Nordia News

Henkilötietojen siirtäminen EU:n ulkopuolelle tulevaisuudessa

By Timo Skurnik
Julkaistu: 29.05.2023 | Posted in Ajankohtaista

Päivitys 10.7.2023: Yhdysvaltalaisiin palveluihin liittyvät juridiset haasteet väistyvät Euroopan komission uuden päätöksen myötä.

Yhdysvaltalaisten pilvipalveluiden, SaaS -ratkaisuiden ja sosiaalisen median palveluiden käyttöön on liittynyt juridisia ongelmia. Keskeisenä haasteena on ollut henkilötietojen siirtäminen yhdysvaltalaisille yrityksille ja USA:n tiedusteluviranomaisten teoreettinen pääsy henkilötietoihin.

Euroopan komissio hyväksyi 10.7.2023 uuden EU:n ja USA:n tietosuojakehyksen (EU-U.S. Data Privacy Framework), joka mahdollistaa henkilötietojen siirtymisen Yhdysvaltalaisille yrityksille.

Irlannin tietosuojaviranomainen (Irish Data Protection Authority, IE DPA) määräsi Facebook-palvelun emoyhtiölle Metalle 1,2 miljardin euron suuruisen hallinnollisen sakon Euroopan yleisen tietosuoja-asetuksen (GDPR) rikkomisesta Metan siirrettyä eurooppalaisten Facebook-käyttäjien tietoja Yhdysvaltoihin. Teknisesti sakko langetettiin Meta Platforms Inc:n irlantilaiselle tytäryhtiölle Meta Platforms Ireland Limitedille, mutta koska sakko määräytyi Metan maailmanlaajuisen kokonaisliikevaihdon mukaan, voitaneen tässä kirjoituksessa puhua yleisesti Metasta.

Hallinnollinen sakko määrättiin GDPR 84 artiklan nojalla viranomaisten katsottua Metan rikkovan GDPR 44 artiklan määräyksiä siirtäessään Facebook-käyttäjien tietoja Euroopasta Yhdysvaltoihin. Sakko on suurin hallinnollinen seuraamus, jonka EU viranomaiset ovat määränneet GDPR rikkomuksesta tähän mennessä. Sakon ankaruuteen on vaikuttanut muun muassa se, että viranomaiset katsoivat Metan toimineen tahallisesti tai ainakin tuottamuksellisesti GDPR 83 artiklan 2(b) kohdan mukaisesti. Muita vaikuttavia seikkoja olivat muun muassa siirrettyjen henkilötietojen suuri määrä, rekisteröityjen suuri määrä sekä rikkomuksen ajallinen kesto.

Sakon lisäksi Irlannin tietosuojaviranomainen määräsi Metan keskeyttämään henkilötietojen siirtäminen Yhdysvaltoihin sekä saattamaan ETA-henkilötietojen käsittelytoimensa Yhdysvalloissa GDPR:n mukaisiksi.

Metaa koskevat aiemmat tuomiot

Irlannin tietosuojaviranomaisen päätös on viimeisin luku saagasta, joka alkoi, kun itävaltalainen aktivisti Maximilian Schrems vaati Facebookilta omat palveluun tallennetut henkilötietonsa ja aloitti oikeus- ja viranomaistoimet mm. Facebookia vastaan, joiden lopputuloksena oli kaksi hänen nimeään kantavaa EU:n tuomioistuimen ennakkoratkaisua.

Ensimmäinen Schrems-tuomio (Schrems I), jonka EU:n tuomioistuin antoi 6. lokakuuta 2015 asiassa C-362/14 kumosi EU komission Safe Harbour -päätöksen, jonka nojalla henkilötietoja oli siirretty Yhdysvaltojen ja EU:n välillä vuodesta 2000 alkaen. Tuomion jälkeen Safe Harbour -ohjelman korvasi hetkeksi niin kutsuttu Privacy Shield -järjestely, jonka Euroopan komissio hyväksyi 12. heinäkuuta 2016. Tämänkin järjestely kuitenkin lakkautettiin, kun Unionin tuomioistuin katsoi senkin pätemättömäksi 16. heinäkuuta 2020 antamassa Schrems II -tuomiossa (C-311/18).

