Näkökulmia

Irlannin tietosuojaviranomainen haastaa Facebookin henkilötietojen siirron Yhdysvaltoihin  

Blogi: Frida Wahlberg & Hannu Kasanen

Irlannin tietosuojaviranomainen on alustavasti määrännyt Facebookin keskeyttämään henkilötietojen siirron Yhdysvaltoihin. Tässä artikkelissa kertaamme mitä tämä tarkoittaa rekisterinpitäjille ja miten heidän tulisi tähän nyt reagoida.

16.9.2020

Uutisista olemme saaneet lukea, että Irlannin tietosuojaviranomainen on määrännyt Facebookin keskeyttämään EU-kansalaisten henkilötietojen siirron Yhdysvaltoihin. Facebook on hyödyntänyt tiedonsiirroissa komission hyväksymiä vakiolausekkeita (mallisopimuslausekkeita), joiden käyttöä rekisterinpitäjien on arvioitava uudelleen Euroopan Unionin tuomioistuimen taannoisen Schrems II -päätöksen (C-311/18) valossa.  

Irlannin tietosuojaviranomaisen antama määräys on vasta alustava, mutta signaali on selkeä: vakiolausekkeiden käyttö siirtomekanismina on kyseenalaista, koska ne eivät sido kolmansien maiden viranomaisia. 
 

Nyt on siis hyvä hetki muistuttaa mitä Schrems II -päätös tarkoittaa rekisterinpitäjille: 

a) EU-kansalaisten henkilötietojen välittäminen Yhdysvaltoihin Privacy Shield -järjestelyä käyttäen on välittömästi keskeytettävä. 

b) Vakiolausekkeiden käyttö on mahdollista, mutta se edellyttää tapauskohtaista arviointia kunkin tietoja vastaanottavan kohdemaan suhteen. 

 

Mihin toimiin rekisterinpitäjän on ryhdyttävä?

Rekisterinpitäjän (tietojen viejän) on käytännössä varmistettava henkilötietojen käsittelyn lainmukaisuus: 

1. Tiedonsiirtojen selvittäminen

Viimeistään nyt on syytä selvittää – ja dokumentoida – henkilötietojen käsittelytoimet, erityisesti mihin Euroopan talousalueen ulkopuolisiin maihin EU-kansaisten tietoja siirretään ja millä perusteella tiedonsiirto on toteutettu. 

2. Kohdemaan lainsäädännön arviointi

Seuraavaksi edessä on hankalempi tehtävä: tulisi tehdä arvio siitä tarjoaako kohdemaan lainsäädäntö ja oikeudellinen järjestelmä EU-kansalaisille tarpeeksi kattavaa henkilötietojen suojaa. Rekisterinpitäjän tulee kiinnittää huomioita ainakin seuraaviin seikkoihin: 

  • Onko kohdemaan viranomaisilla laissa säädetty oikeus käsitellä siirrettyjä tietoja? 
  • Miten edellä mainittuja oikeuksia on rajattu? 
  • Miten EU-kansalaiset voivat valvoa henkilötietojensa käsittelyä tai oikeuksiensa toteutumista? 

Vakiolausekkeiden käyttöä on mahdollista jatkaa, jos kohdemaan lainsäädäntö tarjoaa EU-kansalaisille yleisen tietosuoja-asetuksen kaltaista suojaa.

3. Puutteellisen tietosuojan kompensointi 

Pohdintaa on jatkettava, mikäli kohdemaan lainsäädäntö eroaa EU-lainsäädännön tarjoamasta suojasta. Rekisterinpitäjän tulee arvioida seuraavaa: 

  • Löytyykö muualta, esimerkiksi Euroopan talousalueen sisältä, toista paikkaa henkilötietojen käsittelylle? 
  • Onko tiedonsiirron yhteydessä mahdollista hyödyntää muita siirtomekanismeja, esimerkiksi yritystä koskevia sitovia sääntöjä
  • Voiko tietosuojaan liittyviä riskejä hallita muilla keinoilla, esimerkiksi rajaamalla tiedonsiirron laajuutta tai hyödyntämällä henkilötietojen pseudonymisointia tai salausta?

Mikäli edellä mainituista toimenpiteistä huolimatta henkilötiedoille ei kyetä tarjoamaan riittävää suojaa, tulee henkilötietojen siirto keskeyttää viiveettä. 

 

Schrems II -päätös oli Euroopan unionin tuomioistuimelta selkeä viesti eurooppalaisille tietosuojaviranomaisille ja rekisterinpitäjille: henkilötietojen siirrot eurooppalaisen sääntelyn ulottumattomiin edellyttävät entistä suurempaa harkintaa. Irlannin tietosuojaviranomaisen päätös on merkki siitä, että viranomaiset ovat ottaneet kehotuksen tosissaan. Samaa on lupa odottaa myös henkilötietoja käsitteleviltä yrityksiltä ja organisaatioilta.

 

Deloitten globaali asiantuntijaverkosto auttaa henkilötietojen käsittelyyn liittyvissä oikeudellisissa ja teknisissä kysymyksissä. Haluatko keskustella aiheesta lisää? 

Oliko tieto hyödyllistä?