19. heinäkuuta 2023 | Max Atallah
EU:n ja Yhdysvaltojen välinen tietosuojakehys – Data Privacy Framework (DPF)
Euroopan komissio hyväksyi 10. heinäkuuta 2023 päätöksen Yhdysvaltojen tietosuojan riittävästä tasosta liittyen EU:n ja Yhdysvaltojen väliseen tietosuojakehykseen (eng. Data Privacy Framework – DPF). Riittävällä tietosuojan tasolla tarkoitetaan tietosuojan tasoa, joka vastaa olennaisilta osin Euroopan unionissa taattua suojan tasoa.
Päätöksen myötä henkilötietoja voidaan jatkossa siirtää EU:sta DPF-sertifioiduille yhdysvaltalaisille yrityksille ilman lisäsuojatoimenpiteitä – eli siirrot tapahtuvat samoin ehdoin kuin EU:n sisäiset henkilötietojen siirrot. Yritykset ovat voineet hakea DPF-sertifikaattia 17.7.2023 lukien, joten kyseessä on varsin uunituore järjestely.
Kaikki voimassa olevat DPF-sertifioinnit löytyvät DPF-järjestelmän kotisivuilta kohdasta ’Data Privacy Framework List’.
Päätöstä edeltävä oikeustila
DPF-järjestely on verrannollinen aikaisempiin Safe Harbor - (v. 2000—2016) ja Privacy Shield (v. 2016—2020) -järjestelyihin, joiden puitteissa EU-toimija sai laillisesti siirtää tietoja yhdysvaltalaiselle palveluntarjoajalle, jolla oli Safe Harbor- tai Privacy Shield -sertifikaatti. Kyseiset järjestelyt mitätöitiin Euroopan unionin tuomioistuimen (EUT) kuuluisten Schrems I ja II -ratkaisujen (C-362/14 ja C-311/18) myötä siksi, että Yhdysvaltojen lainsäädäntö oli ristiriidassa EU-sääntelyn kanssa. Ristiriitaisuudet perustuivat etenkin seuraavaan kahteen seikkaan:
- Yhdysvaltojen lainsäädäntö mahdollisti Yhdysvaltojen tiedusteluviranomaisille liian vapaan pääsyn Yhdysvalloissa käsiteltävään dataan.
- Yhdysvaltojen lainsäädäntö ei mahdollistanut riittäviä oikeusturvakeinoja EU-rekisteröidyille.
Komission päätöstä edeltäneessä oikeustilassa henkilötietojen siirto Yhdysvaltoihin oli vähintäänkin oikeudellisesti epävarmaa ja käytännössä kielletty. Tämä johtui siitä, että vaikka henkilötietojen siirto Yhdysvaltoihin oli teoriassa mahdollista esimerkiksi komission vakiolausekkeita (eng. Standard Contractual Clauses – SCCs) käyttämällä, yritysten oli kuitenkin käytännössä mahdotonta asettaa vaadittuja lisäsuojatoimenpiteitä, jotka olisivat kompensoineet riittävästi Yhdysvaltojen oikeustilan vajautta suhteessa EU:n vaatimaan suojatasoon.
Pääasiallinen sisältö
DPF-järjestelmä koskee ainoastaan niitä yhdysvaltalaisia yrityksiä, jotka sitoutuvat tietosuojakehyksessä sovittuihin tietosuojaperiaatteisiin ja rekisteröivät sitoutumisensa Yhdysvaltain viranomaisissa (the U.S. Department of Commerce). DPF-tietosuojaperiaatteet takaavat EU-rekisteröidylle monia GDPR-lainsäädäntöä vastaavia oikeuksia, kuten pääsyn henkilötietoihin, joita on hänestä kerätty, sekä oikeuden saada häntä koskevat virheelliset tai lainvastaisesti käsitellyt tiedot oikaistuiksi tai poistetuiksi. Lisäksi DPF-järjestelmä tarjoaa erilaisia oikeussuojakeinoja, jos henkilön tietoja käsitellään väärin, kuten maksuttoman ja riippumattoman riitojenratkaisumekanismin.
Nämä periaatteet, riitojenratkaisumekanismit sekä itserekisteröitymisprosessi eivät kuitenkaan sisällä merkittäviä muutoksia verrattuna aikaisempaan Privacy Shield -järjestelmään. Itseasiassa periaatekokoelman otsikointi on jätetty samaksi kuin aikaisemmassa järjestelmässä, ja itse tekstienkään välillä ei ole merkittäviä eroja. Ei olisi siis virheellistä väittää, että DPF-tietosuojaperiaatteet liitteineen ovat vain hieman päivitetty kopio Privacy Shield -järjestelmästä.
Olennaisimmat päivitykset Yhdysvaltojen ja EU:n väliseen tietoturvakehikkoon ovatkin Yhdysvaltojen käyttöönottamat suojatoimet, joita koskeva yhteisymmärrys saavutettiin Yhdysvaltojen ja Euroopan komission välillä maaliskuussa 2022, ja joka pantiin täytäntöön lokakuussa 2022 annetulla Yhdysvaltain presidentin toimeenpanoasetuksella ja siihen liittyvillä Yhdysvaltain oikeusministerin (eng. Attorney General) antamilla asetuksilla.
