Safe Harbor -järjestely pätemätön – tietosuojavaltuutettu julkaisi ohjeistusta yrityksille

21.10.2015

EU-tuomioistuin linjasi lokakuun alussa, että komission päätös Yhdysvaltojen ns. Safe Harbor -järjestelystä on pätemätön. Muuttuneen tilanteen vuoksi tietosuojavaltuutettu on nyt julkaissut ohjeistusta yrityksille ja muille rekisterinpitäjille.

Ohjeistuksessa todetaan, että useat verkko- ja pilvipalvelut siirtävät henkilötietoja EU-alueelta Yhdysvaltoihin tallennettavaksi tai prosessoitavaksi käyttäen Safe Harbor -järjestelyä.

Tietosuojavaltuutettu toteaa, että henkilötietoja ei voida enää siirtää Yhdysvaltoihin Safe Harbor -järjestelyn nojalla, ja ohjeistaa palveluja käyttäviä tai muutoin henkilötietoja Yhdysvaltoihin siirtäviä yrityksiä seuraavasti:

  • Selvitä, siirrätkö toiminnoissasi henkilötietoja Yhdysvaltoihin.
  • Selvitä sopimuksistasi, siirrätkö tai siirtävätkö alihankkijasi henkilötietoja Yhdysvaltoihin Safe Harbor -järjestelyn perusteella.
  • Jos henkilötietoja siirretään Yhdysvaltoihin Safe Harborin nojalla, ota yhteyttä palveluntarjoajaan.
  • Selvitä, voitko jatkaa henkilötietojen siirtoa tai palvelun käyttöä muiden tietojensiirtoperusteiden, esimerkiksi Euroopan komission hyväksymien mallisopimuslausekkeiden nojalla. Selvitä myös Eurooppaan sijoittuneet vaihtoehdot tarvitsemallesi palvelulle.
  • Informoi asiakkaitasi ja muita käyttäjiäsi mahdollisista muutoksista.

Lisäksi ohjeistuksessa todetaan, että EU:n tietosuojavaltuutetut selvittävät edelleen EU-tuomioistuimen päätöksen vaikutusta muihin tietojensiirtoperusteisiin. Työn arvioidaan valmistuvan tammikuun 2016 loppuun mennessä.

Henkilötietojen siirtoja koskevat yleiset pelisäännöt   

Henkilötietolain mukaan henkilötietojen siirrot EU- ja ETA-maiden ulkopuolelle ovat sallittuja pääsääntöisesti vain tilanteissa, joissa pystytään varmistamaan riittävä tietosuojan taso tietoja siirrettäessä.

Euroopan komission mukaan joissakin maissa lainsäädäntö takaa riittävän tietosuojan tason ja henkilötietojen siirtäminen näihin maihin voi käytännössä tapahtua samalla tavalla kuin EU- ja ETA-alueella. Tällaisia maita ovat esimerkiksi Australia ja Sveitsi.

Muihin EU- tai ETA-alueen ulkopuolisiin maihin henkilötietoja voidaan siirtää vain henkilötietolain 23 §:ssä määritetyillä tietojensiirtoperusteilla. Tällaisia perusteita ovat esimerkiksi komission hyväksymät mallisopimuslausekkeet, konsernin sisäiset tietosuojasäännöt ja yritysten itse laatimat sopimuslausekkeet. (Katso tietosuojavaltuutetun opas Henkilötietojen siirto ulkomaille henkilötietolain mukaan.)

Mikä Safe Harbor?

Yhdysvalloissa ei ole tietosuojaa koskevaa yleislainsäädäntöä. Komissio kuitenkin katsoi vuonna 2000 tekemässään päätöksessä, että ns. Safe Harbor -järjestely täyttää vaatimuksen riittävästä tietosuojan tasosta.

Safe Harbor on pohjautunut ajatukseen, että tietosuojan riittävä taso on turvattu, jos yhdysvaltalainen siirron saava organisaatio, esimerkiksi pilvipalvelua tarjoava yritys, on sitoutunut julkisesti noudattamaan Yhdysvaltojen kauppaministeriön ja komission yhteisesti hyväksymiä periaatteita.

Periaatteiden mukaan organisaatioiden on muun muassa ilmoitettava, mihin tarkoitukseen henkilötietoja kerätään ja käsitellään, ja huolehdittava tietojen asianmukaisesti suojaamisesta.

Lokakuun alussa EU-tuomioistuin totesi, että komission päätös on pätemätön. EU:n tietosuojavaltuutetut linjasivat viime viikolla, ettei henkilötietoja voi enää siirtää Yhdysvaltoihin Safe Harborin nojalla.

Komissio neuvottelee parhaillaan Yhdysvaltojen hallinnon kanssa korvaavien siirtomenettelyjen luomisesta Safe Harborin tilalle.

Lue lisää: