Henkilötietojen siirrot Euroopan talousalueen ulkopuolelle

Henkilötietojen siirto Euroopan talousalueen ulkopuolelle edellyttää muiden tietosuojalainsäädännön vaatimusten noudattamisen lisäksi erityistä siirtoperustetta. Tällä sivulla kerrotaan siirtojen edellytyksistä tilanteissa, joissa henkilötietojen käsittelyyn sovelletaan tietosuoja-asetusta.

EU:n yleistä tietosuoja-asetusta sovelletaan Euroopan talousalueella, johon kuuluvat EU-maiden lisäksi Islanti, Liechtenstein ja Norja. Yhteisen tietosuojalainsäädännön keskeisenä tavoitteena on taata henkilötietojen vapaa liikkuvuus Euroopan talousalueella. Siksi henkilötietoja saa siirtää Euroopan talousalueeseen kuuluvaan maahan samoilla perusteilla kuin Suomen sisällä.

Kun henkilötietoja siirretään EU:n ja ETA-alueen ulkopuolelle kolmansiin maihin tai kansainvälisille järjestöille, tietosuoja-asetuksen takaama henkilötietojen suojan taso voi heiketä. Tästä voi aiheutua riskejä henkilöille, joiden tietoja siirretään. Siksi tietosuoja-asetuksessa määritellään edellytyksiä, joilla henkilötietoja voidaan siirtää ETA-alueen ulkopuolelle.

Lisätietoa henkilötietojen käsittelystä, johon sovelletaan tietosuoja-asetusta

Edellytykset henkilötietojen siirrolle ETA:n ulkopuolelle

1. Henkilötietojen käsittelyn on oltava sallittua kyseisessä tilanteessa.

2. Henkilötietojen siirroille on lisäksi oltava tietosuoja-asetuksen V luvussa määritelty siirtoperuste. Siirtoperusteen tehokkuus ja täydentävien suojatoimien tarve on arvioitava tapauskohtaisesti.
Molempien edellytysten on täytyttävä, jotta henkilötietoja on mahdollista siirtää.

Tietosuoja-asetuksen V luku EUR-Lexissä

Henkilötietojen siirtoperusteet

Henkilötietojen siirtoperusteet määritellään tietosuoja-asetuksen V luvussa. Siirtoperusteet ovat toisilleen vaihtoehtoisia, joten riittää, että yhden siirtoperusteen edellytykset täyttyvät. Jos minkään siirtoperusteen edellytykset eivät täyty, henkilötietoja ei voida siirtää ETA-alueen ulkopuolelle. Jokaista siirtoperustetta koskevat omat kriteerinsä. Siirtoperusteita sovelletaan sekä rekisterinpitäjään että henkilötietojen käsittelijään.

*Tietosuojaviranomaisen erillistä lupaa siirtoperusteen käyttöön edellytetään silloin, kun kyseessä ovat

  • rekisterinpitäjän tai henkilötietojen käsittelijän ja kolmannen maan tai kansainvälisen järjestön rekisterinpitäjän, henkilötietojen käsittelijän tai vastaanottajan väliset sopimuslausekkeet tai
  • säännökset, jotka sisällytetään viranomaisten tai julkisten elinten välisiin hallinnollisiin järjestelyihin ja joihin sisältyy rekisteröityjen täytäntöönpanokelpoisia ja tehokkaita oikeuksia.

 

Tiedonsiirroissa on varmistettava EU:n vaatimuksia vastaava tietosuojan taso

Rekisterinpitäjän on varmistettava, ettei tietosuoja-asetuksen takaamaa henkilötietojen suojan tasoa vaaranneta, kun tietoja siirretään Euroopan talousalueen ulkopuolelle. Rekisterinpitäjän on myös huolehdittava siitä, että tietojen vastaanottajalla on oikeus siirrettävien henkilötietojen käsittelyyn.

Kun kansainväliset henkilötietojen siirrot ja niihin käytettävä siirtoperuste on määritelty, tietoja siirtävien rekisterinpitäjien ja henkilötietojen käsittelijöiden on tarkistettava tapauskohtaisesti, taataanko siirrettäville henkilötiedoille kolmannen maan lainsäädännössä ja/tai käytännöissä sellainen henkilötietojen suojan taso, joka vastaa olennaisilta osin ETA-alueen tasoa. Jos käytetty siirtoperuste ei riitä takaamaan EU:n vaatimuksia vastaavaa tietosuojan tasoa, sitä voidaan tietyissä tilanteissa täydentää erilaisilla täydentävillä suojatoimilla. Jos myöskään soveltuvia täydentäviä suojatoimia löydy riittävän tietosuojan takaamiseksi, ei siirtoa voi tehdä.

Säännösten sovellettavuuteen ei vaikuta esimerkiksi siirrettävien tietojen määrä, siirron kesto tai se, siirretäänkö tiedot yhdellä kertaa vai pitkän aikavälin kuluessa. Säännöksiä sovelletaan myös silloin, kun henkilötietoja siirretään edelleen toiseen kolmanteen maahan tai toiselle kansainväliselle järjestölle.

Sisäisen turvallisuuden viranomaisten suorittamat henkilötietojen siirrot

Henkilötietojen siirtoja kolmansiin maihin tai kansainvälisille järjestöille voi tapahtua myös toimivaltaisten sisäisen turvallisuuden viranomaisten, esimerkiksi Puolustusvoimien, poliisin, tuomioistuimen, Tullin, Rajavartiolaitoksen ja Rikosseuraamuslaitoksen suorittaessa rikosasioiden tietosuojalain (Finlex) mukaisia tehtäviä. Näihin siirtoihin sovelletaan rikosasioiden tietosuojalain 7 luvun säännöksiä.

Mikä siirtoperuste sopii henkilötietojen siirrolle?