Euroopan komission päivitetyt vakiolausekkeet
Yleinen tietosuoja-asetus sallii henkilötietojen siirron EU:n ja ETA:n ulkopuolelle ns. kolmansiin maihin ainoastaan, jos siirrolle on olemassa jokin tietosuoja-asetuksessa määritelty siirtoperuste. Yksi siirtoperusteista on Euroopan komission hyväksymien vakiolausekkeiden (standard contractual clauses, SCC) käyttö. Euroopan komissio on hyväksynyt päivitetyn version vakiolausekkeista kesäkuussa 2021. Uusilla vakiolausekkeilla pyritään vastaamaan tietosuoja-asetuksen sekä ns. Schrems II -ratkaisun vaatimuksiin.
Vakiolausekkeiden käyttö
Vakiolausekkeet voivat olla siirtoperuste, jos siirron osapuolet ovat sopimuksin sitoutuneet vakiolausekkeiden noudattamiseen. Vakiolausekkeet määrittelevät sekä tietoja siirtävän että tietoja vastaanottavan toimijan velvollisuudet henkilötietojen suojaamiseksi.
Vakiolausekkeiden käyttäminen henkilötietojen siirtämiseen siirtoperusteena ei edellytä erillistä lupaa tai vahvistusta tietosuojaviranomaiselta, toisin kuin esimerkiksi yritystä koskevien sitovien sääntöjen käyttäminen. Vakiolausekkeita on kuitenkin sovellettava niitä muuttamatta.
Päivitettyjen vakiolausekkeiden tuomat muutokset
Uusia vakiolausekkeita voidaan käyttää seuraavissa siirtotilanteissa:
- siirrot rekisterinpitäjältä toiselle rekisterinpitäjälle;
- siirrot rekisterinpitäjältä käsittelijälle;
- siirrot käsittelijältä toiselle käsittelijälle; sekä
- siirrot käsittelijältä rekisterinpitäjälle.
Päivitetyillä vakiolausekkeilla on pyritty korjaamaan aiemmissa vakiolausekkeissa ilmenneitä ongelmia, sekä tekemään niistä aiempaa helppokäyttöisemmät. Päivitetyt vakiolausekkeet esimerkiksi mahdollistavat uusien osapuolien lisäämisen jo olemassa olevien siirtosopimuksiin. Aiempien vakiolausekkeiden puitteissa uusia sopimusosapuolia ei voinut lisätä, mikä aiheutti ongelmia vakiolausekkeiden hyödyntämisessä.
Uudet vakiolausekkeet tuovat myös merkittäviä muutoksia organisaatioiden vastuisiin liittyen. Huomionarvoinen on esimerkiksi muutos, jonka myötä henkilötietojen siirtoketjussa olevat tahot ovat jatkossa yhteisvastuussa henkilötietojen suojaamisesta. Tämä edellyttää käytännössä sitä, että toimijat tuntevat yhteistyökumppaninsa aiempaa tarkemmin.
Siirtymäaika
Päivitetyt vakiolausekkeet tulevat voimaan 27.6.2021, ja organisaatiot voivat ottaa vakiolausekkeet käyttöön heti voimaantulopäivästä lähtien. Voimaantulopäivän jälkeen solmittavien sopimusten osalta on säädetty kolmen kuukauden siirtymäajasta, eli vanhat vakiolausekkeet voidaan sisällyttää vielä 27.9.2021 mennessä solmittuihin sopimuksiin. Kaikki vakiolausekkeet sisältävät sopimukset tulee päivittää 18 kuukauden siirtymäajan puitteissa, eli viimeistään 27.12.2022. Siirtymäajan puitteissa päättyviä sopimuksia ei tarvitse päivittää.
Avustamme joustavasti erilaisissa tietosuojaan liittyvissä kysymyksissä myös kesällä. Tutustu esimerkiksi valmiisiin tietosuojapaketteihimme, joilla organisaation tietosuoja saadaan kokonaisuudessaan vastaamaan sille lainsäädännössä asetettuja vaatimuksia. Otathan yhteyttä, jos haluat kuulla palveluistamme lisää.