Siirto tietosuojan riittävyyttä koskevan päätöksen perusteella

Henkilötietoja voidaan siirtää Euroopan unionin ja Euroopan talousalueen ulkopuolelle, jos Euroopan komissio on antanut päätöksen henkilötietojen suojan riittävyydestä (nk. vastaavuuspäätös, tietosuoja-asetuksen 45 artikla). Komission antama päätös on ensisijainen suhteessa muihin siirtoperusteisiin. Päätös voi koskea tiettyä Euroopan unionin ja Euroopan talousalueen ulkopuolista maata tai maan aluetta, tiettyä sektoria tai kansainvälistä järjestöä.

Henkilötietoja voi siirtää suoraan vastaavuuspäätöksen perusteella eikä esimerkiksi erillistä lupaa tietosuojavaltuutetulta tarvita. Tietosuojalainsäädäntöä on näissäkin tilanteissa noudatettava kokonaisuudessaan. Henkilötietojen käsittelyn on oltava lainmukaista ennen siirtoa, siirron aikana ja sen jälkeen.

Komissio tarkastelee päätöksiä uudelleen vähintään neljän vuoden välein. Päätökset, jotka komissio on tehnyt ennen kuin tietosuoja-asetusta ryhdyttiin soveltamaan, ovat lähtökohtaisesti voimassa myös asetuksen soveltamisen alettua. Komissio voi kuitenkin tarkastella niitä uudelleen ja tehdä tarvittaessa uuden päätöksen.

Komission tähän mennessä antamat vastaavuuspäätökset koskevat seuraavia maita:
Andorra, Argentiina, Färsaaret, Guernsey, Israel, Mansaari, Japani, Jersey, Uusi-Seelanti, Sveitsi ja Uruguay.

Lisäksi komissio on antanut osittaiset vastaavuuspäätökset koskien Kanadaa (kaupalliset organisaatiot) ja Yhdysvaltoja (Privacy Shield -järjestely).

Ajantasainen lista vastaavuuspäätöksistä ja muita ajankohtaisia tietoja komission verkkosivuilla

Privacy Shield

Henkilötietoja on mahdollista siirtää Yhdysvaltoihin vuodesta 2016 käytössä olleen Privacy Shield -järjestelyn avulla. Järjestelyllä asetetaan yhdysvaltalaisille yrityksille henkilötietojen suojaa koskevia velvoitteita ja turvataan rekisteröidyn oikeuksia. Järjestelyyn sisältyy rekisteröityjen mahdollisuus valittaa henkilötietojensa käsittelystä.

Järjestelyn käyttäminen tiedonsiirtomekanismina edellyttää, että henkilötietoja vastaanottava yritys on ilmoittautunut eli sertifioitunut Privacy Shield -yritykseksi. Federal Trade Commission (FTC) valvoo, että yritykset täyttävät Privacy Shield -järjestelyn edellytykset. Jotta yritykset voivat ilmoittautua järjestelyyn, niiden tietosuojaperiaatteiden on oltava Privacy Shield -järjestelyn mukaisia.

Jos haluat siirtää tietoja Privacy Shieldin avulla

  1. Tarkista Privacy Shield -luettelosta, osallistuuko yhdysvaltalainen yritys järjestelyyn. Tarkista myös, että sertifiointi on aktiivinen, sillä se täytyy uusia vuosittain.
  2. Varmista, että järjestely kattaa kyseessä olevat käsittelytoimet.

Huomioithan, että siirtäessäsi tietoja sinun on lisäksi noudatettava tietosuoja-asetusta kokonaisuudessaan.

Jos yhdysvaltalaisen yrityksen osallistuminen ei ole enää voimassa, sille ei voi siirtää uusia tietoja Privacy Shield -järjestelyn perusteella. Yrityksen on kuitenkin suojattava aiemmin järjestelyn nojalla siirrettyjä tietoja Privacy Shieldin takaaman suojan mukaisesti.

Vaikka henkilötietoja ei voisi siirtää Privacy Shield -järjestelyn perusteella, on mahdollista käyttää muita tietosuoja-asetuksen V luvun mukaisia siirtomekanismeja.

Lisätietoa Privacy Shield -järjestelystä Euroopan komission verkkosivuilla