Schrems II ja henkilötietojen siirtäminen kolmansiin maihin

Euroopan tietosuojaneuvosto (jäljempänä ”EDPB”) julkaisi 10.11.2020 uudet suositukset koskien henkilötietojen siirtoja EU:sta kolmansiin maihin eli EU:n ja ETA:n ulkopuolisiin maihin.

Suositukset pohjautuvat Euroopan unionin tuomioistuimen (jäljempänä ”EUT”) linjauksiin, jotka se antoi Schrems II -ratkaisussaan. Kyseinen ratkaisu koski henkilötietosiirtojen asianmukaisia suojatoimia, ja siinä ennen kaikkea linjattiin seuraavat ydinasiat:

♦ Privacy Shield -järjestelmä on pätemätön ja

♦ komission vakiolausekkeiden (jäljempänä ”vakiolausekkeet”) sekä yritystä koskevien sitovien sääntöjen (jäljempänä ”BCR”) käyttäminen suojamekanismina henkilötietojen siirroissa tulee todennäköisesti edellyttämään lisätoimia riittävän tietosuojatason varmistamiseksi.

Jotta tämä artikkeli ei paisuisi tarpeettoman laajaksi, ei tässä käsitellä yksityiskohtaisesti tietosuoja-asetuksen artikloja henkilötietojen siirtojen osalta, vaan fokus pidetään EDPB:n suosituksissa.

Suositusten mukainen esimerkkisuunnitelma lainmukaiselle henkilötietojen siirrolle

Suosituksissa pyritään luomaan lainmukaista käytäntöä henkilötietojen siirroille kolmansiin maihin esimerkkisuunnitelmalla, jota seuraamalla yritykset voivat sekä noudattaa että osoittaa noudattavansa tietosuojalakeja henkilötietojen siirroissa. Esimerkkisuunnitelma koostuu seuraavista vaiheista, joista jokainen tulisi dokumentoida:

1) Tiedä, mitä ja minne henkilötietoja siirrät

2) Tunnista, mitä suojatoimia käytät

3) Arvioi käytössä olevien (tietosuoja-asetuksen artiklan 46 mukaisen) suojatoimien tehokkuus ja lainmukaisuus

4) Tunnista tarvittavat lisäsuojatoimet

5) Toteuta tarvittavat lisäsuojatoimet

6) Arvioi tietosiirtojen lainmukaisuus säännöllisesti

Vaiheet 1, 2 ja 6 ovat selkeitä, eikä niiden läpikäyminen ole tässä artikkelissa tarpeen – niistä voi lukea tarkemmin suosituksista. Vaiheet 3, 4 ja 5 taas tulevat aiheuttamaan käytännössä jokaiselle yritykselle päänvaivaa, ja siksi tässä artikkelissa keskitytään jäljempänä vain niihin.

Vaihe 3 – Käytössä olevien suojatoimien tehokkuus ja lainmukaisuus

Käytössä olevien suojatoimien tehokkuutta ja lainmukaisuutta tulee arvioida siitä näkökulmasta, että takaavatko käytössä olevat suojatoimet yhtäläisen suojan kolmannessa maassa tapahtuvalle henkilötietojen käsittelylle kuin EU:ssa. Schrems II -ratkaisun valossa tulee täten arvioida sitä, että mahdollistaako kolmannen maan lainsäädäntö tai maan tapa suhteettoman laajan henkilötietoihin pääsyn kolmannen maan viranomaisille, ja toteutuvatko rekisteröityjen oikeudet samalla tavalla kuin jos niitä käsiteltäisiin vain EU:ssa.

Suosituksissa korostetaan, että arvioissa tulee kiinnittää huomiota ennemmin siihen, kuinka hyvin kolmannen valtion laki vastaa EU:n lakeja kuin, kuinka todennäköisesti henkilötietojen suojalle aiheutuu konkreettista haittaa tai uhkaa haitasta. Tämä lähestymistapa tarkoittaa esimerkiksi Schrems II -ratkaisun valossa Yhdysvaltojen osalta sitä, että siirrettäessä henkilötietoja Yhdysvaltoihin, tulisi ottaa käyttöön lisäsuojatoimet (vaiheet 4 ja 5), sillä Yhdysvaltojen lainsäädäntö ei takaa riittäviä suojatoimia henkilötietojen käsittelylle.

EDPB:n lähestymistapa on tältä osin nähdäksemme ristiriidassa tietosuoja-asetukseen pohjautuvan riskiperusteisen lähestymistavan kanssa, sillä näin supistavalla tulkinnalla toimijoilla ei käytännössä ole vapautta riskiperusteisesti arvioida ja järjestää henkilötietojen käsittelytoimiaan.

Vaiheet 4 ja 5 – Kuinka tunnistaa tarvittavat lisäsuojatoimet, ja kuinka ne voidaan toteuttaa käytännössä?

Lisäsuojatoimet esitetään suosituksissa esimerkinomaisesti liitteessä 2 jakamalla ne teknisiin, sopimusoikeudellisiin ja organisatorisiin toimiin. Liitteen 2 mukaiset esimerkkitilanteet sisältävät tyypillisimpiä tilanteita, joissa henkilötietoja siirretään kolmansiin maihin. Esimerkkitilanteissa kuvataan, milloin tietyt lisäsuojatoimet voisivat taata riittävän tietosuojan tason ja milloin eivät.

Esimerkkitilanteita lukemalla on helppo ennustaa, että suositukset eivät tarjoa juurikaan käytännön apua eri toimijoille, sillä hyväksyttäviksi katsottavat lisäsuojatoimet ovat moneen nykyjärjestelyyn käytännössä mahdotonta toteuttaa. Käytännön esimerkkinä todettakoon, että mm. kansainväliset konsernit tulevat olemaan tukalassa tilanteessa oman henkilöstönsä tietojen lainmukaisessa siirtämisessä konserniyritysten välillä – suositukset antavat ymmärtää, että tällaisessa tilanteessa henkilötietoja ei voi lainkaan laillisesti siirtää konserniyritysten välillä.

Näkemyksiä

On selvää, että muuttunut oikeustila vaikuttaa jokaiseen yritykseen. Epäselvää on kuitenkin se, että kuinka paljon muuttunut oikeustila tulee loppujen lopuksi toimijoihin vaikuttamaan, ja kuinka hyvin muuttuneeseen oikeustilaan pystytään ylipäänsä reagoimaan nykyisen sääntelyn valossa ja liiketaloudelliset realiteetit huomioiden. Epäselvää on lisäksi se, kuinka muuttunutta oikeustilaa tullaan viranomaisten toimesta valvomaan etenkin, kun huomioidaan viranomaisten rajalliset resurssit.

Mitä taas tulee käytännön ohjeisiin, niin suositusten valossa jokaiselta toimijalta edellytetään kirjallista selvitystä, jossa huomioidaan suositusten mukaisesti yllä luetellut kuusi (6) vaihetta. Loput käytännön toimet taas ovat riippuvaisia selvityksen lopputuloksesta, joskin lähtökohta on, että suurimmalta osalta toimijoista edellytetään erinäisten lisäsuojatoimien tunnistamista ja toteuttamista.

Jäämme muiden ohella suurella mielenkiinnolla seuraamaan, kuinka Suomen tietosuojavaltuutettu tulee ohjeistamaan suomalaisia toimijoita muuttuneesta oikeustilasta.

19.11.2020 MAX