Mikä on Scherms II? Tuleeko pian Scherms III?

Blogi
Miksi EU:n ja USA:n välinen tiedonsiirto on niin kiisteltyä? Ja kuinka Scherms II tuomio vaikuttaa evästeiden käyttöön, ja miten laki vaikuttaa sinun verkkosivustosi toimintaan?
Sisällysluettelo
Schrems II

Mikä on Schrems II tai Schrems 2? Mikä on todennäköisyys sille, että meillä on pian käsissämme Schrems III? Entä miten nämä oikeustapaukset liittyvät evästeisiin ja siihen, mitä voit tehdä verkkosivustollasi?

Schrems II on vuonna 2020 käyty oikeustapaus ja sen tuomio. Nimi Schrems tulee Maximilian Schremsistä tai Max Schremsistä, kuten hänet tavallisimmin tunnetaan. Max Schrems on itävaltalainen lakimies ja yksityisyydensuoja-aktivisti, joka on NOYB-järjestön (None of Your Business) puheenjohtaja. Hän on ollut keskeisessä asemassa Schrems-tuomioihin johtaneiden oikeustapausten käsittelyssä.

Mutta mistä on kyse? Aloitetaan alusta. Ennen Schrems II:ta oli Schrems I, ja on erittäin todennäköistä, että pian on Schrems III.

EU:n ja Yhdysvaltojen välinen tiedonsiirtosopimus on vireillä

Tätä kirjoitettaessa EU:n ja Yhdysvaltojen välillä ei ole tiedonsiirtosopimusta tai tietosuojan riittävyyttä koskevaa päätöstä, kuten sitä virallisesti kutsutaan. Tämä tarkoittaa sitä, että EU on toistaiseksi todennut, että Yhdysvalloissa henkilötietoja ei suojata riittävästi.

Yleisessä tietosuoja-asetuksessa (GDPR) tätä kutsutaan “riittävän tietosuojan tason” puuttumiseksi. EU on siis sanonut, että jos keräät henkilötietoja eri tavoilla, esimerkiksi verkkosivustosi web-analytiikkatyökalujen avulla, et saa enää siirtää henkilötietoja Yhdysvaltoihin.

Periaatteessa tämä johtuu siitä, että EU:n lainsäädännössä henkilötiedot nähdään osana ihmisoikeuksia. Yhdysvallat ei suhtaudu henkilötietoihin samalla tavoin, eikä se voi taata, ettei sen tiedustelupalvelu(t) voi päästä käsiksi henkilötietoihin ja käyttää niitä.

Mutta enhän minä siirrä henkilötietoja Yhdysvaltoihin? Vai siirränkö? Ennen kuin siirrymme tähän, tarkastellaan ensin tarkemmin Schrems I:tä ja Schrems II:ta.

Schrems I

Ensimmäinen EU:n ja Yhdysvaltojen välinen tiedonsiirtosopimus oli nimeltään Safe Harbor. Euroopan unionin tuomioistuin kumosi sen vuonna 2015 Schrems I -nimisessä tapauksessa:

Max Schrems, joka oli tuolloin tohtorikoulutettava, teki valituksen Facebookia vastaan. Hän väitti, että Facebookin hallussa olevat tiedot hänestä ja muista eurooppalaisista käyttäjistä siirretään Yhdysvalloissa sijaitseville palvelimille, jolloin ne ovat maan tiedustelupalvelujen saatavilla.

Max Schremsin mukaan Edward Snowdenin paljastusten valossa ei ole mitään takeita siitä, että Safe Harbor -sopimus täyttää lupauksensa. Irlantilaisessa tuomioistuimessa tapahtuneiden muutamien käänteiden jälkeen tapaus päätyi Euroopan yhteisöjen tuomioistuimeen, joka 6. lokakuuta 2015 kumosi Safe Harbor -järjestelmän.

Schrems II

Aika pian Safe Harborin kumoamisen jälkeen EU:n komissio sai aikaan Obaman hallinnon kanssa sopimuksen – Privacy Shieldin. EU:n tuomioistuin kuitenkin hylkäsi sopimuksen vuonna 2020 Schrems II -nimisellä tuomiolla.

Yhteenvetona se totesi, että Privacy Shieldiä ei voi verrata yleisen tietosuoja-asetukseen, koska se ei tarjoa riittävää suojaa henkilötiedoille, kun niitä siirretään Yhdysvaltoihin.

Schrems III?

Tätä kirjoitettaessa on käynnissä neuvottelut sopimuksesta, joka korvaa yksityisyyden suojakilven. EU:n ja Yhdysvaltojen välillä on todellakin niin sanottu “periaatesopimus”, joka tunnetaan nimellä “Trans-Atlantic Data Privacy Framework “.

Ei ole mahdotonta, että tämä sopimus johtaa uuteen, kolmanteen riittävyyspäätökseen vuoden 2022 loppuun mennessä. Max Schrems, joka ilmeisesti ajoi kahta muuta oikeustapausta, ei kuitenkaan usko, että se kestää uutta testiä. Jos ja kun tämä aavistus toteutuu, meillä on Schrems III.

