Artikkelit
- Yhteistoimintalain ehdotetut muutokset muutosneuvotteluvelvoitteen keventämisestä eduskunnan käsiteltäviksi
- Uusi kyberturvallisuuslaki aiheuttaa aiempaa laajempia tietoturvavelvollisuuksia teollisuuden toimijoille
- Markkinaoikeudelta linjaus sidosyksikköaseman määräysvaltakriteerin täyttymisestä
- Turnover Thresholds in the Finnish merger control regulations
- Katsaus korkeimman oikeuden ratkaisukäytäntöön 2023
- Käytännön vinkkejä sopimussakkoehdon muotoiluun
- Työnantaja – muistitko kaikki loppuvuoden deadlinet?
- Oikeuttaako ennakoimaton inflaatio muuttamaan sovittua hintaa?
- Yhteistoimintalain kokonaisuudistus – uusi laki voimaan 1.1.2022
- Tietosuojakatsaus 2021
- Kilpailukieltosopimuksia koskeva lakimuutos hyväksytty eduskunnassa
- Tietosuoja-update – komissiolta uusi tietosuojasopimusmalli sekä päätös uusista vakiosopimuslausekkeista henkilötietojen kansainvälisiin siirtoihin
- KKO 2021:9: Työntekijän kuulemisen viivästyminen otettiin huomioon arvioitaessa kohtuullista aikaa irtisanomisen toimittamiseksi
- Katsaus korkeimman oikeuden ratkaisukäytäntöön vuonna 2020
- Justice denied is justice delayed
- Hallituksen esitys: Jatkossa työnantajan tulisi maksaa työntekijälle korvausta kilpailukiellosta kiellon pituudesta riippumatta
- Apulaistietosuojavaltuutetun ratkaisu vaatii muuttamaan evästekäytäntöjä: suostumusta ei voi antaa selainasetuksissa
- Koronavirus force majeure -esteenä
- Komissiolta tiedonanto koskien suorahankintojen oikeutusta koronakriisissä
- Voidaanko julkisia hankintasopimuksia muuttaa koronavirusepidemian takia?
- GDPR-sakkoja satelee – Suomessa selvitty toistaiseksi huomautuksilla
- Katsaus korkeimman oikeuden ratkaisukäytäntöön vuonna 2019
- Incoterms 2020
- Työntekijän kuuleminen ja irtisanomisen toimittaminen kohtuullisessa ajassa
- Yksityisten osakeyhtiöiden osakepääomavaatimus poistui heinäkuun alussa
- Tosiasiallisten edunsaajien rekisteröintivelvollisuus alkaa 1.7.2019
- Välimiesmenettelylainsäädännön uudistaminen käynnistyi vuoden 2019 alussa – elinkeinoelämä toivoo uuden hallituksen vievän uudistuksen loppuun
- In-house-järjestelyt hankintalainsäädännössä – onko sidosyksikkö aina sidosyksikkö?
- Uutta tietosuojalainsäädäntöä tulossa voimaan
- EU:n tuomioistuimen ennakkoratkaisu vahingonkorvausvelvollisten määrittämisestä asfalttikartellissa
- Brexit vaikuttaa lukuisiin sopimuksiin – toimi nyt
- Lakiuudistus mahdollistaa 3D-kiinteistöt kaupunkikeskustojen kehittämisessä
- Ensimmäisiä sakkoja GDPR:n perusteella annettu Euroopassa
- Tietosuojalait hyväksytty eduskunnassa
- Finanssivalvonnalta tuore linjaus: GDPR:n hallinnollisten sakkojen vakuuttaminen on jatkossa kiellettyä
- Välimiesmenettelylaki kaipaa päivittämistä
- Tekoäly haastaa juridiikan
- Osakeyhtiöiden perustamista ja hallinnointia esitetään kevennettäväksi
- EU:n tuomioistuimelta merkittävä ratkaisu liittyen rekisterinpitäjän määritelmään
- Uusi liikesalaisuuslaki
- Koneoppiminen ja EU:n yleisen tietosuoja-asetuksen vaatimus lainmukaisesta, kohtuullisesta ja läpinäkyvästä käsittelystä
- Application of the good faith principle under the CISG
- Edunvalvonnan kilpailuoikeudelliset rajat – markkinaoikeuden päätös bussiasiassa
- Korkeimman oikeuden linjaus välillisen vahingon korvattavuudesta – KKO 2017:74
- Korkein oikeus linjasi: miten konserniavustusta on osakeyhtiöoikeudellisesti arvioitava?
