Mikä on Schrems II?
- Euroopan unionin tuomioistuin antoi 16. heinäkuuta 2020 tuomion, jonka mukaan EU:n ja Yhdysvaltojen välinen Data Privacy Shield -sopimus mitätöitiin. Monet yritykset luottivat tähän sopimukseen mm. siirtäessään tietojaan Yhdysvaltojen ja EU:n välillä.
- Päätöksen seurauksena henkilötietojen siirrot Euroopan talousalueen ulkopuolelle edellyttävät aiempaa kattavampaa riskiarviointia ja mahdollisia lisätoimia.
- Henkilötietojen käsittelyllä EU alueen ulkopuolella tarkoitetaan tilannetta, jossa tiedot on tallennettu EU alueen ulkopuolelle ja lisäksi tilannetta, jossa EU alueen sisälle tallennettuun tietoon pääsee etäyhteydellä EU alueen ulkopuolelta.
- Tämä tuomio tuli myöhemmin tunnetuksi puhekielenä Schrems II, joka on nimetty Max Schremsin, aktivisti ja asianajajan mukaan, joka aloitti tämän juridisen taistelun Privacy Shield sopimusta vastaan.
Mitä nyt?
- Päätöksestä on nyt kulunut lähes kaksi vuotta. Eurooppalaisten yritysten on suoritettava yksilölliset arvioinnit jokaisesta tiedonsiirrosta EU alueen ulkopuoliseen maahan varmistaakseen vaatimustenmukaisuuden. Käytännössä tämä tarkoittaa DPIA ja TIA tiedonsiirtoja koskevaa riskiarviointia.
- Schrems II päätöksen huomiotta jättäminen voi aiheuttaa yrityksille massiivisia seuraamuksia ja sanktioita.
- Operatiiviset toimenpiteet eivät ole kiellettyjä; datan siirtäminen, sähköpostimarkkinointi tai HR-järjestelmän käyttö ovat täysin sallittuja, mutta yritysten pitää miettiä mitä työkaluja he voivat käyttää.
Suomalaiset yritykset saattavat siirtää valtavia määriä tietoa koko ajan kaukaisille palvelimille. Pilvipalveluiden avulla säilytetään esimerkiksi dokumentteja, valokuvia, videoita, kalenterimerkintöjä ja muita tiedostoja. Monet yritykset saattavat myös käyttää Yhdysvalloissa sijaitsevan yrityksen tarjoamaa työkalua vaikkapa sähköpostimarkkinointiin.
Pilvipalveluiden etuina ovat usein joustavuus ja nopeus. Käyttäjä pääsee lähes mistä tahansa kätevästi käsiksi tietoon, jota on helppo siirrellä ja tarvittaessa jakaa muille. Yritykset myös usein ajattelevat tekevänsä kustannussäästöjä, kun valitsevat esimerkiksi edullisen ja tunnetun työkalun joka toimii pilviteknologialla. Helppouden takana voi kuitenkin vaania vaara, jos palvelu sijaitsee Yhdysvalloissa ja ei oteta huomioon Schrems II päätöksen vaikutuksia. Schrems II päätöksen huomiotta jättäminen voikin aiheuttaa yrityksille massiivisia seuraamuksia ja sanktioita.
Yhdysvaltain tietosuojalainsäädäntö ei vastaa Euroopan tasoa
Euroopan ja Yhdysvaltojen välillä oli aikaisemmin henkilösuojasopimus nimeltään Safe Harbor. Safe Harbor sopimuksen ollessa voimassa yritykset pystyivät helposti siirtämään tietojaan Eurooppalaisen tietosuojalain mukaisesti. Eurooppalaisten henkilötietoja voitiin käsitellä lain mukaisesti Yhdysvalloissa ja toisin päin.
Safe Harbor sopimus kuitenkin mitätöitiin vuonna 2015 ja seuraavana vuonna sen tilalle tuli sopimus nimeltä Data Privacy Shield. Kuitenkin jo heinäkuussa 2020 Privacy Shield sopimus henkilötietojen luotettavasta käsittelystä kumottiin, koska Itävaltalainen lakimies ja oikeusaktivisti nimeltä Maximilian Schrems haastoi Privacy Shield sopimuksen. Tuli ilmi, että Yhdysvaltain lainsäädäntö mahdollistaa viranomaisten pääsyn tarvittaessa Yhdysvalloissa sijaitsevaan henkilötieto dataan.
Tämän jälkeen tietosuojalainsäädännön osalta on todettu eri dokumenteissa, että Yhdysvaltain tietosuojalainsäädäntö ei ole riittävällä tasolla verrattuna Eurooppalaiseen GDPR:ään. Tästä johtuen henkilötietojen käsittely yhdysvaltalaisten toimijoiden osalta ei siis ole eurooppalaisen tietosuojalainsäädännön mukaista eikä sitä kautta hyväksyttävää.
