Henkilötietojen siirrot EU:sta kolmansiin maihin – tiedä nämä tulevasta tietosuoja-asetuksesta

Henkilötietojen siirrot EU:sta kolmansiin maihin – tiedä nämä tulevasta tietosuoja-asetuksesta

Tietosuojauutiset.fi:n vierailevien kirjoittajien sarjan avaa Ville Vainio, jonka henkilötietojen kansainvälisiä siirtoja ja organisaatioiden vastuuta EU:n yleisen tietosuoja-asetuksen alla käsittelevä OTM-tutkielma on tarkastettu Turun yliopiston oikeustieteellisessä tiedekunnassa toukokuussa 2016 arvosanalla Eximia cum laude approbatur. Tietosuojauutiset.fi onnittelee!

Alla oleva Ville Vainion kirjoitus perustuu tähän tutkielmaan.

Henkilötietojen siirrot EU:sta kolmansiin maihin – tiedä nämä tulevasta tietosuoja-asetuksesta

Euroopan unionin tietosuojainstrumentit – vuoden 1995 direktiivi 95/46/EY sekä 25.5.2018 alkaen sovellettava yleinen tietosuoja-asetus 679/2016 – lähtökohtaisesti kieltävät henkilötietojen siirrot EU:n alueen ulkopuolelle eli kolmansiin maihin, mikäli vastaanottajamaa ei tarjoa riittävää tietosuojan tasoa. Tietosuojan tason riittävyysarvionti on käytännössä ollut komission hitaan ja aikaa vievän, poliittisen arviointiprosessin tulosta; vilkaisemalla listaa EU:n kansalaisten perusoikeutena turvatun henkilötietojen suojan riittävän tason takaavista maista havaitaankin, että listalle yltäviä valtioita on vain harvoja ja ne ovat globaalin dataliikenteen näkökulmasta melko merkityksettömiä (pahoitteluni lukijoillemme Färsaarilla ja Guernseylla).

Pankkidataa Paraibaan, muttei SOTE-tietoja Sergipeen?

Uutuutena yleinen tietosuoja-asetus tuo mukanaan alue- ja sektorikohtaisen riittävyysarvioinnin – jatkossa esimerkiksi pankkiliiketoiminnan yhteydessä käsiteltäviä tietoja voitaisiin siirtää komission arvioinnin nojalla vaikkapa Brasiliassa tiettyyn osavaltioon, kun taas terveystietojen siirtäminen toiseen olisi kiellettyä ilman asianmukaista siirtojärjestelyä (ks. alla). Tämä tuo komission suorittamaan riittävyysarviointiin kaivattua ketteryyttä verrattuna aiempaan valtiokohtaiseen ”kaikki tai ei mitään”-asetelmaan. Lisäksi riittävyysarviointi suoritetaan yhteistyössä vastaanottajavaltion tietosuojaviranomaisten kanssa ja arviointistatus päivitetään neljän vuoden välein.

Esittelyssä uudistuneet SCC, BCR ja COC – tutustu mallistoon jo tänään!

Tietosuojatasoltaan ”riittämättömiin” maihin henkilötietoja voidaan kuitenkin siirtää hämeenlinnalaisen autokauppapylvään kanssa samat nimikirjaimet jakavin mallisopimuslausekkein (SCC, standard contractual clauses) sekä yleisessä tietosuoja-asetuksessa säädöstekstin tasolle nostettujen sitovien yrityssääntöjen (BCR, binding corporate rules) ja yritysten laatimien, asianmukaiset suojatoimet takaavien käytännesääntöjen (COC, codes of conduct) avulla. Mallisopimuslausekkeet käytännössä liitetään palveluntarjoajan ja asiakkaan välisen palvelusopimuksen liitteeksi; täydentämällä tarvittavat tiedot ja sitoutumalla noudattamaan EU:n tietojenkäsittelyperiaatteita ja -velvollisuuksia dataa voidaan siirtää osapuolten välillä. Nimensä mukaisesti sitovat yrityssäännöt ovat käyttökelpoisia monikansallisille yritysryhmille, jotka siirtävät henkilötietoja konsernin yhtiöiden välillä, kuten henkilöstöhallinnon yhteisten tietojärjestelmien kohdalla. Käytännesäännöt ottavat askeleen kohti yritysten itsesääntelyä, jossa yritykset niin ikään sitoutuvat noudattamaan EU:n tietojenkäsittelyperiaatteita ja velvollisuuksia.

