Päivitys Safe Harbor -päätöksen vaikutuksista organisaatioille

Toissa viikolla käsittelimme paljon kiinnostusta herättäneessä artikkelissamme tuoretta EU-tuomioistuimen Safe Harbor -päätöstä. Tuomioistuin julisti komission Safe Harbor -päätöksen pätemättömäksi. Tuon päätöksen nojalla tietojen siirto USA:han EU-/ETA-alueelta on ollut helpompaa. Tämä vaikuttaa lukuisien organisaatioiden ICT-ulkoistuksiin, palveluntarjoajiin ja ICT-tuotantoon konsernin sisällä. Ensisijainen vastuu asian laillisesta järjestämisestä on rekisterinpitäjillä, eli organisaatioilla, joiden toimeksiannosta tietoja käsitellään.

Kerroimme samana päivänä, jolloin päätös oli annettu, alustavia arvioitamme päätöksen vaikutuksista yrityksille ja organisaatioille. Totesimme, että vaikka Safe Harbor -menettely ei enää ole käytettävissä, voidaan mallilausekkeita ja muita sopimusjärjestelyitä yhä käyttää tietojen siirrossa USA:han. Rekisteröityjen suostumukset käyvät myös perusteeksi tietojen siirrolle.

Tämän jälkeen asiasta on tullut lukuisia kannanottoja ja näkemyksiä useilta eri tahoilta. Blogosfäärissä löytyy lukuisia kirjoituksia asiasta ja lisäksi asiasta on kuultu myös tietosuojaviranomaisilta kannanottoja.

Merkittävä julkilausuma asiaan tuli viime perjantaina EU:n tietosuojatyöryhmältä (Article 29 Working Party). Työryhmä koostuu EU-maiden tietosuojaviranomaisista. Tietosuojatyöryhmän mukaan mallilausekkeet ja muut sopimusjärjestelyt (sisältäen BCR:t, Binding Corporate Rules) ovat toistaiseksi yritysten ja organisaatioiden käytettävissä tietojen siirtämiseksi USA:han. Tämä ei kuitenkaan estä viranomaisia puuttumasta yksittäistapauksissa tietojen siirtoon esimerkiksi valitusten perusteella. Tämä on täysin linjassa sen kanssa, miten asiaa arvioimme jo sinä päivänä, jolloin päätös tuli julki.

Tietosuojatyöryhmä myös ilmoittaa, että tammikuun 2016 loppuun mennessä tulisi uusien järjestelyiden olla toiminnassa. Vaikka viesti on pääasiassa osoitettu komissiolle ja USA:n kanssa neuvotteleville tahoille, tarkoittaa se käytännössä myös sitä, että yrityksillä ja organisaatioilla on tähän saakka aikaa järjestää tietojen siirto USA:han tietosuojan näkökulmasta uudelleen.

Toisaalta tietosuojatyöryhmän ja EU-tuomioistuimen päätöksestä on luettavissa, että tilanne saattaa muuttua vielä uudelleen. Blogeissa on esitetty arvioita, että esimerkiksi mallisopimuslausekkeiden käyttäminen voi osoittautua ongelmalliseksi, mikäli vastaanottavassa maassa tietojen massakeruu on mahdollista samaan tapaan kuin Yhdysvalloissa. Jopa suostumuksen käyttöön voi liittyä ongelmia. Nämä arviot eivät ole tuulesta temmattuja, mutta toistaiseksi oikeustila sallii esimerkiksi mallisopimuslausekkeiden käytön.

Näin yritykset ja organisaatiot ovat vaikean tilanteen edessä. Tietosuojakäytäntöjä tulisi muuttaa, mutta maali ei ole selvillä. Mikäli nyt käytäntöjä muutetaan niin, että siirrot tehdään yhä Yhdysvaltoihin ja perustetaan mallisopimuslausekkeisiin tai BCR-järjestelyihin, voi varsin nopeastikin osoittautua, että tämäkään ei ole riittävä tapa. Mikäli tietojen siirto on perustunut Safe Harbor -järjestelmään, on muutos kuitenkin väistämätön. Huolellinen organisaatio aloittaa siis muuttamisen jo nyt, informoi rekisteröityjä muuttuvasta tilanteesta ja valmistelee uutta tietojensiirtokäytäntöä sekä varautuu uusiin muutoksiin.

Mikäli tietojen siirron kohdemaaksi pystytään vaihtamaan EU-/ETA-alueen maa, on tilanne tietosuojan näkökulmasta huomattavasti selkeämpi.

Martin von Willebrand ja Tapio Siilola

Martin von Willebrand vastaa HH Partnersin teknologiaryhmästä

Tapio Siilola on HH Partnersin lakimies, erityisosaamisenaan tietosuojaan liittyvät kysymykset