Tulostusversio

4/2009

Muutosta ilmassa USA:ssa

Teksti: Eija Warma

Yhdysvalloissa on vallanvaihdon jälkeen pantu vireille uusia tietosuojalakeja ja kiristetty nykyisten sääntöjen valvontaa. 

Yhdysvaltain 44. presidentti Barack Obama astui virkaansa tammikuussa 2009. Yksi hänen vaalikampanjansa pääteemoista oli muutos, jonka toteutumista olemme voineet seurata eri medioista.

Obaman hallinto ryhtyi heti ensitöikseen toimeenpanemaan kampanjan aikana lupaamia uudistuksia eri hallinnonaloilla. Uudistukset ja muutokset koskettavat myös yksityisyydensuojaa ja henkilötietojen käsittelyä ja tässä niistä esitellään muutama.

Tietoturvaohjeet pakollisiksi

Liittovaltion lainvalmistelukoneistossa on vireillä ehdotus, joka velvoittaisi suuret yritykset laatimaan kokonaisvaltaiset tietoturvaohjeet ja kouluttamaan henkilökuntaansa.

Nimellä The Leahy Bill tunnettu ehdotus koskisi yrityksiä, jotkä käsittelevät sähköisesti arkaluonteisia henkilötietoja yli 10 000 henkilöstä. Niiden tulisi saattaa voimaan tietoturvaohjeistus, joka sisältäisi hallinnolliset, tekniset ja muut asianmukaiset toimenpiteet, jotka ovat riittävät suhteessa käsiteltävien henkilötietojen määrään, luonteeseen ja ulottuvuuteen.

Tietoturvasäännöt ovat lakiehdotuksen ydin. Niiden tarkoituksena on asettaa yleiset standardit, joita osavaltiot ovat velvoitettuja noudattamaan. Siten ehdotus yhtenäistäisi kansallista lainsäädäntöä.

Lakiehdotus myös edellyttäisi rekisterinpitäjiä kouluttamaan henkilöstöään henkilötietojen käsittelyyn liittyvistä asioista sekä pitämään säännöllisiä sisäisiä tarkastuksia ja uudelleenarviointeja henkilötietojen käsittelyä koskevien prosessien toimivuudesta.

Mikäli rekisterinpitäjä ulkoistaa henkilötietojen käsittelyn tahoille, jotka eivät ole sidottuja lakiehdotuksen vaatimuksiin, on sillä tällöin erityinen velvollisuus huolehtia siitä että kumppanit käsittelevät henkilötietoja asianmukaisesti.

Ohjeistusta koskevat vaatimukset perimmältään heijastavat niitä tietoturvavaatimuksia, jotka liittovaltion kauppakomissio (Federal Trade Commission, FTC) on viime vuosina määritellyt tapauskäytännössään.

Tietosuojaloukkauksiin ilmoituspakko

Tietoturvaohjeistuksen lisäksi lakiehdotus velvoittaisi rekisterinpitäjät ilmoittamaan rekisteröidyille tietosuojarikkomuksista. Rekisterinpitäjällä olisi yleinen velvollisuus informoida Yhdysvalloissa vakinaisesti asuvia henkilöitä, joiden arkaluonteisiin henkilötietoihin on päästy asiattomin perustein käsiksi.

Mikäli henkilötietoihin päästään asiattomasti käsiksi, lakiehdotuksen mukaan informoinnin tulee tapahtua ilman aiheetonta viivytystä. Sen tulee tapahtua joko kirjeellä, puhelimitse tai sähköpostilla, mikäli rekisteröity on antanut suostumuksensa sähköisen informoinnin käyttämiselle. Jos rekisterinpitäjä salaa tapahtuneen tietoturvarikkomuksen rekisteröidyiltä, se katsottaisiin törkeäksi rikokseksi liittovaltion lainsäädännön mukaan. Velvoitteiden laiminlyönnistä voitaisiin määrätä sakko, joka olisi tuhat dollaria päivää ja rekisteröityä kohti tai miljoona dollaria rikkomusta kohti.

Lakiehdotuksen oletetaan etenevän vuoden 2010 alkupuolella.

FTC tehostaa valvontaa

Yhdysvaltain kauppakomission toimialueeseen sisältyy 46 erillistä liittovaltion lakia. Viime aikoina FTC on aktivoitunut valvomaan näiden lakien noudattamista.

Euroopan Unionin ja Yhdysvaltojen välillä on niin sanottu Safe Harbor -sopimus, jonka tarkoituksena on yksinkertaistaa mantereiden välisiä henkilötietojen siirtoja. Yhdysvalloissa sijaitseva yhtiö voi vahvistaa Safe Harbor -sopimuksen ja noudattaa toiminnassaan sen seitsemää periaatetta. Tällöin yhtiön katsotaan täyttävän riittävän tietosuojan edellytykset, ja henkilötietoja voidaan siirtää kyseiseen yhtiöön EU-maista ilman erillisiä siirtosopimuksia. Luonnollisesti muiden henkilötietojen siirron edellytysten tulee täyttyä.

FTC sai väliaikaisen kieltotuomion yritystä vastaan, joka väitti noudattavansa Safe Harbor -sopimuksen periaatteita, vaikka se tosiasiassa ei täyttänyt sopimuksessa vaadittavia edellytyksiä. FTC väitti yhtiön johtavan kuluttajia harhaan väittämällä, että sillä oli Safe Harbor -sertifikaatti.

FTC:n mukaan jo pelkästään harhaanjohtava väite Safe Harbor -periaatteiden noudattamisesta rikkoo voimassa olevaa lainsäädäntöä eikä yhtiön varsinaisilla toimintatavoilla ole asiassa merkitystä.

Vaikkakaan FTC ei väitä yhtiön suoranaisesti loukanneen varsinaisia sopimuksen edellytyksiä, on tapaus merkittävä kahdesta syystä: Kyseessä on ensimmäinen kerta, kun FTC ryhtyy toimenpiteisiin Safe Harbor -sopimuksen perusteella. Lisäksi FTC selvitti tapausta yhteistyössä Ison-Britannian kuluttajaviranomaisten (the UK Office of Fair Trading) kanssa sen jälkeen, kun brittiläiset kuluttajat olivat valittaneet yhtiön toiminnasta FTC:lle.

Lokakuun alussa FTC ilmoitti sovintoneuvotteluista kuuden yhdysvaltalaisen yhtiön kanssa, jotka olivat myös harhaanjohtavasti ilmoittaneet olevansa Safe Harbor -sertifioituja, vaikka tosiasiassa heidän käyttämät toimintatavat olivat jo vanhentuneet.

FTC halusi korostaa sertifikaatin ylläpitämisen tärkeyttä ja sitä, että tieto sertifikaatista luopumisesta pitää päivittää myös kaikkiin markkinointimateriaaleihin.

Finanssiala torjumaan identiteettivarkauksia

Kongressi on säätänyt rahoitusalalle ja luotonantajille erityislain identiteettivarkauksien ehkäisemiseksi. Lakiin sisältyvät säännöt tunnetaan nimellä Red Flags Rule.

Laki velvoittaa alan toimijoita tunnistamaan identiteettivarkauksiin liittyviä riskitilanteita ja suojaamaan omat asiakasrekisterinsä. Yritysten tulee myös laatia kirjalliset ohjeet identiteettivarkauksien ehkäisemiseksi. Ohjeet auttavat samalla tunnistamaan erilaisia henkilötietojen käsittelyyn liittyviä vaaratilanteita.

Lain oli tarkoitus tulla voimaan jo marraskuussa 2008, mutta sen voimaansaattamista on lykätty useamman kerran. Lokakuun lopussa voimaansaattamista lykättiin jälleen ja seuraava määräaika on kesäkuu 2010.

Liittovaltion alioikeus Washington DC:ssä (the U.S. District Court for the District of Columbia) päätti lokakuun lopussa, että sääntöjä ei sovelleta asianajajien toimintaan.

Laille on tehty omat sivunsa FTC:n verkkosivustolla.

Terveydenhuollon tietosuojaa yhtenäistetään

Presidentti Obama allekirjoitti helmikuussa laajaa keskustelua herättäneen elvytyspaketin, joka saattoi voimaan ns. HITECH Actin (Technology for Economic and Clinical Health Act).

Lain keskeisenä tavoitteena on edistää teknologian käyttöönottoa terveydentilaa koskevien tietojen käsittelyssä. Lisäksi se sisältää useita henkilötietojen käsittelyyn ja yksityisyydensuojaan liittyviä säännöksiä, jotka velvoittavat entistä useampaa terveystietoja käsittelevää tahoa.

Lain tarkoituksena on luoda liittovaltion tasolla yhdenmukaiset minimistandardit terveydentilaa koskevien tietojen käsittelylle mutta se myös antaa osavaltioille mahdollisuuden säätää minimiä tiukemmat velvoitteet.

Tällä hetkellä 44 osavaltiossa on voimassa osavaltiokohtaiset säännökset rekisteröidyn informoinnista tilanteessa, jossa terveydentilaa koskevien tietojen tietoturva on vaarantunut. Käytännössä kuitenkin säädösten sisältö vaihtelee suuresti eri osavaltioissa. Eroja on esimerkiksi terveydentilaa koskevan tiedon määritelmissä sekä rekisteröidyn informoinnin sisällössä ja laajuudessa.

HITECH yhtenäistää terveydentilaa koskevan tiedon määritelmän: Käytännössä se tarkoittaa mitä tahansa terveydentilaan liittyvää tietoa ja terveyspalvelujen maksutietoja. Laki myös yhtenäistää informointivelvollisuuden ajankohtaa, sisältöä ja suorittamista.

Yhdysvalloissa prosessikynnys on huomattavasti alempana kuin esimerkiksi Suomessa, ja tämänkin lainsäädäntöuudistuksen johdosta yksityishenkilö on haastanut viranomaiset oikeuteen. Kanne on nostettu tämän vuoden kesäkuussa, ja kantajan mukaan uusi laki muun muassa loukkaa yksityisyydensuojan säännöksiä. Lisätietoja tapauksesta voi etsiä nimellä Heghmann v. Sebelius.

----

[KIRJOITTAJA]

Asianajaja Eija Warma työskentelee Asianajotoimisto Castrén & Snellman Oy:ssä. Hän on suorittanut LL.M. tutkinnon University of Minnesota Law Schoolissa Yhdysvalloissa. Syksyn 2009 hän on työkomennuksella Smith, Gambrell & Russell LLP Atlantan toimistossa.

Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.