Euroopan komission päivitetyt vakiolausekkeet – lisävarmuutta henkilötietojen siirtoon ja niiden suojaamiseen
Euroopan komission hyväksymien uusien vakiolausekkeiden siirtymäaika päättyi 27. joulukuuta 2022.
Euroopan unionin yleisellä tietosuoja-asetuksella on kaksiosainen tavoite. Ensinnäkin tietosuoja-asetuksella helpotetaan henkilötietojen vapaata liikkuvuutta Euroopan unionissa, ja toisaalta sillä suojellaan luonnollisten henkilöiden oikeutta henkilötietojen suojaan. Siirrettäessä henkilötietoja EU:n ja Euroopan talousalueen ulkopuolelle niin sanottuihin kolmansiin maihin tietosuoja-asetuksessa turvattu suojan taso voi heiketä. Tämän vuoksi tietosuoja-asetuksessa on määritelty tietyt siirtoperusteet, joilla henkilötietojen siirto kolmansiin maihin on sallittua.
Vakiolausekkeet (Standard Contractual Clauses, SCC) ovat ylivoimaisesti käytetyin tietojensiirtoväline. Vakiolausekkeet ovat nimensä mukaisesti vakiomuotoisia ja ennalta hyväksyttyjä mallilausekkeita, joiden avulla rekisterinpitäjät ja henkilötietojen käsittelijät voivat noudattaa tietosuojalainsäädännön asettamia velvoitteita. Vakiolausekkeiden tekstiä ei ole lähtökohtaisesti sallittua muuttaa, mutta osapuolten täytyy tehdä tiettyjä valintoja ja lisäyksiä, jotka soveltuvat kyseessä olevaan tilanteeseen.
Euroopan komissio hyväksyi uudet vakiolausekkeet 4.6.2021, ja ne tulivat voimaan 27.6.2021. Uusien vakiolausekkeiden käyttöönotolle asetettiin 18 kuukauden siirtymäaika, joka päättyi 27. joulukuuta 2022. Tämän myötä aiempia vakiolausekkeita ei ole enää lupa käyttää. Uudet vakiolausekkeet on päivitetty vastaamaan paremmin yleisen tietosuoja-asetuksen vaatimuksia, ja niissä on otettu huomioon EU:n tuomioistuimen kehittyvä oikeuskäytäntö, etenkin EU:n ja Yhdysvaltojen välisiä tietojen siirtoja koskeva niin kutsuttu Schrems II -tuomio asiassa C-311/18. Lisäksi uusien vakiolausekkeiden on tarkoitus olla käyttäjäystävällisempiä, kattaa lisäsiirtoskenaariot ja tarjota lisää joustavuutta mahdollistamalla uusien osapuolten liittymisen sopimukseen koko sopimuksen voimassaolon ajan.
Mitä muutoksia uudet vakiolausekkeet ovat tuoneet?
Uusien vakiolausekkeiden keskeisinä elementteinä on säilytetty niihin jo ennestään sisällytetyt olennaiset tietosuojaperiaatteet ja turvallisuusvelvoitteet. Yksi tärkeimmistä muutoksista on vakiolausekkeiden päivitetty rakenne. Lausekkeet kattavat nyt aiempaa useampia siirtoskenaarioita, joista osapuolten tulee valita heidän tilanteeseensa soveltuva vaihtoehto. Vakiolausekkeita täydennetään liitteillä, joissa tulee kuvata tarkat tiedot kustakin yksittäisestä siirrosta. Lisäksi yleisen tietosuoja-asetuksen 28 artiklan henkilötietojen käsittelyä koskevat vaatimukset on sisällytetty vakiolausekkeisiin, joten osapuolten ei tarvitse solmia erillistä henkilötietojen käsittelysopimusta siirrettäessä tietoja rekisterinpitäjältä käsittelijälle tai käsittelijältä alikäsittelijälle.
Ennen kuin tietojen siirrot kolmanteen maahan aloitetaan, osapuolten on arvioitava, voivatko kolmannen maan lait ja käytännöt olla esteenä vakiolausekkeiden noudattamiselle. Tässä niin kutsutussa siirron vaikutustenarvioinnissa (Transfer Impact Assessment, TIA) osapuolten on otettava huomioon kunkin siirron erityiset olosuhteet sekä siirtoon soveltuvat kolmannen maan lait ja käytännöt. Mikäli käy ilmi, että kolmannen maan lainsäädäntö horjuttaa vakiolausekkeiden tehokkuutta, osapuolten tulee yksilöidä ja hyväksyä (ja tarvittaessa hyväksyttää) lisätoimenpiteet, joiden avulla varmistetaan, että tietosuojan taso vastaa EU:n lainsäädännön vaatimuksia.
Kansainvälisten tietojen siirron tulevaisuus
Vakiolausekkeiden käyttö on hyödyllistä etenkin yrityksille, joilla ei ole resursseja neuvotella yksittäisiä sopimuksia jokaisen sopimuskumppanin kanssa erikseen. Vakiolausekkeet eivät ole kuitenkaan täysin aukottomia, ja niiden helppokäyttöisyyden vuoksi on kuitenkin syytä varmistua siitä, että niitä tuetaan tarvittaessa riittävillä lisätoimenpiteillä.
Kansainväliset tietojen siirrot, etenkin siirrot Yhdysvaltoihin, ovat jatkuvasti keskustelun ja kehityksen kohteena. Euroopan komissio julkaisi 13. joulukuuta 2022 päätösluonnoksen Yhdysvaltojen tietosuojan tason riittävyydestä. Mikäli päätös tulee voimaan, erillisiä suojatoimia ei tarvita siirrettäessä tietoja järjestelyyn osallistuville Yhdysvaltalaisille yrityksille. Päätöksen voimaantulo edellyttää kuitenkin hyväksymismenettelyn, ja lisäksi on mahdollista, että päätös tullaan haastamaan EU-tuomioistuimessa. Lisäksi tulee ottaa huomioon, että tietojen siirrot muihin kolmansiin maihin, kuten Kiinaan ja Intiaan, edellyttävät yhä jonkin muun siirtomekanismin olemassaoloa.
Päätösluonnoksen koskiessa ainoastaan Yhdysvaltoja vakiolausekkeet säilyttävät jatkossakin tärkeän asemansa kansainvälisissä tietojen siirroissa.