Ads 468x60px

maanantai 23. marraskuuta 2015

Safe Harbor kaatui – mitä seuraavaksi?


Euroopan unionin Schrems-ratkaisun implikaatiot alkavat hiljalleen valjeta alan asiaan vihkiytyneille, mutta näyttäisi siltä, että ennen kuin EU:n komissio ja Yhdysvaltain viranomaiset saavat neuvoteltua ”Safe Harbor 2.0:n” tai muun korvaavan järjestelyn, yhtään juridisesti ongelmatonta tapaa siirtää henkilötietoja Yhdysvaltoihin käsiteltäviksi ei ole. Epätietoisuus ja huoli on suuri suomalaistenkin rekisterinpitäjien keskuudessa, kun toisaalta toiminnan jatkuvuus täytyisi taata, ja toisaalta viime aikoina on siirrytty suuressa mittakaavassa esimerkiksi erilaisten pilvipalvelujen käyttöön, jotka siirtävät rutiininomaisesti henkilötietoja käsiteltäväksi myös ison veden toiselle puolen.
Seuraavassa hieman pohdintaa siitä, mitä vaihtoehtoja tällä hetkellä on käytettävissä henkilötietojen siirtoon Yhdysvaltoihin, sekä riskeistä, jotka näihin keinoihin liittyvät. Näkökulmana on suomalainen rekisterinpitäjä, jonka tarkoituksena on ulkoistaa toimintaansa liittyvää henkilötietojen käsittelyä Yhdysvaltoihin, esimerkiksi erilaisiin pilvipalveluihin.
Sopimusten analysointi
Ennen vaihtoehtojen punnintaa on syytä joka tapauksessa käydä läpi henkilötietojen käsittelyn ulkoistamiseen ja pilvipalvelujen käyttöön liittyvät voimassa olevat sopimukset – mitkä sopimukset ovat sellaisia, joiden piirissä henkilötietoja saattaa siirtyä myös Yhdysvaltoihin? Mihin henkilötietolain kohtaan siirto perustuu – tukeudutaanko yksin Safe Harboriin riittävänä perusteena vai onko käytetty esimerkiksi EU:n komission hyväksymiä mallisopimuslausekkeita sopimuksen liitteenä? Jos siirtoperusteena on ainoastaan se, että Yhdysvalloissa on todettu olevan riittävä tietosuojan taso Safe Harbor -järjestelmän kautta, täytyy analysoida vaihtoehtoiset toimintatavat ja ryhtyä toimiin, sillä Safe Harbor ei enää ole pätevä siirtoperuste (ks. esimerkiksi EU:n komission tiedonanto 6.11.2015 sekä Tietosuojavaltuutetun linjaus 20.10.2015). On myös hyvä huomata, että kansallisilla tietosuojaviranomaisilla on Schrems-ratkaisun mukaan toimivalta tutkia yksittäisten henkilötietojen siirtojen hyväksyttävyys.
Käytettävissä olevat vaihtoehtoiset toimintatavat
Rekisteröidyn suostumukseen perustuva siirto
Henkilötietolain 23 § 1 momentin 1 kohdan mukaan henkilötietojen siirto EU:n ulkopuolelle, esimerkiksi Yhdysvaltoihin, on sallittua rekisteröidyn yksiselitteisellä suostumuksella. Vaikka kaikkien rekisteröityjen suostumuksen saaminen tällaista tiedonsiirtoa varten ei välttämättä ole käytännöllistä tai edes mahdollista, on sitä punnittava vaihtoehtona epävarmassa tilanteessa.
Ongelmaksi suostumuksen käytössä saattaa muodostua ensinnäkin se, että henkilötietolain vaatimuksia suostumukselle ei pystytä täyttämään asianmukaisesti. Henkilötietolain 3 §:n määritelmän mukaan rekisteröidyn suostumuksen on oltava vapaaehtoinen, yksilöity ja tietoinen tahdon ilmaisu. Jotta suostumus olisi pätevästi annettu, tulee rekisteröidyn siis mm. olla tietoinen siitä, mihin suostumuksensa antaa. Tämä tarkoittaa rekisterinpitäjän kannalta sitä, että rekisteröityjä olisi informoitava kaikista niistä käsittelytarkoituksista, joihin hän suostumuksensa antaa. Tilanteessa, jossa ei ole varmuutta siitä, milloin ja missä määrin yhdysvaltalaisten yritysten tulee luovuttaa henkilötietoja maansa tiedusteluviranomaisille, informoidun suostumuksen saaminen voi monesti olla käytännössä mahdotonta.
