Erityisesti yritykset, jotka käsittelevät henkilötietoja laajamittaisesti ja jotka ovat siirtäneet henkilötietoja Yhdysvaltoihin Safe Harbor -perusteen nojalla, eivät yllättyneet 6.10.2015, kun EU:n tuomioistuin antoi jutussa Maximillian Schrems v. Data Protection Commissioner tuomionsa. Tuomioistuin julisti pätemättömäksi komission päätöksen, jossa Yhdysvaltojen on todettu takaavan siirrettyjen henkilötietojen suojan riittävän tason Safe Harbor -järjestelmän avulla.
EU:n tuomioistuimen ratkaisun ydinsisältö on selvä: Safe Harbor -järjestelyä ei voida enää käyttää, vaan henkilötietojen siirto Yhdysvaltoihin on jatkossa tuettava jollakin muulla henkilötietolainsäädännössä hyväksytyllä perusteella. EU:n tuomioistuimen ratkaisusta ei voida johtaa mitään erityistä siirtymäaikaa sille, minkä ajan kuluessa yritysten, jotka ovat aikaisemmin tukeutuneet Safe Harbor -perusteeseen, täytyy ottaa käyttöön uusi korvaava peruste.
Selvää joka tapauksessa on, ettei tällaista korvaavaa perustetta pystytä ottamaan käyttöön ”yön yli”, vaan prosessi on pidempikestoinen. Esimerkiksi EU:n komission hyväksymien mallilausekkeiden käyttöönotto vie oman aikansa.
Heti 6.10. jälkeen käynnistyi myös yleinen keskustelu siitä, pitääkö yritysten katkaista välittömästi palveluyhteydet Yhdysvaltoihin siltä osin kuin tietoja siirretään Safe Harbor -perusteella. Tällä tavalla juuri mikään yritys ei liene käytännössä toiminut – mutta sen sijaan useissa yrityksissä on välittömästi aloitettu valmistelevat toimenpiteet, jotta tarvittavat muutokset pystytään myöhemmin toteuttamaan nopealla aikataululla. Olemme ohjeistaneet asiakkaitamme siihen, että nykyisessä tilanteessa on järkevää odottaa erityisesti sitä, millaisia käytännön suuntaviivoja EU:n tasolla toimiva kansallisista tietosuojavaltuutetuista koostuva työryhmä (WP) tulee esittämään, mahdollisesti jo 15.10. tai pian sen jälkeen. Lisäksi olemme kannustaneet siihen, että yritykset joka tapauksessa aloittavat välittömästi sisäiset prosessinsa tarvittavien muutosten valmistelemiseksi.
Erityistä huomiota tulee kiinnittää siihen, ettei yrityksissä aloiteta enää nyt sellaisia uusia henkilötietojen siirtojen prosesseja, jotka on tarkoitettu tuettavaksi Safe Harbor -perusteeseen. Erityisesti suurissa organisaatioissa on riskinä, ettei 6.10. muuttunutta oikeustilaa ole heti tiedostettu organisaation kaikilla tasoilla.
Kirjoittanut
Terho Nevasalo, osakas
Asianajotoimisto Hammarström Puhakka Partners
www.hpplaw.fi