Siirto tietosuojan riittävyyttä koskevan päätöksen perusteella
Henkilötietoja voidaan siirtää Euroopan unionin ja Euroopan talousalueen ulkopuolelle, jos Euroopan komissio on antanut päätöksen henkilötietojen suojan riittävyydestä (nk. vastaavuuspäätös, tietosuoja-asetuksen 45 artikla). Komission antama päätös on ensisijainen suhteessa muihin siirtoperusteisiin. Päätös voi koskea tiettyä Euroopan unionin ja Euroopan talousalueen ulkopuolista maata tai maan aluetta, tiettyä sektoria tai kansainvälistä järjestöä.
Henkilötietoja voi siirtää suoraan vastaavuuspäätöksen perusteella eikä esimerkiksi erillistä lupaa tietosuojavaltuutetulta tarvita. Tietosuojalainsäädäntöä on näissäkin tilanteissa noudatettava kokonaisuudessaan. Henkilötietojen käsittelyn on oltava lainmukaista ennen siirtoa, siirron aikana ja sen jälkeen.
Komissio tarkastelee päätöksiä uudelleen vähintään neljän vuoden välein. Päätökset, jotka komissio on tehnyt ennen kuin tietosuoja-asetusta ryhdyttiin soveltamaan, ovat lähtökohtaisesti voimassa myös asetuksen soveltamisen alettua. Komissio voi kuitenkin tarkastella niitä uudelleen ja tehdä tarvittaessa uuden päätöksen.
Komission tähän mennessä antamat vastaavuuspäätökset koskevat seuraavia maita (linkit avautuvat EUR-Lexin verkkopalveluun):
Andorra, Argentiina, Etelä-Korea, Färsaaret, Guernsey, Iso-Britannia, Israel, Mansaari, Japani, Jersey, Uusi-Seelanti, Sveitsi ja Uruguay.
Lisäksi komissio on antanut osittaisen vastaavuuspäätöksen koskien Kanadaa (kaupalliset organisaatiot).
Ajantasainen lista vastaavuuspäätöksistä ja muita ajankohtaisia tietoja komission verkkosivuilla
Yleisen tietosuoja-asetuksen nojalla tehdyt vastaavuuspäätökset eivät sovellu tietojen siirtoihin rikosasioiden tietosuojalain soveltamisalalla, eikä vastaavuuspäätöksiä rikosasioiden tietosuojadirektiivin nojalla ole vielä Iso-Britanniaa lukuunottamatta annettu. Tällaisissa kolmansiin maihin tehtävissä siirroissa on noudatettava rikosasioiden tietosuojalain 7 luvun säännöksiä.
EU:n ja Yhdysvaltojen välinen tietosuojakehys
Euroopan komissio hyväksyi 10. heinäkuuta 2023 päätöksen Yhdysvaltojen tietosuojan riittävästä tasosta. Tietosuojan riittävyyspäätöksen perusteella tietoja voidaan siirtää EU- ja ETA-alueelta järjestelyyn osallistuville yhdysvaltalaisille yrityksille ilman erillisiä 46 artiklan mukaisia suojatoimia.
Riittävyyspäätöksen nojalla henkilötietoja voidaan siirtää sertifioituneille yhdysvaltalaiselle yritykselle, jotka ovat sitoutuneet EU:n ja Yhdysvaltojen välisessä tietosuojakehyksessä sovittuihin suojatoimiin. Riittävyyspäätöstä ei voi käyttää tiedonsiirtoihin julkisen sektorin toimijoiden välillä.
