DPF on uusi Privacy Shield – EU-komissiolta vihreä valo hen­ki­lö­da­tan siirrolle USA:han

Komission päätös on merkittävä ja sen myötä henkilödatan siirto USA:han saa uudenlaisen suojan

Päätöksestä ovat raportoineet mm. Tietosuojavaltuutetun toimisto Suomessa ja New York Times Atlantin toisella puolella. Olemme Karhu Helsingissä seuranneet tiiviisti tietosuojakehyksen etenemistä ja kertoneet siitä blogissamme mm. lokakuussa.

Henkilödataa saa taas siirtää USA:han – tietyin ehdoin

EU-komission päätös tarkoittaa, että DPF-kehykseen ja sen edellyttämiin turvatoimiin sitoutuneet amerikkalaisyhtiöt voivat siirtää ja säilyttää henkilödataa ja käsitellä sitä myös USA:ssa. DPF:n ehdot täyttävien yhdysvaltalaisten yritysten tietosuojan tulkitaan olevan samalla tasolla kuin EU-alueella. Komissio on aiemmin tehnyt samantyyppiset päätökset koskien mm. Iso-Britanniaa, Sveitsiä ja Japania.

Mukaan haluavien amerikkalaisyhtiöiden on DPF-sertifioiduttava ja sitouduttava tietosuojakehyksen ehtoihin, mutta tämän ei ennakoida osoittautuvan ongelmaksi ainakaan suurempien palveluntarjoajien osalta.

DPF on vahvempi kuin aiemmin kuopattu Privacy Shield

Henkilödata liikkui sujuvasti EU:n ja USA:n välillä ja siirtojen tietosuojakysymykset saivat vähän huomiota vuoden 2020 lokakuuhun saakka. Silloin EU-tuomioistuin kaatoi ns. Privacy Shield -sopimuksen, joka oli suojannut Atlantin ylittäviä henkilödatasiirtoja. Tuomioistuin totesi Privacy Shieldin olevan EU:n tietosuoja-asetus GDPR:n vastainen, koska USA:ssa tiedusteluviranomaisilla oli pääsy yritysten omistamaan henkilödataan. Ratkaisu perustui itävaltalaisen tietosuoja-aktivistin Max Schremsin tekemään kanteluun ja se tunnetaankin nimellä Schrems II.

USA:n viranomaisten pääsy henkilödataan kaatoi DPF:ää edeltäneen Privacy Shieldin EU-tuomioistuimessa

Mutta miksi DPF tarjoaa vahvemman suojan henkilödatalle kuin Privacy Shield? Se asettaa aiempaa tiukemmat vaatimukset yhdysvaltalaisyritysten omistaman henkilödatan suojaukselle. Erityisen olennaisia ovat uudet rajoitukset USA:n tiedusteluviranomaisten pääsylle yritysten hallinnassa olevaan henkilödataan. Dataa vartioimaan perustetaan uusi Data Protection Review Court (DPRC) -oikeusistuin, joka päättää dataluovutuksista viranomaiskäyttöön.

Pahin epävarmuus IT-jättien tietosuojasta jäämässä historiaan – ainakin hetkeksi

Komission DPF-päätöksellä on suuri merkitys Suomessa. Lukuisat suomalaisyritysten verkkosivuillaan hyödyntämät palvelut kuten Google Analytics, Google Maps, YouTube-videosoitin, HubSpot, Salesforce ja Metan mainosseuranta välittävät henkilödataa USA:han ja niiden tulevaisuus EU:ssa on ollut vaakalaudalla.

Nyt vaikuttaa siltä, että näitä palveluita koskenut merkittävin tietosuojahuoli on jäämässä historiaan. Erilaisia datan omistajuuteen ja evästeiden käyttöön liittyviä kysymyksiä on edelleen ilmassa, mutta näillä näkymin mikään niistä ei aiheuta ehdotonta estettä yhdysvaltalaisten palveluiden käytölle.

Viranomaispäätökset nostattaneet kiivasta keskustelua EU:ssa ja Suomessa

Amerikkalaisviranomaisten pääsymahdollisuudet henkilödataan ovat olleet EU-viranomaisten hampaissa erityisesti kuluvan vuoden aikana. Keväällä 2023 Irlannin tietosuojaviranomainen kohautti rankaisemalla Facebookin emoyhtiötä Metaa 1,2 miljardin euron sakoilla.

