Safe harbor no longer safe: henkilötietojen siirto USA:han – what to do?

EY - Safe harbor no longer safe

EU-tuomioistuin antoi 6.10.2015 tuomion, jolla katsottiin mitättömäksi ns. Safe harbor -järjestelmä. Järjestelmä on ollut voimassa yli 15 vuoden ajan ja mahdollistanut sujuvasti eurooppalaisten henkilötietojen siirron USA:han, jos vastaanottava yhdysvaltalainen yritys oli liittynyt Safe harbor -järjestelmään ja sitoutunut noudattamaan sen tietosuojavaatimuksia. – Mitä suomalaisen yrityksen pitäisi siis tehdä tässä asiassa juuri nyt?


Järjestelmä on ollut erittäin keskeinen työkalu, jolla on mahdollistettu henkilötietojen käsittelyä edellyttävä liiketoiminta USA:n ja EU:n välillä. Tämä järjestely on ollut erittäin yleinen ja sen mukaisesti on toiminut yli 4.000 yritystä – kuten esimerkiksi Google, Microsoft, Twitter ja Amazon.

EU-tuomioistuin päätti edellä mainitulla tuomiollaan, että USA:n tietosuojalainsäädäntö ja Safe harbor -järjestelmä eivät vastaa EU:n tietojasuojalainsäädännön vaatimuksia, koska ne sallivat käytännössä laajamittaisen viranomaisseurannan yhdysvaltalaisille organisaatioille siirrettyihin henkilötietoihin ja sähköisen viestinnän tietoihin.

EU-tuomioistuimen antama Safe harbor -järjestelmän mitätöivä tuomio koskee siis monia suomalaisiakin yrityksiä, jotka käyttävät ns. Safe harbor -yritysten pilvi- tai muita palveluja ja siirtävät niille EU:n kansalaisten henkilötietoja. Suomalaisten ja muiden eurooppalaisten yritysten on siten harkittava, missä määrin ja millä edellytyksillä ne voivat käyttää jatkossa näiden ns. Safe harbor -yritysten palveluja.

Selventääkseen tilannetta EU:n tietosuojaviranomaisten yhteistyöelin (Article 29 Working Party) antoi oman ohjeensa päätöksen johdosta 16.10.2015. Sen mukaan Safe harbor -järjestelmään perustuva tietojen siirto on nyt laitonta, mutta henkilötietoja voidaan toistaiseksi siirtää USA:han käyttämällä komission hyväksymiä mallisopimuslausekkeita.

Ongelmana on kuitenkin, että mallilausekkeiden ja muiden sopimusehtojen käyttö ei estä USA:n viranomaisten harjoittamaa valvontaa. Yhdysvaltalaisten yritysten on sallittava viranomaisille pääsy eurooppalaisten henkilötietoihin USA:n sisäisen lainsäädännön nojalla riippumatta siitä, mitä yhdysvaltalaiset yritykset sopivat eurooppalaisten yritysten kanssa. Ennen pitkää EU:n tietosuojaviranomaisten on pakko puuttua myös tähän. Nyt ne päättivät vielä odottaa, että EU ja USA löytävät poliittiset, juridiset ja tekniset ratkaisut tilanteeseen 31.1.2016 mennessä, ennen kuin ne puuttuvat muuten kuin Safe harbor -järjestelmän perusteella tapahtuvaan tietojen siirtoon.

Paine ratkaisun löytymiseen on kova. USA:ssa lainsäädännöllistä painetta kasvattavat teknologiajättiläiset Facebook, Google, IBM, Microsoft ja Yahoo etunenässä. Ne vaativat yhteisellä kirjeellä 15.10.2015 USA:n edustajainhuonetta hyväksymään Juridical Redress Actin, jolla eurooppalaisille taattaisiin sama tietosuoja kuin yhdysvaltalaisille. Niiden mielestä USA:n elinkeinoelämän kilpailukyvyn kannalta luottamuksen palauttaminen on elintärkeää. Samaan aikaan jatkuvat neuvottelut uudesta Safe harbor -järjestelmästä.

Mitä suomalaisen yrityksen pitäisi siis tehdä juuri nyt? Google lähestyi asiakkaitaan ja ilmoitti odottavansa lisätietoja Euroopan komissiolta ja tietosuojaviranomaisilta sekä nopeita tuloksia Safe harbor -järjestelmää koskevista neuvotteluista. Se ilmoitti myös nopeuttavansa mallilausekkeiden laatimista pilvipalveluitaan ja muita tuotteitaan varten sekä pitävänsä asiakkaansa ajan tasalla tulevasta kehityksestä. EU:n tietosuojaviranomaiset puolestaan ilmoittivat aloittavansa asiaa koskevat kansalliset viestintähankkeet.

Suomalaisen yrityksen on siten syytä selvittää, koskeeko ongelma ylipäätään ko. yritystä eli käsitelläänkö yrityksen asiakkaiden, työntekijöiden tai muiden edustajien henkilötietoja USA:ssa ja jos käsitellään, niin miten siirron lainmukaisuudesta on huolehdittu.

Ulla Riekki


Ulla RiekkiUlla Riekki

email

Senior legal counsel, varatuomari Ulla Riekki on EY:n lakipalveluiden liikejuristi, jolla on yli 15 vuoden kokemus liikejuridiikasta. Hän palvelee suomalaisia ja kansainvälisiä yrityksiä sekä yritysten omistajia ja edustajia erityisesti sopimus- ja työoikeuden, IPR-asioiden ja yritysjärjestelyiden parissa. Ullalla on vankkaa osaamista myös riitojen ratkaisuissa ja sovittelussa.


Vastaa

Täytä tietosi alle tai klikkaa kuvaketta kirjautuaksesi sisään:

WordPress.com-logo

Olet kommentoimassa WordPress.com -tilin nimissä. Log Out / Muuta )

Twitter-kuva

Olet kommentoimassa Twitter -tilin nimissä. Log Out / Muuta )

Facebook-kuva

Olet kommentoimassa Facebook -tilin nimissä. Log Out / Muuta )

Google+ photo

Olet kommentoimassa Google+ -tilin nimissä. Log Out / Muuta )

Muodostetaan yhteyttä palveluun %s