- Yhdysvaltojen tietosuojan riittävyyttä koskeva päätös komission verkkosivuilla (englanniksi)
- Usein kysyttyä Yhdysvaltojen tietosuojan riittävyyttä koskevasta päätöksestä verkkosivuillamme
- Usein kysyttyä EU:n ja USA:n välisestä tietosuojakehyksestä komission verkkosivuilla (englanniksi)
- Usein kysyttyjä kysymyksiä EU:n ja USA:n välisestä tietosuojakehyksestä yksityishenkilöille tietosuojaneuvoston verkkosivuilla (englanniksi)
- Usein kysyttyjä kysymyksiä EU:n ja USA:n välisestä tietosuojakehyksestä eurooppalaisille yrityksille tietosuojaneuvoston verkkosivuilla (englanniksi)
- Lista tietosuojakehykseen sertifioituneista yrityksistä Yhdysvaltojen kauppaministeriön ylläpitämällä verkkosivulla (Data Privacy Framework list)
Usein kysyttyä Yhdysvaltojen tietosuojan riittävyyttä koskevasta päätöksestä
Euroopan komission päätös Yhdysvaltojen tietosuojan riittävästä tasosta tuli voimaan 10.7.2023.
Päätöksen nojalla Euroopan talousalueella sijaitsevat organisaatiot voivat siirtää henkilötietoja niille yhdysvaltalaisille organisaatioille, jotka ovat sertifioituneet ja sitoutuneet noudattamaan riittävyyspäätöksessä määriteltyjä suojatoimia. Henkilötietoja voi siirtää suoraan riittävyyspäätöksen perusteella, eikä esimerkiksi erillistä lupaa tietosuojavaltuutetulta tarvita.
Riittävyyspäätös paransi EU-kansalaisten oikeuksia, sillä Yhdysvaltojen käyttöön ottamia suojatoimia sovelletaan kaikkiin Yhdysvaltoihin siirrettyihin tietoihin siirtoperusteesta riippumatta. Uudet suojatoimet koskevat Euroopan talousalueella olevien rekisteröityjen oikeussuojakeinoja sekä Yhdysvaltojen tiedustelulainsäädännön oikeasuhtaisuutta ja tarpeellisuutta.
Henkilötietojen siirrolle Euroopan talousalueen (ETA:n) ulkopuolelle on aina oltava jokin tietosuoja-asetuksen viidennessä luvussa säädetty siirtoperuste. Komission päätös tietosuojan tason riittävyydestä on yksi peruste siirtää henkilötietoja.
Siirtoperuste ei yksinään oikeuta siirtämään henkilötietoja ETA-alueen ulkopuolelle, vaan rekisterinpitäjän on huomioitava tietosuoja-asetuksesta tulevat vaatimukset kokonaisuudessaan. Rekisterinpitäjän on tietosuoja-asetuksen lisäksi huomioitava myös muu tietosuojalainsäädäntö, esimerkiksi kansallinen tietosuojalaki sekä tiettyjä toimialoja ja rekisterejä koskeva erityislainsäädäntö. Tietoja ei voi siirtää Yhdysvalloissa olevalla vastaanottajalle, jos tietojen käsittely ei kokonaisuudessaan täytä lainsäädännöstä tulevia vaatimuksia.
Lue lisää:
Euroopan komission riittävyyspäätöksen nojalla tietoja voivat siirtää niin yksityisen, julkisen kuin kolmannen sektorin toimijat. Riittävyyspäätöstä ei voi kuitenkaan käyttää perusteena tiedonsiirroissa julkisen sektorin organisaatioiden välillä, koska Yhdysvalloissa olevat julkisen sektorin organisaatiot eivät voi sertifioitua järjestelyyn.
Euroopan talousalueella sijaitsevat julkisen sektorin organisaatiot eivät voi siirtää tietoja yhdysvaltalaisille julkisen sektorin organisaatioille riittävyyspäätöksen perusteella. Henkilötietojen siirrolle on silloin oltava jokin toinen tietosuoja-asetuksen mukainen peruste.
Lue lisää:
Organisaation eli tietojen vastaanottajan on löydyttävä Data Privacy Framework -luettelosta, johon Yhdysvaltojen kauppaministeriö kokoaa kaikki sertifioituneet yhdysvaltalaiset organisaatiot.
Luettelo riittävyyspäätökseen sitoutuneista sertifioiduista organisaatioista: https://www.dataprivacyframework.gov/list
Ainoastaan organisaatiot, jotka ovat Yhdysvaltain kauppakomission (Federal Trade Commission, FTC) tai Yhdysvaltain liikenneministeriön (U.S. Department of Transportation, DoT) toimivallan alla, voivat sertifioitua riittävyyspäätöstä noudattavaksi tahoksi. Esimerkiksi Yhdysvaltojen viranomaiset, pankit ja vakuutusyhtiöt eivät voi sertifioitua tälle listalle.
