Yhdysvaltalainen Safe harbor -järjestelmä

MIKÄ ON SAFE HARBOR?

Euroopan yhteisöjen komissio on päätöksellään (2000/520/EY) todennut safe harbor -järjestelmän varmistavan riittävän tietosuojan tason henkilötietojen siirroissa Yhdysvaltoihin sijoittautuneille organisaatioille.

Tietosuojan riittävä taso on turvattu, jos yhdysvaltalainen siirronsaaja on sitoutunut noudattamaan Yhdysvaltojen kauppaministeriön (US Department of Commerce) ja komission hyväksymiä yksityisyyden suojaa koskevia safe harbor –periaatteita ja tavallisimpien kysymysten ohjetta periaatteiden täytäntöönpanemiseksi (Frequently Asked Questions, FAQs), jotka Yhdysvaltain hallitus on laatinut 21.7.2000.

Yhdysvaltojen kauppaministeriön Safe harbor -järjestelmän aloitussivu

ORGANISAATIOLUETTELO

Yhdysvaltojen kauppaministeriö (tai sen edustaja) ylläpitää yleisesti saatavilla olevaa organisaatioista, jotka ilmoittavat noudattavansa safe harbor –periaatteita. Kauppaministeriö pitää julkisesti saatavilla myös kaikki sille ilmoitetut lopulliset päätökset, joiden mukaan organisaatio on jättänyt noudattamatta safe harbor –periaatteita tai jotka koskevat muita seikkoja, joiden perusteella organisaation osallistuminen safe harbor –järjestelmään saattaa päättyä. Tällaisia seikkoja ovat esim. yritysostot ja sulautumiset.

LIITTYMINEN SAFE HARBOR -JÄRJESTELMÄÄN

Safe harbor –järjestelmään voi liittyä yhdysvaltalainen organisaatio, jossa sovelletaan tehokkaan henkilötietojen suojan takaavaa lainsäädäntöä tai säännöstöä. Organisaatiot päättävät liittymisestään täysin vapaaehtoisesti ja ne voidaan hyväksyä järjestelmään eri tavoin. Järjestelmään liittyvien organisaatioiden on noudatettava kyseisiä periaatteita saadakseen ja säilyttääkseen safe harbor –etuudet ja sitouduttava tähän julkisesti.

Jos safe harbor –järjestelmään liittynyt organisaatio ei noudata tietosuojaperiaatteita, noudattamatta jättämisestä on voitava nostaa kanne Federal Trade Commission Act –lain 5 pykälän nojalla, jossa kielletään kauppaa koskevat tai kauppaan vaikuttavat sopimattomat tai harhaanjohtavat toimet, tai vastaavan muun lain nojalla, jossa kielletään kyseiset toimet.

Safe harbor –etuuksia sovelletaan siitä päivästä, jona järjestelmään haluava organisaatio ilmoittaa Yhdysvaltojen kauppaministeriölle (tai sen nimeämälle edustajalle), että se noudattaa kyseisiä periaatteita omaa varmennusta (self certification) koskevan FAQ:n mukaisesti.

SAFE HARBOR -PERIAATTEET

Safe harbor –periaatteiden mukaan organisaation on mm. ilmoitettava yksityishenkilöille, mihin tarkoitukseen se kerää ja käyttää heitä koskevia tietoja sekä tarjottava rekisteröidyille mahdollisuus valita, voiko heidän henkilötietojaan antaa kolmannelle osapuolelle tai käyttää tarkoitukseen, joka ei vastaa tietojen keruun alkuperäistä tarkoitusta tai tarkoitusta, johon rekisteröity on myöhemmin antanut luvan. Periaatteet takaavat lähtökohtaisesti henkilöille tarkastusoikeuden heitä itseään koskeviin tietoihin ja oikeuden saada korjata, muuttaa tai poistaa tiedot, jotka eivät ole paikkansapitäviä. Organisaatioiden on periaatteiden mukaan huolehdittava henkilötietojen suojaamisesta ja periaatteiden rikkomisen varalta on kunkin organisaation osalta oltava olemassa menettelyt, joilla varmistetaan tietosuojaperiaatteiden noudattaminen ja organisaatiolle koituvat seuraamukset niiden noudattamatta jättämisestä.

Komission päätös (2000/520/EY) on jäsenvaltioita velvoittava. Henkilötietojen sallitun siirron edellytyksenä on kuitenkin myös, että henkilötietolain muitakin säännöksiä noudatetaan ennen tietojen siirtämistä. Tietosuojalautakunta voi henkilötietolain 44 §:n nojalla kieltää henkilötietojen siirron ellei siirrettävien henkilötietojen käsittelyssä ole noudatettu kansallisia säännöksiä. Päätös ei rajoita kansallisten valvontaviranomaisten mahdollisuuksia keskeyttää tietojen siirtoja yhdysvaltalaiselle organisaatiolle, milloin organisaatio loukkaa FAQ:iden mukaisesti sovellettavia periaatteita. Komission päätöstä voidaan muuttaa milloin tahansa täytäntöönpanosta saatujen kokemusten perusteella ja/tai jos Yhdysvaltojen lainsäädäntö antaa periaatteita ja FAQ:ita paremman suojan. Komissio arvioi päätöksen uudelleen kolmen vuoden kuluttua.

1.6.1999 voimaan tulleeseen henkilötietolakiin (523/1999) ei ole sisältynyt säännöksiä, joissa todettaisiin komission päätösten velvoittavuus arvioitaessa kansallisesti kolmannen maan tietosuojan tason riittävyyttä. Tämän vuoksi henkilötietolakia on katsottu tarpeelliseksi muuttaa siten, että lakiin on lisätty säännökset komission päätöksenteosta ja päätösten velvoittavuudesta. Laki henkilötietolain muuttamisesta (986/2000) on tullut voimaan 1.12.2000.

Komission päätöksiin perustuvista henkilötietojen siirroista ei ole velvollisuutta ilmoittaa tietosuojavaltuutetulle.


SAFE HARBOR JA TIETOSUOJAPANEELI

Tietosuojapaneeli liittyy komission päätökseen (2000/520/EY) yksityisyyden suojaa koskevien safe harbor –periaatteiden antaman suojan riittävyydestä Yhdysvalloissa. Paneeli on EU:n jäsenvaltioiden tietosuojaviranomaisista koostuva yhteistyöelin, joka antaa mm. safe harbor –periaatteiden soveltamista koskevia ohjeita sekä ohjeita organisaatioiden tai yksityishenkilöiden tekemistä valituksista.

Euroopan Unionista henkilötietoja vastaanottavien yhdysvaltalaisten organisaatioiden on safe harbor –järjestelmässä sitouduttava käyttämään tehokkaita menettelyjä varmistaakseen safe harbor – periaatteiden noudattamisen. Organisaatio voi täyttää täytäntöönpanoperiaatteesta johtuvat vaatimukset sitoutumalla yhteistyöhön tietosuojaviranomaisten kanssa.

Tietosuojavaltuutetun toimistossa on laadittu ulkomaille luovutuksista erillinen yleisesite, johon sisältyy mm. luettelo niistä kolmansista maista, joissa komissio on todennut tietosuojan tason riittäväksi.