Euroopan komissio on hyväksynyt uudet vakiolausekkeet

EU law

Privacy

Uudet vakiolausekkeet hyväksyttiin 4.6.2021

Komissio on hyväksynyt kahdet erilliset vakiolausekkeet, joista toiset koskevat henkilötietojen siirtoja kolmansiin maihin ja toiset rekisterinpitäjien ja henkilötietojen käsittelijöiden välisiä käsittelysopimuksia. Käsittelijäsopimuksia koskevat vakiolausekkeet ovat täysin uusia, kun taas henkilötietojen siirtoja kolmansiin maihin koskevien vakiolausekkeiden on tarkoitus korvata tähän asti voimassa olleet.

Tiedonsiirtoja kolmansiin maihin koskevat vakiolausekkeet ovat yksi tietosuoja-asetuksessa määritellyistä siirtovälineistä, jotka asettavat tietojen viejien ja tuojien velvollisuudet henkilötietojen riittäväksi suojaamiseksi. Tiedonsiirtoja kolmansiin maihin koskevia vakiolausekkeita päivitettiin vastaamaan erityisesti EU:n tuomioistuimen Schrems II -ratkaisun asettamia vaatimuksia. Komissio antoi ensimmäisen luonnoksen uusista vakiolausekkeista jo viime vuoden puolella kommentointia varten ja lopullinen versio vastaa pitkälle luonnoksia.

Mitä muutoksia uudet vakiolausekkeet tuovat tullessaan?

Uudet vakiolausekkeet keskittyvät korjaamaan puutteita nykyisissä vakiolausekkeissa. Uudet vakiolausekkeet mahdollistavatkin useiden eri osapuolten väliset tiedonsiirrot sekä uusien sopimusosapuolten myöhemmän lisäämisen jo olemassa oleviin siirtosopimuksiin. Uudet vakiolausekkeet tuovat tärkeitä muutoksia myös yritysten vastuisiin liittyen. Jatkossa henkilötietojen siirtoketjussa olevat yritykset ovat yhteisvastuussa henkilötietojen suojasta. Tämän lisäksi uudet vakiolausekkeet antavat yksittäisille rekisteröidyille mahdollisuuden vaatia omien oikeuksiensa toteutumista. Uudet vakiolausekkeet eivät myöskään rajaa EU:n ulkopuolella toimivia yrityksiä soveltamisen ulkopuolelle.

Kaiken kaikkiaan uudet vakiolausekkeet lisäävät merkittävästi yritysten vastuuta riittävän henkilötietojen suojan tasosta ja nämä muutokset edellyttävät yrityksiltä entistä tarkempaa tutustumista omiin yhteistyökumppaneihin.

Uusia vakiolausekkeita voidaan käyttää, kun kyseessä on:

  1. Siirrot rekisterinpitäjältä toiselle rekisterinpitäjälle;

  2. Siirrot rekisterinpitäjältä käsittelijälle;

  3. Siirrot käsittelijältä toiselle käsittelijälle, tai;

  4. Siirrot käsittelijältä rekisterinpitäjälle.

Uudet vakiolausekkeet vastaavat paremmin nykyisen tietosuoja-asetuksen sisältöä ja ottavat huomioon Schrems II -tuomion asettamat uudet vaatimukset. Tiedon viejien tuleekin mm. arvioida henkilötietojen suojan taso kolmannessa maassa, arvioida tarve täydentäville suojakeinoille sekä huolehtia riittävästä dokumentaatiosta.

Uudet vakiolausekkeet asettavat tiukempia velvollisuuksia myös tietojen tuojille. Tietojen tuojien tulee esimerkiksi ilmoittaa tietojen viejälle, mikäli vakiolausekkeiden edellytyksiä ei voida toteuttaa. Tietojen tuojien tulee myös mahdollisuuksien mukaan ilmoittaa sekä tietojen viejälle että rekisteröidyille, mikäli kansalliset viranomaiset pyytävät pääsyä henkilötietoihin. Heidän tulee lisäksi arvioida kyseisen pyynnön lainmukaisuus sekä mahdollisesti vastustaa tietopyyntöä ja huolehtia prosessin dokumentoinnista. Näillä säännöksillä EU:n komissio pyrkii takaamaan riittävän henkilötietojen suojan myös EU:n ulkopuolella.

Milloin uudet vakiolausekkeet tulevat voimaan?

Yritysten on mahdollista käyttää uusia vakiolausekkeita jo 27.6.2021 (voimaantulopäivä) alkaen, mutta tämä ei ole kuitenkaan pakollista, sillä yritykset voivat hyödyntää vakiolausekkeille asetettua siirtymäaikaa. Yritykset voivat käyttää vanhoja vakiolausekkeita solmiessaan uusia sopimuksia 3 kuukauden ajan voimaantulopäivän jälkeen (27.9.2021 asti). Tämän aikarajan päätyttyä yritykset eivät enää voi tehdä uusia siirtosopimuksia käyttäen vanhoja vakiolausekkeita. Sopimukset ja vanhojen vakiolausekkeiden käyttö tulisi päivittää uudempaan versioon 18 kuukauden kuluessa voimaantulopäivästä, eli viimeistään 27.12.2022 mennessä.

Mitä tämä kaikki tarkoittaa yrityksille?

  1. Riskiarviointi on pakollista: yritysten tulee arvioida henkilötietojen suojataso kolmannessa maassa jo ennen uusien vakiolausekkeiden käyttöönottoa.

  2. Uudet vakiolausekkeet tulee ottaa kokonaisuudessaan käyttöön ensi vuoden aikana: yritysten tulee varautua uusien tiedonsiirtosopimusten solmimiseen ja vanhojen päivittämiseen yhteistyökumppaneidensa kanssa.

  3. Yritysten tulee tuntea yhteistyökumppaninsa jatkossa entistä tarkemmin: uusien vakiolausekkeiden mukaan yritykset ovat yhteisvastuussa henkilötietojen suojaamisesta, mikä edellyttää luotettavien yhteistyökumppaneiden valitsemista. Yritykset ovat myös suoraan vastuussa rekisteröidyille.

Vakiolausekkeet tiedonsiirroista kolmansiin maihin:

Käsittelysopimuksia koskevat vakiolausekkeet:

Varaa maksuton tapaaminen juristiemme kanssa, niin kartoitamme yhdessä yrityksesi juridiset tarpeet.