Mitä sääntöjä sovelletaan, jos yritys siirtää tietoja EU:n ulkopuolelle?

Vastaus

Tämän päivän globaalissa maailmassa suuria määriä henkilötietoja siirretään maasta toiseen ja tallennetaan joskus palvelimille eri maihin. Yleisen tietosuoja-asetuksen suoja siirtyy tietojen mukana, ja henkilötietojen suojaamista koskevat säännöt pätevät riippumatta käsittelymaasta. Niitä sovelletaan myös, kun tietoa on siirretty maahan, joka ei ole EU:n jäsenvaltio ('kolmansiin maihin).

Yleinen tietosuoja-asetus tarjoaa erilaisia työkaluja koskien tietojen siirtämistä EU:sta kolmansiin maihin:

• Joskus kolmannen maan voidaan arvioida tarjoavan riittävän tietosuojatason Euroopan komission päätöksellä ('päätös tietosuojan riittävyydestä'). Tuolloin tietoja voidaan siirtää toisen yrityksen kanssa kyseiseen kolmanteen maahan ilman, että tietojen viejän on ryhdyttävä lisäsuojatoimiin tai täytettävä lisäehtoja. Toisin sanoen tietojen siirtämiseen riittävän suojatason tarjoavaan kolmanteen maahan on verrattavissa tietojen siirtämiseen EU:n alueella.

• Jos päätöstä tietosuojan riittävyydestä ei ole tehty, siirtäminen voi tapahtua vain, jos käytössä on asianmukaiset suojatoimet ja sillä ehdolla, että yksilöillä on oikeudellisesti täytäntöönpanokelpoiset oikeudet ja tehokkaat oikeussuojakeinot. Asianmukaisia suojatoimia ovat muun muassa seuraavat:
  • tietojen siirtäminen niin kutsuttujen sitovien yrityssääntöjen puitteissa, kun kyse on yritysryhmästä tai yhteistä liiketoimintaa harjoittavista yrityksistä
  • sopimusjärjestelyt henkilötietojen vastaanottajan kanssa, esimerkiksi Euroopan komission hyväksymät vakiolausekkeet
  • käytännesääntöihin sitoutuminen tai sertifiointimekanismi sekä sitovat ja täytäntöönpanokelpoiset sitoumukset vastaanottajalta, että se käyttää asianmukaisia suojatoimia siirrettyjen tietojen suojaamiseksi.
• Jos henkilötietoja aiotaan siirtää kolmanteen maahan, jonka tietosuojan riittävyydestä ei ole tehty päätöstä ja jossa ei ole asianmukaisia suojatoimia, siirtäminen voi perustua lukuisiin erityistapauksia koskeviin poikkeuksiin, kuten esimerkiksi jos yksilö on antanut nimenomaisen suostumuksensa saatuaan kaikki tarvittavat tiedot siirtämiseen liittyvistä riskeistä.

Esimerkki

Ranskalainen yrityksesi aikoo laajentaa palvelujaan Etelä-Amerikkaan, erityisesti Argentiinaan, Uruguayhin ja Brasiliaan. Ensin on tarkistettava, onko kyseisten maiden tietosuojan riittävyydestä olemassa päätös. Kyseisessä tapauksessa sekä Argentiinan että Uruguayn tietosuoja on todettu riittäväksi. Henkilötietoja voidaan siirtää näihin kahteen kolmanteen maahan ilman lisäsuojatoimia, kun taas tietojen siirtäminen Brasiliaan edellyttää asianmukaisia suojatoimia, koska sen tietosuojan riittävyydestä ei ole tehty päätöstä.

Viitteet

• Luku V (artiklat 44–50); johdanto-osan kappaleet 101–116
• Euroopan tietosuojaneuvoston uusimmat suuntaviivat kansainvälisistä siirroista
  • Euroopan tietosuojaneuvoston suuntaviivat tietosuojan riittävyydestä
  • Euroopan tietosuojaneuvoston suuntaviivat sitovista yrityssäännöistä rekisterinpitäjille
  • Euroopan tietosuojaneuvoston suuntaviivat sitovista yrityssäännöistä henkilötietojen käsittelijöille
• Ks. myös Euroopan komission tiedonanto henkilötietojen vaihtamisesta ja suojaamisesta globalisoituneessa maailmassa1, 10.1.2017

1 COM(2017) 7 final

Example

You're a French company intending to expand its services to South America, notably Argentina, Uruguay and Brazil. The first step would be to check whether those third countries are subject to an Adequacy Decision. In this case, both Argentina and Uruguay have been declared adequate. You’d be able to transfer personal data to those two third countries without any additional safeguards while for transfers to Brazil which is not the subject of Adequacy Decision, you’ll have to frame your transfers by providing appropriate safeguards.