Henkilötietojen siirtäminen ETA-maiden ulkopuolelle vaatii huolellista suunnittelua.
EU:n tietosuoja-asetuksessa säädetään tietojen siirron ja luovuttamisen edellytyksistä. EU:n komission verkkosivuilla on tietoa eri vaihtoehdoista , joita voidaan käyttää siirrettäessä henkilötietoja EU/ETA:n ulkopuolelle. Esitetyistä vaihtoehdoista voi tulla kyseeseen kaksi yleisintä tapaa: riittävyyspäätös ja vakiosopimuslausekkeet.
Jos EU:n komissio on päättänyt, että kyseinen kolmas maa (esim. Israel, Japani, Uusi-Seelanti, Sveitsi) tai joku alue tai yksi tai useampi sektori (esim. Kanadan kaupalliset toimijat) tai järjestö varmistaa riittävän tietosuojan tason, siirrolle ei tarvita erityistä lupaa. Tätä kutsutaan EU:n komission antamaksi ns. riittävyyspäätökseksi.
Komission tekemät riittävyyspäätökset voit lukea täältä.
Jos riittävyyspäätöstä ei ole, voidaan henkilötietoja siirrettäessä käyttää komission vahvistamia vakiosopimuslausekkeita.
Vakiosopimuslausekkeista on laadittu erilaiset versiot vastaanottajan rooliin perustuen: controller to controller (rekisterinpitäjältä toiselle) ja controller to processor (rekisterinpitäjältä henkilötietojen käsittelijälle, joka käsittelee tietoja rekisterinpitäjän lukuun). Vakiosopimuslausekkeilla pyritään turvaamaan siirrettäville eurooppalaisten henkilötiedoille keskeisiltä osiltaan vastaava tietosuojan taso kuin niitä EU/ETA:n sisälläkin käsiteltäessä on, riippumatta vastaanottajavaltion omasta lainsäädännöstä. Vakiosopimuslausekkeiden sisältöä ei saa muuttaa, vaan ne on otettava sopimuksen osaksi juuri komission hyväksymässä muodossa. Lausekkeet sisältävään useampisivuiseen asiakirjaan täydennetään vain osapuolten yksilöintitiedot ja asiakirjan liitteissä vaadittavat tiedot.
EU-tuomioistuimen heinäkuinen päätös korosti lisäksi, että tietojen viejä ja tietojen vastaanottaja yhdessä arvioivat riittävätkö vakiosopimuslausekkeet turvaamaan EU:n yleisen tietosuoja-asetuksen edellyttämän riittävän tietosuojan tason vastaanottajavaltiossa.
Mahdollisia lisäsuojatoimia voivat olla esim. henkilötietojen (kaksoiskoodattu) pseudonymisointi ja tietojen salaus tiedon siirron aikana. Niitä voidaan käyttää joka tapauksessa.
Tietosuojavaltuutetun ohje aiheesta täällä.
Tietojen siirto Isoon-Britanniaan
Tällä hetkellä (19.10.2020) ei ole yksiselitteistä tietoa, miten henkilötietoja voidaan siirtää ja käsitellä Isossa-Britanniassa erosopimukseen sisältyvän siirtymäajan päätyttyä tämän vuoden lopussa.
Mahdollisesti EU ja Iso-Britannia saavat lokakuun alkupuolella aikaan sopimuksen tulevasta yhteistyöstä, jossa otetaan silloin todennäköisesti kantaa myös tietosuojalainsäädännön tasoon Isossa-Britanniassa. Mahdollisen sopimuksen sisällöstä ei saada varmuutta ennen kuin sopimus on molempien osapuolten osalta hyväksytty. Sopimusneuvottelut ovat myös tällä hetkellä kesken, ja sopimuksen syntyminen on epävarmaa. Siltä varalta, että sopimusta ei saada tehtyä tai sopimusta ehditä hyväksyä ennen vuoden vaihdetta, on olemassa kuitenkin vaihtoehtoinen toimintamalli.
Jos Iso-Britannia säilyttää voimassa siirtymäkauden päätyttyä nykyisen EU-maissa voimassa olevan tietosuojan tason turvaavan lainsäädännön, EU:n komissio voi antaa vastaavuudesta ns. riittävyyspäätöksen. Komissio voi kuitenkin tehdä päätöksen vasta siirtymäajan päätyttyä, kun tiedetään varmasti Isossa-Britanniassa silloin voimassa olevan lainsäädännön sisältö. Todennäköisesti komissiossa valmistellaan päätöstä jo nyt, mutta mitään takeita ei ole, että vastaavuuspäätös saataisiin tehtyä heti vuodenvaihteen jälkeen.
Jos haluatte olla varmoja, että voitte käyttää vuodenvaihteen jälkeen Isossa-Britanniassa toimivaa analyysin tekijää henkilötietojen käsittelijänä tai muutoin luovutuksen vastaanottajana (rekisterinpitäjä), heidän kanssaan tehtävän sopimuksen osaksi tulisi ottaa mukaan tilanteeseen soveltuvat EU:n vakiosopimuslausekkeet, ainakin jos sopimus tehdään jo ennen komission mahdollista riittävyyspäätöstä.
EU-tuomioistuimen heinäkuinen päätös korosti lisäksi, että tietojen viejä ja tietojen vastaanottaja yhdessä arvioivat riittävätkö vakiosopimuslausekkeet turvaamaan EU:n yleisen tietosuoja-asetuksen edellyttämän riittävän tietosuojan tason vastaanottajavaltiossa. Tällä hetkellä ei ole tiedossa, että Iso-Britannia heikentäisi tietosuojan tasoa nykyisestä EU:n yhteisestä tasosta. Näin jo vakiosopimuslausekkeet yksinään riittäisivät mahdollistamaan henkilötietojen siirron ja käsittelyn Isossa-Britanniassa myös vuodenvaihteen jälkeen. Vakiosopimuslausekkeiden käyttö, vaikka vain varmuuden vuoksi, on mahdollista jo nyt, koska lausekkeet vastaavat pitkälti Iso-Britanniassa tälläkin hetkellä sovellettavan lainsäädännön sisältöä. Komission annettua riittävyyspäätöksen vakiosopimuslausekkeilla osana sopimusta ei ole enää varsinaista merkitystä, eikä niiden mukanaolo aiheuta mitään tarvetta sopimuksen muuttamiseksi tai päivittämiseksi.
Mahdollisia lisäsuojatoimia voisivat olla esim. henkilötietojen (kaksoiskoodattu) pseudonymisointi ja tietojen salaus tiedon siirron aikana. Niitä voidaan käyttää myös joka tapauksessa.