Tiedonsiirrossa puhaltavat uudet tuulet, kun Euroopan komissio antoi päätöksen, jonka mukaan EU:n ja Yhdysvaltojen uuden tietosuojakehyksen (EU-US Data Privacy Framework) tarjoama tietosuoja on riittävä. Tämä päätös avaa oven suurille teknologiayrityksille kuten Googlelle ja Metalle saada laillinen hyväksyntä henkilötietojen siirtämiseen Euroopasta Yhdysvaltoihin.
Päätös ei tee datan siirtämisestä suoraan laillista. Googlen ja Metan kaltaisten yritysten tulee tehdä toimenpiteitä ennen kuin tarvittava tietosuojan taso on saavutettu. Tämän blogin tarkoituksena on avata mistä on kyse ja kuinka yritysten tulisi varautua jatkossa tietosuojakehyksen tuomiin muutoksiin.
Privacy Shieldistä uuteen puitesopimukseen
Miksi tällä sopimuksella on merkitystä? Aikaisempi Privacy Shield -sopimus määritettiin riittämättömäksi heinäkuussa 2020. Useat Euroopan maiden tietoturvaviranomaiset ovat sittemmin todenneet teknologiajättien tiedonsiirron laittomaksi EU:n ja Yhdysvaltojen välillä, koska se ei täyttänyt EU:n GDPR vaatimuksia. Nyt uusi puitesopimus on korvaamassa Privacy Shield -kehyksen ja sitä kautta tuomassa uutta tietosuojaa tiedonsiirtoon EU:n ja Yhdysvaltojen välillä.
Datan siirto vaatii yrityksiltä sertifiointia
Uuden sopimuksen mukaan yhdysvaltalaiset yritykset voivat hakea sertifiointia voidakseen siirtää henkilötietoja EU:sta yhdysvaltalaisiin organisaatioihin. Yritysten tulee olla sitoutuneita EU:n ja Yhdysvaltojen välisessä tietosuojakehyksessä sovittuihin suojatoimiin. Tietosuoja.fi-sivustolla todetaan, että tätä riittävyyspäätöstä ei voi käyttää tiedonsiirtoihin julkisen sektorin toimijoiden välillä. Jatkossa EU:n kansalaisilla on olemassa monia oikeussuojakeinoja tietojen väärinkäytöksien varalta mm. maksuttomat riippumattomat riitojenratkaisumekanismit ja erityinen välimiespaneeli.
Sertifiointiprosessia johtaa Yhdysvaltain kauppaministeriö, joka lopulta päättää, mitkä yritykset saavat siirtää tietoja Atlantin yli. Yritysten tulee omatoimisesti hakea tätä sertifiointia ja aika tulee näyttämään kuinka teknologiajätit tulevat ottamaan näitä suojatoimia käyttöön ja millä aikataululla.
Jatkuva kehitys kohti parempaa tietoturvaa
On hyvä ymmärtää, että kehyksessä yhdysvaltalaisille yrityksille annetaan selkeät ohjeet laillisen tavan saavuttamiseksi tiedonsiirrossa. Tämä varmasti antaa suuntaviivoja teknologiayrityksille siitä, mihin suuntaan tiedonkäsittelyä tulisi kehittää nyt ja jatkossa.
Vaikka uusi tietosuojakehys on tärkeä askel – on vielä epäselvää, kuinka hyvin se otetaan maailmalla vastaan. Saattaa olla myös mahdollista, että uusi sopimus todetaan pätemättömäksi EU:n tuomioistuimessa. Tietosuojakehyksen toimivuutta tarkastellaan säännöllisesti, jotta kaikki tarvittavat palaset ovat paikallaan ja prosessi toimii käytännössä.
Miten puitesopimus vaikuttaa organisaatioiden analytiikkadataan?
Koska kysymysmerkkejä leijailee vielä ilmassa, on tärkeää jatkaa niitä toimenpiteitä, joilla voidaan jatkossa varmistaa, että data pysyy laillisena ja turvattuna. Näitä toimenpiteitä voivat olla palvelujen siirtäminen Eurooppaan tai Google Analytics 4:n asetuksien konfigurointi henkilötietojen salaamiseksi palvelinpohjaisen seurannan avulla. Näiden lisäksi perusasiat, kuten evästeiden hallinta, tulee olla kunnossa.
Kattavan päivityksen päätöksestä voit lukea Tietosuoja.fi tai Euroopan komission sivuilta.
Tarvitsetko neuvoja web-analytiikan kanssa? Ota yhteyttä, autamme mielellämme. Lähetä viestiä janne.miettinen@knowit.fi ja sovitaan tapaaminen.
Voit myös käydä tutustumassa Knowitin web-analytiikan ratkaisuihin. Mitataan yhdessä asioita, joilla on merkitystä!