15.10.2015 | Tietoturva

Safe Harbor –tuomio. Katkaistaanko palveluyhteydet Yhdysvaltoihin?

Yritykset ovat jo aloittaneet toimenpiteet tietosuojaprosessiensa uudistamiseksi EU:n tuomioistuimen Safe Harbor -tuomion perusteella Erityisesti yritykset, jotka käsittelevät henkilötietoja laajamittaisesti ja jotka ovat siirtäneet henkilötietoja Yhdysva

80953_b388d9a0-9235-49d7-a2d3-46f98cd8ab5d

Yritykset ovat jo aloittaneet toimenpiteet tietosuojaprosessiensa uudistamiseksi EU:n tuomioistuimen Safe Harbor -tuomion perusteella

Erityisesti yritykset, jotka käsittelevät henkilötietoja laajamittaisesti ja jotka ovat siirtäneet henkilötietoja Yhdysvaltoihin Safe Harbor -perusteen nojalla, eivät yllättyneet 6.10.2015, kun EU:n tuomioistuin antoi jutussa Maximillian Schrems v. Data Protection Commissioner tuomionsa. Tuomioistuin julisti pätemättömäksi komission päätöksen, jossa Yhdysvaltojen on todettu takaavan siirrettyjen henkilötietojen suojan riittävän tason Safe Harbor -järjestelmän avulla.

Safe Harbor siirtyy historiaan

EU:n tuomioistuimen ratkaisun ydinsisältö on selvä: Safe Harbor -järjestelyä ei voida enää käyttää, vaan henkilötietojen siirto Yhdysvaltoihin on jatkossa tuettava jollakin muulla henkilötietolainsäädännössä hyväksytyllä perusteella. EU:n tuomioistuimen ratkaisusta ei voida johtaa mitään erityistä siirtymäaikaa sille, minkä ajan kuluessa yritysten, jotka ovat aikaisemmin tukeutuneet Safe Harbor -perusteeseen, täytyy ottaa käyttöön uusi korvaava peruste.

Selvää joka tapauksessa on, ettei tällaista korvaavaa perustetta pystytä ottamaan käyttöön ”yön yli”, vaan prosessi on pidempikestoinen. Esimerkiksi EU:n komission hyväksymien mallilausekkeiden käyttöönotto vie oman aikansa.

Pitääkö yritysten katkaista palveluyhteydet Yhdysvaltoihin?

Heti 6.10. jälkeen käynnistyi myös yleinen keskustelu siitä, pitääkö yritysten katkaista välittömästi palveluyhteydet Yhdysvaltoihin siltä osin kuin tietoja siirretään Safe Harbor -perusteella. Tällä tavalla juuri mikään yritys ei liene käytännössä toiminut – mutta sen sijaan useissa yrityksissä on välittömästi aloitettu valmistelevat toimenpiteet, jotta tarvittavat muutokset pystytään myöhemmin toteuttamaan nopealla aikataululla. Olemme ohjeistaneet asiakkaitamme siihen, että nykyisessä tilanteessa on järkevää odottaa erityisesti sitä, millaisia käytännön suuntaviivoja EU:n tasolla toimiva kansallisista tietosuojavaltuutetuista koostuva työryhmä (WP) tulee esittämään, mahdollisesti jo 15.10. tai pian sen jälkeen. Lisäksi olemme kannustaneet siihen, että yritykset joka tapauksessa aloittavat välittömästi sisäiset prosessinsa tarvittavien muutosten valmistelemiseksi.

Siirtojen peruste uusiksi. Heti.

Erityistä huomiota tulee kiinnittää siihen, ettei yrityksissä aloiteta enää nyt sellaisia uusia henkilötietojen siirtojen prosesseja, jotka on tarkoitettu tuettavaksi Safe Harbor -perusteeseen. Erityisesti suurissa organisaatioissa on riskinä, ettei 6.10. muuttunutta oikeustilaa ole heti tiedostettu organisaation kaikilla tasoilla.

Safe Harbor kiteytettynä

EU:n tuomioistuimen päätös

Terho-Nevasalo-240x240 (1)

Kirjoittanut

Terho Nevasalo, osakas
Asianajotoimisto Hammarström Puhakka Partners
www.hpplaw.fi

Tule

Mukaan

Ohjelmisto- ja e-business ry:n jäsenenä olet mukana aktiivisessa softa-alan yhteisössä, jossa opit huippuosaajilta, pääset jakamaan kokemuksia muiden yrittäjien & johtajien kanssa, sekä kasvattamaan bisneksen kannalta elintärkeää verkostoasi.