back

Kansainväliset henkilötietojen siirrot – mistä vedenpitävä meriselitys (Transfer Impact Assessment, TIA) on tehty?

Tiedonsiirtoja koskeva riskiarviointi (TIA) on pakollinen edellytys, kun henkilötietoja siirretään komission uusien vakiosopimuslausekkeiden (SCC) perusteella. Lisäksi tarvittaessa vaaditaan vakiolausekkeita täydentäviä lisäsuojakeinoja.

 

Kansainväliset tietojen siirrot ovat pitäneet vastuulliset toimijat kiireisinä koko syksyn. Koska yhdysvaltalaiset toimijat dominoivat teknologiakenttää, tietoja siirtyy Yhdysvaltoihin valtavalla volyymilla. Komission uusien vakiosopimusehtojen käyttöönotossa, riskiarviointien tekemisessä sekä lisäsuojakeinojen pohtimisessa ja rakentamisessa riittää tekemistä.

Yllättävän suuri osa toimijoista ei kuitenkaan ole vielä edes havahtunut tilanteeseen. Sopimuksissa näkyy edelleen viittauksia Privacy Shieldiin tai jopa sitä edeltäneeseen Safe Harbouriin. Osa odottelee, että komissio antaisi uuden päätöksen henkilötietojen suojan riittävyydestä Yhdysvaltojen osalta. Kyseisissä neuvotteluissa on kuitenkin nähty vain heikkoa valoa tunnelin päässä.

Tietojen siirtoja koskevat uudet vaatimukset koskettavat ihan kaikkia. Organisaatioita, joilla ei olisi yhtään sellaista järjestelmää, ohjelmistoa tai palvelua käytössä, jolla on yhteys Yhdysvaltoihin, ei ole vielä tullut vastaan. Koska työnsarkaa riittää, on nyt korkea aika kääriä hihat!

 

Mistä on kyse?

 

EU-tuomioistuin antoi 16.7.2020 tuomion asiassa C-311/18 Schrems II, jonka seurauksena ​EU:n ja USA:n välinen Privacy Shield -järjestely kumottiin. Ratkaisun jälkeen Privacy Shield ei siten ole ollut enää pätevä mekanismi siirtää tietoja. Privacy Shield-järjestelyssä oli kyse siitä, että komissio katsoi Yhdysvaltojen takaavan riittävän suojan siirrettäville henkilötiedoille. Schrems II tuomiossa  edellytettiin lisäksi vakiosopimuslausekkeisiin perustuvien henkilötietojen siirtojen osalta aiempaa kattavampaa riskiarviointia sekä täydentäviä lisäsuojakeinoja. ​ 

Euroopan tietosuojaneuvosto EDPB julkaisi 11.11.2020 suosituksensa täydentävistä suojatoimista, josta versio 2.0 julkaistiin 18.6.2021. Lisäksi komissio hyväksyi kesäkuussa uudet henkilötietojen siirtoa kolmansiin maihin koskevat vakiolausekkeet, jotka on päivitetty vastaamaan GDPR:n ja Schrems II –ratkaisun asettamia vaatimuksia.​ Asianmukainen riskiarviointi ja tarvittaessa täydentävät lisäsuojakeinot ovat pakollista uusien vakiolausekkeiden ohella. Uudet vakiosopimuslausekkeet tulivat voimaan 27.7.2021. Uusien siirtojen osalta uudet vakiosopimuslausekkeet tuli ottaa käyttöön viimeistään 27.9.2021.  "Vanhojen" (jo olemassa olleiden) siirtojen osalta vakiolausekkeiden käyttöönotolle on säädetty erillinen siirtymäaika, joka päättyy 27. joulukuuta 2022.

 

Mitä nyt pitää tehdä?

 

1. Tunnista ja dokumentoi siirtosi

Henkilötietojen siirroilla kolmansiin maihin tarkoitetaan kaikkia niitä tilanteita, joissa henkilötietoja saatetaan Euroopan talousalueen ulkopuolella sijaitsevan toimijan saataville. Siirtämiseksi katsotaan siten esimerkiksi henkilötietojen tallentaminen ETA-alueen ulkopuolella sijaitsevalle palvelimelle tai esimerkiksi teknisen pääsy-yhteyden avaaminen tietoihin ETA-alueen ulkopuolisesta maasta. Rekisterinpitäjänä olet vastuussa myös käsittelijöiden tekemistä siirroista, joita tehdään lukuusi, esimerkiksi hankkimasi palvelun tai ohjelmiston pyörittämiseksi. Varmista, että käsittelijä täyttää henkilötietojen siirtoja koskevat vaatimukset. Jos hankkimasi järjestelmä pyörii Amazonin tai Microsoftin palvelimella kyseessä on tiedonsiirto. Älä usko toimittajaa, joka väittää, ettei siirtoa tapahdu, ellet ole aivan varma.  Muista selvittää tiedonsiirrot myös alihankkijoiden osalta. Tiedosta, että USA:n tiedustelulait ulottavat lonkeronsa myös yhdysvaltalaisten yhtiöiden eurooppalaisiin tytäryhtiöihin, vaikka ne sijaitsivat Euroopassa.

Tietovirtakartan piirtäminen on pätevä apuväline tiedon siirtojen tunnistamiseen ja kartoittamiseen. EDPB muistuttaa ohjeessaan tietojen minimoinnin periaatteesta. Varmista siis, että siirrät vain käsittelyn käyttötarkoituksen kannalta tarpeellisia tietoja.

