Komission hyväksymät vakiolausekkeet

Henkilötietojen siirto EU:n ja ETA:n ulkopuolelle voidaan tehdä myös käyttäen komission hyväksymiä vakiolausekkeita (standard contractual clauses, SCC). 

Vakiolausekkeet voivat olla siirtoperuste, jos siirron kumpikin osapuoli on sitoutunut vakiolausekkeiden noudattamiseen sopimusjärjestelyssä.

Vakiolausekkeita voidaan käyttää siirroissa

  • kahden rekisterinpitäjän välillä
  • rekisterinpitäjän ja henkilötietojen käsittelijän välillä
  • henkilötietojen käsittelijän ja rekisterinpitäjän välillä
  • kahden henkilötietojen käsittelijän välillä

Rekisterinpitäjä määrittelee, mihin tarkoitukseen ja millä tavalla henkilötietoja käsitellään.

Henkilötietojen käsittelijä käsittelee henkilötietoja rekisterinpitäjän puolesta rekisterinpitäjän ohjeiden mukaisesti.

Vakiolausekkeissa määritellään sekä tietojen viejän että tietojen tuojan velvollisuudet henkilötietojen suojaamiseksi.

Vakiolausekkeiden käyttö siirtoperusteena ei edellytä tietosuojaviranomaisen erillistä lupaa, kunhan vakiolausekkeiden sisältöä ei muuteta.

Vakiolausekkeita käytettäessä on tarkistettava tapauskohtaisesti, taataanko henkilötietojen siirrolle EU:n vaatimuksia vastaava tietosuojan taso sekä arvioitava tarve täydentävien suojatoimien käytölle.

Vakiolausekkeet tiedonsiirroille kolmansiin maihin

Vanhat vakiolausekkeet EUR-Lexin verkkopalvelussa:

Vakiolausekkeiden päivitykset

Euroopan komissio hyväksyi päivitetyt vakiolausekkeet kesäkuussa 2021 ja ne astuivat voimaan 27. kesäkuuta 2021. Uudet henkilötietojen siirtoa kolmansiin maihin koskevat vakiolausekkeet korvaavat edelliset kansainvälisiä tiedonsiirtoja koskevat vakiolausekkeet. Päivitettyjen vakiolausekkeiden käyttöönotolle on säädetty 18 kuukauden siirtymäaika, joka päättyy 27. joulukuuta 2022.

Vakiolausekkeita päivitettiin vastaamaan yleisen tietosuoja-asetuksen ja EU:n tuomioistuimen niin kutsutun Schrems II -ratkaisun vaatimuksia.

Henkilötietojen siirto rekisterinpitäjältä henkilötietojen käsittelijälle

Jos henkilötietoja siirretään rekisterinpitäjältä henkilötietojen käsittelijälle, kummankin osapuolen on noudatettava myös tietosuoja-asetuksen vaatimuksia henkilötietojen käsittelijöiden käytöstä (artikla 28). Nämä vaatimukset on valmiiksi huomioitu uusissa tiedonsiirtoja koskevissa vakiolausekkeissa.

Lue lisää henkilötietojen käsittelijöiden velvollisuuksista