Henkilötietojen siirtäminen Euroopan talousalueen (ETA) ulkopuolisiin maihin on usein välttämätöntä kansainvälisen kaupan tai yhteistyön kannalta. Yrityksesi saattaa joutua siirtämään henkilötietoja ETA-alueen ulkopuoliseen maahan esimerkiksi, jos yrityksen on jaettava henkilötietoja liikekumppaneiden tai ETA-maiden ulkopuolella sijaitsevien toimittajien kanssa.
Yleisessä tietosuoja-asetuksessa on erityissäännöksiä henkilötietojen kansainvälisille siirroille. Näillä säännöksillä on tarkoitus taata siirrettäville henkilötiedoille samantasoinen suoja kuin Euroopan talousalueen sisällä.
Milloin henkilötietoja siirretään ETA-maiden ulkopuolelle?
Yleisessä tietosuoja-asetuksessa ei suoraan määritellä henkilötietojen siirtoja. Tietosuojaneuvosto on kuitenkin määrittänyt seuraavat kolme kriteeriä ETA-maiden ulkopuolelle tehtävän siirron tunnistamiseksi:
- yleistä tietosuoja-asetusta sovelletaan rekisterinpitäjän tai henkilötietojen käsittelijän toimintaan kyseisen käsittelyn osalta
- kyseinen rekisterinpitäjä tai henkilötietojen käsittelijä luovuttaa tietoja siirtämällä tai saattaa henkilötietoja jollain muulla tavalla toisen organisaation (rekisterinpitäjä tai henkilötietojen käsittelijä) saataville
- tiedot vastaanottava organisaatio sijaitsee ETA:n ulkopuolisessa maassa tai on kansainvälinen järjestö.
Miten henkilötietoja siirretään ETA:n ulkopuolelle?
Yleisessä tietosuoja-asetuksessa asetetaan rajoituksia henkilötietojen siirrolle Euroopan talousalueen ulkopuolelle eli ETA:n ulkopuolisiin maihin tai kansainvälisille järjestöille, jotta yleisen tietosuoja-asetuksen mukainen tietosuojan taso säilyy.
Henkilötietoja voidaan siirtää ETA-maiden ulkopuolelle ainoastaan yleisen tietosuoja-asetuksen V luvussa säädettyjen siirtoperusteiden mukaisesti.
Tiedonsiirroissa on noudatettava sekä siirtojen ehtoja että muita yleisen tietosuoja-asetuksen sääntöjä. Toisin sanoen tiedonsiirron ehdot muodostavat lisävaatimuksen henkilötietojen käsittelyn perusperiaatteille, joita on myös noudatettava kansainvälisten siirtojen yhteydessä. Kun siirrät henkilötietoja, sinun on aina varmistettava, että henkilötietojen käsittelylle on asianmukainen oikeusperuste, että tarvittavat turvatoimet on toteutettu ja että käsittelet vain henkilötietoja, jotka ovat tarpeellisia käsittelyn tarkoitusta varten (tietojen minimoinnin periaate). Jos siirrettävien tietojen vastaanottaja toimii henkilötietojen käsittelijänä, yritykselläsi on edelleen lakisääteinen velvollisuus tehdä käsittelysopimus samalla tavalla kuin ETA-alueella toimivan henkilötietojen käsittelijän kanssa.
Yleisen tietosuoja-asetuksessa on käytännössä kaksi pääasiallista tapaa siirtää henkilötietoja ETA-alueen ulkopuolelle. Siirrot voidaan tehdä tietosuojan riittävyyttä koskevan päätöksen perusteella, tai jos tällaista päätöstä ei ole, asianmukaisten suojatoimien perusteella. Niihin sisältyy yksityishenkilöiden täytäntöönpanokelpoisia oikeuksia ja oikeussuojakeinoja. Tietosuojan riittävyyttä koskevan päätöksen tai asianmukaisten suojatoimien puuttuessa tietosuoja-asetuksessa sallitaan joitakin poikkeuksia erityistilanteissa.
Löydät lisätietoja eri vaihtoehdoista alla.
Tietojen siirto tietosuojan riittävyyttä koskevan päätöksen perusteella
Euroopan komissio voi tehdä tietosuojan riittävyyttä koskevia päätöksiä, joilla vahvistetaan virallisesti ja ETA-maita sitovasti, että tietosuojan taso ETA:n ulkopuolisessa maassa tai kansainvälisessä järjestössä vastaa olennaisilta osin Euroopan talousalueen tietosuojan tasoa.
Kun komissio arvioi tietosuojan tason riittävyyttä, se ottaa huomioon muun muassa maan oikeusvaltioperiaatteen, ihmisoikeuksien ja perusvapauksien kunnioittamisen, rekisteröityjen oikeuksien tehokkuuden ja täytäntöönpanokelpoisuuden, riippumattoman tietosuojaviranomaisen olemassaolon ja tehokkuuden sekä maan tai kansainvälisen järjestön tekemät kansainväliset sitoumukset.
Jos komissio päättää, että maa tarjoaa riittävän tietosuojan tason ja että riittävyyspäätös tehdään, henkilötietoja voidaan siirtää toiselle yritykselle tai organisaatiolle siinä maassa ilman, että tietojen viejältä, eli tietoja siirtävältä taholta, vaaditaan lisätakeita tai -ehtoja. Toisin sanoen siirrot tietosuojaltaan ”riittävään” ETA:n ulkopuoliseen maahan ovat verrattavissa ETA:n sisällä tapahtuvaan tietojen siirtoon. Yrityksesi on kuitenkin edelleen noudatettava muita yleisen tietosuoja-asetuksen perusperiaatteita, kuten edellä on todettu.
Tietosuojan riittävyyttä koskevat päätökset voivat koskea koko maata tai rajoittua osaan siitä, eli tiettyyn alueeseen. Riittävyyspäätökset voivat kattaa kaikki tietojen siirrot maahan tai rajoittua tietyntyyppisiin siirtoihin esimerkiksi tietyllä sektorilla.
Tähän mennessä Euroopan komissio on tehnyt seuraavat tietosuojan tason riittävyyttä koskevat päätökset:
- Andorra
- Argentiina
- Kanada (kaupalliset järjestöt)
- Färsaaret
- Guernsey
- Israel
- Isle of Man
- Japani
- Jersey
- Uusi-Seelanti
- Korean tasavalta
- Sveitsi
- Yhdistynyt kuningaskunta
- Yhdysvallat (EU:n ja Yhdysvaltojen väliseen tietosuojakehykseen osallistuvat kaupalliset organisaatiot)
- Uruguay
Euroopan komissio julkaisee luettelon tietosuojan riittävyyttä koskevista päätöksistään verkkosivuillaan.
Tietojen viejän vastuulla on tarkistaa, että sen tiedonsiirtoon käyttämä riittävyyspäätös edelleen voimassa, ja että sitä ei ole kumottu tai mitätöity.
Huomaathan, että tietosuojan riittävyyspäätökset eivät estä yksityishenkilöitä tekemästä valitusta. Ne eivät myöskään estä tietosuojaviranomaisia käyttämästä yleisen tietosuoja-asetuksen mukaisia toimivaltuuksiaan.
Asianmukaisiin suojatoimiin perustuvat tietojen siirrot
Jos tietosuojan riittävyyttä koskevaa päätöstä ei ole tehty, organisaatiot voivat siirtää henkilötietoja, jos asianmukaiset suojatoimet suhteessa henkilötietoja vastaanottavaan organisaatioon voidaan varmistaa. Lisäksi yksityishenkilöiden on voitava käyttää oikeuksiaan ja heillä on oltava käytettävissään tehokkaat oikeussuojakeinot.
Yleisen tietosuoja-asetuksen 46 artiklassa luetellaan joukko siirtovälineitä, jotka sisältävät ”asianmukaisia suojatoimia”. Niitä voidaan käyttää henkilötietojen siirtämiseen Euroopan talousalueen ulkopuolelle, kun tietosuojan riittävyyttä koskevaa päätöstä ei ole. Yleisen tietosuoja-asetuksen 46 artiklan mukaisten, yksityisten organisaatioiden käytössä olevien siirtovälineiden päätyypit ovat seuraavat:
- Tietosuojaa koskevat vakiolausekkeet
- Yritystä koskevat sitovat säännöt
- Käytännesäännöt
- Sertifiointimekanismit
- Tilapäiset sopimuslausekkeet
Vakiolausekkeet
Vakiolausekkeet ovat vakiomuotoisia sopimuksia, joiden avulla tietojen viejät voivat varmistaa tiedonsiirroille asianmukaiset suojatoimet. Monet organisaatiot käyttävät tätä siirtovälinettä. Euroopan komissiolla on valtuudet hyväksyä vakiolausekkeita asianmukaisena takeena henkilötietojen siirroille ETA:n ulkopuolisiin maihin.
