14.10.2022

Tiedonsiirrot Euroopan unionista Yhdysvaltoihin – mitä tiedämme juuri nyt?

Palvelut

Monessa yrityksessä on viime aikoina seurattu kansainvälisiä tiedonsiirtoja koskevan tulkintakäytännön kehitystä tarkasti siitä saakka, kun Euroopan unionin tuomioistuin kumosi heinäkuussa 2020 henkilötietojen siirtoja EU:sta Yhdysvaltoihin koskevan Privacy Shield -järjestelyn niin kutsutussa Schrems II -ratkaisussaan. Perjantaina 7.10. Yhdysvaltain presidentti Joe Biden antoi kauan odotetun toimeenpanomääräyksensä, jonka on tarkoitus vastata EU-tuomioistuimen ratkaisussaan esittämiin vaatimuksiin ja toimia pohjana uudelle järjestelylle, joka muodostaisi oikeusperusteen henkilötietojen siirroille EU:sta Yhdysvaltoihin (nk. EU-U.S. Data Privacy Framework). Toimeenpanomääräys perustuu periaatteille, joista Euroopan komissio ja Yhdysvallat sopivat maaliskuussa 2022.

Toimeenpanomääräyksestä uudeksi Privacy Shieldiksi?

EU:n yleinen tietosuoja-asetus edellyttää, että henkilötietojen siirroille EU:n ulkopuolelle on olemassa oikeusperuste. Tällaisia niin sanottuja siirtomekanismeja ovat esimerkiksi Euroopan komission hyväksymät vakiosopimuslausekkeet ja niin kutsutut vastaavuuspäätökset (adequacy decision), joissa tietyn valtion tietosuojan taso katsotaan EU:n näkökulmasta riittäväksi. Yhdysvaltoja koskien oli aiemmin tehty Privacy Shield -järjestelyyn perustuva vastaavuuspäätös, jonka EU-tuomioistuin kumosi Schrems II -ratkaisussaan. Schrems II -ratkaisussa EU-tuomioistuin muun muassa katsoi, että Yhdysvaltain lainsäädäntöön sisältyvät viranomaisten oikeudet tarkastella ja käyttää henkilötietoja eivät täytä EU:n tietosuojasääntelyn vaatimuksia eivätkä EU:n kansalaisten oikeussuojakeinot puuttua henkilötietojen käsittelyyn Yhdysvalloissa ole riittäviä. Tämän vuoksi edellinen Privacy Shield -järjestely kumottiin.

On tärkeää huomata, että henkilötietojen siirtoina Yhdysvaltoihin pidetään paitsi varsinaisia siirtoja myös tilanteita, joissa henkilötietoihin on pääsy Yhdysvalloista käsin esimerkiksi osana pilvipalvelua, jonka tarjoaja on Yhdysvaltoihin sijoittautunut yritys. Tiedonsiirtoja koskeva sääntely on siis ajankohtainen suuremmalle osalle suomalaisistakin yrityksistä.

Bidenin uusi toimeenpanomääräys sisältää useita kohtia, joilla on tarkoitus vahvistaa tietosuojaa koskevia suojatoimia Yhdysvaltain signaalitiedustelutoiminnassa ja näin vastata EU-tuomioistuimen esille nostamiin huolenaiheisiin.

Toimeenpanomääräyksellä muun muassa luodaan monitasoinen mekanismi, jonka avulla tietyistä vaatimukset täyttävistä valtioista tulevat yksityishenkilöt voivat saada sitovan uudelleentarkastelun ja oikeussuojakeinon, jos he kokevat, että Yhdysvallat on kerännyt tai käsitellyt signaalitiedustelun avulla heidän henkilötietojaan vastoin sovellettavaa lainsäädäntöä. Muutoksenhakujärjestelmässä ensimmäisen tason muodostaa Civil Liberties Protection Officer, joka toimii osana Yhdysvaltain tiedustelupalvelun johtajan toimistoa (Office of the Director of National Intelligence). Toinen taso on niin kutsuttu Data Protection Review Court, joka täytäntöönpanomääräyksen mukaan on riippumaton ja puolueeton tuomioistuin. Tämän instanssin päätökset sitovat Yhdysvaltain tiedustelupalveluja.

