Päivitetty 7. joulukuuta 2015
Euroopan unionin tuomioistuimen Safe Harbor -määräys – Usein kysyttyä
6.10.2015 Euroopan unionin tuomioistuin (CJEU) päätti Maximillian Schremsin tietosuojavaltuutettua vastaan nostamassa oikeusjutussa välittömästi mitätöidä Yhdysvaltain ja Euroopan Unionin välisen Safe Harbor -tietosuojasopimuksen. Safe Harbor -tietosuojasopimuksen mitätöiminen vaikuttaa moniin yrityksiin, joiden on siirrettävä henkilötietoja Euroopan unionista (EU) ja Euroopan talousalueelta (ETA) Yhdysvaltoihin ja muihin EU:n ja ETA:n ulkopuolisiin maihin. Adobe on arvioinut erilaisia vaihtoehtoja, joiden avulla se voi siirtää henkilötietoja EU/ETA-maista alueen ulkopuolisiin maihin. Monien muiden yritysten tapaan Adobe on päättänyt hankkia henkilötietojen siirtoluvan Euroopan komission vakiosopimuslausekkeiden (kutsutaan myös mallisopimuksiksi) avulla.
Mitä Euroopan unionin tuomioistuin päätti Yhdysvaltain ja Euroopan Unionin Safe Harbor -sopimuksen pätevyyteen liittyen?
Euroopan unionin tuomioistuin (CJEU) päätti 6.10.2015, että 15 vuotta voimassa ollut Yhdysvaltain ja Euroopan Unionin välinen Safe Harbor -sopimus oli pätemätön. Päätös astui voimaan välittömästi. Sopimus oli tarjonnut laillisen viitekehyksen henkilötietojen siirtämiselle EU:n ja ETA:n alueelta Yhdysvaltoihin. Tuomioistuimen päätöksen aikaan sertifioinnin oli hankkinut noin 4 500 yhdysvaltalaista yritystä, joiden joukossa oli monia huipputekniikan alan yrityksiä. Lisätietoja Safe Harbor -sopimuksesta saat Yhdysvaltain kauppaministeriön verkkosivustolta.
Mikä on Yhdysvaltain ja Euroopan Unionin välinen Safe Harbor -sopimus?
Yhdysvaltain ja Euroopan unionin välinen Safe Harbor -sopimus tehtiin vuonna 2000. Yhdysvaltain kauppaministeriön ja Euroopan komission laatiman sopimuksen avulla haluttiin luoda silta Yhdysvaltain ja Euroopan unionin erilaisten tietosuojalähestymistapojen välille, niin että henkilötietojen siirto EU/ETA-maista Yhdysvaltoihin olisi mutkattomampaa. Safe Harbor -sopimuksen ehdot täyttävät yhdysvaltalaiset yritykset, jotka käsittelevät EU/ETA-maissa kerättyjä henkilötietoja, pystyivät liittymään Safe Harbor -ohjelmaan. Sitä varten yrityksen oli omatoimisesti todistettava, että se noudattaa Safe Harbor -sopimuksen seitsemää periaatetta ja 15 usein kysyttyä kysymystä. Ne oli suunniteltu auttamaan ehdot täyttäviä yrityksiä noudattamaan tietosuojaa koskevan EU-direktiivin 95/46/EY määräyksiä.
Mitä lyhenteet EU ja ETA tarkoittavat?
Euroopan unioni (EU) muodostaa 28 Euroopan maan taloudellisen ja poliittisen kumppanuussuhteen. Maat kattavat suuren osan Euroopan mantereesta. Euroopan talousalue (ETA) yhdistää EU:n jäsenvaltiot ja kolme ETAan kuuluvaa Euroopan vapaakauppajärjestön (EFTA) jäsenvaltiota (Islanti, Liechtenstein ja Norja) sisäiseksi markkina-alueeksi, jota säätelevät samat perussäännöt. Näiden sääntöjen avulla tuotteet, pääoma ja henkilöt voivat liikkua vapaasti ETA:n alueella avoimessa ja kilpailullisessa ympäristössä. Tätä konseptia kutsutaan neljäksi vapaudeksi.
