Henkilötietojen USA-tiedonsiirroissa varmaa on jälleen epävarmuus  

Henkilötietojen siirto Euroopan talousalueelta Yhdysvaltoihin on eräänlainen tietosuojamaailman saippuaooppera, jossa yllättäviä käänteitä ja vaiheita on tunnetusti riittänyt. Uusia käänteitä odotetaan jälleen. Tässä kirjoituksessa kertaamme henkilötietojen ETA-alueen ulkopuolelle siirtämisen edellytyksiä, ja kerromme myös, miten yhdysvaltalaisten pilvipalveluiden käyttöä voi lisäsuojatoimilla turvata ja näin huolehtia liiketoiminnan jatkuvuudesta seuraavista käänteistä riippumattomasti. 

Jääkö DPF-järjestelyn aikakausi lyhyeksi? 

Vain vajaa kaksi vuotta sitten, heinäkuussa 2023 yhdysvaltalaisten pilvipalvelujättien eurooppalaiset asiakkaat huokaisivat helpotuksesta komission julkistaessa yhdysvaltalaisille yrityksille saatavilla olevan tietosuojan riittävyyttä koskevan päätöksensä. Yhdysvaltalaisten yritysten edellyttämä henkilötietojen siirto sallittiin ilman lisätoimia Trans-Atlantic Data Protection Framework -järjestelyyn (ns. DPF-järjestely) rekisteröityneille yrityksille. 

Kyseisen komission päätöksen myötä päättyi ns. Schrems II -oikeustapauksesta alkanut kolmen vuoden oikeudellinen epävarmuus. Ajanjaksoon liittynyt tietosuojaseuraamusten riski ja erilaisten riskiarviointien tuoma hallinnollinen työmäärä unohtui pikavauhtia.  

Vauhdikkaasti, vain kaksi vuotta myöhemmin kesän 2025 lähestyessä henkilötietojen siirron lainmukaisuus Yhdysvaltoihin on kuitenkin palannut taas pöydillemme, ja aiheen ympärillä käy jälleen kiivas kuhina: Kestääkö DPF-järjestely Yhdysvaltojen presidentin vaihdoksen synnyttämät myrskyt ja aallot? Voiko komission riittävyyspäätös kumoutua? Hyvinkin nopeasti ja yllättäen? 

Valitettavasti kyllä. Tulevina vuosina henkilötietojen tiedonsiirroissa Yhdysvaltoihin varmaa on jälleen epävarmuus. 

Miksi asia on palannut taas pöydillemme? 

DPF-järjestelyn ja komission riittävyyspäätöksen taustalla on Yhdysvalloissa presidentti Biden hallintoineen. Riittävyyspäätöksen perusta valettiin Bidenin ns. executive orderilla. Kyseisellä presidentin määräyksellä Yhdysvaltojen tietosuojarakenteita ja organisoitumista muutettiin siten, että saavutettiin eurooppalaisittain hyväksyttävissä olevat takeet tietosuojan riittävyydestä. Jo määräystä annettaessa on ollut tiedossa, että presidentin päätöksen voi tietysti presidentti myös kumota.  

Yhdysvaltojen tietosuojarakenteiden murentumisesta onkin jo nähtävissä useita merkkejä, ja myös presidentin määräyksen kumoutumisella jatkuvasti spekuloidaan. Selväksi on tullut, että Yhdysvaltojen presidentin vaihdos ja kiihtyvä suurvaltapolitiikka voi useammallakin vaihtoehtoisella tapahtumaketjulla palauttaa eurooppalaisen tietosuojamaailman takaisin Schrems II -epävarmuuden aikakauteen.  

Liiketoimintansa jatkuvuutta arvostavan kannattaa varautua etukäteen, ja palauttaa mieleen, millä keinoin henkilötietojen siirto ilman DPF-järjestelyä toimikaan. 

Henkilötietojen siirto ja lisääntyvä epävarmuus 

Henkilötietojen siirto Euroopan talousalueen ulkopuolelle vaatii aina EU:n yleisen tietosuoja-asetuksen mukaisen siirtoperusteen. Yksinkertaisinta siirtäminen on, mikäli siirron kohdemaalla on komission päätös tietosuojan tason riittävyydestä. Tällöin lainmukainen siirto onnistuu ilman siirron osapuolten erityisiä toimia, koska kohdemaassa henkilötietoja suojataan riittävin tavoin. Riittävyyspäätöksen puuttuessa tavanomaisin siirtoperuste on siirron osapuolten välinen komission vakiosopimuslausekkeiden (ns. standard contractual clauses) mukainen sopimus. 

Siirtoperustetta ei voi valita vapaasti, vaan niitä tulee hyödyntää tietosuoja-asetuksen määräämässä etusijajärjestyksessä.  Jos yhdysvaltalaisen pilvipalvelun tarjoajana on DPF-järjestelyyn rekisteröitynyt toimija, tähän kytkeytyvää riittävyyspäätöstä tulee ensisijaisena ratkaisuna hyödyntää henkilötietojen siirrossa. 

