EU:n ja Yhdysvaltojen väliseen henkilötietoliikenteeseen liittyvät päätökset ovat muuttuneet

Komission päätös riittävästä tietosuojan tasosta

Vuonna 2020 annetun ns. Schrems II päätöksen jälkeen EU:n ja Yhdysvaltojen välillä ei ole ollut voimassa olevaa järjestelyä henkilötietojen siirtoa koskien. Tällöin tiedonsiirrot EU:sta Yhdysvaltoihin edellyttivät muun muassa vakiosopimuslausekkeiden tai yrityksiä koskevien sitovien sääntöjen käyttämistä tapauskohtaisesti sekä EU:sta Yhdysvaltoihin tapahtuvia tiedonsiirtoja koskevien vaikutustenarviointiasiakirjojen laatimista.

Euroopan komissio antoi kuitenkin 10.7.2023 vastaavuuspäätöksen EU:n ja Yhdysvaltojen väliselle tietosuojakehykselle (EU-U.S. Data Privacy Framework). Euroopan komissio arvioi tietosuojan riittävyyttä koskevassa päätöksessään, että Yhdysvallat takaa EU:sta yhdysvaltalaisille yrityksille tietosuojakehyksen nojalla siirrettävien henkilötietojen suojan tason, joka vastaa olennaisilta osin Euroopan unionin suojan tasoa. Seuraavaksi käymme läpi, mitä tämä tarkoittaa konkreettisesti yrityksille. 

Muutoksista yleisesti

Vastaavuuspäätös rajoittaa aiemmin haittaa aiheuttaneen Yhdysvaltojen tiedustelupalvelujen pääsyn EU:sta tulleisiin tietoihin siihen, mikä on välttämätöntä ja oikeasuhtaista. Vastaavuuspäätöksen yhteydessä on myös perustettu tietosuojaa käsittelevä muutoksenhakutuomioistuin (Data Protection Review Court, “DPRC”), joka on riippumaton ja puolueeton muutoksenhakumekanismi, jonka tarkoituksena on ratkaista ja käsitellä EU:n kansalaisten valituksia koskien EU:n kansalaisten tietojen keräämistä kansallista turvallisuutta varten.

EU:n ja Yhdysvaltojen väliseen tietosuojakehykseen liittymiseksi yhdysvaltalaisten yritysten on sertifioitava itsensä ja sitouduttava noudattamaan Euroopan komission tietosuojan riittävyyttä koskevaan päätökseen sisältyviä tietosuojan periaatteita. Yhdysvaltalaisten yritysten on esimerkiksi GDPR:ää vastaavasti rajoitettava henkilötiedot käsittelyn tarkoituksen kannalta olennaisiin tietoihin, poistettava tiedot, kun niitä ei enää tarvita siihen tarkoitukseen, jota varten ne on kerätty, ja ilmoitettava rekisteröidyille henkilötietojen käsittelyn pääpiirteet.

Päätöksessä on huomionarvoista, että Yhdysvaltojen käyttöön ottamia suojatoimia sovelletaan myös silloin, kun tietoja siirretään EU:sta Yhdysvaltoihin käyttämällä muita siirtomekanismeja kuin tietosuojan riittävyyspäätöstä, kuten vakiosopimuslausekkeita ja sitovia yrityksiä koskevia menettelyjä.

Vastaavuuspäätös vai vakiolausekkeet?

Siinä, missä vastaavuuspäätös koskee yksinomaan siirtoa Yhdysvaltoihin, vakiolausekkeisiin voidaan luottaa siirrettäessä tietoja mihin tahansa kolmanteen maahan, myös Yhdysvaltoihin.

Vakiolausekkeiden asema ei olekaan varsinaisesti vähentynyt, vaan niillä on edelleen käyttötarkoituksensa myös tietoja siirrettäessä Yhdysvaltoihin. Vakiolausekkeet voidaankin sisällyttää esimerkiksi tietynlaisiin laajempiin sopimuksiin, kuten konsernin sisäiseen useita lainkäyttöalueita kattavaan henkilötietojen käsittelysopimukseen, jossa vakiosopimuslausekkeet voivatkin olla tarkoituksenmukaisempia.

Vastaavuuspäätökseen sisältyy joitakin velvoitteita, jotka eivät ole yhtä tiukkoja kuin vakiolausekkeiden mukaiset vastaavat velvoitteet. Vastaavuuspäätöksessä ei nimenomaisesti edellytetä, että vakiolausekkeet tai vaikutustenarviointi olisi tehtävä, kun siirretään henkilötietoja eteenpäin. Lisäksi arkaluonteisia tietoja lukuun ottamatta vastaavuuspäätös voi sallia sen, että siirrettyjä henkilötietoja “käytetään tarkoitukseen, joka poikkeaa olennaisesti siitä tarkoituksesta, jota varten ne alun perin kerättiin”, jos asianomainen henkilö ei siitä kieltäydy.

Tietojensaantioikeuden osalta vastaavuuspäätös jättää tulkinnanvaraa sen suhteen, mitä tietoja on toimitettava asettamalla vaatimuksen toimittaa “tiedot, joista voidaan tarkistaa niiden paikkansapitävyys ja käsittelyn laillisuus”. Lisäksi vastaavuuspäätös antaa yrityksille tulkinnanvaraisia perusteluja tietoihin tutustumista koskevan pyynnön hylkäämiselle, kuten “jos tietoihin tutustumisesta aiheutuva haitta tai kustannukset olisivat suhteettoman suuret suhteessa yksilön yksityisyyteen kyseisessä tapauksessa kohdistuviin riskeihin”. Vastaavuuspäätös sallii myös “maksun perimisen, joka ei ole kohtuuton”. Vastaukselle ei ole asetettu erityistä määräaikaa, vaan se on annettava “kohtuullisessa ajassa”.

Yleisesti ottaen vakiolausekkeissa asetetut velvoitteet taas vastaavat suurelta osin GDPR:n vaatimuksia. Esimerkiksi: siirtoja säätelevät lausekkeet vastaavat GDPR:n 44 artiklan vaatimuksia. Vastaanottaja (rekisterinpitäjä) voi yleensä käsitellä vakiolausekkeiden nojalla siirrettyjä henkilötietoja toiseen tarkoitukseen vain, “jos se on saanut rekisteröidyn ennakkosuostumuksen”. Myös tiedonsaantioikeuden osalta vakiolausekkeet vastaavat suurelta osin GDPR:n säännöksiä, mukaan lukien kuukauden määräajan ja pyynnön maksuttomuuden.

Henkilötietojen siirrosta vastaavuuspäätöksen avulla

Yleisesti ottaen, henkilötietoja voidaan siirtää EU:n ja ETA:n ulkopuolelle edellyttäen, että a) henkilötietojen käsittely on kyseisessä tilanteessa sallittua ja, että b) henkilötietojen siirto perustuu yleisen tietosuoja-asetuksen (2016/679, GDPR) V luvussa määriteltyyn siirtomekanismiin.

Euroopan komission päätös tietosuojan riittävästä tasosta (GDPR 45 artikla) on kuitenkin ensisijainen siirtoperuste henkilötietojen siirtämiselle suhteessa muihin GDPR:n V luvussa määriteltyihin siirtoperusteisiin. Näin ollen, mikäli komissio on päättänyt, että kyseinen kolmas maa varmistaa riittävän tietosuojan tason, henkilötietoja voi siirtää suoraan vastaavuuspäätöksen perusteella

Tässä tapauksessa tietosuojan riittävyyttä koskevan päätöksen ensisijaisuus tarkoittaa käytännössä sitä, että uuden tietosuojan riittävyyttä koskevan päätöksen perusteella henkilötietoja voidaan siirtää turvallisesti EU:sta riittävyyskehyksen toteuttamiseen osallistuviin yhdysvaltalaisiin yrityksiin ilman, että on tarpeen ottaa käyttöön tietosuoja-asetuksen 46 artiklassa säädettyjä ylimääräisiä tietosuojatakeita, kuten vakiosopimuslausekkeita tai yritystä koskevia sitovia sääntöjä.

Vaikutustenarviointi on tehtävä silloin, kun suunnitellaan henkilötietojen käsittelyä, joka todennäköisesti aiheuttaa korkean riskin henkilöiden oikeuksille ja vapauksille. Näin ollen suosittelemmekin vaikutustenarvioinnin tekemistä arkaluonteisten tietojen ollessa siirron kohteena, vaikka siirto perustuisikin vastaavuuspäätökseen

Mitä osapuolia päätös koskee?

Vastaavuuspäätöksen mukainen tietosuojakehys koskee vain sellaisia yhdysvaltalaisyrityksiä, jotka ovat erikseen sitoutuneet tietosuojakehykseen ja sen mukaisiin suojatoimiin. Tuore vastaavuuspäätös ei siis kata kaikkia Yhdysvaltoihin kohdistuvia siirtoja, vaan tietosuojakehyksen ulkopuolisten toimijoiden osalta on edelleen käytettävä muita siirtoperusteita.

