close
Share with your friends

Kansainvälisten tiedonsiirtojen tietosuojavaatimukset kiristyivät merkittävästi

Tiedonsiirtojen tietosuojavaatimukset kiristyivät

Euroopan unionin tuomioistuimen (EUT) Schrems-ratkaisu iskee rajusti sopimuksiin EU:n ulkopuolisten palveluntarjoajien kanssa. Se korostaa Vendor Due Diligencen sekä räätälöityjen sopimusoikeudellisten kontrollien käyttöä.

Aiheeseen liittyvää sisältöä

EU:n yleisen tietosuoja-asetuksen mukaan henkilötietoja ei saa siirtää EU/ETA-maiden ulkopuolelle kolmansiin maihin ilman asetuksen määrittämien erillisten oikeudellisten siirtomekanismien käyttämistä. Euroopan unionin tuomioistuin (EUT) on heinäkuussa antamassaan ratkaisussa (C-311/18 Schrems II) ottanut kantaa hyväksyttävien siirtomekanismien sisältöön, ja kumonnut niistä keskeisen Euroopan unionin ja Yhdysvaltojen välisen Privacy Shield -erityisjärjestelyn EU:n perusoikeuksien vastaisena.

Eurooppalaiset yhtiöt joutuvat nyt etsimään uusia siirtomekanismeja tai lopettamaan EU:n ulkopuolisten palveluntarjoajien käytön.

Ristiriitainen lainsäädäntö voi estää laillisen siirtomekanismin

Privacy Shieldin pätemättömäksi toteamisen syynä oli ennen kaikkea Yhdysvaltojen tiedusteluviranomaisten laajat oikeudet saada pääsy Yhdysvaltoihin sijoittautuneiden yhtiöiden hallinnoimiin tietoihin. Lisäksi järjestely ei taannut EU:n kansalaisille riittäviä oikeussuojakeinoja tiedusteluviranomaisten henkilötietojen käsittelyä kohtaan. Huomattava osa Yhdysvaltoihin tapahtuvista tiedonsiirroista on tapahtunut Privacy Shieldin nojalla. 

Lainsäätäjä edellyttää jatkossa Vendor Due Diligencea

Ratkaisussa EUT arvioi myös Euroopan komission vuonna 2010 vahvistamien mallisopimuslausekkeiden (Standard Contractual Clauses) pätevyyttä oikeudellisena siirtomekanismina. Mallisopimuslausekkeet ovat hyvin laajasti käytössä oleva mekanismi, joka sekin sai uusia vaatimuksia ratkaisun myötä. Tuomioistuin korosti sitä, että mallisopimuslausekkeet eivät automaattisesti itsessään takaa siirron lainmukaisuutta, vaan että siirron osapuolten on arvioitava erikseen tarvetta lisätoimenpiteille henkilötietojen asianmukaisen suojan takaamiseksi.

EUT totesi, että lisäsuojatoimenpiteiden tarpeellisuutta koskevan arvioinnin tekeminen on rekisterinpitäjän vastuu. Tässä arvioinnissa rekisterinpitäjän tulee ottaa huomioon mallisopimuslausekkeiden sisältö, tietojensiirron tapauskohtaiset olosuhteet ja kohdemaan henkilötietojen suojaa koskevan lainsäädännön suojan taso.

Lisäsuojatoimenpiteet huomioitava kaikissa tiedonsiirroissa ja siirtomekanismeissa

Vaatimus lisäsuojatoimenpiteistä (additional safeguards) koskee yhtä lailla kaikkia EU:n tietosuoja-asetuksen, GDPR:n mukaisia oikeudellisia siirtomekanismeja. Vielä toistaiseksi ei ole tuomioistuinkäytäntöä tai viranomaisohjeistusta siitä, millaisin lisäsuojatoimin henkilötietoja voisi siirtää maihin, joiden tietosuojalainsäädännön taso ei vastaa eurooppalaista henkilötietojen suojan tasoa.

Pohjimmiltaan lisäsuojatoimenpiteet lienevät luonteeltaan teknisiä, organisatorisia tai menettelyllisiä. Mallisopimus- ja sopimusmenettelyissä tällaiset lisätoimenpiteet olisivat luonteeltaan sopimusoikeudellisia velvoitteita. Näiden käyttämisen yhteydessä korostuvat sopimusoikeuden säännöt, tulkinta ja sopimustekniikka. 

Toimi tai pysäytä toiminta -periaate

EUT toteaa ratkaisussaan selkeästi, että unioniin sijoittautuneen rekisterinpitäjän on keskeytettävä henkilötietojen siirrot kolmanteen maahan, jos se ei voi toteuttaa riittäviä lisätoimenpiteitä suojan varmistamiseksi. Vastaavasti jäsenvaltioiden tietosuojaviranomaisten on keskeytettävä tai kiellettävä siirrot tällaisissa tapauksissa, joissa rekisterinpitäjä ei ole sitä omatoimisesti tehnyt. 

Miten rekisterinpitäjän tulisi Schrems II -ratkaisun seurauksena toimia?

Valittaessa palveluntarjoajaa, joka käsittelee tietosuoja-asetuksen suojaamia tietoja EU:n ulkopuolella, rekisterinpitäjän tulee suorittaa riskiarvio ja määritellä sovellettavat lisäsuojatoimenpiteet, mikäli kohdemaan lainsäädäntö aiheuttaa riskin heikommasta tietosuojan tasosta.  Tämä on lisävaatimus aikaisempaan käytäntöön, jossa pelkkä mallisopimuslausekkeisiin perustuvan tietojenkäsittelysopimuksen tekeminen mahdollisti kansainvälisen tiedonsiirron.

Epävarmuutta lisää se, että tällä hetkellä käytössä olevat mallisopimuslausekkeet ovat vanhoja, eikä päivitettyjen mallisopimuslausekkeiden tai lisäsuojatoimeinpiteitä koskevan viranomaisohjeistuksen julkaisuajankohdat ole tiedossa. Siten mahdollisiin komissiolta tuleviin mallisopimuslausekkeita koskeviin muutoksiin on myös hyvä varautua ennakkoon, jos tiedonsiirto perustuu näihin lausekkeisiin.  

Mitä toimenpiteitä ratkaisu edellyttää?

Jos käytät henkilötietojen käsittelijöitä tai toimit itse käsittelijänä, tarkasta, mitä henkilötietojen kansainvälisistä siirroista on sovittu tietojenkäsittelysopimuksissa, ja arvioi, tulisiko sopimuksia tältä osin päivittää. 

Jos siirrät henkilötietoja EU:n tai ETA:n ulkopuolelle, varmista, että henkilötietojen siirrot toteutetaan käyttämällä GDPR:n mukaista siirtomekanismia. Jos siirtoja on tehty Privacy Shield -mekanismin perusteella, näille siirroille on määriteltävä vaihtoehtoinen toteuttamistapa. Jos käytät tai suunnittelet käyttäväsi siirron perusteena mallisopimuslausekkeita, arvioi siirron asianmukaisuutta seuraavasti: 

 

1) Laadi riskiarvio

—   Paikallisen lainsäädännön tarjoamat tietosuojan lailliset ja menettelylliset turvamekanismit ja tosiasiallinen tietosuoja sekä mahdolliset kansainväliset tietosuojaa koskevat sopimukset;

—   Kansallisen turvallisuus- ja muun lainsäädännön aiheuttama uhka tietosuojalle ja se, että realisoituuko tämä (voi olla sektorikohtainen);

—   Henkilötietojen omistajan tosiasiallinen pääsy ja vaikuttamismahdollisuutensa henkilötietoihinsa, myös valitukset sekä muut käytettävissä olevat oikeussuojakeinot;

—   Tietosuojaviranomaisten rooli ja tuki yksilölle tarkasteltavassa maassa.

 

2)  Määritä riskiarvion perusteella tarpeelliset lisäsuojatakeet

—   Lisäsuojatakeiden määrittelyssä on otettava huomioon käsittelyn konteksti ja tiedot vastaanottavan organisaation sijaintialueen lainsäädäntöön liittyvät erityiset näkökulmat;

—   Teknisten (tyypillisimmin salaus, pseudonymisointi), organisatoristen (esim. valtuudet ja tiedonkäsittelyn rakenteet) ja menettelyllisten (esim. toimintamallit riskitilanteissa)  toimenpiteiden tunnistaminen ja niistä kommunikointi sekä neuvottelu vastapuolen kanssa.

 

3) Integroi edellä määritellyt lisäsuojatakeet osaksi tiedonsiirtoa koskevaa sopimusta tiedon vastaanottajan kanssa.

 

KPMG:n tietosuoja- ja teknologiajuridiikan asiantuntijat auttavat kaikissa vastaan tulevissa kysymyksissä.

Lisätietoja:

Kira Ahveninen-Kuha

etunimi.sukunimi@kpmg.fi

+358 20 760 3799

 

Jesse Heiskanen

etunimi.sukunimi@kpmg.fi

+358 20 760 3000

© 2020 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.

KPMG International Cooperative (“KPMG International”) is a Swiss entity.  Member firms of the KPMG network of independent firms are affiliated with KPMG International. KPMG International provides no client services. No member firm has any authority to obligate or bind KPMG International or any other member firm vis-à-vis third parties, nor does KPMG International have any such authority to obligate or bind any member firm.

Ota yhteyttä

 

Kuinka KPMG voi auttaa?

 

loading image Jätä tarjouspyyntö