EU:n yleisen tietosuoja-asetuksen mukainen turvallinen henkilötiedon siirto EU/ETA:n ulkopuolelle
Johansson, Anette (2022)
2022
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-202203274028
https://urn.fi/URN:NBN:fi:amk-202203274028
Tiivistelmä
Yleinen tietosuoja-asetus astui voimaan toukokuussa 2018. Sen tarkoituksena on varmistaa luonnollisten henkilöiden oikeuksien ja vapauksien suojaaminen heidän henkilötietojensa käsittelyssä. Lisäksi tietosuoja-asetus varmistaa henkilötietojen vapaan liikkuvuuden rajojen yli EU-jäsenvaltiosta toiseen.
Tämän opinnäytetyön tarkoituksena on tutkia oikeusdogmaattisin keinoin, miten varmistetaan tietosuoja-asetuksen mukainen turvallinen henkilötietojen siirto EU/ETA:n ulkopuolelle, missä ei voida taata automaattisesti tietosuoja-asetuksen mukaista riittävää tietosuojan tasoa. Aiheeseen liittyvät haasteet ovat nousseet monissa yrityksissä hyvin ajankohtaisiksi EU:n tuomioistuimen 16.7.2020 tekemän päätöksen myötä niin sanotussa Schrems II -tapauksessa.
Oikeuslähteinä tässä työssä on käytetty voimassa olevaa lainsäädäntöä, etenkin tietosuoja-asetusta ja sen johdantotekstiä, uusinta EU-oikeuskäytäntöä ja aiheeseen liittyvää oikeuskirjallisuutta. Lisäksi tarkastellaan kansallisten tietosuojavalvontaviranomaisten uusimpia ratkaisuja liittyen EU/ETA:n ulkopuolelle suuntautuviin siirtoihin. Myös Euroopan tietosuoja-neuvoston ohjeistuksilla ja suosituksilla on merkittävä vaikutus tietosuoja-asetuksen yhtenäisessä soveltamisessa EU:ssa.
Opinnäytetyössä käsitellään työn kannalta keskeisiä käsitteitä, tietosuojaperiaatteita sekä käsittelyn perusteita. Erityisesti perehdytään V luvun henkilötietojen siirtoa koskevaan säädäntöön, johon olennaisena apuna käytännön soveltamisessa ovat Euroopan tietosuojaneuvoston ohjeet ja suositukset.
Työn johtopäätöksissä todetaan oikeudellisen tilanteen olevan EU:ssa henkilötietojen siirtojen suhteen edelleen epäselvä Schrems II -ratkaisun jälkeen. EU-tasolta on odotettu yritykselle selkeitä ohjeita, miten toimia etenkin Yhdysvaltoihin suuntautuvissa henkilötietosiirroissa, jotka ovat monille yrityksille välttämättömiä liiketoiminnan jatkuvuuden kannalta. Yritysten tulee pyrkiä epäselvästä tilanteesta huolimatta toimimaan parhaaksi katsomallaan tavalla ja ylläpitämään hyvää dokumentaatiota tietojen käsittelystä, jotta rekisteröityjen oikeudet ja vapaudet tietosuojan osalta voivat toteutua parhaalla mahdollisella tavalla myös siirroissa. Erityisesti tulee kriittisesti miettiä, mitä henkilötietoja ylipäätään on välttämätöntä käsitellä ja siirtää, sekä miten niiden suojaa voisi esimerkiksi pseudonymisoinnilla ja salausmekanismeilla parantaa siirtotilanteissa.
Yksittäisten yritysten on käytännössä haasteellista arvioida siirtojensa todellisia vaikutuksia kohteena olevan kolmannen maan lainsäädäntöön perehtymällä. Tärkeintä on, että EU-tasolla panostetaan yhä aktiivisemmin riittävää tietosuojan tasoa koskevien päätösten tekoon sekä muiden suojamekanismien käyttöön liittyviin käytännön ohjeistuksiin huomioiden samalla asetuksen riskiperusteinen lähestymistapa.
Tämän opinnäytetyön tarkoituksena on tutkia oikeusdogmaattisin keinoin, miten varmistetaan tietosuoja-asetuksen mukainen turvallinen henkilötietojen siirto EU/ETA:n ulkopuolelle, missä ei voida taata automaattisesti tietosuoja-asetuksen mukaista riittävää tietosuojan tasoa. Aiheeseen liittyvät haasteet ovat nousseet monissa yrityksissä hyvin ajankohtaisiksi EU:n tuomioistuimen 16.7.2020 tekemän päätöksen myötä niin sanotussa Schrems II -tapauksessa.
Oikeuslähteinä tässä työssä on käytetty voimassa olevaa lainsäädäntöä, etenkin tietosuoja-asetusta ja sen johdantotekstiä, uusinta EU-oikeuskäytäntöä ja aiheeseen liittyvää oikeuskirjallisuutta. Lisäksi tarkastellaan kansallisten tietosuojavalvontaviranomaisten uusimpia ratkaisuja liittyen EU/ETA:n ulkopuolelle suuntautuviin siirtoihin. Myös Euroopan tietosuoja-neuvoston ohjeistuksilla ja suosituksilla on merkittävä vaikutus tietosuoja-asetuksen yhtenäisessä soveltamisessa EU:ssa.
Opinnäytetyössä käsitellään työn kannalta keskeisiä käsitteitä, tietosuojaperiaatteita sekä käsittelyn perusteita. Erityisesti perehdytään V luvun henkilötietojen siirtoa koskevaan säädäntöön, johon olennaisena apuna käytännön soveltamisessa ovat Euroopan tietosuojaneuvoston ohjeet ja suositukset.
Työn johtopäätöksissä todetaan oikeudellisen tilanteen olevan EU:ssa henkilötietojen siirtojen suhteen edelleen epäselvä Schrems II -ratkaisun jälkeen. EU-tasolta on odotettu yritykselle selkeitä ohjeita, miten toimia etenkin Yhdysvaltoihin suuntautuvissa henkilötietosiirroissa, jotka ovat monille yrityksille välttämättömiä liiketoiminnan jatkuvuuden kannalta. Yritysten tulee pyrkiä epäselvästä tilanteesta huolimatta toimimaan parhaaksi katsomallaan tavalla ja ylläpitämään hyvää dokumentaatiota tietojen käsittelystä, jotta rekisteröityjen oikeudet ja vapaudet tietosuojan osalta voivat toteutua parhaalla mahdollisella tavalla myös siirroissa. Erityisesti tulee kriittisesti miettiä, mitä henkilötietoja ylipäätään on välttämätöntä käsitellä ja siirtää, sekä miten niiden suojaa voisi esimerkiksi pseudonymisoinnilla ja salausmekanismeilla parantaa siirtotilanteissa.
Yksittäisten yritysten on käytännössä haasteellista arvioida siirtojensa todellisia vaikutuksia kohteena olevan kolmannen maan lainsäädäntöön perehtymällä. Tärkeintä on, että EU-tasolla panostetaan yhä aktiivisemmin riittävää tietosuojan tasoa koskevien päätösten tekoon sekä muiden suojamekanismien käyttöön liittyviin käytännön ohjeistuksiin huomioiden samalla asetuksen riskiperusteinen lähestymistapa.