Elokuusta 2016 alkaen organisaatiot ovat voineet hyödyntää EU–U.S. Privacy Shield -järjestelmää. Privacy Shield on yksi lainsäädännön mahdollistamista tavoista siirtää henkilötietoja EU:sta Yhdysvaltoihin. Sen käyttöönoton myötä henkilötietoja siirtävien organisaatioiden tulisi arvioida, siirtävätkö ne henkilötietoja omasta näkökulmastaan kaikkein tarkoituksenmukaisimmalla tavalla. EU:n komissio on vastikään julkaissut uutta järjestelmää selventävän oppaan.

EU:n henkilötietodirektiivin ja henkilötietolain mukaan organisaatiot voivat siirtää henkilötietoja EU:n alueelta lähtökohtaisesti vain sellaisiin valtioihin, joissa taataan riittävä tietosuojan taso. Vuonna 2000 tekemässään päätöksessä EU:n komissio oli todennut, että Safe Harbor -periaatteita Yhdysvalloissa noudattaneet organisaatiot takasivat riittävän tietosuojan tason. Siten yhtenä vaihtoehtona henkilötietojen siirtämiseksi EU:sta Yhdysvaltoihin oli, että vastaanottava organisaatio oli ilmoittanut noudattavansa Safe Harbor -periaatteita.

Edward Snowdenin tekemät Yhdysvaltojen kansalliseen turvallisuusvirastoon liittyvät paljastukset kuitenkin käynnistivät tapahtumien sarjan, jonka seurauksena EU-tuomioistuin päätyi 6. lokakuuta 2015 toteamaan komission Safe Harbor -päätöksen pätemättömäksi. Kyseisessä tuomiossa (asia C362/14 Schrems) EU-tuomioistuin totesi sellaisen säännöstön, jossa Yhdysvaltojen viranomaiset pääsevät yleisesti käsiksi sähköisen viestinnän sisältöön, ja jossa ei anneta yksityisille mahdollisuutta käyttää oikeussuojakeinoja, loukkaavan yksityiselämän kunnioittamista ja oikeussuojaa koskevien perusoikeuksien keskeistä sisältöä. Tuomion antamisen jälkeisten neuvottelujen tuloksena EU ja Yhdysvallat sopivat Safe Harborin korvaavasta Privacy Shield -järjestelmästä, joka tuli käyttöön 1. elokuuta 2016.

Jo aikaisempi Safe Harbor -järjestelmä sisälsi seitsemän pääperiaatetta, jotka on sisällytetty myös Privacy Shieldiin: yksityishenkilöiden informointi, valinnanvapaus, tietojen edelleen siirtämisen rajoittaminen, tietoturvallisuus, käyttötarkoitussidonnaisuus, tietojen oikeellisuuden vaatimus ja oikeussuojakeinot. Privacy Shield kuitenkin parantaa yksilöiden mahdollisuuksia turvautua oikeussuojakeinoihin ja saada korvauksia tietosuojaloukkauksista. Lisäksi se rajoittaa Yhdysvalloissa toimivien organisaatioiden oikeutta luovuttaa tietoja edelleen kolmansille tahoille. Privacy Shield -järjestelmän piirissä olevat organisaatiot eivät esimerkiksi voi laajamittaisesti luovuttaa käsittelemiään tietoja Yhdysvaltojen viranomaisille.

Privacy Shield -järjestelmään kuuluvat yhdysvaltalaiset organisaatiot sitoutuvat EU:sta tulleita henkilötietoja käsitellessään tiettyjen edellytysten täyttyessä noudattamaan eurooppalaisten tietosuojavaltuutettujen antamia lausuntoja ja päätöksiä. Lisäksi Privacy Shield selkiyttää Yhdysvaltojen viranomaisten, kuten kauppaministeriön ja kuluttajansuojaviranomaisen toimivaltaa suhteessa henkilötietoja käsitteleviin organisaatioihin. Privacy Shield myös esittelee uusia yksityishenkilöille maksuttomia oikeusturvamekanismeja, kuten vaihtoehtoinen riidanratkaisu ADR (”Alternative Dispute Resolution body”), erityinen asiamies (”Ombudsperson Mechanism”) ja välimiesmenettely (”Privacy Shield (Arbitral) Panel”).

Privacy Shield -järjestelmään kuuluakseen Yhdysvaltoihin sijoittuneen yhtiön on Safe Harbor -menettelyä vastaavalla tavalla rekisteröidyttävä Yhdysvaltojen kauppaministeriössä ja ilmoitettava sitoutuvansa noudattamaan Privacy Shield -ehtoja. Yhdysvaltalaisilla organisaatioilla on myös näyttötaakka siitä, että ne toimivat ehtojen mukaisesti. Uuden menettelyn piirissä yhtiö sitoutuu muun muassa pitämään tietosuojakäytäntönsä yleisön saatavilla, vastaamaan lyhyen aikarajan puitteissa yksityishenkilöiden tiedusteluihin ja auttamaan EU:n tietosuojaviranomaisia toteuttamaan henkilötietojen käsittelyn valvontaa. EU:n yleinen tietosuoja-asetus, jota aletaan soveltaa 25. toukokuuta 2018 alkaen, lähteekin siitä, ettei Privacy Shield -organisaatioille tehtäviin henkilötietojen siirtoihin tarvita erityistä lupaa, vaan ne ovat jo lähtökohtaisesti sallittuja.

Kuten aiemminkin, henkilötietojen siirtäminen EU:sta Yhdysvaltoihin on edelleen mahdollista myös muun muassa tietoja koskevan henkilön nimenomaisella suostumuksella, erityisillä tietosuojan tason takaavilla sopimuksilla tai yritystä koskevilla sitovilla BCR-säännöillä. Privacy Shield -järjestelmän käyttöönoton myötä organisaatioiden tulisi kuitenkin arvioida, onko niillä käytössään tarjolla olevista vaihtoehdoista kaikkein tarkoituksenmukaisin tapa siirtää henkilötietoja EU:sta Yhdysvaltoihin.

EU–U.S. Privacy Shield -opas on luettavissa englanniksi komission Internet-sivuilla osoitteessa http://ec.europa.eu/justice/data-protection/document/citizens-guide_en.pdf.

Lisätietoa: