Takaisin

Brexit ja tietosuoja – henkilötietojen siirrot ETA:n ulkopuolelle

Sopimukseton Brexit tarkoittaa sitä, että Isosta-Britanniasta tulee välittömästi EU:n ja ETA:n ulkopuolinen kolmas maa. Henkilötietoja voi siirtää kolmansiin maihin vain tietosuoja-asetuksen (EU) 2016/679 liitteessä V säädetyin perustein. Euroopan tietosuojaneuvosto ja Suomen tietosuojavaltuutettu ovat laatineet ohjeistusta Brexitin varalle.

Mitä tehdä, jos organisaatiosi lähettää henkilötietoja Britanniaan?

Vaikka Brexitin virallinen päivämäärä elää jatkuvasti, kannattaa mahdolliseen sopimuksettomaan eroon valmistautua. Henkilötietojen siirron edellytyksenä ETA-alueen ulkopuolelle on, että henkilötietojen käsittelyn on oltava sallittua Suomessa kyseisessä tilanteessa ja henkilötietojen siirron on täytettävä tietosuoja-asetuksen V luvussa määrittämät edellytykset. Siirtoja koskevasta yleisestä periaatteesta on säädetty tietosuoja-asetuksen 44 artiklassa.

Euroopan tietosuojaneuvosto suosittaa (EDPB, European Data Protection Board – linkissä pdf), että organisaatio ottaa nämä viisi asiaa huomioon, kun henkilötietoja siirretään Britanniaan:

  1. Tunnista, mitkä käsittelytoimet edellyttävät henkilötietojen siirtoa Britanniaan.
  2. Määritä tilanteellesi sopiva siirtoperuste.
  3. Valmistele siirtoperuste organisaatiollesi siten, että se on valmis käytettäväksi heti Brexitin tapahtuessa.
  4. Ilmoita sisäisissä dokumenteissasi, että siirrot tehdään Britanniaan.
  5. Päivitä tietosuojailmoituksesi ja tarvittaessa tiedota tilanteesta asiakkaillesi.

 

Komissio voi tehdä päätöksen Britannian tietosuojan riittävyydestä

Tietosuoja-asetus antaa komissiolle mahdollisuuden arvioida kolmannen maan tietosuojan riittävyyttä. Jos komissio päättää, että kolmannen maan alue tai yksi tai useampi tietty sektori tai kansainvälinen järjestö varmistaa riittävän tietosuojan tason, ei siirrolle tarvita erityistä lupaa. Tällaisen päätöksen valmistelu tulee kuitenkin viemään aikaa.

Jos päätöstä ei ole tehty, siirroissa tulee noudattaa tietosuoja-asetuksen 46 artiklan mukaisia asianmukaisia suojatoimia, eli toisin sanoen siirrolle on oltava asianmukainen siirtoperuste.

 

Mitä ovat siirtoperusteet?

Henkilötietojen siirron Britanniaan on Brexitin jälkeen perustuttava johonkin seuraavista:

  1. Komission hyväksymät vakiolausekkeet.

Komissio on hyväksynyt vakiolausekkeita, joiden perusteella henkilötietoja voidaan siirtää EU:sta kolmansiin maihin rekisterinpitäjien välillä (2001/497/EY ja 2004/915/EY) ja rekisterinpitäjän ja henkilötietojen käsittelijän välillä (2010/87/EU). Päätöksissä esitettyjen vakiosopimuslausekkeiden katsotaan tarjoavan riittävät takeet yksilöiden yksityisyyden, perusoikeuksien ja -vapauksien suojelemiseksi ja vastaavien oikeuksien käyttämiseksi, kuten tietosuoja-asetuksessa vaaditaan. Vakiolausekkeita on käytettävä sellaisenaan.

  1. Yritystä koskevat sitovat säännöt.

Yritystä koskevat sitovat säännöt (BCR, Binding Corporate Rules) ovat toimivaltaisen valvontaviranomaisen hyväksymiä yrityksen sisäisiä henkilötietojen siirtämiseen liittyviä sääntöjä. Säännöt ovat oikeudellisesti sitovia ja koskevat yritysryhmän kaikkia yrityksiä sekä niiden työntekijöitä. Säännöistä säädetään tietosuoja-asetuksen 47 artiklassa. Tietosuojavaltuutetun toimiston mukaan sitovia sääntöjä käyttävä yritys osoittaa vahvan sitoutumisen tietosuojasääntelyn noudattamiseen.

  1. Käytännesäännöt ja sertifikaatit.

Käytännesäännöt tai sertifiointimekanismi voivat tarjota asianmukaiset takeet henkilötietojen siirroille, jos ne sisältävät kolmannen maan organisaatiota sitovia ja täytäntöönpanokelpoisia sitoumuksia yksilöiden eduksi. Nämä välineet ovat uusia tietosuoja-asetuksen puitteissa. EDPB laatii ohjeistusta, joissa autetaan ja selitetään näiden työkalujen käyttömahdollisuuksista.

  1. Poikkeukset erityistilanteissa.

Viimesijaisena keinona tiedonsiirtoperusteena voidaan käyttää 49 artiklassa linjattuja perusteita. Tietosuojavaltuutetun toimisto painottaa, että henkilötietojen siirron tulee ensisijaisesti perustua komission tekemään tietosuojan riittävyyttä koskevaan päätökseen tai tietosuoja-asetuksen 46 artiklan mukaisiin asianmukaisiin suojatoimiin. Rekisterinpitäjän on ensisijaisesti pyrittävä siihen, että se voi käyttää siirtoperusteena asianmukaisia suojatoimia. Erityistilanteita koskevia poikkeuksia tulisi käyttää vain, jos asianmukaisten suojatoimien käyttö ei ole mahdollista.

 

Etsitkö tietoa tietosuojalainsäädännöstä tai sen muutoksista? Työskenteletkö esimerkiksi henkilöstöpäällikkönä? Tutustu toiminnalliseen lakiseurantapalveluumme, josta löydät lakien velvoitteet ja muutokset helposti, asiantuntijoidemme kommentoimana.

 

Lue lisää

Tietosuojavaltuutetun toimiston nettisivuilla on koottu yhteenveto Brexitin varalle. Se on luettavissa tästä. Lisäksi EDPB on laatinut ohjeen Brexitin varalle, sen voi lukea tästä (pdf).