Komission hyväksymät vakiolausekkeet
Henkilötietojen siirto EU:n ja ETA:n ulkopuolelle voidaan tehdä myös käyttäen komission hyväksymiä vakiolausekkeita (standard contractual clauses, SCC).
Vakiolausekkeet voivat olla siirtoperuste, jos siirron kumpikin osapuoli on sitoutunut vakiolausekkeiden noudattamiseen sopimusjärjestelyssä.
Vakiolausekkeita voidaan käyttää siirroissa
- kahden rekisterinpitäjän välillä
- rekisterinpitäjän ja henkilötietojen käsittelijän välillä.
Rekisterinpitäjä määrittelee, mihin tarkoitukseen ja millä tavalla henkilötietoja käsitellään.
Henkilötietojen käsittelijä käsittelee henkilötietoja rekisterinpitäjän puolesta rekisterinpitäjän ohjeiden mukaisesti.
Vakiolausekkeissa määritellään sekä tietojen viejän että tietojen tuojan velvollisuudet henkilötietojen suojaamiseksi.
Vakiolausekkeiden käyttö siirtoperusteena ei edellytä tietosuojaviranomaisen erillistä lupaa, kunhan vakiolausekkeiden sisältöä ei muuteta.
Vakiolausekkeet EUR-Lexin verkkopalvelussa
- Henkilötietojen siirto kahden rekisterinpitäjän välillä (2001/497/EC)
- Henkilötietojen siirto kahden rekisterinpitäjän välillä (2004/915/EC)
- Henkilötietojen siirto rekisterinpitäjän ja henkilötietojen käsittelijän välillä (2010/87/EU)
Vakiolausekkeiden päivitykset
Vakiolausekkeita päivitetään parhaillaan. Nykyisiä vakiolausekkeita voi toistaiseksi käyttää edelleen henkilötietojen siirtoperusteena, kunnes uudet vakiolausekkeet vahvistetaan. Vakiolausekkeita käytettäessä on tarkistettava tapauskohtaisesti, taataanko henkilötietojen siirrolle EU:n vaatimuksia vastaava tietosuojan taso sekä arvioitava tarve täydentävien suojatoimien käytölle.
Euroopan komissio on julkaissut luonnokset uusista vakiolausekkeista, jotka koskevat henkilötietojen siirtoa kolmansiin maihin sekä rekisterinpitäjien ja henkilötietojen käsittelijöiden välisiä käsittelysopimuksia.
Uudet henkilötietojen siirtoa kolmansiin maihin koskevat vakiolausekkeet korvaavat nykyiset kansainvälisiä tiedonsiirtoja koskevat vakiolausekkeet. Käsittelysopimuksia koskevat vakiolausekkeet ovat täysin uusia. Euroopan tietosuojaneuvosto ja Euroopan tietosuojavaltuutettu ovat julkaisseet yhteiset lausunnot komission uusista vakiolausekkeista. Tiedotamme verkkosivuillamme, kun päivitetyistä vakiolausekkeista saadaan lisätietoa.
Luonnokset vakiolausekkeista Euroopan komission verkkosivuilla:
- Vakiolausekkeet henkilötietojen siirroista kolmansiin maihin (artikla 46): Commission Implementing Decision on standard contractual clauses for the transfer of personal data to third countries
- Vakiolausekkeet koskien käsittelysopimuksia (artikla 28): Commission Implementing Decision on standard contractual clauses between controllers and processors located in the EU
Henkilötietojen siirto rekisterinpitäjältä henkilötietojen käsittelijälle
Jos henkilötietoja siirretään rekisterinpitäjältä henkilötietojen käsittelijälle, kummankin osapuolen on noudatettava myös tietosuoja-asetuksen vaatimuksia henkilötietojen käsittelijöiden käytöstä (artikla 28).
Lue lisää henkilötietojen käsittelijöiden velvollisuuksista
Henkilötietojen käsittelijän suorittamaa käsittelyä on määritettävä sopimuksella tai muulla oikeudellisella asiakirjalla, joka sitoo henkilötietojen käsittelijää suhteessa rekisterinpitäjään. Sopimuksessa vahvistetaan käsittelyn kohde, kesto, luonne, tarkoitus, henkilötietojen tyyppi, rekisteröityjen ryhmät sekä rekisterinpitäjän velvollisuudet ja oikeudet.