Mikäli komission riittävyyspäätös DPF-järjestelyyn liittyneiden yritysten osalta kumoutuisi, tulisi henkilötietoja siirtävien siirron osapuolten välillä kuitenkin olla jälleen komission vakiosopimuslausekkeiden mukainen sopimus, ellei muuta siirtoperustetta (esim. yritystä koskevat sitovat säännöt) poikkeuksellisesti ole löydettävissä. Käytännössä vakiosopimuslausekkeet olisikin jo nyt suositeltavaa sisällyttää sopimuksiin etusijajärjestyksen mukaisesti seuraavana sovellettavana vaihtoehtona. Siis taustalle ja varalta, kuten yhdysvaltalaisten pilvipalveluiden vakioehdoissa usein jo tehdäänkin.  

Tiedonsiirron riskiarviointi ja lisäsuojatoimien tarve 

Yksin vakiosopimuslausekkeiden solmiminenkaan ei vielä riitä. Mikäli henkilötietoja siirretään ETA-alueen ulkopuolelle kohdemaahan, jolla ei ole komission riittävyyspäätöstä, siirron osapuolten velvollisuutena on lisäksi erikseen arvioida siirtoperusteen ja henkilötietojen suojan riittävyyttä kohdemaassa. Tämä velvoite ns. tiedonsiirron riskiarvioon (transfer impact assessment, TIA-arviointi) on luettavissa suorasanaisena mm. vakiosopimuslausekkeista.  

TIA-arvioinnissa selvitetään, säilyykö henkilötietojen suojataso tosiasiallisesti kohdemaassa pääosiltaan Euroopan talousalueen antamaan suojaa vastaavalla tasolla vai onko sitä tarve täydentää ns. lisäsuojatoimilla. Vaikka DPF-järjestelyn mahdollisen kumoutumisen jälkeistä oikeustilaa ja käänteitä on tietysti mahdoton ennustaa, jonkinlaisia ohjenuoria erityisesti Yhdysvaltoihin edellytettävistä lisäsuojatoimista on luettavissa Euroopan tietosuojaneuvoston Schrems II -oikeuspäätöksen jälkimainingeissa antamista suosituksista: ”Suositukset 1/2020 toimenpiteistä, joilla täydennetään tiedonsiirtovälineitä EU:ssa henkilötiedoille taatun suojan tason noudattamiseksi” (Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data | European Data Protection Board).  

On hyvinkin mahdollista, että näitä suosituksia päädytään pian lukemaan uudestaan. Ennen DPF-järjestelyä Yhdysvaltoihin ei henkilötietoja useinkaan voinut siirtää ilman lisäsuojatoimia, ja lisäsuojatoimia voi siten odottaa mahdollisessa DPF-järjestelyn jälkeisessäkin ajassa. 

Vahva salaus ja avainten hallinta tiedonsiirron lainmukaisuuden varmistamisessa 

Lisäsuojatoimet jaotellaan teknisiin, sopimuksellisiin ja organisatorisiin toimiin, ja näistä tekniset toimet ovat lähtökohtaisesti tehokkaimpia riittävän suojatason saavuttamisessa. 

Yhtenä keskeisenä teknisenä lisäsuojatoimena suosituksessa nostetaan esiin tietojen salaus ja luotettava salausavainten hallinta. Tietosuojaneuvoston 1/2020 suosituksissa on kuvattu seuraava esimerkkitapaus, jonka mukaisesti toteutettu salaus on katsottu Euroopan tietosuojaneuvoston tulkinnalla tehokkaaksi suojatoimeksi. 

Insta Key Vault ja avainten hallinta ETA-alueella 

Insta Key Vault on keskitetty, CSP-neutraali avainten- ja salaisuuksien hallintapalvelu, joka mahdollistaa luotettavan avainten ja salaisuuksien hallinnan, varmuuskopioinnin ja operoinnin. Palvelun avulla salausavaimet ja salaisuudet hallitaan keskitetysti ja suojattava tieto on erillään salausavaimista. 

Palvelun toteuttaa suomalainen Insta Advance Oy ja se tuotetaan Instan Suomessa sijaitsevista konesaleista. Avainten hallinnointi ja säilytyksen valvonta on tällä tavoin ETA-alueella sijaitsevan suomalaisen yhtiön tai asiakkaan vastuulla. Palvelun tuottamiseen ei osallistu alihankkijoita, eikä palvelussa näin ollen ole kytköksiä Suomen tai ETA-alueen ulkopuoliseen toimijaan tai esimerkiksi Yhdysvaltojen oikeuspiiriin. 

Blogi on kirjoitettu Instan Data & Cyber Compliance -tiimin yhteistyönä