Schrems II, evästehässäkkä ja sanktiot – kuka pysyy perässä?

Viime vuosien aikana on tietosuoja-asioissa tapahtunut paljon – ja jatkuvalla syötöllä lisää! 

EU GDPR vuonna 2016, Suomen tietosuojalaki sitä tukemaan tammikuussa 2019 ja lisäksi etenkin julkishallintoa koskevana tiedonhallintalaki tammikuussa 2020. UK:n Brexit, UK GDPR, eri maiden omat tietosuojalait kuten Etelä-Afrikan POPIA ja Kiinan PIPL (vedos) kasaavat organisaatioille paineita. 

Lisäksi pilvi- sekä SaaS-palveluiden käyttö kasvaa. Toisaalta vanha sopimus Yhdysvaltojen kanssa, Privacy Shield, kumottiin heinäkuussa 2020. Evästehässäkän osalta Helsingin hallinto-oikeus kumosi keväällä 2021 Liikenne- ja viestintäviraston (Traficom) tekemät päätökset koskien verkkosivujen evästekäytänteitä ja ristiriitaiset ohjeistukset ehkä saavat tänä vuonna selvyyttä.

Miten nämä vaikuttavat tietojen ja sovellusten käyttöön? Kuka pysyy perässä näissä muutoksissa, kun osa organisaatioista ei ole aloittanut edes GDPR:n minimitoimia? Etene osissa osoitusvelvollisuuden osalta. Alla muutama ajankohtainen huomio. Jos jää kysyttävää, ota yhteyttä!

Schrems II – loppuuko pilvipalveluiden käyttö?

Varsinainen soppa, jossa taustalla Itävaltalainen tietosuoja-aktivisti Max Schrems, joka pani ensin Facebookin polvilleen henkilötietojensa käsittelystä (Schrems I), ja seuraavaksi hän puuttui henkilötietojen siirtoon Yhdysvaltoihin ensin ”Safe Harbour” ja myöhemmin ns. ”Privacy Shild” -sopimuksen osalta. Kesällä 2020 tuli päätös, jossa mukana EU-tuomioistuin sekä Euroopan tietosuojaneuvosto (EDPB). Pitkä tarina lyhyenä ja lopputulos – Privacy Shield -sopimus kumottiin, mistä EDPB on todennut näin.

Tuomioistuin totesi Privacy Shield -järjestelyn tarjoaman tietosuojan tason riittävyyttä koskevan päätöksen pätemättömäksi, koska tietojen siirtäminen kyseiseen kolmanteen maahan merkitsee puuttumista niiden henkilöiden perusoikeuksiin, joiden tietoja siirretään.

Tämä päätös astui voimaan ilman siirtymäaikaa kesällä 2020. Niinpä Yhdysvaltoihin ”siirrettävä data on suojattava EU GDPR:n tasoisesti, muuten siirto on laiton”. Tähän taas liittyy käsite ”siirto”, josta keskustellaan, onko ”käsittely” siirtoa eli jos Yhdysvalloista on pääsy dataan, onko tämä siirtoa. Tiukasti tulkinnut Saksan tietosuojaviranomainen on esimerkiksi kieltänyt Mailchimp nimisen sähköpostimarkkinointiohjelman käytön. 

Tämä taas on joidenkin yritysten keskuudessa tulkittu Mailchimp ongelmaksi, joka se ei ole. Tiukimpien tulkintojen mukaan minkä tahansa palvelun, jossa henkilötietoon on pääsy Yhdysvalloista, käyttö tulisi joko lopettaa tai miettiä ”lisäsuojauksia” tai mahdollisesti uusien mallisopimuslausekkeiden käyttöä. Näissä taas ongelmana on se, että jos maan lainsäädäntö esimerkiksi edellyttää pääsyä dataan, se täytyisi antaa – riippumatta miten se on suojattu tai millainen sopimus on tehty. 

Miten tästä nyt selvitään? Ensimmäiseksi on tiedettävä, mitä sovelluksia on käytössä ja missä dataa käsitellään.

Mitä suosittelemme tehtäväksi?

Olennaista on muodostaa todellinen kuva tietojen käsittelystä. Moneen yllä mainittuun nimittäin liittyy tietojenkäsittelyn kuvauksien päivittäminen ajan tasalle (seloste käsittelytoimista, siis sisäinen dokumentaatio). Lisäksi vaikutustenarvioinnit (DPIA), tietojenkäsittelysopimukset (DPA, data processing agreement) ja mahdollisesti muut sopimukset kuten mallisopimuslausekkeet tai siirtoihin liittyvät vaikutustenarvioinnit (TIA) on saatettava kuntoon.

Etene siis vaiheittain

Käytännön toimien osalta suosituksemme on siis edetä vaiheittain. Sitä voisi kuvata esimerkiksi tällä tavalla:

  • Selvitä missä järjestelmä käsittelee tietoja (toimittaja, maa)
  • Jos dataa käsitellään tai siihen on pääsy EU:n ulkopuolelta, selvitä käsitelläänkö siinä EU GDPR:n alaisia tietoja
  • Selvitä, onko sinulla vaihtoehtoa siirtää palvelua EU:n sisälle – esimerkin Mailchimp tai ActiveCampaign löytyy kyllä vaihtoehtoja, jopa Suomesta
  • Seuraava järjestelmä – käy läpi kaikki järjestelmäsi – jos niitä on paljon, niin priorisoi tärkeimmät aluksi

Me teemme myös näitä selvityksiä, joten tarvittaessa ota yhteyttä, laitetaan Schrems II ja GDPR asiat kuntoon!