Euroopan komissio hyväksyi 4. kesäkuuta 2021 päätöksen vakiolausekkeista henkilötietojen siirtämiseksi ETA:n ulkopuolisiin maihin yleisen tietosuoja-asetuksen mukaisesti. Euroopan komissio on koonnut vakiolausekkeet verkkosivuilleen.
Lue lisää vakiolausekkeista.
Vakiolausekkeissa käsitellään erilaisia siirtotilanteita ja otetaan huomioon käsittelyketjujen monimutkaisuus. Rekisterinpitäjät ja henkilötietojen käsittelijät voivat käyttää tiedonsiirroissa eri vaihtoehtoja riippuen siirron tilanteesta, joita ovat:
- siirto kahden rekisterinpitäjän välillä (C2C)
- siirto henkilötietojen käsittelijän ja rekisterinpitäjän välillä (C2P)
- siirto kahden henkilötietojen käsittelijän välillä (P2P)
- siirto henkilötietojen käsittelijän ja rekisterinpitäjän välillä (P2C), kun henkilötietojen käsittelijä on EU:ssa ja rekisterinpitäjä kolmannessa maassa.
Muita tärkeitä huomioita vakiolausekkeista:
- Useamman kuin kahden osapuolen mahdollisuus noudattaa lausekkeita
- Joitakin poikkeuksia lukuun ottamatta mahdollisuus käyttää vakiolausekkeita, kun henkilötietoja alihankkijana toimivalle käsittelijälle ETA:n ulkopuolisessa maassa
- Tiettyjä poikkeuksia lukuun ottamatta yksityishenkilöiden mahdollisuus vedota lausekkeisiin kolmansina edunsaajina
- Säännöt, jotka koskevat osapuolten välistä vastuuta siinä tapauksessa, että yksilön oikeuksia loukataan
- Yksityishenkilöiden oikeus saada korvausta vahingosta, joka heille on aiheutunut siitä, että heidän oikeuksiaan kolmantena edunsaajana on loukattu
- Vaatimus tehdä siirtojen vaikutusten arviointi, jossa dokumentoidaan siirron erityisolosuhteet, kohdemaan lainsäädäntö ja henkilötietojen suojaamiseksi käyttöön otetut lisätakeet
- Velvoitteet, jotka koskevat viranomaisten pääsyä siirrettyihin tietoihin, esimerkiksi velvollisuus antaa tietoja tietojen viejille ja riitauttaa lainvastaiset pyynnöt.
Yritystä koskevat sitovat säännöt (BCR)
Yritystä koskevat sitovat säännöt (BCR, Binding Corporate Rules) auttavat varmistamaan riittävän tietosuojan tason konsernissa tai yritysryhmässä, joka sijaitsee sekä ETA-alueella että sen ulkopuolella. BCR-säännöt soveltuvat parhaiten monikansallisille yrityksille, jotka suorittavat suuria määriä tiedonsiirtoja.
Yritystä koskevat sitovat säännöt ovat konsernin hyväksymiä yhteisiä sisäisiä sääntöjä, joissa vahvistetaan henkilötietojen siirtoa koskevat yleiset toimintaperiaatteet. Säännöt ovat sitovia ja kaikkien yritysryhmän yritysten on noudatettava niitä siitä riippumatta, missä maassa ne sijaitsevat. Lisäksi niiden on annettava yksityishenkilöille heidän henkilötietojensa käsittelyyn liittyvät oikeudet.
Yleisen tietosuoja-asetuksen 47 artiklassa luetellaan edellytykset, joita on noudatettava, jotta tietosuojaviranomainen voi hyväksyä sitovat säännöt. Edellytyksiä selvennetään tietosuojatyöryhmä WP29:n suosituksissa sekä tietosuojaneuvoston antamissa suosituksissa. Suositukset on laadittu erikseen rekisterinpitäjän BCR-säännöistä ja henkilötietojen käsittelijän BCR-säännöistä.
