Pilvipalvelut ja tietosuoja

EU-tuomioistuimen Schrems II- tuomio ja EDPB:n ohjeistus tietojensiirrosta julkisella sektorilla

Useista kunnista on tullut kysymyksiä Kuntaliittoon koskien EU-tuomioistuimen (jatkossa EUT) antamaa Schrems II tuomiota ja siihen liittyvää Euroopan tietosuojaneuvoston (jatkossa EDPB) antamaa ohjeistusta henkilötietojen siirrosta Europan talousalueen ulkopuolelle. Tässä kuvataan lyhyesti Schrems II tuomiota ja miten kunnissa siihen tulisi suhtautua.

Kyseessä ei ole ohjeistus, vaan pikemminkin kyse on näkökohdista, mitä tulisi huomioida, kun kunnassa arvioidaan pilvipalveluiden tietosuojaa.

Yhteenveto 

  • Henkilötietojen käsittely EU/ETA talousalueen ulkopuolelle tarkoittaa tilannetta, jossa tiedot on tallennettu tai niihin pääsee käsiksi etäyhteydellä EU/ETA talousalueen ulkopuolelta
  • Euroopan tuomioistuin päätöksen mukaan henkilötietojen siirrot EU/ETA talousalueen ulkopuolelle edellyttävät aiempaa kattavampaa riskiarviointia ja mahdollisia lisätoimia
  • Päätöksen mukaan EU:n ja Yhdysvaltojen Privacy Shield päätös on pätemätön
  • EU:n komissio on hyväksynyt listan maista, joissa henkilötietoja saa EU/ETA alueen lisäksi käsitellä
  • Jollei maa ole EU:n komission listalla, niin rekisterinpitäjän tulisi varmistaa, että henkilötietoja ei missään olosuhteissa käsitellä EU/ETA:n ulkopuolella. Jollei se ole mahdollista, niin rekisterinpitäjän
    • on varmistettava erityisselvittelyjen ja vakuutuksien kautta riittävän tietosuojan taso koko käsittelyn ajan
    • tulee varmistaa maan riittävä tietosuojan taso ja noudattaa asianmukaisia suojatoimia (esim. vakiolausekkeiden käyttö) ja muita oikeussuojakeinoja. Euroopan tietojasuojaneuvosto on antanut suosituksen täydentävistä suojatoimista
  • Voimassa olevien sopimusten ja järjestelmien osalta on tarkistettava, onko sopimusehdoissa sovellettu esimerkiksi JIT-ehtoja vuodelta 2015, missä kielletään henkilötietojen luovuttaminen EU/ETA alueen ulkopuolelle

    • Jollei sopimuksissa ole JIT- kaltaisia ehtoja on,

      • tehtävä riskien arviointi henkilötietojen käsittelystä ja mahdollisesti muutettava sopimusta tai kilpailutettava järjestelmä uudestaan
      • jos käsitellään salassa pidettäviä ja/tai erityisiä henkilötietoryhmiä ja/tai suuria määriä tietoja, tulee tehdä ilmoitus kansalliselle valvontaviranomaiselle siitä, että vakiolausekkeita käyttäen on sovittu tietojen siirrosta yhdysvaltalaisen palveluntuottajan kanssa ja tätä sopimusta on tarkoitus jatkaa.
Avaa kaikki

Schrems II -päätös

EUT antoi 16.7.2020 tuomion asiassa C-311/18 (ns. Schrems II -päätös), jonka seurauksena henkilötietojen siirrot Euroopan talousalueen ulkopuolelle edellyttävät aiempaa kattavampaa riskiarviointia ja mahdollisia lisätoimia. Päätöksen mukaan EU:n ja Yhdysvaltojen välisen Privacy Shield -järjestelyn tarjoaman tietosuojan tason riittävyydestä annettu aikaisempi päätös (2016/1250) on pätemätön.

Päätös koskee datan siirtämistä Euroopan talousalueen ulkopuolella sijaitseville palvelimille sekä datan käsittelynEuroopan talousalueen ulkopuolelta mahdollistavan teknisen käyttöyhteyden avaamista Suomessa tai muualla Euroopan talousalueella säilytettävään dataan.

