Komission hyväksymät vakiolausekkeet
Henkilötietojen siirto EU:n ja ETA:n ulkopuolelle voidaan tehdä myös käyttäen komission hyväksymiä vakiolausekkeita (standard contractual clauses, SCC).
Vakiolausekkeet voivat olla siirtoperuste, jos siirron kumpikin osapuoli on sitoutunut vakiolausekkeiden noudattamiseen sopimusjärjestelyssä.
Vakiolausekkeita voidaan käyttää siirroissa
- kahden rekisterinpitäjän välillä
- rekisterinpitäjän ja henkilötietojen käsittelijän välillä
- henkilötietojen käsittelijän ja rekisterinpitäjän välillä
- kahden henkilötietojen käsittelijän välillä
Rekisterinpitäjä määrittelee, mihin tarkoitukseen ja millä tavalla henkilötietoja käsitellään.
Henkilötietojen käsittelijä käsittelee henkilötietoja rekisterinpitäjän puolesta rekisterinpitäjän ohjeiden mukaisesti.
Vakiolausekkeissa määritellään sekä tietojen viejän että tietojen tuojan velvollisuudet henkilötietojen suojaamiseksi.
Vakiolausekkeiden käyttö siirtoperusteena ei edellytä tietosuojaviranomaisen erillistä lupaa, kunhan vakiolausekkeiden sisältöä ei muuteta.
Vakiolausekkeita käytettäessä on tarkistettava tapauskohtaisesti, taataanko henkilötietojen siirrolle EU:n vaatimuksia vastaava tietosuojan taso sekä arvioitava tarve täydentävien suojatoimien käytölle.
Vakiolausekkeet tiedonsiirroille kolmansiin maihin
- Tiedonsiirtoja kolmansiin maihin koskevat vakiolausekkeet (46 artikla) komission verkkosivuilla: Standard contractual clauses for international transfers
Vanhat vakiolausekkeet EUR-Lexin verkkopalvelussa:
- Henkilötietojen siirto kahden rekisterinpitäjän välillä (2001/497/EC)
- Henkilötietojen siirto kahden rekisterinpitäjän välillä (2004/915/EC)
- Henkilötietojen siirto rekisterinpitäjän ja henkilötietojen käsittelijän välillä (2010/87/EU)
Vakiolausekkeiden päivitykset
Euroopan komissio hyväksyi päivitetyt vakiolausekkeet kesäkuussa 2021 ja ne astuivat voimaan 27. kesäkuuta 2021. Uudet henkilötietojen siirtoa kolmansiin maihin koskevat vakiolausekkeet korvaavat edelliset kansainvälisiä tiedonsiirtoja koskevat vakiolausekkeet. Päivitettyjen vakiolausekkeiden käyttöönotolle on säädetty 18 kuukauden siirtymäaika, joka päättyy 27. joulukuuta 2022.
Vakiolausekkeita päivitettiin vastaamaan yleisen tietosuoja-asetuksen ja EU:n tuomioistuimen niin kutsutun Schrems II -ratkaisun vaatimuksia.
Henkilötietojen siirto rekisterinpitäjältä henkilötietojen käsittelijälle
Jos henkilötietoja siirretään rekisterinpitäjältä henkilötietojen käsittelijälle, kummankin osapuolen on noudatettava myös tietosuoja-asetuksen vaatimuksia henkilötietojen käsittelijöiden käytöstä (artikla 28). Nämä vaatimukset on valmiiksi huomioitu uusissa tiedonsiirtoja koskevissa vakiolausekkeissa.