Henkilötietojen siirrot Yhdysvaltoihin: Päivitetyt mallisopimuslausekkeet ja uudet suositukset julkaistu Schrems II -päätöksen jatkotoimenpiteinä
17.12.2020
Privacy Shield -menettelyn kumoaminen nk. Schrems II -päätöksessä sai aikaan kauaskantoisia vaikutuksia. Päätös loi Euroopan tietosuojaneuvostolle ja Euroopan komissiolle tarpeen päivittää annettuja suosituksia sekä vahvistettuja mallisopimuslausekkeita liittyen tietojen siirtoon EU/ETA-alueen ulkopuolelle. Euroopan komissio julkaisi päivitetyt luonnokset mallisopimuslausekkeista (Standard Contractual Clauses, SCC) marraskuussa 2020. Myös Euroopan tietosuojaneuvosto julkaisi omat suosituksensa tietosuojaa täydentävistä toimista.
Tietosuojaneuvoston suositukset
Tietosuojaneuvosto antoi marraskuussa suositukset koskien sekä täydentäviä suojatoimia että olennaisia eurooppalaisia takeita (European Essential Guarantees).
Tietosuojaneuvoston antamilla suosituksilla pyritään auttamaan rekisterinpitäjiä ja henkilötietojen käsittelijöitä toteuttamaan asianmukaisia täydentäviä suojatoimia ja varmistamaan henkilötietojen riittävä suojan taso. Suositukset sisältävät useita konkreettisia esimerkkejä toimista, joilla turvataan tiedonsiirrot Schrems II:n jälkeisessä tilanteessa. Suosituksissa nostetaan esiin myös tyyppitilanteita, joissa tietosuojaneuvoston mielestä on mahdotonta ottaa käyttöön tehokkaita teknisiä suojatoimia siirtojen turvaamiseksi riittävällä tavalla.
Tietosuojaneuvosto sisällytti suosituksiin tietojen siirtäjän selvitystyötä varten etenemissuunnitelman sekä esimerkkiluettelon täydentävistä suojatoimista. Etenemissuunnitelmalla pyritään siihen, että EU:n/ETA:n ulkopuolelle suuntautuvat tiedonsiirrot ovat lainmukaisia. Vastuu konkreettisen arvioinnin tekemisestä on kuitenkin henkilötietojen siirtäjällä. Siirtäjän vastuulla on henkilötietojen siirron kokonaistilanteen, kolmannen maan lainsäädännön sekä siirtovälineen arviointi. Lisäksi prosessi on myös dokumentoitava huolellisesti.
Euroopan tietosuojaneuvosto antoi toisen suosituksensa auttaakseen henkilötietojen siirtäjiä arvioinnin suorittamisessa. Suosituksen tarkoituksena on auttaa tietojen siirtäjää arvioimaan, voidaanko kolmannen maan viranomaisten pääsyä tietoihin ja puuttumista yksityisyyden suojaa sekä henkilötietojen suojaa koskeviin oikeuksiin valvontatarkoituksissa pitää oikeutettuna.
Suosituksia täydentävistä suojatoimista sovelletaan välittömästi ja tietojen siirtoa kolmanteen maahan ei voida aloittaa tai tietojen siirto on keskeytettävä, jos suositusten mukaisia riittäviä täydentäviä suojatoimia ei voida toteuttaa.
Mallisopimuslausekkeet
Mallisopimuslausekkeet ovat siirtovälineitä, joiden avulla on ollut mahdollista toteuttaa henkilötietojen siirtoja EU:n ja ETA-alueen ulkopuolelle. Niissä määritellään henkilötietojen viejän ja tuojan velvollisuudet suoritettavien tiedonsiirtojen osalta. Mallisopimuslausekkeet soveltuvat siirtoperusteeksi, jos kumpikin osapuoli on sitoutunut niiden noudattamiseen. Yleisenä käytäntönä onkin laatia henkilötietojen siirrosta sopimus, johon sisällytetään liitteeksi nämä mallisopimuslausekkeet. Mallisopimuslausekkeita voivat käyttää vain EU:n alueelle sijoittuneet tietojen viejät, jotka ovat rekisterinpitäjiä.
