Tietosuojavaltuutetun toimisto

Etusivu » Rekisterinpitäjälle » Ilmoitusvelvollisuus » Henkilötietojen ulkomaille luovutus

Henkilötietojen ulkomaille luovutus

Yhdysvaltalainen Safe Harbor -järjestelmä

Huom!

EU-tuomioistuin on antanut päätöksen 6.10.2015 (C362/14), jossa se on todennut Safe Harbor -järjestelmän pätemättömäksi.


Yhdysvalloissa on omaksuttu tietosuojaan erilainen lähestymistapa kuin Euroopassa. Yhdysvalloissa ei ole yleistä tietosuojalainsäädäntöä, vaan siellä käytetään alakohtaista lähestymistapaa, jossa yhdistyvät lainsäädäntö, sääntely ja itsesääntely.

MIKÄ ON SAFE HARBOR?

Euroopan yhteisöjen komissio on päätöksellään (2000/520/EY) todennut safe harbor -järjestelmän varmistavan riittävän tietosuojan tason henkilötietojen siirroissa Yhdysvaltoihin sijoittautuneille organisaatioille.

Tietosuojan riittävä taso on turvattu, jos yhdysvaltalainen siirronsaaja on sitoutunut noudattamaan Yhdysvaltojen kauppaministeriön (US Department of Commerce) ja komission hyväksymiä yksityisyyden suojaa koskevia safe harbor –periaatteita ja tavallisimpien kysymysten ohjetta periaatteiden täytäntöönpanemiseksi (Frequently Asked Questions, FAQs), jotka Yhdysvaltain hallitus on laatinut 21.7.2000.

Yhdysvaltojen kauppaministeriön Safe harbor -järjestelmän aloitussivu

ORGANISAATIOLUETTELO

Yhdysvaltojen kauppaministeriö (tai sen edustaja) ylläpitää yleisesti saatavilla olevaa organisaatioista, jotka ilmoittavat noudattavansa safe harbor –periaatteita. Kauppaministeriö pitää julkisesti saatavilla myös kaikki sille ilmoitetut lopulliset päätökset, joiden mukaan organisaatio on jättänyt noudattamatta safe harbor –periaatteita tai jotka koskevat muita seikkoja, joiden perusteella organisaation osallistuminen safe harbor –järjestelmään saattaa päättyä. Tällaisia seikkoja ovat esim. yritysostot ja sulautumiset.

LIITTYMINEN SAFE HARBOR -JÄRJESTELMÄÄN

Safe harbor –järjestelmään voi liittyä yhdysvaltalainen organisaatio, jossa sovelletaan tehokkaan henkilötietojen suojan takaavaa lainsäädäntöä tai säännöstöä. Organisaatiot päättävät liittymisestään täysin vapaaehtoisesti ja ne voidaan hyväksyä järjestelmään eri tavoin. Järjestelmään liittyvien organisaatioiden on noudatettava kyseisiä periaatteita saadakseen ja säilyttääkseen safe harbor –etuudet ja sitouduttava tähän julkisesti.

Jos safe harbor –järjestelmään liittynyt organisaatio ei noudata tietosuojaperiaatteita, noudattamatta jättämisestä on voitava nostaa kanne Federal Trade Commission Act –lain 5 pykälän nojalla, jossa kielletään kauppaa koskevat tai kauppaan vaikuttavat sopimattomat tai harhaanjohtavat toimet, tai vastaavan muun lain nojalla, jossa kielletään kyseiset toimet.

Safe harbor –etuuksia sovelletaan siitä päivästä, jona järjestelmään haluava organisaatio ilmoittaa Yhdysvaltojen kauppaministeriölle (tai sen nimeämälle edustajalle), että se noudattaa kyseisiä periaatteita omaa varmennusta (self certification) koskevan FAQ:n mukaisesti.

SAFE HARBOR -PERIAATTEET

Safe harbor –periaatteiden mukaan organisaation on mm. ilmoitettava yksityishenkilöille, mihin tarkoitukseen se kerää ja käyttää heitä koskevia tietoja sekä tarjottava rekisteröidyille mahdollisuus valita, voiko heidän henkilötietojaan antaa kolmannelle osapuolelle tai käyttää tarkoitukseen, joka ei vastaa tietojen keruun alkuperäistä tarkoitusta tai tarkoitusta, johon rekisteröity on myöhemmin antanut luvan. Periaatteet takaavat lähtökohtaisesti henkilöille tarkastusoikeuden heitä itseään koskeviin tietoihin ja oikeuden saada korjata, muuttaa tai poistaa tiedot, jotka eivät ole paikkansapitäviä. Organisaatioiden on periaatteiden mukaan huolehdittava henkilötietojen suojaamisesta ja periaatteiden rikkomisen varalta on kunkin organisaation osalta oltava olemassa menettelyt, joilla varmistetaan tietosuojaperiaatteiden noudattaminen ja organisaatiolle koituvat seuraamukset niiden noudattamatta jättämisestä.

