Komission hyväksymät vakiolausekkeet

Henkilötietojen siirto EU:n ja ETA:n ulkopuolelle voidaan tehdä myös komission hyväksymiä vakiolausekkeita (standard contractual clauses, SCC) käyttäen. 

Vakiolausekkeet voivat olla siirtoperuste, jos siirron kumpikin osapuoli on sitoutunut vakiolausekkeiden noudattamiseen sopimusjärjestelyssä.

Vakiolausekkeita voidaan käyttää siirroissa

  • kahden rekisterinpitäjän välillä
  • rekisterinpitäjän ja henkilötietojen käsittelijän välillä.

Rekisterinpitäjä määrittelee, mihin tarkoitukseen ja millä tavalla henkilötietoja käsitellään.

Henkilötietojen käsittelijä käsittelee henkilötietoja rekisterinpitäjän puolesta rekisterinpitäjän ohjeiden mukaisesti.

Vakiolausekkeissa määritellään sekä tietojen viejän että tietojen tuojan velvollisuudet henkilötietojen suojaamiseksi.

Vakiolausekkeiden käyttö siirtoperusteena ei edellytä tietosuojaviranomaisen erillistä lupaa, kunhan vakiolausekkeiden sisältöä ei muuteta.

Vakiolausekkeet

Vakiolausekkeiden tulevat päivitykset

Vakiolausekkeita voi käyttää henkilötietojen siirtoperusteena, vaikka komissio on hyväksynyt ne ennen EU:n yleisen tietosuoja-asetuksen voimaantuloa. On kuitenkin tiedossa, että komissio suunnittelee päivittävänsä vakiolausekkeet. Tietosuojavaltuutetun toimisto kertoo verkkosivuillaan, kun vakiolausekkeiden päivityksestä saadaan lisätietoa.

Henkilötietojen siirto rekisterinpitäjältä henkilötietojen käsittelijälle

Jos henkilötietoja siirretään rekisterinpitäjältä henkilötietojen käsittelijälle, kummankin osapuolen on noudatettava myös tietosuoja-asetuksen vaatimuksia henkilötietojen käsittelijöiden käytöstä (artikla 28).

Henkilötietojen käsittelijän suorittamaa käsittelyä on määritettävä sopimuksella tai muulla oikeudellisella asiakirjalla, joka sitoo henkilötietojen käsittelijää suhteessa rekisterinpitäjään. Sopimuksessa vahvistetaan käsittelyn kohde, kesto, luonne, tarkoitus, henkilötietojen tyyppi, rekisteröityjen ryhmät sekä rekisterinpitäjän velvollisuudet ja oikeudet.