Tarkennuksia ETA-maiden tietosuojakäytäntöihin liittyvissä säännöissä ja suosituksissa

17.8.2021

Kuluvan vuoden 2021 aikana henkilötietojen siirtoja käsittelevää ohjeistusta on tarkennettu ja ajantasaistettu. Jo aiemmin, heinäkuussa 2020 julkaistu EU-tuomioistuimen Schrems II – ratkaisu (C-311/18) tarkensi edellytyksiä, joilla henkilötietoja voidaan lain puitteissa siirtää ETA-maan ja kolmannen maan tai kansainvälisen organisaation välillä.

Tietosuojaviranomaisten vastuu kansainvälisten tiedonsiirtojen valvonnassa on ratkaisun myötä korostunut.  Lainsäädännön ja päivitettyjen ohjeistusten vakiintumisen myötä siirtoja koskevaa valvontaa tullaan tulevaisuudessa lisäämään myös tietosuojavaltuutetun toiminnassa.

Schrems II-ratkaisun myötä myös rekisterinpitäjien ja henkilötietojen käsittelijöiden henkilötietojen siirtoihin liittyvät velvollisuudet ovat täsmentyneet. Tietojen viejien on esimerkiksi vastaisuudessa selvitettävä tapauskohtaisesti, toteutuuko EU:n vaatima tietosuojan vähimmäistaso käsillä olevien henkilötietojen siirtämisen yhteydessä.

Henkilötietojen viejien on lisäksi arvioitava tarve täydentävien suojatoimien käytölle. Euroopan tietosuojaneuvosto julkaisi kesäkuussa 2021 uudistetut suositukset, jotka koskevat nimenomaan näitä siirtovälineitä täydentäviä suojatoimia. Suositusten tarkoituksena on auttaa rekisterinpitäjiä ja henkilötietojen käsittelijöitä valitsemaan asianmukaiset suojatoimet kussakin käsillä olevassa tilanteessa.

Schrems II-tuomion myötä myös muita tietosuojaan liittyviä käytäntöjä ja suosituksia, kuten esimerkiksi niin kutsuttuja eurooppalaisia olennaisia takeita, on päivitetty. Myös kansainvälistä tiedonsiirtoa koskevia vakiolausekkeita on uudistettu. Euroopan komissio hyväksyi uusitut ja päivitetyt tiedonsiirtoa kolmansiin maihin koskevat vakiolausekkeet kesäkuussa. Britannian EU-eron myötä komissio on lisäksi tehnyt kaksi Britannian tietosuojan riittävyyttä koskevaa, 28. kesäkuuta voimaan astunutta päätöstä. Päätösten perusteella ETA-maiden ja Britannian välillä tapahtuvat henkilötietojen siirrot voivat jatkua myös Brexitin jälkeisen siirtymäajan päätyttyä.

Löydät tietosuojavaltuutetun toimiston asiaa koskevan tiedotteen täältä.

(VS)