Artikkelit

Artikkelit eivät ole oikeudellisia neuvoja ja niissä on tiettyjä yksinkertaistuksia. Merkurius ei ota vastuuta miltään osin, mikäli artikkelien perusteella tehdään joitakin toimenpiteitä tai jätetään tekemättä joitakin toimenpiteitä. Kirjoittajat antavat mielellään tarkempia tietoja artikkeleissa käsitellyistä asioista

Tietosuoja-update – komissiolta uusi tietosuojasopimusmalli sekä päätös uusista vakiosopimuslausekkeista henkilötietojen kansainvälisiin siirtoihin

Komissio on 4.6.2021 antanut kaksi eri päätöstä tietosuoja-asetukseen (2016/679, ”GDPR”) liittyen:

    • toinen päätös koskee henkilötietojen käsittelyn ulkoistamista rekisterinpitäjältä käsittelijälle tietosuojasopimuksella EU/ETA-alueella1; ja

    • toinen koskee henkilötietojen siirtoja ns. kolmansiin maihin ns. vakiosopimuslausekkeiden nojalla2.

Mistä päätöksissä on kyse?
Tietosuoja-asetuksen 28 artikla edellyttää, että rekisterinpitäjän ulkoistaessa henkilötietojen käsittelyn toiselle toimijalle (henkilötietojen käsittelijä), on tästä käsittelystä sovittava sopimuksella tai muulla oikeudellisella asiakirjalla. Komission reilu viikko sitten julkaisema päätös tarjoaa nyt vaihtoehdon toimijoiden itse laatimille tietosuojasopimuksille (ns. DPA). Jatkossa käsittelystä voidaan siis sopia myös näitä vakiosopimuslausekkeita hyödyntäen. Kyse on siten eräänlaisesta ”mallisopimuksesta”.
Komission toinen päätös taas koskee henkilötietojen kansainvälisiä siirtoja. Päätös korvaa jo aiemmin käytössä olleet vakiosopimuslausekkeet (ns. standard contractual clauses, SCC), jotka ovat yksi tietosuoja-asetuksessa määritellyistä siirtovälineistä, joilla henkilötietoja voidaan siirtää kolmansiin maihin EU:n ja ETA:n ulkopuolelle. Vakiosopimuslausekkeet päivitettiin nyt vastaamaan EU:n tuomioistuimen vuonna 2020 antaman ns. Schrems II -ratkaisussa henkilötietojen kansainvälisille siirroille asetettuja vaatimuksia.
Mitä muutokset tarkoittavat käytännössä?
Tietosuojasopimukset
Tietosuojasopimusten osalta uudet vakioehdot tietosuojasopimuksen osalta tarjoavat vaihtoehdon tietosuojasopimusten laatimiselle itse.
Vaikka edelleen toimijat voivat laatia ja solmia myös muunlaisia tietosuojasopimuksia, tulevat nämä vakiosopimuslausekkeet todennäköisesti muodostamaan ainakin jonkinlaisen ”mallitason” tietosuojasopimusten edellytyksille. Näin ollen rekisterinpitäjien ja käsittelijöiden on hyvä ainakin verrata omia tietosuojasopimuksiaan nyt julkaistuihin vakiosopimuslausekkeisiin ja tehdä mahdollisesti täsmennyksiä ja tarkennuksia omiin malleihin
Henkilötietojen kansainväliset siirrot
Henkilötietojen kansainvälisten tietojensiirtoa koskevassa uudistuksessa keskeistä on se, että uudet vakiosopimuslausekkeet mahdollistavat useiden eri osapuolten väliset tiedonsiirrot sekä uusien sopimusosapuolten myöhemmän lisäämisen jo olemassa oleviin sopimuksiin. Jatkossa vakiosopimuslausekkeet sopivat siis myös esimerkiksi siirtoihin käsittelijöiden välillä, mikä tuo kauan toivotun parannuksen vakiosopimuslausekkeisiin.
Uudet vakiosopimuslausekkeet lisäävät myös siirrossa mukanaolevien toimijoiden vastuita, sillä jatkossa siirtoketjuun osallistuvat yritykset ovat yhteisvastuussa henkilötietojen suojasta. Toisin sanoen, luotettavien sopimuskumppaneiden valinnalla on entistä enemmän merkitystä.
Uudet vakiosopimuslausekkeet ottavat huomioon Schrems II -tuomion asettamat vaatimukset ja edellyttävätkin esim. tietojen viejiltä (=taho, joka siirtää tietoja EU/ETA-alueen ulkopuolelle) riskiarvion tekemistä suhteessa kolmannen maan tarjoamaan henkilötietojen suojan tasoon. Vakiosopimuslausekkeissa asetetaan tiukempia velvoitteita myös tietojen tuojille (=vastaanottava taho), joiden on muun muassa ilmoitettava tietojen viejälle, jos se myöhemmin katsoo, ettei se pysty noudattamaan vakiosopimuslausekkeita.
Vanhoja vakiosopimuslausekkeita voidaan käyttää uusissa sopimuksissa vielä kolmen kuukauden ajan päätöksen julkistamisesta eli 27.9.2021 asti. Sen jälkeen kaikkiin uusiin sopimuksiin on sovellettava uusia vakiosopimuslausekkeita. Lisäksi vanhoilla vakiosopimuslausekkeilla tehdyt sopimukset tulee joka tapauksessa päivittää uudempaan versioon 18 kuukauden kuluessa päätöksen julkistamisesta, eli viimeistään 27.12.2022.
Käytännössä olennaista onkin nyt tunnistaa ne sopimukset, joissa vanhat vakiosopimuslausekkeet ovat käytössä ja huolehtia näiden sopimusten päivittämisestä viimeistään 27.12.2022 mennessä. Lisäksi on syytä huomioida, että Schrems II -tuomion myötä myös erillisen riskiarvioinnin tekeminen on jo nyt pakollista, eli yritysten tulee arvioida henkilötietojen suojatasoa kolmannessa maassa aina ennen vakiosopimuslausekkeiden käyttöönottoa.
Tiivistäen:

1) Päivitä vanhat vakiosopimuslausekkeet uusiin viimeistään 27.12.2022 mennessä.

2) Muista tehdä myös erillinen riskiarvio aina, kun tietoja siirretään EU:n/ETA:n ulkopuolelle käyttäen vakiosopimuslausekkeita.

3) Siirry käyttämään uusia vakiosopimuslausekkeita uusissa sopimuksissa niiden voimaantulon jälkeen 27.6.2021 lukien. Uusiin sopimuksiin vanhoja vakiosopimuslausekkeita ei voi liittää enää 28.9.2021 jälkeen.

4) Vertaa nykyisin käyttämiäsi tietosuojasopimuspohjia komission julkaisemaan tietosuojasopimusmalliin ja tee tarvittavat muutokset.

Julkaistu 18.6.2021

tommi härmä

Tommi Härmä, Counsel

ida koskinen

Ida Koskinen, Lawyer

Artikkelit

Artikkelit eivät ole oikeudellisia neuvoja ja niissä on tiettyjä yksinkertaistuksia. Merkurius ei ota vastuuta miltään osin, mikäli artikkelien perusteella tehdään joitakin toimenpiteitä tai jätetään tekemättä joitakin toimenpiteitä. Kirjoittajat antavat mielellään tarkempia tietoja artikkeleissa käsitellyistä asioista