Komissiolta siunaus Privacy Shieldille – mutta ei vielä hurrata

EU:n komissio julkaisi maanantaina 29 helmikuuta tiedotteen, jossa kerrotaan tarkempia tietoja uudesta Privacy Shieldistä. Kertauksena vielä: Privacy Shield on siis järjestely, jonka turvin yhdysvaltalaiset yritykset voivat siirtää EU:n alueella kerättyjä tietoja Yhdysvaltoihin.

Komission päätösluonnoksen tärkeintä antia on tarkempi Privacy Shieldin teksti, josta muutamia pääkohtia:

  • Yhdysvaltojen kauppaministeriö (Departmen of Commerce, parempia suomennosehdotuksia otetaan vastaan) lupautuu valvomaan järjestelmää tehokkaasti
  • Yritysten itsesertifiointi eli “itse itseään arvioiden” on tehtävä vuosittain. Yrityksen sertifiointiaikana keräämät henkilötiedot ovat Privacy Shieldin piirissä vaikka yritys ei uusisikaan sertifiointiaan
  • Tietojen siirto Yhdysvaltojen ulkopuolelle (“onward transfers”) on nyt myös Privacy Shieldin piirissä
  • Yhdysvaltojen tietoturvaviranomainen FTC voi puuttua yritysten toimintaan ja ilmeisesti myös sulkemaan yrityksen Privacy Shieldin ulkopuolelle mikäli sääntöjä ei noudateta
  • Yhdysvaltojen ulkoministeri John Kerry on luvannut, että eurooppalaisilla on mahdollisuus valittaa kansallisten turvallisuusviranomaisten tiedustelua varten kerättyjen tietojen käytöstä ja keräämisestä. Tämä tapahtunee ilmeisesti tiedusteluorganisaatioiden toimintaa valvomaan perustettavan tietosuoja-asiamiehen kautta
  • Komission tiedotteen liitteenä on useita erilaisia kirjeitä yhdysvaltalaisilta viranomaisilta komissiolle ja toisille viranomaisille, joiden tarkoituksena on ilmeisesti vakuuttaa osapuolet järjestelmän pätevyydestä. En edelleenkään ymmärrä mikä juridinen merkitys näillä kirjeillä on
  • Privacy Shield tulee voimaan kun komissio virallisesti hyväksyy järjestelyn

Privacy Shield -periaatteet

Maanantaina julkaistussa paketissa esiteltiin myös Privacy Shield -periaatteet:

  1. Ilmoitus (notice) – yrityksen on kerrottava sen osallistumisesta Privacy Shieldiin ja annettava relevantteja tietoja tietojen keräämiseen liittyen: tarkoitus, kerääjän yhteystiedot, kenelle tietoa jaetaan, minne voi valittaa jne.
  2. Valinta (choice, opt out) – henkilöllä on oikeus päättää (“opt out”) onko rekisterinpitäjällä oikeutta antaa henkilötietoja kolmannen osapuolen tietoon tai käyttää niitä muuhun tarkoitukseen kuin mihin alun perin tiedot on kerätty. Tämä vaatimus ei koske tietojen siirtoa alihankkijoille vaan “tietojen myymistä” kolmannelle osapuolelle. Arkaluonteisten tietojen kohdalla tietojen kerääminen ja käyttäminen on sallittu vain, jos henkilö antaa siihen suostumuksen (“opt in”)
  3. Vastuu tietojen luovuttamisesta eteenpäin (accountability for onward transfer) – samansuuntaisesti kuin ns mallilausekkeissa, rekisterinpitäjän on tehtävä sopimus alihankkijoidensa kanssa tietojen prosessoinnista ja edelleenluovutuksesta. Sopimuksessa tulee olla ehto, että tietoja saa käyttää vain rajoitetusti eli siihen tarkoitukseen kuin ne on alunperin kerätty. Lisäksi on varmistettava, että alihankkija noudattaa Privacy Shield periaatteita ja että sillä on yhtä korkea tietoturvan taso kuin alkuperäisellä rekisterinpitäjällä
  4. Tietoturva (security) – yritysten on varmistettava riittävä ja tietoturvan taso että tietoja ei varasteta, häviä tai väärinkäytetä.
  5. Käyttötarkoitussidonnaisuus ja tietojen täydellisyysvaatimus (Data integrity and purpose limitation) – Tietoja saa kerätä vain tiettyä käyttötarkoitusta varten. Yrityksen tulee huolehtia, että tiedot ovat oikein ja täsmällisiä.
  6. Pääsy tietoihin (access) – rekisteröidyllä tulee olla oikeus tarkastaa omat tietonsa ja oikeus vaatia korjauksia tai poistamaan vanhentuneita tietoja.
  7. Vastuu ja oikeusturva (recourse, enfrocement and liability) – Yrityksellä on oltava prosessi, jonka mukaisesti rekisteröityjen valitukset käsitellään nopeasti. Lisäksi yrityksellä on velvollisuus korjata havaitut puutteet ja virheet mahdollisimman nopeasti. Yritysten on myös nopeasti vastattava tietosuojaviranomaisten (mukaan lukien EU:n tietosuojaviranomaisten) kyselyihin. Yritysten on myös julkaistava heitä koskevat viranomaisten päätökset.

