Viime viikolla Euroopan komissio ja Yhdysvallat pitivät tiedotustilaisuuden, jonka keskiössä oli riippuvuus Venäjän energiantuotannosta. Keskustelun väliin oli ujutettu ilmoitus tahojen yhteisymmärryksestä tiedonsiirroista Atlantin yli. Tietosuoja-ammattilaiset ovat odottaneet tätä kuin kuuta nousevaa lähes kaksi vuotta. Valitettavasti uusi viitekehys ei näytä ratkaisevan kaikkia ongelmia.
Faktat lyhyesti:
• Aiempi tiedonsiirtomekanismi EU:n ja Yhdysvaltojen välillä kumottiin heinäkuussa 2020 (Schrems II).
• Lähtökohtaisesti henkilötietoja voi siirtää EU:n ulkopuolelle, jos kohdemaan tietosuojalainsäädäntö on samankaltainen kuin GDPR. Muissa tapauksissa vaaditaan lisäsuojatoimia.
• Yhdysvaltojen lainsäädäntö ei ole pystynyt takaamaan riittävää tietosuojaa EU:n kansalaisille. Ongelmaksi on nähty erityisesti USA:n viranomaisten valvontalait (”surveillance laws”).
Viimeiset 12 kuukautta ovat olleet myllerrystä, kun useat Keski-Euroopan tietosuojaviranomaiset ovat määränneet keskeyttämään tiedonsiirtoja Yhdysvaltoihin. Maaliskuussa 2021 Saksan Baijerin viranomainen vaati paikallista organisaatiota lopettamaan Mailchimpin käytön.
Moni meistä ei ole pystynyt välttymään Google Analyticsin keskustelulta. Esimerkiksi Ranskan ja Itävallan viranomaiset ovat todenneet kyseisen palvelun käytön olevan laitonta.
Meillä täällä Pohjolassa on otettu maltillisempia askeleita yhdysvaltalaisjättien osalta. Radikaalein esimerkki Skandinaviasta löytyy naapurimaastamme. Tukholman kaupunki ilmoitti alkuvuodesta, ettei se ottaisi käyttöön Microsoftin pilvipalveluja riittämättömän henkilötietosuojan takia.
Voiko Schrems-projektit laittaa nyt jäähylle?
Suomessa ja muualla EU:ssa organisaatiot ovat aloittaneet Schrems-projektit, joiden tarkoituksena on varmistaa riittävä tietosuoja tiedonsiirroissa. Osa saattaa tässä kohtaa pohtia, voiko valoitetun USA:n tiedonsiirtomekanismin turvin laittaa tämä projekti jäihin?
Valitettavasti ei. Käytännössä uuden viitekehyksen läpivienti konkretiaan voi kestää useita kuukausia eikä sen tarkemmista yksityiskohdista ole tietoa. Lisäksi uutta mekanismia on jo ehditty usean tahon toimesta kuvaamaan poliittiseksi vedoksi.
Tulevasta mekanismista huolimatta, organisaatioiden on edelleen varmistettava riittävä tietosuojataso tiedonsiirroissa EU:n ulkopuolelle. Toisin sanoen, Schrems II -projekteja on syytä jatkaa seuraavin askelmerkein:
- Tarkista, että tietosuojadokumentaatiosi on ajantasalla. Varmista, että kaikki henkilötietojen käsittelytoimet ja järjestelmät dokumentoitu.
- Tunne tiedonsiirtosi kartoittamalla maat, joihin henkilötietoja siirretään. Ota analyysiin mukaan niin palveluntarjoajan sijainti, palvelimien lokaatiot sekä toimittajasi edelleen ulkoistamat palikat (eli henkilötietojen alikäsittelijät).
- Jos henkilötietoja siirretään EU:n tai komission hyväksymien maiden ulkopuolelle, organisaation tulee:
- tehdä TIA-riskianalyysi, eli transfer impact assessment. Tässä arvioidaan kohdemaan lainsäädäntöä sekä lisäsuojaustoimenpiteitä esimerkiksi tietoturvan näkökulmasta.
- päivittää henkilötietojen käsittelysopimuksiin uudet mallisopimuslausekkeet (”SCC”). Huomioithan, että viranomaisen antama määräaika tälle on 27.12.2022.
Tietoturva ry:n hallituksen jäsen Oona Matinpalo, CIPP/e, on tehnyt tietosuojaan liittyviä toimeksiantoja useissa organisaatiossa ensin konsultin saappaissa ja vastaa tällä hetkellä tietosuojaan liittyvissä kysymyksissä metsäteollisuuden puolella. Tietoturva ry:n lisäksi Oona on toiminut Helsingin ekonomien hallituksessa vuosina 2019-2021. ”GDPR:n kiemuroiden ohella minua kiinnostaa laajemmin kybertuvallisuus, digitalisaatio sekä kansainvälisten virtuaalitiimien johtaminen. Pyrin jakamaan näistä aiheista sisältöä omissa somekanavissani. Verkostoidun mielelläni muiden ammattilaisten kanssa. Paina siis rohkeasti Connect-nappia LinkedInissä tai seuraa minua Twitterissä.”