Toimeenpanomääräyksessä myös täsmennetään Schrems II -ratkaisun inspiroimana rajoituksia ja suojatoimia, joilla on tarkoitus varmistaa EU:n kansalaisten perusoikeuksien suojelu Yhdysvaltain valvontatoimien jokaisessa vaiheessa tietojen keräämisestä tietojen jatkokäsittelyyn ja säilyttämiseen. Suojatoimien tarkoituksena vaikuttaa olevan EU-tuomioistuimen vaatimusten täyttäminen siitä, että tietoja kerätään vain silloin, kun se on tarpeen tietyn tiedustelutavoitteen edistämiseksi ja vain siinä määrin kuin se on oikeassa suhteessa tavoitteeseen nähden.

Seuraavat askeleet

Seuraavaksi Euroopan komissio käy säädöstekstin läpi ja laatii luonnoksen Yhdysvaltain tietosuojan riittävyyttä koskevaksi päätökseksi eli niin kutsutuksi vastaavuuspäätökseksi (adequacy decision). Kun päätösluonnos on annettu, komission on kuultava tietosuojaneuvostoa ja jäsenvaltioita, joskaan niiden kannanotot eivät ole sitovia. Prosessissa tulee kulumaan kuukausia, eikä lopullista vastaavuuspäätöstä ole odotettavissa ennen kevättä 2023. EU-U.S. Data Privacy Frameworkiin perustuvaa vastaavuuspäätöstä voi käyttää tietosuoja-asetuksen mukaisena oikeusperusteena henkilötietojen siirroille Yhdysvaltoihin siitä lähtien, kun päätös on julkaistu EU:n virallisessa lehdessä.

On myös huomattava, että täytäntöönpanomääräys vahvistaa USA:n tietosuojan tasoa myös ennen vastaavuuspäätöksen julkaisua, sillä siihen sisältyvät määräykset velvoittavat Yhdysvaltain tiedusteluviranomaisia ryhtymään toimiin täytäntöönpanomääräyksen sisältämien suojakeinojen implementoimiseksi jo nyt. Täytäntöönpanomääräyksen sisältämät tietosuojaa koskevat suojatoimet voidaankin ottaa huomioon esimerkiksi silloin, kun arvioidaan Yhdysvaltain tietosuojan tasoa ja siihen liittyviä lisäsuojatoimenpiteitä käytettäessä siirtomekanismina komission hyväksymiä vakiolausekkeita (Standard Contractual Clauses). Vakiolausekkeet pysyvät edelleen keskeisenä siirtomekanismina henkilötietojen siirroissa Euroopan unionin ulkopuolelle.

Pysyvä vai väliaikainen ratkaisu?

Vaikka EU ja Yhdysvallat ovat työstäneet uutta järjestelyä pitkään, on erittäin todennäköistä, että komission odotettu vastaavuuspäätös (adequacy decision) riitautetaan kolmannen kerran EU-tuomioistuimessa. Kahden edellisen henkilötietojen siirtoja Yhdysvaltoihin koskevan puitejärjestelyn (Privacy Shield ja sen edeltäjä Safe Harbor) kumoamisen takana olevat tietosuoja-aktivistit ovat esittäneet, että järjestelyyn suunnitellut uudet suojatoimet eivät täytä EU-tuomioistuimen vaatimuksia.