Täältä: https://www.dataprivacyframework.gov/s/participant-search voi selvittää, onko yhdysvaltalainen yritys ilmoittanut sitoutuvansa tietosuojakehykseen. Ennen siirtoa onkin tärkeää selvittää, kuuluuko vastaanottava yritys tietosuojakehykseen vai ei, jotta voidaan selvittää vastaavuuspäätöksen soveltuvuus siirtoperusteena.

EU:n ja Yhdysvaltojen välistä tietosuojan vastaavuuspäätöstä ei sovelleta eikä sitä näin ollen voida käyttää julkisen sektorin organisaatioiden välisiin tiedonsiirtoihin. Julkisen sektorin toimija voi kuitenkin siirtää henkilötietoja yksityiselle yhdysvaltalaiselle yritykselle.

On huomattava, että tällä hetkellä yritykset päivittävät vielä käytäntöjään ja selosteitaan, joten listautuminen tietosuojakehyksen listalle on monien osalta vielä kesken.

Vaikutustenarvioinnista

Jos henkilötietojen siirtoon sovelletaan vakiosopimuslausekkeita, eikä vastaavuuspäätöstä, tarvitaan vaikutustenarviointia edelleen, oli kyseessä sitten arkaluontoiset tai muut henkilötiedot. Komissio on kuitenkin katsonut, että Yhdysvaltojen valvontalait eivät enää ole ongelmallisia tarkoittaen se näin ollen sitä, että vaikutustenarvioinneissa voidaan paljon varmemmin tehdä johtopäätös, että myös vakiosopimuslausekkeisiin perustuvilla tiedonsiirroilla on Yhdysvalloissa riittävä suojan taso.

Vaikutustenarviointi on työkalu henkilötietojen käsittelyyn sisältyvien riskien tunnistamiseen, arviointiin sekä hallintaan ja se on tehtävä ennen käsittelyn aloittamista. Riskien tunnistaminen, arviointi ja hallinta tehdään käytännössä siten, että vaikutustenarvioinnissa kuvataan henkilötietojen käsittelyä, arvioidaan käsittelyn tarpeellisuutta, oikeasuhteisuutta ja henkilötietojen käsittelystä aiheutuvia riskejä sekä tarvittavia toimenpiteitä, joilla riskeihin puututaan. Näiden toimien kautta voidaan arvioida, onko jäljelle jäänyt riski oikeutettu ja hyväksyttävissä nyt käsillä olevassa tilanteessa, minkä lisäksi vaikutustenarviointi tarjoaa arvokasta tietoa rekisterinpitäjälle tietosuojalainsäädäntövaatimusten noudattamisen osoittamisessa sekä sen dokumentoinnissa. 

Komissio on myös omassa Q&A:ssaan vahvistanut, että Yhdysvalloissa kansallisen turvallisuuden alalla käyttöön otettuja suojatoimia sovelletaan kaikkiin tietosuoja-asetuksen mukaisiin tiedonsiirtoihin Yhdysvalloissa sijaitseviin yrityksiin käytetystä mekanismista riippumatta, ja suojatoimet “helpottavat näin ollen myös muiden välineiden, kuten vakiosopimuslausekkeiden ja sitovien yrityssääntöjen, käyttöä”.

Näin ollen, vaikkei tarve laatia vaikutustenarviointia kokonaan katoakaan, helpottaa se niiden laatimista valtavasti, kun vastaavuuspäätökseen voidaan suoraan viitata soveltuvin osin. Lisäksi aiemmin tehtyjä Yhdysvaltoja koskevia vaikutustenarviointeja on syytä tarkastaa, sillä vastaavuuspäätöksen perusteena ollut Yhdysvaltojen valvontalainsäädäntö ei välttämättä enää aiheuta samanlaisia haasteita siirrolle kuin ennen.

Mikäli sinulla heräsi kysymyksiä tai suunnittelet henkilötietojen siirtoa EU- tai ETA -alueen ulkopuolelle, niin avustamme mielellämme. Valmiina olevien prosessiemme vuoksi pystymme avustamaan tehokkaasti niin henkilötietojen siirtoa, vaikutustenarviointia sekä laajemmin henkilötietojen käsittelyä koskevissa asioissa. 

Sami Koivurinne, Associate