Lue lisää
Tietosuojaneuvoston suositus vakiomuotoisesta hakulomakkeesta rekisterinpitäjän sitovien sääntöjen hyväksymistä varten henkilötietojen siirtämiseksi
Tietosuojaneuvosto
Tietosuojatyöryhmä WP29: suositus henkilötietojen käsittelijän sitovien yritystä koskevien sääntöjen hyväksymisestä
Euroopan komission uutishuone
Käytännesäännöt
Käytännesäännöt ovat yleisessä tietosuoja-asetuksessa käyttöön otettu uusi tiedonsiirtoväline. Toisin kuin sitovat BCR-säännöt, joita yksittäiset yritysryhmät voivat laatia itse, käytännesäännöt ovat toimialakohtaisia ja organisaatioryhmiä edustavien järjestöjen laatimia. Käytännesääntöjen noudattamista valvoo akkreditoitu valvontaelin. Tietosuojaneuvosto aikoo selventää, millä edellytyksillä käytännesääntöjä voidaan käyttää ja millä edellytyksillä tietosuojaviranomaiset voivat hyväksyä niitä. Tämän lisäksi tietosuojaneuvosto vastaa myös valvontaelinten akkreditointiedellytysten johdonmukaisuuden varmistamisesta.
Sertifiointi
Sertifiointi on uusi yleisessä tietosuoja-asetuksessa käyttöön otettu tiedonsiirtoväline organisaatioille, jotka sertifiointielimet tai ETA-maan tietosuojaviranomaiset ovat sertifioineet.
Tietosuojaneuvosto on hyväksynyt tulkintaohjeen, jossa selvennetään, miten sertifiointimekanismi voidaan ottaa käyttöön. Siirtovälinettä kehitetään edelleen.
Tietosuojaneuvosto vastaa myös sertifiointielinten akkreditointiedellytysten johdonmukaisuuden varmistamisesta.
Tilapäiset sopimuslausekkeet
Jos rekisterinpitäjä tai henkilötietojen käsittelijä päättää olla käyttämättä komission hyväksymiä vakiolausekkeita, se voi laatia omat sopimuslausekkeensa, niin sanotut ”ad hoc”- tai tilapäiset lausekkeet, jotka tarjoavat riittävät tietosuojatakeet. Ennen tietojen siirtoa kansallisen tietosuojaviranomaisen on hyväksyttävä tällaiset tilapäiset sopimuslausekkeet. Hyväksyminen tehdään Euroopan tietosuojaneuvoston lausunnon perusteella.
Lue lisää
Lisäsuojatoimet Schrems II -tuomion jälkeen
Vuonna 2020 antamassaan tuomiossa C-311/18 (Schrems II) Euroopan unionin tuomioistuin korosti, että organisaatiot voivat tarvittaessa joutua ottamaan käyttöön siirtoperusteita täydentäviä lisäsuojatoimia siirtäessään henkilötietoja ETA-maiden ulkopuolelle.
Vakiolausekkeet ja muut yleisen tietosuoja-asetuksen 46 artiklassa mainitut siirtoperusteet eivät toimi tyhjiössä. Unionin tuomioistuin totesi, että tietoja vievien rekisterinpitäjien tai henkilötietojen käsittelijöiden vastuulla on arvioida tapauskohtaisesti, vaikuttavatko ETA:n ulkopuolisen maan lainsäädäntö tai käytännöt yleisen tietosuoja-asetuksen 46 artiklaan sisältyvien suojatoimien tehokkuuteen esimerkiksi tietojen saantia koskevan lainsäädännön vuoksi.
Euroopan tietosuojaneuvosto on antanut suosituksia, joilla tuetaan tietojen viejiä arvioimaan maita, joihin tietoja siirretään, ja määrittelemään tarvittaessa lisäsuojatoimia.
