Posted: 16 Sep. 2020 4 min. Lukuaika

Irlannin tietosuojaviranomainen haastaa Facebookin henkilötietojen siirron Yhdysvaltoihin

Irlannin tietosuojaviranomainen on alustavasti määrännyt Facebookin keskeyttämään henkilötietojen siirron Yhdysvaltoihin. Tässä artikkelissa kertaamme mitä tämä tarkoittaa rekisterinpitäjille ja miten heidän tulisi tähän nyt reagoida.

Uutisista olemme saaneet lukea, että Irlannin tietosuojaviranomainen on määrännyt Facebookin keskeyttämään EU-kansalaisten henkilötietojen siirron Yhdysvaltoihin. Facebook on hyödyntänyt tiedonsiirroissa komission hyväksymiä vakiolausekkeita (mallisopimuslausekkeita), joiden käyttöä rekisterinpitäjien on arvioitava uudelleen Euroopan Unionin tuomioistuimen taannoisen Schrems II -päätöksen (C-311/18) valossa.  

Irlannin tietosuojaviranomaisen antama määräys on vasta alustava, mutta signaali on selkeä: vakiolausekkeiden käyttö siirtomekanismina on kyseenalaista, koska ne eivät sido kolmansien maiden viranomaisia. 

Nyt on siis hyvä hetki muistuttaa mitä Schrems II -päätös tarkoittaa rekisterinpitäjille: 

a) EU-kansalaisten henkilötietojen välittäminen Yhdysvaltoihin Privacy Shield -järjestelyä käyttäen on välittömästi keskeytettävä. 

b) Vakiolausekkeiden käyttö on mahdollista, mutta se edellyttää tapauskohtaista arviointia kunkin tietoja vastaanottavan kohdemaan suhteen. 

Mihin toimiin rekisterinpitäjän on ryhdyttävä?

Rekisterinpitäjän (tietojen viejän) on käytännössä varmistettava henkilötietojen käsittelyn lainmukaisuus: 

1. Tiedonsiirtojen selvittäminen

Viimeistään nyt on syytä selvittää – ja dokumentoida – henkilötietojen käsittelytoimet, erityisesti mihin Euroopan talousalueen ulkopuolisiin maihin EU-kansaisten tietoja siirretään ja millä perusteella tiedonsiirto on toteutettu. 

2. Kohdemaan lainsäädännön arviointi

Seuraavaksi edessä on hankalempi tehtävä: tulisi tehdä arvio siitä tarjoaako kohdemaan lainsäädäntö ja oikeudellinen järjestelmä EU-kansalaisille tarpeeksi kattavaa henkilötietojen suojaa. Rekisterinpitäjän tulee kiinnittää huomioita ainakin seuraaviin seikkoihin: 

  • Onko kohdemaan viranomaisilla laissa säädetty oikeus käsitellä siirrettyjä tietoja? 
  • Miten edellä mainittuja oikeuksia on rajattu? 
  • Miten EU-kansalaiset voivat valvoa henkilötietojensa käsittelyä tai oikeuksiensa toteutumista? 

Vakiolausekkeiden käyttöä on mahdollista jatkaa, jos kohdemaan lainsäädäntö tarjoaa EU-kansalaisille yleisen tietosuoja-asetuksen kaltaista suojaa.

3. Puutteellisen tietosuojan kompensointi 

Pohdintaa on jatkettava, mikäli kohdemaan lainsäädäntö eroaa EU-lainsäädännön tarjoamasta suojasta. Rekisterinpitäjän tulee arvioida seuraavaa: 

  • Löytyykö muualta, esimerkiksi Euroopan talousalueen sisältä, toista paikkaa henkilötietojen käsittelylle? 
  • Onko tiedonsiirron yhteydessä mahdollista hyödyntää muita siirtomekanismeja, esimerkiksi yritystä koskevia sitovia sääntöjä
  • Voiko tietosuojaan liittyviä riskejä hallita muilla keinoilla, esimerkiksi rajaamalla tiedonsiirron laajuutta tai hyödyntämällä henkilötietojen pseudonymisointia tai salausta?

Mikäli edellä mainituista toimenpiteistä huolimatta henkilötiedoille ei kyetä tarjoamaan riittävää suojaa, tulee henkilötietojen siirto keskeyttää viiveettä. 

 

Schrems II -päätös oli Euroopan unionin tuomioistuimelta selkeä viesti eurooppalaisille tietosuojaviranomaisille ja rekisterinpitäjille: henkilötietojen siirrot eurooppalaisen sääntelyn ulottumattomiin edellyttävät entistä suurempaa harkintaa. Irlannin tietosuojaviranomaisen päätös on merkki siitä, että viranomaiset ovat ottaneet kehotuksen tosissaan. Samaa on lupa odottaa myös henkilötietoja käsitteleviltä yrityksiltä ja organisaatioilta.

Deloitten globaali asiantuntijaverkosto auttaa henkilötietojen käsittelyyn liittyvissä oikeudellisissa ja teknisissä kysymyksissä. Haluatko keskustella aiheesta lisää? 

Ota yhteyttä

Frida Wahlberg

Frida Wahlberg

Manager, Cyber Risk

Frida Wahlberg toimii tietosuojakonsulttina Deloitte Finlandin riskienhallintapalveluissa, ja vastaa tiedonhallinnan ja tietosuojan palveluista Suomessa. Fridalla on laaja kokemus tietosuojatoimeksiannoista eri toimialoilta. Lisäksi Fridan erityisosaamiseen kuuluu muutosjohtaminen. Briefly in English: Frida Wahlberg is a privacy and cyber security consultant in Deloitte Finland's Risk Advisory, and leads our Data&Privacy practise. Frida has a long experience of different privacy related engagements in several different industries. Frida's skillset also include change management and awarenss training. 

Hannu Kasanen

Hannu Kasanen

Director, Cyber Risk

Hannu Kasanen työskentelee johtajana, vastuullaan Deloitten kyberturvallisuuspalvelut Suomessa. Hannulla on mittava kokemus tietoturvan, tietosuojan ja käyttövaltuushallinnan kehittämisestä. Hän on uransa aikana johtanut lukuisia hankkeita Suomen tunnetuimmissa yrityksissä ja julkishallinnon organisaatioissa. Briefly in English: Hannu works as a Director in Finland, leading Cyber Security services. Hannu has an extensive experience on Information Security, Data Privacy, as well as Identity and Access Management. He has successfully led complex projects with some of the biggest brands and government agencies in Finland.