10. heinäkuuta 2023 Euroopan komissio esitteli uuden riittävyyttä koskevan päätöksen EU:n ja Yhdysvaltojen välisen tietosuojakehyksen puitteissa. Tämä päätös on vastaus haasteisiin, joita Schrems II -tuomio vuonna 2020 toi mukanaan, kun Privacy Shield -sopimus julistettiin pätemättömäksi. Tuomio vaikeutti tietojen siirtämistä EU:sta Yhdysvaltoihin GDPR:n puitteissa.
Yhdysvaltain toimet
Vastauksena tähän haasteeseen Yhdysvallat hyväksyi lokakuussa 2022 presidentin määräyksen, jolla otettiin käyttöön tiukemmat suojatoimenpiteet eurooppalaisten kansalaisten tietojen suojaamiseksi. On kuitenkin tärkeää huomata, että presidentin määräys ei ole pysyvä ratkaisu ja että tulevat hallitukset voivat muuttaa sitä.
Tarkastelujen jälkeen EU:n komissio katsoi, että nämä muutokset Yhdysvaltain lainsäädännössä olivat riittävät, mikä johti uuteen päätökseen riittävästä suojasta.
EU-komission uusi päätös
EU-komissionin uudesta riittävyyspäätöksestä huolimatta epävarmuus jatkuu, etenkin kun Yhdysvaltain viranomaisilla on edelleen oikeus pyytää henkilötietoja yhdysvaltalaisilta pilvipalveluntarjoajilta EU:ssa. Asiantuntijat ja kriitikot, kuten NOYB-järjestön Max Schrems, huomauttavat, että Yhdysvaltain valvontalakien perustavanlaatuiset ongelmat ovat edelleen olemassa.
“We now had ‘Harbors’, ‘Umbrellas’, ‘Shields’ and ‘Frameworks’ — but no substantial change in US surveillance law.” - Max Schrems
Kolme tärkeää kohtaa riittävyyttä koskevasta päätöksestä
Rajoitukset tietojen siirroille Yhdysvaltoihin
Yhdysvalloissa tietojen siirron vastaanottajien on sertifioitava itsensä riittävyyttä koskevan päätöksen mukaisesti. Päätös ei siis salli siirtoja Yhdysvaltoihin yleisesti.
Jatkuva konflikti GDPR:n kanssa
Yhdysvaltain lait antavat viranomaisille oikeuden pyytää henkilötietoja yhdysvaltalaisilta pilvipalveluilta EU:ssa, mikä on edelleen ristiriidassa GDPR:n kanssa, NYOB:n mukaan.
Suojan taso EU:ssa
EU:n organisaatiot on varmistettava GDPR:n edellyttämä suojan taso. Päätöksestä seurasi kritiikkiä siitä, että tehokasta suojaa ei voida varmistaa, kun kolmansien maiden lainsäädäntö voi mahdollistaa eurooppalaisten yksilöiden oikeuksien loukkaamisen.
Haluatko syventää tietojasi siitä, miten riittävyyspäätös vaikuttaa yritykseesi? Lataa oppaamme pilvipalvelujen vaatimustenmukaisuudesta saadaksesi lisätietoja.
