Tietojen siirrot kolmansiin maihin: suosituksia siirtovälineitä täydentävistä suojatoimista ja luonnokset komission uusista vakiolausekkeista

17.11.2020 17.00
Tiedote

Euroopan tietosuojaneuvosto on julkaissut suosituksia toimista, joilla täydennetään tietosuoja-asetuksen tiedonsiirtovälineitä. Täydentävillä suojatoimilla varmistetaan, että henkilötietojen suoja on EU:n vaatimuksia vastaavalla tasolla, kun tietoja siirretään kolmansiin maihin. Lisäksi Euroopan komissio on julkaissut luonnokset päivitetyistä vakiolausekkeista tietojen siirroille kolmansiin maihin. Suosituksista ja vakiolausekkeista voi antaa palautetta tietosuojaneuvoston ja komission verkkosivuilla.

Euroopan tietosuojaneuvoston suosituksia täydentävistä suojatoimista sovelletaan välittömästi

Euroopan tietosuojaneuvoston suositukset julkaistiin jatkotoimena EU-tuomioistuimen Schrems II -tuomiolle. Heinäkuussa annetun tuomion seurauksena rekisterinpitäjien on tarkistettava tapauskohtaisesti, taataanko siirrettäville tiedoille kolmannen maan lainsäädännössä sellainen henkilötietojen suojan taso, joka vastaa olennaisilta osin Euroopan talousalueen tasoa. Jos vakiolausekkeisiin tai muihin siirtovälineisiin sisältyvät suojatoimet eivät ole riittäviä, niitä voidaan täydentää täydentävillä suojatoimilla.

Tietosuojaneuvoston suositukset auttavat rekisterinpitäjiä ja henkilötietojen käsittelijöitä toteuttamaan asianmukaisia täydentäviä suojatoimia tarvittaessa. Toimilla voidaan varmistaa henkilötietojen riittävä suoja ja mahdollistaa tietojen siirrot kolmansiin maihin. Tietosuojaneuvoston tavoitteena on, että yleistä tietosuoja-asetusta ja tuomioistuimen päätöstä sovellettaisiin johdonmukaisesti koko ETA-alueella.

Suosituksiin sisältyy etenemissuunnitelma tietojen viejien selvitystyötä varten sekä esimerkkiluettelo täydentävistä suojatoimista. Tietojen viejät ovat kuitenkin vastuussa konkreettisen arvioinnin tekemisestä. Arvioinnissa on huomioitava siirron kokonaistilanne, kolmannen maan lainsäädäntö ja siirtoväline. Arvioinnissa on oltava huolellinen, ja prosessi on dokumentoitava perusteellisesti.

On myös huomioitava, että kaikissa tapauksissa ei ehkä ole mahdollista toteuttaa riittäviä täydentäviä suojatoimia. Silloin tietojen siirtoa kolmanteen maahan ei voida aloittaa tai tietojen siirto kolmanteen maahan on keskeytettävä.

Täydentäviä suojatoimia koskevista suosituksista järjestetään julkinen kuuleminen. Suojatoimia voi kommentoida Euroopan tietosuojaneuvoston verkkosivuilla 30. marraskuuta asti. Suosituksia sovelletaan kuitenkin välittömästi.

Suositukset ja julkinen kuuleminen Euroopan tietosuojaneuvoston verkkosivuilla: Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data

Suosituksia myös valvontatoimien eurooppalaisista olennaista takeista

Euroopan tietosuojaneuvosto antoi lisäksi suosituksia valvontatoimien olennaisista eurooppalaisista takeista (European Essential Guarantees). Nämä suositukset täydentävät Schrems II -tuomiosta seuranneita tietosuojaneuvoston suosituksia suojatoimista. Olennaisia takeita koskevat suositukset auttavat arvioimaan, voidaanko kolmannen maan viranomaisten pääsyä tietoihin ja puuttumista yksityisyyden suojaa ja henkilötietojen suojaa koskeviin oikeuksiin valvontatarkoituksissa pitää oikeutettuna.

Euroopan tietosuojaneuvoston puheenjohtaja Andrea Jelinek on todennut, että Schrems II -tuomion vaikutukset ulottuvat kaikkiin kolmansiin maihin tehtäviin siirtoihin. Jelinekin mukaan ei ole olemassa nopeita ratkaisuja tai yhtä kaikille sopivaa ratkaisua, koska tietojen viejien tilanteet ovat moninaisia. Tietojen viejien on arvioitava tietojenkäsittelytoimensa ja -siirtonsa sekä toteutettava tarvittavia tehokkaita täydentäviä suojatoimia. Arviossa on huomioitava myös kolmannen maan oikeusjärjestys.

Suositukset eurooppalaisista olennaisista takeista Euroopan tietosuojaneuvoston verkkosivuilla: Recommendations 02/2020 on the European Essential Guarantees for surveillance measures

Luonnokset komission uusista vakiolausekkeista kommentoitavina

Euroopan komissio on julkaissut luonnokset uusista vakiolausekkeista koskien sekä kolmansiin maihin tapahtuvia siirtoja että rekisterinpitäjän ja henkilötietojen käsittelijän välistä käsittelijäsopimusta.

Euroopan komission vakiolausekkeet (standard contractual clauses, SCC) ovat siirtovälineitä, joissa määritellään tietojen viejän ja tietojen tuojan velvollisuudet henkilötietojen suojaamiseksi. Kaikki siirtovälineet määritellään yleisen tietosuoja-asetuksen V luvussa. 

Komissio on julkaissut luonnokset uusista vakiolausekkeista verkkosivuillaan, ja luonnoksia voi kommentoida 10. joulukuuta asti.

Vakiolausekkeiden luonnokset Euroopan komission verkkosivuilla:

Lisätietoja:

Euroopan tietosuojaneuvoston tiedote tietosuojaneuvoston verkkosivuilla: European Data Protection Board - 41st Plenary session: EDPB adopts recommendations on supplementary measures following Schrems II

Päivitetty 24.11.2020 klo 15.04: Tiedotteeseen lisättiin täsmennyksiä siitä, että Euroopan komissio julkaisi kansainvälisiä siirtoja koskevien vakiolausekkeiden kanssa samanaikaisesti vakiolausekkeet käsittelijäsopimuksesta rekisterinpitäjän ja henkilötietojen käsittelijän välillä.