Tulostusversio

4/2015

Safe Harbor: Tietojensiirto työllistää yrityksiä

Teksti: Päivi Männikkö

EU ja USA neuvottelevat uudesta henkilötietojen siirron menettelystä Safe Harborin tilalle. Siihen asti tietojen siirrossa ovat käytössä vaihtoehtoiset menettelyt.

Safe Harbor -menettelyyn sitoutuneet viitisentuhatta yritystä ovat saaneet vastaanottaa ja käsitellä EU-maiden kansalaisten henkilötietoja USA:ssa. Järjestelyn neuvotelleet EU:n komissio ja USA:n kauppaministeriö ovat taanneet, että Safe Harboriin sitoutuneiden yritysten tietosuoja on riittävällä tasolla ja EU-kansalaisten tiedot siten suojassa.

Lokakuun alussa EU-tuomioistuin totesi Safe Harborin laittomaksi. Tuomion mukaan järjestely on pätemätön, koska USA:n viranomaisilla on ollut rajoitukseton pääsy kaikkiin järjestelyn nojalla siirrettyihin henkilötietoihin, eikä EU-maiden kansalaisilla ole oikeussuojakeinoja tällaista tiedonkäsittelyä vastaan.

Nyt henkilötietoja saa siirtää Atlantin toiselle puolelle vaihtoehtoisilla järjestelyillä. Niitä ovat komission hyväksymät mallisopimuslausekkeet ja tietosuojaviranomaisten hyväksymät konsernin sisäiset säännöt (Binding Corporate Rules) sekä henkilötietodirektiivissä mainitut muut poikkeusperusteet.

Sopimukset syyniin

Asianajaja Jukka Lång asianajotoimisto Dittmar & Indreniukselta sanoo, että Safe Harborin muuttuminen laittomaksi on työllistänyt yrityksiä koko syksyn.

”Tuomio on kasvattanut tietoisuutta kansainvälisten tietojensiirtojen velvoitteista, riskeistä ja rajoitteista yritysten lakiasiainjohtajien keskuudessa.”

Tuomion jälkeen useissa eurooppalaisissa yrityksissä on pitänyt ensimmäiseksi selvittää, missä määrin tietoja ylipäänsä on siirretty Safe Harborin nojalla.

”Tämä olisi pitänyt tietysti olla tiedossa jo aiemminkin”, Lång huomauttaa.

Långin mukaan kaikkein suurimmat yhdysvaltalaiset palveluntarjoajat ovat olleet tuomion jälkeen aktiivisia. Ne ovat tarjonneet eurooppalaisille asiakkailleen nopeasti uusia, mallisopimuslausekkeisiin perustuvia tietosuojaehtoja.

Ongelmallisimmat tapaukset ovat liittyneet pienempiin yhdysvaltalaisyrityksiin, jotka eivät ole olleet yhteydessä eurooppalaisiin asiakkaisiinsa tuomion jälkeen. Euroopassa onkin yhä rekisterinpitäjiä, jotka eivät ole saaneet yhdysvaltalaiselta palveluntarjoajaltaan riittäviä takeita tietosuojasta.

Muut menettelyt käytössä

Euroopan tietosuojaviranomaisten työryhmän lausunnon mukaan vaihtoehtoisia tiedonsiirtomenetelmiä saa käyttää ainakin siihen asti kunnes ryhmä on selvittänyt, vastaavatko ne tuomiossa esitettyjä vaatimuksia. Toisaalta viranomaiset odottavat joka tapauksessa tietoja Safe Harborin korvaavasta järjestelystä tammikuun loppuun asti. Jos neuvotteluissa ei ole siihen mennessä saavutettu ratkaisua, viranomaiset ryhtyvät toimiin laittoman tietojen siirtämisen lopettamiseksi.

Onko mahdollista, että tietosuojaviranomaisten mielestä mallisopimuslausekkeet ja räätälöidyt sopimukset eivät vastaakaan tuomion vaatimuksia?

”Työryhmä lähtee siitä, että ennen tammikuun loppua ei ryhdytä mihinkään täytäntöönpanotoimiin", tietosuojavaltuutettu Reijo Aarnio sanoo.

”Mutta toki markkinoilla vallitse tällä hetkellä kiistatta epävarmuus.”

Aarnio kuitenkin muistuttaa, että toimivalta tietojen siirron kieltämisessä ei ole tietosuojaviranomaisilla vaan tuomioistuimilla.

"Toki tietosuojaviranomaiset voivat viedä asian kansallisen tuomioistuimen käsiteltäväksi.”

Viivyttely voi kostautua

Osa eurooppalaisista rekisterinpitäjistä on jäänyt odottamaan komission ja USA:n neuvottelujen tuloksena mahdollisesti syntyvää Safe Harborin korvaavaa järjestelyä. Odottelulla ne ovat halunneet välttää mahdollisesti vaivalloiset neuvottelut palveluntarjoajansa kanssa ja mallisopimuslausekkeiden käyttöönoton.

Odottamaan jääneissä yrityksissä ”kiire tulee olemaan melkoinen”, jos uutta järjestelyä ei tulekaan ajallaan, Jukka Lång varoittaa viitaten tietosuojaviranomaisten tammikuiseen määräaikaan.

Mitä tapahtuu rekisterinpitäjille, jotka siirtävät henkilötietoja USA:han ilman lainmukaista tietosuojajärjestelyä?

”Selvittelyssä ensimmäinen kysymys on, onko henkilötietojen siirto Safe Harborin nojalla aloitettu ennen tuomion julkistamista vai sen jälkeen”, tietosuojavaltuutettu Reijo Aarnio sanoo.

"Jos siirrot on aloitettu vasta tuomion jälkeen, se on tietysti vähän eri asia kuin jos ne on aloitettu aikaisemmin."

Aarnio viittaa Suomen henkilötietolakiin. Sen mukaan tietosuojavaltuutetun on pyrittävä ennen kaikkea neuvoin ja ohjein siihen, että lainvastaista menettelyä ei jatketa tai uusita. Tarvittaessa valtuutettu voi viedä asian tietosuojalautakunnan käsittelyyn tai syyttäjälle.

”Toivottavasti jälkimmäisiin keinoihin ei tarvitse turvautua. Yleensä myös reitti on Suomessa kulkenut tietosuojalautakunnan kautta”, Aarnio sanoo.

Lue myös

Safe Harbor: Tiedustelu kiistakapulana »

Bookmark and Share
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi
Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.