Saako tietoja siirtää EU:n ja USA:n välillä?

Ajankohtaista DPF Tietopankki Tietosuojavinkit Whistleblowing

Tietojensiirron riittävyyspäätös EU:n ja USA:n välille

Euroopan komissio on todennut, että USA:n lainsäädäntöön tehdyt muutokset ovat riittäviä ja asiassa on annettu riittävyyspäätös. USA on lisätty 10. heinäkuuta 2023 alkaen Euroopan komission luetteloon sellaisista maista, joilla on riittävä tietosuojan taso. Riittävyyspäätös kuitenkin edellyttää tiedot vastaanottavan sekä niitä mahdollisesti välittävän yhdysvaltalaisen yrityksen kuuluvan ns. DPF-ohjelmaan (Data Privacy Framework, eli tietosuojakehys).

Niiden siirtojen osalta, jotka voivat tukeutua tietosuojakehykseen, ei tarvita enää GDPR:n mukaista siirtomekanismia, kuten vakiosopimuslausekkeita, tai muitakaan lisäsuojatoimenpiteitä.

Tietosuojakehys koskee niitä yhdysvaltalaisia yrityksiä, jotka ovat sitoutuneet tietosuojakehykseen ja sen mukaisiin suojatoimiin. Nyt tehty riittävyyspäätös ei välttämättä kata kaikkia Yhdysvaltoihin kohdistuvia siirtoja: tietosuojakehyksen ulkopuolisten toimijoiden osalta on edelleen käytettävä muita siirtoperusteita sekä mahdollisia lisäsuojatoimia.

DPF ohjelmassa olevat yritykset

Tarkista, onko yhdysvaltalainen palveluntarjoaja jo liittynyt DPF-ohjelmaan

Nyt voimaan tullutta riittävyyspäätöstä ei voida käyttää tiedonsiirtoihin julkisen sektorin toimijoiden välillä.

On kuitenkin mahdollista, että tietosuojakehys tullaan haastamaan Euroopan unionin tuomioistuimessa. Aikaisemmat sopimukset riitauttanut NOYB-järjestö (Non Of Your Business) on jo ilmoittanut riitauttavansa myös nyt tehdyn tietosuojakehyksen.
Tämä on syytä ottaa huomioon tiedonsiirtoja koskevissa arvioinneissa, siirtoperusteissa sekä informoinnissa. Yritysten kannattaa siis laatia varasuunnitelma siltä varalta, että tietosuojakehys edeltäjiensä lailla mitätöidään.

Tietojen siirrosta informoiminen

Mikäli siirrätte tietoja yhdysvaltoihin, informoikaa siitä tietosuojaselosteessanne kohdassa ”Tietojen siirto EU:n tai ETA alueen ulkopuolelle”. Tietosuojakehykseen liittyneiden organisaatioiden osalta mallia voi ottaa alta:

”Siirrämme tietoja Yhdysvaltoihin tietosuojan riittävyyspäätökseen pohjautuvan tietosuojakehyksen (DPF) perusteella”.

Onhan yrityksessäsi Whistle Blow käytössä?

Ilmoittajansuojalaki astui voimaan 1.1.2023. Tämä tarkoittaa, että vähintään 50 henkeä työllistävien yritysten on otettava käyttöön sisäinen ilmoituskanava 17.12.2023 mennessä. Sisäisen ilmoituskanavan tarkoitus on mahdollistaa väylä väärinkäytösepäilyjen ilmoittamiselle joko omalla nimellä tai anonyymisti.

Yllämainittuun päivämäärään mennessä tulee olla tehtynä seuraavat toimenpiteet: