Euroopan komissio on hyväksynyt EU:n ja Yhdysvaltojen välisen tietosuojakehyksen

04.09.2023

AJANKOHTAISTA

  • Euroopan komissio on hyväksynyt EU:n ja Yhdysvaltojen välisen tietosuojakehyksen
  • Tietosuojavaltuutettu on väliaikaisesti kieltänyt Yango-taksipalvelun henkilötietojen siirrot Suomesta Venäjälle
  • Majoitusalan yritys sai huomautuksen puutteellisista suojatoimista sekä määräyksen lyhentää tietojen säilytysaikaa
  • Korkein hallinto-oikeus katsoi lasten henkilötunnusten säännönmukaisen keräämisen isännöinti- ja vuokraustoiminnassa tietosuoja-asetuksen tarpeellisuusvaatimuksen vastaiseksi
  • EU-tuomioistuin: rekisteröidyillä on tarkastusoikeuden nojalla oikeus saada tietää henkilötietojen tarkastelun ajankohta ja tarkoitukset
  • Tietosuojavaltuutettu otti kantaa kysymykseen koskien rekisteröidyn oikeutta siirtää tietojaan toiseen järjestelmään

Euroopan komissio on hyväksynyt EU:n ja Yhdysvaltojen välisen tietosuojakehyksen

Euroopan komission päätös Yhdysvaltojen tietosuojan tason riittävyydestä tuli voimaan 10.7.2023. Päätöksen myötä henkilötietoja voi siirtää yhdysvaltalaisille yrityksille, jotka ovat sitoutuneet EU:n ja Yhdysvaltojen tietosuojakehyksessä sovittuihin suojatoimiin. Yritykset, jotka ovat mukana tietosuojakehyksessä, voi tarkistaa täältä.

Aiemmin Yhdysvaltojen ja EU:n välillä oli voimassa Privacy Shield -menettely, joka kumottiin EU-tuomioistuimen päätöksellä kesällä 2020. Kumoamisen jälkeen henkilötietoja on siirretty Yhdysvaltoihin esimerkiksi Euroopan komission laatimia vakiosopimuslausekkeita käyttäen, jonka lisäksi on vaadittu lisäsuojatoimia. Jatkossa henkilötietoja voidaan siirtää turvallisesti EU:sta sertifioiduille yhdysvaltalaisille yrityksille ilman, että niiden tarvitsee ottaa käyttöön muita tietosuojatakeita, eli esimerkiksi ilman vakiosopimuslausekkeita ja lisäsuojatoimenpiteitä. Yritykselle myönnettävä sertifikaatti edellyttää sitoutumista EU:n ja Yhdysvaltojen välisessä tietosuojakehyksessä sovittuihin suojatoimiin.

Tietosuojakehys sisältää yhdysvaltalaisille yrityksille yksityiskohtaisia tietosuojavelvoitteita, joita ovat muun muassa tietosuojaperiaatteiden noudattaminen sekä tietoturvaa ja henkilötietojen edelleen siirtoa koskevat vaatimukset. Kehyksessä on muun muassa vaatimus poistaa henkilötiedot sen jälkeen, kun niitä ei enää tarvita alkuperäisessä keräystarkoituksessa. Kehys velvoittaa varmistamaan tietosuojan jatkuvuuden niissä tilanteissa, joissa henkilötietoja jaetaan kolmansien osapuolten kanssa. Yhdysvaltojen käyttöön ottamat suojatoimet helpottavat myös yleisemmin tiedonsiirtoa EU:n ja Yhdysvaltojen välillä.

Lisätietoja: Komission tiedote, Tietosuojavaltuutetun toimisto, Tietosuojavaltuutetun toimisto, Euroopan komissio: Kysymyksiä ja vastauksia (englanniksi)

Tietosuojavaltuutettu on väliaikaisesti kieltänyt Yango-taksipalvelun henkilötietojen siirrot Suomesta Venäjälle

Tietosuojavaltuutetun toimiston päätöksen mukaan Venäjällä voimaan tuleva lainsäädäntöuudistus heikentää merkittävästi Yangon taksipalvelua käyttävien henkilöiden henkilötietojen suojaa. Kyseisen lainsäädäntöuudistuksen nojalla Venäjän turvallisuuspalvelulla on jatkossa oikeus saada taksitoiminnassa käsiteltäviä tietoja, eikä Yangon ole mahdollista suojata henkilötietoja EU:n lainsäädännön edellyttämällä tavalla.

