Euroopan unionin ja Yhdysvaltain välinen tietojenluovutusmekanismi Privacy Shield mitätöitiin kesällä Euroopan unionin tuomioistuimen päätöksellä.
Tähän asti eurooppalaiset rekisterinpitäjät ovat voineet siirtää henkilötietoja Yhdysvaltoihin, jos vastaanottava organisaatio on kuulunut luovutusmekanismin piiriin. Mitätöintipäätös perustui Euroopan komission tekemään arvioon, jonka mukaan Yhdysvallat ei pysty varmistamaan siirrettäville henkilötiedoille riittävää tietosuojan tasoa.
Tietosuojaviranomaiset Suomessa ja Euroopassa laativat parhaillaan lisäselvityksiä ja –suosituksia, joilla autetaan rekisterinpitäjiä ja henkilötietojen käsittelijöitä ottamaan käyttöön asianmukaisia toimenpiteitä, kun henkilötietoja siirretään Yhdysvaltoihin tai muihin ETA-alueen ulkopuolisiin maihin.
Moni suomalainenkin yritys, järjestö ja liitto on siirtänyt henkilötietoja Yhdysvaltoihin Privacy Shield –tietojenluovutusmekanismin turvin. Nyt niiden on arvioitava uudestaan tietojenkäsittelyn ja tietojen siirron aiheuttamat riskit.
Euroopan unionin tietosuojaneuvosto antoi heinäkuussa seuraavan ohjeen rekisterinpitäjille, jotka siirtävät henkilötietoja Yhdysvaltoihin:
“Voit tarvittaessa harkita lisätoimenpiteitä, joita olisi käytettävä tapauskohtaisesti ottaen huomioon siirron kaikki olosuhteet ja jotka perustuvat arviointiin siitä, varmistaako kolmannen maan lainsäädäntö riittävän tietosuojan tason. Tuomioistuin korosti, että on tietojen viejien ja tietojen tuojien ensisijainen tehtävä toteuttaa tämä arviointi ja tarpeelliset lisätoimenpiteet. Euroopan tietosuojaneuvosto analysoi tuomioistuimen tuomiota määrittääkseen, millaisia lisätoimenpiteitä voitaisiin toteuttaa mallisopimuslausekkeiden tai BCR-sääntöjen lisäksi. Euroopan tietosuojaneuvosto tutkii tarkemmin, mitä näihin lisätoimenpiteisiin voisi sisältyä, ja antaa lisäohjeita.”
Tietosuojaneuvoston puheenjohtaja Andrea Jelinek on vielä erikseen korostanut, että tietojen siirtoihin sovellettavissa toimenpiteissä ei ole olemassa yhtä kaikille sopivaa nopeaa ratkaisua.
Jokaisen organisaation ja rekisterinpitäjän on arvioitava omat tietojenkäsittelytoimensa sekä toteutettava tarvittavat toimenpiteet suhteutettuna tietojenkäsittelyn aiheuttamiin riskeihin.
Lue lisää:
Tietosuojavaltuutetun toimiston uutinen: https://tietosuoja.fi/-/euroopan-tietosuojaneuvosto-hyvaksyi-rekisterinpitajia-ja-henkilotietojen-kasittelijoita-koskevan-ohjeluonnoksen-ja-perusti-tyoryhman-schrems-ii-n-mukaisille-lisasuojatoimenpiteille
Euroopan tietosuojaneuvoston ohjeistus: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_faqs_schrems_ii_202007_adopted_fi.pdf