Kuntajuridiikan ytimessä: Turpakäräjät Live
Webcast-sarjamme tarjoaa kuntajuridiikan näkökulmia ajankohtaisiin teemoihin.
Useista kunnista on tullut kysymyksiä Kuntaliittoon koskien EU-tuomioistuimen (jatkossa EUT) antamaa Schrems II tuomiota ja siihen liittyvää Euroopan tietosuojaneuvoston (jatkossa EDPB) antamaa ohjeistusta henkilötietojen siirrosta Europan talousalueen ulkopuolelle. Tässä kuvataan lyhyesti Schrems II tuomiota ja miten kunnissa siihen tulisi suhtautua.
Kyseessä ei ole ohjeistus, vaan pikemminkin kyse on näkökohdista, mitä tulisi huomioida, kun kunnassa arvioidaan pilvipalveluiden tietosuojaa.
EUT antoi 16.7.2020 tuomion asiassa C-311/18 (ns. Schrems II -päätös), jonka seurauksena henkilötietojen siirrot Euroopan talousalueen ulkopuolelle edellyttävät aiempaa kattavampaa riskiarviointia ja mahdollisia lisätoimia. Päätöksen mukaan EU:n ja Yhdysvaltojen välisen Privacy Shield -järjestelyn tarjoaman tietosuojan tason riittävyydestä annettu aikaisempi päätös (2016/1250) on pätemätön.
Päätös koskee datan siirtämistä Euroopan talousalueen ulkopuolella sijaitseville palvelimille sekä datan käsittelynEuroopan talousalueen ulkopuolelta mahdollistavan teknisen käyttöyhteyden avaamista Suomessa tai muualla Euroopan talousalueella säilytettävään dataan.
Koska EU:n komission vastaavuuspäätökset yhdysvaltalaisten yritysten osalta (Safe Harbor, Privacy Shield) eivät enää päde, vaatii henkilötietojen siirto palveluiden tilaajilta asianmukaisia suojatoimia, kuten mallisopimuslausekkeita. EDPB julkaisi 11.11.2020 suosituksensa täydentävistä suojatoimista ja määrätyissä olosuhteissa tietojen siirtäminen tai tietojen siirtämisen jatkaminen estyy kokonaan.
Schrems II -päätöksen taustalla on itävaltalaisen tietosuoja-aktivistin Max Schremsin kantelu Irlannin tietosuojavaltuutetulle siitä, että facebook siirsi hänen henkilötietojaan Yhdysvaltoihin, jonne siirretyillä henkilötiedoilla ei ole riittävää suojaa siellä harjoitettua tiedustelutoimintaa vastaan. Riittävän suojan puute näkyi mm. siinä, ettei EU:n kansalaisella ollut oikeussuojakeinoja tiedustelua vastaan, toisin kuin Yhdysvaltojen kansalaisilla.
Ensimmäisenä vahvistettiin, että EU:n yleistä tietosuoja-asetusta sovelletaan kaupallisten toimijoiden siirtäessä henkilötietoja kolmansiin maihin, riippumatta siitä, että kolmannen maan viranomaiset voivat siirron kuluessa tai sen jälkeen käsitellä näitä tietoja yleistä turvallisuutta, puolustusta tai valtion turvallisuutta varten. Toisin sanoen tapaus ei jää tietosuoja-asetuksen soveltamisalan ulkopuolelle tietosuoja-asetuksen 2 artiklan 2 kohdan perusteella.
Toiseksi EUT vahvisti tietosuoja-asetuksen 46 artiklan tulkinnan niin, että henkilöiden, joiden henkilötietoja siirretään kolmansiin maihin EU:n komission hyväksymien tietosuojaa koskevien vakiolausekkeiden nojalla, on saatava pääosin vastaavaa suojaa kuin tietosuoja-asetus luettuna EU:n perusoikeuskirjan valossa antaa.
