Henkilötietojen siirrot Euroopan talousalueen ulkopuolelle

Henkilötietojen siirto Euroopan talousalueen ulkopuolelle edellyttää muiden tietosuojalainsäädännön vaatimusten noudattamisen lisäksi erityistä siirtoperustetta. Tällä sivulla kerrotaan siirtojen edellytyksistä tilanteissa, joissa henkilötietojen käsittelyyn sovelletaan tietosuoja-asetusta.

EU:n yleistä tietosuoja-asetusta sovelletaan Euroopan talousalueella, johon kuuluvat EU-maiden lisäksi Islanti, Liechtenstein ja Norja. Yhteisen tietosuojalainsäädännön keskeisenä tavoitteena on taata henkilötietojen vapaa liikkuvuus Euroopan talousalueella. Siksi henkilötietoja saa siirtää Euroopan talousalueeseen kuuluvaan maahan samoilla perusteilla kuin Suomen sisällä.

Kun henkilötietoja siirretään EU:n ja ETA-alueen ulkopuolelle kolmansiin maihin tai kansainvälisille järjestölle, tietosuojan taso ei välttämättä vastaa EU:n yleisen tietosuoja-asetuksen tasoa. Tästä voi aiheutua riskejä henkilöille, joiden tietoja siirretään. Siksi tietosuoja-asetuksessa määritellään edellytyksiä, joilla henkilötietoja voidaan siirtää ETA-alueen ulkopuolelle.

Lisätietoa henkilötietojen käsittelystä, johon sovelletaan tietosuoja-asetusta

Edellytykset henkilötietojen siirrolle ETA:n ulkopuolelle

1. Henkilötietojen käsittelyn on oltava sallittua kyseisessä tilanteessa.

2. Henkilötietojen siirroille on lisäksi oltava tietosuoja-asetuksen V luvussa määritelty siirtoperuste. Siirtoperusteen tehokkuus ja täydentävien suojatoimien tarve on arvioitava tapauskohtaisesti.

Molempien edellytysten on täytyttävä, jotta henkilötietoja on mahdollista siirtää.

Tietosuoja-asetuksen V luku EUR-Lexissä

Henkilötietojen siirtoperusteet

Henkilötietojen siirtoperusteet määritellään tietosuoja-asetuksen V luvussa. Siirtoperusteet ovat toisilleen vaihtoehtoisia, joten riittää, että yhden siirtoperusteen edellytykset täyttyvät. Jos minkään siirtoperusteen edellytykset eivät täyty, henkilötietoja ei voida siirtää ETA-alueen ulkopuolelle. Jokaista siirtoperustetta koskevat omat kriteerinsä. Siirtoperusteita sovelletaan sekä rekisterinpitäjään että henkilötietojen käsittelijään.

Komission päätös riittävästä tietosuojan tasosta (45 artikla)
Komission hyväksymät vakiolausekkeet (artikla 46:2(c) ja artikla 46:2(d))
Yritystä koskevat sitovat säännöt (47 artikla)
Hyväksytyt käytännesäännöt (40 artikla ja artikla 46:2(e)) tai hyväksytty sertifiointimekanismi (42 artikla ja artikla 46:2(f)) yhdessä sitovien ja täytäntöönpanokelpoisten sitoumusten kanssa
Viranomaisten tai julkisten elinten välinen oikeudellisesti sitova ja täytäntöönpanokelpoinen väline (artikla 46:2(a))
Tietosuojaviranomaisen luvanvaraiset sopimuslausekkeet (artikla 46:3(a))*
Viranomaisten tai julkisten elinten välisiin hallinnollisiin järjestelyihin sisältyvät säännökset (artikla 46:3(b))*
Erityistilanteita koskevat poikkeukset (49 artikla)

*Tietosuojaviranomaisen erillistä lupaa siirtoperusteen käyttöön edellytetään silloin, kun kyseessä ovat

rekisterinpitäjän tai henkilötietojen käsittelijän ja kolmannen maan tai kansainvälisen organisaation rekisterinpitäjän, henkilötietojen käsittelijän tai vastaanottajan väliset sopimuslausekkeet tai
säännökset, jotka sisällytetään viranomaisten tai julkisten elinten välisiin hallinnollisiin järjestelyihin ja joihin sisältyy rekisteröityjen täytäntöönpanokelpoisia ja tehokkaita oikeuksia.

Henkilötietojen siirtoperusteita koskee etusijajärjestys. Euroopan komission antama tietosuojan riittävyyttä koskeva päätös (nk. vastaavuuspäätös) on ensisijainen siirtoperuste. Jos komissio on päättänyt, että kyseinen kolmas maa, alue, sektori tai kansainvälinen järjestö varmistaa riittävän tietosuojan tason, henkilötietoja voi siirtää suoraan vastaavuuspäätöksen perusteella.

Jos vastaavuuspäätöstä ei ole, on selvitettävä, voidaanko henkilötietoja siirtää muilla siirtoperusteilla, kuten vakiolausekkeilla tai yrityksiä koskevien sitovien sääntöjen perusteella.

Jos henkilötietoja ei voida siirtää komission vastaavuuspäätöksellä tai käyttämällä muita siirtoperusteita, voidaan vielä selvittää, onko henkilötietoja mahdollista siirtää erityistilanteita koskevan poikkeuksen perusteella.

Tiedonsiirroissa on varmistettava EU:n vaatimuksia vastaava tietosuojan taso

Rekisterinpitäjän on varmistettava, ettei tietosuoja-asetuksen takaamaa henkilötietojen suojan tasoa vaaranneta, kun tietoja siirretään Euroopan talousalueen ulkopuolelle. Rekisterinpitäjän on myös huolehdittava siitä, että tietojen vastaanottajalla on oikeus siirrettävien henkilötietojen käsittelyyn.

