Schrems II ja EU-US tiedonsiirron tulevaisuus

General Data Protection Regulation:in (GDPR) voimaantulon jälkeen on tiedonsiirto EU:n ulkopuolelle ollut uusien asetuksien tarpeessa. Moni valtio ei pysty takaamaan GDPR:n velvoittamaa tietosuojaa siirrettävällä datalle, mutta voimassa olevien tiedonsiirtosopimusten on annettu olla voimassa siitä huolimatta. Nyt EU:n tuomioistuin on viimein antanut päätöksen asiasta.

16. päivä heinäkuuta 2020 Euroopan unioni tuomioistuin antoi päätöksen ratkaisusta C-311/18, joka tunnetaan yleisimmin nimellä Schrems II-tuomio. Päätöksessään tuomioistuin totesi, että tietojen viejällä ja tietojen vastaanottajalla on velvollisuus ennen siirtoa ja sen ympäröivät olosuhteet huomioon ottaen, varmistaa että kolmannessa maassa mihin EU:n henkilön henkilötietoja siirretään, noudatetaan edellytettyä tietosuojan tasoa. Tietojen vastaanottajan on ilmoitettava tietojen viejälle, jos se on kykenemätön noudattamaan edellytettyjä tietosuojaa, jolloin tietojen viejän on välittömästi keskeytettävä tietojen siirtäminen ja/tai irtisanottava sopimus tietojen vastaanottajan kanssa.

Päätös tarkasteli tarkemmin EU:n ja Yhdysvaltojen välillä tapahtuvaa tiedonsiirtoa, koska kyseisessä tapauksessa tapahtuneet siirrot tapahtuivat tällä välillä. Tuomioistuimen näkemyksen mukaan Yhdysvaltojen sisäisten säännöstön asettamat vaatimukset sekä tietyt ohjelmat, joiden perusteella Yhdysvaltojen viranomaiset saavat oikeutuksen käyttää EU:sta siirrettyä henkilötietoja kansalliseen turvallisuuteen liittyviin tarkoituksin, eivät täytä EU:n GDPR asettamia edellytyksiä henkilötietojen suojasta. GDPR:n mukaan henkilötietojen suojan kuuluisi täyttää edelletyt vaatimuksen, jos tietojen viejä haluaa niitä siirtää EU:n ulkopuolelle. Oleellisena puutteena osoitettiin myös lainsäädännön tarve antaa rekisteröidylle oikeus, jonka perusteella voitaisiin vedota yhdysvaltalaisia viranomaisia vastaan tuomioistuimessa.

Päätös toteaa pitkään EU:n ja Yhdysvaltojen välillä toimineen Privacy Shield -järjestelyn tarjoaman tietosuojan olevan riittämätön ja totesi Privacy Shielding aikaisemmin riittävyyden toteavan päätöksen 2016/1250 pätemättömäksi. Vaikka tuomioistuimen päätös koskee suoranaisesti vain Privacy Shieldin tarjoamaa tietosuojaa EU:n ja Yhdysvaltojen välillä tehtävissä tiedonsiirroista, sovelletaan päätöstä myös kaikkiin muihin EU:n ulkopuolella oleviin maihin tehtäviin tiedonsiirtoihin.

Yritykset, jotka ovat aikaisemmin tehneet tiedonsiirtoa Yhdysvaltoihin Privacy Shield -järjestelyä hyödyntäen, joutuvat nyt etsimään itselleen uusia vaihtoehtoja. Sen sijaan mallisopimuslausekkeet, toinen tyypillinen tiedonsiirron malli EU:n ulkopuolelle, todetaan olevan edelleen lainmukainen. Tuomioistuin kuitenkin korosti, että tietojen viejän ja tietojen vastaanottajan velvollisuutena on arvioida, tarjoaako kyseinen maa GDPR:n edellyttämää tietosuojaa, jotta mallisopimuslausekkeessa annetut takeet varmasti täyttyvät. Jos vaaditut edellytykset eivät täyty, on osapuolten arvioitava, kykenevätkö he lisätoimenpiteillä varmistamaan vaaditun tietosuojan tason sekä kolmannen maan lainsäädännön mahdollisuudet poiketa näistä lisätoimenpiteistä.

Lisää tietoa Schrems II-tuomiosta ja sen vaikutuksesta:  Euroopan tietosuojaneuvosto – Schrems II

Jan Lauhde