Joulukuun puolivälissä EU-maiden tietosuojaviranomaisista koostuvat WP29-työryhmä julkaisi taas ohjeita tietosuoja-asetuksen soveltamiseen. Tässä mahdollisimman tiivis ja selkeäkielinen tulkkauksemme ohjeiden tärkeimmistä sisällöistä.

Privacy Shield -järjestelyyn liittyvät asiat

Yhdysvalloissa tietosuojalainsäädäntö ei ole verrattavissa EU:n yleiseen tietosuoja-asetukseen, joten Privacy Shield -menettelyn kautta organisaatiot ovat voineet osoittaa omaavansa tietosuojatason, joka ei vaaranna tietosuojaa henkilötietojen siirtyessä Euroopasta Yhdysvaltoihin esimerkiksi pilvipalveluja käytettäessä.

Privacy shield astui voimaan heinäkuussa 2016. Nyt Euroopan komissio suoritti ensimmäisen Privacy Shield -järjestelyyn liittyneen arvioinnin, syyskuussa 2017. Työryhmän mielestä arvio osoitti järjestelyn toimivan, mutta siinä olevan edelleen tärkeitä ja kiireellisesti parannettavia kohtia.

Työryhmän Privacy shieldistä esiin nostettuja asioita

  • Parempaa ohjeistusta tarvitaan ja tähän rohkaistaan viranomaisten (mm. US Dept. of Commerce, FTC ja EU-viranomaiset) yhteistyöllä. Iso osa Privacy Shieldiä soveltavista yrityksistä on pieniä ja vielä isompi suorittaa itse oman auditointinsa. Tehokas itsearviointi vaatisi työryhmän mielestä nykyistä kattavampia ohjeistuksia.
  • Vaatimustenmukaisuutta pitäisi valvoa tarkemmin. Privacy Shield korvasi aiemman Safe Harbor -menettelyn, ja tämän jälkeen esitarkistusten nähtiin. Edelleen kuitenkin mukanaolon aikainen valvonta on heikkoa.
  • Enemmän tiedotusta EU-kansalaisille siitä, miten he voivat Privacy shieldin alla käyttää oikeuksiaan.
  • Pysyvän Privacy Shield Ombudspersonin valinta sekä avoimien paikkojen täyttäminen Privacy and Civil Liberties Oversight Board:ssa (PCLOB).

Työryhmä odottaa nimitysasioiden tulevan hoidetuksi ennen GDPR:n astumista voimaan 25.5.2018. Muiden huolien hoitamiseksi odotetaan heti tehtävän toimintasuunnitelma ja seuraavan vuosittaisen katsauksen näyttävän, että ne on korjattu.

Työryhmä ottaa vahvasti kantaa siihen, jos näitä huolia ei huomioida. Tässä tapauksessa kansallisille viranomaisille voidaan antaa mahdollisuus kyseenalaistaa Privacy shield -järjestelyn riittävyys.

On hyvä muistaa, että Privacy shield -järjestelyn lisäksi organisaatiot voivat muin keinoin (kuten yritystä sitovin säännöin, sopimuslausekkein tai sertifioinnein) varmistaa sitä, ettei EU-kansalaisten perusoikeus tietosuojaan vaarannu tietoja siirrettäessä EU:n ulkopuolelle.