Artikkelit eivät ole oikeudellisia neuvoja ja niissä on tiettyjä yksinkertaistuksia. Merkurius ei ota vastuuta miltään osin, mikäli artikkelien perusteella tehdään joitakin toimenpiteitä tai jätetään tekemättä joitakin toimenpiteitä. Kirjoittajat antavat mielellään tarkempia tietoja artikkeleissa käsitellyistä asioista
Tietosuojakatsaus – Vuoden 2021 keskeisimmät tietosuojauudistukset
1. Komission malli-DPA
Kesäkuussa Euroopan komissio julkaisi vihdoin oman mallinsa tietosuoja-asetuksen (2016/679, ”GDPR”) 28 artiklan mukaisesta tietosuojasopimuksesta eli ns. DPA:sta. Se soveltuu käytettäväksi rekisterinpitäjän ja henkilötietojen käsittelijän välillä.
Komission malli tarjoaa vaihtoehdon osapuolten itse laatimille tietosuojasopimuksille ja se saattaakin esimerkiksi vaikeissa neuvottelutilanteissa olla yksi mahdollinen kompromissiratkaisu. Se voi vastaavasti toimia hyvänä työkaluna myös sellaisissa käsittelytilanteissa, joissa on kyse liiketoiminnan kannalta pienimuotoisesta ja vähämerkityksellisestä henkilötietojen käsittelystä, jonka suhteen transaktiokustannukset halutaan pitää matalina.
Komission malli ei siis kuitenkaan miltään osin estä omien tietosuojasopimusten käyttöä. Se on kuitenkin yksi malli tietosuojasopimusten edellytyksille, joten sen vuoksi on suositeltavaa vähintään verrata omia tietosuojasopimuksia komission malliin ja tehdä mahdollisesti täsmennyksiä ja tarkennuksia omiin sopimuspohjiin.
2. Uudet vakiosopimuslausekkeet henkilötietojen kansainvälisiin siirtoihin – tietojen siirrot huomioitu nyt myös käsittelijöiden välillä
Komissio julkaisi viime kesäkuussa myös uudet vakiosopimuslausekkeet (standard contractual clauses, ”SCC”) koskien henkilötietojen siirtoja ns. kolmansiin maihin eli EU:n/ETA:n ulkopuolelle. Uudet SCC:t mahdollistavat useiden eri osapuolten väliset tiedonsiirrot sekä uusien sopimusosapuolten myöhemmän lisäämisen jo olemassa oleviin sopimuksiin. Käytännön elämän kannalta merkittävin uudistus oli, että uudet SCC:t sopivat myös siirtoihin käsittelijöiden välillä.
Uudet SCC:t lisäävät siirrossa mukana olevien toimijoiden vastuita, sillä jatkossa kaikki siirtoketjuun osallistuvat yritykset ovat yhteisvastuussa henkilötietojen suojasta. Toisin sanoen, luotettavien sopimuskumppaneiden valinnalla on jatkossa entistä enemmän merkitystä. Lisäksi uudet SCC:t ottavat huomioon ns. Schrems II -tuomion (C-311/18) asettamat vaatimukset ja edellyttävätkin esim. tietojen viejiltä mm. erillisen kirjallisen riskiarvion tekemistä suhteessa kolmannen maan tarjoamaan henkilötietojen suojan tasoon (ks. tarkemmin alla). SCC:t asettavat aiempaa tiukempia velvoitteita myös tietojen tuojille, joiden on muun muassa ilmoitettava tietojen viejälle, jos se myöhemmin katsoo, ettei se pystyisi noudattamaan vakiosopimuslausekkeita.
Kaikkien vanhoja vakiosopimuslausekkeita käyttäneiden yritysten on lisäksi syytä merkitä kalenteriin ylös päivämäärä 27.12.2022: vanhoilla vakiosopimuslausekkeilla tehdyt sopimukset tulee päivittää näihin uusiin versioihin viimeistään 27.12.2022. Tästä huolimatta kaikissa uusissa 27.9.2021 jälkeen solmituissa sopimuksissa on tullut käyttää vain uusia komission viime kesäkuussa julkaisemia SCC-ehtoja.
3. Transfer impact assessment
Edellä viitattiinkin jo Euroopan unionin tuomioistuimen vuonna 2020 antamaan Schrems II -tuomioon ja sen mukaiseen riskiarvioon (transfer impact assessment, eli ”TIA”). Tuomiossa todettiin, että tietojen viejä on velvollinen arvioimaan kolmannen maan tietosuojan tasoa siirtäessään henkilötietoja.
