Safe Harbor -tarkistus tarkoittaa normaalia toimintaa – toistaiseksi

Danny Bradburyn kirjoittama • 7 lokakuu 2025

Syyskuu oli käännekohta eurooppalaisille yrityksille, jotka halusivat jakaa tietoja Yhdysvaltojen kanssa. Euroopan unionin yleinen tuomioistuin hylkäsi kanteen maiden välistä yksityisyyden suojaa koskevasta sopimuksesta. Tämä tarkoittaa, että yhdysvaltalaiset organisaatiot voivat jatkaa henkilötietojen tuontia EU:sta.

EU:n ja Yhdysvaltojen välisen tietosuojalainsäädännön (DPF) haasteen esitti ranskalainen parlamentin jäsen Philippe Latombe. Hän oli tyytymätön lainsäädännöllisen kehyksen yksityiskohtiin, jotka mahdollistavat tuhansille yhdysvaltalaisille yrityksille laillisen väylän siirtää EU:n henkilötietoja. Hän oli haastanut EU:n päätöksen sallia DPF:n toiminta kahdesta syystä.

Ensinnäkin hän väitti, että Yhdysvaltain tietosuoja-asioiden tarkastustuomioistuin (DPRC) ei ollut riippumaton tai puolueeton. Tämä viitekehyksen mukainen tuomioistuin on Yhdysvaltojen ylläpitämä elin, joka käsittelee EU:n asukkaiden valituksia heidän tietojensa käsittelystä. Hän valitti myös, että Yhdysvaltain tiedustelupalvelujen joukkotietojen kerääminen ilman tuomioistuimen etukäteistä hyväksyntää rikkoi EU:n perusoikeuskirjaa.

Tämä ei ollut ensimmäinen kerta, kun EU on käsitellyt yksityisyyden suojaa koskevien kehysten haasteita. Lakimies Max Schrems oli jo aiemmin haastanut kaksi yritystä luoda EU:n ja Yhdysvaltojen välisiä vastaavuuskehyksiä.

Schrems jätti ensimmäisen valituksensa vuonna 2013 kyseenalaistaen Facebookin Yhdysvaltojen tiedonsiirrot Safe Harbor -ohjelman puitteissa Edward Snowdenin NSA:n valvontatoimien paljastusten pohjalta. Lokakuussa 2015 annettu Schrems I -päätös mitätöi Safe Harbor -ohjelman kokonaan ja totesi, että Yhdysvaltain valvontalait sallivat puuttumisen "ehdottoman välttämättömän" ylittävään suuntaan.

EU ja Yhdysvallat yrittivät uudelleen Privacy Shield -järjestelyä, joka korvasi Safe Harborin vuonna 2016, mutta Schrems haastoi välittömästi sekä uuden kehyksen että vakiosopimuslausekkeet väittäen, että Yhdysvaltojen valvontaviranomaiset pysyivät muuttumattomina. Heinäkuussa 2020 tehty Schrems II -päätös mitätöi Privacy Shieldin, mutta vahvisti vakiosopimuslausekkeet, jotka ovat EU:n sopimuksia, joita organisaatiot voivat käyttää tiedonsiirtojen valtuuttamiseen. Nämä edellyttävät tiedonsiirtojen vaikutustenarviointeja (TIA), jotka edellyttävät yrityksiltä omaa due diligence -tarkastusta siitä, suojataanko EU:n tietoja kohdemaassa.

Oikeuden vakuuttamatta jättäminen

Jos Latombe olisi onnistunut alkuperäisessä haasteessaan, se olisi syössyt yritykset takaisin hankalaan vakiosopimusten maailmaan. Oikeus oli kuitenkin eri mieltä hänen kanssaan. Oikeuden mukaan vain oikeusministeri voi nimittää tuomareita tuomioistuimeen ja katsoi tämän sopivan riippumattomuuden määritelmään. Se lisäsi myös, että joukkotuomioistuimet eivät vaatineet ennakkohyväksyntää joukkotietojen keräämiselle Schrems II -lain nojalla. Sen sijaan se totesi, jälkikäteen (jälkikäteen tapahtuva) valtuutus riittää. Korean demokraattinen kansantasavalta tarjoaa sen jo.

Kaikki tämä viittaa siihen, että Yhdysvaltain lain mukainen suoja on "olennaisesti vastaava" kuin Euroopan lainsäädännön mukainen suoja, päätöksen mukaan. EU-tuomioistuimen ilmoitus.

Se ei ole ohi ennen kuin se on ohi

Mitä tämä sitten tarkoittaa nykytilanteen kannalta? Pinnalta katsottuna se viittaa siihen, että yhdysvaltalaiset yritykset voivat jatkaa EU-kansalaisten tietojen siirtämistä sinne rankaisematta. Mutta älä vielä hylkää lakikirjoja; työn alla on jo uusia oikeudellisia haasteita, jotka viittaavat siihen, ettei tämä ole ohi.

