Safe Harbor -järjestelystä pätemätön? osa 2/2
Edellisessä blogikirjoituksessamme esittelimme EU:n tuomioistuimen päätöksen Safe Harbor -järjestelyn mitätöitymisestä. Päätös tarkoittaa, että eurooppalaisten henkilötietoja ei saa tämänhetkisen tiedon valossa siirtää Yhdysvaltoihin Safe Harbor -järjestelyn puitteissa. Suomen tietosuojavaltuutettu ei ole vielä antanut suosituksia päätöksen johdosta, mutta tällä hetkellä henkilötietoja ei saa toimittaa Yhdysvaltoihin ilman erillistä kahdenvälistä sopimusta henkilötietojen käsittelystä (mallisopimuslausekkeet, model clauses).
Monet yritykset siirtävät eurooppalaisten henkilötietoja Yhdysvaltoihin päivittäin osana operatiivista liiketoimintaa mm. käyttämällä pilvipalveluita. Miten yritysten on suositeltavaa nyt toimia?
1) Listaa yrityksesi hallinnoimat henkilötietorekisterit ja käytössä olevat kolmansien osapuolten tarjoamat palvelut, joihin tallennetaan henkilötietoja.
2) Selvitä sopimuksista, rekisteriselosteista ja tietosuojapolitiikoista siirretäänkö henkilötietoja Safe Harbor -järjestelyn puitteissa:
a. Konsernin sisällä EU:sta Yhdysvaltoihin;
b. Kolmansille osapuolille Yhdysvaltoihin; tai
c. Onko henkilötietojen käsittely ulkoistettu toimittajalle, jonka palvelinkeskus on Yhdysvalloissa?
3) Jos henkilötietodataa siirretään Safe Harbor -järjestelyn puitteissa, ota yhteyttä toimittajaan jatkotoimenpiteiden sopimiseksi, jotta siirroista saadaan lainmukaisia mallisopimuslausekkeilla. Yrityksen sisäisiin henkilötiedon siirtoihin voidaan käyttää konsernin sisäisiä sitovia tietosuojasääntöjä (Binding Corporate Rules). Kannattaa myös selvittää, pystyykö toimittaja tarjoamaan mahdollisuuden henkilötietojen säilyttämiseen Euroopassa ja palvelun tarjoamiseen eurooppalaisesta palvelinkeskuksesta.
4) Päivitä rekisteriselosteet ja tietosuojapolitiikat
5) Julkaise tiedote asiakkaille, kumppaneille ja henkilöstölle
Monet isot toimijat ovat jo julkaisseet tiedotteet mallisopimuslausekkeiden sisällyttämisestä asiakassopimuksiin. Myös EU:n komissio ja Yhdysvaltain viranomaiset neuvottelevat uuden Safe Harbor -järjestelyn sopimiseksi. Tilanteen kehittymistä ja uusia ohjeita on suositeltavaa seurata esim. Suomen tietosuojavaltuutetun sivuilta.
Blogikirjoituksen ovat laatineet Nixun tietosuojapalveluista vastaavaan tiimiin kuuluvat Kirsi Vesterinen, Sanna Kuikka ja Harri Vilander.