Mitä Euroopan unionin tuomioistuimen Safe Harbor -päätös merkitsi tiedonsiirrolle EU/ETA-maista Yhdysvaltoihin?
Jos yhdysvaltalaisella yrityksellä oli Safe Harbor -sertifikaatti, sen on nyt hankittava jokin muu hyväksytty tapa siirtää henkilötietoja EU/ETA-maista Yhdysvaltoihin.
Mihin toimiin Adobe on ryhtynyt Euroopan unionin tuomioistuimen päätettyä mitätöidä Yhdysvaltain ja Euroopan unionin välisen Safe Harbor -sopimuksen?
Adobe on arvioinut erilaisia vaihtoehtoja, joiden avulla se voi siirtää henkilötietoja EU/ETA-maista alueen ulkopuolisiin maihin, kuten Yhdysvaltoihin.
Adobe on valmistellut yritysasiakkaille uuden tiedonkäsittelysopimuksen (DPA, Data Processing Agreement), joka sisältää myös mallisopimuksina tunnetut vakiosopimuslausekkeet. Nämä vakiosopimuslausekkeet tarjoavat Euroopan komission hyväksynnän mukaan tietoja riittävästi suojaavaan mekanismin, kun EU/ETA-maissa kerättyjä henkilötietoja siirretään EU:n tietosuojadirektiivin mukaisesti. Jos olet Adoben yritysasiakas, joka osana Adobe-pilvipalveluja siirtää henkilötietoja EU/ETA-maista Yhdysvaltoihin, napauta tästä, niin voit pyytää tiedonkäsittelysopimusta ja vakiosopimuslausekkeita.
Mitä ovat vakiosopimuslausekkeet/mallisopimukset?
Vakiosopimuslausekkeet, joita kutsutaan muutoin mallisopimuksiksi, ovat sopimusehtoja, jotka Euroopan komissio on hyväksynyt varmistamaan rekisteröidyille riittävän suojan EU:n tietosuojadirektiivin 95/46/EC mukaisesti siirrettäessä henkilötietoja EU:sta tai ETA:sta EU:n ja ETA:n ulkopuolisiin maihin, mukaan lukien Yhdysvaltoihin.
Miten Safe Harbor -sopimuksen mitätöiminen vaikuttaa Adobe-tuotteiden käyttöön omassa yrityksessäni?
Ennen Euroopan unionin tuomioistuimen (CJEU) päätöstä Adobe varmisti henkilötietojen riittävän suojaamisen EU/ETA-maista Yhdysvaltoihin tapahuvassa tiedonsiirrossa pääasiassa Safe Harbor -sopimukseen liittyvän sertifikaatin avulla. EU-tuomioistuimen päätöksen seurauksena Adobe päätti hankkia luvan henkilötietojen siirtämiseen Euroopan komission hyväksymien vakiosopimuslausekkeiden (eli mallisopimusten) avulla.
Adobe on valmistellut yritysasiakkailleen uuden tiedonkäsittelysopimuksen (DPA, Data Processing Agreement), joka sisältää vakiosopimuslausekkeet. Näin Adobe tarjoaa Euroopan komission hyväksymän mekanismin tietosuojan riittävään turvaamiseen, kun henkilötietoja siirretään EU/ETA-maista Euroopan unionin tietosuojadirektiivin alaisuudessa. Jos olet Adoben yritysasiakas, joka siirtää Adoben pilvipalveluihin liittyviä henkilötietoja EU:sta tai ETA:sta Yhdysvaltoihin, napauta tästä, niin voit pyytää uutta tietojenkäsittelysopimusta ja vakiosopimuslausekkeita.
Voinko Adoben asiakkaana pyytää, että kaikki Adoben käsittelemät henkilötiedot säilytetään Adoben EU/ETA-maiden alueella sijaitsevilla palvelimilla?
Vaikka Adobella on joidenkin tuotteiden ja palvelujen käytettävissä olevia datakeskuksia EU/ETA-alueella, pilvipalvelumme saattavat tiettyjen toimintojen osalta edelleen vaatia tiedonsiirtoa Yhdysvaltoihin. Lisäksi Adoben EU/ETA-maiden ulkopuolella työskentelevä henkilökunta saattaa tarvita EU/ETA-alueella säilytettyjä tietoja tukipalvelujen tarjoamiseen. EU-lakien mukaisesti tiedonsiirtosäännöt tulevat voimaan heti, kun kuka tahansa EU/ETA-alueen ulkopuolella oleva henkilö käyttää EU/ETA-alueella säilytettyjä tietoja. Näin ollen vakiosopimuslausekkeet sisältävä sopimus voi silti olla tarpeellinen, vaikka tietosi säilytettäisiin EU/ETA-alueella.
Mitä jos minulla on lisäkysymyksiä?
Yritysasiakkaat voivat pyytää lisätietoja Adobe-myyntiedustajaltaan.
Adoben Safe Harbor -tietosuojakäytäntö
Viimeisin päivitys tiistai 18. kesäkuuta 2014
Adobe Inc. (Yhdysvalloissa toimiva Adobe-yhtiö) on sertifioitu Yhdysvaltain kauppaministeriön (U.S. Department of Commerce) tekemiin Safe Harbor -sopimuksiin (Yhdysvaltain ja EU:n Safe Harbor -sopimus ja Yhdysvaltain ja Sveitsin Safe Harbor -sopimus), jotka koskevat yhtiön EU:n alueella ja Sveitsissä toimivilta tytäryhtiöiltään, yritysasiakkailtaan ja muilta yhteistyökumppaneiltaan saamiensa henkilötietojen keräämistä, käyttöä ja säilyttämistä. Lue lisää Safe Harbor-ohjelmasta ja katso Adobe Inc.:n sertifikaatti osoitteessa http://www.export.gov/safeharbor.
Tässä Adoben Safe Harbor -tietosuojakäytännössä kuvataan, miten Adobe käsittelee henkilötietoja (1), jotka ovat sen tytäryhtiöiden, yritysasiakkaiden ja muiden Euroopan talousalueella (ETA) tai Sveitsissä sijaitsevien liikekumppanien keräämiä ja jotka siirretään Adobe Inc. -yhtiöön Yhdysvaltoihin, sekä miten Adobe käsittelee henkilötietoja (2), jotka kerätään Adoben isännöimiä palveluja (lisätietoja) käyttäviltä yrityksiltä, jotka toimivat Euroopan talousalueella tai Sveitsissä ja joiden puolesta Yhdysvalloissa sijaitseva Adobe Inc. käsittelee tiedot. Safe Harbor -tietosuojakäytäntö tukee Adoben tietosuojakäytäntöä.
Adoben tytäryhtiöiden, yritysasiakkaiden ja liikakumppanien keräämät tiedot
Henkilötiedot
Adobe Inc. voi saada henkilötietoja Adoben tytäryhtiöiltä (katso luettelo Adobe-yrityksistä ja Adoben hankkimista yhtiöistä), yritysasiakkailta ja muilta ETA:n alueella tai Sveitsissä olevilta liikekumppaneilta. Näitä tietoja voivat olla esimerkiksi nimi, sähköpostiosoite, yrityksen nimi, ammattinimike, postiosoite, puhelinnumero ja käyttäjän Adoben sovelluksia ja verkkosivustoja koskevat mieltymykset. Adobe antaa Adobe Inc. -yhtiölle ja sen tytäryhtiöille sekä niiden edustajille ja liikekumppaneille oikeuden käyttää Adobelle lähetettyjä henkilötietoja tietojen keräyshetkellä kuvailtuihin tarkoituksiin. Jos suostut vastaanottamaan Adobelta sähköposti- tai puhelinmarkkinointia, henkilötietoja voidaan käyttää myös tähän tarkoitukseen Adoben tietosuojakäytännön puitteissa. Jos suunnittelemme henkilötietojen ilmoittamista jollekin muulle kuin tässä mainitulle yritykselle tai jos suunnittelemme tietojen käyttämistä tavalla, joka poikkeaa näistä käyttötarkoituksista, pyydämme tällaiseen käyttöön käyttäjän suostumuksen.
Edustajat ja palveluntarjoajat
Adobe Inc. -yhtiön kanssa toimii useita yrityksiä, jotka toteuttavat Adoben palveluita. Näitä palveluja ovat esimerkiksi asiakastuki, luottokorttimaksujen käsittely ja sähköpostien lähettäminen Adoben puolesta. Voidakseen tarjota Adoben puolesta käyttäjille palveluja nämä yritykset saavat joskus käyttöönsä käyttäjien henkilötietoja. Yrityksillä ei ole lupaa käyttää näitä tietoja omiin tarkoituksiinsa. Adobe Inc. vaatii edustajiaan ja palveluntarjoajiaan, jotka saavat käyttöönsä Adobe Inc.:n saamia henkilötietoja EU:n tai Sveitsin alueelta, sitoutumaan Safe Harbor -tietosuojaperiaatteisiin, EU:n tietosuojadirektiiviin tai muuhun tietosuojan riittäväksi toteavaan menettelyyn tai tekemään kirjallisen sopimuksen, joka edellyttää heiltä vähintään asianmukaisia Safe Harbor -periaatteita vastaavaa tietosuojaa.
Tietosuoja
Adobe Inc. käyttää asianmukaisia fyysisiä, elektronisia ja hallinnollisia menetelmiä suojatakseen käyttäjien henkilötietoja katoamiselta, väärinkäytöltä, luvattomalta käytöltä, paljastumiselta, muuttumiselta tai tuhoutumiselta.
Tietojen oikeellisuus
Adobe Inc. toteuttaa asianmukaiset toimet varmistaakseen, että Adoben käsittelemät henkilötiedot ovat oikeita, täydellisiä ja ajantasaisia käyttämällä uusimpia Adobelle annettuja tietoja.
Henkilötietojen käyttäminen ja päivittäminen
Voit pyytää näyttämään, päivittämään tai poistamaan henkilötietosi.
Tiedot, jotka Adobe käsittelee Adoben isännöimää palvelua käyttävän yhtiön puolesta
Adobe Inc. tarjoaa yrityksille isännöityjä palveluja (lisätietoja). Osana näiden isännöityjen palvelujen tarjoamista Adobe Inc. saattaa vastaanottaa ja käsitellä näiden yritysten asiakkaiden henkilötietoja. Näitä palveluja tarjotessaan Adobe Inc. -yhtiöön viitataan tiedonkäsittelijänä. Tiedonkäsittelijänä Adobe Inc. toimii näiden yritysten ohjeiden mukaisesti ja käyttää asianmukaisia fyysisiä, elektronisia ja hallinnollisia menetelmiä suojatakseen käyttäjien henkilötietoja katoamiselta, väärinkäytöltä, luvattomalta käytöltä, paljastumiselta, muuttumiselta tai tuhoutumiselta. Adoben isännöimiä palveluja käyttävien yritysten vastuulla on noudattaa kaikkia muita vaatimuksia, jotka koskevat käyttäjiltä mahdollisesti kerättyjä henkilötietoja.
Kysymyksiä tai huolenaiheita
Jos olet sitä mieltä, että Adoben toiminta on ristiriidassa Safe Harbor -ohjelman kanssa, ota ensin yhteys Adobeen. Jos valitusta ei voida ratkaista Adoben sisäisen sovitteluprosessin avulla, valituksen voi lähettää JAMS-sovittelutoimistoon, joka käsittelee valituksen JAMSin International Mediation Rules -sovittelusääntöjen mukaisesti (säännöt saatavana osoitteessa www.jamsadr.com.
Muutokset tai päivitykset
Tietoturvakäytäntö voi muuttua Safe Harbor -ohjelman sallimissa rajoissa Lisätietoja.