Komission hyväksymät vakiolausekkeet
Henkilötietojen siirto EU:n ja ETA:n ulkopuolelle voidaan tehdä myös käyttäen komission hyväksymiä vakiolausekkeita (standard contractual clauses, SCC). Päivitettyjen vakiolausekkeiden käyttöönoton siirtymäaika päättyi 27. joulukuuta 2022.
Vakiolausekkeet voivat olla siirtoperuste, jos siirron kumpikin osapuoli on sitoutunut vakiolausekkeiden noudattamiseen sopimusjärjestelyssä.
Vakiolausekkeita voidaan käyttää siirroissa
- kahden rekisterinpitäjän välillä
- rekisterinpitäjän ja henkilötietojen käsittelijän välillä
- henkilötietojen käsittelijän ja rekisterinpitäjän välillä
- kahden henkilötietojen käsittelijän välillä
Rekisterinpitäjä määrittelee, mihin tarkoitukseen ja millä tavalla henkilötietoja käsitellään.
Henkilötietojen käsittelijä käsittelee henkilötietoja rekisterinpitäjän puolesta rekisterinpitäjän ohjeiden mukaisesti.
Vakiolausekkeissa määritellään sekä tietojen viejän että tietojen tuojan velvollisuudet henkilötietojen suojaamiseksi. Vakiolausekkeiden käyttö siirtoperusteena ei edellytä tietosuojaviranomaisen erillistä lupaa, kunhan vakiolausekkeiden sisältöä ei muuteta.
Vakiolausekkeita käytettäessä on tarkistettava tapauskohtaisesti, taataanko henkilötietojen siirrolle EU:n vaatimuksia vastaava tietosuojan taso sekä arvioitava tarve täydentävien suojatoimien käytölle.
Vakiolausekkeet tiedonsiirroille kolmansiin maihin
- Tiedonsiirtoja kolmansiin maihin koskevat vakiolausekkeet (46 artikla) komission verkkosivuilla: Standard clauses for data transfers to third countries
Vanhat vakiolausekkeet EUR-Lexin verkkopalvelussa:
- Henkilötietojen siirto kahden rekisterinpitäjän välillä (2001/497/EC)
- Henkilötietojen siirto kahden rekisterinpitäjän välillä (2004/915/EC)
- Henkilötietojen siirto rekisterinpitäjän ja henkilötietojen käsittelijän välillä (2010/87/EU)
Vakiolausekkeiden päivitykset
Euroopan komissio hyväksyi päivitetyt vakiolausekkeet kesäkuussa 2021 ja ne astuivat voimaan 27. kesäkuuta 2021. Päivitettyjen vakiolausekkeiden käyttöönotolle säädetty 18 kuukauden siirtymäaika päättyi 27. joulukuuta 2022. Uudet henkilötietojen siirtoa kolmansiin maihin koskevat vakiolausekkeet korvaavat edelliset kansainvälisiä tiedonsiirtoja koskevat vakiolausekkeet.
Vakiolausekkeita päivitettiin vastaamaan yleisen tietosuoja-asetuksen ja EU:n tuomioistuimen niin kutsutun Schrems II -ratkaisun vaatimuksia. Euroopan komissio on laatinut vastauksia uusien vakiolausekkeiden käyttämisen tueksi:
Vastauksia usein kysyttyihin kysymyksiin vakiolausekkeista (pdf, englanniksi)
Henkilötietojen siirto rekisterinpitäjältä henkilötietojen käsittelijälle
Jos henkilötietoja siirretään rekisterinpitäjältä henkilötietojen käsittelijälle, kummankin osapuolen on noudatettava myös tietosuoja-asetuksen vaatimuksia henkilötietojen käsittelijöiden käytöstä (artikla 28). Nämä vaatimukset on valmiiksi huomioitu uusissa tiedonsiirtoja koskevissa vakiolausekkeissa.
Lue lisää henkilötietojen käsittelijöiden velvollisuuksista