Henkilötietojen siirrot EU:n ja Yhdysvaltojen välillä ovat olleet yhtä myllerrystä vuodesta 2015 lähtien. Monet henkilötietojensiirtoihin liittyvät Schrems II -projektit olivat jo ehtineet käynnistymään, kun Euroopan komissio teki uusimman riittävyyspäätöksen EU:n ja Yhdysvaltojen väliselle tiedonsiirtomekanismille (EU-US Data Privacy Framework, DPF) kesällä 2023. Viimeisimpiä käänteitä on analysoitu aiemmassa blogissamme, johon pääset tästä.
Miten DPF kumoutuu – vai kumoutuuko?
Edellisessä blogitekstissämme mainitsimme, että riittävyyspäätöstä on uhattu haastaa tietosuojaryhmä NOYB:in ja sen perustajan Maxmillian Schremsin toimesta.
Syyskuun alussa tapahtui uusi käänne, kun ranskalainen Euroopan parlamentin jäsen Philippe Latombe ilmoitti haastavansa riittävyyspäätöksen yksityishenkilönä vedoten mm. siihen, että DPF ei anna riittäviä takeita yksityis- ja perhe-elämän kunnioittamiseen henkilötietojen massakeräyksen eikä tietosuoja-asetuksen (GDPR) osalta. Latombe ilmoitti haasteestaan aiemmin syksyllä Ranskan hallitukselle ja tietosuojaviranomaiselle CNIL:lle.
Viimeisimpänä käänteenä EU:n ensimmäisen oikeusasteen tuomioistuin on juuri ehtinyt hylätä Latomben kiireellistä välipäätöstä koskevan hakemuksen, koska Latombe ei pystynyt osoittamaan asian kiireellisyyden edellytyksiä.
EU-US DPF:ää puoltavat tahot ovat kommentoineet seuraavasti:
- Alex Greenstein (Yhdysvaltain kauppaministeriö, DPF:n johtaja) on kertonut, että kauppaministeriö ja Euroopan komissio ovat tietoisia haasteista.
- Euroopan komission Bruno Gencarelli on sanonut, että Euroopan komissiossa uskotaan, että uudella viitekehyksellä on tällä kertaa enemmän näyttöä sen riittävistä suojatoimista (uusi lakipykälä jne.) riittävyyttä koskevissa haasteissa.
- Yhdistynyt kuningaskunta (UK) on ottamassa käyttöön DPF:n pohjalta rakennetun ns. UK-US ”tietosillan” eli data bridgen. Tällä voi olla DPF:ää tukevia vaikutuksia.
Mitä tapahtuu seuraavaksi?
Aikataulua päätösten suhteen voidaan vain arvuutella:
- NOYB ilmoittanut haastavansa päätöksen ja arvioi haasteen olevan tuomioistuimen arvioitavana vuoden loppuun tai viimeistään alkuvuoteen mennessä. Tuomioistuin voisi tuolloin ottaa DPF:n väliaikaisesti pois käytöstä.
- Latombe on jo lähettänyt haasteen eteenpäin, mikä tarkoittaa, että luultavasti muutoksia/päätöksiä tulee kahden vuoden sisällä.
- EDPB katselmoi DPF:n vuoden päästä. Silloin todetaan DPF:n toimivuus tai toimimattomuus.
Jos DPF kumoutuu, kaikki palaa taas lähtöruutuun. Organisaatioiden tulisi mm. päivittää TIA-arvioinnit, tarkistaa tiedonsiirtomekanismit, uudelleenarvioida pilvipalveluntarjoajien riskit sekä selvittää sopimusehtojen uusimiset ja tiedonsiirtomekanismien lisäämiset.
Tiedonsiirtoihin liittyvä keskustelu jatkuu ja vaikutukset konkretisoituvat tulevien kuukausien aikana.
Kirjoittajat:
Susanna Mikola
Oona Matinpalo
Ota yhteyttä
Oona Matinpalo
Oona työskentelee Deloitten riskienhallintayksikössä ja on vastuussa tietosuojapalvelujentarjonnasta Suomessa. Hänellä on kokemusta niin julkisen kuin yksityisen sektorin tietosuojan kehittämiseen ja arviointiin liittyvistä toimeksiannoista yli 20 organisaatiossa. Konsultoinnin lisäksi Oona on toiminut kaksi vuotta in-house tietosuojapäällikkönä, ja vastasi työntekijöiden ja työnhakijoiden tietosuojasta metsäalan yrityksessä. Hän vastasi tietosuojahallinnon kehittämisestä yhtiön globaalissa HR:ssä, johti DPIA- ja PIA-prosesseja sekä osallistui uuden tietosuojanhallintatyökalun käyttöönottoon. Briefly in English: Oona is part of the Deloitte Risk Advisory's Cyber Risk team in Finland. At Deloitte Oona is responsible for the data privacy service offering in the Finnish market and advises clients on diverse privacy matters. During her time at Deloitte, Oona has worked in projects ranging from Data Protection Impact Assessments (DPIAs), GDPR internal audits, data inventory and was a team member in a cyber culture change and awareness program. In addition to consulting, Oona has experience in data privacy in an in-house role from the forest industry where she worked for 2 years. She was responsible for developing data privacy governance within the company’s global HR, lead DPIA and PIA processes and took part in implementation of a new data privacy management tool.