Mallisopimuslausekkeiden hyödyntämisen yhteydessä on kuitenkin huomioitava, ettei niiden käyttäminen yksistään ole välttämättä riittävä toimi.
Mitä muutoksia on odotettavissa?
Komissio katsoi mallisopimuslausekkeiden päivittämisen tarpeelliseksi, jotta siirtyminen Privacy Shield ‑menettelystä Schrems II -päätöksen jälkeen olisi selkeämpää ja jotta mallilausekkeet olisivat kattavampia ja vastaisivat GDPR:n vaatimuksia paremmin.
Nykyiset mallisopimuslausekkeet ovat perustuneet kahden rekisterinpitäjän välisiin siirtoihin tai rekisterinpitäjän ja henkilötietojen käsittelijän välisiin siirtoihin. Päivitettyjen mallisopimuslausekkeiden luonnoksessaan komissio pyrkii poikkeamaan aikaisemmasta lähestymistavastaan ja mahdollistaa tietojensiirron myös muissa relaatioissa. Luonnoksessa päivitetyiksi mallisopimuslausekkeiksi huomioidaan sekä mahdollistetaan tietojensiirto seuraavissa relaatioissa:
- rekisterinpitäjien väliset siirrot
- rekisterinpitäjältä tietojenkäsittelijälle suuntautuvat siirrot
- tietojenkäsittelijältä alikäsittelijälle suuntautuvat siirrot
- tietojenkäsittelijältä rekisterinpitäjälle suuntautuvat siirrot.
Päivitetyt mallisopimuslausekkeet sisältävät myös aikaisempiin versioihin verrattuna pidemmälle ulottuvia velvoitteita sekä tietojen viejän että tietojen tuojan osalta.
Komission antamaa luonnos oli kommentoitavana 10.12.2020 asti. Lopullista päätöstä niiden voimaantulosta seuraa vuoden siirtymäaika, jonka kuluessa nykyisiä voimassa olevia mallisopimuslausekkeita (tarvittavine lisäsuojatoimineen) voidaan vielä käyttää.
Mitä kannattaa tehdä jo nyt?
Uusien suositusten ja päivitettyjen mallisopimuslausekkeiden luonnosten osalta yritysten on jo ennakoiden hyvä käydä läpi seuraavat asiat:
- Käy läpi sopimuskumppanit sekä palveluntarjoajat ja selvitä, mitkä näistä tahoista siirtävät henkilötietoja EU:n tai ETA:n ulkopuolelle tai muutoin käsittelevät niitä siellä. Selvitä, mitä suojamekanismeja näiden siirtojen yhteydessä käytetään ja varmista, tarvitaanko jo käytössä olevien suojatoimien lisäksi muita täydentäviä suojatoimenpiteitä. Uudelleenarvioi valittuja suojatoimenpiteitä säännöllisesti ja seuraa kehitystä niiden kolmansien maiden osalta, joihin tietoja siirretään.
- Päivitä tietosuojaselosteet ja muu tietosuojainformaatio. Henkilötietojen siirtämisestä EU:n tai ETA:n ulkopuolelle ja siirroissa käytetyistä suojamekanismeista on informoitava käsittelyn kohteena olevia rekisteröityjä.
- Seuraa viranomaisten antamia ohjeistuksia. Suomessa tietosuojavaltuutetun toimisto on lausunut aloittavansa valmistelut Euroopan tietosuojaneuvoston antamien suositusten saattamiseksi voimaan.
- Huolehdi muun tietosuoja-aineiston ja käytäntöjen ajantasaisuudesta.
Annamme mielellämme lisätietoja:
Markus Myhrberg, Partner, [email protected], puh. 040 505 5343