Toisaalta EU-tuomioistuimen keskeisenä perusteena Safe Harbor -järjestelmän pätemättömäksi julistamiselle Schrems-ratkaisussa oli nimenomaan se, että henkilötietojen päätyminen tiedonsiirron seurauksena myös Yhdysvaltojen tiedusteluviranomaisten massavalvonnan kohteeksi on EU:ssa turvattujen perusoikeuksien kannalta kestämätöntä. Rekisteröidyn suostumuksellakaan ei voida poistaa tätä todettua perusoikeuskonfliktia, koska rekisteröity ei voi pätevästi luopua omista perusoikeuksistaan. Tältä osin suostumuksen käytettävyys jäänee siis hyvin rajatuksi.
Mallisopimuslausekkeet
Vaikka mallisopimuslausekkeiden käyttö lienee Safe Harborin jälkeisenä aikana yleisimmin käytetty siirtoperuste ennen kuin tilannetta selkiytetään esim. Safe Harbor 2.0:n muodossa, piilee siinä sama perusongelma kuin itse Safe Harboriin tukeutumisessa.
Mallisopimuslausekkeinkaan ei nimittäin pystytä sivuuttamaan Yhdysvaltain lainsäädäntöä, joka velvoittaa luovuttamaan henkilötietoja massatiedustelutarkoituksiin. Mallisopimuslausekkeiden teho jää siis kiinni siitä, joutuuko siirronsaaja osallistumaan Yhdysvaltain nk. massatiedusteluohjelmaan. Mikäli ei osallistu, lienee mallisopimuslausekkeet keskimäärin hyvä valinta näissä tapauksissa.
Vaikka siirronsaaja osallistuisikin massatiedusteluohjelmaan, ei sopimuslausekkeiden käyttö jää täysin vaikutuksettomaksi verrattuna ainoastaan Safe Harboriin tukeutumiseen siirtoperusteena, sillä siirronsaaja sitoutuu toteuttamaan riittävää tietosuojaa suoraan suhteessa tiedonsiirtäjään, ja myös informoimaan tiedonsiirtäjää, mikäli siirronsaajaa koskeviin velvoitteisiin tulee muutoksia.[1] Mallisopimuslausekkein solmittu sopimus voidaan mallisopimuslausekkeiden 5 kohdan mukaisesti jopa irtisanoa, jos tiedonsiirtäjän tietoon tulee, että henkilötiedoilla ei olisikaan EU:n tietosuojadirektiivin edellyttämää riittävää suojaa. Tämän kaltainen tilanne voisi EU-tuomioistuimen viimeaikainen oikeuskäytäntö huomioiden olla esimerkiksi se, että käy ilmi, että tiedonsiirron saaja osallistuu Yhdysvaltain massatiedusteluohjelmaan.
Lisäksi mallisopimuslausekkeilla luodaan oikeuksia kolmansille osapuolille, tässä tapauksessa rekisteröidylle. Niiden tehokkuus jää kuitenkin epävarmaksi, esimerkiksi mahdollisesti sovellettavan pakottavan lainsäädännön vuoksi.
Muut siirtoperusteet
Henkilötietolaissa on myös muita siirtoperusteita, mutta jätämme ne tässä kohtaa käsittelemättä, niiden rajoitetun soveltuvuuden takia (BCR:t, sopimuslausekkein annetut takeet).
Miinakentän väistäminen
Vaihtoehtoinen, monessa tapauksessa potentiaalinen toimintatapa on rajoittua käyttämään sellaista palveluntarjoajaa, joka vakuuttaa käsittelevänsä sen ylläpidettäväksi siirrettyjä henkilötietoja vain EU:n alueella. Monet suuret, myös yhdysvaltalaiset palveluntarjoajat ovat jo aktivoituneet tarjoamaan tämän kaltaista palvelua EU:sta käsin toimiville rekisterinpitäjille. Näin voidaan lähtökohtaisesti välttää koko tässä käsitelty problematiikka. Aina näin ei kuitenkaan voida toimia ainakaan lyhyellä aikavälillä, käytännön syistä, taloudellisista syistä tai sopimusvelvoitteiden takia.
­­­­­­­­­­­­­­Summa summarum
  1. Analysoi tiedonsiirtosopimukset – siirretäänkö henkilötietoja Yhdysvaltoihin Safe Harboriin tukeutuen
  2. Analysoi vaihtoehtoiset toimintatavat ja siirry niistä tapauskohtaisesti soveltuvimpaan
  3. Tiedota asianosaisia muutoksista
  4. Seuraa EU:n komission tiedonantoja Safe Harborin korvaavasta järjestelystä
  5. Vaihtoehtoisesti siirry Euroopassa henkilötietoja käsitteleviin palveluntarjoajiin.


Salha Hanna
Mikko Viemerö


[1] 2010/87/EU: Komission päätös, annettu 5 päivänä helmikuuta 2010, Euroopan parlamentin ja neuvoston direktiivin 95/46/EY mukaisista mallisopimuslausekkeista henkilötietojen siirtoa varten kolmansiin maihin sijoittautuneille henkilötietojen käsittelijöille – lauseke 5(b)

Ei kommentteja:

Lähetä kommentti