Ads 468x60px

perjantai 9. lokakuuta 2015

Euroopan unionin tuomioistuimen Schrems-ratkaisu ravistelee henkilötietojen siirtojen perusteita EU:n ja Yhdysvaltojen välillä


Euroopan unionin tuomioistuin (EUT) antoi henkilötietojen siirtoa Yhdysvaltoihin koskevan mullistavan ratkaisun 6. lokakuuta 2015 tapauksessa Schrems (C-362/14). Ratkaisussaan EUT totesi, että Yhdysvaltojen ja EU:n sopimukseen perustuva Safe Harbor -järjestelmä, jonka puitteissa on tähän asti voitu siirtää henkilötietoja EU:n alueelta Yhdysvaltoihin, ei takaa riittävää tietosuojan tasoa. EUT totesi myös pätemättömäksi Euroopan komission aiemman päätöksen, jossa katsottiin tietosuojan tason olevan riittävä silloin, kun henkilötiedot siirretään Safe Harbor -järjestelmän puitteissa. Tuomioistuimen ratkaisun vaikutukset ovat vielä osin epäselvät, mutta on selvää, että EUT:n uusi tulkinta vaikuttaa kaikkien niiden toimijoiden toimintaan, jotka siirtävät henkilötietoja EU:sta Yhdysvaltoihin. Uuden tulkinnan seurauksena sopimukset, käytänteet ja vaatimus henkilötietojen käsittelyn huolellisesta suunnittelusta korostuvat entistä enemmän. 

Henkilötietojen siirto EU:sta Yhdysvaltoihin on aiemmin perustunut Safe Harbor -menettelyyn
Henkilötietojen siirtäminen EU:n alueelta Yhdysvaltoihin on tähän EUT:n ratkaisuun asti ollut mahdollista Euroopan komission päätöksen 2000/520 nojalla. Tässä päätöksessään komissio totesi, mitkä EU:n tai ETA:n ulkopuoliset valtiot takaavat riittävän tietosuojan tason siten, että niihin voidaan siirtää henkilötietoja EU:n alueelta ilman erillisiä takeita. Henkilötietojen siirto Yhdysvaltoihin on komission päätöksen mukaan ollut mahdollista silloin, kun tietoja vastaanottava yhtiö on sitoutunut ns. Safe Harbor -järjestelmän puitteissa noudattamaan tämän järjestelmän periaatteita. Vuonna 2013 Edward Snowdenin paljastusten jälkeen kävi kuitenkin ilmi, että mm. myös Safe Harboriin rekisteröityneet yhtiöt ovat olleet osallisina Yhdysvaltain viranomaisten harjoittamassa laajamittaisessa tiedustelutoiminnassa ja siten myös niihin EU:sta siirretyt henkilötiedot ovat olleet Yhdysvaltain PRISM-tiedusteluohjelman kohteina. EUT:n tutkittavaksi tulikin Schremsin valituksen kautta, takaako Safe Harbor näiden uusien tietojen valossa EU:n tietosuojadirektiivissä (95/46/EY) tarkoitettua riittävää tietosuojan tasoa silloin, kun EU:n alueelta siirretään henkilötietoja Yhdysvaltoihin.

Euroopan unionin tuomioistuimen ratkaisu muuttaa tilanteen henkilötietojen siirroissa
EUT katsoi nyt antamassaan ratkaisussa ensinnäkin, että aiempi komission päätös, jossa henkilötietoja saatiin siirtää Safe Harbor -järjestelmän puitteissa Yhdysvaltoihin, ei ole pätevä. Perusteluissa EUT toteaa mm., että komission päätös mahdollisti sellaisen Yhdysvaltain viranomaisten puuttumisen henkilötietojen siirron kohteena olevien ihmisten EU:n oikeudessa turvattuihin perusoikeuksiin tavalla, joka ylitti sen, mikä olisi ollut oikeutettu kansallisen turvallisuuden suojelemisen intressissä. EUT katsoi edelleen, että EU:n jäsenvaltion kansallisella tietosuojaviranomaisella on komission päätöksestä huolimatta yhä itsenäinen oikeus tutkia, toteutuuko riittävä tietosuojan taso sellaisessa kohdemaassa, johon siirretään tietoja EU:n alueelta. Näin ollen EUT:n antaman ratkaisun seurauksena Irlannin tietosuojaviranomaisen on tutkittava Schremsin Facebookia kohtaan esittämä väite siitä, että hänen henkilötietonsa eivät ole riittävällä tavalla suojatut Facebookin siirtäessä hänen tietojaan EU:n alueelta Yhdysvaltoihin.

