Kesäloman aikana korvanappiin kantautui tieto uudesta EU:n ja Yhdysvaltojen välisestä tiedonsiirtomekanismista. Millaista helpotusta tämä tuo tietosuoja-ammattilaisille?
Faktat lyhyesti
- Lähtökohtaisesti henkilötietoja voi siirtää EU:n ulkopuolelle, jos kohdemaan tietosuojalainsäädäntö on samankaltainen kuin GDPR. Muissa tapauksissa vaaditaan lisäsuojatoimia.
- Aiemmat tiedonsiirtomekanismit Safe Harbour ja Privacy Shield EU:n ja Yhdysvaltojen välillä kumottiin vuosina 2015 (Schrems I) ja 2020 (Schrems II).
- 10. heinäkuuta 2023 Euroopan komissio hyväksyi uuden riittävyyttä koskevan päätöksen: EU-US Data Privacy Framework, "DPF", eli EU:n ja USA:n tietosuojaviitekehyksen.
- Heinäkuussa hyväksytty EU-US DPF on edeltäjiensä kaltainen itsesertifiointimekanismi, johon yhdysvaltalaiset organisaatiot voivat liittyä. Tähän päivään mennessä EU-USA DPF:n alle sertifioituneita organisaatioita on jo lähes 2 500 .
Mitä tietosuoja-ammattilaisten pitää seuraavaksi tehdä?
Voiko nyt sitten lopettaa tiedonsiirtoarviointien tekemisen? Valitettavasti ei. Henkilötiedonsiirtoihin liittyvät vaatimukset eivät päde ainoastaan Yhdysvaltoihin, vaan kaikkiin tiedonsiirtoihin. Organisaatioiden on edelleen tunnettava ja dokumentoitava tiedonsiirtonsa, jotta tiedonsiirron laillisuus pystytään todentamaan. Uunituore EU-US DPF tuo organisaatioille yhden lisävaihtoehdon tiedonsiirtomekanismiksi, mutta ei poista tiedonsiirtoarvioinnin (eli TIA:n) vaatimusta kolmansien maiden kohdalla.
- Varmista, että organisaatiossa tunnetaan tiedonsiirrot . Dokumentoi tiedonsiirtoketjut sekä tahot ja maat, joihin tietoja siirretään. Ota analyysiin mukaan palveluntarjoajan sijainti, palvelimien sijainnit sekä toimittajasi edelleen ulkoistamat palikat eli mahdolliset henkilötietojen alikäsittelijät.
- Jos henkilötietoja siirretään Yhdysvaltoihin, voit tarkistaa täältä, onko henkilötietoa käsittelevä yhdysvaltalainen organisaatio sertifioitunut osana EU-US DPF:ää.
- Jos käsittelijä löytyy listalta, päivitä dokumentaatioosi EU-US DPF siirtomekanismiksi. Voit tässä kohtaa hetkeksi huokaista helpotuksesta ja olla jatkamatta kokonaisvaltaisen TIA-arvioinnin tekemistä.
- Jos käsittelijä ei löydy listalta, varmista että organisaatiollasi on toinen siirtomekanismi olemassa (käytännössä mallisopimuslausekkeet). Jatka TIA-prosessia arvioimalla tiedonsiirrossa käytössä olevien suojatoimenpiteiden riittävyyttä.
- Dokumentoi tiedonsiirtomekanismi ja jatka TIA-prosessia muiden kolmansien maiden kohdalla.
Onko uunituore EU-US tiedonsiirtomekanismi tuhoon tuomittu?
Mahdollisesti. Voittoa tavoittelematon tietosuojaryhmä NOYB ja sen taustalla vaikuttava Max Schrems ovat väläyttäneet jo useissa asiayhteyksissä tiedonsiirtomekanismin riittämättömyydestä. Tietosuojan kulisseissa huhutaankin jo Schrems III:sta, joka veisi organisaatiot takaisin lähtöpisteeseen. Mitä tässä sitten pitäisi tehdä?
Osana siirtomekanismin päivitystä dokumentoi, mikäli DPF:n lisäksi organisaatiosi on allekirjoittanut mallisopimuslausekkeet (eli SCC:t ) yhdysvaltaisen toimijan kanssa. Mikäli EU-US DPF kumotaan Schrems III -päätöksellä, on organisaatiosi helpompi jatkaa edelleen kattavan TIA-arvioinnin tekemiseen.