EU:n yleisen tietosuoja-asetuksen (GDPR) mukaan henkilötietoja ei voi siirtää EU/ETA-alueen ulkopuolelle ilman juridisia suojatoimia lukuun ottamatta niitä maita, joiden katsotaan EU Komission päätöksellä olevan ns. vastaavan suojan tason maita kuten Kanada ja Iso-Britannia. Yleisin juridinen suojatoimi, jota käytetään henkilötietojen siirroissa EU/ETA-alueen ulkopuolelle ovat EU Komission hyväksymät vakiolausekkeet (Standard Contractual Clauses, SCCs). Vakiolausekkeet ovat käytännössä vakiosopimuspohjia, jotka liitetään osaksi rajat ylittäviä sopimuksia.
Mihin yrityksiin muutos vaikuttaa?
Tämä muutos vaikuttaa lähes kaikkiin yrityksiin EU:ssa. Jos yritys käyttää mitä tahansa palveluntarjoajia tai kumppaneita, jotka toteuttavat henkilötietojen käsittelytoimia EU/ETA-alueen ulkopuolella, tällä muutoksella on todennäköisesti vaikutuksia. Esimerkiksi lähes kaikki suurimmat hosting-palveluiden tarjoajat käyttävät hajautettua infrastruktuuria, johon käytännössä liittyy henkilötietojen käsittely (pääsy henkilötietoihin) EU/ETA-alueen ulkopuolelta, vaikka palvelimet itsessään sijaitsisivatkin EU/ETA-alueella ja henkilötietoja säilytettäisiin tällä alueella.
Erityisesti tämä vaikuttaa yrityksiin, jotka tarjoavat omia ohjelmistotuotteita tai -palveluita ja ovat tähän saakka käyttäneet vanhoja vakiolausekkeita siirtäessään henkilötietoja EU/ETA-alueen ulkopuolisille käsittelijöille tai rekisterinpitäjille. Näiden yritysten on tehtävä toimenpiteitä jo 27. Syyskuuta 2021 mennessä tai on vaarana, että toimitaan GDPR:n vastaisesti. Vanhoja vakiolausekkeita ei tule enää em. päivän jälkeen käyttää osana uusia sopimuksia.
Mikä on muuttunut?
Uudet vakiolausekkeet käsittävät edelleen monia samoja tai samankaltaisia ehtoja kuin aiemmatkin, mutta niissä on myös huomionarvioisia uusia seikkoja, joista muutamia seuraavassa:
1. Nyt on mahdollista (ja jopa pakollista) sisällyttää samaan vakiolausekkeisiin perustuvaan sopimukseen useita eri osapuolia. Esimerkiksi verkossa toimivalla jälleenmyyjällä voi olla käytössään vakiolausekkeet, joihin kuuluvat a) verkkokaupan omistaja (rekisterinpitäjä), b) verkkokauppa-alustan tarjoaja (käsittelijä), c) hosting-palveluiden tarjoaja (käsittelijä), d) maksupalveluiden tarjoaja (rekisterinpitäjä tai käsittelijä), e) lähetyspalveluiden tarjoaja (käsittelijä) ja f) verkkokauppaan liittyvää data-analytiikkaa tarjoava yritys (käsittelijä).
2. Kolmansien osapuolien, kuten rekisteröityjen henkilöiden, on nyt helpompaa esittää korvausvaatimuksia ketä tahansa henkilötietojen käsittelyyn osallistuvaa osapuolta kohtaan. Tilanteissa, joissa useampi kuin yksi osapuoli on vastuussa aiheutuneesta henkilötietojen käsittelystä aiheutuneesta vahingosta, tunnetaan myös osapuolien yhteisvastuu.
3. Vakiolausekkeiden osapuolten on jatkossa myös tehtävä ja dokumentoitava vakiolausekkeiden käyttöä koskeva riskiarviointi ja toteuttava sellaiset tekniset ja organisatoriset riskejä pienentävät toimenpiteet, joilla varmistetaan, etteivät rekisteröityjen oikeudet ole vaarassa tietojen siirrossa.
Mitä yritysten on nyt tehtävä?
Yritysten, joiden toimintaan liittyy henkilötietojen siirtoja EU/ETA-alueen ulkopuolelle (tai EU/ETA-alueella olevia henkilötietoja voidaan käsitellä ulkopuolelta käsin), on arvioitava nykyisen henkilötietojen käsittelynsä ja siirtomekanismiensa tilanne. Mikäli tehdään uusia sopimuksia, joihin liittyy henkilötietojen siirto EU/ETA-alueen ulkopuolelle, on varmistettava, että uudet vakiolausekkeet ovat käytössä heti 27.9.2021 jälkeen, jotta henkilötietojen siirto toteutetaan laillisesti.
Kaikkien yritysten, jotka käyttävät vanhoja vakiolausekkeita, on huolehdittava, ettei niitä käytetä enää vanhoissakaan sopimuksessa 27.12.2022 jälkeen. Yritysten on siis neuvoteltava myös vanhoja sopimuksia uudestaan tai muutettava niitä siten, että uudet vakiolausekkeet saadaan käyttöön em. päivämäärän mennessä.
Berggrenin tietosuojatiimi auttaa mielellään kaikissa kysymyksissä ja käytännön asioissa, jotka koskevat uusien vakiolausekkeiden käyttöönottoa. Neuvomme, kuinka yritys voi varmistaa toimivansa GDPR:n mukaisesti 27.9.2021 ja 27.12.2022 jälkeen.
Lisätietoja saat blogin kirjoittajilta:
Arttu Ahava
Technology lawyer, certified information privacy professional/Europe (CIPP/E)
arttu.ahava@berggren.fi
Suvi Julin
Technology lawyer, partner
suvi.julin@berggren.fi