Koska EU:n komission vastaavuuspäätökset yhdysvaltalaisten yritysten osalta (Safe Harbor, Privacy Shield) eivät enää päde, vaatii henkilötietojen siirto palveluiden tilaajilta asianmukaisia suojatoimia, kuten mallisopimuslausekkeita. EDPB julkaisi 11.11.2020 suosituksensa täydentävistä suojatoimista ja määrätyissä olosuhteissa tietojen siirtäminen tai tietojen siirtämisen jatkaminen estyy kokonaan.

Schrems II -päätöksen taustalla on itävaltalaisen tietosuoja-aktivistin Max Schremsin kantelu Irlannin tietosuojavaltuutetulle siitä, että facebook siirsi hänen henkilötietojaan Yhdysvaltoihin, jonne siirretyillä henkilötiedoilla ei ole riittävää suojaa siellä harjoitettua tiedustelutoimintaa vastaan. Riittävän suojan puute näkyi mm. siinä, ettei EU:n kansalaisella ollut oikeussuojakeinoja tiedustelua vastaan, toisin kuin Yhdysvaltojen kansalaisilla.

Mitä oikeastaan EUT päätti tapauksessa?

Ensimmäisenä vahvistettiin, että EU:n yleistä tietosuoja-asetusta sovelletaan kaupallisten toimijoiden siirtäessä henkilötietoja kolmansiin maihin, riippumatta siitä, että kolmannen maan viranomaiset voivat siirron kuluessa tai sen jälkeen käsitellä näitä tietoja yleistä turvallisuutta, puolustusta tai valtion turvallisuutta varten. Toisin sanoen tapaus ei jää tietosuoja-asetuksen soveltamisalan ulkopuolelle tietosuoja-asetuksen 2 artiklan 2 kohdan perusteella.

Toiseksi EUT vahvisti tietosuoja-asetuksen 46 artiklan tulkinnan niin, että henkilöiden, joiden henkilötietoja siirretään kolmansiin maihin EU:n komission hyväksymien tietosuojaa koskevien vakiolausekkeiden nojalla, on saatava pääosin vastaavaa suojaa kuin tietosuoja-asetus luettuna EU:n perusoikeuskirjan valossa antaa.

Kolmanneksi vahvistettiin kansallisten valvontaviranomaisten oikeus ja velvollisuus keskeyttää tai kieltää vakiolausekkeisiin perustuva henkilötietojen siirto kolmansiin maihin, jos viranomainen harkitsee, ettei tietosuojan tasoa voida saada EU:n tasoa vastaavaksi muilla keinoin.

Lopuksi EUT otti kantaa Privacy Shield -päätöksen pätevyyteen. Menemättä tarkemmin yksityiskohtiin, Privacy Shield -päätös katsottiin pätemättömäksi kahdella perusteella:

  • Yhdysvaltojen tarkkailulainsäädännön mahdollistamat tarkkailuohjelmat eivät täyttäneet EU-oikeuden suhteellisuusperiaatetta, koska ne eivät rajaa riittävän selvästi ja täsmällisesti tarkkailun ulottuvuutta. Siten ei voitu sanoa, että tarkkailuohjelmat olisivat rajattu vain täysin välttämättömään Privacy Shieldin johdanto-osan 140 perustelukappaleen mukaisesti.
  • Privacy Shield ei taannut tehokkaita oikeussuojakeinoja tarkkailuohjelman kohteeksi joutuneille rekisteröidyille. Privacy Shield -päätöksessä todettiin, että Yhdysvalloilla on tähän liittyen käytössään oikeusasiamiesmenettely. Kuitenkin, koska oikeusasiamiehellä ei ollut oikeutta tehdä sitovia päätöksiä tarkkailua suorittavia viranomaisia kohtaan, ei tämä ollut verrattavissa asian saattamiseksi itsenäisen ja riippumattoman tuomioistuimen käsiteltäväksi.

