Ajankohtaisia kuulumisia tietosuojasta - muutoksia henkilötietojen siirroissa
Henkilötietojen siirto Euroopan talousalueelta kolmansiin maihin, ja erityisesti Yhdysvaltoihin, vaatii aina harkintaa, ja asianmukaisten siirtoperusteiden osoittamista.
Henkilötietoja saa siirtää Euroopan talousalueeseen kuuluvaan maahan samoilla perusteilla kuin Suomen sisällä.
Kun henkilötietojen siirto tapahtuu Euroopan talousalueen ulkopuolelle, jonkin kolmesta tietosuoja-asetuksen määrittämästä siirtoperusteen edellytyksestä tulee täyttyä.
- Euroopan komission päätös, että kyseinen maa varmistaa riittävän tietosuojan tason.
- Henkilötietojen siirrossa on asianmukaiset suojatoimet, esimerkiksi vakiolausekkeet ja organisaatioita koskevat sitovat säännöt.
- Kyseessä on rajoitettu erityistilanne, joihin on saatu poikkeuslupa.
Henkilötietojen tiedonsiirroksi Euroopan talousalueen ulkopuolelle katsotaan kuuluvan myös tilanne, jossa EU:n sisällä säilytettävään dataan on vain avattu tekninen käyttöyhteys EU:n ulkopuolelle.
Viime vuosien aikana nimenomaan toinen siirtoperustekohta, lähinnä vakiolausekkeiden käyttö, on ollut kattavasti käytössä organisaatioissa. Euroopan tietosuojaneuvosto EDPB julkaisi 11/2020 uuden suosituksensa täydentävistä suojatoimista. Vakiolausekkeita ollaan olennaisilta osin täydentämässä parhaillaan. Euroopan johtava tietosuojavaltuutettu on ilmoittanut, että organisaatioiden tulisi toistaiseksi välttää tietojen siirtoa Euroopan talousalueen ulkopuolelle.
Tosiasia kuitenkin on, että nykyaikana pilvipalveluiden käytöstä ei ole enää paluuta vanhaan käytäntöön. Siksi kannattaa kiinnittää huomiota siihen, missä maassa pilvipalveluissa talletettava data aktuaalisesti sijaitsee. Organisaation on oltava selvillä siitä, mitä dataa siirretään ja minne, ja on hyvä miettiä myös, miten omalle datalle varmistetaan oma, riittävä kontrolli. Riskianalyysi on avainasemassa henkilötietojen käsittelyä suunniteltaessa. erityisesti kannattaa miettiä, minkälaisin sopimuksellisien ehdoin ulkopuolisia palveluita hankitaan.
Yhdysvaltojen osalta tilanne on ollut erittäin epäselvä sen jälkeen, kun 07/2020 EU:n tuomioistuin kumosi EU:n ja Yhdysvaltojen välisen Privacy Shield -järjestelyn, koska se ei antanut riittävää takuuta siihen, että henkilötiedoille taataan Yhdysvalloissa EU:n tietosuojaa vastaava taso. Yhdysvaltojen osalta tämänhetkiset mallilausekkeet eivät riitä turvaamaan tietosuojan tasoa.
Suomessa ei asiasta ole vielä tehty oikeuspäätöksiä, mutta esimerkiksi Saksassa on 03/2021 tehty päätös, että henkilötietojen siirto yhdysvaltalaiselle Mailchimpille on lainvastaista, koska palvelu on luonteeltaan sellainen, että tieto siirtyy USAan, ja on siis myös USAn viranomaisten käsittelyn piirissä.
Tarvitsetko apua henkilötietojen siirtoihin liittyvään selvitykseen?
Varaa aika jutellaksesi asiantuntijamme kanssa! Saat konkreettisia neuvoja sekä vinkkejä toimenpiteisiin ja toimintatapoihin liittyen.
Kaarina Limingoja
CIPP/E, CIPM