Edellä viitatut uudet SCC:t vahvistivat Euroopan unionin tuomioistuimen tulkinnan. TIA on siis tehtävä aina, kun tietoja siirretään kolmansiin maihin eli myös silloin kun siirto tapahtuu vakiosopimuslausekkeita käyttäen. Toisin sanoen, rekisterinpitäjien ja henkilötietojen käsittelijöiden on aina kussakin yksittäistapauksessa ennen siirron toteuttamista arvioitava tarve vakiolausekkeita ja muita tiedonsiirtoperusteita täydentäville suojatoimenpiteille varmistaakseen, että siirrosta huolimatta henkilötiedoille voidaan taata vastaava tietosuojan taso kuin EU:ssa.
Schrems II -tuomiossa Euroopan unionin tuomioistuin totesi, että Yhdysvaltojen lainsäädäntö ei pääosin takaa vastaavaa tietosuojan tasoa kuin EU:ssa. Schrems II -tuomion myötä tietojensiirrot Yhdysvaltoihin edellyttävätkin siten käytännössä aina lisätoimenpiteitä tietosuojan tason takaamiseksi. Tarvittavat ja riittävät lisätoimenpiteet taas riippuvat tapauskohtaisista olosuhteista. Tietojen siirtojen osalta on hyvä tunnistaa, että mikäli alikäsittelijän emoyhtiö sijaitsee Yhdysvalloissa, tulee lähtökohtaisesti myös niissä tapauksissa laatia erillinen riskiarvio ja huolehtia tarvittavista lisätoimenpiteistä henkilötietojen riittävän suojan turvaamiseksi.
4. EDPB:n ohjeistus DPA:n sisällöstä
Euroopan tietosuojaneuvosto (European Data Protection Board, ”EDPB”) on viime vuonna ohjeistanut myös tietosuojasopimusten sisällöstä (Guidelines 07/2020 on the concepts of controller and processor in the GDPR). EDPB korostaa ohjeistuksessaan, että tietosuojasopimuksissa ei tulisi pelkästään viitata GDPR:n 28 artiklaan, vaan myös konkreettisesti sopia siitä, miten ko. artiklan mainitsemat vaatimukset ja ehdot käytännössä toteutetaan.
EDPB:n ohjeistuksen noudattaminen täysimääräisesti voi kuitenkin olla käytännössä hankalaa. Etukäteen ei välttämättä pystytä aina kovin tarkkaan määrittelemään esimerkiksi sitä, miten käsittelijän tulisi käytännössä avustaa rekisteröityjen pyyntöihin vastaamisessa. Tältä osin voidaankin todeta, että ohjeistuksen lähtökohdat ovat tiukat eivätkä välttämättä huomioi kovinkaan hyvin sitä tosiasiallista toimintaympäristöä, jossa sopimuksia laaditaan.
On kuitenkin seikkoja, jotka voidaan huomioida kohtuullisen helposti kaikissa sopimuksissa ja joiden avulla voidaan ko. ohjetta pyrkiä noudattamaan paremmin:
- Kiinnitä erityistä huomiota (i) käsittelyn kohteen ja keston; (ii) käsittelyn luonteen ja tarkoituksen; sekä (iii) henkilötietojen tyyppien ja rekisteröityjen ryhmien määrittelyyn. Nämä olisi syytä määritellä huolella ja riittävällä tarkkuudella. Käytäntö on osoittanut, että näiden täyttäminen/määrittely helposti unohtuu tai se tehdään ylimalkaisesti.
- Huolehdi, että tietosuojasopimuksessa (tai siihen liittyvässä pääsopimuksessa) on määritelty selvät yhteystiedot, joihin ilmoitukset tehdään ja että sopimuksessa myös viitataan näihin yhteystietoihin. Harkitse, tulisiko esim. tietoturvaloukkauksille olla omat yhteystiedot ottaen huomioon ko. asioiden kiireellisyys (esim. erillinen päivystysnumero).
- Määritä sovellettavien tietoturvatoimenpiteiden vähimmäistaso. Tietosuojasopimukseen olisi hyvä jatkossa ottaa mukaan myös erillinen tietoturvaliite, jossa olisi konkreettisesti sovittu noudatettavista teknisistä ja organisatorisista tietoturvatoimenpiteistä, joita käsittelijän on vähintään noudatettava.
- Huolehdi, että keskeisimpiin ongelmatilanteisiin on sovittuna joku ratkaisu:
- miten toimitaan, jos rekisterinpitäjä vastustaa alihankkijan vaihtamista;
- miten toimitaan, jos käsittelijä ilmoittaa, että rekisterinpitäjän ohjeistus olisi vastoin lainsäädäntöä; ja
- miten toimitaan käsittelyn päättyessä.
