Tietosuojavaltuutettu vahvisti Nokian BCR-säännöt kansainvälisiin tiedonsiirtoihin
Tietosuojavaltuutettu on hyväksynyt kaksi Nokian hakemusta yritystä koskevista sitovista säännöistä (ns. BCR-säännöt, engl. Binding Corporate Rules). BCR-säännöt tarkoittavat yhteisiä, oikeudellisesti sitovia sääntöjä henkilötietojen siirtoon konsernin sisällä. Niiden nojalla samaan konserniin kuuluvat yhtiöt voivat siirtää henkilötietoja keskenään EU- ja ETA-maiden ulkopuolelle.
Nokian BCR-säännöt käsiteltiin yhteistyössä muiden EU-maiden tietosuojaviranomaisten kanssa, ja Euroopan tietosuojaneuvosto antoi säännöistä puoltavan lausunnon 8. huhtikuuta pidetyssä täysistunnossa. Tämän jälkeen tietosuojavaltuutettu vahvisti säännöt kansallisilla päätöksillään. Kyseessä ovat ensimmäiset Suomessa hyväksytyt BCR-säännöt.
Nokian hakemukset koskivat kahta sääntökokonaisuutta, joista toinen soveltuu tilanteisiin, joissa Nokia toimii rekisterinpitäjänä ja siirtää henkilötietoja konsernin sisällä EU:n ja ETA:n ulkopuolelle. Toinen sääntökokonaisuus soveltuu silloin, kun Nokia toimii kolmannessa maassa henkilötietojen käsittelijänä EU- ja ETA-alueella sijaitsevan rekisterinpitäjän lukuun.
Tietosuojavaltuutetun päätöksissä vahvistetaan muun muassa Nokian BCR-sääntöjen oikeudellinen sitovuus, tietosuojaperiaatteiden soveltaminen, sääntöjä koskeva tarkastusohjelma, valitusmenettelyt sekä asianmukainen tietosuojakoulutus henkilöstölle.
BCR-säännöt turvaavat tietosuojavaatimukset kansainvälisissä tiedonsiirroissa
BCR-säännöt ovat yksi yleisessä tietosuoja-asetuksessa säädetyistä tavoista toteuttaa kansainvälisiä henkilötietojen siirtoja. Ne soveltuvat erityisesti monikansallisille yrityksille, jotka siirtävät henkilötietoja säännönmukaisesti EU- ja ETA-maiden ulkopuolelle. BCR-sääntöjen avulla taataan, että konsernin tietosuojakäytännöt ovat yhtenäisiä ja tietosuoja-asetuksen periaatteiden mukaisia. Yhtenäisten sääntöjen ansiosta konsernin ei tarvitse laatia erillisiä tiedonsiirtosopimuksia yritysryhmän sisällä.
BCR-säännöistä huolimatta tietoja siirtävän yrityksen on aina varmistettava, että jokainen siirto on turvallinen ja täyttää tietosuojalainsäädännön vaatimukset. Yrityksen on myös arvioitava tapauskohtaisesti, onko sen otettava käyttöön täydentäviä suojatoimia riittävän tietosuojan tason turvaamiseksi.
Konsernin tulee vuosittain toimittaa tietosuojavaltuutetulle tieto BCR-sääntöihin tehdyistä muutoksista. Raportti on toimitettava myös, vaikka sääntöihin ei tehtäisi muutoksia.
Lisätietoja:
Tietosuojavaltuutetun päätökset Finlexissä:
Tietoa yritystä koskevista sitovista säännöistä verkkosivuillamme