Henkilötietojen siirrot EU:n ja Yhdysvaltojen välillä ovat olleet yhtä myllerrystä vuodesta 2015 lähtien. Monet henkilötietojensiirtoihin liittyvät Schrems II -projektit olivat jo ehtineet käynnistymään, kun Euroopan komissio teki uusimman riittävyyspäätöksen EU:n ja Yhdysvaltojen väliselle tiedonsiirtomekanismille (EU-US Data Privacy Framework, DPF) kesällä 2023. Viimeisimpiä käänteitä on analysoitu aiemmassa blogissamme, johon pääset tästä.
Edellisessä blogitekstissämme mainitsimme, että riittävyyspäätöstä on uhattu haastaa tietosuojaryhmä NOYB:in ja sen perustajan Maxmillian Schremsin toimesta.
Syyskuun alussa tapahtui uusi käänne, kun ranskalainen Euroopan parlamentin jäsen Philippe Latombe ilmoitti haastavansa riittävyyspäätöksen yksityishenkilönä vedoten mm. siihen, että DPF ei anna riittäviä takeita yksityis- ja perhe-elämän kunnioittamiseen henkilötietojen massakeräyksen eikä tietosuoja-asetuksen (GDPR) osalta. Latombe ilmoitti haasteestaan aiemmin syksyllä Ranskan hallitukselle ja tietosuojaviranomaiselle CNIL:lle.
Viimeisimpänä käänteenä EU:n ensimmäisen oikeusasteen tuomioistuin on juuri ehtinyt hylätä Latomben kiireellistä välipäätöstä koskevan hakemuksen, koska Latombe ei pystynyt osoittamaan asian kiireellisyyden edellytyksiä.
EU-US DPF:ää puoltavat tahot ovat kommentoineet seuraavasti:
Aikataulua päätösten suhteen voidaan vain arvuutella:
Jos DPF kumoutuu, kaikki palaa taas lähtöruutuun. Organisaatioiden tulisi mm. päivittää TIA-arvioinnit, tarkistaa tiedonsiirtomekanismit, uudelleenarvioida pilvipalveluntarjoajien riskit sekä selvittää sopimusehtojen uusimiset ja tiedonsiirtomekanismien lisäämiset.
Tiedonsiirtoihin liittyvä keskustelu jatkuu ja vaikutukset konkretisoituvat tulevien kuukausien aikana.
Kirjoittajat:
Susanna Mikola
Oona Matinpalo
Oona työskentelee Deloitten riskienhallintayksikössä ja on vastuussa tietosuojapalvelujentarjonnasta Suomessa. Hänellä on kokemusta niin julkisen kuin yksityisen sektorin tietosuojan kehittämiseen ja arviointiin liittyvistä toimeksiannoista yli 20 organisaatiossa. Konsultoinnin lisäksi Oona on toiminut kaksi vuotta in-house tietosuojapäällikkönä, ja vastasi työntekijöiden ja työnhakijoiden tietosuojasta metsäalan yrityksessä. Hän vastasi tietosuojahallinnon kehittämisestä yhtiön globaalissa HR:ssä, johti DPIA- ja PIA-prosesseja sekä osallistui uuden tietosuojanhallintatyökalun käyttöönottoon. Briefly in English: Oona is part of the Deloitte Risk Advisory's Cyber Risk team in Finland. At Deloitte Oona is responsible for the data privacy service offering in the Finnish market and advises clients on diverse privacy matters. During her time at Deloitte, Oona has worked in projects ranging from Data Protection Impact Assessments (DPIAs), GDPR internal audits, data inventory and was a team member in a cyber culture change and awareness program. In addition to consulting, Oona has experience in data privacy in an in-house role from the forest industry where she worked for 2 years. She was responsible for developing data privacy governance within the company’s global HR, lead DPIA and PIA processes and took part in implementation of a new data privacy management tool.