Komission päätös (2000/520/EY) on jäsenvaltioita velvoittava. Henkilötietojen sallitun siirron edellytyksenä on kuitenkin myös, että henkilötietolain muitakin säännöksiä noudatetaan ennen tietojen siirtämistä. Tietosuojalautakunta voi henkilötietolain 44 §:n nojalla kieltää henkilötietojen siirron ellei siirrettävien henkilötietojen käsittelyssä ole noudatettu kansallisia säännöksiä. Päätös ei rajoita kansallisten valvontaviranomaisten mahdollisuuksia keskeyttää tietojen siirtoja yhdysvaltalaiselle organisaatiolle, milloin organisaatio loukkaa FAQ:iden mukaisesti sovellettavia periaatteita. Komission päätöstä voidaan muuttaa milloin tahansa täytäntöönpanosta saatujen kokemusten perusteella ja/tai jos Yhdysvaltojen lainsäädäntö antaa periaatteita ja FAQ:ita paremman suojan. Komissio arvioi päätöksen uudelleen kolmen vuoden kuluttua.

1.6.1999 voimaan tulleeseen henkilötietolakiin (523/1999) ei ole sisältynyt säännöksiä, joissa todettaisiin komission päätösten velvoittavuus arvioitaessa kansallisesti kolmannen maan tietosuojan tason riittävyyttä. Tämän vuoksi henkilötietolakia on katsottu tarpeelliseksi muuttaa siten, että lakiin on lisätty säännökset komission päätöksenteosta ja päätösten velvoittavuudesta. Laki henkilötietolain muuttamisesta (986/2000) on tullut voimaan 1.12.2000.

Komission päätöksiin perustuvista henkilötietojen siirroista ei ole velvollisuutta ilmoittaa tietosuojavaltuutetulle.

SAFE HARBOR JA TIETOSUOJAPANEELI

Tietosuojapaneeli liittyy komission päätökseen (2000/520/EY) yksityisyyden suojaa koskevien safe harbor –periaatteiden antaman suojan riittävyydestä Yhdysvalloissa. Paneeli on EU:n jäsenvaltioiden tietosuojaviranomaisista koostuva yhteistyöelin, joka antaa mm. safe harbor –periaatteiden soveltamista koskevia ohjeita sekä ohjeita organisaatioiden tai yksityishenkilöiden tekemistä valituksista.

Euroopan Unionista henkilötietoja vastaanottavien yhdysvaltalaisten organisaatioiden on safe harbor –järjestelmässä sitouduttava käyttämään tehokkaita menettelyjä varmistaakseen safe harbor – periaatteiden noudattamisen. Organisaatio voi täyttää täytäntöönpanoperiaatteesta johtuvat vaatimukset sitoutumalla yhteistyöhön tietosuojaviranomaisten kanssa.

Tietosuojavaltuutetun toimistossa on laadittu ulkomaille luovutuksista erillinen yleisesite "Henkilötietojen siirto ulkomaille henkilötietolain mukaan" , johon sisältyy mm. luettelo niistä kolmansista maista, joissa komissio on todennut tietosuojan tason riittäväksi.

Riittävän tietosuojatason maat

Henkilötietolain 22 §:n tarkoittamat EU:n ja ETA:n ulkopuoliset maat, joissa komissio todennut tietosuojan tason riittävyyden

Alkuperäiset komission päätökset

Mallisopimuslausekkeet

EU:n komission päätös 15.6.2001 (2001/497/EY) mallisopimuslausekkeista henkilötietojen kolmansiin maihin siirtoa varten

Henkilötietolain (523/1999) 22 §:ssä ilmaistun pääsäännön mukaan henkilötietoja voidaan siirtää Euroopan unionin jäsenvaltioiden tai Euroopan talousalueen ulkopuolelle ainoastaan, jos kyseisessä maassa taataan tietosuojan riittävä taso.

Sellaiseen EU:n tai ETA:n ulkopuoliseen ns. kolmanteen maahan, jossa tietosuojan taso ei ole riittävä, voidaan tietoja kuitenkin siirtää henkilötietolain 23 §:ssä säädetyillä poikkeusperusteilla.

23 §:n 8 kohdan (986/2000) mukaan henkilötietoja voidaan siirtää, jos siirto tapahtuu henkilötietodirektiivin 26 artiklan 4 kohdassa tarkoitettuja komission hyväksymiä mallisopimuslausekkeita käyttäen.