Ongelmana on siis se, ettei Yhdysvaltojen tietosuojan taso vastaa EU:n tasoa edellä mainituin tavoin. Tämä EU-tasoa vastaava sääntely rekisteröityjen saatavilla olevien täytäntöönpanokelpoisten oikeuksien ja tehokkaiden oikeussuojakeinojen osalta on vaatimuksena henkilötietojen siirtämiseen kolmanteen maahan kuten Yhdysvaltoihin myös vakiolausekkeita käytettäessä.

Mitä kunnan tulisi tehdä?

Schrems II -ratkaisulla on kaikkien EU/ETA –alueen ulkopuolisten palveluntuottajien, kuten yhdysvaltalaisten ja aasialaisten palveluntuottajien, osalta vaikutuksia, kun henkilötietojen rekisterinpitäjä, esimerkiksi kunta tai kuntayhtymä, pohtii riskienhallintaa tietosuojaan liittyen. Miten tulisi suhtautua uuteen tilanteeseen - miten ylläpitää toimintaa, joka vaatii henkilötietojen käsittelyä ja joskus myös isojen, kansainvälisten järjestelmien käyttöä, ja samalla hallita oikeudellista riskiä uuden tulkintatilanteen takia. Ensinnäkin on syytä erotella, tarkastellaanko uusia sopimuksia ja tietojärjestelmähankintoja vai jo käytössä olevia tietojärjestelmiä ja voimassa olevia sopimuksia

Tärkeää on huomata, että henkilötietojen käsittelyllä EU/ETA –alueen ulkopuolella tarkoitetaan tilannetta, jossa tiedot on tallennettu EU/ETA –alueen ulkopuolelle ja lisäksi tilannetta, jossa EU/ETA –alueen sisälle tallennettuun tietoon pääsee etäyhteydellä EU/ETA –alueen ulkopuolelta. Toisin sanoen henkilötietojen siirto EU/ETA:n ulkopuolelle tarkoittaa myös tilanteita, joissa konesalit, joissa tiedot säilytetään, sijaitsevat EU/ETA-alueella, mutta niihin on yhteys alueen ulkopuolelta.

Uusi sopimus tai tietojärjestelmähankinta

Uuden sopimuksen tai tietojärjestelmähankinnan kohdalla edellytetään lähtökohtaisesti, että kokonaisuus täyttää voimassa olevan lainsäädännön vaatimukset. Helpoiten pääsee, jos varmistaa, että henkilötietoja ei missään olosuhteissa käsitellä EU:n tai ETA:n ulkopuolella eli luonnollinen lähtökohta uusien sopimusten ja järjestelmähankintojen suhteen on kieltää kaiken henkilötietojen siirron ja käsittelyn tämän alueen ulkopuolella.

Komissio on lisäksi hyväksynyt listan maista, joissa henkilötietoja saa EU/ETA –alueen lisäksi käsitellä. Nämä ovat Andorra, Argentiina, Kanada (kaupallisten organisaatioiden osalta) Färsaaret, Guernsey, Israel, Mansaari, Japani, Jersey, Uusi-Seelanti, Sveitsi ja Uruguay. Lista päivittyy, katso linkki komission sivulle.

Mikäli tähän asetelmaan on mahdotonta päästä, on lähdettävä verrattain raskaaseen tietosuoja-asetuksen ja Schrems II -ratkaisun mukaiseen prosessiin, jossa sopimuksessa erityisselvittelyjen ja vakuutuksien kautta varmistetaan riittävän tietosuojan taso kautta koko käsittelyn.

Jos henkilötietoja on tarpeen käsitellä EU/ETA –alueen ja komission hyväksymien maiden ulkopuolella, tulee tietosuoja-asetuksen 46 artiklan mukaisesti noudattaa asianmukaisia suojatoimia, joita ovat esim. tietosuojaa koskevat vakiolausekkeet (https://tietosuoja.fi/komission-hyvaksymat-vakiolausekkeet ) ja linkki Komission sivuille . Vakiolausekkeiden käyttämisen lisäehtona on, että rekisteröityjen saatavilla on myös siirtojen kohdemaassa täytäntöönpanokelpoisia oikeuksia ja tehokkaita oikeussuojakeinoja, ja rekisterinpitäjän on sen takia tapauskohtaisesti selvitettävä kohdemaan oikeuksien ja oikeussuojakeinojen olemassaolo sekä niiden vastaavuus EU:n tietosuojasäännösten kanssa.

