Henkilötietojen siirrot ETA:n ulkopuolelle ja Euroopan komission uusi riittävyyspäätös
Henkilötietojen siirrot ETA:n ulkopuolelle, erityisesti Yhdysvaltoihin, ovat olleet otsikoissa Irlannin tietosuojaviranomaisen määrättyä Metalle ennätyksellisen 1,2 miljardin euron seuraamusmaksun henkilötietojen lainvastaisista siirroista Yhdysvaltoihin. Myös Suomessa apulaistietosuojavaltuutettu on kuluvan vuoden aikana antanut Yhdysvaltoihin kohdistuvia tietojensiirtoja koskevat päätökset Helmet-kirjastoille ja Ilmatieteen laitokselle.
Vuonna 2020 annetun ns. Schrems II päätöksen jälkeen EU:n ja Yhdysvaltojen välillä ei ole ollut voimassa olevaa järjestelyä henkilötietojen siirtoa koskien. Euroopan komissio on kuitenkin 10.7.2023 antanut riittävyyspäätöksen EU:n ja Yhdysvaltojen väliselle tietosuojakehykselle.
Mitä henkilötietojen siirroilla tarkoitetaan?
Sen lisäksi, että henkilötietojen siirroksi katsotaan henkilötietojen fyysinen siirtäminen ETA:n ulkopuolelle, katsotaan siirroksi myös se, että fyysisesti ETA-alueella sijaitseviin henkilötietoihin on mahdollista päästä käsiksi etäyhteyksin ETA:n ulkopuolelta. Esimerkiksi yksittäisen työntekijän ETA:n ulkopuolella tapahtuvan työnteon ei kuitenkaan lähtökohtaisesti katsota tarkoittavan henkilötietojen siirtoa työntekomaahan, sillä tavanomaisesti työntekijää pidetään erottamattomana osana työnantajaorganisaatiota.
Mitä edellytyksiä tulee huomioida henkilötietoja siirrettäessä?
Tietosuoja-asetuksessa taattu henkilötietojen suojan taso ei saa vaarantua henkilötietoja kolmansiin maihin siirrettäessä. Sen lisäksi, että henkilötietojen käsittelyn on yleisesti ottaen oltava sallittua kyseisessä tilanteessa, on henkilötietojen siirrolle oltava jokin tietosuoja-asetuksessa määritelty siirtoperuste:
1. Komission päätös riittävästä tietosuojan tasosta
Ensisijainen siirtoperuste on Euroopan komission päätös riittävästä tietosuojan tasosta eli ns. riittävyyspäätös. Päätös tarkoittaa, että komissio katsoo kohdemaan, sen tietyn alueen tai sektorin taikka kansainvälisen järjestön tarjoavan siirrettäville henkilötiedoille riittävän tietosuojan tason. Riittävyyspäätöksen perusteella suoritettava henkilötietojen siirtäminen on verrattavissa tilanteeseen, jossa tietoja siirretään EU:n sisällä, sillä tietoja voidaan siirtää ilman muita lisävaatimuksia sellaisenaan.
Euroopan komissio on 10.7.2023 antanut riittävyyspäätöksen EU:n ja Yhdysvaltojen väliselle tietosuojakehykselle (”EU-U.S. Data Privacy Framework”). Tietosuojakehys koskee vain sellaisia yhdysvaltalaisyrityksiä, jotka ovat sitoutuneet tietosuojakehykseen ja sen mukaisiin suojatoimiin. Tuore riittävyyspäätös ei siis kata kaikkia Yhdysvaltoihin kohdistuvia siirtoja, vaan tietosuojakehyksen ulkopuolisten toimijoiden osalta on edelleen käytettävä muita siirtoperusteita.
2. Asianmukaiset suojatoimet
Mikäli soveltuvaa riittävyyspäätöstä ei ole, voidaan henkilötietoja siirtää, mikäli käytössä on jokin tietosuoja-asetuksen 46 artiklan mukainen suojatoimi ja rekisteröityjen saatavilla on täytäntöönpanokelpoisia oikeuksia ja tehokkaita oikeussuojakeinoja.
Kun henkilötietojen siirtämiseen käytetään 46 artiklan mukaista siirtoperustetta, kuten Euroopan komission hyväksymiä vakiolausekkeita, on henkilötietoja siirtävän tahon ennen siirron suorittamista varmistettava tapauskohtaisesti, että siirrettäville henkilötiedoille taataan sellainen suojan taso, joka olennaisilta osin vastaa suojan tasoa EU:ssa. Arvioinnissa on otettava huomioon mm. kohdevaltion lainsäädäntö, käytetty siirtomekanismi sekä siirron tapauskohtaiset olosuhteet.
3. Erityistilanteita koskevat poikkeukset
Tietosuoja-asetuksen 49 artiklassa määritellyt poikkeukset ovat viimesijainen siirtoperuste, joita tulee käyttää ainoastaan, mikäli soveltuvaa riittävyyspäätöstä ei ole eivätkä asianmukaiset suojatoimet tule tapauksessa kyseeseen. Poikkeusperusteiden käyttöä on hyvin rajattua, eikä niitä voida käyttää esimerkiksi toistuviin siirtoihin.
Mitä vaikutuksia uudella riittävyyspäätöksellä on?
EU:n ja Yhdysvaltojen välisen uuden tietosuojakehyksen toivotaan helpottavan esimerkiksi Yhdysvaltalaisten palveluntarjoajien hyödyntämistä eurooppalaisten henkilötietojen käsittelyssä.
On kuitenkin mahdollista, jopa todennäköistä, että tietosuojakehys tullaan haastamaan Euroopan unionin tuomioistuimessa. Tämä on syytä ottaa huomioon suoritettaessa tapauskohtaista arviointia siitä, minkä siirtoperusteen nojalla henkilötietoja siirretään ETA:n ulkopuolelle.
Lopuksi
Mikäli henkilötietojen siirrot mietityttävät, Lecklén asiantuntijat auttavat mielellään.
Aiheen asiantuntijamme
Aiheeseen liittyvät palvelumme…
