Seuraa meitä: Twitterissä Facebookissa EnglishSuomi
9/2015 #jäsentiedote

Safe Harbor no longer Safe – Henkilötietojen siirto USA:han – what to do?

EU-tuomioistuin antoi 6.10.2015 tuomion, jolla katsottiin mitättömäksi ns Safe harbor – järjestelmä. Safe harbor –järjestelmä on ollut voimassa yli 15 vuoden ajan ja mahdollistanut sujuvasti eurooppalaisten henkilötietojen siirron USA:han,  jos vastaanottava yhdysvaltalainen yritys oli liittynyt Safe harbor -järjestelmään ja sitoutunut noudattamaan sen tietosuojavaatimuksia.  Järjestelmä on ollut erittäin keskeinen työkalu, jolla on mahdollistettu henkilötietojen käsittelyä edellyttävä liiketoiminta USA:n ja EU:n välillä.  Tämä järjestely on ollut erittäin yleinen ja sen mukaisesti on toiminut yli 4.000 yritystä – kuten esimerkiksi Google, Microsoft, Twitter ja Amazon.

EU-tuomioistuin päätti edellä mainitulla tuomiollaan, että USA:n tietosuojalainsäädäntö ja Safe harbor -järjestelmä eivät vastaa EU:n tietosuojalainsäädännön vaatimuksia, koska ne sallivat käytännössä laajamittaisen viranomaisseurannan yhdysvaltalaisille organisaatioille siirrettyihin henkilötietoihin ja sähköisen viestinnän tietoihin.  

EU-tuomioistuimen antama Safe harbor-järjestelmän mitätöivä tuomio koskee siis monia suomalaisiakin yrityksiä, jotka käyttävät ns Safe harbor- yritysten pilvi- tai muita palveluja ja siirtävät niille EU:n kansalaisten henkilötietoja. Suomalaisten ja muiden eurooppalaisten yritysten on siten harkittava, missä määrin ja millä edellytyksillä ne voivat käyttää jatkossa näiden ´Safe harbor´ – yritysten  palveluja.

Selventääkseen tilannetta EU:n tietosuojaviranomaisten yhteistyöelin (Article 29 Working Party) antoi oman ohjeensa päätöksen johdosta 16.10.2015. Sen mukaan Safe harbor -järjestelmään perustuva tietojen siirto on nyt laitonta, mutta henkilötietoja voidaan toistaiseksi siirtää USA:han käyttämällä komission hyväksymiä mallisopimuslausekkeita.

Ongelmana on kuitenkin, että mallilausekkeiden ja muiden sopimusehtojen käyttö ei estä USA:n viranomaisten harjoittamaa valvontaa. Yhdysvaltalaisten yritysten on sallittava viranomaisille pääsy eurooppalaisten henkilötietoihin USA:n sisäisen lainsäädännön nojalla riippumatta siitä, mitä yhdysvaltalaiset yritykset sopivat eurooppalaisten yritysten kanssa. Ennen pitkää EU:n tietosuojaviranomaisten on pakko puuttua myös tähän. Nyt ne päättivät vielä odottaa, että EU ja USA löytävät poliittiset, juridiset ja tekniset ratkaisut tilanteeseen 31.1.2016 mennessä ennen, kuin ne puuttuvat muuten kuin Safe harbor -järjestelmän perusteella tapahtuvaan tietojen siirtoon.

Paine ratkaisun löytymiseen on kova. USA:ssa lainsäädännöllistä painetta kasvattavat teknologiajättiläiset, Facebook, Google, IBM, Microsoft ja Yahoo etunenässä. Ne vaativat yhteisellä kirjeellä 15.10.2015 USA:n edustajainhuonetta hyväksymään Judicial Redress Actin, jolla eurooppalaisille taattaisiin sama tietosuoja kuin yhdysvaltalaisille. Niiden mielestä USA:n elinkeinoelämän kilpailukyvyn kannalta luottamuksen palauttaminen on elintärkeää. Samaan aikaan jatkuvat neuvottelut uudesta Safe harbor -järjestelmästä.

Mitä suomalaisen yrityksen pitäisi siis tehdä juuri nyt? Google lähestyi asiakkaitaan ja ilmoitti odottavansa lisätietoja Euroopan komissiolta ja tietosuojaviranomaisilta sekä nopeita tuloksia Safe harbor -järjestelmää koskevista neuvotteluista. Se ilmoitti myös nopeuttavansa mallilausekkeiden laatimista pilvipalveluitaan ja muita tuotteitaan varten. Se ilmoitti myös pitävänsä asiakkaansa ajan tasalla tulevasta kehityksestä. EU:n tietosuojaviranomaiset puolestaan ilmoittivat aloittavansa asiaa koskevat kansalliset viestintähankkeet.

Suomalaisen yrityksen on siten syytä selvittää, koskeeko ongelma ylipäätään ko. yritystä eli käsitelläänkö yrityksen asiakkaiden, työntekijöiden  tai muiden edustajien henkilötietoja USA:ssa. Jos käsitellään, niin miten siirron lainmukaisuudesta on huolehdittu.

Tällä hetkellä Suomen tietosuojavaltuutettu ohjeistaa, että EU:n hyväksymät mallisopimuslausekkeet, yritysten sisäiset konsernin sisäiset säännöt (BCR eli Binding Corporate Rules) tai henkilön vapaaehtoisesti antama tietoinen suostumus henkilötiedon siirtoon ovat laillisia keinoja ratkaista henkilötietojen siirto USA:han.

Tässä vaiheessa suomalaisten yritysten on syytä seurata tarkkaan, miten ns Safe harbor – järjestelmään liittyvä tarkempi ohjeistus etenee Euroopan tietosuojaviranomaisten toimesta.

Tällä välin ei kannata ottaa käyttöön ainakaan uusia tiedonsiirtoja USA:han, vaan valita Euroopassa sijaitseva palvelin, ellei mallisopimuslausekkeen käyttö, henkilön antama nimenomainen suostumus tai BCR ole selkeästi voimassa.

 

Kirjoittaja on Ernst & Young Oy:n senior legal  counsel varatuomari Ulla Riekki, joka hoitaa muun  muassa yksityisyyden suojaa koskevaa juridiikkaa.

ulla.riekki@fi.ey.com, puh: 050 322 3809.