EU-tuomioistuimen Schrems II- tuomio ja EDPB:n ohjeistus tietojensiirrosta julkisella sektorilla

Ensimmäisenä vahvistettiin, että EU:n yleistä tietosuoja-asetusta sovelletaan kaupallisten toimijoiden siirtäessä henkilötietoja kolmansiin maihin, riippumatta siitä, että kolmannen maan viranomaiset voivat siirron kuluessa tai sen jälkeen käsitellä näitä tietoja yleistä turvallisuutta, puolustusta tai valtion turvallisuutta varten. Toisin sanoen tapaus ei jää tietosuoja-asetuksen soveltamisalan ulkopuolelle tietosuoja-asetuksen 2 artiklan 2 kohdan perusteella.

Toiseksi EUT vahvisti tietosuoja-asetuksen 46 artiklan tulkinnan niin, että henkilöiden, joiden henkilötietoja siirretään kolmansiin maihin EU:n komission hyväksymien tietosuojaa koskevien vakiolausekkeiden nojalla, on saatava pääosin vastaavaa suojaa kuin tietosuoja-asetus luettuna EU:n perusoikeuskirjan valossa antaa.

Kolmanneksi vahvistettiin kansallisten valvontaviranomaisten oikeus ja velvollisuus keskeyttää tai kieltää vakiolausekkeisiin perustuva henkilötietojen siirto kolmansiin maihin, jos viranomainen harkitsee, ettei tietosuojan tasoa voida saada EU:n tasoa vastaavaksi muilla keinoin.

Lopuksi EUT otti kantaa Privacy Shield -päätöksen pätevyyteen. Menemättä tarkemmin yksityiskohtiin, Privacy Shield -päätös katsottiin pätemättömäksi kahdella perusteella:

• Yhdysvaltojen tarkkailulainsäädännön mahdollistamat tarkkailuohjelmat eivät täyttäneet EU-oikeuden suhteellisuusperiaatetta, koska ne eivät rajaa riittävän selvästi ja täsmällisesti tarkkailun ulottuvuutta. Siten ei voitu sanoa, että tarkkailuohjelmat olisivat rajattu vain täysin välttämättömään Privacy Shieldin johdanto-osan 140 perustelukappaleen mukaisesti.
• Privacy Shield ei taannut tehokkaita oikeussuojakeinoja tarkkailuohjelman kohteeksi joutuneille rekisteröidyille. Privacy Shield -päätöksessä todettiin, että Yhdysvalloilla on tähän liittyen käytössään oikeusasiamiesmenettely. Kuitenkin, koska oikeusasiamiehellä ei ollut oikeutta tehdä sitovia päätöksiä tarkkailua suorittavia viranomaisia kohtaan, ei tämä ollut verrattavissa asian saattamiseksi itsenäisen ja riippumattoman tuomioistuimen käsiteltäväksi.

Ongelmana on siis se, ettei Yhdysvaltojen tietosuojan taso vastaa EU:n tasoa edellä mainituin tavoin. Tämä EU-tasoa vastaava sääntely rekisteröityjen saatavilla olevien täytäntöönpanokelpoisten oikeuksien ja tehokkaiden oikeussuojakeinojen osalta on vaatimuksena henkilötietojen siirtämiseen kolmanteen maahan kuten Yhdysvaltoihin myös vakiolausekkeita käytettäessä.

Schrems II -ratkaisulla on kaikkien EU/ETA –alueen ulkopuolisten palveluntuottajien, kuten yhdysvaltalaisten ja aasialaisten palveluntuottajien, osalta vaikutuksia, kun henkilötietojen rekisterinpitäjä, esimerkiksi kunta tai kuntayhtymä, pohtii riskienhallintaa tietosuojaan liittyen. Miten tulisi suhtautua uuteen tilanteeseen - miten ylläpitää toimintaa, joka vaatii henkilötietojen käsittelyä ja joskus myös isojen, kansainvälisten järjestelmien käyttöä, ja samalla hallita oikeudellista riskiä uuden tulkintatilanteen takia. Ensinnäkin on syytä erotella, tarkastellaanko uusia sopimuksia ja tietojärjestelmähankintoja vai jo käytössä olevia tietojärjestelmiä ja voimassa olevia sopimuksia

