Tiedonsiirtovälineitä täydentävät suojatoimet

Henkilötietojen suojan on oltava EU:n vaatimuksia vastaavalla tasolla, kun tietoja siirretään Euroopan talousalueen ulkopuolelle kolmansiin maihin ja kansainvälisiin organisaatioihin. Ennen kuin henkilötietoja voidaan siirtää ETA-alueen ulkopuolelle, on rekisterinpitäjän tai henkilötietojen käsittelijän varmistettava, että siirrettäville henkilötiedoille taataan riittävä tietosuojan taso. Jos käytettävä siirtoperuste ei takaa sellaisenaan riittävää suojaa, sitä voidaan tietyissä tilanteissa täydentää erilaisilla teknisillä, organisatorisilla tai sopimuspohjaisilla lisäsuojatoimilla.

Tietoja siirtävien rekisterinpitäjien ja henkilötietojen käsittelijöiden on tarkistettava tapauskohtaisesti, taataanko siirrettäville henkilötiedoille kolmannen maan lainsäädännössä sellainen henkilötietojen suojan taso, joka vastaa olennaisilta osin Euroopan talousalueen tasoa. Arvioinnissa on otettava huomioon siirron tapauskohtaiset olosuhteet, kyseessä olevan kolmannen maan lainsäädäntö sekä käytössä oleva siirtoperuste. Tietojen viejät ovat vastuussa konkreettisen arvioinnin tekemisestä. Arviointi on myös dokumentoitava huolellisesti.

Jos käytettyyn siirtoperusteeseen sisältyvät suojatoimet eivät ole sellaisenaan riittäviä, niitä voidaan tietyissä tilanteissa täydentää teknisillä, organisatorisilla tai sopimuspohjaisilla suojatoimilla. Kaikissa tapauksissa riittäviä täydentäviä suojatoimia ei välttämättä ole mahdollista toteuttaa. Silloin tietojen siirtoa kolmanteen maahan ei voida aloittaa tai tietojen siirto on keskeytettävä.

Euroopan tietosuojaneuvosto on julkaissut verkkosivuillaan suosituksia, jotka auttavat rekisterinpitäjiä ja henkilötietojen käsittelijöitä arvioimaan asianmukaisten täydentävien suojatoimien tarvetta ja valitsemaan tilanteeseen soveltuvat suojatoimet.

• Suositukset 1/2020 toimenpiteistä, joilla täydennetään tiedonsiirtovälineitä EU:ssa henkilötiedoille taatun suojan tason noudattamiseksi (englanniksi, pdf)

Eurooppalaiset olennaiset takeet

Eurooppalaiset olennaiset takeet ovat suosituksia, jotka Euroopan tietosuojaneuvosto on laatinut sen arvioimiseksi, onko kolmannessa maassa tapahtuva tiedustelutoiminta yhteensopivaa tietosuojan ja yksityisyyden suojan näkökulmasta. Tiedustelutoiminta voi olla joko kansallisten tiedusteluviranomaisten tai lainvalvontaviranomaisten harjoittamaa. Takeet pohjautuvat EU-tuomioistuimen ja Euroopan ihmisoikeustuomioistuimen ratkaisukäytäntöön.

Olennaisia takeita päivitettiin EU-tuomioistuimen Schrems II -tuomion myötä. Olennaisia takeita on yhteensä neljä ja ne muodostuvat seuraavista tekijöistä:

• Henkilötietojen käsittelyn on pohjauduttava selkeään, täsmälliseen ja saatavilla olevaan sääntelyyn
• Käsittelylle tulee olla oikeutettu tavoite, joka on oikeasuhtainen ja tarpeellinen
• Käsittelyllä tulee olla tehokas, itsenäinen ja puolueeton valvontamekanismi,
• Yksilöillä tulee olla asianmukaiset oikeussuojakeinot

Tietosuojaneuvosto on julkaissut verkkosivuillaan olennaisia takeita koskevan ohjeistuksen:

• Suositukset 2/2020 tiedustelua koskevista eurooppalaisista olennaisista takeista (pdf)

Tietosuojaneuvosto on tilannut tutkimuksen, jossa on kartoitettu tiettyjen maiden tiedustelulainsäädäntöä. Tutkimuksessa esitetyt näkemykset ovat kirjoittajien omia, eivätkä välttämättä edusta tietosuojaneuvoston tai tietosuojavaltuutetun toimiston kantaa. Tietosuojaneuvosto ei vastaa tutkimuksessa esitettyjen tietojen oikeellisuudesta.

Tutkimus Euroopan tietosuojaneuvoston verkkosivuilla englanniksi: Legal study on Government access to data in third countries

Schrems II -tuomio täsmensi tiedonsiirtojen edellytyksiä

EU-tuomioistuimen niin sanotulla Schrems II -tuomiolla (C-311/18) on merkittäviä vaikutuksia ETA-alueen ulkopuolelle tehtäviin henkilötietojen siirtoihin. Heinäkuussa 2020 annetussa tuomiossa täsmennettiin kansainvälisten henkilötietojen siirtojen edellytyksiä, joiden on täytyttävä, jotta henkilötietoja voidaan laillisesti siirtää Euroopan talousalueelta kolmanteen maahan tai kansainväliseen organisaatioon.

Schrems II -ratkaisussa tuomioistuin otti kantaa esimerkiksi komission vahvistamien vakiolausekkeiden käyttöön tiedonsiirron perusteena. Tuomiossa korostetaan, että rekisterinpitäjien ja henkilötietojen käsittelijöiden on arvioitava tarvetta vakiolausekkeita ja muita tiedonsiirtoperusteita täydentäville suojatoimenpiteille varmistaakseen, että EU:n vaatimuksia vastaavaa tietosuojan tasoa noudatetaan.

Euroopan tietosuojaneuvoston tavoitteena on, että yleistä tietosuoja-asetusta ja tuomioistuimen päätöstä sovelletaan johdonmukaisesti koko ETA-alueella. Tietosuojaneuvoston julkaisemissa vastauksissa yleisimpiin kysymyksiin Schrems II -tuomiosta kerrotaan, mitä rekisterinpitäjien ja henkilötietojen käsittelijöiden tulee ottaa huomioon tietoja siirtäessään.

Euroopan tietosuojaneuvoston vastauksia yleisimpiin kysymyksiin Schrems II -tuomiosta (pdf)