Safe Harbourista tuli Privacy Shield

Hieman yllättäen tiistaina 2.2.2016 illalla Euroopan komissio ilmoitti, että viime vuoden lokakuussa kaatunut Safe Harbor korvataan uudella “Privacy Shield” -mekanismilla. Neuvottelut osapuolten välillä olivat käyneet viime viikkoina varsin kuumana ja jatkuneet koko viime viikonlopun yli.

Ilmoitus oli siksi yllättävä, että vielä viikonloppuna koko järjestelmän kohtalo oli hämärän peitossa. EU:n tietosuojaviranomaiset olivat antaneet komissiolle ja Yhdysvaltojen hallitukselle aikaa tammikuun loppuun saakka, eikä sunnuntaina sopimusta ollut vielä syntynyt.

Komission mukaan Privacy Shield sisältää seuraavat elementit:

  • Yhdysvaltalaisten yritysten on sitouduttava vaativiin tietojen käsittelyä koskeviin periaatteisiin (jotka ilmeisesti noudattavat EU:n tietosuoja ja perusoikeusperiaatteita) ja myös mahdollisiin oikeustoimiin Yhdysvalloissa. Lisänä tässä on se, että yritykset, jotka käsittelevät “human resource dataa” eli esimerkiksi palkkatietoja tai muita henkilöstöjärjestelmissä olevia tietoja, sitoutuvat noudattamaan EU:n tietosuojaviranomaisten päätöksiä
  • Yhdysvallat on antanut vakuutuksen siitä, että viranomaisilla ei ole enää rajoittamatonta pääsyä eurooppalaisten henkilötietoihin ja että viranomaisten tietojensaantia on rajoitettu. Tässä mielenkiintoista on se, että kyseinen vakuutus on annettu kirjeen muodossa.
  • EU:n kansalaisilla on mahdollisuus valittaa heihin kohdistuvasta tietojen käsittelystä. Ensisijaisesti valitus olisi kohdistettava tietoja käsittelevälle yhtiölle ja se olisi käsiteltävä tietyssä määräajassa. Toissijaisesti valituksen voi tehdä myös paikalliselle EU:n tietosuojaviranomaiselle, jolla on on oikeus vedota Yhdysvaltojen kauppaministeriöön tai paikalliselle tietosuojaviranomaiselle FTC:lle. Valitusmenettely on “maksutonta” (“low cost”).
  • Asiaa valvomaan perustetaan oma “oikeusasiamies” eli “ombudsman”
  • Järjestelyn toimivuutta tullaan tarkastelemaan vuosittain
  • Yritysten sitoumusten toteutumista tullaan valvomaan entistä vahvemmin
  • Mekanismin voimaantulo tapahtunee seuraavan kolmen kuukauden aikana

Ylläoleva on vielä varsin hatara yleistys itse järjestelystä ja tietenkin tarkempi tutustuminen itse juridiseen tekstiin on paikallaan, kunhan sellainen on saatavilla.

Näyttökuva 2016-02-02 kello 22.39.22

Muutamia huomioita:

  • Valitusmekanismi on tervetullut, mutta vaikuttaa erittäin monimutkaiselta ja sen teho on täysi arvoitus., Mitä muuta EU:n viranomainen voi kuin odotella FTC:n tekevän päätöksiä? Useampi kommentaattori on jo maininnut, että FTC:llä ei ole valmiuksia käsitellä tällaisia valituksia vaan pystyy valvomaan lähinnä “strategisella tasolla”
  • Kirjeen pätevyys valtioiden välisenä sopimuksena ja juridisena asiakirjana. Olisi erittäin mielenkiintoista nähdä itse kirjeen teksti. Todetaanko siinä, että Yhdysvallat ei enää koskaan tee massavalvontaa? Miten kauan kirje on voimassa? Moni on epäillyt että kirjeen vaikutus lakkaa seuraaviin vaaleihin Yhdysvalloissa
  • On myös epäselvää, miten tietojen siirto Yhdysvaltojen ulkopuolelle tullaan sääntelemään ja ottaako siirtävä yritys tästäkin vastuun
  • Oikeusasiamiehen toiminta- ja valvontavalta on avainasemassa ja siitä ei ole vielä tarkkoja tietoja.
  • Uusi Privacy Shield mekanismi ei ilmeisesti ole sopimus vaan  “polittinen sopimus” ja “järjestely”, kuten komission tiedotteessa todetaan (kursiivi kirjoittajan):

“…political agreement reached and has mandated Vice-President Ansip and Commissioner Jourová to prepare the necessary steps to put in place the new arrangement…

Seuraavaksi komission on tehtävä päätös koskien uutta Privacy Shield -mekanismia. Tällä päätökselllä “varmistetaan” EU:n näkökulmasta, että Privacy Shieldiä noudattamalla taataan tietosuojadirektiivin vaatima riittävä tietosuojan ja tietoturvan taso. (ns. “adequacy decision”). Tällainen päätöshän oli siis myös aiempi Safe Harbor -päätös, jonka EU:n tuomioistuin kumosi lokakuussa.

Näyttökuva 2016-02-02 kello 22.43.13

Näyttökuva 2016-02-02 kello 23.47.43

Emperor

Lisäksi EU:n tietosuojaviranomaisten yhteistyöelin Article 29 Working Party tulee arvioimaan Privacy Shieldin pätevyyden. Tältä osin on hyvä huomata, että yksi Safe Harbor -päätöksen suurista linjanvedoista oli se, että paikallisen viranomaisen ei tarvitse noudattaa komission linjausta, vaan sillä on oikeus arvioida tietosuojan taso itse. Eli riskinä on, että jokin paikallinen viranomainen ei noudatakaan komission päätöstä ja tällaisesta on ollut viitteitä muun muassa Saksassa.

Komission tiedote

HS:n juttu aiheesta

Ylen juttu aiheesta

Guardianin juttu aiheesta

Mielenkiintoinen analyysi järjestelystä

Toinen mielenkiintoinen analyysi

USA:n kauppaministeriön tiedote

Heti tuoreeltaan Twitterissä monet alan mielipidevaikuttajat totesivat ratkaisun torsoksi:

Ja hankkeen puolustajat olivat tietenkin toista mieltä:

 

Published by

Panu Pökkylä

Blogger, enterpeneur and a senior legal counsel at Nordea. Certified Information Privacy Professional / Europe (CIPP/E). I write in Finnish about technology and law, public procurement and privacy. All opinions are mine

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s