14.7.2016

Privacy Shield — EU:n ja Yhdysvaltojen välinen uusi tietosuojajärjestely

Euroopan komissio hyväksyi 12. heinäkuuta 2016 EU:n ja Yhdysvaltojen välisen Privacy Shield -järjestelyn, jonka tarkoituksena on turvata EU:ssa asuvan henkilön perusoikeudet, kun tämän henkilötietoja siirretään Yhdysvaltoihin. Lisäksi tavoitteena on tuoda oikeudellista selkeyttä yrityksille, jotka turvautuvat yli Atlantin kulkevaan tietojensiirtoon.

Tarve Privacy Shieldin luomiseen syntyi edellisen järjestelmän, niin kutsutun Safe Harborin, murennuttua. Safe Harbor -järjestelmä oli voimassa Yhdysvaltojen ja EU:n välillä 15 vuoden ajan aina vuoteen 2015 asti. Sen tarkoituksena oli niin ikään taata riittävä tietosuojan taso eurooppalaisten henkilötietojen käsittelylle Atlantin toisella puolella, jossa tietosuojakäytännöt ovat oleellisesti väljempiä. Euroopan unionin tuomioistuin kuitenkin julisti järjestelmän pätemättömäksi niin sanotussa Schrems-ratkaisussaan  6. lokakuuta 2015, jolloin syntyi tarve säätää pikaisesti uusia reunaehtoja EU:n ja Yhdysvaltojen välisille tietosuojakäytännöille.

Privacy Shield -järjestelyyn osallistuvat yritykset ovat Yhdysvaltojen kauppaministeriön suorittamien säännöllisten päivitysten ja tarkastelujen alaisia ja ne voidaan poistaa järjestelmästä, jos kauppaministeriö havaitsee, etteivät ne ole noudattaneet sääntöjä, joihin ne ovat sitoutuneet. Myös erilaisten seuraamusten määrääminen voi tulla tällaisessa tapauksessa kyseeseen. Suojelun tasoa taataan myös asettamalla tiukempia edellytyksiä tietojen siirtämiselle kolmansille osapuolille.

Myös Yhdysvaltojen viranomaisten pääsyä tietoihin on Privacy Shield -järjestelyssä rajoitettu: mahdollisuuteen päästä henkilötietoihin lainvalvonnallisista ja turvallisuuteen liittyvistä syistä sovelletaan selkeitä rajoituksia ja valvontamekanismeja. Yhdysvallat on sulkenut lisäksi pois Privacy Shield -järjestelyn puitteissa siirrettyjen henkilötietojen kohdentamattoman ja laajamittaisen valvonnan. Tällainen yleinen ja kohdentamaton valvonta oli yksi Safe Harborin suurimmista epäkohdista.

Yksilöiden oikeussuojakeinoja on tehostettu ja kaikilla EU:n kansalaisilla, jotka katsovat, että heidän tietojaan on käytetty väärin Privacy Shield -järjestelyn puitteissa, on käytettävissä useita helposti saatavilla olevia ja kohtuuhintaisia riitojenratkaisumekanismeja. Toiveena on, että yritys itse ratkaisee valituksen. Lisäksi käytettävissä on maksuttomia vaihtoehtoisia riitojenratkaisujärjestelyjä. EU:n kansalaisilla on mahdollisuus ottaa yhteyttä myös maansa kansallisiin tietosuojaviranomaisiin, jotka yhdessä Yhdysvaltojen liittovaltion kauppakomission kanssa varmistavat, että näiden henkilöiden valitukset tutkitaan ja niihin löydetään ratkaisu. Viimeisenä keinona on välimiesmenettely.

Privacy Shield -järjestelyssä sovelletaan lisäksi vuotuista yhteistä tarkastelumekanismia, jonka avulla seurataan järjestelyn toimintaa. 

Yritykset voivat 1. elokuuta 2016 alkaen antaa kauppaministeriölle oman varmennuksensa järjestelyn periaatteiden noudattamisesta. Samaan aikaan komissio tulee julkaisemaan kansalaisille tarkoitetun lyhyen oppaan, jossa kerrotaan käytettävissä olevista oikeussuojakeinoista.

Järjestely tuo mukanaan tiukemmat tietosuojastandardit, joiden noudattamista valvotaan paremmin kuin aikaisemmin. Tästä huolimatta Privacy Shield on saanut osakseen myös kritiikkiä, ja sen ehtojen valmisteluvaiheessa muun muassa Euroopan tietosuojavaltuutettujen työryhmä julkaisi kriittisen lausunnon järjestelmästä. Tämä on tosin otettu huomioon lopullisessa päätöksessä selvennyksin ja parannuksin. Nähtäväksi jää, tuleeko Privacy Shield täyttämään EU:n henkilötietolainsäädännön edellyttämän riittävän suojan tason, jossa sen edeltäjä epäonnistui.

Laura Sainio