Tiedonsiirto Yhdysvaltoihin helpottuu – Euroopan komissio hyväksyi päätöksen Yhdysvaltojen tietosuojan riittävästä tasosta
Euroopan komission päätös Yhdysvaltojen tietosuojan tason riittävyydestä on astunut voimaan 10. heinäkuuta. Komissio katsoo, että Yhdysvallat varmistaa riittävän suojan henkilötiedoille, jotka siirretään EU:sta yhdysvaltalaisille yrityksille riittävyyspäätöksen nojalla.
Riittävyyspäätöksen nojalla henkilötietoja voidaan siirtää sertifioituneille yhdysvaltalaisille yrityksille, jotka ovat sitoutuneet EU:n ja Yhdysvaltojen välisessä tietosuojakehyksessä sovittuihin suojatoimiin. Riittävyyspäätöstä ei voi käyttää tiedonsiirtoihin julkisen sektorin toimijoiden välillä.
Yhdysvaltalaiset yritykset voivat liittyä tietosuojakehykseen sitoutumalla noudattamaan yksityiskohtaisia tietosuojavelvoitteita. Velvoitteisiin kuuluvat esimerkiksi tiettyjen tietosuojaperiaatteiden noudattaminen sekä tietoturvaa ja henkilötietojen edelleen siirtoa koskevat vaatimukset.
Tietosuojakehys takaa EU-alueen rekisteröidyille oikeuksia, kuten mahdollisuuden käyttää tarkastusoikeutta siirrettyihin henkilötietoihinsa sekä poistaa tai oikaista väärät tai lainvastaisesti käsitellyt tietonsa. Lisäksi tietosuojakehys tarjoaa EU-kansalaisille uusia oikeussuojamekanismeja.
Yhdysvaltojen käyttöön ottamat suojatoimet helpottavat myös yleisemmin tiedonsiirtoa EU:n ja Yhdysvaltojen välillä. Suojatoimia voidaan soveltaa myös silloin, kun tietoja siirretään käyttämällä esimerkiksi vakiolausekkeita tai yrityksiä koskevia sitovia sääntöjä.
EU:n ja Yhdysvaltojen välisellä tietosuojakehyksellä korvataan EU-tuomioistuimen kesällä 2020 Schrems II -tuomiossa mitätöimä Privacy Shield -järjestely.
Tietosuojakehyksessä huomioidaan EU-tuomioistuimen Schrems II -ratkaisussa esittämiä huolenaiheita. Yhdysvaltojen presidentin toimeenpanomääräyksellä (Executive Order) muun muassa perustettiin Yhdysvaltoihin tietosuoja-asioiden muutoksenhakutuomioistuin, joka käsittelee ja ratkaisee valitukset, jotka koskevat viranomaisten pääsyä henkilötietoihin.
Tietosuojakehystä tarkoitus arvioida säännöllisesti
Euroopan komissio arvioi EU:n ja Yhdysvaltojen välisen tietosuojakehyksen toimivuutta säännöllisesti yhdessä Euroopan tietosuojaviranomaisten ja Yhdysvaltojen toimivaltaisten viranomaisten edustajien kanssa. Ensimmäinen arviointi tehdään vuoden kuluessa riittävyyspäätöksen voimaantulosta.
Arvioinnilla varmistetaan, että kaikki asiaankuuluvat seikat on pantu täysimääräisesti täytäntöön Yhdysvaltojen lainsäädännössä ja että ne toimivat tehokkaasti käytännössä.
Lisätietoja:
Yhdysvaltojen tietosuojan riittävyyttä koskeva päätös komission verkkosivuilla (englanniksi)
Euroopan komission tiedote komission verkkosivuilla: Data Protection: European Commission adopts new adequacy decision for safe and trusted EU-US data flows (10.7.2023)
Usein kysyttyä EU:n ja USA:n välisestä tietosuojakehyksestä komission verkkosivuilla (englanniksi)
Tiedote 1.3.2023: Euroopan tietosuojaneuvosto antoi lausuntonsa Yhdysvaltojen tietosuojan riittävyyspäätöksen luonnoksesta