Myös tietosuojavaltuutetun toimisto Suomessa nosti esiin samat näkökohdat huomauttaessaan Ilmatieteen laitokselle ja Helmet-kirjastoille Googlen palveluiden käytöstä keväällä 2023. Nämä ratkaisut saivat monet suomalaisyritykset harkitsemaan vakavasti Googlen ja muiden amerikkalaisyhtiöiden palveluista luopumista verkkosivuillaan. Usea asiakkaamme mm. päätti kevään aikana luopua Google Analyticsin käytöstä ja korvata sen tietosuojanäkökohtia painottavalla Matomo Analyticsillä.

Katseet kohdistuvat nyt EU-tuomioistuimeen ja Privacy Shield -taistosta tuttuun aktivistiin

Suuri kysymys on, mitä Privacy Shieldin haudannut EU-tuomioistuin ajattelee DPF-ratkaisusta. Privacy Shieldin tappamisessa avainasemassa olleen aktivisti Max Schremsin tietosuojaorganisaatio NOYB on jo ilmoittanut kantelevansa DPF:stä EU-tuomioistuimeen. Noybin mukaan DPF on käytännössä kopio Privacy Shieldistä ja se ei kestä tuomioistuimen kriittistä tarkastelua. Schrems kommentoi New York Timesille, että vasta muutokset USA:n tiedustelulainsäädäntöön olisivat riittäviä ratkaisemaan henkilödatan siirron GDPR-ongelmat. Myös EU-parlamentti on löytänyt DPF-ratkaisusta kritisoitavaa.

On todennäköistä, että DPF-kantelun eteneminen EU-tuomioistuimen päätökseen saakka kestää vähintäänkin useita kuukausia. Oletuksemme on, että ainakin siihen saakka ankarin keskustelu amerikkalaisten IT-palveluiden tietosuojasta rauhoittuu. Mikäli tuomioistuin kaataa DPF:n, tietosuojamyrsky saa taas uusia kierroksia.

Suomalaisyrityksille DPF ei tuo uusia vastuita ja selkiyttänee niiden tilannetta

Verkkosivuja ja muita digipalveluita omistavien suomalaisyritysten kannalta tilanne on hyvä – DPF ei edellytä heiltä toimenpiteitä. On kuitenkin hyvä seurata, että yrityksen käyttämät yhdysvaltalaiset palveluntarjoajat hakeutuvat DPF-suojan piiriin. Tätä kirjoitettaessa suurista teknologiayhtiöistä ainakin Salesforce on jo ehtinyt tehdä tarvittavat toimenpiteet.

Luonnollisesti jatkossakin on varmistettava, että yrityksen sivustojen ja palvelujen tietosuoja noudattaa määräyksiä ja esim. evästeasetukset toimivat viranomaisvaatimusten ja asiallisten käytäntöjen mukaisesti.

Amerikkalaisten IT-palveluiden käyttöön voidaan suomalaisyrityksissä suhtautua nyt hieman rauhallisemmin, mutta tietosuojan merkitys kasvaa edelleen

Lähes kaikki suomalaiset yritykset ovat hyödyntäneet yhdysvaltalaisten IT-yritysten kuten Googlen, Metan ja Microsoftin palveluita. Käytännössä jokaisella suomalaisella verkkosivustolla on ollut käytössä Google Analytics -kävijäseuranta. IT-jättien palveluiden käyttöön voidaan EU-komission DPF-ratkaisun jälkeen ainakin hetkeksi suhtautua aiempaa rauhallisemmin.

Pitkällä tähtäimellä suomalaisyritysten on kuitenkin tärkeää arvioida entistä kriittisemmin, kuka heidän keräämänsä henkilödatan omistaa ja miten henkilörekisterien tietosuoja varmistetaan. Yhä useampi asiakas ja verkkosivujen kävijä on kiinnostunut siitä, miten hänen tietojaan käsitellään ja kenellä on pääsy niihin. On myös hyvä pitää mielessä se vaihtoehto, että DPF kaatuu EU-tuomioistuimen käsittelyssä.

Karhun blogi ja uutiskirje jatkavat raportointia tietosuojataisteluiden etulinjasta

Jatkamme tiiviisti verkkosivujen tietosuojaa koskevien säännösten, viranomaisratkaisujen ja markkinakäänteiden seurantaa blogissamme. Kun tilaat Karhulla on asiaa -uutiskirjeemme alla näkyvällä lomakkeella, pysyt uusimmista juonenkäänteistä ajan tasalla.