Yllämainitun lisäksi Privacy Shield -periaatteissa annetaan rajoituksia arkaluonteisten tietojen käytölle. Tietojen kerääminen journalistiseen tarkoitukseen ei ole Privacy Shieldin piirissä.

EU:n kansalaisille oikeus valittaa

Privacy Shield antaa nyt EU:n kansalaiselle todellisen mahdollisuuden valittaa yhdysvaltalaisen yrityksen henkilötietojen käsittelystä. Yritysten tulee vastata valituksiin 45 päivän kuluessa. Tämän jälkeen voi edelleen valittaa omalle kansalliselle tietosuojaviranomaiselle, joka sitten tekee yhteistyötä FTC:n ja kauppaministeriön kanssa. Viimeisenä vaihtoehtona on vielä erillinen “Privacy Shield Panel”, eräänlainen tietosuojatuomioistuin, jonka päätös on yrityksiä sitova. Valitusmenettely on maksutonta valittajalle.

Lisäksi jokaisen HR dataa eli yrityksen henkilöstöön liittyviä tietoja (palkkatiedot yms) käsittelevän yhdysvaltalaisen yrityksen on sitouduttava noudattamaan Eurooppalaisen tietosuojaviranomaisen päätöksiä. Tämä on erityisesti mielenkiintoinen näkökohta, koska näin tietosuojaviranomaisen valta ulottuu paljon laajemmalle kuin mihin on tavallisesti totuttu.

Sitovuudesta ei mitään varmuutta vielä

Kommissio ja Yhdysvaltojen kauppaministeriö ovat sopineet, että Privacy Shieldin toimivuutta tarkastellaan vuosittain. Mielenkiintoista on myös se, että tähän tarkasteluun otetaan mukaan myös erilaisia etujärjestöjä.

Max Schremsin vetämä Europe-v-Facebook lyttäsi, jälleen kerran järjestelyn. Ongelmana pidetään muun muassa sitä, että Yhdysvallat voi vieläkin kerätä tietoa “massaluonteisesti”:schrems

Miten tästä eteenpäin?

Ennen kuin komission päätösluonnos on lopullinen, se on ensiksi vielä “hyväksytettävä” jäsenvaltioilla ja tietosuojaviranomaisten yhteistyöelimellä (Art 29 Working Party). Periaatteessa komission ei tarvitsisi kysyä näiltä osapuolilta kuin mielipide tai lausunto, mutta käytännön kannalta on hyvin olennaista että molemmat osapuolet hyväksyvät järjestelyn. Komission päätöshän ei ole, kiitos Schrems-ratkaisun, tietosuojaviranomaisia sitova, vaan jokainen jäsenvaltio voi itse päättää, onko Privacy Shield riittävän turvallinen mekanismi henkilötietojen siirrolle.

Privacy Shieldillä on kova kiire, koska Safe Harbor ja siihen perustuvat tietojen siirrot natisevat nyt liitoksistaan. Ranskan tietosuojaviranomainen CNIL kävi helmikuun alussa Facebookin kimppuun, yhtenä tärkeinpänä syynä oli juuri Safe Harbor. Lisäksi Saksassa ilmeisesti kahden eri osavaltion tietosuojaviranomaista on myös aloittanut tutkinnan Safe Harboriin liittyen.

Schrems-tuomion jälkeen EU:n tietosuojaviranomaiset antoivat komissiolle lisä-aikaa vain tammikuun loppuun saakka, mutta ilmeisesti viranomaiset vielä maltillisesti odottelevat lisätietoja Privacy Shieldistä. Nyt kun tietoja on, voidaan seuraavien viikkojen aikana odottaa tapahtuvan paljon.

Periaateessa kukin kansallinen tietosuojaviranomainen voisi kyseisen tuomion perusteella aloittaa toimenpiteet jokaista yritystä vastaan, mutta tämä olisi vain käytännössä varsin mahdotonta. Siksi edelleen tämän asian suhteen vallitsee varsin odottava tunnelma. Kansalaisjärjestöt eivät vaikuta järin vakuuttuneilta, mutta toisaalta taas kansalliset viranomaiset taitavat enemmänkin odottaa jotakin ratkaisua, että umpisolmusta päästään eteenpäin.

Komission tiedote

Privacy Shield järjestelyn teksti

Yhdysvaltojen kauppaministeriön Privacy Shield -sivu

Euroopan Parlamentin vihreiden kommentti

Hyvä alustava koonti englanniksi

Toinen koonti

 

Published by

Panu Pökkylä

Blogger, enterpeneur and a senior legal counsel at Nordea. Certified Information Privacy Professional / Europe (CIPP/E). I write in Finnish about technology and law, public procurement and privacy. All opinions are mine

One thought on “Komissiolta siunaus Privacy Shieldille – mutta ei vielä hurrata

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s