Henkilötietojen siirrot Euroopan talousalueen ulkopuolelle

Henkilötietojen siirto Euroopan talousalueen ulkopuolelle edellyttää siirtoperustetta ja muiden tietosuojalainsäädännön vaatimusten noudattamista. Tällä sivulla kerrotaan siirtojen edellytyksistä tilanteissa, joissa henkilötietojen käsittelyyn sovelletaan tietosuoja-asetusta.

EU:n yleistä tietosuoja-asetusta sovelletaan Euroopan talousalueella, johon kuuluvat EU-maiden lisäksi Islanti, Liechtenstein ja Norja. Yhteisen tietosuojalainsäädännön keskeisenä tavoitteena on taata henkilötietojen vapaa liikkuvuus Euroopan talousalueella. Siksi henkilötietoja saa siirtää Euroopan talousalueeseen kuuluvaan maahan samoilla perusteilla kuin Suomen sisällä.

Kun henkilötietoja siirretään Euroopan unionin ja Euroopan talousalueen ulkopuolelle, tietosuoja-asetuksen takaama henkilötietojen suojan taso heikkenee. Siitä aiheutuu riskejä rekisteröidyille, eli niille henkilöille, joiden tietoja siirretään. Siksi tietosuoja-asetuksessa määritellään edellytyksiä niille perusteille, joilla henkilötietoja voidaan siirtää ETA:n ulkopuolelle kolmansiin maihin tai kansainvälisille järjestöille.

Edellytykset henkilötietojen siirrolle ETA:n ulkopuolelle

1. Henkilötietojen käsittelyn on oltava sallittua Suomessa kyseisessä tilanteessa.

2. Henkilötietojen siirron on täytettävä tietosuoja-asetuksen V luvussa määritellyt edellytykset.

Molempien edellytysten on täytyttävä, jotta henkilötietoja on mahdollista siirtää.

Tietosuoja-asetuksen V luvun säännöksiä sovelletaan myös silloin, kun henkilötietoja siirretään edelleen kolmannesta maasta tai kansainväliseltä järjestöltä toiseen kolmanteen maahan tai toiselle kansainväliselle järjestölle. Säännösten sovellettavuuteen ei vaikuta esimerkiksi siirrettävien tietojen määrä tai siirron kesto. Säännöksiä sovelletaan siirrettäessä sekä yksittäisiä tietoja että suuria henkilötietomääriä. Tietosuoja-asetuksen V luvun soveltamiseen ei vaikuta myöskään se, siirretäänkö tiedot yhdellä kertaa vai pitkän aikavälin kuluessa.

Tietosuoja-asetuksen V luvun siirtoperusteet ovat toisilleen vaihtoehtoisia, joten riittää, että yhden siirtoperusteen edellytykset täyttyvät. Jos minkään siirtoperusteen edellytykset eivät täyty, henkilötietoja ei voida siirtää ETA:n ulkopuolelle.

V luvun säännösten lisäksi henkilötietojen siirrossa kolmansiin maihin on huolehdittava tietosuoja-asetuksen noudattamisesta myös muilta osin. Siirtämiseen sovelletaan henkilötietojen käsittelyä koskevaa sääntelyä, kuten käyttötarkoitussidonnaisuuden periaatetta ja osoitusvelvollisuutta (tietosuoja-asetuksen 5 artikla), käsittelyperustetta (6 artikla, lisäksi erityisten henkilötietoryhmien osalta 9 artikla) ja tietojen suojaamisvelvoitetta (32 artikla).  Rekisterinpitäjän on huolehdittava siitä, että tietojen saajalla on oikeus siirrettävien henkilötietojen käsittelyyn. Lisäksi rekisterinpitäjän on varmistettava, ettei tietosuoja-asetuksen asettamaa henkilötietojen suojan tasoa vaaranneta, kun tietoja siirretään Euroopan talousalueen ulkopuolelle.

Tiedon siirtoperusteet vaihtelevat tilanteen ja soveltamisen etusijan mukaan. Jokaista siirtoperustetta koskevat omat tarkemmat kriteerinsä. Siirtoperusteita sovelletaan sekä rekisterinpitäjään että henkilötietojen käsittelijään.

Henkilötietojen siirtoja kolmansiin maihin tai kansainvälisille järjestöille voi tapahtua myös toimivaltaisten viranomaisten, esimerkiksi Puolustusvoimien, poliisin, tuomioistuimen, Tullin, Rajavartiolaitoksen ja Rikosseuraamuslaitoksen suorittaessa henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetun lain (rikosasioiden tietosuojalaki, 1054/2018) 1 §:n mukaisia tehtäviä. Näihin siirtoihin sovelletaan rikosasioiden tietosuojalain 7 luvun säännöksiä, jotka poikkeavat tietosuoja-asetuksen henkilötietojen siirtoa koskevista artikloista.

