EU:n päätös henkilötietojen siirrosta ja Googlen tietosuoja

EU-tuomioistuin antoi 16. heinäkuuta merkittävän ratkaisun niin sanotussa Schrems II -tapauksessa (C-311/18), jossa se kumosi Euroopan komission päätöksen EU:n ja USA:n välisen, henkilötietojen siirtoon liittyvän, Privacy Shield -järjestelyn tietosuojan tason riittävyydestä.

Keskeinen kysymys, jolle EU-tuomioistuin haki päätöstä Schrems II -tapauksessa oli, että voidaanko EU:ssa asuvien henkilöiden henkilötietoja siirtää ja tallentaa Yhdysvaltoihin taaten samalla EU:n tietosuoja-asetuksen vaatima tietosuojan taso.

Päätöksessään tuomioistuin otti myös kantaa mallisopimuslausekkeisiin (“Model Contract Clauses” tai “Standard Contractual Clauses”) henkilötietojen siirtojen perusteena kolmansiin maihin. EU-tuomioistuin puolsi mallisopimuslausekkeiden kelpoisuuden.

Sekä Privacy Shield että mallisopimuslausekkeet ovat mekanismeja, jotka liittyvät EU:n yleiseen tietosuoja-asetukseen (GDPR), jota alettiin soveltamaan toukokuussa 2018 ja joka pyrkii yhtenäistämään tietosuojaa koskevaa lainsäädäntöä kaikkien Euroopan unionin jäsenmaiden kesken. Privacy Shieldillä ja mallisopimuslausekkeilla ollaan haluttu varmistaa ja turvata henkilötietojen lainmukaista siirtymistä Euroopan unionin jäsenmaiden ja EU:n ulkopuolisten maiden välillä kansainvälisessä digitaalisessa toimintaympäristössä.

Tärkeintä tässä uutisessa on se, että EU-tuomioistuin ei kumonnut mallisopimuslausekkeiden kelpoisuutta, vaikka Privacy Shield -mekanismi nähtiinkin tietosuojan turvaamisen osalta riittämättömäksi. Nähdään siis, että mallisopimuslausekkeiden tuoma henkilötietojen tietosuojan taso on riittävä ja datan kansainvälinen liikkuvuus lain vaatimissa puitteissa mahdollistuu. Rekisterinpitäjän vastuulle kuitenkin jää siirrettäessä dataa EU-alueen ulkopuolelle, että vastaanottava taho ja maa pystyvät mahdollistamaan riittävän tietosuojan tason. Tuomioistuin jätti ratkaisussaan päätösvallan ja soveltamisen paikallisille tietosuojaviranomaisille. Google on vakuuttanut, että Google Workspace ja Google Cloud Platform täyttävät edelleen EU:n tietosuoja-asetuksen (GDPR) ehdot ja standardit henkilötietojen siirtämiselle EU:n ulkopuolelle.

Google vakuuttaa rakentavansa kaikki ratkaisunsa korkeimmat tietoturvan ja tietosuojan standardit keskiössä ja kansainvälisiä säännöksiä kunnioittaen. Google alkoi tarjoamaan mallisopimuslausekkeita kansainvälisen tiedonsiirron mekanismina jo vuoden 2012 alussa. Euroopan tietosuojaneuvosto (European Data Protection Board) teki vuonna 2017 päätöksen siitä, että Googlen sopimukset liittyen datan kansainväliseen siirtoon G Suite ja GCP palveluissa mukautuvat Euroopan komission asettamiin vaatimuksiin.

Aihetta käsittelevässä julkaisussaan Google vakuuttaa, että asiakkaat voivat jatkossakin luottaa Google Cloudin mallisopimuslausekkeiden tuomaan turvaan kansainvälisessä henkilötietojen siirrossa. Google seuraa aktiivisesti pelikentällä tapahtuvia muutoksia ja pyrkii sopeutumaan nopeasti säännösten mukaisesti.

Asiaan liittyviä aiempia blogipostauksia: