UK:n Transfer Risk Assessment (TRA) vs. EU:n Transfer Impact Assessment (TIA)

Yhdistyneen kuningaskunnan (UK) tietosuojaviranomainen – Information Commissioner's Office (ICO) – julkaisi 17.11.2022 uuden kansainvälisten tietosiirtojen vaikutustenarviointityökalun (Transfer Risk Assessment, jäljempänä TRA) sekä siihen liittyvää ohjeistusta. Kyseinen julkaisu on osa ICO:n laajempaa päivitystä, joka liittyy UK:n yleiseen tietosuoja-asetukseen (UK GDPR) liittyvien ohjeiden kansainvälisiä siirtoja koskevaa osiota.

Uusi TRA-työkalu on vaihtoehto jo vakiintuneelle Euroopan tietosuojaneuvoston (EDPB) Transfer Impact Assessment (TIA) -vaikutustenarviointityökalulle, ja soveltuu erityisesti UK:n henkilötietojen rajoitettuihin siirtoihin (eli siirtoihin tietosuojatasoltaan riittämättömiin kolmansiin maihin), jotka perustuvat UK GDPR:n artiklan 46 siirtomekanismeihin. Käytännössä siis UK:ssa toimivat tahot voivat käyttää TRA:ta TIA:n sijasta - EU:ssa toimivat tahot taas eivät voi näin vapaasti valita TRA:n ja TIA:n väliltä.

Mikä on TIA?

Selventääksemme TRA-työkalua, kuvailemme ensin lyhyesti TIA-työkalua.

TIA on pohjimmiltaan tietosuojatyökalu, jolla arvioidaan kolmansiin maihin tehtävien henkilötietojen siirtojen laillisuutta ja riskejä. Tarve suorittaa tämä arviointi johtuu EDPB:n Suosituksista 1/2020 ja Suuntaviivoista 5/2021, jotka puolestaan olivat seurausta kuuluisasta Schrems II -päätöksestä (C311/18), joka mm. mitätöi Yhdysvaltojen ja EU:n välisen Privacy Shield -järjestelyn ja asetti vaatimuksia kolmansien maiden lainsäädännön tapauskohtaiselle tarkastelulle ennen henkilötietojen siirtoa.

Schrems II -ratkaisun jälkeisessä oikeustilassa, henkilötietojen viejä ei voi enää yksinkertaisesti tukeutua EU GDPR:n artiklan 46 siirtomekanismeihin eli asianmukaisiin suojatoimiin. Sen sijaan, viejän tämän lisäksi tulee tehdä TIA-työkalun avulla tapauskohtainen tarkastelu siitä, takaako siirron kohteena oleva maa EU:n tasoa vastaavaa tietojen suojaa. Mikäli yritys tarkastelun seurauksena huomaa, että kolmannen maan tietosuoja ei vastaa vaatimuksia, yrityksen on saatettava voimaan lisäsuojatoimenpiteitä tai keskeytettävä tiedonsiirrot.

Tilanteen seurauksena tiedonsiirrot kolmansiin maihin ovat vaikeutuneet, kun taas tiedonsiirrosta Yhdysvaltoihin on tullut vähintäänkin oikeudellisesti epävarmaa. On jopa nostettu esille väitteitä, että tiedonsiirrot Yhdysvaltoihin olisi käytännössä kielletty johtuen EU:n viranomaisten joustamattomista ohjenuorista.

ICO:n TRA-lähestymistapa

ICO:n käyttöön ottama TRA-työkalu voidaan nähdä pyrkimyksenä lieventää syntynyttä epävarmaa tilannetta ja yksinkertaistaa tietosiirtoja kolmansiin maihin. Käytännössä UK:seen sijoittautuneet tietojen viejät voivat nyt valita uuden TRA-lähestymistavan tai EU:n valtuuttaman TIA:n välillä.

TRA:ssa on kuitenkin joitakin olennaisia rajoituksia: ensinnäkin työkalu on suunniteltu yksinkertaisiin siirtoihin, eli siirtoihin, joissa tiedot menevät vain yhdelle maahantuojalle, joka sijaitsee yhdessä kohdemaassa. Toiseksi on tärkeää muistaa, että työkalua voidaan soveltaa vain ns. puhtaisiin UK:n tietoihin – EU ei tunnusta TRA:ta, joten se ei takaa EU:n GDPR:n ja EDPB-ohjeiden vaatimusten täyttymistä.

TRA vs. TIA

Vaikka TRA ei välttämättä sovellu EU:n tiedonsiirtoihin, on silti hyödyllistä tarkastella ICO:n työkalua sen määrittämiseksi, voisiko EU mukauttaa lähestymistapaansa tulevaisuudessa.

TRA-työkalu on kyselylomakkeen muodossa ja koostuu kuudesta (6) pääkysymyksestä.

