Tässä blogissa tarkastelemme yhdessä Harri Karjalaisen kanssa Privacy Shield -järjestelyä ja siihen liittyvää merkittävää EU-tuomioistuimen päätöstä heinäkuulta.

Merkittävä osa pilvipalveluista on kansainvälisten, usein yhdysvaltalaisten, yritysten tarjoamia. EU:n yleinen tietosuoja-asetus sallii henkilötietojen siirron EU-alueen ulkopuolelle erikseen määritellyillä tavoilla, jotka on kuvattu tarkemmin komission sivuilla.

Yksi sallittu henkilötietojen siirtotapa on turvallisten valtioiden listaus. Siinä on mukana Yhdysvallat edellyttäen, että yritys noudattaa Privacy Shield -järjestelyä.

Privacy Shield -järjestely

EU:lla ja Yhdysvalloilla on vahvat taloudelliset suhteet. Henkilötietojen siirto on siten välttämätön osa tämän päivän kansainvälisessä digitaalitaloudessa. Esimerkiksi henkilötietoja kerätään, kun kuluttaja ostaa tavaroita tai palveluita verkossa, asioi sosiaalisessa mediassa tai tallentaa tietoja pilvipalveluun.

EU:n ja Yhdysvaltojen Privacy Shield -järjestelyssä sallitaan henkilötietojen siirto EU:sta yhdysvaltalaiselle palveluntarjoajalle, jos tarjojaja käsittelee henkilötietoja siten, että se noudattaa tietosuojasäännöksiä ja soveltaa suojatoimia.

Jos palveluntarjoajat haluavat hyödyntää Privacy Shield -järjestelyä, niiden on ilmoittauduttava Yhdysvaltojen kauppaministeriössä Privacy Shield -yrityksiksi. Kauppaministeriön vastuulla on hallinnoida Privacy Shield -järjestelyä ja varmistaa, että yritykset täyttävät velvoitteensa. Lisäksi yritysten on uudistettava järjestelynsä vuosittain. Jos yritykset laiminlyövät tämän, ne eivät voi enää hyödyntää Privacy Shield -järjestelyä vastaanottaessaan ja käyttäessään EU:sta siirrettyjä henkilötietoja.

Kauppaministeriön sivustolla voi tarkastaa onko yhdysvaltalainen palveluntarjoaja mukana järjestelyssä. Privacy Shield -listalla on yli 5 500 yritystä, jossa selostetaan millaisia henkilötietoja yritykset käyttävät ja millaisia palveluja ne tarjoavat.

EU-tuomioistuimen merkittävä ratkaisu

EU-tuomioistuin antoi merkittävän ratkaisun 16.7.2020, jossa se kumoaa komission päätöksen EU:n ja USA:n välisen Privacy Shield -järjestelyn tietosuojan tason riittävyydestä.

Ratkaisun mukaan Yhdysvaltojen lainsäädäntöön sisältyvät viranomaisten oikeudet (esim. tiedustelulainsäädäntö) tarkastella ja käyttää henkilötietoja, eivät täytä enää EU:n tietosuojalainsäädännön vaatimuksia. Ratkaisussaan tuomioistuin ottaa kantaa myös mallisopimuslausekkeisiin henkilötietojen siirtojen perusteena kolmansiin maihin.

Euroopan tietosuojaneuvosto on arvioinut tuomion vaikutuksia täysistunnossaan ja antanut yleisimpiin kysymyksiin vastauksia. Suomessa tietosuojavaltuutetun toimisto ei ole vielä antanut ohjeita rekisterinpitäjille.

Miten Privacy Shieldin päättyminen vaikuttaa käytännössä suomalaisiin rekisterinpitäjiin?

Uusia tietojärjestelmiä ja pilvipalveluita käyttöönotettaessa tulee aina kiinnittää huomioita tietojen sijaintiin. Tietosuoja-asetuksen kannalta turvallisinta rekisterinpitäjän kannalta on käyttää palveluntarjoajia, jotka säilyttävät tiedot Euroopassa. Useimmilla eurooppalaisilla palveluntarjoajilla tämä on lähtökohta, ja myös monet yhdysvaltalaiset yritykset tarjoavat mahdollisuuden tietojen tallentamiseen EU-alueelle.

Mikäli nykyinen palveluntarjoaja tallentaa tiedot Yhdysvaltoihin (aiemmin Privacy Shield katsottiin riittäväksi turvamekanismiksi), kannattaa selvittää, onko mahdollista siirtää tiedot EU-alueella olevaan konesaliin. Ellei tämä onnistu, tietojen käsittely Privacy Shieldin päätyttyä ei enää vastaa sääntelyn vaatimuksia.

Euroopan komissio ja Yhdysvaltojen kauppaministeriö neuvottelevat Privacy Shield -järjestelyn tulevaisuudesta sekä mahdollisesta jatkosta. Toivottavaa on, että ratkaisu löytyy, mutta aikataulusta ja toteutumisesta ei ole takeita.