Tärkeää on huomata, että henkilötietojen käsittelyllä EU/ETA –alueen ulkopuolella tarkoitetaan tilannetta, jossa tiedot on tallennettu EU/ETA –alueen ulkopuolelle ja lisäksi tilannetta, jossa EU/ETA –alueen sisälle tallennettuun tietoon pääsee etäyhteydellä EU/ETA –alueen ulkopuolelta. Toisin sanoen henkilötietojen siirto EU/ETA:n ulkopuolelle tarkoittaa myös tilanteita, joissa konesalit, joissa tiedot säilytetään, sijaitsevat EU/ETA-alueella, mutta niihin on yhteys alueen ulkopuolelta.

Uuden sopimuksen tai tietojärjestelmähankinnan kohdalla edellytetään lähtökohtaisesti, että kokonaisuus täyttää voimassa olevan lainsäädännön vaatimukset. Helpoiten pääsee, jos varmistaa, että henkilötietoja ei missään olosuhteissa käsitellä EU:n tai ETA:n ulkopuolella eli luonnollinen lähtökohta uusien sopimusten ja järjestelmähankintojen suhteen on kieltää kaiken henkilötietojen siirron ja käsittelyn tämän alueen ulkopuolella.

Komissio on lisäksi hyväksynyt listan maista, joissa henkilötietoja saa EU/ETA –alueen lisäksi käsitellä. Nämä ovat Andorra, Argentiina, Kanada (kaupallisten organisaatioiden osalta) Färsaaret, Guernsey, Israel, Mansaari, Japani, Jersey, Uusi-Seelanti, Sveitsi ja Uruguay. Lista päivittyy, katso linkki komission sivulle.

Mikäli tähän asetelmaan on mahdotonta päästä, on lähdettävä verrattain raskaaseen tietosuoja-asetuksen ja Schrems II -ratkaisun mukaiseen prosessiin, jossa sopimuksessa erityisselvittelyjen ja vakuutuksien kautta varmistetaan riittävän tietosuojan taso kautta koko käsittelyn.

Jos henkilötietoja on tarpeen käsitellä EU/ETA –alueen ja komission hyväksymien maiden ulkopuolella, tulee tietosuoja-asetuksen 46 artiklan mukaisesti noudattaa asianmukaisia suojatoimia, joita ovat esim. tietosuojaa koskevat vakiolausekkeet (https://tietosuoja.fi/komission-hyvaksymat-vakiolausekkeet ) ja linkki Komission sivuille . Vakiolausekkeiden käyttämisen lisäehtona on, että rekisteröityjen saatavilla on myös siirtojen kohdemaassa täytäntöönpanokelpoisia oikeuksia ja tehokkaita oikeussuojakeinoja, ja rekisterinpitäjän on sen takia tapauskohtaisesti selvitettävä kohdemaan oikeuksien ja oikeussuojakeinojen olemassaolo sekä niiden vastaavuus EU:n tietosuojasäännösten kanssa.

Mahdollisia tapauskohtaisen selvityksen perusteella havaittuja puutteita tietosuojassa on mahdollista korjata lisätoimenpiteillä ja siten saattaa suoja EU:n lainsäädännössä edellytetylle tasolle. Euroopan tietosuojaneuvosto on 10.11.2020 antanut suosituksensa täydentävistä suojatoimista linkki , jotka tulee ottaa huomioon, kun tietoja siirretään EU/ETA –alueen ulkopuolelle. Suositusten liitteessä 2 on esimerkkiluettelo täydentävistä suojatoimista, joiden riittävyyttä on arvioitava tapauskohtaisesti. Näitä ovat mm. salaus ja pseudonymisointi. Teknisten toimenpiteiden tavoitteena on sulkea pois mahdollinen loukkaava viranomaisen pääsy tietoihin.