Euroopan tietosuojaneuvosto on julkaissut kannanoton EU:n tuomioistuimen (EUT) ratkaisuun C-311/18 niin sanotussa Schrems II -tapauksessa 17.7.2020. Lisäksi neuvosto julkaisi vastauksia yleisimpiin kysymyksiin Schrems II -tuomiosta 23.7.2020.
Nopeana kertauksena, Schrems II -tuomiossa EUT linjasi muun muassa, että EU:n ja Yhdysvaltojen välisen Privacy Shield ‑järjestelyn tarjoaman tietosuojan tason riittävyydestä annettu komission täytäntöönpanopäätös 2016/1250 on pätemätön ja että komission päätös 2010/87/EU mallisopimuslausekkeista henkilötietojen siirtoa varten kolmansiin maihin sijoittautuneille henkilötietojen käsittelijöille on pätevä. Lisätietoja ratkaisusta löydät aikaisemmasta blogipostauksestamme ‘EUT: EU:n ja Yhdysvaltojen välinen Privacy Shield -järjestely pätemätön – Mitä tämä tarkoittaa sinulle?’.
Kannanotossaan ja vastauksissaan neuvosto ohjeistaa henkilötietojen siirtovälineiden käytöstä tuomion mukaisesti. Olemme alle keränneet neuvoston antamat merkittävimmät vastaukset.
Henkilötietojen siirto Privacy Shield -järjestelyn pohjalta kielletty välittömästi
Euroopan tietosuojaneuvosto huomauttaa, ettei tuomio jätä siirtymäaikaa, jonka aikana yritykset voisivat jatkaa henkilötietojen siirtoa Privacy Shield -järjestelyn perusteella.
Neuvosto korostaa, että EU:n ja Yhdysvaltojen tulee luoda tiedonsiirtoja varten tehokkaat ja aukottomat raamit, joilla henkilötiedoille taataan Yhdysvalloissa EU:n tietosuojaa olennaisesti vastaava taso. Neuvosto ilmoittaa olevansa valmis tarjoamaan tukea uuden lainsäädäntökehyksen rakentamiseen. Neuvosto ei kuitenkaan ota kantaa siihen, milloin uusi Privacy Shield -järjestelyn korvaava lainsäädäntökehys voisi astua voimaan. Ennen sitä yritysten tuleekin hyödyntää muita tiedon siirtoperusteita siirtäessään henkilötietoja Yhdysvaltoihin.
Tuomiolla on vaikutuksia myös muihin siirtovälineisiin kuin Privacy Shield -järjestelyyn
Euroopan tietosuojaneuvosto toteaa, että EUT:n asettama kynnys pätee kaikkiin yleisen tietosuoja-asetuksen 46 artiklan suojatoimenpiteisiin, joita käytetään tietojen siirtoon Euroopan talousalueelta kolmansiin maihin. Neuvosto muistuttaa myös, että se Yhdysvaltojen lainsäädäntö, johon EUT viittaa, soveltuu mihin tahansa Yhdysvaltoihin tehtävään siirtoon, joka tehdään sähköisin keinoin ja joka kuuluu tämän lainsäädännön soveltamisalaan riippumatta siitä, mitä siirtovälinettä käytetään.
Vaikutukset mallisopimuslausekkeiden ja BCR-sääntöjen käyttöön
Privacy Shield -järjestely oli suunniteltu myös takaamaan muilla välineillä, kuten mallisopimuslausekkeilla tai yrityksiä sitovilla säännöillä (BCR-säännöillä), siirrettyjä henkilötietoja. Koska EUT totesi, ettei Yhdysvaltojen lainsäädäntö riitä takaamaan EU:n tietosuojaa olennaisesti vastaavaa tasoa, se, voidaanko henkilötietoja siirtää Yhdysvaltoihin mallisopimuslausekkeiden tai BCR-sääntöjen avulla riippuu siitä, tarjoavatko ne vastaavan suojan tason. Lisätoimenpiteitä on ehkä otettava käyttöön.
Kun siirron olosuhteisiin liittyvän tapauskohtaisen analyysi on tehty, lisätoimenpiteiden on mallisopimuslausekkeiden ja BCR-sääntöjen ohella taattava se, ettei Yhdysvaltojen lainsäädäntö rajoita niiden sisältämää suojaustasoa. Jos asianmukaisia suojatoimenpiteitä ei voida varmistaa, henkilötietojen siirto on keskeytettävä tai lopetettava. Jos tästä johtopäätöksestä huolimatta tiedonsiirtoa jatketaan, asiasta tulee ilmoittaa toimivaltaiselle valvontaviranomaiselle.
Vastaava arviointi on tehtävä jokaisesta kolmannesta maasta, josta ei ole tehty tietosuojan riittävyyttä koskevaa päätöstä. EUT korosti ratkaisussaan, että tietojen viejällä ja tietojen tuojalla on vastuu arvioida, noudatetaanko EU-lainsäädännön mukaista suojan tasoa asianomaisessa kolmannessa maassa voidakseen määritellä, onko mallisopimuslausekkeiden ja BCR-sääntöjen suojaustaso mahdollista taata. Jos tietojen tuojan maa ei tarjoa vastaavaa suojan tasoa, tietojen viejän on harkittava lisätoimenpiteiden käyttöönottoa.
Neuvoston mukaan lisätoimenpiteet on toteutettava tapauskohtaisesti ottaen huomioon kaikki siirtoon liittyvät olosuhteet kolmannen maan lainsäädännön arvioinnin perusteella. Neuvosto analysoi parhaillaan tuomioistuimen päätöstä määritelläkseen, millaisia lisätoimenpiteitä voitaisiin ottaa käyttöön mallisopimuslausekkeiden tai BCR-sääntöjen lisäksi, olivatpa ne oikeudellisia, teknisiä tai organisatorisia. Tarkempaa ohjeistusta on myöhemmin odotettavissa neuvostolta. Ennen kuin neuvosto antaa lisäohjeita, kuten mainitsimme aiemmassa postauksessamme, tehokkaat oikeussuojakeinot, valvontaohjelmat, kontekstikohtaiset suhteelliset rajoitukset ja tapauskohtaisesti valitut mekanismit, kuten salaus, voivat olla perusta hyväksyttäville ratkaisuille.
46 artiklan mukaiset muut siirtovälineet
Neuvosto arvioi tuomion seuraukset muihin siirtovälineisiin kuin mallisopimuslausekkeisiin ja BCR-sääntöihin myöhemmin.
49 artiklan mukaisiin poikkeuksiin voidaan edelleen vedota
On yhä mahdollista siirtää tietoja Yhdysvaltoihin yleisen tietosuoja-asetuksen 49 artiklan poikkeusten nojalla, jos artiklassa säädetyt ehdot täyttyvät. Neuvosto on kirjoittanut asiasta ohjeistuksen (katso tästä).
Neuvosto korostaa erityisesti seuraavia seikkoja:
1) Rekisteröidyn suostumukseen perustuvien siirtojen tulisi olla täsmällisiä, suostumuksen tulisi olla nimenomainen tietyn tiedonsiirron tai siirtojen osalta ja rekisteröidylle tulisi tiedottaa erityisesti siirtoon liittyvistä mahdollisista riskeistä.
2) Rekisteröidyn ja rekisterinpitäjän välisen sopimuksen toteuttamiseksi välttämättömät siirrot voidaan tehdä vain silloin, kun siirto on satunnaista ja objektiivisesti katsottuna välttämätöntä.
3) Yleisen edun kannalta tärkeistä syistä välttämättömät siirrot voidaan tehdä, kun tärkeä yleinen etu on löydettävissä riippumatta siirtoa toimittavan organisaation luonteesta. Vaikka tämä poikkeus ei rajoitu “satunnaisiin” tiedonsiirtoihin, siirtoja ei voida suorittaa suuressa mittakaavassa ja järjestelmällisesti.