Euroopan tietosuojaneuvoston suositukset

Schrems II -tuomion jälkeen on eletty tilanteessa, jossa Euroopasta Yhdysvaltoihin henkilötietoja siirtävät tahot eivät ole voineet luottaa GDPR 45 artiklan mukaiseen tietosuojan riittävyyttä koskevaan päätökseen, vaan ovat joutuneet soveltamaan muita V-luvussa tarkoitettuja tiedonsiirtovälineitä. Nämä tiedonsiirtovälineet eivät kuitenkaan ole lainkaan yhtä selkeärajaisia, kuin tietosuojan riittävyyttä koskeva päätös. Tilannetta helpottamaan Euroopan tietosuojaneuvosto julkaisi suositukset 1/2020 toimenpiteistä, joilla täydennetään tiedonsiirtovälineitä EU:ssa henkilötiedolle taatun suojan tason noudattamiseksi, jotka sisälsivät ohjeistuksia tietojen siirron yhteydessä tehtävästä riskiarviosta sekä täydentävistä suojatoimista.

Euroopan tietosuojaneuvoston suosituksessa todettiin, että tietojen viejän on dokumentoitava asianmukaisesti riskiarvionsa sekä valitut ja toteutettavat lisätoimenpiteet ja annettava kyseinen dokumentaatio toimivaltaisen valvontaviranomaisen saataville pyynnöstä.

Suosituksen mukainen riskiarvio on jaettu kuuteen vaiheeseen:

  1. siirtojen tunteminen
  2. käytettävien tiedonsiirtovälineiden yksilöiminen
  3. käytettävän tiedonsiirtovälineen tehokkuuden arviointi
  4. lisätoimenpiteiden hyväksyminen
  5. lisätoimenpiteiden määrittämistä seuraavat menettelyvaiheet
  6. uudelleenarviointi.

Tiedonsiirtovälineen tehokkuuden arvioinnin osalta tietosuojaneuvosto on viitannut Schrems II -tuomioon todetessaan, että ”Valitulla tiedonsiirtovälineellä, joka on yleisen tietosuoja-asetuksen 46 artiklan mukainen, on voitava varmistaa, että siirrolla ei vaaranneta yleisellä tietosuoja-asetuksella taattua suojan tasoa käytännössä.” Schrems II -tuomiossa EU tuomioistuin on nimenomaisesti ottanut kantaa siihen, että kolmannen maan lainsäädännön tilan ja siellä vallitsevien käytäntöjen vuoksi tietosuojaa koskeviin vakiolausekkeisiin sisältyvät määräykset eivät aina voi olla riittävä keino, jonka avulla voidaan käytännössä varmistaa asianomaiseen kolmanteen maahan siirrettyjen henkilötietojen tehokas suoja[1].

Yhdysvaltain lainsäädäntö ei takaa riittävää suojan tasoa

Päätöksessään IE DPA toisti EU tuomioistuimen näkemyksen siitä, että yhdysvaltalainen lainsäädäntö ei takaa GDPR:n kanssa samantasoista henkilötietojen suojaa Yhdysvaltoihin siirretyille ETA-henkilötiedoille. Merkittävimpänä syynä on yhdysvaltalaisille tiedusteluviranomaisille lainsäädännössä annetut (ja lainsäädännön ulkopuoliset) laajat oikeudet kerätä ja käsitellä ulkomaalaisten henkilöiden henkilötietoja ilman riittäviä rajoituksia ja ilman, että tällaisesta käsittelystä edes ilmoitetaan rekisteröidylle. Tämä ei vastaa GDPR:n antamaa tietosuojan tasoa.

Metan toteuttamat suojakeinot

GDPR 46 artiklan 1 kohdan mukaisesti henkilötietojen käsittelijä voi siirtää henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle vain, jos kyseinen henkilötietojen käsittelijä on toteuttanut asianmukaiset suojatoimet ja jos rekisteröityjen saatavilla on täytäntöönpanokelpoisia oikeuksia ja tehokkaita oikeussuojakeinoja.

Siirtäessään Facebook-käyttäjien henkilötietoja Meta Ireland:n ja Meta US:n välillä Meta on lähtökohtaisesti käyttänyt tiedonsiirtovälineenä GDPR 46 artiklan 2(c) kohdan mukaisia tietosuojaa koskevia vakiolausekkeita, joiden lisäksi em. yhtiöiden välillä on solmittu konsernin sisäisiä sopimuksia henkilötietojen siirrosta ja käsittelystä (Data Transfer and Processing Agreement). Meta on myös toteuttanut henkilötietojen siirtoa koskevan vaikuttavuusarvioinnin (Transfers Impact Assessment), jonka se on toimittanut myös EU-viranomaisille.