Ratkaisun merkitys suomalaisille organisaatioille
EU:n alueella toimii useita yhdysvaltalaisia internet-yhtiöitä, jotka siirtävät jatkuvasti suuria massoja eurooppalaisten henkilötietoja käsiteltäväksi niiden Yhdysvalloissa sijaitseville palvelimille Safe Harbor-järjestelmän puitteissa. Koska henkilötietojen siirto nykymuotoisen Safe Harbor -järjestelmän puitteissa ei enää Schrems-ratkaisun johdosta näytä olevan mahdollista, riittävä tietosuojan taso on saavutettava muilla keinoin, jotta siirto voidaan toteuttaa. Vaikka EUT:n arvioitavana oleva tapaus koskee nimenomaan Facebookia, ratkaisun merkitys kohdistuu myös muihin EU:n alueelta Yhdysvaltoihin henkilötietoja siirtäviin yhtiöihin, kuten esimerkiksi Googleen, Microsoftiin, Appleen ja muihin yhdysvaltalaisiin palveluntarjoajiin.

Schrems-ratkaisulla on yksittäisten internetpalvelujen käyttäjien lisäksi vaikutusta myös suomalaisiin yrityksiin, jotka siirtävät henkilötietoja Yhdysvaltoihin esimerkiksi yhdysvaltalaisen alihankkijan käsiteltäväksi. Kuten todettu, EUT totesi ratkaisussaan, ettei tietojen siirtäminen EU:sta Yhdysvaltoihin enää ole mahdollista Safe Harbor -järjestelmän puitteissa eli nojautuen komission päätökseen 2000/520, johon viitataan myös henkilötietolain 22a §:ssa. Siksi ratkaisun jälkeen riittävä tietosuojan taso on taattava muilla direktiivissä ja henkilötietolaissa säädetyillä keinoilla. Tällaisista poikkeusperusteista on säädetty henkilötietolain 23 §:ssä ja niihin kuuluvat mm. komission vahvistamien ennalta määrättyjen mallisopimuslausekkeiden käyttäminen tai riittävät takeet henkilöiden yksityisyyden ja oikeuksien suojasta takaavien sopimuslausekkeet käyttäminen rekisterinpitäjän ja siirronsaajan välillä.

Henkilötietojen siirto ns. kolmanteen maahan on näiden poikkeusperusteiden mukaisesti yhä mahdollista myös silloin, jos kaikki rekisteröidyt antavat yksiselitteisen ja informoidun suostumuksensa henkilötietojensa siirtoon. Näyttää siltä, että tällainen kvalifioitu rekisteröidyn suostumus on EUT:n ratkaisun seurauksena käytännössä toistaiseksi varmin keino varmistaa tiedonsiirron laillisuus. Koska suostumusten kerääminen voi kuitenkin käytännössä osoittautua hankalaksi, yritysten olisikin suositeltavaa tarkistaa henkilötietojen siirtoa koskevat sopimusehtonsa yhdysvaltalaisten palveluntarjoajien kanssa ja tarvittaessa ryhtyä neuvotteluihin ja muihin toimiin riittävän tietosuojan takaamiseksi. 

Salha Hanna
Mikko Viemerö
Ilkka Vuorenmaa

Ei kommentteja:

Lähetä kommentti