Kun kansainväliset henkilötietojen siirrot ja niihin käytettävä siirtoperuste on määritelty, tietoja siirtävien rekisterinpitäjien ja henkilötietojen käsittelijöiden on tarkistettava tapauskohtaisesti, taataanko siirrettäville henkilötiedoille kolmannen maan lainsäädännössä ja/tai käytännöissä sellainen henkilötietojen suojan taso, joka vastaa olennaisilta osin ETA-alueen tasoa.

Jos käytetty siirtoperuste ei riitä takaamaan EU:n vaatimuksia vastaavaa tietosuojan tasoa, sitä voidaan tietyissä tilanteissa täydentää erilaisilla täydentävillä suojatoimilla. Jos myöskään soveltuvia täydentäviä suojatoimia löydy riittävän tietosuojan takaamiseksi, ei siirtoa voi tehdä.

Säännösten sovellettavuuteen ei vaikuta esimerkiksi siirrettävien tietojen määrä, siirron kesto tai se, siirretäänkö tiedot yhdellä kertaa vai pitkän aikavälin kuluessa. Säännöksiä sovelletaan myös silloin, kun henkilötietoja siirretään edelleen toiseen kolmanteen maahan tai toiselle kansainväliselle järjestölle.

Sisäisen turvallisuuden viranomaisten suorittamat henkilötietojen siirrot

Henkilötietojen siirtoja kolmansiin maihin tai kansainvälisille organisaatoille voi tapahtua myös toimivaltaisten sisäisen turvallisuuden viranomaisten, esimerkiksi Puolustusvoimien, poliisin, tuomioistuimen, Tullin, Rajavartiolaitoksen ja Rikosseuraamuslaitoksen suorittaessa rikosasioiden tietosuojalain (Finlex) mukaisia tehtäviä. Näihin siirtoihin sovelletaan rikosasioiden tietosuojalain 7 luvun säännöksiä.

Mikä siirtoperuste sopii henkilötietojen siirrolle?

Henkilötietojen käsittelyssä ja siirrossa on noudatettava tietosuojalainsäädäntöä. Jos siirrät henkilötietoja Euroopan talousalueen sisällä, voit tehdä siirron samoilla edellytyksillä kuin Suomen sisällä. Tällöin et tarvitse tietosuoja-asetuksen V luvussa mainittua siirtoperustetta.

Jos siirrät henkilötietoja ETA:n ulkopuolelle, siirrolle on oltava yleisen tietosuoja-asetuksen V luvun mukainen siirtoperuste. Muista siirtoperusteiden etusijajärjestys, kun selvität sopivaa siirtoperustetta.

Tietosuoja-asetuksen 47 artiklan mukaiset yritystä koskevat sitovat säännöt voivat toimia siirtoperusteena henkilötietojen siirroille EU:n ja ETA:n ulkopuolelle konsernin tai yhteistä taloudellista toimintaa harjoittavan yritysryhmän sisällä. Toimivaltainen tietosuojaviranomainen vahvistaa yrityksiä koskevat sitovat säännöt tietosuoja-asetuksen 63 artiklassa säädetyn yhdenmukaisuusmekanismin mukaisesti.

Tietosuoja-asetuksessa on kaksi siirtoperustetta viranomaisille ja julkisen sektorin toimijoille:

viranomaisten tai julkisten elinten välinen oikeudellisesti sitova ja täytäntöönpanokelpoinen väline (artikla 46:2(a) sekä
viranomaisten tai julkisten elinten välisiin hallinnollisiin järjestelyihin sisältyvät säännökset (artikla 46:3(b).

Komission hyväksymät vakiolausekkeet (artikla 46:2(c) ja artikla 46:2(d))
Hyväksytyt käytännesäännöt (40 artikla) tai hyväksytty sertifiointimekanismi (42 artikla) yhdessä sitovien ja täytäntöönpanokelpoisten sitoumusten kanssa
Tietosuojaviranomaisen luvanvaraiset sopimuslausekkeet rekisterinpitäjän tai henkilötietojen käsittelijän ja kolmannen maan tai kansainvälisen järjestön rekisterinpitäjän, henkilötietojen käsittelijän tai vastaanottajan välillä (artikla 46:3(a))
Erityistilanteita koskevat poikkeukset (49 artikla)
- Viimesijainen tiedonsiirtoperuste, joka tulee sovellettavaksi vain poikkeustapauksissa

Lisätietoa siirtoperusteista:

Suosituksia ja ratkaisukäytäntöä henkilötietojen siirroista: 

Henkilötietojen siirrot Euroopan talousalueen ulkopuolelle

Henkilötietojen siirtoperusteet

Siirtoperusteiden etusijajärjestys

Tiedonsiirroissa on varmistettava EU:n vaatimuksia vastaava tietosuojan taso

Sisäisen turvallisuuden viranomaisten suorittamat henkilötietojen siirrot

Mikä siirtoperuste sopii henkilötietojen siirrolle?

Siirrätkö henkilötietoja EU:n tai ETA:n ulkopuolelle tai kansainväliselle järjestölle?

Onko komissio antanut tietosuojan riittävyyttä koskevan päätöksen niiden kolmansien maiden tai kansainvälisien järjestöjen osalta, joihin siirrät henkilötietoja?

Jos toimit yksityisellä sektorilla, onko kyseessä konserni tai yhteistä liiketoimintaa harjoittava yritysryhmä?

Oletko julkisen sektorin toimija?

Varmista, sopiiko tilanteeseesi jokin muu siirtoperuste

Oikopolkuja