Näin ollen tietosuojavaltuutettu on antanut Yandex LLC:lle ja Ridetech International B.V.:lle määräyksen keskeyttää Yango-taksipalvelussa kerättyjen asiakkaiden henkilötietojen siirtämisen Venäjälle ja lopettamaan kerättyjen henkilötietojen käsittelyn. Kyseinen päätös tuli voimaan 1.9. ja on näillä tiedoin voimassa 30.11. saakka. Tietosuojavaltuutetun määräys koskee Yangon toimintaa Suomessa.

Lisätietoja: Tietosuojavaltuutetun toimisto

Majoitusalan yritys sai huomautuksen puutteellisista suojatoimista sekä määräyksen lyhentää tietojen säilytysaikaa

Yritykseen oli kohdistunut tietoturvaloukkaus, jossa hyökkääjä oli hyödyntänyt rajapinnan haavoittuvuutta yrityksen asiakkaiden itsepalveluportaalissa. Hyökkääjä sai tietomurrossa pääsyn kymmenien tuhansien ihmisten henkilötietoihin.

Tietosuojavaltuutettu katsoi päätöksessään, että rekisterinpitäjä ei ollut noudattanut tietojen minimoinnin periaatetta eikä säilytyksen rajoittamisen periaatetta. Tapauksessa rekisterinpitäjä oli säilyttänyt majoitus- ja vuokrasuhdetietoja kymmenen vuoden ajan vuokrasuhteen päättymisestä. Tietoturvaloukkauksen jälkeen rekisterinpitäjä lyhensi säilytysaikaa kirjanpitolain mukaiseksi vähimmäissäilytysajaksi. Kaikki säilytetyt tiedot eivät kuitenkaan ole sellaisia, joita kirjanpitolaki vaatii säilytettäväksi tietyn ajan, eikä rekisterinpitäjä esittänyt selkeää perustetta, miksi kaikille henkilötiedoille on määritetty kirjanpitolakiin perustuva säilytysaika. Siltä osin, kun tietoja ei tarvitse säilyttää kirjanpito- tai muiden lakisääteisten velvoitteiden noudattamiseksi, tietosuojavaltuutettu määräsi rekisterinpitäjän lyhentämään käsittelemiensä henkilötietojen käsittelyaikaa.

Tietosuojavaltuutettu katsoi myös, että rekisterinpitäjä ei ollut toteuttanut riittäviä toimenpiteitä riskiä vastaavan turvallisuustason varmistamiseksi. Rekisterinpitäjän olisi pitänyt säännöllisemmin tehdä testauksia haavoittuvuuksien havaitsemiseksi ja korjaamiseksi.

Lisätietoja: Päätös Finlexissä ja Tietosuojavaltuutetun toimisto

Korkein hallinto-oikeus katsoi lasten henkilötunnusten säännönmukaisen keräämisen isännöinti- ja vuokraustoiminnassa tietosuoja-asetuksen tarpeellisuusvaatimuksen vastaiseksi

Isännöinti- ja vuokraustoimintaa harjoittava yritys keräsi säännönmukaisesti vuokra-asunnossa asuvien ja asuntoa hakevien perheiden alaikäisten lasten henkilötunnuksia.

Korkeimmassa hallinto-oikeudessa arvioitavana kysymyksenä oli, oliko yrityksen harjoittama alaikäisten lasten henkilötunnusten kerääminen yleisen tietosuoja-asetuksen tietojen minimointia koskevan vaatimuksen mukaista. Käsiteltyjen henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään (tietojen minimointi).

Henkilötietojen käsittely voi olla lainmukaista vain, jos sille on yleisen tietosuoja-asetuksen 6 artiklassa säädetty peruste. Käsittelyperusteen olemassaolo ei kuitenkaan yksinään tee käsittelystä lainmukaista, vaan henkilötietojen käsittelyssä on lisäksi noudatettava 5 artiklassa säädettyjä vaatimuksia, muun ohella tässä asiassa arvioinnin lähtökohtana olevaa minimointiperiaatetta. Korkein hallinto-oikeus katsoi, että kun sovelletaan arava- ja korkotukivuokra-asuntoja koskevaa sääntelyä, henkilötunnusten säännönmukainen kerääminen henkilön iästä riippumatta oli lakiin perustuvaa. Korkein hallinto-oikeus kuitenkin katsoi, että yhtiön muut tarkoitukset henkilötunnusten säännönmukaiselle keräämiselle (mm. asumistuki, ovenavauspalvelu, huoli-ilmoitukset) eivät perustelleet tarvetta lasten henkilötunnusten säännönmukaiselle keräämiselle. Tiettyä tarkoitusta varten kerättyjä henkilötietoja ei tule käyttää muuhun kuin alkuperäiseen käyttötarkoitukseen.

