People Intouch on aina varoittanut organisaatiota siitä, että arkaluonteisten yritystietojen käsittely Yhdysvalloissa saattaa kyseiset tiedot viranomaisten (esim. DOJ, NSA, DHS) ulottuville. Euroopan unionin tuomioistuimen tässä kuussa antama Schrems II -tuomio vahvistaa huolemme oikeaksi. Päätöksen myötä korostuu, miten tärkeää on pohtia, missä yrityksen väärinkäytöksiin liittyviä arkaluonteisia tietoja käsitellään.
Heinäkuun 16. päivä EU:n tuomioistuin mitätöi Privacy Shield -järjestelyn Schrems II -päätöksessään. Privacy Shield oli oikeudellinen perusta, johon yli 5 000 yritystä turvautui siirtäessään henkilötietoja Euroopasta Yhdysvaltoihin. Mitätöinti vaikuttaa merkittävästi myös niihin yrityksiin, jotka eivät uskoneet Privacy Shield -järjestelyn takaavan vaatimustenmukaista käsittelyä, sillä päätöksessä korostetaan vaikeuksia, joita voi liittyä tietojen siirtämiseen Yhdysvaltoihin ja niiden riittävään suojaamiseen.
Yleinen tietosuoja-asetus GDPR määrittää edellytykset henkilötietojen suojaukselle Euroopan unionin sisällä. Jos henkilötietoja siirretään EU:n ulkopuolelle, tulisi noudattaa vastaavan tasoista (yhtä korkeaa) suojausta. Euroopan komissio antaa tietosuojan riittävyyttä koskevia päätöksiä tiettyjen maiden osalta koskien Euroopan unionin rajat ylittävää tiedonsiirtoa. Tietosuojan riittävyyttä koskeva päätös muodostuu täytäntöönpanosäädöksestä ja tarkastelumenettelystä, ja se sisältää erilaisia kriteereitä, kuten oikeusvaltioperiaatteiden, oikeussuojan ja kansainvälisten ihmisoikeusnormien toteutuminen. Tietylle maalle annettu tietosuojan riittävyyttä koskeva päätös varmistaa tietojen asianmukaisen siirron kyseiseen maahan. Tietosuojan riittävyyttä koskevien päätösten ohella tiedonsiirtoja voidaan toteuttaa GDPR:n mukaisella tavalla myös esimerkiksi mallisopimuslausekkeiden (Euroopan komission hyväksymiä, mutta tällä hetkellä myös tarkasteltavana) tai sitovien yrityssääntöjen avulla.
Privacy Shield -järjestely ei ollut ensimmäinen Euroopan komission suunnittelema sopimus, jolla haluttiin taata yhtäläinen suojaus henkilötietojen siirrolle Yhdysvaltoihin. Edeltävä tapaus oli Safe Harbor -menettely, joka hyväksyttiin 20 vuotta sitten. EU:n tuomioistuin mitätöi Safe Harbor -periaatteet vuonna 2015 Schrems I -päätöksellä, koska järjestely ei suojannut perusoikeuksia Euroopan unionin tasoa vastaavasti. Yhdysvallat asetti kansallisen turvallisuuden, yleisen edun ja lainvalvonnan henkilötietojen suojausta koskevien Safe Harbor -periaatteiden edelle.
Euroopan komissio hyväksyi muodollisesti Privacy Shield -järjestelyn vuonna 2016 Safe Harborin edistyneempänä seuraajana. Privacy Shield -järjestely sisälsi yritysten käyttöön vapaaehtoisen sertifiointiohjelman. Sertifiointiohjelmaan hakevien yritysten täytyi pätevöityä ja sitoutua Privacy Shield -periaatteisiin. Näihin periaatteisiin sisältyi mm. tietojen edelleensiirtoa ja tiedonhakua koskevat vastuuvelvoitteet. Heinäkuun 16. päivä EU:n tuomioistuin kuitenkin päätti, ettei myöskään Privacy Shield -järjestely takaa riittävää suojausta. Privacy Shield ei suojaa siirrettyjä henkilötietoja riittävästi etenkään Yhdysvaltain valvontaohjelmilta. Privacy Shield ei myöskään takaa eurooppalaisten rekisteröityjen henkilöiden riittäviä toimeenpantavia oikeuksia ja tehokkaita oikeuskeinoja Yhdysvalloissa.
EU:n tuomioistuimen päätöksessä korostetaan jälleen ongelmia, joita seuraa yrityksen arkaluonteisten tietojen siirrosta Yhdysvaltoihin. Koska Privacy Shield -järjestely ei muodosta enää voimassa olevaa laillista perustaa kansainväliselle tiedonsiirrolle, siihen nojautuvien organisaatioiden on tehtävä uusia järjestelyjä noudattaakseen korkeita eurooppalaisia tietosuojastandardeja. Jos yritykset haluavat jatkaa tietojen siirtoa Euroopan ulkopuolelle, tietojen suojaamiseksi on tehtävä tapauskohtainen analyysi.
Lisätietoja EU:n tuomioistuimen päätöksestä on täällä.
Keskustele asiantuntijoidemme kanssa
Haluatko oppia lisää, keskustella ideoista tai jakaa näkemyksiä?