1. Ensimmäinen pääkysymys asettaa vaatimukseksi yksityiskohtaisten tietojen kirjaamisen kaikista siirroista. Tämä vastaa olennaisin osin TIA:n ”know your transfers” -vaatimusta.
2. Toinen kysymys koskee henkilötietojen riskitasoa. Tässä vaiheessa arvioidaan riskiä, joka kohdistuu siihen henkilöön, jota henkilötieto koskee. Jos tiedot ovat sen tyyppisiä, että vahingon riski on alhainen, mikäli henkilötietoja väärinkäytetään tai ne katoavat, siirto voi tapahtua ilman lisäarviointia. Tämä merkitsee poikkeamista TIA:sta, joka käsittelee kaikkia tietoja yhtä tiukasti, riippumatta niiden potentiaalisesta arkuudesta.
3. Kolmannessa kysymyksessä määritellään kunkin yksittäisen organisaation kannalta kohtuullinen ja oikeasuhteinen tutkinnan taso. Jos yritys on pk-yritys, TRA ei odota niiden suorittavan yhtä tarkkaa tutkimusta kolmansien maiden tietosuojatasosta kuin suuret yritykset. Sen sijaan pk-yritykset voivat luottaa julkisesti saatavilla oleviin tietoihin. Tämä eroaa huomattavasti TIA-lähestymistavasta, joka ei tee eroa yritysten koon tai resurssien välillä.
4. Neljäs kysymys velvoittaa yrityksiä tarkastelemaan, onko siirrossa ihmisoikeusloukkausten vaaraa. Jos riski on pienempi kuin merkittävä, tässä vaiheessa ei synny lisävelvoitteita, toisin kuin TIA-lähestymistavassa, jonka on tulkittu edellyttävän lähes nollariskiä.
5. Viides kysymys koskee siirtomekanismin täytäntöönpanokelpoisuutta maahantuojaa vastaan. Tässä vaiheessa ei synny lisävelvoitteita, jos on vain pieni todennäköisyys, että mekanismi ei olisi täytäntöönpanokelpoinen. Tämä liikkumavara puuttuu TIA-lähestymistavasta.
6. Kuudes kysymys koskee kysymysten 4 ja 5 tulosta, sillä organisaatiot voivat jatkaa siirtoa vain, jos ihmisoikeuksia tai täytäntöönpanokelpoisuuden ongelmia ei ole havaittu. Kysymys 6 nimittäin sisältää luettelon poikkeuksista rajoitettuihin siirtoihin. Jos tiettyä siirtoa koskee poikkeus, siirtoa voidaan jatkaa.

Tuleeko EU seuraamaan perässä?

ICO:n TRA vaikuttaa olevan riskiperusteisempi lähestymistapa kuin sen TIA-vastine, ja siksi se on luultavasti yritysystävällisempi ja pragmaattisempi. Käytännönläheisyys voi kuitenkin syntyä ainoastaan oikeussubjektien henkilötietojen turvan kustannuksella. Lisäksi vastauksena kritiikkiin ja väitteisiin ohjeidensa epäkäytännöllisyydestä EDPB on vain vastannut, että laki (erityisesti GDPR) EU:n tuomioistuimen tulkitsemana rajoittaa sen liikkumavaraa. Siksi on epätodennäköistä, että EDPB muuttaisi ohjeitaan ICO:n TRA-työkalun julkaisun myötä.

Tästä huolimatta on tärkeätä korostaa, että EDPB:n suositukset ja ohjeet ovat vain suosituksia eivätkä sitovaa lainsäädäntöä. Siksi jotkut asiantuntijat väittävät, että teoriassa yritysten olisi mahdollista omaksua enemmän riskiin perustuva lähestymistapa. Tämä on kuitenkin sangen riskialtista ja voi johtaa ei-toivottuihin seurauksiin erityisesti seuraamusmaksujen muodossa. Siksi on erittäin epätodennäköistä, että EU:hun sijoittautuneet viejät vaihtaisivat TRA-työkaluun tai muuhun riskiperusteiseen lähestymistapaan. Lisäksi monet UK:ssa toimivista viejistä valinnee edelleen TIA-lähestymistavan, koska on todennäköistä, että suuri osa niiden tiedonsiirtovirrasta koostuu sekä UK:n että EU:n henkilötiedoista.

Tulevat kehitysaskeleet

EDPB:n TIA-lähestymistavan suurin ongelma on ollut Yhdysvaltojen tilanne, joka on jättänyt monet yritykset kaipaamaan järkevämpää lähestymistapaa.

Viime aikoina on kuitenkin ollut nähtävissä konkreettisia askelia tilanteen ratkaisemiseksi. Euroopan komissio ja Yhdysvallat antoivat 25.3.2022 yhteisen julkilausuman, jossa ne vahvistivat, että ne ovat periaatteessa sopineet uudesta Trans-Atlantic Data Privacy Frameworkista. Lisäksi presidentti Biden allekirjoitti 7.10.2022 toimeenpanomääräyksen Yhdysvaltojen tiedustelutoiminnan turvatoimien tehostamisesta (Executive Order on ‘Enhancing Safeguards for United States Signals Intelligence Activities'), jolla periaatesopimus saatetaan osaksi Yhdysvaltain lainsäädäntöä. Tämän perusteella Euroopan komissio aloittaa nyt Yhdysvaltain tietosuojatason riittävyyttä koskevan päätösmenettelyn.

Nähdäksemme siis EU on päättänyt harjoittaa diplomatian ja sopimusrakenteiden luontia kolmansien maiden kanssa sen sijaan, että tekisi TIA:sta käytännöllisempää. Näin ollen on epätodennäköistä, että EU käytännönläheistäsi TIA:aa ainakaan ennen kuin päätös Yhdysvaltojen tietosuojasta on saatettu loppuun.

Artikkelin laadintaan osallistui lakimiesharjoittelijamme Savva Kuparinen.