Siirtoperusteiden etusijajärjestys

Henkilötietojen siirtoperusteita koskee etusijajärjestys. Jos henkilötietoja aiotaan siirtää kolmanteen maahan, on ensin selvitettävä, voidaanko henkilötietoja siirtää komission vastaavuuspäätöksen perusteella. Henkilötietojen siirto kolmanteen maahan tai kansainväliselle järjestölle voidaan toteuttaa, jos komissio on päättänyt, että kyseinen kolmas maa, alue, sektori tai järjestö varmistaa riittävän tietosuojan tason. Tällainen komission vastaavuuspäätös on ensisijainen siirtoperuste, eikä siirrolle tarvita silloin erityistä lupaa.

Jos henkilötietoja ei voida siirtää komission vastaavuuspäätöksen perusteella, on selvitettävä, voidaanko henkilötietoja siirtää asianmukaisten suojakeinojen perusteella. Asianmukaisia suojakeinoja ovat esimerkiksi vakiolausekkeet ja yrityksiä koskevat sitovat säännöt.

Jos henkilötietoja ei voida siirtää komission vastaavuuspäätöksen tai asianmukaisten suojakeinojen perusteella, voidaan vielä selvittää, olisiko henkilötietoja mahdollista siirtää erityistilanteita koskevan poikkeuksen perusteella.

Mikä muuttui tietosuoja-asetuksen myötä?

Henkilötietojen siirrosta EU:n ja ETA:n ulkopuolelle säänneltiin ennen EU:n yleistä tietosuoja-asetusta henkilötietolain 5 luvussa. Silloin henkilötietojen siirron tuli perustua johonkin kyseisessä luvussa esitettyyn siirtoperusteeseen. Vaikka henkilötietolaki on kumottu, henkilötietojen siirto EU:n ja ETA:n ulkopuolelle edellyttää edelleen erityistä siirtoperustetta.

Nykyisin siirtoperusteet löytyvät tietosuoja-asetuksen V luvusta. Tietosuoja-asetuksen myötä siirtoperusteiden määrä on kasvanut ja osaa aiemmin käytössä olleista siirtoperusteista on päivitetty.

Ennallaan säilyneet siirtoperusteet

Päivitetyt siirtoperusteet

  • Komission päätös riittävästä tietosuojan tasosta (art. 45)
    • Jos komissio on tehnyt päätöksen riittävästä tietosuojan tasosta, se on henkilötietojen siirron ensisijainen siirtoperuste. Jos vastaavuuspäätöstä ei ole, rekisterinpitäjän on käytettävä muuta siirtoperustetta.
  • Yritystä koskevat sitovat säännöt (art. 47)
  • Erityistilanteita koskevat poikkeukset (art. 49)
    • Jos tietosuojan tason riittävyyttä koskevaa päätöstä ei ole tai 46 artiklassa tarkoitettuja asianmukaisia suojatoimia ei ole toteutettu, henkilötietojen siirrot tai siirtojen sarjat kolmanteen maahan tai kansainväliselle järjestölle voidaan rajoitetuissa tilanteissa suorittaa tietosuoja-asetuksen 49 artiklan erityistilanteita koskevan poikkeuksen nojalla.

Uudet siirtoperusteet

  • Tietosuojaviranomaisen vahvistamat ja komission hyväksymät vakiolausekkeet (art. 46:2(d))
  • Hyväksytty sertifiointimekanismi (art. 42, art. 46:2(f)) yhdessä kolmannen maan rekisterinpitäjän tai henkilötietojen käsittelijän sitovien ja täytäntöönpanokelpoisten sitoumusten kanssa asianmukaisten suojatoimien soveltamiseksi, myös rekisteröityjen oikeuksiin
  • Hyväksytyt käytännesäännöt (art. 40, art. 46:2(e)) yhdessä kolmannen maan rekisterinpitäjän tai henkilötietojen käsittelijän sitovien ja täytäntöönpanokelpoisten sitoumusten kanssa asianmukaisten suojatoimien soveltamiseksi, myös rekisteröityjen oikeuksiin
  • Viranomaisten tai julkisten elinten välinen oikeudellisesti sitova ja täytäntöönpanokelpoinen väline (art. 46:2(a))
  • Viranomaisten tai julkisten elinten välisissä hallinnollisissa järjestelyissä olevat säännökset (art. 46:3(b))*

*Tietosuojaviranomaisen erillistä lupaa siirtoperusteen käyttöön edellytetään silloin, kun kyseessä ovat

  • rekisterinpitäjän tai henkilötietojen käsittelijän ja kolmannen maan tai kansainvälisen järjestön rekisterinpitäjän, henkilötietojen käsittelijän tai vastaanottajan väliset sopimuslausekkeet tai
  • säännökset, jotka sisällytetään viranomaisten tai julkisten elinten välisiin hallinnollisiin järjestelyihin ja joihin sisältyy rekisteröityjen täytäntöönpanokelpoisia ja tehokkaita oikeuksia.

Mikä siirtoperuste sopii henkilötietojen siirrolle?