Myös EU:n sisällä tietosuojalainsäädäntö ja tietosuojan taso on erilainen.
Euroopan sisällä nykytilannetta tulkitaan eri tavoin, koska eri maiden lainsäädännöt ovat erilaisia. Myös erilaisia päätöksiä on tehty pitkin Eurooppaa mm. Tukholman kaupunki teki muutaman kuukauden takaisen päätöksen, jossa he totesivat etteivät voi käyttää Microsoft 365 palvelua, Ranska totesi keväällä 2022, että Google Analyticsin käyttö rikkoo tietosuojalainsäädäntöä ja Saksassa Baijerin osavaltion tietosuojaviranomainen on todennut uutiskirjepalvelu Mailchimpin laittomaksi Schrems II -tuomion myötä.
Kolme toimintamallia
Privacy Shield ei ole ollut voimassa nyt lähes kahteen vuoteen. Mitä tämä käytännössä tarkoittaa ja miten tämä vaikuttaa yrityksen operatiivisiin toimintoihin? Tarkoittaako tämä sitä että, yhdysvaltalaisia pilvi- tai SaaS (Software-as-a-Service) palvelutoimittajia ei voi enää käyttää? Olemme listanneet alle kolme mahdollista toimintamallia:
- En tiedä, enkä aio tehdä asialle mitään:
Miksi en voisi jatkaa tai ottaa palveluita käyttöön, koska kaikki muutkin niin tekevät? Naapurin Sepollakin tämä toimii vallan mainiosti, ainakin kaiman kummin mukaan. Jatkan entiseen malliin Schrems II sopimuksesta välittämättä. Otan siis riskin. - Pienennän riskiä:
Kartoitan riskini ja jatkan joidenkin yhdysvaltalaisten palvelujen tarjoajien käyttöä, mutta teen toimenpiteitä, jolla pienennän tietoturvariskiä. Teen mm. erilaisia teknisiä suojatoimenpiteitä suojellakseni dataani. Tarvittaessa lisään tai korvaan palveluita myös eurooppalaisilla ja suomalaisilla työkaluilla. - Pelaan täysin varman päälle:
Poistan kaikki yhdysvaltalaiset palvelujentarjoajat ja käytän pelkästään eurooppalaisia tai suomalaisia työkaluja. Luulo ei ole tiedon väärti.
Ei toimintojen kieltämistä vaan henkilötietojen suojaamista!
Itse operatiiviset toimenpiteet eivät ole kiellettyjä; datan siirtäminen, sähköpostimarkkinointi tai HR-järjestelmän käyttö ovat täysin sallittuja. Riskialtista on kuitenkin käyttää yhdysvaltalaista palvelujen tarjoajaa toimenpiteisiin, jossa liikkuu henkilötietoja, koska silloin rikotaan tietosuojalainsäädäntöä. Esimerkiksi myös yhdysvaltalainen laskentatyökalu voi olla täysin laillinen, jos sen alaisuudessa ei käsitellä henkilötietoja.
Kartoitetaan riskit yhdessä
Sinulle on tärkeää tunnistaa liiketoimintasi riskit ja varmistaa, että yrityksesi toimii tietosuojalain mukaisesti oikeilla työkaluilla. Varmista, ettet tee turhaa työtä valitsemalla tai kouluttamalla henkilökuntaa uusiin työkaluihin, jotka ovat tietosuoja lainvastaisia.
Riskejä, joita saatat kohdata:
- Mainehaitta ja brändin arvon lasku
- Tyytymättömät asiakkaat, jotka ovat huolissaan tietosuojasta
- Tietovuoto ja tietosuojaloukkaus
- Kaikki riskit voivat johtaa asiakkaiden menetykseen, sanktioihin tai sakkorangaistuksiin!
Mieti seuraavia kohtia:
- Miten tieto yrityksessäsi kulkee?
- Mitä palveluita ja työkaluja on käytössä, mikä on niiden rooli sekä mahdolliset riskit?
- Mitä muita palveluita tai työkaluja voitaisiin käyttää?
Jos kaipaat apua kartoitukseen suosittelemme sinulle meidän Schrems II työpajaa, jossa vastaamme yllä oleviin kysymyksiin. Katsomme yhdessä yrityksesi tiedonkulun, käytetyt palvelut ja työkalut sekä kartoitamme riskit. Työpajasta syntyy käytännön suunnitelma, jota yrityksesi voi turvallisesti noudattaa.
Tilaa kevyt Schrems II työpaja tästä!
Eettinen ja arvoperäinen toiminta on nykypäivänä entistä tärkeämpää jokaisen yrityksen maineen kannalta. Muista suojella omaa sekä asiakkaidesi dataa. GDPR ei ole katoamassa tai menossa pois – tämä on vasta ensimmäinen kierros, joten mukaan kannattaa hypätä jo nyt!