Tietosuoja-asetus hyväksyttiin, Privacy Shield vielä arvoitus

Euroopan Parlamentti lopulta hyväksyi uuden tietosuoja-asetuksen lopullisesti istunnossaan eilen torstaina. Seuraava vaihe on asetuksen julkaisu, jonka uskotaan tapahtuvan kesäkuun puolella ja tämän perusteella vaikuttaisi siltä että asetus tulee voimaan vuoden 2018 puolella.

Hyväksynnän lisäksi tällä viikolla tietosuojan kannalta tuikitärkeä Privacy Shield nytkähti eteenpäin, kun tietosuojaviranomaisten yhteistyöelin (“Article 29 Working Party” tai “WP29”) antoi oman näkemyksensä järjestelystä.

Privacy Shield on hienolta kuulostavasta nimestään huolimatta vain “järjestely” Yhdysvaltojen ja EU:n välillä, jolla pyritään turvaamaan henkilötietojen siirto mannerten välillä.  Tietosuojadirektiivi ja myös uusi tietosuoja-asetus edellyttää riittävää turvamekanismia tällaisilta henkilötietojen siirrolta. Privacy Shield on yksi tapa ratkaista tämä ongelma, siinä yritykset itse vakuuttavat tai “sertifioivat” itsensä järjestelyyn ja siten saattavat ainakin osan toiminnastaan EU:n kansallisten  tietosuojaviranomaisten valvonnan piiriin.

Komissio julkaisi helmikuun lopussa päätösluonnoksen, jonka mukana oli myös tarkempi kuvaus Privacy Shieldistä. Komission päätösluonnoksen tarkoituksena on todeta, että Privacy Shield on riittävä EU:n tietosuojasäännösten kannalta ja siten henkilötietoja voidaan siirtää sen avulla EU:n ulkopuolelle Yhdysvaltoihin.

Tietosuojaviranomaisten yhteistyöelimen näkemys on että Privacy Shield tuo “selkeä parannus” aiempaan Safe Harbor -järjestelyyn verrattuna. Tästä huolimatta WP29 näkee Privacy Shieldissä useita ongelmia. Järjestely on WP29:n mielestä vielä varsin epäselvä. Ongelmana on esimerkiksi se, että Privacy Shield ei WP29:n mielestä ei riittävissä määrin vastaa EU:n tietosuojaan liittyviä periaatteita eli EU:n kansalaiden tietosuojaan liittyvät oikeudet voisivat heikentyä ratkaisun myötä.

Toinen iso ongelma on massatiedustelu, jonka rajoittamisesta ei ole riittäviä takuita. Tältä osin WP29 katsoo, että Yhdysvaltojen lainsäädäntö ei vielä turvaa riittävän hyvää oikeussuojaa rekisteröidyille eli henkilöille joiden tietoja käsitellään. Kyseinen näkökohta on ollut alusta alkaen keskeinen ongelma erityisesti Saksan tietosuojaviranomaisille. Tämä asia on myös keskeinen kysymys koko Safe Harborin kaataneessa Schrems -tapauksessa, jossa EUTI katsoi, että lainsäädäntö ja viranomaisten toiminta Yhdysvalloissa ei mahdollista riittävää turvaa EU:n kansalaisille.

On mielenkiintoista nähdä, että WP29 on lähtenyt näyttämään hieman vaaleavihreää valoa Privacy Shieldille. Ainakin vielä viime viikolla useampi lähde kertoi, että esimerkiksi saksalaisten viranomaisten vastustus olisi kaatamassa koko Privacy Shieldin. Ongelmana lienee kuitenkin se, että Privacy Shield alkaa olla “too big to fail” eli jotain jota on vain pakko saada aikaiseksi.

Kansalaisoikeuksia puolustavat järjestöt ovat jo alusta alkaen teilanneet Privacy Shieldin riittämättömäksi. Hiljattain alan yrityksiä edustavan etujärjestö Digital Europe julkaisi Hogan Lovells asianajotoimistolla teetetyn raportin, jossa todettiin että Privacy Shield täyttäisi kaikki oikeuskäytännössä edellytetyt vaatimukset. Varmaa lienee siis vain se, että Privacy Shield tulee olemaan vielä pitkään kiistakapula ja todennäköisesti järjestely tulee päätymään EU:n tuomioistuimiin jossain vaiheessa.

No mitä tästä seuraa?

WP29 on EUn tietosuojaviranomaisten ja komission yhteistyöelin. Lausunto koskee komission päätösluonnosta. Tietosuojaviranomaisten näkemys ei ole komissiota sitova. Silti komissio todennäköisesti ainakin yrittää selventää yllämainittuja ongelmakohtia ennen kuin Privacy Shield lopullisesti hyväksytään.

Privacy Shield on vain yksi tapa huolehtia tietojen siirrosta Yhdysvaltoihin. Tältä osin on hyvä huomata, että tietojen siirtoa koskeva velvoite on rekisterinpitäjällä, eli esimerkiksi yhdysvaltalaista yritystä käyttävällä suomalaisella asiakkaalla. Eli asiakkaan tulee huolehtia riittävästä henkilötietojen suojasta kun se käyttää yhdysvaltalaisen yrityksen palveluja. Privacy Shieldin tarkoituksena on hoitaa asia “yksinkertaisesti” eli tavallaan siten, että yrityksellä on ns. “sertifikaatti” joka tarkoittaa että asiakkaan ei tarvitse tehdä mitään muuta.

Koska Privacy Shield ei ole vielä voimassa, tulee väliaikaisesti käyttää vieläkin ns. mallilausekkeita eli erillistä sopimusta asiakkaan ja yrityksen välillä tietojen siirron turvaamiseksi.

Tietosuojaviranomaisten yhteistyöelimen lausunto.

Hyvä koonti englanniksi.

 

Published by

Panu Pökkylä

Blogger, enterpeneur and a senior legal counsel at Nordea. Certified Information Privacy Professional / Europe (CIPP/E). I write in Finnish about technology and law, public procurement and privacy. All opinions are mine

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s