Ads 468x60px

keskiviikko 13. heinäkuuta 2016

Privacy Shield -järjestelylle Euroopan komission hyväksyntä


Euroopan unionin ja Yhdysvaltojen välillä tapahtuvaa henkilötietojen siirtoa ravisteleva muutosprosessi on edennyt jälleen uuteen vaiheeseen, kun Euroopan komissio hyväksyi eilen Privacy Shield -järjestelyn, johon yritykset voivat sitoutua 1. elokuuta alkaen. Privacy Shieldin tarkoituksena on toimia korvaajana Euroopan unionin tuomioistuimen lokakuussa 2015 Schrems-ratkaisussaan kumoamalle Safe Harbor -järjestelylle (lue kirjoituksemme Safe Harborin kumoutumisesta täältä).
Privacy Shield -järjestelyn tavoite on alusta alkaen ollut selvä: Euroopan komission ja Yhdysvaltain välisissä neuvotteluissa pyrittiin saamaan aikaan lopputulos, joka takaisi molemmille mantereille elintärkeän tietojensiirron jatkuvuuden, ja samaan aikaan antaisi Safe Harboria paremmat takeet eurooppalaisten henkilötietojen suojaamiseksi. Neuvotteluprosessi ei ole ollut helppo kummallekaan osapuolelle. Ei ole liioittelua todeta, että eurooppalaisten luottamus henkilötietojen suojaan Yhdysvalloissa on ollut alamäessä aina Edward Snowdenin vuonna 2013 tekemistä paljastuksista lähtien. Tällöin kävi ilmi, että myös Safe Harbor -järjestelmän noudattamiseen sitoutuneet yhtiöt ovat olleet osallisina Yhdysvaltain viranomaisten harjoittamassa laajamittaisessa tiedustelutoiminnassa.
Logiikaltaan Privacy Shield muistuttaa edeltäjäänsä: Safe Harborin tapaan se perustuu periaatteille, joita siihen osallistuvat yritykset sitoutuvat noudattamaan saavuttaakseen eurooppalaisittain riittävän tietosuojan tason. Privacy Shieldin periaatteet koskevat sekä rekisterinpitäjää että henkilötietojen käsittelijää, ja pääpiirteissään ne tiivistävät eurooppalaiselle tietosuojasääntelylle olennaisimpia vaatimuksia. Privacy Shield -järjestelyyn sitoutunut yritys on velvoitettu valvomaan järjestelyn noudattamista joko organisaation sisäisesti tai ulkoista vaatimustenmukaisuuden arvioijaa käyttäen.
Euroopan komission lehdistötiedotteen mukaan Privacy Shieldin myötä vaatimukset riittävän tietosuojan takaamiseksi järjestelyyn sitoutuville yhtiöille tiukentuvat merkittävästi Safe Harboriin verrattuna. Privacy Shield kiristää esimerkiksi tietojen edelleen siirtämistä kolmansille osapuolille koskevia edellytyksiä sekä asettaa entistä selkeämmät rajat tietojen säilytysajoille.
Privacy Shield pyrkii edeltäjäänsä tehokkaammin paitsi rajaamaan henkilötietojen käsittelyä, myös parantamaan järjestelyn noudattamiseen liittyvää valvontaa. Ensinnäkin Privacy Shield rajoittaa yhdysvaltalaisten viranomaisten pääsyä eurooppalaisiin henkilötietoihin, jotta vuonna 2013 paljastunut kohdentamaton ja laajamittainen eurooppalaisten henkilötietojen valvonta ei toistuisi ainakaan Privacy Shield -järjestelyn puitteissa. Privacy Shield ei kuitenkaan poista eurooppalaisten henkilötietojen valvontaa kokonaisuudessaan: komission mukaan tietoja voidaan kerätä valikoimattomasti tietyin ennakkoehdoin, ja tietojen keruun on oltava mahdollisimman kohdennettua ja keskitettyä.  Lisäksi Yhdysvaltojen kauppaministeriö saa yleisemmän toimivallan suorittaa järjestelyyn osallistuvia yrityksiä koskevia säännöllisiä tarkasteluja varmistaakseen, että yritykset noudattavat Privacy Shieldin vaatimuksia.
Tehokkaamman valvonnan lisäksi Privacy Shieldin myötä voimaan astuu uusia oikeussuojakeinoja. Yhdysvaltojen ulkoasiainministeriöön perustettavan oikeusasiamiesmekanismin avulla toteutetaan oikeussuojaa silloin kun oikeussuojan tarve liittyy kansalliseen tiedusteluun. Lisäksi EU:n kansalaiset voivat tukeutua erilaisiin uusiin riitojenratkaisumekanismeihin epäillessään henkilötietojensa väärinkäytöksiä Privacy Shield -järjestelyn puitteissa. EU:n kansalainen voi esimerkiksi ottaa yhteyttä kansalliseen tietosuojaviranomaiseen, joka varmistaa yhdessä Yhdysvaltojen liittovaltion kauppakomission kanssa henkilön valituksen tutkinnan ja edistää ratkaisun löytymistä. Viimesijaisesti henkilötietojen väärinkäytöksiin liittyvät erimielisyydet voidaan ratkaista myös välimiesmenettelyssä.
Mitä Privacy Shield sitten tarkoittaa käytännössä niille yrityksille, jotka siirtävät tai aikovat siirtää henkilötietoja Yhdysvaltoihin? Lukuisat yritykset ovat painineet saman aiheen kanssa jo lokakuusta 2015 asti, kun Safe Harboriin perustuville henkilötietojen siirroille oli kertaheitolla etsittävä korvaava laillinen peruste. Vaikka yritykset voivat jatkossa tukeutua halutessaan täysin Privacy Shield -järjestelyyn, myös muut mekanismit henkilötietojen siirrolle EU:n ja Yhdysvaltojen välillä on suositeltavaa pitää pöydällä vaihtoehtoja kartoitettaessa. Vaihtoehtoisia mekanismeja Safe Harborille on pohdittu tarkemmin muun muassa tässä blogissa julkaistussa kirjoituksessa, ja se soveltuu hyvin myös Privacy Shield -järjestelyn vaihtoehtojen kartoittamiseen. Euroopan komission hyväksymät mallisopimuslausekkeet lienevät tällä hetkellä yleisin ja suositelluin henkilötietojen siirtoperuste EU:n ja Yhdysvaltojen välillä, joskaan eivät täysin vailla riskejä. 
Privacy Shieldin etuja ja haittoja punnitessa on syytä huomioida, että järjestely on ollut kovan kritiikin kohteena sen ensimmäisistä luonnosversioista lähtien. Vaikka Privacy Shield ottaa käyttöön edeltäjäänsä tiukemmat otteet eurooppalaisten tietosuojan parantamiseksi, yleinen huoli on, ettei järjestely kykene tosiasiassa takaamaan riittävää tietosuojan tasoa. Privacy Shield -järjestelyn tehokkuus lieneekin tulevina vuosina Euroopan komission erityisen tarkan seurannan alla.
Privacy Shieldin lopullinen teksti on luettavissa täällä.

Ei kommentteja:

Lähetä kommentti