Tiedonsiirto poikkeuksen perusteella
Tietosuojan riittävyyttä koskevien päätösten ja tietosuoja-asetuksen 46 artiklan mukaisten siirtovälineiden lisäksi yleinen tietosuoja-asetus sisältää kolmannen keinon, joka mahdollistaa henkilötietojen siirron poikkeustapauksissa. Erityistilanteissa voit siirtää henkilötietoja jonkin yleisen tietosuoja-asetuksen 49 artiklassa luetellun poikkeuksen perusteella.
Tietosuoja-asetuksen 49 artikla on poikkeukseksi tarkoitettu säännös. Artiklassa olevia poikkeuksia on tulkittava suppeasti, jotta ne olisivat poikkeuksia säännöstä, jonka mukaan henkilötietoja ei saa siirtää ETA-alueen ulkopuoliseen maahan, ellei kyseisen maan tietosuojan tasoa ole arvioitu riittäväksi tai vaihtoehtoisesti oteta käyttöön asianmukaisia suojatoimia. Poikkeuksista ei voi tulla pääsääntöä, vaan ne on rajattava erityistilanteisiin.
Yleisen tietosuoja-asetuksen 49 artiklan nojalla siirto tai siirtojen sarja voidaan tehdä, jos:
- siirto tehdään henkilön nimenomaisella suostumuksella
- siirto on tarpeen henkilön ja organisaation välisen sopimuksen täytäntöönpanemiseksi tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi henkilön pyynnöstä
- siirto on tarpeen rekisterinpitäjän ja toisen henkilön välisen sopimuksen täytäntöön panemiseksi
- siirto on tarpeen tärkeistä yleistä etua koskevista syistä
- siirto on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi
- siirto on tarpeen asianomaisen henkilön tai muiden henkilöiden elintärkeiden etujen suojaamiseksi, jos henkilö on fyysisesti tai juridisesti kykenemätön antamaan suostumustaan, tai
- siirto tehdään rekisteristä, joka on ETA-maan tai EU:n lainsäädännön mukaan tarkoitettu tietojen välittämiseen yleisölle (ja joka on yleisesti yleisön tai kenen tahansa sellaisen henkilön käytettävissä, joka voi osoittaa, että tiedonsaannille on perusteltu syy).
Siirron tarpeellisuuden arvioimiseksi on suoritettava niin sanottu ”tarpeellisuustesti”. Testillä arvioidaan, voidaanko henkilötietojen siirtoa pitää tarpeellisena kyseisen poikkeuksen tarkoituksen kannalta.
Jos mitään edellä mainituista poikkeuksista ei voida soveltaa erityistilanteeseen, tietoja on mahdollista siirtää rekisterinpitäjän pakottavien oikeutettujen etujen vuoksi.
Tällaiset siirrot ovat kuitenkin sallittuja vain, jos:
- ne eivät ole toistuvia (samankaltaisia siirtoja ei tehdä säännöllisesti)
- siirto koskee ainoastaan rajallista määrää henkilöitä
- siirto on tarpeen organisaation pakottavien oikeutettujen etujen toteuttamiseksi (edellyttäen, että yksilön edut eivät syrjäytä näitä etuja)
- siirtoon sovelletaan asianmukaisia suojatoimia, jotka organisaatio on ottanut käyttöön henkilötietojen suojaamiseksi kaikkien siirtoon liittyvien olosuhteiden arvioinnin perusteella, ja
- kyseessä ei ole viranomaisen tekemä siirto julkista valtaa käyttäessään.
Näissä tapauksissa organisaation on ilmoitettava siirrosta tietosuojaviranomaiselle ja annettava lisätietoja yksityishenkilöille.
Yleisesti ottaen poikkeuksia tulee käyttää vasta viimeisenä keinona tiedonsiirtoon. Organisaation on ensin arvioitava, onko tietosuojan riittävyyttä koskevaa päätöstä tai asianmukaista suojatoimenpidettä mahdollista käyttää.
Kun siirrät tietoja yleisen tietosuoja-asetuksen 49 artiklan mukaisen poikkeuksen perusteella, pidä mielessä, että tietoja siirtävän organisaation on noudatettava myös muita yleisen tietosuoja-asetuksen säännöksiä (mm. määriteltävä asianmukainen oikeusperuste, toteutettava tarvittavat turvatoimet, minimoitava tiedot ja laadittava erillinen sopimus, jos tietojen vastaanottaja on henkilötietojen käsittelijä).