Euroopan komission uusi yritys helpottaa EU:n ja Yhdysvaltojen välisiä tiedonsiirtoja: Syvempi katsaus EU:n ja Yhdysvaltojen väliseen tietosuojakehykseen 

Euroopan komissio antoi 10. heinäkuuta 2023 kauan odotetun päätöksensä EU:n ja Yhdysvaltojen välisen tietosuojan riittävyydestä. Monet ovat odottaneet komission päätöstä vuodesta 2020 saakka, sillä heinäkuussa 2020 Euroopan unionin tuomioistuin (EUT) antoi merkittävän Schrems II (C-311/18) -tuomionsa, jolla se mitätöi aikaisemman EU:n ja Yhdysvaltojen välisen henkilötietojen siirtoa koskevan Privacy Shield -tietosuojajärjestelyn. Riittävyyspäätökseen asti tiedonsiirrot EU:sta Yhdysvaltoihin ovat edellyttäneet muun muassa vakiosopimuslausekkeiden tai yrityksiä koskevien sitovien sääntöjen käyttämistä tapauskohtaisesti sekä EU:sta Yhdysvaltoihin tapahtuvia tiedonsiirtoja koskevien vaikutustenarviointiasiakirjojen laatimista.

Euroopan komissio arvioi tietosuojan riittävyyttä koskevassa päätöksessään, että Yhdysvallat takaa EU:sta yhdysvaltalaisille yrityksille tietosuojakehyksen nojalla siirrettävien henkilötietojen suojan tason, joka vastaa olennaisilta osin Euroopan unionin suojan tasoa. Mutta mitä tämä tarkoittaa?

Henkilötietoja voidaan yleensä siirtää EU:n ja ETA:n ulkopuolelle edellyttäen, että henkilötietojen käsittely on kyseisessä tilanteessa sallittua ja että henkilötietojen siirto perustuu yleisen tietosuoja-asetuksen (2016/679, GDPR) V luvussa määriteltyyn siirtomekanismiin. Euroopan komission päätös tietosuojan riittävästä tasosta (GDPR 45 artikla) on ensisijainen peruste henkilötietojen siirtämiselle suhteessa muihin GDPR:n V luvussa määriteltyihin siirtoperusteisiin. 

Tässä tapauksessa tietosuojan riittävyyttä koskevan päätöksen ensisijaisuus tarkoittaa käytännössä sitä, että uuden tietosuojan riittävyyttä koskevan päätöksen perusteella henkilötietoja voidaan siirtää turvallisesti EU:sta riittävyyskehyksen toteuttamiseen osallistuviin yhdysvaltalaisiin yrityksiin ilman, että on tarpeen ottaa käyttöön tietosuoja-asetuksen 46 artiklassa säädettyjä ylimääräisiä tietosuojatakeita, kuten vakiosopimuslausekkeita tai yritystä koskevia sitovia sääntöjä.

Merkittävät muutokset

Schrems II -tuomiossa Euroopan unionin tuomioistuin nosti esille useita seikkoja, jotka koskevat Yhdysvaltojen tiedustelupalvelujen pääsyä EU:sta tulleisiin tietoihin. EU:n ja Yhdysvaltojen välisessä tietosuojakehyksessä puututaan esiin tuotuihin seikkoihin, ja se sisältää merkittäviä parannuksia verrattuna Privacy Shield -järjestelmässä käytössä olleeseen mekanismiin. 

Kehys esimerkiksi rajoittaa Yhdysvaltojen tiedustelupalvelujen pääsyn EU:sta tulleisiin tietoihin siihen, mikä on välttämätöntä ja oikeasuhtaista. Kehyksen yhteydessä on myös perustettu tietosuojaa käsittelevä muutoksenhakutuomioistuin (Data Protection Review Court, DPRC), joka on riippumaton ja puolueeton muutoksenhakumekanismi, jonka tarkoituksena on ratkaista ja käsitellä EU:n kansalaisten valituksia koskien EU:n kansalaisten tietojen keräämistä kansallista turvallisuutta varten. 

EU:n ja Yhdysvaltojen väliseen tietosuojakehykseen liittymiseksi yhdysvaltalaisten yritysten on sertifioitava itsensä ja sitouduttava noudattamaan Euroopan komission tietosuojan riittävyyttä koskevaan päätökseen sisältyviä tietosuojan periaatteita. Yhdysvaltalaisten yritysten on esimerkiksi rajoitettava henkilötiedot käsittelyn tarkoituksen kannalta olennaisiin tietoihin, poistettava tiedot, kun niitä ei enää tarvita siihen tarkoitukseen, jota varten ne on kerätty, ja ilmoitettava rekisteröidyille henkilötietojen käsittelyn pääpiirteet. 

Huomionarvoisia seikkoja 
  • EU:n ja Yhdysvaltojen välistä tietosuojan riittävyyspäätöstä ei sovelleta eikä sitä näin ollen voida käyttää julkisen sektorin organisaatioiden välisiin tiedonsiirtoihin.
  • Yhdysvaltojen käyttöön ottamia suojatoimia sovelletaan myös silloin, kun tietoja siirretään EU:sta Yhdysvaltoihin käyttämällä muita siirtomekanismeja kuin tietosuojan riittävyyspäätöstä, kuten vakiosopimuslausekkeita ja sitovia yrityksiä koskevia menettelyjä.
Seuraavat vaiheet

Organisaatioiden on suositeltavaa tarkistaa nykyiset tietosuojaa koskevat vaikutustenarviointiasiakirjansa (Data Protection Impact Assessment, DPIA) sekä EU:sta Yhdysvaltoihin tapahtuvia tiedonsiirtoja koskevat vaikutustenarviointiasiakirjat (Transfer Impact Assessment, TIA) ja päivittää ne vastaamaan Euroopan komission uutta EU:n ja Yhdysvaltojen välistä tietosuojan riittävyyttä koskevaa päätöstä.

Tiimimme antaa mielellään lisätietoja ja auttaa kaikissa kysymyksissä EU:sta Yhdysvaltoihin suuntautuviin tiedonsiirtoihin liittyen.

Yhteystiedot