Komissio on 15.6.2001 tekemällään päätöksellä (Decision 2001/497/EC / tiedoksiannettu numerolla K(2001) 1539) hyväksynyt päätöksen liitteenä olevat henkilötietojen siirtoa kolmansiin maihin koskevat mallisopimuslausekkeet.

Mallisopimuslausekkeiden tavoitteena on helpottaa henkilötietojen siirtoa kolmansiin maihin ja samalla taata luovutettavia koskeva tietosuojan riittävä taso maassa, jossa henkilöiden yksityisyyden suoja ei ole riittävä tai tietosuojaa ei ole lainkaan. Mallisopimuslausekkeissa siirronsaaja sitoutuu noudattamaan tiettyjä pakollisia tietosuojaperiaatteita. Sääntöjen rikkomistapauksissa rekisteröidyille taataan oikeus vedota sopimukseen ja saada korvausta aiheutuneista vahingoista.

Sopimukseen perustuvan sallitun siirron edellytyksenä on kuitenkin aina myös se, että tietoja on ennen siirtoa käsitelty kansallisen lainsäädännön mukaisesti. Tämä tarkoittaa, että tietojen luovuttamisen tulee olla kansallisen lainsäädännön mukaan mahdollista. Jos siis tietojen luovuttaminen kyseiseen tarkoitukseen Suomessa ei olisi laillista, pelkästään se seikka, että vastaanottaja sijaitsee kolmannessa maassa, ei muuta tätä oikeudellista arviointia. Tietosuojalautakunta voi henkilötietolain 44 §:n nojalla kieltää henkilötietojen siirron, ellei siirrettävien henkilötietojen käsittelyssä ole noudatettu kansallisia säännöksiä. Tietosuojaviranomaisilla on lisäksi toimivaltuudet komission päätöksen 4 artiklassa säädetyissä poikkeustapauksissa kieltää tietojen siirrot kolmansiin maihin tai lykätä niitä sekä velvollisuus ilmoittaa näistä toimenpiteistä komissiolle.

Komission päätöstä sovelletaan 3. päivästä syyskuuta 2001 alkaen. Komission hyväksymiin mallisopimuslausekkeisiin perustuvista henkilötietojen siirroista ei ole velvollisuutta ilmoittaa tietosuojavaltuutetulle.

Lisätietoa esitteessä: "Henkilötietojen siirto ulkomaille henkilötietolain mukaan" .

EU:n komission päätös 5.2.2010 mallisopimuslausekkeista henkilötietojen kolmansiin maihin sijoittautuneille henkilötietojen käsittelijöille siirtoa varten.

Komissio on 5.2.2010 tekemällään päätöksellä (Commission Decision of 5 February 2010 on standard contractual clauses for the transfer of personal data to processors established in third countries under Directive 95/46/EC of the European Parliament and of the Council (notified under document C(2010) 593)
päivittänyt päätöksen liitteenä olevat henkilötietojen siirtoa kolmansiin maihin sijoittautuneille henkilötietojen käsittelijöille koskevat mallisopimuslausekkeet.

Lisätietoa esitteessä:"Henkilötietojen siirto ulkomaille henkilötietolain mukaan ".

EU:n komission päätös 27.12.2004 (Decision C(2004)5271) vaihtoehtoisista mallisopimuslausekkeista (ns. business clauses)

Vakiosopimuslausekkeet henkilötietojen siirtoon EU:n ulkopuolelle.

Euroopan unionin komissio on hyväksynyt 27.12.2004 (Decision C(2004)5271) vaihtoehtoiset mallisopimuslausekkeet, joita liike-elämän toimijat voivat käyttää henkilötietojen siirroissa ns. kolmansiin maihin, turvatakseen riittävän tietosuojan tason.

Nämä vaihtoehtoiset mallisopimuslausekkeet (ns. business clauses) turvaavat riittävän tietosuojantason siirrettäville tiedoille, kuten vuonna 2001 hyväksytyt mallisopimuslausekkeetkin. Tietosuojaviranomaisille on kuitenkin annettu enemmän valtuuksia puuttua ja määrätä sanktioita tarvittaessa.

Vaihtoehtoiset mallisopimuslausekkeet on tehty jo aikaisemmin hyväksyttyjen sopimuslausekkeiden rinnalle. Ne on valmisteltu yhdessä yritysmaailman edustajien kanssa neuvottelujen tuloksena.

Lisätietoa esitteessä:"Henkilötietojen siirto ulkomaille henkilötietolain mukaan",

 
Julkaistu 8.10.2015