Viime viikolla Euroopan komissio ja Yhdysvallat pitivät tiedotustilaisuuden, jonka keskiössä oli riippuvuus Venäjän energiantuotannosta. Keskustelun väliin oli ujutettu ilmoitus tahojen yhteisymmärryksestä tiedonsiirroista Atlantin yli. Tietosuoja-ammattilaiset ovat odottaneet tätä kuin kuuta nousevaa lähes kaksi vuotta. Valitettavasti uusi viitekehys ei näytä ratkaisevan kaikkia ongelmia.

Faktat lyhyesti:
• Aiempi tiedonsiirtomekanismi EU:n ja Yhdysvaltojen välillä kumottiin heinäkuussa 2020 (Schrems II).
• Lähtökohtaisesti henkilötietoja voi siirtää EU:n ulkopuolelle, jos kohdemaan tietosuojalainsäädäntö on samankaltainen kuin GDPR. Muissa tapauksissa vaaditaan lisäsuojatoimia.
• Yhdysvaltojen lainsäädäntö ei ole pystynyt takaamaan riittävää tietosuojaa EU:n kansalaisille. Ongelmaksi on nähty erityisesti USA:n viranomaisten valvontalait (”surveillance laws”).

Viimeiset 12 kuukautta ovat olleet myllerrystä, kun useat Keski-Euroopan tietosuojaviranomaiset ovat määränneet keskeyttämään tiedonsiirtoja Yhdysvaltoihin. Maaliskuussa 2021 Saksan Baijerin viranomainen vaati paikallista organisaatiota lopettamaan Mailchimpin käytön.

Moni meistä ei ole pystynyt välttymään Google Analyticsin keskustelulta. Esimerkiksi Ranskan ja Itävallan viranomaiset ovat todenneet kyseisen palvelun käytön olevan laitonta.

Meillä täällä Pohjolassa on otettu maltillisempia askeleita yhdysvaltalaisjättien osalta. Radikaalein esimerkki Skandinaviasta löytyy naapurimaastamme. Tukholman kaupunki ilmoitti alkuvuodesta, ettei se ottaisi käyttöön Microsoftin pilvipalveluja riittämättömän henkilötietosuojan takia.

Lue Oona Matinpalon kolumni kokonaisuudessaan IT Insiderista