 

2. Tunnista siirtomekanismisi

Kun päätös suojan riittävästä tasosta on kumottu Yhdysvaltojen osalta, komission vakiosopimuslausekkeet ovat käytännössä monelle ainoa tai ainakin suosituin vaihtoehto. Yritystä koskevat sitovat säännöt (BCR) on todellinen vaihtoehto vain suurille yrityksille.

 

3. Arvio siirtomekanismin tehokkuutta suhteessa suojan tasoon kohdevaltiossa

Selvitä toteutuuko EU:n vaatima tietosuojan vähimmäistaso käsillä olevien henkilötietojen siirtämisen yhteydessä. EDPB:n ohjeistuksen mukaan arvion tarkoituksena on selvittää, onko kohdemaan lainsäädännössä tai vakiintuneessa sovelluskäytännössä seikkoja, jotka heikentävät siirtomekanismin tehokkuutta. Kyseisiä seikkoja ovat erityisesti viranomaisten pääsy dataan, tehokkaiden oikeussuojakeinojen puute ja se, ettei rekisteröityjen tietosuojaoikeuksien toteutumista voida taata. EDPB korostaa ohjeistuksessaan arvion tapauskohtaisuutta. Arvioon ja relevanttiin lainsäädäntökehykseen vaikuttavat siten siirron olosuhteet, kuten siirron tarkoitus, siirron osapuolet, toimiala, siirrettävät tiedot (esimerkiksi lasten henkilötiedot voivat kuulua kolmannen maan erityislainsäädännön piiriin) ja siirrettävien tietojen muoto.  

 

4. Tarvittavien täydentävien lisäsuojakeinojen arvioiminen ja toteuttaminen

Jos päädyt siirron olosuhteisiin ja lainsäädäntöön kohdistuvassa arvioinnissa siihen, että vakiosopimuslausekkeet eivät yksinään riitä tarjoamaan riittävää suojaa tarvitaan täydentäviä organisatorisia, teknisiä, sopimuksellisia tai toimialakohtaisia lisäsuojakeinoja. Useimmiten kyseeseen tulee eri lisäsuojakeinojen yhdistelmä. Jos riittäviä lisäsuojakeinoja ei löydy, siirtoa ei voida toteuttaa. Huomaa, että kohdemaan lainsäädäntö voi rajoittaa mahdollisia lisäsuojakeinoja tai niiden tehokkuutta.

 

Organisatoriset ja tekniset lisäsuojakeinot

Arvioi esimerkiksi

  • Tarvitseeko kaikkia tietoja siirtää? Olisiko käytännössä (teknisesti ja taloudellisesti) mahdollista olla siirtämättä tietoja ETA -alueelta tai siirtää tiedot sellaiseen maahan, josta komissio on antanut päätöksen riittävästä tietosuojan tasosta?
  • Voidaanko tiedot pseudonymisoida tehokkaasti?
  • Onko tiedot mahdollista kryptata siten, että salausavaimet ovat vain tietojen siirtäjän tai ETA-alueella sijaitsevan luotettavan tahon hallussa? (=vastaanottajaorganisaatiolla ei ole pääsyä dataan selväkielisenä)

 

Sopimukselliset lisäsuojakeinot

Esimerkiksi

  • Läpinäkyvyyttä koskevat sopimusehdot, kuten auditointoikeus sen varmistamiseksi, että onko tietoihin kohdistunut viranomaisen pyyntöjä, tai sen selvittämiseksi, onko tietoja paljastettu viranomaiselle ja millaisissa tilanteissa
  • Vakuutus siitä, ettei järjestelmiin ole luotu takaportteja tai vastaavia pääsyjä
  • Velvollisuus haastaa tietojen luovutusta koskeva pyyntö

 

Toimialakohtaiset lisäsuojakeinot

Onko vastaanottajaorganisaatio sitoutunut noudattamaan jotakin itsesääntelyyn tai vapaaehtoisuuteen perustuvia menetelmiä tai muita lisäsuojatoimenpiteitä rekisteröidyn suojaamiseksi?

 

5. Muista menettelylliset vaatimukset

Kun käytät siirtomekanismina komission vakiosopimuslausekkeita, valittuja lisäsuojakeinoja ei tarvitse saattaa voimaan erillisellä menettelyllä. Valitut lisäsuojakeinot eivät kuitenkaan saa olla ristiriidassa komission vakiosopimuslausekkeiden kanssa tai heikentää niiden turvaaman suojan tasoa. 

 

6. Muista säännöllinen uudelleenarviointi

Aseta päivämäärät siirron säännölliselle uudelleen arvioinnille. Seuraa viranomaisohjeistuksia ja päivitä käytäntösi tarvittaessa. Muista osoitusvelvollisuutesi ja dokumentoi suunnitellut ja toteutetun uudelleenarvioinnit.

Varmista, että keskeytät tai lopetat siirron viipymättä, jos

  • siirtomekanismissa annettuja sitoumuksia ei noudateta tai pystytä toteuttamaan
  • valitut lisäsuojakeinot eivät ole enää tehokkaita

 

Riskiarvio tekemättä ja lisäsuojakeinot miettimättä?

Ei hätää! Me PrivacyAntilla tunnistamme ja dokumentoimme siirrot ja siirtoihin liittyvät osapuolet tietovirtakaavioiden avulla. Siten pääsemme arvioimaan kohdemaan lainsäädäntöön ja siirron olosuhteisiin liittyviä riskejä. Ota yhteyttä, niin autamme sinua tunnistamaan riskit ja mahdolliset lisäsuojakeinot sekä koostamaan tarvittavan dokumentaation.