Euroopan unionin tuomioistuin antoi kolme päivää sitten odotetun ratkaisunsa koskien ns. Safe Harbor-järjestelmää EU:n ja Yhdysvaltojen välillä siirrettäessä henkilötietoja EU:sta Yhdysvaltoihin. Ratkaisun mukaan jo viisitoista vuotta käytössä ollut Safe harbor –sertifiointi ei välttämättä riitäkään enää näytöksi riittävästä tietosuojan tasosta, kun henkilötietoja siirretään Yhdysvaltoihin ETA-talousalueelta. Ratkaisu on aiheuttanut mediassa ja yrityksissä erilaisia reaktioita väärinkäsityksistä aina paniikkijarrutuksiin saakka. Kerromme nyt lyhyesti, mistä tuomiossa on kyse ja miten yrityksesi kannattaa toimia muuttuneessa tilanteessa.

Taustaa

EU:n tietosuojavaatimukset ovat epäilemättä yhdet maailman tiukimmista, ja henkilötietojen siirtäminen Euroopan talousalueen ulkopuolelle, myös Yhdysvaltoihin, on pääsääntöisesti kielletty. Tietoja saa siirtää vain tietojen kohteen nimenomaisella suostumuksella, taikka tilanteissa, joissa voidaan varmistua tietosuojan tasosta vastaanottavassa maassa.

15 vuotta sitten Euroopan Komissio antoi päätöksen Safe Harbor –järjestelmästä, jonka mukaan mikä tahansa erityisen Safe Harbor -sertifioinnin täyttävä yhdysvaltalainen yritys antoi riittävän tietosuojan tason. Eurooppalaisille yrityksille syntyi helppo ja käytännöllinen keino varmistua riittävästä tietosuojan tasosta.

Järjestelmä on mahdollistanut Eurooppalaisille yrityksille kevyen menetelmän varmistua siitä, että Yhdysvalloissa toimiva yritys tarjoaa riittävän tietosuojan tason siirretyille henkilötiedoille. Käytännössä esimerkiksi Facebook on käyttänyt tätä menetelmää henkilötietojen tallentamisessa ja siirtämisessä ETA-alueen ulkopuolelle.

Ratkaisu ja sen vaikutukset

Nyt antamallaan ratkaisulla Euroopan unionin tuomioistuin totesi yksiselitteisesti, että Euroopan komission päätös onkin mitätön. Näin ollen Safe Harborin nojalla ei enää voida suoraan varmistua yhdysvaltalaisen kauppa- tai yhteistyökumppanin riittävästä tietosuojan tasosta. Tietosuojan tasosta on siis varmistuttava jollakin toisella tavalla, mikäli henkilötietoja aiotaan jatkossakin säilyttää Yhdysvalloissa tai siirtää Yhdysvaltoihin.

Miten tämä vaikuttaa yritykseesi?

Tuomion johdosta jokaisen henkilötietoja Yhdysvaltoihin siirtävän yrityksen on syytä tarkistaa ne menetelmät, joilla varmistutaan riittävästä tietosuojasta ETA-alueen ulkopuolella. Mikäli näiden joukossa on menetelmiä, jotka nojaavat Safe Harbor –sertifiointeihin, on ne korvattava jollakin vaihtoehtoisella menetelmällä. Eurooppalaisten yritysten onneksi olemassa on muitakin menetelmiä varmistua riittävästä tietosuojan tasosta, ja nämä menetelmät on parhaimmassa tapauksessa implementoitavissa hyvinkin lyhyellä aikataululla.

Mitä toimenpiteitä sinun tulee juuri nyt tehdä?

• Poista tietosuojakäytännöstäsi kaikki viittaukset Safe Harboriin.
• Siirry käyttämään EU:n mallilausekkeita (EU Model Clauses). Monikansallisille yhtiöille myös Binding Corporate Rulesit ovat toinen vaihtoehto.
• Tarkasta kaikki sopimuksesi Safe Harbor –viittauksien varalta. Mikäli viittauksia löytyy, tulee sinun vaatia sopimuskumppaniesi ottavan käyttöön EU:n mallilausekkeet, taikka muutoin varmistu tietosuojan riittävästä tasosta.

Syytä paniikkiin ei ole, mutta asiaan kannattaa paneutua sen ollessa ajankohtainen. Suomen tietosuojaviranomainen kuitenkin olettaa yrityksesi ryhtyvän toimiin asian selvittämiseksi. Tässä vaiheessa on aiheellista muistuttaa myös tulevasta EU:n tietosuoja-asetuksesta, jossa määrätään aiempaa kovemmista sanktioista tietosuojavelvoitteidensa laiminlyöville yrityksille.

Toimistomme asiantuntijat antavat mielellään lisätietoja nyt annetusta ratkaisusta, sekä yrityksesi tietosuoja-asioissa: Markus Myhrberg ja Sami Rintala