Vaateiden paradoksi
Organisaatiot käyttävät anonymisointityökaluja saavuttaakseen GDPR-yhteensopivuuden. Työkalu on tekninen toimenpide, joka suojaa henkilötietoja luvattomalta pääsyltä 32. artiklan mukaan. Työkalun pitäisi olla ratkaisu. Mutta jos työkalu käsittelee EU:n henkilötietoja EU:n ulkopuolisilla palvelimilla, työkalu itse luo rikkomuksen, jota vastaan se on otettu käyttöön.
Alankomaiden tietosuojaviranomaisen elokuussa 2024 määräämä 290 miljoonan euron sakko Uberille - suurin EU:n tietosiirtojen rikkomussakko koskaan tuolloin - oli erityisesti Euroopan kuljettajien henkilötietojen (nimet, sijaintitiedot, maksutiedot, henkilöllisyystodistukset) siirtämisestä Uberin Yhdysvaltojen palvelimille ilman riittäviä GDPR:n 46. artiklan suojatoimia. Siirto oli järjestelmällinen ja jatkuva. DPA:n havainto: Uberin toimintamalli, joka nojasi Yhdysvaltojen palvelininfrastruktuuriin EU:n kuljettajatietojen käsittelyssä, oli jatkuva GDPR-rikkomus.
Uberin malli pätee anonymisointityökaluille: Yhdysvalloissa sijaitseva SaaS-työkalu, joka vastaanottaa EU:n henkilötietoja Yhdysvaltojen infrastruktuurissa käsiteltäväksi, harjoittaa samaa tyyppistä siirtoa, josta Alankomaiden DPA määräsi sakon Uberille. Tarkoitus (anonymisointi eikä kyytien hallinta) ei muuta oikeudellista analyysiä.
DPO-yhteisön tunnustus
DPO-ammattilaisyhteisö on nostanut esiin tämän paradoksin yhä useammin Schrems II -tuomion (2020) jälkeen, joka kumosi EU:n ja Yhdysvaltojen Privacy Shieldin ja totesi, että Yhdysvaltojen palvelininfrastruktuuri on oletusarvoisesti riittämätöntä EU:n henkilötietojen siirroille ilman lisäsuojatoimia. Schrems II -tuomio loi analyysin: jokaiselle Yhdysvalloissa sijaitsevalle työkalulle, joka vastaanottaa EU:n henkilötietoja, organisaation on dokumentoitava siirron oikeudellinen peruste.
Kumulatiiviset GDPR-sakot nousivat 5,65 miljardiin euroon vuoteen 2025 mennessä (GDPR.eu). Rajat ylittävien siirtojen rikkomukset ovat nyt keskimäärin 18 miljoonaa euroa per täytäntöönpanotoimi (DLA Piper 2025). Täytäntöönpanon kehitys tarkoittaa, että vaateiden paradoksi ei ole teoreettinen huolenaihe - se on tuottanut ja tulee jatkossakin tuottamaan merkittäviä täytäntöönpanotoimia.
EU-ensimmäinen arkkitehtuuri
Ratkaisu edellyttää joko EU:ssa sijaitsevaa palvelininfrastruktuuria anonymisointikäsittelylle (tiedot eivät koskaan poistu EU:sta) tai nollatietämyksen arkkitehtuuria (henkilötietoja ei pääse palvelimelle), tai molempia.
Pelkkä EU:ssa sijaitseva hosting - Yhdysvalloissa rekisteröity yritys, joka isännöi EU:n palvelimilla - ei välttämättä riitä. Schrems II -analyysi koskee Yhdysvaltojen yrityksiä, joita koskevat Yhdysvaltojen valvontalait, riippumatta palvelimen sijainnista: FISA 702 ja toimeenpanomääräys 12333 koskevat Yhdysvaltojen yrityksiä ja niiden tytäryhtiöitä, mikä tarkoittaa, että Yhdysvaltojen emoyhtiö, jolla on EU:hun isännöityjä palvelimia, voidaan pakottaa antamaan pääsy niillä EU:n palvelimilla tallennettuihin tietoihin.
Nollatietämyksen arkkitehtuuri poistaa palvelimen sijaintiin liittyvän huolen: jos henkilötietoja ei pääse palvelimelle, palvelimen lainkäyttövalta on merkityksetön. Anonymisoidut tiedot, jotka pääsevät palvelimelle - salatut tokenit, peitetyt arvot, peruuttamattomasti muutetut tiedot - eivät ole henkilötietoja GDPR:n mukaan eivätkä kuulu siirtokäsittelyn analyysiin.
Lähteet:
- Alankomaiden DPA elokuu 2024: 290 miljoonan euron sakko Uberille EU:n tietosiirtojen rikkomuksesta
- DLA Piper 2025: Rajat ylittävien GDPR-rikkomusten keskimääräinen sakko 18 miljoonaa euroa per täytäntöönpanotoimi
- GDPR.eu: Kumulatiiviset GDPR-sakot nousevat 5,65 miljardiin euroon vuoteen 2025 mennessä