Lisätietoja: Korkeimman hallinto-oikeuden päätös ja Tietosuojavaltuutetun toimisto

EU-tuomioistuin: rekisteröidyillä on tarkastusoikeuden nojalla oikeus saada tietää henkilötietojen tarkastelun ajankohta ja tarkoitukset

Tapauksessa pankin työntekijä, joka oli myös pankin asiakas, oli pyytänyt pankkia ilmoittamaan hänelle hänen asiakastietojaan tarkastelleiden henkilöiden henkilöllisyyden sekä näiden tarkasteluiden tarkat päivämäärät ja tietojen käsittelyn tarkoitukset. Pankki kertoi työntekijälle tietojen käsittelyn syyt ja muita tarkentavia tietoja, mutta kieltäytyi ilmoittamasta tietoja tarkastelleiden työntekijöidensä henkilöllisyyttä, sillä perusteella, että nämä tiedot olivat kyseisten työntekijöiden henkilötietoja.

EU-tuomioistuimessa oli siis käsiteltävänä kysymys siitä, oliko rekisteröidyllä oikeus saada tietoonsa lokitiedot koskien sitä, milloin, miksi ja kuka oli tehnyt kyselyitä rekisteröidyn henkilötietoihin. EU-tuomioistuin päätyi ratkaisussaan siihen, että rekisteröidyllä on oikeus saada tiedot hänen henkilötietoihinsa tehtyjen kyselyiden ajankohdista ja tarkoituksista. Rekisteröidyllä ei kuitenkaan ole oikeutta tietoihin koskien hänen tietojansa käsitelleiden rekisterinpitäjän työntekijöiden henkilöllisyydestä, kun työntekijä on suorittanut kyselytoimet rekisterinpitäjän alaisuudessa ja sen ohjeiden mukaisesti, paitsi jos tiedot ovat välttämättömiä, jotta rekisteröity voi tosiasiallisesti käyttää tietosuoja-asetukseen perustuvia oikeuksiaan. Tällaisissa tilanteissa olisi otettava huomioon näiden työntekijöiden oikeudet ja vapaudet, ja tarvittaessa työntekijän ja rekisteröidyn oikeuksia ja vapauksia tulisi punnita keskenään. 

Lisätietoja: EU-tuomioistuimen tuomio ja Tietosuojavaltuutetun toimisto

Tietosuojavaltuutettu otti kantaa kysymykseen koskien rekisteröidyn oikeutta siirtää tietojaan toiseen järjestelmään

Tietosuojavaltuutettu antoi huomautuksen sähköpostipalvelun tarjoajalle, koska yritys ei ollut toteuttanut rekisteröityjen oikeutta siirtää henkilötietonsa järjestelmästä toiseen yleisen tietosuoja-asetuksen edellyttämällä tavalla.

Palvelun ilmaiskäyttäjät olivat voineet siirtää sähköpostiviestejään palvelusta manuaalisesti, yksi kerrallaan. Maksaville asiakkaille oli käytössä automatisoitu työkalu, joka mahdollisti useamman viestin viemisen kerralla. Sähköpostipalvelun tarjoajan mukaan työkalua ei tuolloin voitu tarjota kaikille teknisistä ja kehitykseen liittyvistä syistä. Työkalu annettiin maksavien käyttäjien käyttöön, jotta sen vakautta ja toimivuutta voitiin testata yhä suuremmassa mittakaavassa. Nykyään sähköpostipalvelun tarjoajan automatisoitu työkalu on kaikkien asiakkaiden käytössä.

Tietosuojavaltuutettu katsoi, että viestien vieminen manuaalisesti yksitellen oli käytännössä vaikeuttanut ja estänyt käyttäjiä siirtämästä henkilötietojaan, mikä ei ollut yleisen tietosuoja-asetuksen 20 artiklan 1 kohdan mukaista.

Tietosuojavaltuutettu huomautti myös, että rekisteröidyn oikeuksien käyttämisen on oltava rekisteröidylle pääsääntöisesti maksutonta. Automatisoidun työkalun antaminen vain maksavien asiakkaiden käyttöön johti tietosuojavaltuutetun mukaan siihen, että rekisteröidyn oikeuksien käyttäminen täysimääräisesti oli ollut käytännössä maksullista.

Lisätietoja: Tietosuojavaltuutetun päätös ja Tietosuojavaltuutetun toimisto

Jos tarvitset apua yrityksesi tietosuoja-asioiden tarkistamisessa ja päivittämisessä, ota yhteyttä Lexiaan!

Teksti: Erika Leinonen, Counsel, [email protected]

Back to Top