Euroopan komissio hyväksyi 10.7.2023 uuden henkilötietojen suojan riittävyyttä koskevan päätöksen EU:n ja Yhdysvaltojen välisestä tietosuojakehyksestä (Data Privacy Framework, ”DPF”). Päätöksessä todetaan, että Yhdysvallat takaa riittävän suojan tason, joka on verrattavissa Euroopan unionin suojaan, henkilötiedoille, joita siirretään EU:sta yhdysvaltalaisille yrityksille DPF:n mukaisesti. Kauan odotettu vastaavuuspäätös tarjoaa EU:n yrityksille, jotka siirtävät henkilötietoja Yhdysvaltoihin, mekanismin transatlanttisten tiedonsiirtojensa laillistamiseksi.
Vastaavuuspäätöksen mukaan sertifioituneet yritykset, jotka noudattavat DPF:n periaatteita ja sitoutuvat tiettyihin yksityisyyden suojaa koskeviin velvoitteisiin, voivat vastaanottaa EU:n henkilötietoja ilman, että niiden tarvitsee ottaa käyttöön ylimääräisiä siirtoa koskevia suojatoimia. Ne organisaatiot, jotka ovat ylläpitäneet Privacy Shield -sertifiointia, siirtyvät automaattisesti DPF:n piiriin, mutta niiden tulee mm. tietosuojaselosteessaan vahvistaa sitoutuminen DPF:n periaatteisiin 10.10.2023 mennessä.
DPF ja kv-tiedonsiirtoja koskevat riskiarviot
Euroopan tietosuojaneuvosto (”EDPB”) vahvisti omassa tiedotteessaan, että 10.7.2023 alkaen tiedonsiirrot EU:sta organisaatioille, jotka ovat sertifioituneet DPF:n mukaisesti ja jotka sisältyvät Federal Trade Commissionin ylläpitämään luetteloon, voivat edetä tiedonsiirroissa uuden vastaavuuspäätöksen perusteella. Tällaisia siirtoja tekevien yritysten ei tarvitse turvautua mihinkään EU:n yleisen tietosuoja-asetuksen (”GDPR”) artiklan 46 mukaisista vaihtoehtoisista siirtomekanismeista eikä toteuttaa täydentäviä suojatoimenpiteitä.
Koska DPF:iin sitoutuminen on vapaaehtoista, EDPB:n tiedotteessa selvennetään vastavuuspäätöksen vaikutusta yrityksiin, joita ei ole sertifioitu DPF:n mukaisesti. EDPB:n mukaan organisaatioiden, jotka luottavat johonkin GDPR:n 46 artiklassa säädetyistä vaihtoehtoisista siirtomekanismeista, kuten vakisopimuslausekkeisiin (Standard Contractual Clauses, ”SCC”), siirtääkseen tietoja EU:sta Yhdysvaltoihin, olisi tiedonsiirtoja koskevia riskiarviointeja laatiessaan otettava huomioon arviointi, jonka Euroopan komissio on tehnyt vastaavuuspäätöksen yhteydessä. Käytännössä tämä tarkoittaa, että tapauskohtaisia riskiarviointeja DPF:iin sitoutumattomien yhdysvaltalaisten organisaatioiden osalta tulee jatkaa, mutta niitä voidaan yksinkertaistaa komission Yhdysvaltain lainsäädäntöä koskevan arvion pohjalta.
Käytännön toimenpiteet
Muuttuneen tilanteen johdosta organisaatioiden olisi suositeltavaa toteuttaa ainakin seuraavia toimenpiteitä:
tarkistaa, onko yhdysvaltalainen organisaatio, jolle henkilötietoja siirretään, listattu Federal Trade Commissionin ylläpitämään DPF-luetteloon;
arvioida tai odottaa sopijakumppanin kommunikointia siitä, korvataanko jo solmitut vakiosopimuslausekkeet viittauksella DPF:iin;
jos tiedonsiirrot perustuvat DPF:iin, päivittää tietosuojaseloste, jossa kuvataan, millä perusteella tietoja siirretään EU/ETA-alueen ulkopuolelle; ja
päivittää kv-tiedonsiirtoja koskevat riskiarviot (ns. transfer impact assessment).
Komission mukaan DPF:ssä käsitellään kaikkia Euroopan unionin tuomioistuimen Schrems II -ratkaisussa esiin tuomia huolenaiheita, kuten Yhdysvaltojen tiedustelupalvelujen pääsyä henkilötietoihin ja oikeussuojamekanismeja. Valinta siitä, jatketaanko tiedonsiirtoja Yhdysvaltoihin vakiosopimuslausekkeisiin vai DPF:ään perustuen, ei välttämättä kuitenkaan ole helppo. Koska Max Schremsin edustama nyob-organisaatio on jo ilmoittanut haastavansa päätöksen ja Schrems III -ratkaisu on todennäköisesti odotettavissa joidenkin vuosien kuluessa, voi jo solmittuihin vakiosopimuslausekkeisiin nojautuminen osoittautua kestävämmäksi ratkaisuksi.
Lisätietoja asiasta antaa:
Anna Paimela
Osakas
+358 40 1648626
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.