Euroopan unionin tuomioistuin on tänään 6.10.2015 antamallaan päätöksellä todennut Yhdysvaltojen ja EU:n välisen Safe Harbor -järjestelmän perustana olevan komission päätöksen pätemättömäksi. Mitä tämä tarkoittaa tietoja EU- tai Eta-alueelta Yhdysvaltoihin siirtävien yritysten kannalta?
Tietojen siirto Yhdysvaltoihin liittyy Suomessa lukuisiin suomalaisiin verkkopalveluiden tarjoajiin, jotka käyttävät palveluntuotannossa yhdysvaltalaisia palveluntarjoajia. Lisäksi lukuisat suomalaiset yritykset ostavat ICT-palvelujen tuotantoa joko suoraan tai toimittajiensa alihankkijoiden kautta Yhdysvalloista.
Tyypillisiä infrastruktuuripalveluita ovat Amazon AWS, Microsoft Azure, Heroku. Yritykset voivat hyödyntää infrastruktuuripalveluita joko suoraan tai alihankkijoidensa kautta. Sovellus- tai ratkaisutasolla kyse voi olla esimerkiksi sähköpostipalveluista, ja monista ulkoistetuista pilvipalveluista. Myös perustietotekniikan osalta pilviratkaisut kuuluvat ryhmään, johon EU-tuomioistuimen päätös vaikuttaa.
Kun suomalainen käyttäjäorganisaatio ottaa esimerkiksi sähköpostipalvelut käyttöön, joutuu organisaatio ottamaan kantaa työntekijöidensä henkilötietojen käsittelyyn. Organisaatio toimii rekisterinpitäjänä ja vastaa henkilötietojen käsittelystä. Tietoja sitten käsitellään yritysryhmän sisäisessä tai ulkoistetussa palvelussa. Tällaiseen palveluun liittyvät tietosuojakysymykset ovat rekisterinpitäjän vastuulla. Tyypillisesti organisaatio sopii toimittajan tai konserninsa kanssa tietosuojaan liittyvistä menettelytavoista, jotta organisaatio pystyy täyttämään velvollisuutensa rekisterissä olevia henkilöitä kohtaan. Organisaation on tullut laatia rekisteriseloste sekä informoida rekisteröityjä henkilötietojen käsittelystä. EU-tuomioistuimen päätöksen myötä näitä menettelytapoja tulee päivittää, mikäli tietoja on käsitelty Yhdysvalloissa Safe Harbor -järjestelmän perusteella. Menettelytapojen päivittämisen johdosta on yleensä syytä vähintäänkin informoida rekisteröityjä. Tarvittavat toimenpiteet riippuvat menettelytapojen päivitystavasta.
Päätös kytkeytyy lainsäädäntöömme siten, että henkilötietolain mukaan henkilötietoja voidaan siirtää EU:n/ETA:n ulkopuolelle ainoastaan, jos kyseisessä maassa taataan tietosuojan riittävä taso. EU-komissio on aiemmin henkilötietodirektiivin nojalla vahvistanut, että Safe Harbor -järjestelmä takaa riittävän tietosuojan tason ja tätä perustetta ovat käyttäneet esimerkiksi Facebook ja Google oikeuttamaan henkilötietojen siirtämisen Euroopasta Yhdysvaltoihin. Päätös tarkoittaa käytännössä sitä, että tietoja ei ole enää luvallista siirtää kyseisellä perusteella.
Samalla tuomioistuin on muun muassa todennut, että Yhdysvaltojen lainsäädännön mukaiset viranomaisten tiedonsaantivaltuudet ohittavat yksityisyyden suojan myös silloin, kun tämä ei ole kansallisen turvallisuuden varmistamiseksi välttämätöntä. Käytännössä tuomioistuimen ratkaisusta on luettavissa, että se pitää Yhdysvaltojen lainsäädäntöä useiden EU:ssa tunnustettujen perusoikeuksien vastaisena. Yhdysvaltojen tietosuojan tasoa ei siten ilmeisesti voida pitää riittävänä, joten tietojen siirtoon tarvitaan jokin muu oikeutusperuste.
Henkilötietolaki tuntee joitain sellaisia poikkeusperusteita, joiden nojalla henkilötietoja on mahdollista siirtää myös sellaisiin maihin, joissa tietosuojan taso ei ole riittävä. Henkilötietojen siirtoon on esimerkiksi mahdollista käyttää EU-komission hyväksymiä mallisopimuslausekkeita tiedon siirtoon osallistuvien välisissä sopimuksissa. Niitä käyttämällä tietojen siirtäminen on mahdollista ilman rekisteröidyn suostumusta, eikä siirto edellytä ilmoitusta tietosuojavaltuutetulle. Jotkut yritykset kokevat kuitenkin mallisopimuslausekkeet raskaaksi välineeksi niiden sisältämien velvoitteiden laajuuden ja yksityiskohtaisuuden takia. Mallisopimuslausekkeet eivät ole myöskään joustava tapa sopia tietojen siirtämisestä, koska lausekkeita ei saa muuttaa. Jäykkyydet voivat aiheuttaa haasteita esimerkiksi yritysryhmän sisäisissä tiedonsiirroissa.
Henkilötietojen siirtäminen on toki mahdollista muunkinlaisilla sopimusehdoilla, jotka takaavat riittävän tietosuojan tason. Lausekkeet on tällöin laadittava erityisen huolellisesti, koska vastuu siitä, että lausekkeet takaavat riittävän tietosuojan tason, on yrityksellä. Siirrosta tulee lisäksi tehdä etukäteen ilmoitus tietosuojavaltuutetulle, joka voi tietyin edellytyksin puuttua virheelliseksi katsomaansa menettelyyn.
Jos tällaisiin yrityksen yksipuolisilla toimilla toteutuviin oikeutusperusteisiin ei jostain syystä haluta tai voida vedota, niin tietojen siirto EU:n/ETA:n ulkopuolelle on henkilötietolain mukaan mahdollista myös silloin, jos rekisteröity on antanut yksiselitteisen suostumuksensa siirtoon. Tällainen suostumus olisi mahdollista hankkia esimerkiksi siten, että yrityksen tietosuojakäytäntöä päivitetään sisältämään riittävän yksityiskohtainen kuvaus tietojen siirtämisestä EU:n/ETA:n ulkopuolelle ja ensimmäisen päivityksen jälkeisen kirjautumisen yhteydessä kunkin käyttäjän tulee nimenomaisesti hyväksyä päivitetty tietosuojakäytäntö.
Artikkelia on päivitetty 7.10.2015 lisäämällä siihen esimerkkejä tilanteista, joihin päätös vaikuttaa.
Tapio Siilola ja Martin von Willebrand
Tapio Siilola on HH Partnersin lakimies erityisosaamisenaan tietosuojaan liittyvät kysymykset.
Martin von Willebrand vastaa HH Partnersin teknologiaryhmästä.