Henkilötietojen siirtoja eta:n ulkopuolelle koskevat vakiolausekkeet tulee päivittää 27. joulukuuta 2022 mennessä

Euroopan komissio hyväksyi kesäkuussa 2021 uudet vakiolausekkeet (Standard contractual clauses, SCCs). Päivitettyjen vakiolausekkeiden käyttöönotolle säädettiin tuolloin siirtymäaika, joka päättyy 27. joulukuuta 2022. Kyseisestä päivämäärästä lähtien vanhat vakiolausekkeet eivät enää käy tietosuoja-asetuksen mukaiseksi siirtovälineeksi henkilötietojen siirtämiseksi ETA:n ulkopuolelle, vaan nykyisistäkin sopimuksista vanhat lausekkeet tulee korvata päivitetyillä vakiolausekkeilla siihen mennessä.

Vakiolausekkeet ovat yksi tietosuoja-asetuksessa määritellyistä siirtovälineistä, joilla henkilötietoja voidaan siirtää EU:n ja ETA:n ulkopuolelle. On kuitenkin tärkeää muistaa, että uudistetutkaan lausekkeet eivät silti välttämättä ole riittävät henkilötietojen siirtoon ETA-maiden ulkopuolelle.

Rekisterinpitäjän on tehtävä aina tapauskohtainen riskiarvio (Transfer Impact Assessment, TIA), jossa arvioidaan mm. vastaanottavan maan lainsäädäntöä ja viranomaisten mahdollista pääsyä henkilötietoihin vastaanottajamaassa.

Jos TIA osoittaa, että riittävää tietosuojan tasoa ei voida muuten taata, tulee siirronsaajalta edellyttää asianmukaisia lisäsuojatoimenpiteitä, jotka voivat olla teknisiä, organisatorisia tai sopimuksellisia. Euroopan tietosuojaneuvosto on julkaissut suosituksia, jotka auttavat arvioimaan täydentävien suojatoimien tarvetta ja valitsemaan soveltuvat suojatoimet. Linkki suosituksiin on täällä.

Henkilötietojen siirto on keskeytettävä, jos tarpeellisia suojatoimia ei ole mahdollista toteuttaa. Tämä koskee siis myös tilannetta, jolloin uudet vakiolausekkeet ovat käytössä.

Lisätietoja antavat:

Osakas Tiina Kekäläinen
puh. 050 596 5969
tiina.kekalainen@kalliolaw.fi

Avustava lakimies Niina Örn       
puh. 050 591 1100
niina.orn@kalliolaw.fi