Riittävyyspäätökseen perustuvia tiedonsiirtoja ei tarvitse täydentää lisäsuojatoimenpiteillä. Rekisterinpitäjän on kuitenkin huomioitava muut lainsäädännöstä tulevat vaatimukset, kuten tietosuojaperiaatteet, rekisteröityjen läpinäkyvä informointi ja oikeuksien toteuttaminen.
Pilvipalveluiden käyttöön liittyy erityisiä haasteita koskien alikäsittelijöiden käyttöä sekä rekisterinpitäjän ja henkilötietojen käsittelijän roolien määrittelyä. Pilvipalveluiden käytöstä voi lukea lisää Euroopan tietosuojaneuvoston raportista (linkki raporttiin alla).
Kansalaiset eivät voi lähtökohtaisesti valita, käyttävätkö he julkisen sektorin palveluita vai eivät. Siksi julkisen sektorin toimijoilla on erityinen vastuu palveluntarjoajien valinnassa, myös tietosuojalainsäädännön noudattamisen näkökulmasta.
Lue lisää:
Komission riittävyyspäätös on yksi yleisen tietosuoja-asetuksen siirtoperusteista. Riittävyyspäätös helpottaa tiedonsiirtoa sertifioituneille organisaatioille Yhdysvalloissa. Siirtoperusteen lisäksi rekisterinpitäjän on kuitenkin muistettava, että sen on huomioitava tietosuojalainsäädäntö kokonaisuudessaan.
Rekisterinpitäjän on arvioitava muun muassa henkilötietojen käsittelyyn liittyviä riskejä. Tarvittaessa on tehtävä tietosuojaa koskeva vaikutustenarviointi, jos suunniteltu käsittely todennäköisesti aiheuttaa korkean riskin ihmisten oikeuksille ja vapauksille.
Pilvipalveluiden käyttöön liittyy erityisiä haasteita koskien alikäsittelijöiden käyttöä sekä rekisterinpitäjän ja henkilötietojen käsittelijän roolien määrittelyä. Pilvipalveluiden käytöstä voi lukea lisää Euroopan tietosuojaneuvoston raportista (linkki alla).
Lue lisää:
- Mitä organisaatioiden on otettava huomioon henkilötietojen käsittelyssä
- Vaikutustenarviointi
- Euroopan tietosuojaneuvoston raportti Coordinated Enforcement Action, use of cloud-based services by the public sector (Euroopan tietosuojaneuvoston verkkosivuilla, englanniksi)
- Luettelo riittävyyspäätökseen sitoutuneista sertifioiduista organisaatioista: https://www.dataprivacyframework.gov/s/participant-search
Tietosuojaviranomaiset arvioivat kantelun ajankohtana vallinnutta oikeustilaa. Riittävyyspäätös ei siis toimi taannehtivasti. Viranomaisille tulleet kantelut ratkaistaan yksittäistapauksina.
Sinulla on oikeus saada pääsy omiin henkilötietoihisi. Voit pyytää organisaatiolta tietoa siitä, mitä tietojasi se käsittelee. Voit myös pyytää organisaatiota oikaisemaan, täydentämään tai poistamaan tietosi, jos ne ovat epätarkkoja tai niitä on käsitelty riittävyyspäätöksen periaatteiden vastaisesti.
Minne valitus tehdään?
Voit valvoa oikeuksiasi ja tehdä valituksen monella eri tapaa.
Riittävyyspäätökseen sertifioituneen yrityksen on julkaistava yhteystiedot valituksen jättämistä varten sekä riippumattoman riidanratkaisuelimen yhteystiedot. Yrityksen on vastattava valitukseen viimeistään 45 päivän kuluessa valituksen vastaanottamisesta.