Yhteisymmärryksen myötä seuraavat suojatoimenpiteet on otettu käyttöön Yhdysvalloissa:
- Sitovat suojatoimet, joilla rajoitetaan Yhdysvaltojen tiedusteluviranomaisten pääsyä henkilötietoihin siihen, mikä on välttämätöntä ja oikeasuhteista kansallisen turvallisuuden suojelemiseksi,
- Yhdysvaltojen tiedusteluviranomaisten toiminnan tehostettu valvonta valvontatoimia koskevien rajoitusten noudattamisen varmistamiseksi, ja
- Perustettu riippumaton ja puolueeton oikeussuojamekanismi, johon kuuluu uusi tietosuojan muutoksenhakutuomioistuin, joka tutkii ja ratkaisee valitukset, jotka koskevat Yhdysvaltojen kansallisten turvallisuusviranomaisten pääsyä rekisteröityjen henkilötietoihin.
Euroopan komission päätös Yhdysvaltojen tietosuojan riittävästä tasosta liittyen EU:n ja Yhdysvaltojen väliseen tietosuojakehykseen perustuukin pääasiassa näiden suojatoimien täytäntöönpanoon, joilla pyritään reagoimaan EUT:n Schrems II -ratkaisun osoittamiin puutteisiin.
Vaikutus muihin henkilötietojen siirtomekanismeihin
Yllä mainitut Yhdysvaltojen tietosuojatason päivitykset eivät päde ainoastaan uuden tietosuojakehyksen alaisiin henkilötietojen siirtoihin – vaan kaikkiin henkilötietojen siirtoihin Yhdysvaltoihin. Näin ollen oikeustilan kohentumisen myötä myös muut kuin DPF-järjestelmän alaiset henkilötietojen siirrot saavat lisäsuojaa. Henkilötietoja voidaankin nykyisessä oikeustilassa siirtää Yhdysvaltoihin myös muihin GDPR:n asianmukaisiin siirtomekanismeihin, kuten komission vakiolausekkeisiin tai yritystä koskeviin sitoviin sääntöihin (eng. Binding corporate rules), tukeutuen.
Kuitenkin näiden vaihtoehtoisiin siirtomekanismien tapauksessa sopimusosapuolten on oikeustilan kohentumisesta riippumatta suoritettava tapauskohtainen arviointi siitä, taataanko henkilötietojen siirrolle EU:n vaatimuksia vastaava tietosuojan taso sekä arvioitava tarve täydentävien suojatoimien käytölle (ns. transfer impact assessment - TIA). Tämä perustuu Schrems II -tapaukseen ja Euroopan tietosuojaneuvoston (European Data Protection Board – EDPB) suosituksiin.
Tulevaisuuden näkymät
DPF-järjestely tulee selkeyttämään sekä helpottamaan henkilötietojen siirtoa Atlantin yli. Se tulee myös vähentämään riskejä, jotka liittyvät laittomista henkilötietojen siirroista aiheutuviin hallinnollisiin seuraamusmaksuihin, toiminnan kieltämiseen viranomaisten toimesta ja mainehaittoihin. Lähtökohtaisesti jokainen suurempi yhdysvaltalainen yritys (esim. Google ja Microsoft) tulee todennäköisesti olemamaan DPF-sertifioitu yhtiö – ja kyseiset esimerkkiyritykset ovat sitä jo.
On kuitenkin oletettavaa, että DPF-järjestelylle käy tulevina vuosina samalla tavalla kuin Safe Harbor -ja Privacy Shield -järjestelyille, sillä Yhdysvaltojen lainsäädäntö mahdollistaa edelleen niin laajan pääsyn Yhdysvalloissa käsiteltäviin henkilötietoihin, että se on todennäköisesti edelleen ristiriidassa EU-sääntelyn kanssa. DPF-järjestelyn voi siten ymmärtää poliittiseksi järjestelyksi EU:n ja Yhdysvaltojen välillä – järjestely mahdollistaa lailliset tietojen siirrot alueiden välillä niin kauan, kunnes EUT puuttuu (oletettavasti) peliin.
Vaikutusvaltainen tietosuojaoikeuksia puolustava kansalaisjärjestö NOYB (Non Of Your Business) onkin jo ilmoittanut, että se tulee viemään uuden DPF-järjestelmän oikeuteen. Järjestön perustaja on Maximilian Schrems niminen henkilö, joka oli vaikuttava voima aiemmissa Schrems I ja II tapauksissa. Onkin siis hyvin todennäköistä, että tulemme näkemään lähiaikoina Schrems III -tapauksen EUT:n edessä.
Artikkelin laadintaan osallistui lakimiesharjoittelijamme Savva Kuparinen.