NOYB (Schremsin organisaatio, joka on lyhenne sanoista ”None Of Your Business” eli ”Ei sinulle kuulu”) väittää, että DPF yksinkertaisesti uudelleenpakkaa samat valvontavaltuudet, jotka EU-tuomioistuin on kahdesti hylännyt. ”Uuden sopimuksen mukaiset suojatoimet ovat lähes 1:1 kopio/liitä aiemmista sopimuksista, jotka EU-tuomioistuin katsoi laittomiksi Schrems I- ja Schrems II -tapauksissa”, järjestö totesi. ”Joissakin osissa suojatoimet ovat jopa huonompia kuin vanhemmassa toimeenpanomääräyksessä, joka ei ollut EU-tuomioistuimen mielestä riittävä. Siksi on yllättävää, että yleinen tuomioistuin antoi EU:n ja Yhdysvaltojen välisen sopimuksen kolmannesta versiosta erilaisen päätöksen kuin kahdesta edellisestä versiosta.”

Latombe voi nyt valittaa päätöksestä, ja sen jättöaika on marraskuun puolivälissä tänä vuonna. Koska yksityisyyden puolustajat kritisoivat päätöstä, on todennäköistä, että DPF:ää vastaan hyökätään lisää.

Tämän mielessä organisaatioiden kannattaisi omaksua kerrostettu lähestymistapa tiedonsiirtoon oikeudellisesti kestävimpänä strategiana, sanovat lakimiehet. Myös sitovilla yrityssäännöillä (BCR) on tässä merkitystä. Nämä ovat sopimuksia, jotka yritykset tekevät sääntelyviranomaisten kanssa siirtääkseen tietoja omissa toimistoissaan kansallisten rajojen yli.

”Toistaiseksi tietosuojakäytäntö on edelleen pätevä ja virtaviivaistettu väylä henkilötietojen siirrolle EU:sta Yhdysvaltoihin.” selittää asianajotoimisto Clifford Chance. ”Rakenna sen ympärille, pidä SCC/BCR-käsikirjat valmiina, päivitä siirtojen vaikutusten arvioinnit (viitaten EO 14086:een ja DPRC:hen tarvittaessa) ja seuraa sekä valitus- että Yhdysvaltojen valvontaympäristöä”, yhtiö neuvoi.

Vuonna 2021 Euroopan tietosuojaneuvosto (EDPB) myös julkaistu ohje siitä, mitä tietojen viejät voisivat tehdä auttaakseen ylläpitämään EU:n tietosuojaa viedessään tietoja muihin maihin. Tässä asiakirjassa neuvotaan viejiä dokumentoimaan tiedonsiirtonsa täysin ja tarkistamaan käyttämänsä siirtotyökalun GDPR:n 46 artiklan mukaisesti. Palveluntarjoussopimusten ja sitovien yrityssääntöjen lisäksi muita tällaisia työkaluja ovat käytännesäännöt, sertifiointimekanismit ja ad hoc -sopimuslausekkeet. Niiden tulisi myös arvioida kohdemaan lainsäädäntöä, jos voimassa ei ole tietosuojan riittävyyttä koskevaa sopimusta. Siinä neuvotaan myös lisätoimenpiteistä, kuten tietojen salaamisesta, jossa avaimet säilytetään EU:ssa.

Joten liiketoiminta jatkuu toistaiseksi normaalisti, mutta riskienhallintavelvollisuudet edellyttävät varasuunnitelmaa. Länsimaiden kaoottisen hallituksen ja uusien oikeudellisten haasteiden vaaran vuoksi yritysten ei pitäisi luottaa kokonaan DPF:ään.

Danny Bradbury

Danny Bradbury on ollut teknologiaan erikoistunut printtitoimittaja vuodesta 1989 ja freelance-kirjoittaja vuodesta 1994. Hän on kirjoittanut kansallisiin julkaisuihin molemmin puolin Atlanttia ja on voittanut palkintoja tutkivasta kyberturvallisuusjournalismista.

Lue lisää Danny Bradburyn kirjoittamasta

tietoverkkoturvallisuus 13 marraskuu 2025

Trumpin hallinnon Yhdysvaltojen kyberturvallisuuspolitiikan muutoksen arviointi

Viimeaikaiset hallinnon toimet ja virastojen uudelleenjärjestelyt merkitsevät merkittävää muutosta liittovaltion kyberturvallisuusstrategiassa, mikä herättää kysymyksiä kansallisesta...

Danny Bradbury

tietoverkkoturvallisuus 23 lokakuu 2025

Miksi FTC:n chatbot-tutkimuksen pitäisi huolestuttaa B2B-yrityksiä bannerissa

Miksi FTC:n chatbot-tutkinnan pitäisi huolestuttaa B2B-yrityksiä

Syyskuu oli käännekohta tekoälyetiikan puolustajille. Liittovaltion kauppakomissio (FTC) antoi pykälän 6(b) mukaisia määräyksiä seitsemälle suurelle teknologiayritykselle, jotka tuottavat chatbotteja...

Danny Bradbury

tietoverkkoturvallisuus 23 syyskuu 2025

kun vanhat järjestelmät epäonnistuvat -banneri

Kun vanhat järjestelmät pettävät: Oppitunteja liittovaltion tuomioistuinten rikkomuksista

Kyberhyökkäyksiä tapahtuu joka päivä, mutta jotkut ovat erityisen kylmääviä. Tämän kesän hyökkäys Yhdysvaltain oikeusjärjestelmää vastaan olisi pitänyt lähettää kylmiä väreitä joka sekunti...

Danny Bradbury