Tietosuojavaltuutetun toimisto tehostaa ETA-maiden ulkopuolelle tehtävien henkilötietojen siirtojen valvontaa
Henkilötietojen siirtoja koskevaa ohjeistusta on täsmennetty ja päivitetty kuluvan vuoden aikana. Erityisesti EU-tuomioistuimen heinäkuussa 2020 antama niin kutsuttu Schrems II -ratkaisu (C-311/18) täsmensi vaatimuksia, joilla henkilötietoja voidaan laillisesti siirtää ETA-maasta kolmanteen maahan tai kansainväliseen organisaatioon. Lainsäädäntökehyksen vakiintumisen ja viranomaisohjeistuksen vahvistamisen myötä henkilötietojen siirtojen valvontaa tullaan lisäämään myös tietosuojavaltuutetun toiminnassa.
Schrems II -ratkaisun myötä tietosuojaviranomaisten vastuu kansainvälisten tiedonsiirtojen valvonnasta korostuu.
Myös tietoja siirtävien rekisterinpitäjien ja henkilötietojen käsittelijöiden henkilötietojen siirtoja koskevat velvollisuudet ovat täsmentyneet. Tietojen viejien on Schrems II -ratkaisussa vahvistettujen velvoitteiden mukaisesti tarkistettava tapauskohtaisesti, taataanko siirrettäville henkilötiedoille EU:n vaatimuksia vastaava tietosuojan taso sekä arvioitava tarve täydentävien suojatoimien käytölle. Täydentävien suojatoimien tarve on arvioitava esimerkiksi silloin, kun tietoja siirretään komission hyväksymien vakiolausekkeiden avulla.
Kesäkuun lopussa Euroopan tietosuojaneuvosto julkaisi lopullisen version siirtovälineitä täydentäviä suojatoimia koskevista suosituksista. Suositukset auttavat rekisterinpitäjiä ja henkilötietojen käsittelijöitä valitsemaan erilaisiin tilanteisiin sopivat suojatoimet. Suositukset on julkaistu tietosuojaneuvoston verkkosivuilla:
Myös eurooppalaisia olennaisia takeita päivitettiin Schrems II -tuomion mukaisiksi. Olennaiset takeet ovat suosituksia, jotka tietosuojaneuvosto on laatinut auttamaan sen arvioinnissa, onko kolmannessa maassa tapahtuva tiedustelutoiminta yhteensopivaa tietosuojan ja yksityisyyden suojan näkökulmasta.
• Suositukset 2/2020 tiedustelua koskevista eurooppalaisista olennaisista takeista (pdf)
Uudistuksia siirtovälineissä
Euroopan komissio hyväksyi päivitetyt vakiolausekkeet henkilötietojen siirroille kolmansiin maihin kesäkuussa. Päivitettyjen vakiolausekkeiden käyttöönotolle on säädetty siirtymäaika, joka päättyy 27. joulukuuta 2022. Tiedonsiirtoja kolmansiin maihin koskevat vakiolausekkeet komission verkkosivuilla englanniksi:
• Standard contractual clauses for international transfers
Lisäksi Euroopan komissio teki kesäkuussa kaksi Britannian tietosuojan riittävyyttä koskevaa päätöstä, joiden perusteella henkilötietojen siirrot ETA-maiden ja Britannian välillä voivat jatkua brexitin jälkeisen siirtymäajan päätyttyä. Päätökset astuivat voimaan 28. kesäkuuta. Vastaavuuspäätökset komission verkkosivuilla englanniksi:
• Ison-Britannian tietosuojan riittävyyttä koskeva päätös yleisen tietosuoja-asetuksen nojalla
• Ison-Britannian tietosuojan riittävyyttä koskeva päätös rikosasioiden tietosuojadirektiivin nojalla
Myös ohjeistusta viranomaisten ja julkishallinnon organisaatioiden välisistä henkilötietojen siirroista kolmansiin maihin on täsmennetty. Tietosuojaneuvoston ohjeistus on saatavilla neuvoston verkkosivuilla:
Lisätietoja:
Apulaistietosuojavaltuutettu Heljä-Tuulia Pihamaa, helja-tuulia.pihamaa(at)om.fi, puh. 029 566 6787
Lue lisää verkkosivuiltamme:
Henkilötietojen siirrot Euroopan talousalueen ulkopuolelle
Tiedonsiirtovälineitä täydentävät suojatoimet
Komission hyväksymät vakiolausekkeet
Brexit ja henkilötietojen siirrot Isoon-Britanniaan
Viranomaisten ja julkishallinnon siirtoperusteet
Lisätietoa Euroopan tietosuojaneuvoston verkkosivuilla:
Euroopan tietosuojaneuvoston vastauksia yleisimpiin kysymyksiin Schrems II -tuomiosta (pdf)