Kolmanneksi vahvistettiin kansallisten valvontaviranomaisten oikeus ja velvollisuus keskeyttää tai kieltää vakiolausekkeisiin perustuva henkilötietojen siirto kolmansiin maihin, jos viranomainen harkitsee, ettei tietosuojan tasoa voida saada EU:n tasoa vastaavaksi muilla keinoin.
Lopuksi EUT otti kantaa Privacy Shield -päätöksen pätevyyteen. Menemättä tarkemmin yksityiskohtiin, Privacy Shield -päätös katsottiin pätemättömäksi kahdella perusteella:
Ongelmana on siis se, ettei Yhdysvaltojen tietosuojan taso vastaa EU:n tasoa edellä mainituin tavoin. Tämä EU-tasoa vastaava sääntely rekisteröityjen saatavilla olevien täytäntöönpanokelpoisten oikeuksien ja tehokkaiden oikeussuojakeinojen osalta on vaatimuksena henkilötietojen siirtämiseen kolmanteen maahan kuten Yhdysvaltoihin myös vakiolausekkeita käytettäessä.
Schrems II -ratkaisulla on kaikkien EU/ETA –alueen ulkopuolisten palveluntuottajien, kuten yhdysvaltalaisten ja aasialaisten palveluntuottajien, osalta vaikutuksia, kun henkilötietojen rekisterinpitäjä, esimerkiksi kunta tai kuntayhtymä, pohtii riskienhallintaa tietosuojaan liittyen. Miten tulisi suhtautua uuteen tilanteeseen - miten ylläpitää toimintaa, joka vaatii henkilötietojen käsittelyä ja joskus myös isojen, kansainvälisten järjestelmien käyttöä, ja samalla hallita oikeudellista riskiä uuden tulkintatilanteen takia. Ensinnäkin on syytä erotella, tarkastellaanko uusia sopimuksia ja tietojärjestelmähankintoja vai jo käytössä olevia tietojärjestelmiä ja voimassa olevia sopimuksia
Tärkeää on huomata, että henkilötietojen käsittelyllä EU/ETA –alueen ulkopuolella tarkoitetaan tilannetta, jossa tiedot on tallennettu EU/ETA –alueen ulkopuolelle ja lisäksi tilannetta, jossa EU/ETA –alueen sisälle tallennettuun tietoon pääsee etäyhteydellä EU/ETA –alueen ulkopuolelta. Toisin sanoen henkilötietojen siirto EU/ETA:n ulkopuolelle tarkoittaa myös tilanteita, joissa konesalit, joissa tiedot säilytetään, sijaitsevat EU/ETA-alueella, mutta niihin on yhteys alueen ulkopuolelta.
Uuden sopimuksen tai tietojärjestelmähankinnan kohdalla edellytetään lähtökohtaisesti, että kokonaisuus täyttää voimassa olevan lainsäädännön vaatimukset. Helpoiten pääsee, jos varmistaa, että henkilötietoja ei missään olosuhteissa käsitellä EU:n tai ETA:n ulkopuolella eli luonnollinen lähtökohta uusien sopimusten ja järjestelmähankintojen suhteen on kieltää kaiken henkilötietojen siirron ja käsittelyn tämän alueen ulkopuolella.
Komissio on lisäksi hyväksynyt listan maista, joissa henkilötietoja saa EU/ETA –alueen lisäksi käsitellä. Nämä ovat Andorra, Argentiina, Kanada (kaupallisten organisaatioiden osalta) Färsaaret, Guernsey, Israel, Mansaari, Japani, Jersey, Uusi-Seelanti, Sveitsi ja Uruguay. Lista päivittyy, katso linkki komission sivulle.
Mikäli tähän asetelmaan on mahdotonta päästä, on lähdettävä verrattain raskaaseen tietosuoja-asetuksen ja Schrems II -ratkaisun mukaiseen prosessiin, jossa sopimuksessa erityisselvittelyjen ja vakuutuksien kautta varmistetaan riittävän tietosuojan taso kautta koko käsittelyn.
Jos henkilötietoja on tarpeen käsitellä EU/ETA –alueen ja komission hyväksymien maiden ulkopuolella, tulee tietosuoja-asetuksen 46 artiklan mukaisesti noudattaa asianmukaisia suojatoimia, joita ovat esim. tietosuojaa koskevat vakiolausekkeet (https://tietosuoja.fi/komission-hyvaksymat-vakiolausekkeet ) ja linkki Komission sivuille . Vakiolausekkeiden käyttämisen lisäehtona on, että rekisteröityjen saatavilla on myös siirtojen kohdemaassa täytäntöönpanokelpoisia oikeuksia ja tehokkaita oikeussuojakeinoja, ja rekisterinpitäjän on sen takia tapauskohtaisesti selvitettävä kohdemaan oikeuksien ja oikeussuojakeinojen olemassaolo sekä niiden vastaavuus EU:n tietosuojasäännösten kanssa.
Mahdollisia tapauskohtaisen selvityksen perusteella havaittuja puutteita tietosuojassa on mahdollista korjata lisätoimenpiteillä ja siten saattaa suoja EU:n lainsäädännössä edellytetylle tasolle. Euroopan tietosuojaneuvosto on 10.11.2020 antanut suosituksensa täydentävistä suojatoimista linkki , jotka tulee ottaa huomioon, kun tietoja siirretään EU/ETA –alueen ulkopuolelle. Suositusten liitteessä 2 on esimerkkiluettelo täydentävistä suojatoimista, joiden riittävyyttä on arvioitava tapauskohtaisesti. Näitä ovat mm. salaus ja pseudonymisointi. Teknisten toimenpiteiden tavoitteena on sulkea pois mahdollinen loukkaava viranomaisen pääsy tietoihin.
Kunnissa käsitellään paljon henkilötietoja voimassa olevien sopimusten nojalla jo hankituissa järjestelmissä, jolloin ensisijainen ratkaisu ei voi olla uuden järjestelmän hankinta tai sopimuksen purku ja uuden tarjouskilpailun järjestämistä.
Selkein tilanne on, jos voimassa olevassa sopimuksessa yksiselitteisesti kielletään henkilötietojen luovuttaminen ETA:n tai EU:n ulkopuolelle. Esimerkiksi JIT-ehdot vuodesta 2015 sisältävät tämän kaltaisen määräyksen. Jos siis sopimuksessa viitataan JIT-ehtoihin, voidaan lähteä siitä, että käsittely täyttää myös uuden tulkintatilanteen vaatimuksia, eikä muutostarpeita tältä osin ole.
Jos taas sopimus sallii käsittelyä ETA tai EU -alueen ulkopuolella, eli avataan esimerkiksi mahdollisuus tekniselle tuelle tämän alueen ulkopuolelta päästä henkilötietoihin käsiksi, on arvioitava, pitääkö riskienhallinnan näkökulmasta käsittelyn turvaamiseksi sopimusta muuttaa tai jopa koko järjestelmän kilpailuttaa uudelleen.
Mikäli sopimusta ei olla muuttamassa eikä uutta kilpailutusta tekemässä, on tarpeen arvioida tilanne riskienhallinnan näkökulmasta. Riskejä arvioitaessa on tarpeen kiinnittää huomiota seuraaviin seikkoihin: ovatko kyseessä salassa pidettävät ja/tai tietosuoja-asetuksen mukaisia erityisiä henkilötietoryhmiä koskevat henkilötiedot ja/tai suuret määrät edellä mainittuja tai muita henkilötietoja.
Jos jokin edellä mainittu henkilötietoryhmä on kyseessä, on tarpeen ilmoittaa kansalliselle valvontaviranomaiselle eli tietosuojavaltuutetulle, että vakiolausekkeita käyttäen on sovittu tietojen siirrosta yhdysvaltalaisen palveluntuottajan kanssa ja tätä sopimusta on tarkoitus jatkaa.
Webcast-sarjamme tarjoaa kuntajuridiikan näkökulmia ajankohtaisiin teemoihin.
Digisumpit on torstaisin pidettävä etätilaisuus kuntien digikehittäjille. Digisumpit on tarkoitettu kuntien osaamisen jakamista ja verkostoitumista varten.