Mitä organisaation tulee ottaa huomioon siirtäessään henkilötietoja kolmansiin maihin vuonna 2021? 

IPR and Technology
Privacy

Viimeisen vuoden aikana tietosuojakentässä on tapahtunut useita muutoksia, joilla on suoria vaikutuksia yrityksiin, jotka siirtävät tietoja kolmansiin maihin. Yksi vuoden 2020 merkittävimmistä tietosuojatapauksista oli EU-tuomioistuimen Schrems II -ratkaisu, jolla kumottiin EU:n ja USA:n välinen Privacy Shield -järjestelmä.. EU:n komissio ja USA tiedottivat maaliskuussa 2021 tehostavansa neuvotteluitaan parannellun Privacy Shield -järjestelmän rakentamiseksi, joten yritykset voivat suhtautua varovaisen toiveikkaasti korvaavan ratkaisun löytymiselle lähitulevaisuudessa.

Schrems II -ratkaisussa asetettiin myös laajasti käytössä olevien mallisopimuslausekkeiden (SCC) ja muiden siirtoperusteiden hyödyntämiselle uusia reunaehtoja, joita rekisterinpitäjien on otettava huomioon siirtäessään henkilötietoja kolmansiin maihin. Tiukentuneet edellytykset ja osoitusvelvollisuus aiheuttavat kaikille henkilötietojen siirtoa suunnitteleville eurooppalaisille yrityksille tarpeen arvioida ja tehostaa keinoja, joilla kolmanteen maahan siirrettävien tietojen asianmukainen suoja voidaan varmistaa. Tietojen viejän on muun muassa arvioitava käytettyjen siirtoperusteiden riittävyyttä ja tarvetta täydentäville suojatoimenpiteille. Esimerkiksi mallisopimuslausekkeiden käyttö ei enää automaattisesti takaa riittävää henkilötietojen suojan tasoa, jolloin käyttöön on otettava erillisiä lisäsuojatoimenpiteitä.

Euroopan komissio julkaisi marraskuussa 2020 luonnokset päivitetyistä mallisopimuslausekkeista. Uudet sopimuslausekkeet sisältävät laajemman kirjon käsittely- ja siirtotilanteita (kuten käsittelijältä alikäsittelijälle suunnatut siirrot) sekä kattavampia velvoitteita tietojen viejän ja tuojan osalta. Lisäksi komissio on antanut helmikuussa 2020 luonnokset Iso-Britanniaa koskevista vastaavuuspäätöksistä, jotka voimaan tullessaan mahdollistavat jouhevan henkilötietojen siirron Britteihin myös Brexitin jälkeen.

Arvioi siirron vaikutukset ja huolehdi käsittelysopimukset kuntoon

Suunnitellessaan henkilötietojen siirtoa kolmansiin maihin, on suositeltavaa hyödyntää tietosuojaneuvoston suosituksiin sisältyvää etenemissuunnitelmaa ja esimerkkiluetteloa täydentävistä suojatoimista. Suositukset on kuitenkin kirjattu vain yleisellä tasolla ja tietojen viejä kantaa aina konkreettisen vastuun arvioinnin tekemisestä. Käytännössä tämä tarkoittaa sitä, että siirtoa ei voida aloittaa tai se on keskeytettävä, mikäli riittävää henkilötietojen suojaa ei ole mahdollista toteuttaa.

Tarkista ainakin nämä asiat suunnitellessasi siirtoa EU/ETA-alueen ulkopuolelle:

  • Kartoita kolmansiin maihin tehtävät tietojen siirrot. Selvitä tietojen siirtoon osallistuvat palveluntarjoajat ja sopimuskumppanit, sekä mihin maihin siirtoja on tarkoitus tehdä

  • Arvioi käytettävissä oleva siirtomekanismi ja tarve täydentäville suojatoimenpiteille. Tarvittavat lisätoimenpiteet voivat perustua sopimukseen tai ne voivat olla teknisiä tai organisatorisia. Lisätoimenpiteenä voidaan käyttää esimerkiksi tietojen salausta tai pseudonymisointia, kunhan käytettävät keinot ovat tehokkaita riittävän suojan takaamiseksi.

  • Dokumentoi huolellisesti käsittelytoimet ja tietojen siirtoa koskeva arviointi. Tietojen siirtoa kolmansiin maihin koskeva arviointi kulkee nimellä Transfer Impact Assessment eli TIA. Varmista myös, että rekisteröityjä on informoitu henkilötietojen siirrosta tietosuojaselosteessa. Tietojen viejällä on osoitusvelvollisuus siitä, että siirrot ovat vaatimustenmukaisia.

  • Uudelleenarvioi säännöllisesti käytettyjä suojatoimenpiteitä ja siirron kohteena olevan maan tietosuojaan liittyvää kehitystä.

Uudet mallisopimuslausekkeet on tarkoitus saattaa voimaan tänä vuonna 2021, jonka jälkeen niiden käyttöönottoa seuraa vuoden siirtymäaika. Uusien sopimuslausekkeiden käyttöönottoa odoteltaessa tietojen viejät voivat vielä käyttää nykyisiä mallisopimuslausekkeita, kunhan tietosuojan taso varmistetaan tarvittaessa täydentävillä suojatoimenpiteillä. Lisäksi nykyisiin käsittelysopimuksiin on suositeltavaa lisätä etenemissuunnitelma uusien mallilausekkeiden käyttöönottamiseksi sopimussuhteessa.

Tässä vaiheessa rekisterinpitäjien on viimeistään hyvä kartoittaa siirtääkö yritys henkilötietoja kolmansiin maihin ja jos siirtää; tietojen siirtoa koskevat sopimukset, sillä tietosuojan tason varmistaminen saattaa edellyttää käsittelysopimusten muokkaamista uusien suojatoimenpiteiden käyttöönottamiseksi. Erityisen kriittistä on arvioida tietojen siirtoa kolmansiin maihin ja siinä käytettäviä suojatoimenpiteitä.