Data Privacy Framework'in vaikutus henkilötietojen siirtoihin Yhdysvaltoihin

Euroopan komission päätös Yhdysvaltojen tietosuojan tason riittävyydestä tuli voimaan 10.7.2023. Päätöksen nojalla henkilötietoja voidaan siirtää tietosuojakehykseen (Data Privacy Framework, DPF) sitoutuneille yhdysvaltalaisille yrityksille. Yhdysvaltalaiset yritykset voivat saada DPF:n mukaisen sertifioinnin sitoutumalla noudattamaan yksityiskohtaisia tietosuojavelvoitteita.

DPF-sertifioitujen yritysten kohdalla uusi vastaavuuspäätös on ensisijainen siirtomekanismi, ja näissä tapauksissa TIA-arvioinnin laatiminen ja täydentävien lisäsuojatoimenpiteiden käyttöönotto ei ole tarpeen. Uusi vastaavuuspäätös tullaan kuitenkin todennäköisesti muutaman vuoden sisällä jälleen kerran arvioimaan Euroopan Unionin tuomioistuimessa, sillä aiempien niin sanottujen Schrems-päätösten takana oleva tietosuojajärjestö, noyb, on jo valmistautunut viemään DPF:n tuomioistuimen arvioitavaksi. Näin ollen organisaatioiden on hyvä pohtia, jätetäänkö – ja missä laajuudessa – aiemmin solmitut vakiosopimuslausekkeet sekä muut lisäsuojatoimenpiteet voimaan myös DPF-sertifioitujen yritysten kohdalla.  

Vaikka vastaavuuspäätös tuo helpotusta henkilötietojen siirtoihin DPF-sertifioituneille yhdysvaltalaisille yrityksille, DPF:n ulkopuolisten yritysten tulee edelleen käyttää muita siirtoperusteita, kuten vakiosopimuslausekkeita sekä suorittaa henkilötietojen siirtojen vaikutustenarviointi (TIA) ja ottaa käyttöön täydentäviä lisäsuojatoimenpiteitä. TIA-arviointien helpottamiseksi DLA Piper on laatinut tietosuojan tasoa koskevan maa-arvion yhteensä jo yli 60 maasta. Viimeaikaisen kehityksen johdosta olemme päivittäneet Yhdysvaltoja koskevaa maa-arviotamme ottaen huomioon vastaavuuspäätöksestä seuranneen kehityksen. Maa-arvioiden lisäksi DLA Piper on kehittänyt TIA-työkalun, joka helpottaa arviointien tekemistä käytännössä. Myös TIA-työkalua on päivitetty vastaamaan paremmin tarpeita, jotka syntyvät Yhdysvaltojen siirtojen arvioinneista.

Käytännössä yritysten tulisi tarkistaa, onko henkilötietoja vastaanottava yhdysvaltalainen yritys sertifioitunut DPF:n mukaisesti, ja jos käy ilmi, että kyseisellä yrityksellä ei ole sertifiointia, tulee edelleen nojata aiemman käytännön mukaisesti GDPR:n V luvun mukaisiin siirtoperusteisiin, kuten vakiosopimuslausekkeisiin. Nyt on siis hyvä aika myös päivittää yrityksen henkilötietojen siirtoja koskevat linjaukset sekä laatia tarpeelliset sopimusmuutokset ja dokumentointi.

Muistilista koskien henkilötietojen siirtoja Yhdysvaltoihin uuden DPF:n valossa:

• Varmista, onko henkilötietojen vastaanottaja DPF-sertifioitunut. 
• Jos yritys on DPF-sertifioitu, laadi tarvittavat päivitykset henkilötietojen käsittelyä koskevaan sopimukseen.
• Jos yritys ei ole DPF-sertifioitu, solmi vakiosopimuslausekkeet (tai hyödynnä muuta siirtoperustetta tarvittaessa), laadi TIA ja ota käyttöön tarvittavat lisäsuojatoimenpiteet.

Jos tarvitsette apua tai haluatte keskustella tarkemmin yrityksenne tilanteesta, olkaa yhteydessä meihin!