia suojakeinoja käyttämällä. Mallisopimuslausekkeiden käyttöönotto ei siis saa olla vain rasti ruutuun -tyyppinen harjoitus, vaan yritysten tulee tehdä tapauskohtainen arviointi. Tässä arvioinnissa on otettava huomioon mm. tietojen siirtäjän ja siirron vastaanottajan väliset sopimusmääräykset sekä vastaanottajan sijaintimaan oikeusjärjestelmään liittyvät merkitykselliset tekijät. Jos henkilöt eivät saa edukseen sellaista tietosuojan tasoa, joka pääosiltaan vastaa tasoa, joka taataan EU:ssa tietosuojalainsäädännöllä, myös mallisopimuslausekkeiden nojalla tapahtuvat tiedonsiirrot voidaan keskeyttää tai kieltää.


Merkittävässä ratkaisussa on pureksittavaa niin tietosuojaviranomaisille kuin globaalissa maailmassa toimiville yrityksille. Eri maiden tietosuojaviranomaiset ovat ottaneet ratkaisuun erilaisia näkökulmia: berliiniläinen tietosuojaviranomainen suosittaa käyttämään eurooppalaisia palveluntarjoajia eli lokalisoimaan datan, kun taas brittiläinen tietosuojaviranomainen ottaa aikalisän tutkiakseen, mitä ratkaisu käytännössä tarkoittaa. Suomen tietosuojaviranomainen on viitannut Euroopan tietosuojaneuvoston julkaisemiin vastauksiin usein kysyttyihin kysymyksiin.


Vaikka ratkaisun analysointi on vielä osittain kesken, on suositeltavaa, että jokainen organisaatio tekee seuraavia toimenpiteitä:

  1. Kartoittaa, missä määrin dataa siirretään EU/ETA-alueen ulkopuolelle. Tässä kartoituksessa erinomaisena apuna toimivat asianmukaisesti laaditut selosteet käsittelytoimista. Jos selosteet ovat vielä laatimatta, eikä organisaatio ole dokumentoinut, kuka dataa käsittelee ja missä, kannattaa viimeistään nyt ottaa tämä harjoitus työn alle. Työssä voi hyödyntää esimerkiksi tietosuojavaltuutetun mallipohjia.

  2. Ottaa yhteyttä kumppaneihin, joiden kanssa on sovittu tietojen siirrosta Yhdysvaltoihin. Jos siirto on perustunut Privacy Shieldiin, kysy minkälaisia toimenpiteitä kumppani tekee Schrems II -ratkaisun johdosta. Ilmoituksia korvaavista tiedonsiirtomekanismeista on jo saatu: esimerkiksi Google ilmoitti ottavansa käyttöön mallisopimuslausekkeet tietyissä palveluissa, joiden ehdoissa on viitattu Privacy Shieldiin.

  3. Neuvotella muutoksista sopimukseen ja ottaa käyttöön korvaava tiedonsiirtomekanismi, tai jos tämä ei ole mahdollista, päättää Privacy Shieldiin nojaava yhteistyö. Mallisopimuslausekkeiden ohella voidaan käyttää myös muita mekanismeja. Näitä ovat mm. yritystä sitovat säännöt (binding corporate rules ”BCR”) tai rekisteröidyn nimenomainen suostumus, joskin näiden käyttöala on verrattain pieni.

  4. Päivittää dokumentaatio, kuten tietosuojaselosteet ja selosteet käsittelytoimista varmistaa, että niissä on kuvattu tiedonsiirtomekanismit asianmukaisesti.

  5. Arvioida kriittisesti muitakin henkilötietojen siirtoja EU/ETA-alueen ulkopuolelle ottaen huomioon mm. lainsäädännön ja viranomaisten tiedonsaantioikeudet valtiossa, jossa siirronsaaja toimii, siirrettävien tiedon luonteen (esim. arkaluonteinen vs. pseudonymisoitu/salattu data) sekä siirronsaajan toimialan (reguloitu tai muutoin todennäköisemmin viranomaisvalvonnan kohteeksi joutuva toimiala).


Lisäksi on suositeltavaa seurata tarkentuvia viranomaisohjeistuksia. Näitä jäämme myös Folksilla odottamaan kuumeisesti, sillä ei voida olettaa, että monellakaan yrityksellä olisi resursseja tai käytännön mahdollisuuksia analysoida tiedon vastaanottajavaltion oikeusjärjestelmää tai implementoida oma-aloitteisesti ylimääräisiä suojakeinoja. Nähtäväksi myös jää, mikä vaikutus ylimääräisillä suojakeinoilla, kuten tiedon salaamisella rekisteröidyn yksityisyydensuojan kannalta todellisuudessa on, ja toisaalta missä laajuudessa yritykset lähtevät lokalisoimaan henkilötietoja useiden yllä mainittujen epävarmuustekijöiden vuoksi.Lisätietoja asiasta antaa:

Anna Paimela

Osakas

+358 40 1648626Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.

Comments


bottom of page