Siirrätkö henkilötietoja EU:n ulkopuolelle? Näin uudet vakiolausekkeet vaikuttavat sinuun

Kuten kollegani Andrei Donoghue kirjoitti viime syksynä, Euroopan unionin tuomioistuimen niin kutsuttu Schrems II -ratkaisu jätti henkilötietoja Euroopan talousalueen ulkopuolelle siirtävät yritykset hankalaan tilanteeseen kumotessaan Yhdysvaltojen ja Euroopan unionin välisen Privacy Shield -järjestelyn hyväksymisen. Ratkaisussaan tuomioistuin totesi Privacy Shieldin tarjoaman tietosuojan tason riittämättömäksi ja siirsi samalla tehtävän arvioida kolmansien maiden tietosuojan tason riittävyys komissiolta yksittäisille yrityksille.

Vaikka päätös koski nimenomaan Yhdysvaltojen ja EU:n välistä järjestelyä ja suuri osa siirroista kohdistuu Yhdysvaltoihin, toistuu sama ongelma myös muiden kolmansien maiden kanssa, joiden osalta ei ole voimassa olevaa tietosuojan riittävyyttä koskevaa päätöstä Euroopan komissiolta. Ratkaisun jälkeen tietosuoja-aktivistit ovat tehtailleet ahkerasti valituksia yrityksiä vastaan ympäri Eurooppaa. Mukana on ollut myös suomalaisia yrityksiä.

Kesällä 2021 julkaistut vakiolausekkeet antoivat onneksi yrityksille uuden pohjan, johon nojautua henkilötietojen siirroissa. Uusia vakiolausekkeita on käytettävä 27.9.2021 alkaen kaikissa uusissa sopimuksissa, joilla siirretään henkilötietoja Euroopan talousalueen ulkopuolelle, kuten Yhdysvaltoihin.

Näin tietoja siirretään

Mutta mistä lähteä liikkeelle uusia henkilötietojen siirtoa koskevia sopimuksia laadittaessa?

Siirtoja koskevien edellytysten kartoittaminen on luonnollinen lähtökohta tietosuoja-asetuksen noudattamisen varmistamiseksi. Moni on varmasti jo tehnyt kartoituksen, mutta varmastikaan kaikki eivät ole tietoisia siitä, missä yhteydessä henkilötietoja siirretään kolmansiin maihin tai tapahtuuko siirtoja ollenkaan.

Tyypillisesti henkilötietoja siirretään kolmansiin maihin esimerkiksi silloin, kun yritys tallentaa keräämiään henkilötietoja kolmannessa maassa, kuten Yhdysvalloissa sijaitsevalle palvelimelle ulkopuolisen palveluntarjoajan kautta. Siirroksi saatetaan kuitenkin laskea myös esimerkiksi ETA:n ulkopuolisessa maassa sijaitsevan teknisen tukipalvelun käyttäminen, jos tukihenkilö saa pääsyn henkilötietoihin, jotka ovat tallennettuna ETA-alueella olevalla palvelimelle.

Siirtojen tunnistamisen jälkeen tulee selvittää, soveltuuko yleinen tietosuoja-asetus henkilötietoja vastaanottavan osapuolen suorittamaan henkilötietojen käsittelyyn. Vakiolausekkeita ei nimittäin voi käyttää sellaiseen käsittelyyn, johon yleinen tietosuoja-asetus soveltuu. Kun yllä mainitut seikat on selvitetty, pitää seuraavaksi pohtia tietojen siirron osapuolten roolia. Vakiolausekkeet koostuvat eri moduuleista, joita sovelletaan sen mukaan, siirtääkö yritys henkilötietoja rekisterinpitäjänä vai käsittelijänä ja onko tietojen vastaanottaja rekisterinpitäjä vai käsittelijä.

Tässä yhteydessä on hyvä kerrata, miten yleinen tietosuoja-asetus määrittelee kyseiset roolit: rekisterinpitäjä on se, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Käsittelijä taas on se osapuoli, joka käsittelee henkilötietoja rekisterinpitäjän lukuun.

Miten tietosuojatasoa arvioidaan?

Ehkä vaikeimpana kysymyksenä Schrems II:n jälkeisenä aikakautena on henkilötietojen siirron kohdemaan tietosuojatason tason riittävyyden arviointi. Kuten mainitsin jo tämän kirjoituksen alussa, vakiolausekkeet helpottavat tietoja siirtävän yrityksen eli viejän työtä. Viejä ei kuitenkaan ole täysin vapaa kolmansien maiden lainsäädännön arvioimisesta. Uusien vakiolausekkeiden 14. lauseke, johon viitataan niin sanottuna ”Schrems-lausekkeena”, velvoittaa tietojen viejän suorittamaan dokumentoidun arvion siitä, onko viejällä syytä uskoa kohdemaan lainsäädännön estävän vakiolausekkeiden asettamien henkilötietojen suojakeinojen toteutumista.

Arviointiin tulee lisäksi kerätä muita seikkoja, jotka tukevat käsitystä vakiolausekkeiden tarjoaman suojan toteutumisesta. Arvion lopputuloksesta riippuen tietojen viejä saattaa olla velvollinen toteuttamaan niin kutsuttuja muita asianmukaisia suojatoimia, jotta tietosuojan taso pystytään takaamaan.

Yleisen tietosuoja-asetuksen voimaantulo laajensi toukokuussa 2018 henkilötietojen suojan käytännössä jokaiselle yritykselle relevantiksi aiheeksi. Sittemmin tietosuoja on osoittautunut hyvinkin dynaamiseksi oikeudenalaksi. Etenkin Schrems I- ja II -ratkaisujen myötä henkilötietoja käsitteleviltä toimijoilta vaaditaan aiempaa vahvempaa hereillä oloa ja vanhojen käytäntöjen päivittämistä.

PwC:n tietosuoja-asiantuntijat seuraavat tietosuojaan liittyviä muutoksia aktiivisesti ja avustavat sinua ja yritystäsi mielellään tietosuoja-asetuksen noudattamista koskevissa kysymyksissä.

Ilmoittaudu webinaariimme – Henkilötietojen siirto muuttuneissa olosuhteissa