Yritysten väliset sopimussuhteet suurennuslasin alla päivittyneiden vakiolausekkeiden takia

Tiedonsiirtoja kolmansiin maihin koskevat vakiolausekkeet ovat yksi tietosuoja-asetuksen määrittelemistä siirtovälineistä ja tarkoitettu käytettäväksi silloin, kun henkilötietoja siirretään EU:n ulkopuolelle.

Tiedonsiirtoja kolmansiin maihin koskevat vakiolausekkeet ovat yksi tietosuoja-asetuksen määrittelemistä siirtovälineistä ja tarkoitettu käytettäväksi silloin, kun henkilötietoja siirretään EU:n ulkopuolelle.

Vakiolausekkeet asettavat tietoa siirtävän osapuolen ja vastaanottajan välille tiedonsiirtoon sovellettavat ehdot ja pyrkivät näin takaamaan henkilötietojen riittävän suojan kolmansissa maissa.  Tietosuojaa koskevia vakiolausekkeita päivitettiin vastikään EU-tuomioistuimen Schrems II -ratkaisun seurauksena. Yritysten osalta tämä tarkoittaa entistä yksityiskohtaisemman arvioinnin tekemistä tiedonsiirtojen osalta ja uusien vakiolausekkeiden ottamista osaksi voimassa olevia sopimussuhteita.

Euroopan komission kesäkuun alussa hyväksymät uudet vakiolausekkeet ovat viime aikoina herättäneet laajalti keskustelua henkilötietojen siirrosta EU:n ulkopuolelle. Keskustelun ytimeen ovat nousseet erityisesti kysymykset siitä, miten nämä päivitetyt säännökset tulee käytännössä ottaa yrityksen toiminnassa huomioon ja millaisia muutoksia ne edellyttävät niin yritysten välisissä sopimussuhteissa kuin osoitusvelvollisuuden osalta laajemmin.

Koska liiketoiminnot nojautuvat tänä päivänä entistä vahvemmin pilvipohjaisiin järjestelmiin, pitää päivittyneet vakiolausekkeet huomioida yritysten toiminnassa niiden kokoluokasta tai liiketoiminnan luonteesta riippumatta. Tiedonsiirtäjän on aina varmistettava, ettei tietosuoja-asetuksen edellyttämää henkilötietojen suojan tasoa vaaranneta, kun tietoja siirretään EU:n ulkopuolelle. Aiemmat sopimukset palveluntuottajien ja muiden yhteistyökumppaneiden kanssa joutuvatkin nyt entistä tarkemman suurennuslasin alle.

Henkilötietojen siirtäminen edellyttää aina siirtoperusteen olemassaoloa, tapahtui tietojen siirto sitten Euroopan talousalueen sisällä tai sen ulkopuolella. Siirtoperusteen tulee kattaa myös henkilötietojen edelleensiirtoa koskevat tilanteet, eli esimerkiksi sellaiset tilanteet, joissa yrityksen käyttämä palveluntarjoaja mahdollistaa pääsyn siirrettävään dataan kolmannelle osapuolelle.

Tiedossa käytännön toimenpiteitä

Tietosuojaa koskevat vakiolausekkeet on tarkoitettu varmistamaan henkilötietojen suojan riittävä taso siirron kohdemaassa. Vakiolausekkeet tarjoavat yrityksille pohjan, jota vasten sopia henkilötietojen siirrosta. Yritykset voivat soveltaa vakiolausekkeita sellaisenaan, tai ne voidaan integroida joko kokonaan tai tietyiltä osin osaksi yritysten välistä muuta sopimusta.

Mitä yritysten tulisi sitten huomioida päivittyneiden vakiolausekkeiden osalta?

Tiivistetysti se tarkoittaa ainakin seuraavia käytännön toimenpiteitä:

    1. Tunnista kaikki tilanteet, joissa henkilötietoja siirretään EU:n ulkopuolelle ja määrittele kuhunkin siirtoon sovellettava siirtoperuste. Edellä mainittu kattaa myös ne tilanteet, joissa sopimuskumppani siirtää tietoja eteenpäin.

2. Tarkista jokaisen tietoja vastaanottavan ja siirtävän sopimuskumppanin kanssa, taataanko siirrettäville henkilötiedoille kolmannen maan lainsäädännössä sellainen henkilötietojen suoja, joka vastaa olennaisilta osin tietosuoja-asetuksen asettamaa tasoa.

3. Päivitä sopimukset ja niiden sisältämät henkilötietojen siirtoon sovellettavat sopimusehdot vastaamaan uusia vakiolausekkeita. Uusien sopimussuhteiden osalta on jo sovellettava uusia vakiolausekkeita.

  4. Arvioi, onko esimerkiksi vastaanottajan lainsäädännöstä johtuvista syistä tarpeen sopia erillisistä lisätoimenpiteistä henkilötietojen riittävän suojan takaamiseksi. Vakiolausekkeiden käyttö ei itsessään tee tiedonsiirrosta automaattisesti lainmukaista. Sopimussuhteissa tällaiset lisätoimenpiteet voivat olla esimerkiksi sopimukseen otettavia sopimusehtoja, jotka asettavat sopimuskumppanille tiettyjä velvoitteita tai vastuita.

Yritysten tulee siis jatkossa tuntea sopimuskumppaninsa ja niiden suorittama henkilötietojen käsittely entistä tarkemmin. Uusien vakiolausekkeiden mukaan tiedon siirtoon osallistuvat tahot ovat yhteisvastuussa henkilötietojen suojaamisesta. Tämä koskee myös vastuuta suoraan rekisteröityä kohtaan. Rekisteröidyllä tarkoitetaan henkilöä, jota tieto koskee. Yrityksen luotettavuus nousee siten entistä suurempaan painoarvoon ja ohjaavaksi tekijäksi sopimuskumppania valittaessa.

Uudet vakiolausekkeet astuivat voimaan 27.6.2021. Siitä lähtien yritysten on ollut mahdollista käyttää niitä osana sopimussuhteitaan. Komissio on kuitenkin päätöksessään asettanut vakiolausekkeiden käyttöönotolle siirtymäajan, jonka mukaisesti yritysten tulisi päivittää sopimuksensa 18 kuukauden kuluessa voimaantulopäivästä, eli viimeistään 27.12.2022.

Huomionarvoista siirtymäajan osalta kuitenkin on se, että yritykset eivät enää voi solmia uusia henkilötietojen siirtosopimuksia nojautumalla vanhaan sääntelyyn.