Tietosuojataikurin hatusta kani – Data Privacy Framework
Heinäkuussa koimme varsinaisen yllätyksen, kun tietosuojataikuri esitteli Data Privacy Framework (DPF) sopimuksen kuin kanin hatustaan. DPF-sopimus korvaa vuonna 2020 kumotun Privacy Shield -sopimuksen henkilötietojen siirrosta Euroopan ja Yhdysvaltojen välillä.
Euroopan komission riittävyys päätös
Euroopan komissio antoi 10.7.2023 riittävyyspäätöksen EU:n ja Yhdysvaltojen väliselle tietosuojakehykselle. Euroopan komission tekemä riittävyyspäätös eli DPF-sopimus sallii nyt henkilötietojen siirron EU:sta Yhdysvaltoihin, mutta päätöksellä on suora vaikutus vain niihin käyttämiisi toimittajiin, jotka ovat liittyneet DPF:ään. Sopimus koskeekin siis vain niitä yhdysvaltalaisyrityksiä, jotka ovat sitoutuneet tietosuojakehykseen ja sen mukaisiin suojatoimiin. Sopimus ei koske yhdysvaltalaisia yrityksiä, jotka eivät ole liittyneet DPF:ään.
Miten tähän päädyttiin?
Ensimmäinen ja alkuperäinen Euroopan ja Yhdysvaltojen välinen tietosuojasopimus Safe Harbour kumottiin vuonna 2015 ja seuraavana vuonna sen tilalle tuli sopimus nimeltä Privacy Shield. Privacy Shield sopimuksen mukaan organisaatioille laitettiin vaatimuslista, johon heidän piti vastata, enemmän ja vähemmän todellisuuden mukaisesti. Kuitenkin jo vuonna 2020 Privacy Shield sopimus henkilötietojen luotettavasta käsittelystä kumottiin, koska Yhdysvaltojen viranomaiset pääsivät tai saattoivat vaatia pääsyä tietoihimme. Klikkaa tästä ja lue lisää sopimusten historiasta!
Uutta sopimusta odotettiin vuodesta 2020 asti ja nyt heinäkuusta 2023 alkaen EU-US Data Privacy Framework toimii virallisena sopimuksena koskien tietojen siirtoa. Sopimuksen mukaan ne toimijat, jotka ovat DPF:n hyväksyntälistalla aktiivisia, ovat riittäviä suojaamaan tietojamme.
Riski on kuitenkin olemassa, että asetus kumotaan, jos Yhdysvalloissa presidentti vaihtuu tai Max Schremsin johtama NOYB (Euroopan digitaalisten oikeuksien keskus) haastaa DPF:n. Kumpi tahansa tapahtuma johtaisi takaisin kolmen vuoden takaiseen tilanteeseen.
Ota nämä seikat huomioon omassa tietosuojatyössä
- Tarkista huolellisesti toimijan DPF-listalla olo tästä!
- Varmista toimijan tai palvelutuottajan aktiivisuus sekä voimassaoloaika.
- Älä lopeta DPIA työtä!
- TIA:n suhteen käytä aika pääosin DPIA ja riskien hallitsemiseen. Varaudu, että DPF voi kumoutua ja siten palataan taas siirtojen arviointiin (TIA). Jos DPF kaatuu, mieti mitä suojatoimia teillä voisi olla käytettävissä?
- Seuraa tilannetta meidän kanavillamme.