Sanna-Maria Bertell: Henkilötietojen kansainvälisiin siirtoihin tarvitaan selkeyttä – tietosuojaviranomaisilta tulossa ohjeistusta ehkä jo lähiviikkoina?

Datavirtoihin iski kesällä meteori, joka oli tehnyt tuloaan jo pitkään. EU-tuomioistuin mitätöi EU:n ja USA:n välisen tietojensiirtokehyksen, Privacy Shieldin. Tämä ns. Schrems II -tuomio oli odotettu, sillä perusongelma on ollut tiedossa jo pitkään. Yhdysvaltain tiedustelulait, joiden perusteella henkilötietoja ei suojata samalla tasolla kuin EU:ssa.

Henkilötietojen siirrot EU:n ulkopuolelle tarvitsevat laista tulevan oikeusperusteen, joista tämä sopimus on ollut yksi. Privacy Shieldiä koskien tuomio oli osittain odotettu ja yritykset olivat jo ehtineet osittain myös sopeuttaa toimintaansa. Eurooppalaiset yritykset ovat luottaneet laajasti vaihtoehtona mallisopimuslausekkeisiin (SCC, standard contractual clauses), mutta tuomio horjutti myös tätä siirtoperustetta. Hurjinta on, ettei tuomio jättänyt minkäänlaista sopeutumisaikaa yrityksille ja organisaatioille.

Komissio ja Euroopan tietosuojaneuvosto ovatkin nyt kovan paikan edessä. Komissio tekee työtä USA:n kanssa, jotta löydettäisiin kehys datansiirroille. Lisäksi mallisopimuslausekkeille tullaan antamaan ohjeistusta ja lisäkriteeristöä, että niihin saataisiin lisää oikeusvarmuutta. Nämä eivät ole nopeita ratkaisuja, eivätkä poista valuvikoja vaikkapa USA:n tiedustelulakien suhteen.

Yritykset kantavat vastuun, joutuvat toimimaan nyt epävarmassa välitilassa

Tällä hetkellä tuomion luoma epävarmuus lisääntyy eri jäsenmaiden viranomaisten vaihtelevilla neuvoilla ja tulkinnoilla. Yritykset kantavat vastuun henkilötietojen asianmukaisesta käsittelystä, mutta joutuvat nyt toimimaan epävarmassa välitilassa. Selvää on, että viimeistään nyt on syytä tarkastaa omat datan siirtoperusteet ja dokumentoida ne, ja valmistautua mallisopimuslausekkeiden lisätoimenpiteisiin. Yritysten tulee jo nyt yrittää tehdä parhaansa, ja käydä läpi, mitä nämä tarkoittavat yrityksille.

Mallilausekkeiden modernisointityöstä apua

Mallilausekkeiden modernisointityö etenee, ja ilmeisesti voimme odottaa jotain luonnosta loka-marraskuun vaihteessa. Mitä lisätoimenpiteitä mallilausekkeiden käyttö tuleekin vaatimaan, ohjeistuksesta toivotaan tietenkin käytännön apua. Niiden tulee olla suhteellisia ja ottaa huomioon myös teknologinen kehitys asiassa. Pelkästään datan paikallistaminen EU-alueelle ei voi olla ratkaisu.

Myös Brexit haastaa datavirtojen siirtymistä

Ikävää on myös muistuttaa, että tämä ei ole pelkästään USA-EU -suhteiden ongelma. Mallisopimuslausekkeet ovat maaneutraaleja ja tulevat pitkään olemaan monen maan kohdalla lähes ainoa realistinen datan siirtomekanismi. Myös Brexitin siirtymäkauden loppuminen tarkoittaa, että ratkaisuja tiedonsiirtoon tarvitaan kipeästi ja kiireellisesti, ettei datavirrat vaarannu tarpeettomasti ja yrityksille jäisi edes jonkin verran sopeutumisaikaa.