Euroopan unionin tuomioistuin antoi 16.7.2020 ratkaisun ns. Schrems II -tapauksessa (C-311/18), jossa se kumosi Euroopan komission päätöksen 2016/1250 Euroopan unionin (EU) ja Yhdysvaltojen välisestä Privacy Shield -järjestelystä, koska se ei täyttänyt EU:n tietosuojalainsäädännön vaatimuksia muun muassa johtuen Yhdysvaltojen lainsäädännön sen viranomaisille antamista oikeuksista tarkastaa ja käyttää henkilötietoja. Sen lisäksi, että henkilötietojen siirtäminen EU:sta Yhdysvaltoihin Privacy Shield -järjestelyn perusteella on nyt laitonta, annetulla ratkaisulla voi olla laajempiakin vaikutuksia, koska yhtiöiden, jotka haluavat siirtää tietojaan kolmansiin maihin, on tarkistettava kyseisten maiden viranomaisten mahdollinen pääsy siirrettyihin henkilötietoihin.
Ratkaisussa EU:n tuomioistuin katsoi myös, että mallisopimuslausekkeista annettu päätös 2010/87, joka koskee henkilötietojen siirtoa kolmansiin maihin sijoittautuneille henkilötietojen käsittelijöille, on pätevä. Käytännössä organisaatiot ovat tähän saakka käyttäneet laajasti edellä mainittuja Euroopan komission hyväksymiä mallisopimuslausekkeita ja katsoneet, että ne takaavat henkilötiedoille riittävän suojan. EU:n tuomioistuin totesi kuitenkin nyt, ettei näin ole, koska mahdolliseksi ongelmaksi voi muodostua viranomaisten pääsy siirrettäviin tietoihin. Viranomaisia eivät sido tiedon siirtäjän ja saajan välisissä sopimuksissa sovitut velvoitteet.
Yleisessä tietosuoja-asetuksessa (GDPR) säädetään, että henkilötietoja voidaan lähtökohtaisesti siirtää kolmanteen maahan vain, jos kyseinen kolmas maa varmistaa näiden tietojen osalta riittävän tietosuojan tason. GDPR:n mukaan Euroopan komissio voi todeta, että kolmas maa varmistaa kansallisen lainsäädäntönsä tai kansainvälisten sitoumustensa vuoksi riittävän tietosuojan tason. Mikäli tällaista tietosuojan riittävyyttä koskevaa päätöstä ei ole tehty, EU:hun sijoittautunut henkilötietojen siirtäjä voi toteuttaa tällaisen siirron vain, jos se on toteuttanut asianmukaiset suojatoimet, jotka voivat perustua muun muassa mallisopimuslausekkeisiin, ja jos rekisteröityjen saatavilla on täytäntöönpanokelpoisia oikeuksia sekä tehokkaita oikeussuojakeinoja. Lisäksi GDPR:ssä vahvistetaan edellytykset, joiden vallitessa tällainen siirto voi tapahtua, jos ei ole tehty tietosuojan riittävyyttä koskevaa päätöstä tai toteutettu asianmukaisia suojatoimia, esimerkiksi rekisteröidyn nimenomaisella suostumuksella tai jos siirto on tarpeen rekisteröidyn ja rekisterinpitäjän välisen sopimuksen täytäntöönpanemiseksi.
Ratkaisussa EU:n tuomioistuin totesi, että rekisteröityjen, joiden henkilötietoja siirretään kolmanteen maahan mallisopimuslausekkeiden perusteella, on saatava edukseen sellainen tietosuojan taso, joka pääosiltaan vastaa tasoa, joka taataan EU:ssa GDPR:llä. Suojan tason arvioinnissa on otettava huomioon EU:hun sijoittautuneen tietojen siirtäjän ja asianomaiseen kolmanteen maahan sijoittautuneen siirron vastaanottajan välillä sovitut sopimusmääräykset sekä, siltä osin kuin kyse on tämän kolmannen maan viranomaisten mahdollisesta pääsystä näin siirrettyihin henkilötietoihin, tämän maan oikeusjärjestelmään liittyvät merkitykselliset tekijät.
Tietosuojavaltuutetun toimisto on todennut, että se tulee tiedottamaan Schrems II -tapauksessa annetun ratkaisun vaikutuksista lähiaikoina lisää.
Lisätietoja asiasta antaa:
Anna Paimela
Osakas
+358 40 1648626
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.