Privacy Shield kumottu

Henkilötietojen siirto USA:aan muuttui – organisaatioiden vastuut lisääntyivät

Euroopan tuomioistuin kumosi tänään yhden lainmukaisuusperusteen, jonka avulla melkein kaikki PK-yritykset ja pienemmät kunnat, kaupungit ja yhdistykset ovat henkilötietoja siirtäneet Yhdysvaltoihin. Henkilötietojen siirto tapahtuu tyypillisesti käytettäessä yhdysvaltalaista tietojärjestelmää, pilvipalvelua, palvelutoimittajaa tai jotain muuta sähköistä palvelua, joka toimitetaan Yhdysvalloista.

Mikä muuttui?

Euroopan tuomioistuin kumosi tänään Privacy Shield -järjestelyn, joka on ollut voimassa Yhdysvaltojen ja EU:n välillä. Järjestelyssä on ollut kyse siitä, että Euroopan komissio on taannut henkilötietojen käsittelyn turvallisuuden ja lainmukaisuuden sellaisissa yrityksissä, jotka ovat hyväksytysti läpäisseet USA:ssa Privacy Shield auditoinnin. Tällaisten yritysten palveluiden käyttö ei ole vaatinut organisaatioilta sen kummempia toimia ja se on siksi varmasti käytetyin lainmukaisuusperuste.

Lainmukaisuusperusteita on ollut karkeasti kuvattuna neljä. Yleisin on ollut nyt kumottu Privacy Shield. Sen lisäksi henkilötietoja on voinut käsitellä tietyin poikkeuksin, kuten esimerkiksi henkilöiden yksiselitteisellä suostumuksella tai kuluttajan tehdessä sopimuksen suoraan yhdysvaltalaisen yhtiön kanssa (tietosuoja-asetuksen artikla 49). Nämä eivät kuitenkaan ole käytännössä kelvollisia organisaatioiden normaalitoiminnassa. Esimerkiksi suostumuksen käyttö työnantajana ei soveltuisi vaikkapa oman henkilöstön tietojen siirtojen osalta.

Kolmas mekanismi on yhtiötä sitovat säännöt, joita tavallisesti käyttävät suuret kansainvälisesti toimivat organisaatiot (artikla 47). Nämä eivät sovellu tavanomaiselle Suomessa toimivalle yhtiölle ja vaativat kansainvälisesti toimiviltakin melko raskasta ennakkosuunnittelua. Tosin suurin työ tarvitsee tehdä vain kerran, joten jos organisaatiosi toimii kansainvälisesti, kannattaa tähän vaihtoehtoon tutustua.

Neljäs on nyt käytännössä PK-sektorille ainoaksi vaihtoehdoksi jäävä komission hyväksymien vakiomuotoisten sopimuslausekkeiden käyttö yhdessä riittävien suojatoimien kanssa (artikla 46). Monen meidänkin käyttämien yhdysvaltalaisten yritysten kanssa sopimuslausekkeiden käyttö on onneksi jatkossa mahdollista. Näitä ei kumottu, vaikka sitäkin etukäteen epäiltiin. Sen sijaan Euroopan tuomioistuimen ratkaisu tarkensi sitä, miten näitä tulee käyttää. Niiden osalta ei kuitenkaan ihan riitä se, että lausekkeet vaan liitetään palvelusopimukseen ja kaikki jatkuu kuten ennenkin.

Mitä nyt tulee tehdä?

Uutta Privacy Shieldiä vastaavaa järjestelyä tuskin tulee kovin nopeasti. Nykyistäkin neuvoteltiin melko pitkään. Sen lisäksi Euroopan tuomioistuin ei antanut mitään siirtymäaikaa, vaan totesi päätöksessään ainoastaan nykykäytännön soveltumattomaksi. Monella ainoa vaihtoehto on nyt siirtyä käyttämään vakiomuotoisia sopimuslausekkeita.

Tuomioistuimen päätöksessä korostettiin sitä, että vakiomuotoisia sopimuslausekkeita käytettäessä jää rekisterinpitäjän vastuulle tehdä arvio, takaavatko sopimuslausekkeet riittävän suojan siirrettäville henkilötiedoille. Jos rekisterinpitäjä epäilee pelkän sopimuksen riittämättömyyttä käsittelytoimien luonteen tai käsiteltävien henkilötietojen perusteella, on sen suunniteltava asianmukaisia lisäsuojatoimia ja otettava ne käyttöön. Tietenkin osoitusvelvollisuuden vuoksi tällaiset arviot on oltava tapauskohtaisia ja kirjallisia. Tämä lisää organisaatioiden vastuuta käsittelytoimista päättämisessä ja tietenkin tuo lisää työtä.

Ei kannata kuitenkaan hätiköidä. Monet ovat jo varautuneet tähän muutokseen ja jos varautuminen on tarpeeksi pitkällä, kannattaa suunnitellut toimet varmasti tehdä heti. Tiedottamista kannattaa kuitenkin seurata. Esimerkiksi tietosuojavaltuutetun toimisto on luvannut omassa tiedotteessaan kertoa asiasta lisää lähiaikoina. Linkki tietosuojavaltuutetun toimiston tiedotteeseen ja virallisiin päätöksiin löytyy täältä:

https://tietosuoja.fi/-/eu-tuomioistuin-kumosi-paatoksen-privacy-shieldin-tarjoaman-tietosuojan-riittavyydesta