Artikkelit
- Yhteistoimintalain ehdotetut muutokset muutosneuvotteluvelvoitteen keventämisestä eduskunnan käsiteltäviksi
- Uusi kyberturvallisuuslaki aiheuttaa aiempaa laajempia tietoturvavelvollisuuksia teollisuuden toimijoille
- Markkinaoikeudelta linjaus sidosyksikköaseman määräysvaltakriteerin täyttymisestä
- Turnover Thresholds in the Finnish merger control regulations
- Katsaus korkeimman oikeuden ratkaisukäytäntöön 2023
- Käytännön vinkkejä sopimussakkoehdon muotoiluun
- Työnantaja – muistitko kaikki loppuvuoden deadlinet?
- Oikeuttaako ennakoimaton inflaatio muuttamaan sovittua hintaa?
- Yhteistoimintalain kokonaisuudistus – uusi laki voimaan 1.1.2022
- Tietosuojakatsaus 2021
- Kilpailukieltosopimuksia koskeva lakimuutos hyväksytty eduskunnassa
- Tietosuoja-update – komissiolta uusi tietosuojasopimusmalli sekä päätös uusista vakiosopimuslausekkeista henkilötietojen kansainvälisiin siirtoihin
- KKO 2021:9: Työntekijän kuulemisen viivästyminen otettiin huomioon arvioitaessa kohtuullista aikaa irtisanomisen toimittamiseksi
- Katsaus korkeimman oikeuden ratkaisukäytäntöön vuonna 2020
- Justice denied is justice delayed
- Hallituksen esitys: Jatkossa työnantajan tulisi maksaa työntekijälle korvausta kilpailukiellosta kiellon pituudesta riippumatta
- Apulaistietosuojavaltuutetun ratkaisu vaatii muuttamaan evästekäytäntöjä: suostumusta ei voi antaa selainasetuksissa
- Koronavirus force majeure -esteenä
- Komissiolta tiedonanto koskien suorahankintojen oikeutusta koronakriisissä
- Voidaanko julkisia hankintasopimuksia muuttaa koronavirusepidemian takia?
- GDPR-sakkoja satelee – Suomessa selvitty toistaiseksi huomautuksilla
- Katsaus korkeimman oikeuden ratkaisukäytäntöön vuonna 2019
- Incoterms 2020
- Työntekijän kuuleminen ja irtisanomisen toimittaminen kohtuullisessa ajassa
- Yksityisten osakeyhtiöiden osakepääomavaatimus poistui heinäkuun alussa
- Tosiasiallisten edunsaajien rekisteröintivelvollisuus alkaa 1.7.2019
- Välimiesmenettelylainsäädännön uudistaminen käynnistyi vuoden 2019 alussa – elinkeinoelämä toivoo uuden hallituksen vievän uudistuksen loppuun
- In-house-järjestelyt hankintalainsäädännössä – onko sidosyksikkö aina sidosyksikkö?
- Uutta tietosuojalainsäädäntöä tulossa voimaan
- EU:n tuomioistuimen ennakkoratkaisu vahingonkorvausvelvollisten määrittämisestä asfalttikartellissa
- Brexit vaikuttaa lukuisiin sopimuksiin – toimi nyt
- Lakiuudistus mahdollistaa 3D-kiinteistöt kaupunkikeskustojen kehittämisessä
- Ensimmäisiä sakkoja GDPR:n perusteella annettu Euroopassa
- Tietosuojalait hyväksytty eduskunnassa
- Finanssivalvonnalta tuore linjaus: GDPR:n hallinnollisten sakkojen vakuuttaminen on jatkossa kiellettyä
- Välimiesmenettelylaki kaipaa päivittämistä
- Tekoäly haastaa juridiikan
- Osakeyhtiöiden perustamista ja hallinnointia esitetään kevennettäväksi
- EU:n tuomioistuimelta merkittävä ratkaisu liittyen rekisterinpitäjän määritelmään
- Uusi liikesalaisuuslaki
- Koneoppiminen ja EU:n yleisen tietosuoja-asetuksen vaatimus lainmukaisesta, kohtuullisesta ja läpinäkyvästä käsittelystä
- Application of the good faith principle under the CISG
- Edunvalvonnan kilpailuoikeudelliset rajat – markkinaoikeuden päätös bussiasiassa
- Korkeimman oikeuden linjaus välillisen vahingon korvattavuudesta – KKO 2017:74
- Korkein oikeus linjasi: miten konserniavustusta on osakeyhtiöoikeudellisesti arvioitava?
Artikkelit eivät ole oikeudellisia neuvoja ja niissä on tiettyjä yksinkertaistuksia. Merkurius ei ota vastuuta miltään osin, mikäli artikkelien perusteella tehdään joitakin toimenpiteitä tai jätetään tekemättä joitakin toimenpiteitä. Kirjoittajat antavat mielellään tarkempia tietoja artikkeleissa käsitellyistä asioista
Asianajotoimisto Merkurius Oy | Keskustori 5 | 33100 Tampere