Edellisessä blogikirjoituksessamme esittelimme EU:n tuomioistuimen päätöksen Safe Harbor -järjestelyn mitätöitymisestä. Päätös tarkoittaa, että eurooppalaisten henkilötietoja ei saa tämänhetkisen tiedon valossa siirtää Yhdysvaltoihin Safe Harbor -järjestelyn puitteissa. Suomen tietosuojavaltuutettu ei ole vielä antanut suosituksia päätöksen johdosta, mutta tällä hetkellä henkilötietoja ei saa toimittaa Yhdysvaltoihin ilman erillistä kahdenvälistä sopimusta henkilötietojen käsittelystä (mallisopimuslausekkeet, model clauses).
Safe Harbor -järjestelystä pätemätön? osa 1/2
Lokakuu 6, 2015 at 10:30
Henkilötietojen siirto Euroopan unionin ulkopuolelle on sallittua vain tilanteissa, joissa pystytään varmistamaan riittävä tietosuojan taso myös kohdemaassa. Joidenkin maiden osalta EU on tehnyt päätöksen siitä, että paikallinen tietosuojalainsäädäntö on riittävän kattava, jotta eurooppalainen tietosuojan taso voi ko. maassa toteutua.
Toisin kuin Euroopassa, Yhdysvalloissa ei kuitenkaan ole yleistä tietosuojalainsäädäntöä ja Yhdysvaltojen osalta onkin jo vuosia ollut käytössä ns. Safe Harbor -järjestely (eräänlainen turvasatama). EU ja Yhdysvallat ovat yhdessä luoneet menettelytavat, joilla on pyritty takaamaan riittävä tietosuojan taso Yhdysvaltoihin siirrettyjen henkilötietojen suojaamiseksi.
Järjestelyn avulla on siis pyritty varmistamaan riittävä tietosuojan toteutuminen tilanteissa, joissa eurooppalaisten henkilötietoja käsittelee yhdysvaltalainen yritys, siitä huolimatta että paikallinen tietosuojalainsäädäntö ei välttämättä ko. toimijaa velvoitakaan.
Safe Harbor -järjestely pohjautuu ajatukseen, että henkilötietojen suoja on riittävällä tasolla, jos yhdysvaltalainen toimija (tietojen vastaanottaja) on julkisesti sitoutunut noudattamaan Yhdysvaltojen kauppaministeriön (US Department of Commerce) ja EU:n komission hyväksymiä yksityisyyden suojaa koskevia Safe Harbor -periaatteita. Niiden mukaan organisaation on mm. ilmoitettava mihin tarkoitukseen tietoja kerätään sekä tarjottava rekisteröidyille oikeudet tietojen tarkastamiseen ja korjaamiseen. Lisäksi organisaation on myös huolehdittava tietoturvasta.
Tiistaina 6.10.2015 EU:n tuomioistuin kuitenkin katsoi, että EU:n ja Yhdysvaltojen välinen Safe Harbor -sopimus on mitätön. Mitä tämä siis tarkoittaa ja mitä oikein tapahtui?
Facebook-vallankumouksesta Safe Harbor -järjestelyn kumoamiseen
Itävaltalainen Max Schrems kyllästyi vuonna 2010 Facebookin tapaan kerätä ja hyödyntää käyttäjiensä tietoja ja pyysi Facebookilta kaikki tiedot, mitä se on hänestä kerännyt. Kerätty tietomäärä oli valtava – Maxille lähetettiin yli 1200-sivuinen pdf-dokumentti sisältäen kaiken mahdollisen, mitä hän oli Facebookissa tehnyt. Dokumentti sisälsi myös tietoja, jotka Schrems oli kuvitellut jo poistaneensa.
Schrems päätti vuonna 2013 Edward Snowdenin tekemien paljastuksien innoittamana kyseenalaistaa koko Safe Harbor -järjestelyn ja pyysi Irlannin tietosuojaviranomaisia selvittämään tietojen siirtymisen yrityksen palvelimilta Irlannista Yhdysvaltoihin. Irlannista asia eteni EU:n tuomioistuimeen.
EU:n tuomioistuimen päätös [.pdf] toteaa Safe Harbor -järjestelyn pätemättömäksi, sillä se ei ota riittävästi huomioon yksilöiden perusoikeuksiin kuuluvaa yksityisyyden suojaa. Järjestelyn ei katsota suojaavan riittävästi EU-maiden kansalaisia, sillä Yhdysvaltain viranomaiset pääsevät heidän tietoihinsa hyvin laajasti käsiksi. Lisäksi yksilöillä ei päätöksen mukaan ole riittäviä keinoja päästä käsiksi itseään koskeviin henkilötietoihin, tai vaatia näiden tietojen korjaamista tai poistamista.
Mikä sitten muuttuu vai muuttuuko mikään?
Safe Harbor -järjestelyn mitätöityminen merkitsee, että ko. järjestely ei enää sellaisenaan ole riittävä ja hyväksyttävä tae siirrettävien tietojen turvallisuudesta. Jää nähtäväksi, millaista uutta sääntelyä Safe Harbor -järjestelyn tilalle tulee, vai ohjataanko yhdysvaltalaiset toimijat enenevässä määrin säilyttämään tiedot Euroopassa.
Äkkiseltään vaikuttaa, että päätöksellä voi olla sekä positiivisia että negatiivisia vaikutuksia:
- Safe Harbor -järjestelyn purkautuminen voi tarkoittaa yksilön tietosuojan kannalta kehitystä parempaan suuntaan, sillä järjestely on pohjautunut yhdysvaltalaisten yritysten omaan ilmoitukseen Safe Harbor -periaatteiden noudattamisesta, joiden todentaminen on käytännössä ollut hyvin vaikeaa.
- Lisäksi päätös voi aiheuttaa lisää hallinnollista ja sopimuksellista taakkaa yrityksille, jotka siirtävät henkilötietoja EU:n ja Yhdysvaltojen välillä.
Mikä sitten tulee olemaan palveluntuottajien asema yhdysvaltalaisen ja eurooppalaisen lainsäädännön puristuksessa? Onko mahdollista, että yhdysvaltalaiset viranomaiset pystyvät vaatimaan haluamansa tiedot Euroopassa sijaitsevilta palvelimiltakin? Joutuvatko siis Yhdysvalloissa toimivat yritykset kohtaamaan ristiriitaisia vaatimuksia ja jopa luovuttamaan tiedot viranomaisille eurooppalaisesta lainsäädännöstä huolimatta?
Luovutuskäytäntöihin ei tälläkään hetkellä ole ollut selkeää toimintatapaa, esimerkkinä Microsoft, joka on jo saanut yhdysvaltalaiselta oikeudelta päätöksen luovuttaa sähköposteja Irlannissa sijaitsevasta palvelinkeskuksesta. Microsoft on kuitenkin vastustanut päätöstä ja ilmoittanut, että ei suostu luovuttamaan tietoja.
Käytännön vaikutukset tietosuojasääntelyyn selviävät myöhemmin. Tulossa oleva EU:n tietosuoja-asetus ja sitä tarkentavat määräykset toivottavasti tuovat selkeyttä sallittuihin toimintatapoihin.
Blogikirjoituksen ovat laatineet Nixun tietosuojapalveluista vastaavaan tiimiin kuuluvat Harri Vilander, Kirsi Vesterinen ja Sanna Kuikka.