Erityisesti yritykset, jotka käsittelevät henkilötietoja laajamittaisesti ja jotka ovat siirtäneet henkilötietoja Yhdysvaltoihin Safe Harbor -perusteen nojalla, eivät yllättyneet 6.10.2015, kun EU:n tuomioistuin antoi jutussa Maximillian Schrems v. Data Protection Commissioner tuomionsa. Tuomioistuin julisti pätemättömäksi komission päätöksen, jossa Yhdysvaltojen on todettu takaavan siirrettyjen henkilötietojen suojan riittävän tason Safe Harbor -järjestelmän avulla.
Tuomioistuimen ratkaisun lopputulos oli ennakoitavissa jo julkisasiamiehen aikaisemman ratkaisuehdotuksen perusteella. Erityisesti suuret toimijat, jotka joko itse käsittelevät EU:n alueelta siirrettäviä henkilötietoja Yhdysvalloissa tai joiden tietojärjestelmiä muuten operoidaan Yhdysvalloista käsin, tiesivät mitä odottaa. Heti 6.10. alkoikin sellaisten toimenpiteiden toteuttaminen, joita oli jo aikaisemmin syksyllä valmisteltu.
EU:n tuomioistuimen ratkaisun ydinsisältö on selvä: Safe Harbor -järjestelyä ei voida enää käyttää, vaan henkilötietojen siirto Yhdysvaltoihin on jatkossa tuettava jollakin muulla henkilötietolainsäädännössä hyväksytyllä perusteella.
EU:n tuomioistuimen ratkaisusta ei voida johtaa mitään erityistä siirtymäaikaa sille, minkä ajan kuluessa yritysten, jotka ovat aikaisemmin tukeutuneet Safe Harbor -perusteeseen, täytyy ottaa käyttöön uusi korvaava peruste. Selvää joka tapauksessa on, ettei tällaista korvaavaa perustetta pystytä ottamaan käyttöön ”yön yli”, vaan prosessi on pidempikestoinen. Esimerkiksi EU:n komission hyväksymien mallilausekkeiden käyttöönotto vie oman aikansa.
Heti 6.10. jälkeen käynnistyi myös yleinen keskustelu siitä, pitääkö yritysten katkaista välittömästi palveluyhteydet Yhdysvaltoihin siltä osin kuin tietoja siirretään Safe Harbor -perusteella. Tällä tavalla juuri mikään yritys ei liene käytännössä toiminut – mutta sen sijaan useissa yrityksissä on välittömästi aloitettu valmistelevat toimenpiteet, jotta tarvittavat muutokset pystytään myöhemmin toteuttamaan nopealla aikataululla.
Olemme itse ohjeistaneet asiakkaitamme siihen, että nykyisessä tilanteessa on järkevää odottaa erityisesti sitä, millaisia käytännön suuntaviivoja EU:n tasolla toimiva kansallisista tietosuojavaltuutetuista koostuva työryhmä (WP) tulee esittämään, mahdollisesti jo 15.10. tai pian sen jälkeen. Lisäksi olemme kannustaneet siihen, että yritykset joka tapauksessa aloittavat välittömästi sisäiset prosessinsa tarvittavien muutosten valmistelemiseksi.
Erityistä huomiota tulee kiinnittää siihen, ettei yrityksissä aloiteta enää nyt sellaisia uusia henkilötietojen siirtojen prosesseja, jotka on tarkoitettu tuettavaksi Safe Harbor -perusteeseen. Erityisesti suurissa organisaatioissa on riskinä, ettei 6.10. muuttunutta oikeustilaa ole heti tiedostettu organisaation kaikilla tasoilla.
Companies have already started actions to change their practices of data processing in accordance with the Safe Harbor judgment by the Court of Justice of the European Union
The judgment of the Court of Justice of the European Union (CJEU) on 6 October 2015 in the case Maximillian Schrems v. Data Protection Commissioner did not come as a surprise, especially to companies with extensive processing of personal data and transferring of data to the United States based on the Safe Harbor Decision. The CJEU invalidated the EU Commission’s Safe Harbor Decision in which it had been considered that an adequate level of protection to personal data was ensured in the US by the system of Safe Harbor.
Based on the opinion of the Advocate General, it was already possible to foresee the content of the judgment of the CJEU. Especially large companies that either by themselves process in the US personal data transferred there from the EU region or whose ICT systems or services are operated from the US were aware of the situation and what to be expected next. Therefore, immediately upon the judgment on 6 October 2015 began the execution of actions that had been planned earlier in the autumn.
The core message of the judgment of the CJEU is clear: It is not permitted to apply the Safe Harbor Decision, and the transfer of personal data to the US must be based on some other legal justification in the personal data legislation.
It is not possible to identify any specific transitional period in the referred judgment, during which companies that have previously applied the Safe Harbor Decision should implement a new, alternative justification for the transfer of data to the US. However, it is apparent that such alternative justification cannot be implemented “overnight”, but instead the procedure will be rather lengthy. For example, the execution of the model clauses issued by the EU Commission will take some time.
In addition, upon the referred judgment on 6 October 2015 began the general discussion on whether companies should immediately disconnect any connections of ICT services to the US, as far as data transfer was based on the Safe Harbor Decision. However, in practice, it seems that companies are not generally following such approach, but several companies have immediately started preparatory actions to be able to implement any necessary changes with prompt schedule later.
In this situation, we have instructed our clients to wait, especially for any practical guidelines from the Article 29 Data Protection Working Party (WP) that is composed of representatives of the supervisory authorities of the EU member states. Such guidelines may be published already on 15 October 2015 or soon thereafter. Furthermore, regardless of waiting for the guidelines, we have also encouraged our clients to begin with their internal procedures to prepare for any necessary changes.
Special attention should be given to new procedures of data transfer, which have been originally planned to be based on the Safe Harbor Decision, and companies should not initiate or continue with such procedures anymore. There is a risk, especially in large organisations, that the changed legal state as of 6 October 2015 has not been instantly recognized at all levels of the organisation.