Vuosi 2021 oli vauhdikas tietosuojarintamalla. Olemme alle koostaneet neljä mielestämme keskeisintä poimintaa viime vuoden tietosuojauudistuksista:

1. Komission malli-DPA

Kesäkuussa Euroopan komissio julkaisi vihdoin oman mallinsa tietosuoja-asetuksen (2016/679, ”GDPR”) 28 artiklan mukaisesta tietosuojasopimuksesta eli ns. DPA:sta. Se soveltuu käytettäväksi rekisterinpitäjän ja henkilötietojen käsittelijän välillä.

Komission malli tarjoaa vaihtoehdon osapuolten itse laatimille tietosuojasopimuksille ja se saattaakin esimerkiksi vaikeissa neuvottelutilanteissa olla yksi mahdollinen kompromissiratkaisu. Se voi vastaavasti toimia hyvänä työkaluna myös sellaisissa käsittelytilanteissa, joissa on kyse liiketoiminnan kannalta pienimuotoisesta ja vähämerkityksellisestä henkilötietojen käsittelystä, jonka suhteen transaktiokustannukset halutaan pitää matalina.

Komission malli ei siis kuitenkaan miltään osin estä omien tietosuojasopimusten käyttöä. Se on kuitenkin yksi malli tietosuojasopimusten edellytyksille, joten sen vuoksi on suositeltavaa vähintään verrata omia tietosuojasopimuksia komission malliin ja tehdä mahdollisesti täsmennyksiä ja tarkennuksia omiin sopimuspohjiin.

2. Uudet vakiosopimuslausekkeet henkilötietojen kansainvälisiin siirtoihin – tietojen siirrot huomioitu nyt myös käsittelijöiden välillä

Komissio julkaisi viime kesäkuussa myös uudet vakiosopimuslausekkeet (standard contractual clauses, ”SCC”) koskien henkilötietojen siirtoja ns. kolmansiin maihin eli EU:n/ETA:n ulkopuolelle. Uudet SCC:t mahdollistavat useiden eri osapuolten väliset tiedonsiirrot sekä uusien sopimusosapuolten myöhemmän lisäämisen jo olemassa oleviin sopimuksiin. Käytännön elämän kannalta merkittävin uudistus oli, että uudet SCC:t sopivat myös siirtoihin käsittelijöiden välillä.

Uudet SCC:t lisäävät siirrossa mukana olevien toimijoiden vastuita, sillä jatkossa kaikki siirtoketjuun osallistuvat yritykset ovat yhteisvastuussa henkilötietojen suojasta. Toisin sanoen, luotettavien sopimuskumppaneiden valinnalla on jatkossa entistä enemmän merkitystä. Lisäksi uudet SCC:t ottavat huomioon ns. Schrems II -tuomion (C-311/18) asettamat vaatimukset ja edellyttävätkin esim. tietojen viejiltä mm. erillisen kirjallisen riskiarvion tekemistä suhteessa kolmannen maan tarjoamaan henkilötietojen suojan tasoon (ks. tarkemmin alla). SCC:t asettavat aiempaa tiukempia velvoitteita myös tietojen tuojille, joiden on muun muassa ilmoitettava tietojen viejälle, jos se myöhemmin katsoo, ettei se pystyisi noudattamaan vakiosopimuslausekkeita.

Kaikkien vanhoja vakiosopimuslausekkeita käyttäneiden yritysten on lisäksi syytä merkitä kalenteriin ylös päivämäärä 27.12.2022: vanhoilla vakiosopimuslausekkeilla tehdyt sopimukset tulee päivittää näihin uusiin versioihin viimeistään 27.12.2022. Tästä huolimatta kaikissa uusissa 27.9.2021 jälkeen solmituissa sopimuksissa on tullut käyttää vain uusia komission viime kesäkuussa julkaisemia SCC-ehtoja.

3. Transfer impact assessment

Edellä viitattiinkin jo Euroopan unionin tuomioistuimen vuonna 2020 antamaan Schrems II -tuomioon ja sen mukaiseen riskiarvioon (transfer impact assessment, eli ”TIA”). Tuomiossa todettiin, että tietojen viejä on velvollinen arvioimaan kolmannen maan tietosuojan tasoa siirtäessään henkilötietoja.

Edellä viitatut uudet SCC:t vahvistivat Euroopan unionin tuomioistuimen tulkinnan. TIA on siis tehtävä aina, kun tietoja siirretään kolmansiin maihin eli myös silloin kun siirto tapahtuu vakiosopimuslausekkeita käyttäen. Toisin sanoen, rekisterinpitäjien ja henkilötietojen käsittelijöiden on aina kussakin yksittäistapauksessa ennen siirron toteuttamista arvioitava tarve vakiolausekkeita ja muita tiedonsiirtoperusteita täydentäville suojatoimenpiteille varmistaakseen, että siirrosta huolimatta henkilötiedoille voidaan taata vastaava tietosuojan taso kuin EU:ssa.

Schrems II -tuomiossa Euroopan unionin tuomioistuin totesi, että Yhdysvaltojen lainsäädäntö ei pääosin takaa vastaavaa tietosuojan tasoa kuin EU:ssa. Schrems II -tuomion myötä tietojensiirrot Yhdysvaltoihin edellyttävätkin siten käytännössä aina lisätoimenpiteitä tietosuojan tason takaamiseksi. Tarvittavat ja riittävät lisätoimenpiteet taas riippuvat tapauskohtaisista olosuhteista. Tietojen siirtojen osalta on hyvä tunnistaa, että mikäli alikäsittelijän emoyhtiö sijaitsee Yhdysvalloissa, tulee lähtökohtaisesti myös niissä tapauksissa laatia erillinen riskiarvio ja huolehtia tarvittavista lisätoimenpiteistä henkilötietojen riittävän suojan turvaamiseksi.

4. EDPB:n ohjeistus DPA:n sisällöstä

Euroopan tietosuojaneuvosto (European Data Protection Board, ”EDPB”) on viime vuonna ohjeistanut myös tietosuojasopimusten sisällöstä (Guidelines 07/2020 on the concepts of controller and processor in the GDPR). EDPB korostaa ohjeistuksessaan, että tietosuojasopimuksissa ei tulisi pelkästään viitata GDPR:n 28 artiklaan, vaan myös konkreettisesti sopia siitä, miten ko. artiklan mainitsemat vaatimukset ja ehdot käytännössä toteutetaan.

EDPB:n ohjeistuksen noudattaminen täysimääräisesti voi kuitenkin olla käytännössä hankalaa. Etukäteen ei välttämättä pystytä aina kovin tarkkaan määrittelemään esimerkiksi sitä, miten käsittelijän tulisi käytännössä avustaa rekisteröityjen pyyntöihin vastaamisessa. Tältä osin voidaankin todeta, että ohjeistuksen lähtökohdat ovat tiukat eivätkä välttämättä huomioi kovinkaan hyvin sitä tosiasiallista toimintaympäristöä, jossa sopimuksia laaditaan.

On kuitenkin seikkoja, jotka voidaan huomioida kohtuullisen helposti kaikissa sopimuksissa ja joiden avulla voidaan ko. ohjetta pyrkiä noudattamaan paremmin:

1. Kiinnitä erityistä huomiota (i) käsittelyn kohteen ja keston; (ii) käsittelyn luonteen ja tarkoituksen; sekä (iii) henkilötietojen tyyppien ja rekisteröityjen ryhmien määrittelyyn. Nämä olisi syytä määritellä huolella ja riittävällä tarkkuudella. Käytäntö on osoittanut, että näiden täyttäminen/määrittely helposti unohtuu tai se tehdään ylimalkaisesti.

 

2. Huolehdi, että tietosuojasopimuksessa (tai siihen liittyvässä pääsopimuksessa) on määritelty selvät yhteystiedot, joihin ilmoitukset tehdään ja että sopimuksessa myös viitataan näihin yhteystietoihin. Harkitse, tulisiko esim. tietoturvaloukkauksille olla omat yhteystiedot ottaen huomioon ko. asioiden kiireellisyys (esim. erillinen päivystysnumero).

 

3. Määritä sovellettavien tietoturvatoimenpiteiden vähimmäistaso. Tietosuojasopimukseen olisi hyvä jatkossa ottaa mukaan myös erillinen tietoturvaliite, jossa olisi konkreettisesti sovittu noudatettavista teknisistä ja organisatorisista tietoturvatoimenpiteistä, joita käsittelijän on vähintään noudatettava.

 

4. Huolehdi, että keskeisimpiin ongelmatilanteisiin on sovittuna joku ratkaisu:
   • miten toimitaan, jos rekisterinpitäjä vastustaa alihankkijan vaihtamista;
   • miten toimitaan, jos käsittelijä ilmoittaa, että rekisterinpitäjän ohjeistus olisi vastoin lainsäädäntöä; ja
   • miten toimitaan käsittelyn päättyessä.

Tiivistäen voidaan todeta, että vaikka kyse ei ole laintasoisesta ohjeistuksesta, on jatkossa syytä kiinnittää entistä enemmän huomiota tietosuojasopimusten sisältöön. Mitä merkittävämmästä käsittelystä on kyse (esim. henkilötietojen/rekisteröityjen huomattava määrä tai tietojen arkaluontoisuus), sitä tarkemmin on syytä käydä läpi tietosuojasopimusta myös käytännön kannalta ja harkita sopimista myös yksityiskohtaisemmista prosesseista, säännöllisistä seurantakokouksista tai muista vastaavista toimista.