Siirto tietosuojan riittävyyttä koskevan päätöksen perusteella

Henkilötietoja voidaan siirtää Euroopan unionin ja Euroopan talousalueen ulkopuolelle, jos Euroopan komissio on antanut päätöksen henkilötietojen suojan riittävyydestä (nk. vastaavuuspäätös, tietosuoja-asetuksen 45 artikla). Komission antama päätös on ensisijainen siirtoperuste. Päätös voi koskea tiettyä EU:n ja Euroopan talousalueen ulkopuolista maata tai maan aluetta, tiettyä sektoria tai kansainvälistä järjestöä.

Henkilötietoja voi siirtää suoraan vastaavuuspäätöksen perusteella eikä esimerkiksi erillistä lupaa tietosuojavaltuutetulta tarvita. Tietosuojalainsäädäntöä on näissäkin tilanteissa noudatettava kokonaisuudessaan. Henkilötietojen käsittelyn on oltava lainmukaista ennen siirtoa, siirron aikana ja sen jälkeen.

Komissio tarkastelee päätöksiä uudelleen vähintään neljän vuoden välein. Päätökset, jotka komissio on tehnyt ennen kuin tietosuoja-asetusta ryhdyttiin soveltamaan, ovat lähtökohtaisesti voimassa myös asetuksen soveltamisen alettua. Komissio voi kuitenkin tarkastella niitä uudelleen ja tehdä tarvittaessa uuden päätöksen.

Komission tähän mennessä antamat vastaavuuspäätökset koskevat seuraavia maita (linkit avautuvat EUR-Lexin verkkopalveluun):
Andorra, Argentiina, Etelä-Korea, Färsaaret, Guernsey, Iso-Britannia, Israel, Mansaari, Japani, Jersey, Uusi-Seelanti, Sveitsi ja Uruguay.

Lisäksi komissio on antanut osittaisen vastaavuuspäätöksen koskien Kanadaa (kaupalliset organisaatiot).

Ajantasainen lista vastaavuuspäätöksistä ja muita ajankohtaisia tietoja komission verkkosivuilla

Yleisen tietosuoja-asetuksen nojalla tehdyt vastaavuuspäätökset eivät sovellu tietojen siirtoihin rikosasioiden tietosuojalain soveltamisalalla, eikä vastaavuuspäätöksiä rikosasioiden tietosuojadirektiivin nojalla ole vielä Iso-Britanniaa lukuunottamatta annettu. Tällaisissa kolmansiin maihin tehtävissä siirroissa on noudatettava rikosasioiden tietosuojalain 7 luvun säännöksiä.

EU:n ja Yhdysvaltojen välinen tietosuojakehys

Euroopan komissio hyväksyi 10. heinäkuuta 2023 päätöksen Yhdysvaltojen tietosuojan riittävästä tasosta. Tietosuojan riittävyyspäätöksen perusteella tietoja voidaan siirtää EU- ja ETA-alueelta järjestelyyn osallistuville yhdysvaltalaisille yrityksille ilman erillisiä 46 artiklan mukaista siirtoperustetta.

Riittävyyspäätöksen nojalla henkilötietoja voidaan siirtää sertifioituneille yhdysvaltalaiselle yritykselle, jotka ovat sitoutuneet EU:n ja Yhdysvaltojen välisessä tietosuojakehyksessä sovittuihin suojatoimiin. Riittävyyspäätöstä ei voi käyttää tiedonsiirtoihin julkisen sektorin toimijoiden välillä.

Lista tietosuojakehykseen sertifioituneista yrityksistä Yhdysvaltojen kauppaministeriön ylläpitämällä verkkosivulla (Data Privacy Framework list)

Lisätietoa komission verkkosivuilla​​​

Lisätietoa ja asiakirjoja Euroopan tietosuojaneuvoston verkkosivuilla

Lisätietoa tietosuojavaltuutetun toimiston verkkosivuilla

Usein kysyttyä Yhdysvaltojen tietosuojan riittävyyttä koskevasta päätöksestä