Aktivistit ovat esimerkiksi esittäneet, että Yhdysvaltain tulkinta tietojen keräämisen oikeasuhteisuuden ja välttämättömyyden käsitteistä eroaa siitä, mitä näillä käsitteillä tarkoitetaan EU-oikeudessa ja EU-tuomioistuimen käytännössä. Aktivistit ovat myös kyseenalaistaneet toimeenpanomääräyksessä säädettyjen oikeussuojakeinojen tehokkuuden: on esitetty, että muutoksenhakujärjestelmän toisella tasolla toimiva Data Protection Review Court ei todellisuudessa ole riippumaton ja puolueeton tuomioistuin, jollaista EU-tuomioistuin ratkaisussaan edellytti. Toimeenpanomääräyksessä ei myöskään kielletty signaalitiedustelun massakeräystä (bulk collection of signals intelligence), jota EU-tuomioistuin kritisoi, joskin määräyksessä asetettiin sille entistä tarkempia vaatimuksia.

On siis epäselvää, onnistuuko kolmas yritys sopia puitejärjestelystä EU:n ja Yhdysvaltojen välisiin tiedonsiirtoihin, vai tuleeko järjestely lopulta kumotuksi EU-tuomioistuimessa. Kun otetaan huomioon, kuinka suuri merkitys tiedonsiirtoja koskevalla oikeusvarmuudella on EU:ssa ja Yhdysvalloissa toimiville yrityksille, sopii vain toivoa, että ratkaisu tulee kestämään.

Uusimmat uutiset

Julkaistu 24.2.2025 – Data ja teknologia NIS 2 -direktiivi ja johdon vastuu: tämä jokaisen johtajan tulee tietää kyberturvallisuuslain tuomista velvollisuuksista
Eija Warma-Lehtinen
Janne Koivisto

Eija Warma-Lehtinen & Janne Koivisto

 Julkaistu 15.11.2024 – Data ja teknologia Vältä nämä sudenkuopat ja sopimusmokat strategisissa IT-hankkeissa
Topi Lusenius

Topi Lusenius

 Julkaistu 10.10.2024 – Data ja teknologia Uusi kaksikäyttötuotelaki astui voimaan syyskuun puolivälissä – Mitä muuttuneesta sääntelystä tulee tietää?
Kim Parviainen
Lauri Laatunen
Joakim Jaulimo

Kim Parviainen, Lauri Laatunen & Joakim Jaulimo

 Julkaistu 5.9.2024 – Data ja teknologia Teknologiahankinta voi siivittää yrityksen kasvuun – tai kaataa sen
Topi Lusenius
Anders Forss
Kim Parviainen