Miten Scherms II vaikuttaa sinun verkkosivustoosi tai sovellukseesi?

Privacy Shield -ratkaisuun asti vuonna 2020 yritykset tai verkkosivustojen omistajat saattoivat käyttää Privacy Shield -suojaa yhdysvaltalaisten pilviratkaisujen, kuten WooCommercen ja Google Adsin, käytön perustana.

Tuomion jälkeen kaikkien yritysten on ollut pakko käyttää niin sanottuja SCC-sopimuksia tiedonsiirtojen perustana. SCC tarkoittaa Standard Contractual Clauses – tai suomeksi vakiosopimuslausekkeita.

Jos siis esimerkiksi käytät yhdysvaltalaisia pilvipohjaisia palveluja, kuten Google Analyticsia, Google Adsia tai muita kolmannen osapuolen palveluja henkilötietojen keräämiseen verkkosivustollasi, sinun on ensin tehtävä SCC-sopimus.

SCC-sopimusten ongelmana on, että ne voivat antaa yhdysvaltalaisia palveluja verkkosivustollasi käyttäville vääränlaisen turvallisuuden tunteen.  Sinun on kuitenkin sivuston omistajan varmistettava, että käyttämäsi palvelu toimii, miten sopimuksessa luvataan:

Sinä verkkosivuston tai sovelluksen omistajana olet siis vastuussa siitä, että henkilötietoja ei siirretä kolmansiin maihin tavalla, joka rikkoo Yleisen Tietosuoja-asetuksen vaatimuksia.

Miten suuret yhdysvaltalaiset pilvipalvelut reagoivat Schrems II:een?

Verkkosivuston omistajana sinun on tiedettävä, mitä palveluja käytät.  Toisaalta suurten (yhdysvaltalaisten) palveluntarjoajien on oltava “oma itsensä” ja mietittävä itsestään. EU:n ja Yhdysvaltojen välisen sopimuksen puuttuminen on selvästi vaikuttanut niihin. Tämän lisäksi näitä toimijoita, kuten Googlea ja Facebookia, Amazonia ja muita, on sakotettu raskaasti GDPR:n eli yleisen tietosuoja-asetuksen rikkomisesta – eikä vähiten evästeiden väärinkäytöstä.

Mutta eivät nämä teknologiajätit ole passiivisia.

Googlen kaltaiset yritykset tunnistavat tilanteen ongelmallisuuden ja ovat alkaneet mukauttaa palvelujaan. Yksi tällainen esimerkki on Google Consent Mode (Google Suostumustila), joka on yksityisyyden suojaa kunnioittava tapa käyttää Googlen palveluja tässä ja nyt. Mukautuksia on todennäköisesti tulossa lisää.

Miten Scherms II liittyy evästeisiin?

Schrems II tarkoittaa, että EU:n ja Yhdysvaltojen välillä ei ole päätöstä riittävyydestä. Tämä pakottaa eurooppalaisten verkkosivustojen omistajat ja markkinoinnin parissa työtätekevät olemaan varovaisia sen suhteen, mitä palveluja he käyttävät.

Tilanne nostaa kuitenkin esiin myös henkilötietojen keräämisen esimerkiksi verkkosivuston tai sovelluksen kautta erilaisten pilviratkaisujen avulla. Teknisesti tämä tehdään usein evästeiden tai muiden seurantatekniikoiden avulla. Yleisessä tietosuoja-asetuksessa on hyvin selvää, että tällaista tietojenkeruuta ei saa tehdä ilman, että verkkosivuston kävijää tai sovelluksen käyttäjää on ensin kuultu asianmukaisesti. Tästä säädetään luonnollisesti myös sähköisen viestinnän tietosuojadirektiivissä, joka on Suomessa sisällytetty Tietosuojalakiin (1050/2018) ja Sähköisen Viestinnän Palveluiden Lakiin (917/2014) .

Schrems II -säädös terävöittää sävyä ja osoittaa, miten vakavasti EU suhtautuu riskeihin, joita henkilötietojen siirtäminen kolmanteen maahan, johon ei luoteta, aiheuttaa. Se tarkoittaa, että sinun on verkkosivuston omistajana oltava tietoinen siitä,  mitä palveluita käytät alusta alkaen.

Mutta riippumatta siitä, mitä palveluja käytät, sinun on ensin pyydettävä suostumus, ja et voi asettaa evästeitä, jotka eivät ole ehdottoman välttämättömiä. Paras tapa tehdä tämä on käyttämällä evästeponnahdusikkunaa ja suostumuksenhallinta-alustaa, jossa käyttäjälle annetaan mahdollisuus antaa evästeille tietoinen kyllä tai ei.

Käyttääkö verkkosivustosi evästeitä, jotka siirtävät tietoja Yhdysvaltoihin?

Etkö ole varma, käyttääkö verkkosivustosi evästeitä, jotka siirtävät henkilötietoja Yhdysvaltoihin?

Kokeile Suostumustenhallinta-alustaa, niin tiedät. Voit kokeilla alustaamme ilmaiseksi 30 päivää – meillä on kätevä maailmankartta, josta näet, mihin päin maailmaa kävijöidesi tietoja lähetetään.