Henkilötietojen siirrot Yhdysvaltoihin arvioitava uudelleen

04.09.2020

Henkilötietojen siirrot Yhdysvaltoihin arvioitava uudelleen

Henkilötietojen siirtäminen Yhdysvaltoihin on joutunut vastatuuleen kesän aikana. Euroopan unionin tuomioistuin kumosi heinäkuussa (nk. Schrems II-tuomio) Privacy Shield -järjestelyn, joka on toiminut yleisesti käytettynä menettelynä siirrettäessä henkilötietoja Yhdysvaltoihin.

Mikä on Privacy Shield?

EU:n yleinen tietosuoja-asetus (GDPR) asettaa reunaehtoja siirrettäessä henkilötietoja Euroopan talousalueen ulkopuolelle maihin, joiden osalta Euroopan komissio ei ole antanut tietosuojan riittävyyttä koskevaa päätöstä. Henkilötietojen siirron on perustuttava joko tietosuojalainsäädännön mukaiseen perusteeseen, esim. rekisteröidyn nimenomaiseen suostumukseen, tai johonkin erikseen määriteltyyn suojamekanismiin.

Yhdysvaltojen ja EU:n välillä on ollut voimassa erityinen henkilötietojen siirtoa koskeva suojamekanismi; Privacy Shield -menettely. Jos henkilötietoja vastaanottava taho Yhdysvalloissa on rekisteröitynyt Privacy Shield -menettelyyn, on henkilötietojen siirto ollut sen nojalla mahdollista. Tuomioistuimen päätöksen myötä Privacy Shieldiin perustuvat henkilötietojen siirrot Yhdysvaltoihin eivät 16.7.2020 lähtien ole enää sallittuja.

Miten henkilötietoja voidaan siirtää jatkossa Yhdysvaltoihin?

Privacy Shieldin kumoamisesta huolimatta henkilötietoja voidaan edelleen siirtää Yhdysvaltoihin muita tietosuoja-asetuksen mukaisia asianmukaisia suojatoimia käyttäen. Yleisesti käytetty suojatoimi on laatia henkilötietojen siirrosta sopimus, johon sisällytetään Euroopan komission vahvistamat mallisopimuslausekkeet.

Tuomioistuimen päätöksen mukaan pelkkien mallisopimuslausekkeiden käyttäminen ei kuitenkaan sellaisenaan välttämättä riitä. Mallisopimuslausekkeisiin perustuvien velvollisuuksien noudattaminen on pyrittävä varmistamaan tapauskohtaisella arvioinnilla ja sen perusteella sopia henkilötietoja vastaanottavan tahon kanssa tarvittaessa täydentävistä lisätoimenpiteistä.

Mitä pitää tehdä nyt?

Privacy Shield -menettelyn kumoamisen myötä pitää varmistaa, että henkilötietojen siirto perustuu jatkossa johonkin muuhun suojamekanismiin. 

  • Käy läpi sopimuskumppanit ja palveluntarjoajat sen selvittämiseksi, mitkä näistä tahoista siirtävät henkilötietoja Yhdysvaltoihin tai muutoin käsittelevät niitä siellä. Henkilötietojen siirroksi luokitellaan myös pääsyn tarjoaminen henkilötietoihin Yhdysvalloista. Myös pelkkä tietojen passiivinen säilyttäminen Yhdysvalloissa tarkoittaa, että henkilötiedot on siirretty sinne. Tietosuojalainsäädännön mukainen henkilötietojen määritelmä on myös hyvin laaja, ja esimerkiksi verkkosivujen evästeiden kautta voi siirtyä sivuston käyttäjän henkilötietoja ulkoisille kumppaneille.  
  • Selvitä, perustuuko tietojen siirto Privacy Shield -menettelyyn vai johonkin muuhun tietosuoja-asetuksen mukaiseen suojamekanismiin. 
  • Siirry Privacy Shield -menettelystä muihin tietosuoja-asetuksen suojamekanismeihin, kuten mallisopimuslausekkeisiin ja mahdollisesti tarvittaviin lisätoimenpiteisiin. Keskustele tarvittavista lisätoimenpiteistä Yhdysvalloissa henkilötietojen käsittelevän sopimuskumppanisi kanssa.
  • Huomioi, että muutokset tietojen siirtoja koskeviin menettelyihin voivat edellyttää muutoksia esimerkiksi asiakassopimuksiin.
  • Päivitä tietosuojaselosteet ja muu tietosuojainformaatio. Henkilötietojen siirtämisestä Euroopan talousalueen ulkopuolelle ja siirroissa käytetyistä suojamekanismeista on informoitava käsittelyn kohteena olevia rekisteröityjä.
  • Seuraa viranomaisten ohjeistuksia asian suhteen.

Euroopan tietosuojaneuvosto on korostanut kannanotossaan, että ensisijainen vastuu tietosuojan tason varmistamisesta on tietojen siirron osapuolilla. Henkilötietojen siirto on keskeytettävä tai lopetettava, jos yritys toteaa, ettei asianmukaisia suojatoimia ja riittävän tietosuojan tasoa voida varmistaa.

Privacy Shield -menettelyn kumoaminen ilman siirtymäaikaa voi aiheuttaa haasteita liiketoiminnalle, mutta se ei poista velvollisuutta noudattaa tuomioistuimen päätöstä. Tärkeintä on, että henkilötietoja käsittelevät tahot reagoivat päätökseen ja käynnistävät mahdollisimman nopeasti toimenpiteet henkilötietojen siirtojen kartoittamiseksi ja saattamiseksi uusien vaatimusten mukaiseksi.

Euroopan tietosuojaneuvoston vastauksia yleisimpiin kysymyksiin Schrems II -tuomiosta

EU:n tuomioistuimen lehdistötiedote Schrems II -tuomiosta

Päivitä yrityksesi evästekäytännöt vastaamaan uusia vaatimuksia

Tarjoamamme evästekäytäntöjen päivittäminen sisältää:

  • Nykytilan läpikäynnin ja sivuston suostumusmekanismin arvioinnin
  • Selostepohjan päivityksen vastaamaan muuttuneita säädöksiä
  • Uuden selostepohjan läpikäynnin sekä suositukset jatkotoimenpiteistä.

Hinta on 1 500 e (+alv.), startupeille 1 200 e (+alv.).

Aiheeseen liittyvät tapaamiset järjestämme koronan vuoksi pääsääntöisesti etänä.

Jos haluat nopean ja tehokkaan tavan päivittää evästekäytäntösi, jätä yhteystietosi.

Otamme sinuun yhteyttä kahden päivän sisällä tai seuraavana arkipäivänä.


Annamme mielellämme lisätietoja:

Markus Myhrberg, osakas, puh. +358 40 505 5343, markus.myhrberg@lexia.fi

Ville Kukkonen, asianajaja, Senior Associate, puh. +358 40 745 6784, ville.kukkonen@lexia.fi

Back to Top