Ajankohtaista

EUT:n Safe Harbor –tuomio liittyen siirrettyjen henkilötietojen suojan riittävään tasoon

By lokakuu 23, 2015 No Comments

Euroopan unionin tuomioistuin (”EUT”) linjasi 6. lokakuuta 2015 antamassaan tuomiossa (Schrems v. Data Protection Commissioner, asianumero C-362/14), ettei Euroopan unionin ja Yhdysvaltojen välinen Safe Harbor –järjestely takaa siirrettyjen henkilötietojen suojan riittävää tasoa. Kyseisellä tuomiolla kumottiin aiempi komission päätös (ratkaisu 2000/520), jossa todettiin Safe Harbor -järjestelyn takaavan siirretyille henkilötiedoille riittävän suojan.

Euroopan unionin ja Yhdysvaltojen välisessä Safe Harbor –järjestelyssä on ollut kyse siitä, että henkilötietoja on siirretty Euroopasta Yhdysvaltoihin tallennettavaksi tai prosessoitavaksi käyttäen Safe Harbor -järjestelyä. Järjestelyn mukaisesti henkilötietoja on voitu siirtää niille yhdysvaltalaisille yrityksille, joiden on katsottu toteuttavan riittävän tietosuojan tason.

Euroopan unionin tietosuojalainsäädännön mukaisesti henkilötietojen siirtäminen kolmanteen maahan on mahdollista ainoastaan siinä tapauksessa, että tiedot vastaanottava maa tarjoaa riittävän henkilötietojen suojan.

EUT:n mukaan Yhdysvalloissa voimassa oleva säännöstö, jonka perusteella viranomaisilla on lähes rajoittamaton pääsy Yhdysvalloissa toimivien yritysten tietojärjestelmiin, loukkaa yksityiselämän kunnioittamista koskevan perusoikeuden ydinsisältöä. EUT katsoo lisäksi, että sellaisilla säännöksillä, joilla yksityisille henkilöille ei suoda mahdollisuutta käyttää oikeussuojakeinoja tutustuakseen itseänsä koskeviin henkilötietoihin tai saada tällaiset tiedot oikaistuiksi tai poistetuiksi, loukataan tehokasta oikeussuojaa koskevan perusoikeuden sisältöä.

Lisäksi EUT lausuu tuomiossaan, että siten kuin Yhdysvaltojen kansalliseen turvallisuuteen, yleiseen etuun ja lakien noudattamiseen liittyvät vaatimukset ovat Yhdysvalloissa noudatettujen säännösten mukaisesti Safe Harbor –järjestelmään nähden ensisijaisia ja yritykset ovat velvoitettuja syrjäyttämään henkilötietojen suojasäännökset niissä tapauksissa, kun suojasäännökset ovat ristiriidassa mainittujen ensisijaisten vaatimusten kanssa, ei siirrettyjen henkilötietojen suojan riittävää tasoa voida turvata.

Käytännössä Euroopan unionin kansalaisten henkilötietoja ei siis voida enää siirtää Yhdysvaltoihin ilman henkilön nimenomaista suostumusta tai erityistä sopimusjärjestelyä. Useat yritykset joutuvat näin ollen käymään sopimuksensa läpi sekä muuttamaan toimintojaan mahdollistaakseen henkilötietojen luvallisen siirtämisen Yhdysvaltoihin.

Linkki Euroopan unionin tuomioistuimen tuomioon asiassa C-362/14 (englanniksi):

Linkki Euroopan unionin tuomioistuimen tuomioon (englanniksi):