Mihin tulikaan taas suostuttua – huomioi tämä yrityksesi tietosuojaselosteessa ja palveluiden käyttöehdoissa

Yleisen tietosuoja-asetuksen keskeinen tarkoitus on ollut parantaa kuluttajien luottamusta digitaaliseen kaupankäyntiin vahvistamalla heidän tiedollista itseautonomiaansa. Tämän tavoitteen voidaan nähdä muun ohella olevan sisäänkirjattu tietosuoja-asetuksen 7 artiklaan, jossa säädellään tarkasti rekisteröidyn suostumusta henkilötietojen käsittelyperusteena (ts. yhtenä vaihtoehtona, jonka perusteella rekisterinpitäjä voi käsitellä henkilötietoja). Ensinnäkin rekisterinpitäjällä on osoitusvelvollisuus siitä, että rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn. Toiseksi suostumuksen antamista koskeva pyyntö on esitettävä selvästi erillään muista asioista helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä – toisin kuin itse säädösteksti, käytännössä tällä on haluttu selkeyttää rekisterinpitäjien tietosuojaselosteiden ja käyttöehtojen sisältöä. Kolmanneksi rekisteröidyllä on oikeus peruuttaa suostumuksensa milloin tahansa, josta mahdollisuudesta on myös informoitava rekisteröityä suostumuksen antamisen yhteydessä. Lisäksi peruuttamisen on oltava yhtä helppoa kuin sen antaminen, joten odotettavissa lienee nettisivuille ilmestyviä ”katumusnappeja”. Suostumuksen peruuttaminen ei kuitenkaan vaikuta ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen. Näin ollen katumusnappi ei ole virtuaalinen pyyhekumi, jolla saisi jo käsitellyn käsittelemättömäksi. Neljäs ja viimeinen 7 artiklan momenteista koskee suostumuksen vapaaehtoisuutta ja tarkemmin käyttötarkoitussidonnaisuutta; palvelun tarjoamisen tai muun sopimuksen täytäntöönpanon ehdoksi asetetun suostumuksen yhteydessä on käytännössä otettava mahdollisimman kattavasti huomioon, ettei tarpeettomia henkilötietoja kerätä.

Muut henkilötietojen siirrot kolmansiin maihin oikeuttavat poikkeusperusteet pysyvät tietosuoja-asetuksessa oleellisilta osin samoina kuin vuoden 1995 tietosuojadirektiivin alla.

Organisaatioiden vastuu henkilötietojen siirroista korostuu

Yleinen tietosuoja-asetus edellyttää yrityksiltä huomattavasti aiempaa kattavampaa raportointia, informointia ja dokumentointia henkilötietojen käsittelyyn, ja siten myös siirtoihin liittyen. Tästä esimerkkinä henkilötietojen siirtojen kontekstissa suostumuksen käytölle asetetaan tietosuoja-asetuksen 49 artiklassa rekisterinpitäjille velvollisuus ilmoittaa rekisteröidylle tietojensiirron aiheuttamista riskeistä. Läpinäkyvyyden lisäämiseksi henkilötietojen käsittelyissä ja siirroissa asetuksen 30 artiklassa säädetään velvollisuudesta laatia kattava julkinen seloste käsittelytoimista, josta käy mm. ilmi mihin maahan tai kansainväliselle järjestölle ja keille vastaanottajille henkilötietoja on luovutettu tai luovutetaan. Laajemmassa kontekstissa tietosuoja tulee integroitumaan yritysten koko liiketoimintaan, kun henkilötietoja käsittelevien organisaatioiden on nimitettävä tietosuojavastaava (DPO, data protection officer) vastaamaan tietosuoja-asetuksen noudattamisesta.

Kokoavasti voidaan todeta EU:n yleisen tietosuoja-asetuksen ottavan organisaatioiden vastuuta korostavan lähtökohdan henkilötietojen siirroissa. Vahvimmin tämä ilmenee rekisteröidyn suostumuksen käyttöä henkilötietojen käsittelyn ja siirtojen oikeuttamisperusteena tiukentavissa artikloissa sekä toisaalta lisäämällä läpinäkyvyyttä velvoittamalla rekisterinpitäjiä antamaan rekisteröidyille kattavasti informaatiota käsittelytoimista ja siirroista. Nyt onkin hyvä hetki lukea yrityksesi tietosuojaselosteet ja palveluiden käyttöehdot läpi tietosuoja-asetuksen valossa.

Joten mikäli olet MNC:n tuleva DPO

kannattaa tutustua COC, SCC ja BCR

ennen kuin lähdet töistä kotiin

ajaen BMW

Oma narratiivinsa rajat ylittävissä henkilötietojen siirroissa on EU:n ja Yhdysvaltain välinen transatlanttinen tiedonsiirtodialogi Privacy Shieldistä sopimiseksi, josta Tuomas Latola raportoi blogisarjassaan.