Yhdysvaltojen vakoilu rikkoi datasovun – nyt kiristyy yritysten valvonta Euroopassa - Digitoday - Ilta-Sanomat

Yhdysvaltojen vakoilu rikkoi datasovun – nyt kiristyy yritysten valvonta Euroopassa

Tietosuojavaltuutetut aikovat valvoa entistä tarkemmin sitä, siirtävätkö yritykset asiakkaidensa tietoja Yhdysvaltoihin.

EU:n tietosuojavaltuutetut aikovat valmistautuvat valvomaan, siirtävätkö esimerkiksi Facebook, Google ja Twitter käyttäjiensä tietoja Yhdysvaltoihin vastoin EU-säädöksiä.­

28.7. 7:00

Todennäköisesti tuhannet yritykset ovat kohta kaksi viikkoa rikkoneet lakia, kun ne ovat siirtäneet palvelujensa eurooppalaisten käyttäjien tietoja Yhdysvaltoihin. Euroopan viranomaiset aikovat ryhtyä toimiin.

– Suunnittelemme valvontatoimia Suomessa, kertoo tietosuojavaltuutettu Reijo Aarnio.

Ainakin 5000 yhdysvaltalaista yritystä on siirtänyt eurooppalaisten asiakkaidensa tai palveluidensa käyttäjien tietoja kotimaassaan sijaitseville palvelimille muun muassa EU:n ja Yhdysvaltojen välisen Privacy Shield -datalain perusteella. Yrityksiin kuuluu muun muassa yhteisöpalveluja kuten Facebook, it-taloja kuten Microsoft, verkkokauppoja sekä monia muita yrityksiä, jotka ovat käsitelleet esimerkiksi asiakastietojaan Yhdysvalloissa lähellä pääkonttoreitaan –ja samalla myös Yhdysvaltojen tiedustelun ulottuvilla.

Tuhannet yritykset putosivat heinäkuun puolivälissä yllättäen lainopilliseen limboon, kun EU:n tuomioistuin mitätöi Privacy Shield -sopimuksen.

– Tietosiirrot tämän sopimuksen perusteella ovat laittomia, totesi EU:n tietosuojaneuvosto EDPB yrityksille perjantaina julkaisemissaan uusissa ohjeissa.

Syynä EU:n tuomioistuimen päätökseen oli Yhdysvaltojen vakoilu. EU:n tuomioistuin katsoi, etteivät Yhdysvaltojen lait taanneet sitä, että EU-kansalaisten tiedot ovat turvassa yhdysvaltalaisilla palvelimilla. Neuvoston mukaan päätöksellä ei ole siirtymäaikaa, eli mitätöinti astui voimaan välittömästi tuomioistuimen päätöksen jälkeen.

Tuomioistuin ja tietosuojaneuvosto ovat pitäneet kuitenkin voimassa vaihtoehdon Privacy Shield -sopimukselle. Sen sijasta yritykset voivat käyttää niin sanottuja EU:n mallisopimuksia tai vakiolausekkeita (SCC eli standard contractual clauses).

Sopimusten muuttaminen Privacy Shield -mallista SCC-vakiolausekkeisiin ei silti poista yhdysvaltalaisten yritysten ongelmia, sillä myös SCC-mallissa vaaditaan tietojen kerääjiä ja käsittelijöitä suojaamaan eurooppalaisten käyttäjien yksityisyyttä ja noudattamaan EU:n gdpr-tietosuojalakeja.

– Käytännössä tilanne on se, ettei kenelläkään ole tiedossa menetelmiä, joilla voidaan ohittaa Yhdysvaltojen tiedustelulainsäädännön vaikutus, Aarnio sanoo.

Tietosuojavaltuutettujen kannanoton perusteella tilanteessa on vain kaksi ratkaisua: Yhdysvaltojen on lopetettava tiedustelu, tai eurooppalaisten tietoja ei saa sinne siirtää.

Tämä voi aiheuttaa yrityksille suuria vaikeuksia, kun ne joutuvat järjestelemään toimintojaan ja toimintamallejaan.

– On todella mielenkiintoista nähdä, miten palveluntarjoajat ja rekisterinpitäjät eri sektoreilla reagoivat tähän tilanteeseen, Aarnio pohtii.

Hänen mukaansa tietosuojaviranomaiset ovat ryhtyneet jo toimiin sopeutumisessa uuteen tilanteeseen. Esimerkiksi viime perjantaina julkaistuille ohjeille on tiedossa jatkoa.

Osion tuoreimmat

Luitko jo nämä?