EU:n komissio on hyväksynyt EU:n ja Yhdysvaltojen välisen tietosuojakehyksen, ja tämä odotettu päätös on astunut voimaan 10. heinäkuuta 2023. Voit tutustua aiheeseen tarkemmin virallisessa Euroopan komission tiedotteessa koskien EU-US-tietosuojakehystä. Tämän artikkelin luettuasi tiedät, mistä uudessa sääntelyssä on kyse ja miten se vaikuttaa tietosuojaan EU-alueella tulevaisuudessa.
Tietosuojan riittävyyttä koskevassa päätöksessään Euroopan komissio vahvistaa, että Yhdysvallat kykenee takaamaan EU:sta yhdysvaltalaisille yrityksille siirrettäville henkilötiedoille riittävän suojan tason, joka vastaa Euroopan unionin vaatimuksia.
Käytännössä tämä tarkoittaa, että henkilötietojen siirtäminen EU-alueen rekisterinpitäjiltä ja käsittelijöiltä sertifioiduille organisaatioille Yhdysvalloissa ei vaadi enää erillistä lupaa tai ylimääräisiä tietosuojatakeita. Siirron edellytyksenä on kuitenkin se, että yhdysvaltalaiset yritykset sitoutuvat aktiivisesti noudattamaan tietosuojakehyksen määrittelemiä tiukkoja yksityisyydensuojavelvoitteita.
Miten uusi EU-US-tietosuojakehys turvaa EU-kansalaisten tietosuojaa?
Vastaus lyhyesti: Uusi EU-US-tietosuojakehys (Data Privacy Framework) varmistaa, että henkilötietoja voidaan siirtää EU:sta Yhdysvaltoihin turvallisesti ilman erillisiä lupia. Päätös asettaa amerikkalaisille yrityksille tiukat tietosuojavelvoitteet ja tarjoaa EU-kansalaisille uusia oikeussuojakeinoja, kuten riippumattoman muutoksenhakutuomioistuimen (DPRC) tiedustelupalveluiden valvontaa varten.
Tietosuojakehyksen tavoite on sama kuin sitä edeltäneen Privacy Shield -järjestelmän, jonka Euroopan unionin tuomioistuin mitätöi heinäkuussa 2020. Siitä lähtien tavoitteena on ollut luoda vakaa ja GDPR-yhteensopiva ratkaisu tiedonsiirroille. Privacy Shield koettiin ongelmalliseksi puutteellisten oikeussuojakeinojen ja Yhdysvaltojen tiedusteluviranomaisten laajan tiedonsaantioikeuden vuoksi.
Uudessa kehyksessä on korjattu ne haasteet, jotka nousivat esille kuuluisassa Schrems II -tuomioistuimen ratkaisussa. Se takaa EU-kansalaisille selkeät oikeudet sekä perustaa Yhdysvaltoihin riippumattoman muutoksenhakutuomioistuimen (Data Protection Review Court, DPRC). Lisäksi tiedusteluviranomaisten pääsy tietoihin rajoitetaan vain siihen, mikä on ehdottoman välttämätöntä kansallisen turvallisuuden kannalta.
| Ominaisuus | Privacy Shield (Kumottu) | Uusi EU-US-tietosuojakehys |
|---|---|---|
| Yhdysvaltain tiedustelun valvonta | Laajat valtuudet ilman riittäviä suhteellisuusrajoituksia. | Rajoitettu vain välttämättömään ja suhteelliseen kansallisen turvallisuuden nojalla. |
| Oikeussuojakeinot EU-kansalaisille | Heikot ja vaikeasti saavutettavat väylät. | Uusi kaksivaiheinen valitusprosessi ja riippumaton DPRC-tuomioistuin. |
| Helppous yrityksille | Epävarma ja vaati SCC-vakiosopimuksia jatkuvasti. | Tiedonsiirto suoraan sertifioituneille toimijoille ilman lisälupia. |
Tietosuojakehyksen jatkuva kehitys ja arviointi
Tietosuojakehyksen toimivuutta tullaan arvioimaan säännöllisesti Euroopan komission ja valvontaviranomaisten toimesta. Ensimmäinen virallinen tarkastelu suoritetaan vuoden kuluttua päätöksen voimaantulosta. Tällöin varmistetaan, että kaikki vaaditut muutokset ja suojatoimet ovat täysimääräisesti käytössä ja toimivat käytännössä.
Tämä uusi kehys tuo helpotusta tiedonsiirtoihin, sillä luotuja suojatoimia voidaan soveltaa myös silloin, kun käytetään perinteisiä tiedonsiirtomekanismeja, kuten EU:n vakiosopimuslausekkeita (Standard Contractual Clauses).
Miltä näyttää tietosuojan tulevaisuus?
On erittäin todennäköistä, että uutta tietosuojakehystä tullaan jälleen koettelemaan Euroopan unionin tuomioistuimessa kansalaisjärjestöjen ja kriitikoiden toimesta. Kriitikot, mukaan lukien osa Euroopan parlamentin jäsenistä, ovat esittäneet epäilyksiä siitä, tarjoaako kehys riittävän suojan verrattuna täysimääräiseen GDPR:ään.
Aika näyttää, pysyykö päätös voimassa vai kohtaako se saman kohtalon kuin edeltäjänsä. Tästä huolimatta nykyistä riittävyyspäätöstä on pidettävä merkittävänä edistysaskeleena ja vakaampana oikeudellisena pohjana yritysten kansainväliselle toiminnalle.
Haluatko pysyä ajan tasalla tietosuojan uusimmista käänteistä ja oppimisympäristöjen trendeistä? Tilaa Cloudpointin uutiskirje, niin tiedät aina, mistä IT-maailmassa puhutaan!
Heräsikö ajatus? Kirjoita kommentti!