Siirto tietosuojan riittävyyttä koskevan päätöksen perusteella
Henkilötietoja voidaan siirtää Euroopan unionin ja Euroopan talousalueen ulkopuolelle, jos Euroopan komissio on antanut päätöksen henkilötietojen suojan riittävyydestä (nk. vastaavuuspäätös, tietosuoja-asetuksen 45 artikla). Komission antama päätös on ensisijainen suhteessa muihin siirtoperusteisiin. Päätös voi koskea tiettyä Euroopan unionin ja Euroopan talousalueen ulkopuolista maata tai maan aluetta, tiettyä sektoria tai kansainvälistä järjestöä.
Henkilötietoja voi siirtää suoraan vastaavuuspäätöksen perusteella eikä esimerkiksi erillistä lupaa tietosuojavaltuutetulta tarvita. Tietosuojalainsäädäntöä on näissäkin tilanteissa noudatettava kokonaisuudessaan. Henkilötietojen käsittelyn on oltava lainmukaista ennen siirtoa, siirron aikana ja sen jälkeen.
Komissio tarkastelee päätöksiä uudelleen vähintään neljän vuoden välein. Päätökset, jotka komissio on tehnyt ennen kuin tietosuoja-asetusta ryhdyttiin soveltamaan, ovat lähtökohtaisesti voimassa myös asetuksen soveltamisen alettua. Komissio voi kuitenkin tarkastella niitä uudelleen ja tehdä tarvittaessa uuden päätöksen.
Komission tähän mennessä antamat vastaavuuspäätökset koskevat seuraavia maita (linkit avautuvat EUR-Lexin verkkopalveluun):
Andorra, Argentiina, Färsaaret, Guernsey, Iso-Britannia, Israel, Mansaari, Japani, Jersey, Uusi-Seelanti, Sveitsi ja Uruguay.
Lisäksi komissio on antanut osittaisen vastaavuuspäätöksen koskien Kanadaa (kaupalliset organisaatiot).
Ajantasainen lista vastaavuuspäätöksistä ja muita ajankohtaisia tietoja komission verkkosivuilla
Yleisen tietosuoja-asetuksen nojalla tehdyt vastaavuuspäätökset eivät sovellu tietojen siirtoihin rikosasioiden tietosuojalain soveltamisalalla, eikä vastaavuuspäätöksiä rikosasioiden tietosuojadirektiivin nojalla ole vielä Iso-Britanniaa lukuunottamatta annettu. Tällaisissa kolmansiin maihin tehtävissä siirroissa on noudatettava rikosasioiden tietosuojalain 7 luvun säännöksiä.
EU:n ja Yhdysvaltojen välinen tietosuojakehys
Euroopan unionin tuomioistuin kumosi niin sanotussa Schrems II -ratkaisussaan (C-311/18) heinäkuussa 2020 komission päätöksen EU:n ja Yhdysvaltojen välisestä Privacy Shield -järjestelystä.
Tuomioistuin totesi Privacy Shield -järjestelyn tarjoaman tietosuojan tason riittävyyttä koskevan päätöksen pätemättömäksi, koska henkilötietoja Yhdysvaltoihin siirrettäessä perusoikeuksiin puuttumista ei ole rajattu tavalla, joka vastaisi pääosiltaan EU:n vaatimuksia. Euroopan tietosuojaneuvosto laati verkkosivuilleen vastauksia yleisimpiin kysymyksiin Schrems II -päätöksestä.
Maaliskuussa 2022 Euroopan komissio ja Yhdysvallat saavuttivat yhteisymmärryksen uuden EU:n ja Yhdysvaltojen välisen tietosuojakehyksen luomisesta. Uuden tietosuojakehyksen (”EU-U.S. Data Privacy Framework”) on tarkoitus korvata Schrems II -päätöksellä mitätöity Privacy Shield -järjestely. Periaatesopimus tietosuojakehyksestä pantiin Yhdysvaltojen lainsäädännössä täytäntöön Yhdysvaltojen presidentin antamalla toimeenpanomääräyksellä ja sitä täydentävällä muutoksenhakutuomioistuinta koskevalla asetuksella.
Komissio on laatinut luonnoksen Yhdysvaltojen tietosuojan tason riittävyyttä koskevasta päätöksestä, ja tietosuojaneuvosto antoi lausuntonsa luonnoksesta helmikuussa 2023. Riittävyyspäätöksen perusteella ei vielä voi siirtää tietoja, vaan sen voimaantulo edellyttää hyväksymismenettelyn läpikäymisen. Tietosuojavaltuutetun toimisto tulee tiedottamaan asian etenemisestä.
Tietosuojan riittävyyspäätöksen perusteella tietoja voitaisiin siirtää EU- ja ETA-alueelta järjestelyyn osallistuville yhdysvaltalaisille yrityksille ilman erillisiä suojatoimia. Riittävyyspäätös ei tulisi koskemaan kaikkia Yhdysvaltoihin tehtäviä henkilötietojen siirtoja, vaan tietoja voitaisiin siirtää ainoastaan niille yhdysvaltalaisille yrityksille, jotka ovat sitoutuneet sovittuihin suojatoimiin. Riittävyyspäätöstä ei voisi myöskään käyttää välineenä henkilötietojen siirtoihin julkisen sektorin toimijoiden välillä.
Euroopan tietosuojaneuvoston lausunto komission Yhdysvaltojen tietosuojan riittävyyttä koskevasta päätösluonnoksesta (englanniksi tietosuojaneuvoston verkkosivuilla)
Komission päätösluonnos Yhdysvaltojen tietosuojan riittävyydestä (englanniksi komission verkkosivuilla)