EU:n komissio on hyväksynyt EU:n ja Yhdysvaltojen välisen tietosuojakehyksen ja päätös on astunut voimaan 10. heinäkuuta 2023 (eng. EU-US Data Privacy Framework). Tämän artikkelin luettuasi tiedät mistä on kysymys ja miten uusi tietosuojakehys tulee vaikuttamaan EU:n tietosuojaan tulevaisuudessa.
Tietosuojan riittävyyttä koskevassa päätöksessä Euroopan komissio toteaa, että Yhdysvallat tarjoaa EU:sta yhdysvaltalaisille yrityksille siirrettävien henkilötietojen riittävän suojan, joka on verrattavissa Euroopan unionissa tarjottavaan tietosuojaan.
Tietosuojan riittävyyttä koskeva päätös tarkoittaa, että henkilötietojen siirtäminen EU:ssa sijaitsevilta rekisterinpitäjiltä ja käsittelijöiltä Yhdysvalloissa oleville sertifioiduille organisaatioille voi tapahtua ilman, että henkilötietojen siirrolle tarvitaan erityistä lupaa tai muita erityisiä tietosuojatakeita. Tämä kuitenkin vaatii sen, että sertifioidut Yhdysvaltalaiset yritykset sitoutuvat noudattamaan tietosuojakehyksen määrittämiä yksityisyyden suojaa koskevia velvoitteita.
EU-US tietosuojakehyksen tarkoitus on sama kuin sitä edeltäneen Privacy Shieldin, jonka Euroopan unionin tuomioistuin mitätöi heinäkuussa 2020. Siitä lähtien tavoitteena on ollut saada aikaan uusi tietosuojan riittävyyttä koskeva päätös, jonka avulla henkilötietojen siirtäminen EU:sta Yhdysvaltoihin noudattaisi tietosuoja-asetuksen raameja. Jo Privacy Shield nähtiin ongelmallisena muun muassa puutteellisten oikeussuojakeinojen suhteen sekä siksi, että Yhdysvaltojen tiedusteluviranomaisilla oli laaja pääsy EU:sta tuleviin henkilötietoihin Yhdysvaltojen tiedustelulakien perusteella.
Uudessa Tietosuojakehyksessä on otettu huomioon Euroopan unionin tuomioistuimen esittämiä ongelmia, jotka ilmenivät Schrems II- tuomion yhteydessä. Tietosuojakehys takaa oikeuksia sekä uusia entistä parempia oikeussuojamekanismeja rekisteröidyille. Tämän lisäksi EU-kansalaisten käytössä on uusi tietosuoja-asioita käsittelevä muutoksenhakutuomioistuin, joka perustettiin Yhdysvaltojen presidentin toimeenpanomääräyksellä (Executive Order). Yhdysvaltojen tiedusteluviranomaisten pääsyä EU:sta tulevaan tietoon rajoitetaan vain sellaiseen tietoon, joka on välttämätöntä kansalaisten turvallisuuden takaamiseksi.
Uuden tietosuojakehyksen riittävyyttä ja toimivuutta tullaan arvioimaan tulevaisuudessa säännöllisesti Euroopan komission ja toimivaltaisten viranomaisten toimesta. Ensimmäinen tarkastelu tapahtuu vuoden kuluessa riittävyyspäätöksen voimaantulosta, jolloin varmistetaan, että Yhdysvallat on täytäntöönpanneet kaikki tarvittavat elementit lainsäädännössään riittävyyspäätöksen mukaisesti sekä että ne toimivat myös käytännössä.
Tietosuojakehys tarjoaa merkittäviä parannuksia aiempaan Privacy Shieldiin verrattuna. Yhdysvaltojen käyttöön ottamat suojatoimet helpottavat tietojen siirtoa EU:sta Yhdysvaltoihin, sillä suojatoimia voidaan soveltaa myös siirrettäessä tietoja muilla mekanismeilla, kuten vakiosopimuslausekkeilla.
On hyvin todennäköistä, että tietosuojakehykseen kohdistuneen kritiikin seurauksena asia tullaan viemään tulevaisuudessa EU:n tuomioistuimen tarkasteltavaksi. Useiden näkemysten, kuten EU parlamentin mukaan uusi tietosuojakehys ei tarjoa vastaavaa tietosuojan tasoa Yhdysvalloissa, eikä ole riittävä takaamaan eurooppalaisille rekisteröidyille samoja oikeuksia Yhdysvalloissa, kuin mitä yleinen tietosuoja-asetus takaa.
Nähtäväksi siis jää, mitätöikö Euroopan unionin tuomioistuin tulevaisuudessa tietosuojakehyksen riittämättömänä, jolloin tietojen siirtyminen Euroopasta Yhdysvaltoihin muuttuisi jälleen ongelmaksi. On kuitenkin selvää, että uutta riittävyyspäätöstä voidaan kuitenkin pitää edistysaskeleena EU-kansalaisten oikeuksien turvaamisessa, kun tietoja siirretään Yhdysvaltoihin.
Haluaisitko pysyä aina ajantasalla tietosuojan puhutuimmista aiheista ja opetuksen trendeistä? Tilaamalla Cloudpointin blogin tiedät aina mistä puhutaa!