EU-tuomio Schrems II: Kuinka Privacy Shieldin mitätöinti vaikuttaa ruotsalaisiin yrityksiin ja viranomaisiin

Kesällä 2020 annettiin "Schrems II", EU:n päätös, joka kumoaa EU:n ja Yhdysvaltojen välisen tietosuojasopimuksen, joka tunnetaan nimellä Privacy Shield -sopimus. Päätös aiheuttaa suuria haasteita monille ruotsalaisille yrityksille ja viranomaisille, jotka tällä hetkellä luottavat amerikkalaisiin cloud-tarjoajiin varmistaakseen kaikki GDPR:n alaiset henkilötiedot.

Monet ruotsalaiset ja eurooppalaiset yritykset ja viranomaiset käyttävät tällä hetkellä Pilvipalveluita ja muita IT-palveluita amerikkalaisilta tarjoajilta. Vaikka näillä tarjoajilla on usein datakeskuksia EU:n sisällä, heidän palvelunsa usein riippuvat henkilötietojen siirrosta Yhdysvaltoihin esimerkiksi tukipalvelujen tarjoamiseksi. GDPR:n sääntöjen mukaan kaikilla EU:n kansalaisilla on vakiintunut oikeus yksityisyytensä ja henkilötietojensa suojaan. 16. heinäkuuta 2020 Euroopan unionin tuomioistuin totesi, että EU:n ja Yhdysvaltojen välinen Privacy Shield -sopimus ei tarjoa riittävää suojaa henkilötiedoille, kun niitä siirretään Yhdysvaltoihin.

Privacy Shield oli Euroopan komission ja Yhdysvaltojen hallituksen välinen sopimus ratkaistakseen henkilötietojen valtameren ylittävät siirrot. Vastaanottajat Yhdysvalloissa pystyivät valitsemaan sertifioitavansa tiettyjen sääntöjen mukaan; yksinkertaisesti sanottuna yritykset ja muut organisaatiot saattoivat vapaaehtoisesti sitoutua ylläpitämään EU:n kaltaista tasoa. Privacy Shieldin mitätöinti tarkoittaa, ettei EU:n rekisterinpitäjien enää sallita siirtää henkilötietoja Yhdysvalloissa oleville vastaanottajille tämän sopimuksen perusteella.

Tämä aiheuttaa suuria haasteita ruotsalaisille yrityksille ja organisaatioille, joiden on nyt arvioitava palveluiden käyttöä, joissa he riskeeraavat rikkoa eurooppalaista lainsäädäntöä siirtämällä tietoja Yhdysvaltoihin. Jokaisen rekisterinpitäjän tulee tehdä oma arviointinsa omien siirtojensa ja tarkoitustensa perusteella.

Useat amerikkalaiset toimijat ovat vastanneet siirtyvänsä nyt standardisopimuslausekkeisiin, jotka ovat sopimusperäinen vaihtoehto Privacy Shieldille, ja ne allekirjoitetaan henkilötietojen siirtäjän ja vastaanottajan välillä. Euroopan unionin tuomioistuin toteaa, että jos standardisopimuslausekkeita käytetään siirtojen laillistamiseen, siirtäjän on ensin arvioitava vastaanottajamaan oikeudellinen tilanne ja onko se riittävän hyvä varmistamaan siirrettyjen henkilötietojen suoja. GDPR:n mukaan ei ole vielä ohjeistusta siitä, ovatko standardisopimuslausekkeet riittäviä suojaamaan Yhdysvaltoihin siirrettyjä henkilötietoja.

Standardisopimuslausekkeet siis pysyvät voimassa, mutta konkreettinen arvio tulisi tehdä vastaanottajamaan säädöksistä. Euroopan unionin tuomioistuimen lausuntojen valossa Yhdysvaltojen henkilötietojen suojaustasosta on paljon viitteitä siihen, että Yhdysvaltoihin tapahtuva siirto mallilausekkeiden perusteella voidaan myös katsoa lainvastaiseksi.

Pilvi-infrastruktuuri on digitaalisen muutoksen perusta. Monet ruotsalaiset yritykset ja organisaatiot tarvitsevat nyt arvioida ja löytää pitkäaikaisesti kestäviä täydentäviä ja vaihtoehtoisia ratkaisuja amerikkalaiselle IT-tuelle, jotka noudattavat ja suojaavat eurooppalaisia lakeja ja arvoja. Pitkällä tähtäimellä Privacy Shieldin vastaisten päätösten odotetaan siis johtavan paikallisen kilpailun kasvuun Pilvipalveluissa ja IT-toiminnoissa, korkeampaan digitaalisen innovaation tasoon Ruotsissa ja enemmän valinnanvaraa ruotsalaisille cloud-ostajille.

Markkinoilla on jo vahvoja ruotsalaisia vaihtoehtoja. Binero auttaa yrityksiä ja organisaatioita Pilvi- ja infrastruktuuripalveluissa omasta datakeskuksestamme Tukholman pohjoispuolella.

Ota yhteyttä niin kerromme lisää!