Henkilötietojen siirrot Yhdysvaltoihin arvioitava uudelleen

04.09.2020

Henkilötietojen siirrot Yhdysvaltoihin arvioitava uudelleen

Henkilötietojen siirtäminen Yhdysvaltoihin on joutunut vastatuuleen kesän aikana. Euroopan unionin tuomioistuin kumosi heinäkuussa (nk. Schrems II-tuomio) Privacy Shield -järjestelyn, joka on toiminut yleisesti käytettynä menettelynä siirrettäessä henkilötietoja Yhdysvaltoihin.

Mikä on Privacy Shield?

EU:n yleinen tietosuoja-asetus (GDPR) asettaa reunaehtoja siirrettäessä henkilötietoja Euroopan talousalueen ulkopuolelle maihin, joiden osalta Euroopan komissio ei ole antanut tietosuojan riittävyyttä koskevaa päätöstä. Henkilötietojen siirron on perustuttava joko tietosuojalainsäädännön mukaiseen perusteeseen, esim. rekisteröidyn nimenomaiseen suostumukseen, tai johonkin erikseen määriteltyyn suojamekanismiin.

Yhdysvaltojen ja EU:n välillä on ollut voimassa erityinen henkilötietojen siirtoa koskeva suojamekanismi; Privacy Shield -menettely. Jos henkilötietoja vastaanottava taho Yhdysvalloissa on rekisteröitynyt Privacy Shield -menettelyyn, on henkilötietojen siirto ollut sen nojalla mahdollista. Tuomioistuimen päätöksen myötä Privacy Shieldiin perustuvat henkilötietojen siirrot Yhdysvaltoihin eivät 16.7.2020 lähtien ole enää sallittuja.

Miten henkilötietoja voidaan siirtää jatkossa Yhdysvaltoihin?

Privacy Shieldin kumoamisesta huolimatta henkilötietoja voidaan edelleen siirtää Yhdysvaltoihin muita tietosuoja-asetuksen mukaisia asianmukaisia suojatoimia käyttäen. Yleisesti käytetty suojatoimi on laatia henkilötietojen siirrosta sopimus, johon sisällytetään Euroopan komission vahvistamat mallisopimuslausekkeet.

Tuomioistuimen päätöksen mukaan pelkkien mallisopimuslausekkeiden käyttäminen ei kuitenkaan sellaisenaan välttämättä riitä. Mallisopimuslausekkeisiin perustuvien velvollisuuksien noudattaminen on pyrittävä varmistamaan tapauskohtaisella arvioinnilla ja sen perusteella sopia henkilötietoja vastaanottavan tahon kanssa tarvittaessa täydentävistä lisätoimenpiteistä.

Mitä pitää tehdä nyt?

Privacy Shield -menettelyn kumoamisen myötä pitää varmistaa, että henkilötietojen siirto perustuu jatkossa johonkin muuhun suojamekanismiin. 

  • Käy läpi sopimuskumppanit ja palveluntarjoajat sen selvittämiseksi, mitkä näistä tahoista siirtävät henkilötietoja Yhdysvaltoihin tai muutoin käsittelevät niitä siellä. Henkilötietojen siirroksi luokitellaan myös pääsyn tarjoaminen henkilötietoihin Yhdysvalloista. Myös pelkkä tietojen passiivinen säilyttäminen Yhdysvalloissa tarkoittaa, että henkilötiedot on siirretty sinne. Tietosuojalainsäädännön mukainen henkilötietojen määritelmä on myös hyvin laaja, ja esimerkiksi verkkosivujen evästeiden kautta voi siirtyä sivuston käyttäjän henkilötietoja ulkoisille kumppaneille.  
  • Selvitä, perustuuko tietojen siirto Privacy Shield -menettelyyn vai johonkin muuhun tietosuoja-asetuksen mukaiseen suojamekanismiin. 
  • Siirry Privacy Shield -menettelystä muihin tietosuoja-asetuksen suojamekanismeihin, kuten mallisopimuslausekkeisiin ja mahdollisesti tarvittaviin lisätoimenpiteisiin. Keskustele tarvittavista lisätoimenpiteistä Yhdysvalloissa henkilötietojen käsittelevän sopimuskumppanisi kanssa.
  • Huomioi, että muutokset tietojen siirtoja koskeviin menettelyihin voivat edellyttää muutoksia esimerkiksi asiakassopimuksiin.
  • Päivitä tietosuojaselosteet ja muu tietosuojainformaatio. Henkilötietojen siirtämisestä Euroopan talousalueen ulkopuolelle ja siirroissa käytetyistä suojamekanismeista on informoitava käsittelyn kohteena olevia rekisteröityjä.
  • Seuraa viranomaisten ohjeistuksia asian suhteen.

Euroopan tietosuojaneuvosto on korostanut kannanotossaan, että ensisijainen vastuu tietosuojan tason varmistamisesta on tietojen siirron osapuolilla. Henkilötietojen siirto on keskeytettävä tai lopetettava, jos yritys toteaa, ettei asianmukaisia suojatoimia ja riittävän tietosuojan tasoa voida varmistaa.

Privacy Shield -menettelyn kumoaminen ilman siirtymäaikaa voi aiheuttaa haasteita liiketoiminnalle, mutta se ei poista velvollisuutta noudattaa tuomioistuimen päätöstä. Tärkeintä on, että henkilötietoja käsittelevät tahot reagoivat päätökseen ja käynnistävät mahdollisimman nopeasti toimenpiteet henkilötietojen siirtojen kartoittamiseksi ja saattamiseksi uusien vaatimusten mukaiseksi.

Järjestämme tietosuojawebinaarin torstaina 1.10.2020 klo 9-10 aiheesta ”Miten henkilötietoja voidaan siirtää jatkossa Yhdysvaltoihin ja mitä oppia viimeaikaisista viranomaispäätöksistä?” Jos aihe on sinulle ajankohtainen, ilmoittaudu ilmaiseen webinaariin tästä linkistä >>

Euroopan tietosuojaneuvoston vastauksia yleisimpiin kysymyksiin Schrems II -tuomiosta

EU:n tuomioistuimen lehdistötiedote Schrems II -tuomiosta


Annamme mielellämme lisätietoja:

Markus Myhrberg, osakas, puh. +358 40 505 5343, markus.myhrberg@lexia.fi

Ville Kukkonen, asianajaja, Senior Associate, puh. +358 40 745 6784, ville.kukkonen@lexia.fi

Back to Top