Tietojen siirrot kolmansiin maihin: suosituksia siirtovälineitä täydentävistä suojatoimista ja luonnokset komission uusista vakiolausekkeista
Euroopan tietosuojaneuvosto on julkaissut suosituksia toimista, joilla täydennetään tietosuoja-asetuksen tiedonsiirtovälineitä. Täydentävillä suojatoimilla varmistetaan, että henkilötietojen suoja on EU:n vaatimuksia vastaavalla tasolla, kun tietoja siirretään kolmansiin maihin. Lisäksi Euroopan komissio on julkaissut luonnokset päivitetyistä vakiolausekkeista tietojen siirroille kolmansiin maihin. Suosituksista ja vakiolausekkeista voi antaa palautetta tietosuojaneuvoston ja komission verkkosivuilla.
Euroopan tietosuojaneuvoston suosituksia täydentävistä suojatoimista sovelletaan välittömästi
Euroopan tietosuojaneuvoston suositukset julkaistiin jatkotoimena EU-tuomioistuimen Schrems II -tuomiolle. Heinäkuussa annetun tuomion seurauksena rekisterinpitäjien on tarkistettava tapauskohtaisesti, taataanko siirrettäville tiedoille kolmannen maan lainsäädännössä sellainen henkilötietojen suojan taso, joka vastaa olennaisilta osin Euroopan talousalueen tasoa. Jos vakiolausekkeisiin tai muihin siirtovälineisiin sisältyvät suojatoimet eivät ole riittäviä, niitä voidaan täydentää täydentävillä suojatoimilla.
Tietosuojaneuvoston suositukset auttavat rekisterinpitäjiä ja henkilötietojen käsittelijöitä toteuttamaan asianmukaisia täydentäviä suojatoimia tarvittaessa. Toimilla voidaan varmistaa henkilötietojen riittävä suoja ja mahdollistaa tietojen siirrot kolmansiin maihin. Tietosuojaneuvoston tavoitteena on, että yleistä tietosuoja-asetusta ja tuomioistuimen päätöstä sovellettaisiin johdonmukaisesti koko ETA-alueella.
Suosituksiin sisältyy etenemissuunnitelma tietojen viejien selvitystyötä varten sekä esimerkkiluettelo täydentävistä suojatoimista. Tietojen viejät ovat kuitenkin vastuussa konkreettisen arvioinnin tekemisestä. Arvioinnissa on huomioitava siirron kokonaistilanne, kolmannen maan lainsäädäntö ja siirtoväline. Arvioinnissa on oltava huolellinen, ja prosessi on dokumentoitava perusteellisesti.
On myös huomioitava, että kaikissa tapauksissa ei ehkä ole mahdollista toteuttaa riittäviä täydentäviä suojatoimia. Silloin tietojen siirtoa kolmanteen maahan ei voida aloittaa tai tietojen siirto kolmanteen maahan on keskeytettävä.
Täydentäviä suojatoimia koskevista suosituksista järjestetään julkinen kuuleminen. Suojatoimia voi kommentoida Euroopan tietosuojaneuvoston verkkosivuilla 30. marraskuuta asti. Suosituksia sovelletaan kuitenkin välittömästi.
Suositukset ja julkinen kuuleminen Euroopan tietosuojaneuvoston verkkosivuilla: Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data
Suosituksia myös valvontatoimien eurooppalaisista olennaista takeista
Euroopan tietosuojaneuvosto antoi lisäksi suosituksia valvontatoimien olennaisista eurooppalaisista takeista (European Essential Guarantees). Nämä suositukset täydentävät Schrems II -tuomiosta seuranneita tietosuojaneuvoston suosituksia suojatoimista. Olennaisia takeita koskevat suositukset auttavat arvioimaan, voidaanko kolmannen maan viranomaisten pääsyä tietoihin ja puuttumista yksityisyyden suojaa ja henkilötietojen suojaa koskeviin oikeuksiin valvontatarkoituksissa pitää oikeutettuna.
Euroopan tietosuojaneuvoston puheenjohtaja Andrea Jelinek on todennut, että Schrems II -tuomion vaikutukset ulottuvat kaikkiin kolmansiin maihin tehtäviin siirtoihin. Jelinekin mukaan ei ole olemassa nopeita ratkaisuja tai yhtä kaikille sopivaa ratkaisua, koska tietojen viejien tilanteet ovat moninaisia. Tietojen viejien on arvioitava tietojenkäsittelytoimensa ja -siirtonsa sekä toteutettava tarvittavia tehokkaita täydentäviä suojatoimia. Arviossa on huomioitava myös kolmannen maan oikeusjärjestys.
Suositukset eurooppalaisista olennaisista takeista Euroopan tietosuojaneuvoston verkkosivuilla: Recommendations 02/2020 on the European Essential Guarantees for surveillance measures
Luonnokset komission uusista vakiolausekkeista kommentoitavina
Euroopan komissio on julkaissut luonnokset uusista vakiolausekkeista koskien sekä kolmansiin maihin tapahtuvia siirtoja että rekisterinpitäjän ja henkilötietojen käsittelijän välistä käsittelijäsopimusta.
Euroopan komission vakiolausekkeet (standard contractual clauses, SCC) ovat siirtovälineitä, joissa määritellään tietojen viejän ja tietojen tuojan velvollisuudet henkilötietojen suojaamiseksi. Kaikki siirtovälineet määritellään yleisen tietosuoja-asetuksen V luvussa.
Komissio on julkaissut luonnokset uusista vakiolausekkeista verkkosivuillaan, ja luonnoksia voi kommentoida 10. joulukuuta asti.
Vakiolausekkeiden luonnokset Euroopan komission verkkosivuilla:
- Vakiolausekkeet siirroista kolmansiin maihin (artikla 46): Commission Implementing Decision on standard contractual clauses for the transfer of personal data to third countries
- Vakiolausekkeet koskien käsittelijäsopimusta (artikla 28): Commission Implementing Decision on standard contractual clauses between controllers and processors located in the EU
Lisätietoja:
Euroopan tietosuojaneuvoston tiedote tietosuojaneuvoston verkkosivuilla: European Data Protection Board - 41st Plenary session: EDPB adopts recommendations on supplementary measures following Schrems II
Päivitetty 24.11.2020 klo 15.04: Tiedotteeseen lisättiin täsmennyksiä siitä, että Euroopan komissio julkaisi kansainvälisiä siirtoja koskevien vakiolausekkeiden kanssa samanaikaisesti vakiolausekkeet käsittelijäsopimuksesta rekisterinpitäjän ja henkilötietojen käsittelijän välillä.