Yksityishenkilönä voit tehdä valituksen
- suoraan henkilötietojasi käsittelevälle organisaatiolle
- riippumattomalle riidanratkaisuelimelle
- kansalliselle tietosuojaviranomaiselle (Suomessa tietosuojavaltuutetun toimisto)
- Yhdysvaltain kauppaministeriölle (DoC) tai
- Yhdysvaltain kauppakomissiolle (FTC).
Voit valita minkä tahansa tai kaikki edellä mainituista muutoksenhakumekanismeista missä järjestyksessä tahansa. Sinulla ei ole velvollisuutta valita yhtä mekanismia toisen sijasta tai edetä tietyssä järjestyksessä. Tarvittaessa asiasi ratkaistaan päätöksellä, joka tarjoaa tehokkaat oikeussuojakeinot.
Jos valitustasi ei ole saatu ratkaistua millään näistä muutoksenhaku- tai täytäntöönpanomekanismeista, voit vielä turvautua sitovaan välimiesmenettelyyn (EU-U.S. Data Privacy Framework -paneeli).
Voit tehdä valituksen kansalliselle tietosuojaviranomaiselle. Suomessa kansallinen tietosuojaviranomainen on tietosuojavaltuutettu. Tietosuojavaltuutetun toimisto välittää valituksesi Euroopan tietosuojaneuvostolle ja tietosuojaneuvosto edelleen Yhdysvaltoihin.
Yhdysvalloissa sijaitseva riippumaton viranomainen käsittelee yksityishenkilöiden kantelut, jotka koskevat tiedonsiirtoja Euroopan talousalueelta Yhdysvaltoihin sekä tietojen käyttöä Yhdysvaltojen tiedustelupalveluissa.
Voit tehdä kantelun, vaikka et olisi varma siitä, ovatko Yhdysvaltojen tiedustelupalvelut käsitelleet tietojasi.
Tietosuojavaltuutetun toimiston yhteystiedot
Miten asiani käsittely etenee Yhdysvalloissa?
Yhdysvaltojen hallitus on perustanut uuden kaksitasoisen muutoksenhakumekanismin. Ensin kantelun tutkii Yhdysvaltojen tiedustelupalveluiden virkahenkilö, joka vastaa kansalaisvapauksien suojelusta. Hänen vastuullaan on, että Yhdysvaltojen tiedustelupalveluissa noudatetaan yksityisyyttä ja perusoikeuksia.
Kun virkahenkilön tekemä tutkinta on päättynyt, sinulle ilmoitetaan sen lopputuloksesta:
- onko lainsäädäntöä rikottu
- miten mahdollinen rikkomus on korjattu.
Jos et ole tyytyväinen kansalaisvapauksien suojelusta vastaavan virkahenkilön päätökseen, voit valittaa päätöksestä tietosuoja-asioita käsittelevään muutoksenhakutuomioistuimeen (Data Protection Review Court, DPRC).
Tietosuoja-asioita käsittelevä muutoksenhakutuomioistuin voi hankkia tarpeellisia tietoja tiedustelupalveluilta valitusten tutkimiseksi. Se voi tehdä sitovia korjaavia päätöksiä ja antaa määräyksiä esimerkiksi tietojen poistamisesta.
Kun muutoksenhakutuomioistuimen tutkinta on päättynyt, sinulle ilmoitetaan sen lopputuloksesta:
- onko lainsäädäntöä rikottu
- miten mahdollinen rikkomus on korjattu.
Saat ilmoituksen myös myöhemmässä vaiheessa, kun voit saada lisätietoja asiasi käsittelystä.
Euroopan komissio arvioi EU:n ja Yhdysvaltojen välisen tietosuojakehyksen toimivuutta säännöllisesti yhdessä Euroopan tietosuojaviranomaisten ja Yhdysvaltojen toimivaltaisten viranomaisten edustajien kanssa.
Ensimmäinen arviointi tehdään vuoden kuluessa riittävyyspäätöksen voimaantulosta. Arvioinnissa huomioidaan riittävyyspäätöksen täytäntöönpano Yhdysvaltojen lainsäädännössä ja selvitetään, toimivatko suojatoimet tehokkaasti käytännössä.