Tietosuoja-asetuksen keskeisenä tavoitteena on taata henkilötietojen vapaa liikkuvuus Euroopan talousalueella (ETA). Siten henkilötietoja saa siirtää EU:n ja ETA:n sisällä samoja periaatteita ja vaatimuksia noudattaen kuin Suomen sisällä. Mikäli henkilötietoja kuitenkin siirretään ETA:n ulkopuolelle, tulee siirrolle olla erityinen siirtoperuste. Tässä kirjoituksessa käsitellään eräitä henkilötietojen siirtoperusteita.
Henkilötietojen kansainvälisten siirtojen siirtoperusteet määritellään tietosuoja-asetuksen V luvussa. Tietosuoja-asetuksen siirtoperusteet ovat toisilleen vaihtoehtoisia, joten on riittävää, että yhden siirtoperusteen edellytykset täyttyvät. Jos yhdenkään siirtoperusteen edellytykset eivät täyty, henkilötietoja ei ole mahdollista siirtää ETA:n ulkopuolelle. Soveltuvan siirtoperusteen lisäksi henkilötietojen käsittelyn on aina oltava sallittua kyseisessä tilanteessa.
Siirto vastaavuuspäätöksen perusteella
Jos Euroopan komissio on antanut päätöksen henkilötietojen suojan riittävyydestä (ns. vastaavuuspäätös), henkilötietoja voidaan siirtää suoraan tämän päätöksen perusteella ETA:n ulkopuolelle. Vastaavuuspäätös on ensisijainen suhteessa muihin siirtoperusteisiin. Vastaavuuspäätös mahdollistaa henkilötietojen siirtämisen suoraan ETA:n ulkopuolelle ilman erillistä lupaa.
Tällä hetkellä Euroopan komissio on antanut vastaavuuspäätökset esimerkiksi Iso-Britannian, Sveitsin, Uuden-Seelannin, Argentiinan ja Japanin osalta sekä kanadalaisten kaupallisten organisaatioiden osalta. Ajantasainen tilanne voimassa olevista vastaavuuspäätöksistä tulee aina tarkastaa erikseen.
Komission hyväksymät uudet vakiolausekkeet
Henkilötietojen siirto EU:n ja ETA:n ulkopuolelle on mahdollista toteuttaa myös käyttämällä komission hyväksymiä vakiolausekkeita (standard contractual clauses, SCC). Vakiolausekkeet voivat olla siirtoperusteena, mikäli siirron kumpikin osapuoli on sitoutunut sopimuksin vakiolausekkeiden noudattamiseen. Vakiolausekkeiden käyttö ei edellytä erillistä lupaa tietosuojaviranomaisilta, kunhan lausekkeiden sisältöä ei muuteta.
Kun siirrossa käytetään vakiolausekkeita, tulee aina tarkistaa tapauskohtaisesti, turvataanko henkilötietojen siirrolle EU:n vaatimuksia vastaava tietosuojan taso. Lisäksi tulee arvioida, onko siirrossa tarvetta käyttää täydentäviä suojatoimia.
Komissio hyväksyi vakiolausekkeiden päivitykset kesällä 2021, ja päivitettyjen vakiolausekkeiden käyttämisen siirtymäaika päättyi joulukuussa 2022.
Yritystä koskevat sitovat säännöt ja muut siirtoperusteet
Yritystä koskevien sitovien sääntöjen (Binding Corporate Rules, BCR) avulla konserni tai yhteistä taloudellista toimintaa harjoittavat yritykset voivat siirtää henkilötietoja konsernin tai yritysten välillä kolmansiin maihin. Nämä säännöt sitovat sekä yritysryhmään kuuluvia yrityksiä että näiden työntekijöitä. Käytännössä toimivaltainen tietosuojaviranomainen vahvistaa yrityksiä koskevat sitovat säännöt. Sitovat säännöt ovat soveltuva tapa monikansallisille yrityksille siirtää henkilötietoja ETA:n ulkopuolelle.
Lisäksi henkilötietojen kansainvälisiä siirtoja on mahdollista toteuttaa muun muassa hyväksyttyjen käytännesääntöjen tai hyväksytyn sertifiointimekanismin avulla yhdessä sitovien ja täytäntöönpanokelpoisten sitoumusten kanssa. Henkilötietojen kansainväliset siirrot ovat mahdollisia myös erityistilanteita koskevien poikkeuksien nojalla. Nämä ovat kuitenkin viimesijainen tiedonsiirtoperuste ja niiden soveltaminen on sallittua ainoastaan poikkeustapauksissa, esimerkiksi rekisteröidyn nimenomaisella suostumuksella, tai kun siirto on tarpeen rekisteröidyn ja rekisterinpitäjän välisen sopimuksen täytäntöönpanemiseksi tai yleistä etua koskevien syiden vuoksi. Poikkeusperusteet on kuvattu tarkemmin tietosuoja-asetuksen 49 artiklassa.
Privacy Shield -järjestelyn kumoaminen
Aikaisemmin Euroopan unionin ja Yhdysvaltojen välillä oli voimassa Privacy Shield -järjestely, joka mahdollisti henkilötietojen siirrot EU:n ja Yhdysvaltojen välillä. Kuitenkin heinäkuussa 2020 Euroopan unionin tuomioistuin kumosi ns. Schrems II -ratkaisussaan (C-311/18) komission päätöksen Privacy Shield -järjestelystä.
Ratkaisussaan tuomioistuin katsoi, että Privacy Shield -järjestelyn tietosuojan tason riittävyyttä koskeva päätös on pätemätön. Perusoikeuksiin puuttumista ei ollut rajattu siirroissa Yhdysvaltoihin sellaisella tavalla, joka vastaisi EU:n vaatimuksia.