Sivun sisältö

Vastaus

Tämän päivän globaalissa maailmassa suuria määriä henkilötietoja siirretään maasta toiseen ja tallennetaan joskus palvelimille eri maihin. Yleisen tietosuoja-asetuksen suoja siirtyy tietojen mukana, ja henkilötietojen suojaamista koskevat säännöt pätevät riippumatta käsittelymaasta. Niitä sovelletaan myös, kun tietoa on siirretty maahan, joka ei ole EU:n jäsenvaltio ('kolmansiin maihin).

Yleinen tietosuoja-asetus tarjoaa erilaisia työkaluja koskien tietojen siirtämistä EU:sta kolmansiin maihin:

  • Joskus kolmannen maan voidaan arvioida tarjoavan riittävän tietosuojatason Euroopan komission päätöksellä ('päätös tietosuojan riittävyydestä'). Tuolloin tietoja voidaan siirtää toisen yrityksen kanssa kyseiseen kolmanteen maahan ilman, että tietojen viejän on ryhdyttävä lisäsuojatoimiin tai täytettävä lisäehtoja. Toisin sanoen tietojen siirtämiseen riittävän suojatason tarjoavaan kolmanteen maahan on verrattavissa tietojen siirtämiseen EU:n alueella.
  • Jos päätöstä tietosuojan riittävyydestä ei ole tehty, siirtäminen voi tapahtua vain, jos käytössä on asianmukaiset suojatoimet ja sillä ehdolla, että yksilöillä on oikeudellisesti täytäntöönpanokelpoiset oikeudet ja tehokkaat oikeussuojakeinot. Asianmukaisia suojatoimia ovat muun muassa seuraavat:
    • tietojen siirtäminen niin kutsuttujen sitovien yrityssääntöjen puitteissa, kun kyse on yritysryhmästä tai yhteistä liiketoimintaa harjoittavista yrityksistä
    • sopimusjärjestelyt henkilötietojen vastaanottajan kanssa, esimerkiksi Euroopan komission hyväksymät vakiolausekkeet
    • käytännesääntöihin sitoutuminen tai sertifiointimekanismi sekä sitovat ja täytäntöönpanokelpoiset sitoumukset vastaanottajalta, että se käyttää asianmukaisia suojatoimia siirrettyjen tietojen suojaamiseksi.
  • Jos henkilötietoja aiotaan siirtää kolmanteen maahan, jonka tietosuojan riittävyydestä ei ole tehty päätöstä ja jossa ei ole asianmukaisia suojatoimia, siirtäminen voi perustua lukuisiin erityistapauksia koskeviin poikkeuksiin, kuten esimerkiksi jos yksilö on antanut nimenomaisen suostumuksensa saatuaan kaikki tarvittavat tiedot siirtämiseen liittyvistä riskeistä.

Esimerkki

Ranskalainen yrityksesi aikoo laajentaa palvelujaan Etelä-Amerikkaan, erityisesti Argentiinaan, Uruguayhin ja Brasiliaan. Ensin on tarkistettava, onko kyseisten maiden tietosuojan riittävyydestä olemassa päätös. Kyseisessä tapauksessa sekä Argentiinan että Uruguayn tietosuoja on todettu riittäväksi. Henkilötietoja voidaan siirtää näihin kahteen kolmanteen maahan ilman lisäsuojatoimia, kun taas tietojen siirtäminen Brasiliaan edellyttää asianmukaisia suojatoimia, koska sen tietosuojan riittävyydestä ei ole tehty päätöstä.

Viitteet

1 COM(2017) 7 final