Rekisterinpitäjän vastuu
Rekisterinpitäjän on tiedettävä siirtääkö tämän henkilötietojen käsittelijä tietoja Yhdysvaltoihin tai muuhun kolmanteen maahan. Rekisterinpitäjän ja henkilötietojen käsittelijän välisestä sopimuksesta on käytävä ilmi, mitkä siirrot ovat sallittuja ja mitkä eivät. Lisäksi on huomioitava, että jopa pääsyn mahdollistaminen kolmansista maista saatuihin tietoihin esimerkiksi hallinnollisissa tarkoituksissa merkitsee tiedonsiirtoa. Henkilötietojen käsittelijöillä on myös oltava valtuutus antaa henkilötietoja alihankkijoina käsitteleville tahoille tehtäväksi luovuttaa tietoja kolmansiin maihin. Rekisterinpitäjien tulee kiinnittää huomiota ja olla varovaisia, koska suuri joukko tietotekniikkaratkaisuja voi edellyttää henkilökohtaisten tietojen siirtämistä kolmanteen maahan esimerkiksi tallennus- tai ylläpitotarkoituksiin.
Jos tietoja voidaan siirtää Yhdysvaltoihin, mutta lisätoimenpiteitä sen varmistamiseksi, että Yhdysvaltain lainsäädäntö ei vaikuttaisi olennaisesti vastaavaan suojaustasoon, ei voida toteuttaa eikä myöskään yleisen tietosuoja-asetuksen 49 artiklan mukaisia poikkeuksia voida soveltaa, ainoa ratkaisu on neuvotella muutoksesta tai lisälausekkeesta käsillä olevaan sopimukseen siirtojen kieltämiseksi Yhdysvaltoihin. Tietoja ei pitäisi vain säilyttää, vaan myös hallinnoida muualla kuin Yhdysvalloissa.
Jos tietoja voidaan siirtää toiseen kolmanteen maahan, rekisterinpitäjän tulee myös tarkistaa kyseisen kolmannen maan lainsäädäntö varmistuakseen, onko se tuomioistuimen vaatimusten mukainen ja odotettavissa olevan henkilötietojen suojaustason mukainen. Jos siirroille kolmanteen maahan ei löydy sopivaa perustaa, henkilötietoja ei tulisi siirtää ETA-alueen ulkopuolelle ja kaikkien käsittelytoimien olisi tapahduttava ETA-alueella.
Muistilista kaikille, jotka siirtävät tietoja ETA-alueelta Yhdysvaltoihin
Neuvoston vastausten perusteella olemme laatineet muistilistan, jota jokainen, joka siirtää tietoja ETA-alueelta Yhdysvaltoihin, voi käyttää varmistuakseen toimivansa yleisen tietosuoja-asetuksen vaatimusten mukaisesti:
1) Varmista, että et enää siirrä tietoja Yhdysvaltoihin Privacy Shield -järjestelyn perusteella.
2) Jos siirrät tietoja mallisopimuslausekkeen tai BCR-sääntöjen perusteella, sinun on arvioitava, tarjoavatko ne vastaavan suojan tason. Lisätoimenpiteitä on ehkä otettava käyttöön. Jos arvioinnin perusteella ei voida varmistaa asianmukaisia suojatoimenpiteitä, henkilötietojen siirto on keskeytettävä tai lopetettava. Jos tietojen siirtämistä jatketaan tästä johtopäätöksestä huolimatta, toimivaltaiselle valvontaviranomaiselle on ilmoitettava asiasta.
3) Neuvosto arvioi myöhemmin tuomion vaikutuksia muihin siirtovälineisiin kuin mallisopimuslausekkeisiin ja BCR-sääntöihin.
4) Tietoja on edelleen mahdollista siirtää Yhdysvaltoihin yleisen tietosuoja-asetuksen 49 artiklassa tarkoitettujen poikkeusten perusteella, jos tässä artiklassa vahvistettuja ehtoja noudatetaan.
5) Rekisterinpitäjän vastuulla on tietää, siirtääkö henkilötietojen käsittelijä tietoja Yhdysvaltoihin. Jos olet epävarma, sinun tulee huolellisesti tutkia solmimasi sopimus henkilötietojen käsittelijän kanssa varmistaaksesi, että henkilötietojen käsittelijä voi siirtää tietoja Yhdysvaltoihin. Jos mahdollista, eikä lisätoimenpiteitä voida tarjota vastaavan suojan takaamiseksi tai tietosuoja-asetuksen 49 artiklan poikkeuksia voida soveltaa, sinun on muutettava mainittua sopimusta kieltääksesi siirrot Yhdysvaltoihin.
