Euroopan unionin tuomioistuimen ratkaisu aiheuttaa muutoksia EU:n ja Yhdysvaltojen välisiin henkilötietojen siirtoihin

EU:n ja Yhdysvaltojen välinen henkilötietojen siirto

Euroopan unionin tuomioistuin (EUT) antoi henkilötietojen siirtoa Yhdysvaltoihin koskevan mullistavan ratkaisun 6. lokakuuta 2015 tapauksessa Schrems (C-362/14).

Aiheeseen liittyvää sisältöä

Ratkaisussaan EUT totesi, että Yhdysvaltojen ja EU:n sopimukseen perustuva Safe Harbor -järjestelmä, jonka puitteissa on tähän asti voitu siirtää henkilötietoja EU:n alueelta Yhdysvaltoihin, ei takaa riittävää tietosuojan tasoa. EUT totesi myös pätemättömäksi Euroopan komission aiemman päätöksen, jossa katsottiin tietosuojan tason olevan riittävä silloin, kun henkilötiedot siirretään Safe Harbor -järjestelmän puitteissa. Tuomioistuimen ratkaisun vaikutukset ovat vielä osin epäselvät, mutta on selvää, että EUT:n uusi tulkinta vaikuttaa kaikkien niiden toimijoiden toimintaan, jotka siirtävät henkilötietoja EU:sta Yhdysvaltoihin. Uuden tulkinnan seurauksena sopimukset, käytänteet ja vaatimus henkilötietojen käsittelyn huolellisesta suunnittelusta korostuvat entistä enemmän.

 

Henkilötietojen siirtäminen EU:n alueelta Yhdysvaltoihin on tähän EUT:n ratkaisuun asti ollut mahdollista Euroopan komission päätöksen 2000/520 nojalla. Tässä päätöksessään komissio toteaa, mitkä EU:n tai ETA:n ulkopuoliset valtiot takaavat riittävän tietosuojan tason siten, että niihin voidaan siirtää henkilötietoja EU:n alueelta ilman erillisiä takeita. Henkilötietojen siirto Yhdysvaltoihin on komission päätöksen mukaan ollut mahdollista silloin, kun tietoja vastaanottava yhtiö on sitoutunut ns. Safe Harbor -järjestelmän puitteissa noudattamaan tämän järjestelmän periaatteita. Tämä tilanne muuttui nyt EUT:n ratkaisun seurauksena.

 

Schrems-ratkaisulla on yksittäisten internetpalvelujen käyttäjien lisäksi vaikutusta myös suomalaisiin yrityksiin, jotka siirtävät henkilötietoja Yhdysvaltoihin esimerkiksi yhdysvaltalaisen alihankkijan käsiteltäväksi. Kuten todettu, EUT totesi ratkaisussaan, ettei tietojen siirtäminen EU:sta Yhdysvaltoihin enää ole mahdollista Safe Harbor -järjestelmän puitteissa eli nojautuen komission päätökseen 2000/520, johon viitataan myös henkilötietolain 22a §:ssa. Siksi ratkaisun jälkeen riittävä tietosuojan taso on taattava muilla direktiivissä ja henkilötietolaissa säädetyillä keinoilla. Tällaisista poikkeusperusteista on säädetty henkilötietolain 23 §:ssä ja niihin kuuluvat mm. komission vahvistamien ennalta määrättyjen mallisopimuslausekkeiden käyttäminen tai riittävät takeet henkilöiden yksityisyyden ja oikeuksien suojasta takaavien sopimuslausekkeet käyttäminen rekisterinpitäjän ja siirronsaajan välillä. Henkilötietojen siirto ns. kolmanteen maahan on näiden poikkeusperusteiden mukaisesti yhä mahdollista myös silloin, jos kaikki rekisteröidyt antavat yksiselitteisen ja informoidun suostumuksensa henkilötietojensa siirtoon. Näyttää siltä, että tällainen kvalifioitu rekisteröidyn suostumus on EUT:n ratkaisun seurauksena käytännössä toistaiseksi varmin keino varmistaa tiedonsiirron laillisuus. Koska suostumusten kerääminen voi kuitenkin käytännössä osoittautua hankalaksi, yritysten olisikin suositeltavaa tarkistaa henkilötietojen siirtoa koskevat sopimusehtonsa yhdysvaltalaisten palveluntarjoajien kanssa ja tarvittaessa ryhtyä neuvotteluihin ja muihin toimiin riittävän tietosuojan takaamiseksi.

© 2016 KPMG Oy Ab, a Finland Limited Liability Company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.

Ota yhteyttä

 

Jätä tarjouspyyntö

 

Lähetä

KPMG:n uusi digitaalinen alusta

KPMG:n uusi digitaalinen alusta