Käyttääkö organisaatiosi vakiolausekkeita siirtäessään henkilötietoja kolmansiin maihin?

Laura Jaatinen

Blogit Teknologia ja data

07.12.2022

EU:n yleisen tietosuoja-asetuksen (ns. GDPR) voimaantulon jälkeen henkilötietojen siirrosta EU:n ulkopuolelle on tullut varsin monimutkainen aihe. Niin monimutkainen, että yritykset välttelevät käyttämästä EU:n ulkopuolelle sijoittuneita palveluntarjoajia. Tämä on toki hyvä lähtökohta, mutta ei läheskään aina edes vaihtoehto.

Toisin kuin usein kuulee luultavan, GDPR ei varsinaisesti kiellä henkilötietojen siirtoa EU:n ulkopuolelle eli ns. kolmansiin maihin. Henkilötietoja saa siirtää myös kolmansiin maihin, kunhan toteutetaan tietyt GDPR:n edellyttämät toimenpiteet. GDPR:ssä on määritelty niin sanottuja siirtomekanismeja, joita käyttämällä henkilötietojen siirto kolmansiin maihin on sallittua. Ehdottomasti käytetyimpien siirtomekanismien TOP3 ovat ns. vastaavuuspäätös, yritystä koskevat sitovat säännöt ja vakiolausekkeet.

Vastaavuuspäätös tarkoittaa komission päätöstä siitä, että ko. maan tietosuojan taso on EU:n tietosuojaa vastaavalla tasolla. Vastaavuuspäätöksiä on tehty esimerkiksi Argentiinan, Iso-Britannian, Japanin ja Sveitsin osalta. Näihin maihin siirrettäessä henkilötietoja voi siis siirtää kuin EU:n sisälläkin eikä ylimääräisiä toimenpiteitä tarvita.

Yritystä koskevat sitovat säännöt (Binding Corporate Rules tai ”BCR”) tulevat sovellettavaksi oikeastaan vain isojen kansainvälisten yritysten kohdalla. Ne käytännössä tarkoittavat sääntöjä, joilla konserniyhtiö siirtää henkilötietoja konserniin kuuluvien yritysten sisällä. Yritystä koskevat sitovat säännöt ovat siis konsernia oikeudellisesti sitovat ja toimivaltainen viranomainen aina hyväksyy tällaiset säännöt erikseen. 

TOP3:n ehdottomasti käytetyin siirtomekanismi on komission hyväksymät vakiolausekkeet (standard contractual clauses tai ”SCC”). Lähes poikkeuksetta tämä on se siirtomekanismi, jolla siirto kolmanteen maahan on toteutettu. Käytännössä siis vakiolausekkeet ovat EU:n komissio laatimat sopimusehdot, joihin sitoutumalla osapuolet voivat noudattaa GDPR:n velvoitteita siirron osalta. Vakiolausekkeissa määritellään kummankin osapuolen velvollisuudet henkilötietojen suojaamiseksi. On tärkeää kuitenkin huomata, että vaikka kyseessä on käytännössä sopimusehdot, ei vakiolausekkeiden sisältöä saa muuttaa.

Komissio julkaisi uudet vakiolausekkeet kesäkuussa 2021 ja ne astuivat voimaan 27.6.2021. Uusissa vakiolausekkeissa sisältö riippuu siitä, keneltä kenelle tietoja siirretään – rekisterinpitäjältä käsittelijälle, käsittelijältä käsittelijälle vai kenties rekisterinpitäjältä rekisterinpitäjälle. Vakiolausekkeissa on 18 kuukauden siirtymäaika, eli siirtymäaika päättyy 27.12.2022. Käytännössä tämä tarkoittaa sitä, että jos organisaatiosi on käyttänyt siirtomekanismina vakiosopimuslausekkeita, tulee vakiosopimuslausekkeet päivittää ajantasaisimpiin ehtoihin em. päivämäärään mennessä.

Nyt on siis viimeisiä hetkiä ryhtyä tekemään muutoksia henkilötietojen käsittelyä koskeviin sopimuksiin. Roomaa ei rakennettu päivässä, mutta jostain on aloitettava. Henkilötietojen käsittelyn roolien oikea määrittely on tärkeää, sillä osapuolet eivät voi sopimalla muuttaa rooleja siitä, miten ne tosiasiallisesti ovat. Tästä syystä vakiolausekkeiden käyttöönotossa, ja mahdollisessa muussa tietosuojaan liittyvässä sopimuspäivityksessä, on suositeltavaa konsultoida asiantuntijaa.