Meta implementoi vuonna 2021 joukon toimenpiteitä, joiden tarkoituksena oli tarjota riittävät suojatoimet rekisteröidyille. Nämä toimenpiteet on jaettu organisatorisiin, teknisiin ja juridisiin.

IE DPA otti kantaa Metan toteuttamiin suojakeinoihin toteamalla, että Metan käyttämät suojakeinot eivät ole riittäviä kompensoimaan Yhdysvaltain lainsäädännön jättämää aukko henkilötietojen suojalle. IE DPA nimenomaisesti totesi, että EU oikeuksia rikotaan aktiivisesti eikä Metalla ole lääkettä siihen.

Päätöksessä käsiteltiin myös GDPR 49 artiklassa tarkoitettuja erityistilanteita koskevia poikkeuksia joihin Meta oli vedonnut, joiden osalta IE DPA totesi, että Meta ei voi tukeutua GDPR 49 artiklan 1(b) kohdan mukaiseen sopimusperusteiseen poikkeukseen, GDPR 49 artiklan 1(d) kohdan mukaiseen yleiseen etuun, eikä GDPR 49 artiklan 1(a) kohdan nimenomaiseen suostumukseen.

Miten päätös vaikuttaa henkilötietotojen siirtämiseen EU-alueen ulkopuolelle tulevaisuudessa?

Päätöksestä ilmenee EU:n viranomaisten varsin ankara kanta liittyen kolmansiin maihin kohdistuviin henkilötietojen siirtoihin. Sanottu ankaruus on jossain määrin ymmärrettävää, kun kyseessä on maailman suurimpiin yrityksiin kuuluva yritys. Mistään ei kuitenkaan käy ilmi, etteikö samoilla perusteilla voitaisi arvioida huomattavasti pienempien yritysten suorittamia henkilötietojen siirtoja. GDPR:n asettamat edellytykset eivät ole hyvään yritykseen kannustavia, vaan tosiasiassa edellytetään, että kolmannessa maassa rekisteröidyille voidaan taata samat suojakeinot kuin EU:ssa. Jos tämä ei onnistu Metan kokoiselta yhtiöltä, on vaikeaa ymmärtää miten se voisi onnistua huomattavasti pienemmältä yhtiöltä.

Päätöksessä ei nimenomaisesti oteta kantaa siihen, mitä suojakeinoja Metan olisi tullut toteuttaa täyttääkseen GDPR 46 artiklan (1) kohdan vaatimukset, mutta Euroopan tietosuojaneuvoston suositusten perusteella vaikuttaisi siltä, että ainoastaan tekniset lisätoimenpiteet olisivat riittävät tilanteessa, jossa rekisteröidyn oikeuksien loukkaaminen perustuu lakiin tai viranomaispäätökseen. Yhdysvaltoihin siirrettävä henkilötiedot olisivat siis pseudonymisoitava tai ainakin salattava – siten, että Yhdysvaltojen tiedusteluviranomaisilla ei olisi niihin pääsyä.

Ottaen huomioon kuinka suuri osa pilvipalveluista, SaaS -ratkaisuista ja sosiaalisen median palveluista tulevat Yhdysvalloista, on oletettavaa, että tämä päätös tulee vaikuttamaan hyvin laajaan joukkoon yrityksiä Suomessa ja Euroopassa.

[1] Asiassa C-311/18 (Schrems II) annetun tuomion kohta 126.

Lue lisää tietosuojaan liittyvistä palveluistamme.

Ota yhteyttä

 

Timo Skurnik
Asianajaja, Osakas, Helsinki timo.skurnik@nordialaw.com +358 41 523 1143

Aiheeseen liittyvää

Oikeudellisia näkemyksiä tekoälyn käytöstä pelinkehityksestä
Julkaistu: 16.10.2024
Toimitusjohtajasopimus ja sopimuksen päättyminen
Julkaistu: 16.10.2024
Pitääkö kaikille työntekijöille maksaa aina ylitöistä vai ei?
Julkaistu: 23.09.2024