Mahdollisia tapauskohtaisen selvityksen perusteella havaittuja puutteita tietosuojassa on mahdollista korjata lisätoimenpiteillä ja siten saattaa suoja EU:n lainsäädännössä edellytetylle tasolle. Euroopan tietosuojaneuvosto on 10.11.2020 antanut suosituksensa täydentävistä suojatoimista linkki , jotka tulee ottaa huomioon, kun tietoja siirretään EU/ETA –alueen ulkopuolelle. Suositusten liitteessä 2 on esimerkkiluettelo täydentävistä suojatoimista, joiden riittävyyttä on arvioitava tapauskohtaisesti. Näitä ovat mm. salaus ja pseudonymisointi. Teknisten toimenpiteiden tavoitteena on sulkea pois mahdollinen loukkaava viranomaisen pääsy tietoihin. 

Voimassa olevat sopimukset ja käytössä olevat järjestelmät

Kunnissa käsitellään paljon henkilötietoja voimassa olevien sopimusten nojalla jo hankituissa järjestelmissä, jolloin ensisijainen ratkaisu ei voi olla uuden järjestelmän hankinta tai sopimuksen purku ja uuden tarjouskilpailun järjestämistä.

Selkein tilanne on, jos voimassa olevassa sopimuksessa yksiselitteisesti kielletään henkilötietojen luovuttaminen ETA:n tai EU:n ulkopuolelle. Esimerkiksi JIT-ehdot vuodesta 2015 sisältävät tämän kaltaisen määräyksen. Jos siis sopimuksessa viitataan JIT-ehtoihin, voidaan lähteä siitä, että käsittely täyttää myös uuden tulkintatilanteen vaatimuksia, eikä muutostarpeita tältä osin ole.

Jos taas sopimus sallii käsittelyä ETA tai EU -alueen ulkopuolella, eli avataan esimerkiksi mahdollisuus tekniselle tuelle tämän alueen ulkopuolelta päästä henkilötietoihin käsiksi, on arvioitava, pitääkö riskienhallinnan näkökulmasta käsittelyn turvaamiseksi sopimusta muuttaa tai jopa koko järjestelmän kilpailuttaa uudelleen.

Mikäli sopimusta ei olla muuttamassa eikä uutta kilpailutusta tekemässä, on tarpeen arvioida tilanne riskienhallinnan näkökulmasta. Riskejä arvioitaessa on tarpeen kiinnittää huomiota seuraaviin seikkoihin: ovatko kyseessä salassa pidettävät ja/tai tietosuoja-asetuksen mukaisia erityisiä henkilötietoryhmiä koskevat henkilötiedot ja/tai suuret määrät edellä mainittuja tai muita henkilötietoja.

Jos jokin edellä mainittu henkilötietoryhmä on kyseessä, on tarpeen ilmoittaa kansalliselle valvontaviranomaiselle eli tietosuojavaltuutetulle, että vakiolausekkeita käyttäen on sovittu tietojen siirrosta yhdysvaltalaisen palveluntuottajan kanssa ja tätä sopimusta on tarkoitus jatkaa.

Muualla verkossa

Löydä lisää sisältöä samoista teemoista
Siniset kikkareet

Tutustu Kuntaliiton hallitusohjelmatavoitteisiin

Eduskuntavaalit ovat myös kuntavaalit. Kokosimme kuntakentän 13 kärkitavoitetta kevään hallitusohjelmaneuvotteluihin.

Tutustu hallitusohjelmatavoitteisiin.

Digisumpit-kuvituskuva.

Tervetuloa digisumpeille!

Digisumpit on torstaisin pidettävä etätilaisuus kuntien digikehittäjille. Digisumpit on tarkoitettu kuntien osaamisen jakamista ja verkostoitumista varten. 

Digisumppien ajankohdat ja aiheet.