Topi Lusenius, Anders Forss & Kim Parviainen
Kaikki uutiset

Uusimmat referenssit

Valio – Härkis®- ja Beanit®-härkäpapubrändien osto 
Avustimme Valio Oy:tä sen ostaessa Raisio Oyj:n kasviproteiiniliiketoiminnan, siihen liittyvän käyttöomaisuuden ja Härkis®- ja Beanit®-härkäpapubrändit. Käyttöomaisuuteen kuuluvat muun muassa kasviproteiinituotteita Kauhavalla valmistavan tehtaan laitteet. Kauppa tukee Valion strategiaa kasvaa meijeriyhtiöstä ruokataloksi. Tämä liiketoimintakauppa tekee meistä entistäkin merkittävämmän kasvipohjaisten proteiinituotteiden kehittäjän ja valmistajan. Näiden tuotteiden kysyntä kasvaa pitkällä aikavälillä ja kasvupotentiaalia on vielä paljon. Vuonna 2022 ostimme Gold&Green® -liiketoiminnan ja siitä lähtien olemme tehneet vahvaa tuotekehitystä sekä uudistaneet brändiä. Myynti on kasvanut onnistuneiden tuotelanseerauksien myötä vuoden 2024 viimeisellä neljänneksellä noin 50 % edelliseen verrattuna. Tällä kaupalla rakennamme omaa tuotantokyvykkyyttä. Kauhavan tehtaan tuotantovälineet sopivat juuri meidän tarpeeseemme ja tilanteeseemme Valion liiketoimintajohtaja Kimmo Luoma sanoo. Valio on vuonna 1905 perustettu suomalainen meijeri ja ruokatalo, jonka omistajia ovat suomalaiset maidontuottajaosuuskunnat. Valiolla on tytäryhtiöt Ruotsissa, Virossa, Yhdysvalloissa ja Kiinassa. Konsernin liikevaihto vuonna 2023 oli 2 278 miljoonaa euroa, ja sillä on yli 4 000 työntekijää.
Julkaistu 14.2.2025
WithSecure  –  Konsultointiliiketoiminnan myynti 
Avustimme WithSecure Oyj:tä sen myydessä kyberturvallisuuskonsultointiliiketoimintansa Neqstille. WithSecure Oyj on listattu NASDAQ OMX Helsingissä. Neqst on ruotsalainen sijoitusyhtiö, joka keskittyy teknologiayrityksiin. Kaupan toteutuminen edellyttää vielä tavanomaisten ehtojen täyttymistä ja viranomaishyväksyntöjä.
Julkaistu 24.1.2025
Smarter Contracts – Ensimmäisen EU:n ulkopuolisen datan välityspalvelun rekisteröinti Suomeen
Avustimme Smarter Contracts Ltd:tä prosessissa, jossa Liikenne- ja viestintävirasto Traficom vahvisti sen EU:n tunnustamaksi datan välityspalveluksi. EU:n ulkopuolisten yritysten on nimettävä laillinen edustaja johonkin EU-maahan, jotta ne voivat tarjota datan välityspalveluja datanhallinta-asetuksen mukaisesti. Smarter Contracts sijaitsee Isossa-Britanniassa ja valitsi tehtävään Suomen. Smarter Contracts on ensimmäinen Traficomin rekisteröimä EU:n ulkopuolinen datan välityspalvelu. Smarter Contractsin perustaja ja toimitusjohtaja Wayne Lloyd:  Castrénin tiimin tuki oli poikkeuksellista alusta loppuun. Uuden alueen valloitus on aina haastavaa, ja ensimmäisenä EU:n ulkopuolisena datan välityspalvelun tarjoajana kohtasimme merkittäviä oikeudellisia epävarmuuksia. Näistä haasteista huolimatta Castrénin tiimi ohjasi meitä asiantuntevasti jokaisessa vaiheessa huomattavalla tehokkuudella, tarjoten meille tarvittavaa varmuutta. Smarter Contracts tarjoaa kehittyneitä suostumus- ja käyttöoikeuksien hallintapalveluita kehittämänsä Pulse Permissions Protocol® -työkalun avulla. Tämä merkkipaalu on osoitus Castrén & Snellmanin taidosta hallita monimutkaisia sääntely-ympäristöjä ja Smarter Contractsin innovatiivisesta lähestymistavasta turvalliseen ja vaatimustenmukaiseen tietojen hallintaan.
Julkaistu 11.12.2024
Pharmaca Health Intelligence – PODIUM Connect- ja PODIUM Vierailut -liiketoimintojen osto 
Avustimme Pharmaca Health Intelligencea sen ostaessa Mediaattori Oy:n PODIUM Connect®- ja PODIUM Vierailut -liiketoiminnat. Liiketoimintakaupan myötä Pharmaca Health Intelligence vahvistaa palvelutarjontaansa sekä terveydenhuollon edustajille että lääkeyrityksille. Palvelutarjontaan kuuluu laajasti lääketiedon, tiedolla johtamisen ja koulutuksen palveluita. Pharmaca Health Intelligence on digitaalisen lääketiedon edelläkävijä sekä hyvinvointialueiden, yksityisen terveyspalvelusektorin ja apteekkien luotettava yhteistyötahona. Yhtiö panostaa lääkeinformaatioon liittyvien teknologia- ja palveluratkaisujen kehittämiseen myös kansainvälisesti.
Julkaistu 5.12.2024
Kaikki referenssit