Päätös: Data saa taas liikkua EU:n ja USAn välillä

Syksyllä 2020 räjähti uutispommi, kun EU:n tuomioistuin päätti, että eurooppalaisten henkilötietoja ei saa siirtää Yhdysvaltoihin.

Päätöksen taustalla oli kahden keskenään erilaisen lainsäädännön ongelmat: EU:ssa kansalaisten henkilötietojen suoja on erittäin vahva, kiitos GDPR-lainsäädännön. Samaan aikaan Yhdysvaltain lainsäädäntö sallii amerikkalaisille tiedusteluorganisaatioille lähes rajoittamattomat oikeudet Yhdysvalloissa sijaitsevien tietojen käyttöön.

Päätöksestä on seurannut kaaos, sillä nettijätit kuten Google ja Facebook hajauttavat käyttäjiensä tiedot ympäri maailmaa sijaitseville palvelimille. Eli eurooppalaisten Facebook- ja Google-käyttäjien tiedot siirtyvät todennäköisesti datavirtojen mukana myös Facebookin ja Googlen palvelimille Yhdysvalloissa.

Päätöksen jälkeen tuomioita on napsunut ympäri Eurooppaa, etenkin Google Analyticsin käytöstä kävijäseurannan työkaluna: Suomessa kirjastot saivat huomautuksen asiasta, samoin Ilmatieteen laitos ja Ruotsissa annettiin myös ensimmäiset sakot aiheen tiimoilta.

Mutta nyt asia näyttää muuttuvan. Edessä on tavallaan paluu vanhaan.

Euroopan Komissio tiedotti hyväksyneensä uuden mallin Euroopan ja Yhdysvaltain tietosuojakehyksestä. Päätöksen mukaan Yhdysvallat varmistaa, että yritykset, jotka siirtävät EU-kansalaisten tietoja Yhdysvaltoihin, huolehtivat siitä, että henkilötiedot saavat riittävän suojan. "Riittävä suoja" tarkoittaa tässä tapauksessa saman tasoista suojaa, mitä kansalaisilla olisi myös EU:n alueella.

Komission mukaan päätöksen jälkeen EU-kansalaisten tietoja voidaan taas siirtää turvallisesti Yhdysvaltoihin, mikäli yritys osallistuu tietosuojakehyksen käyttöön.

Päätöksen mukaan Yhdysvallat perustaa erillisen tuomioistuimen, Data Protection Review Courtin, joka on EU-kansalaisten käytössä. Sinne EU-kansalaiset voivat tehdä muutoksenhakupyyntöjä Yhdysvalloissa sijaitsevista tiedoistaan. Lisäksi Yhdysvallat rakentaa lainsäädäntöönsä parannuksia, joiden pitäisi nostaa EU-kansalaisten tietosuoja samalle tasolle kuin Euroopan Unionissa. Muutokset eivät luonnollisesti koske muiden maiden asukkaita, eivätkä amerikkalaisia itseään.

Itävaltalainen lakimies ja kansalaisaktivisti Max Schrems aikoo haastaa uuden tietosuojakehyksen oikeudessa. Hänen mukaansa on nimetty myös syksyn 2020 päätös, joka romutti Yhdysvaltain ja EU:n edellisen tietojen vaihtoon liittyvän sopimuksen.

Schremsin ja mm. Saksan sosiaalidemokraattien mukaan sovittu kehys ei vieläkään takaa EU-kansalaisten tietoturvaa. Ongelmallisimmaksi Schrems katsoo sen, että Yhdysvallat ei suostu muuttamaan tiedustelulainsäädäntöään, vaan laki sallii edelleen tiedusteluviranomaisille pääsyn tietoihin - vaikka sovittu kehys puolestaan paperilla estääkin sen.

Suuria teknologiayhtiöitä edustava järjestö Computer & Communications Industry Association puolestaan kehuu uutta päätöstä. Järjestöön kuuluvat mm. Amazon, Apple, Google, Meta ja Twitter.

• GDPR
• Yhdysvallat
• Euroopan Unioni
• Euroopan komissio
• tietosuoja
• yksityisyys