Uudet vakiolausekkeet ja henkilötietojen kansainväliset siirrot

Euroopan komissio hyväksyi henkilötietojen siirtoja koskevat uudet vakiolausekkeet 4.6.2021, ja niiden siirtymäkauden nojalla uudet vakiolausekkeet tulee ottaa kauttaaltaan käyttöön viimeistään 27.12.2022.

Vakiolausekkeissa on kyse EU-viranomaisten laatimista vakiosopimuksista, joiden tavoitteena on tarjota eri toimijoille helppokäyttöinen keino suojata henkilötietoja kansainvälisissä tietosiirroissa. Käytännössä vakiolausekkeita käytetään vakiosopimusten tavoin tilanteissa, joihin kuuluu henkilötietojen siirtoja ETA-alueelta kolmansiin maihin; vakiolausekkeissa sovitaan siis tavoista, joilla henkilötietoja tulee suojata kansainvälisissä tietosiirroissa.

Vakiolausekkeet tunnetaan paremmin lyhenteestä ’SCC’, joka perustuu vakiolausekkeiden englanninkieliseen nimeen standard contractual clauses.

Miksi vakiolausekkeita tarvitaan?

Kun henkilötietoja siirtyy eri toimijoiden välillä ETA-alueelta kolmansiin maihin, tulee tietosuoja-asetuksen (GDPR) nojalla henkilötietojen siirrot suojata riittävällä tavalla. GDPR:n nojalla vakiolausekkeita voi käyttää yhtenä keinona suojata henkilötietoja tietosiirroissa.

Vakiolausekkeiden ollessa EU-viranomaisten tarjoama ja hyväksymä keino suojata henkilötietoja, ovat ne käytännössä yleisin keino suojata henkilötietoja kansainvälisissä tietosiirroissa. Tämä ilmenee mm. siinä, että käytännössä kaikki kansainvälisesti toimivat digitaaliset palveluntarjoajat hyödyntävät vakiolausekkeita osana heidän omia vakiosopimuksiaan.  

Vakiolausekkeiden etu on niiden ennalta hyväksytty vakiomuoto. Tämä säästää niin aikaa kuin rahaa sekä on erityisen edullista pk-yrityksille, joilla ei ole resursseja neuvotella yksittäisiä sopimuksia jokaisen sopimuskumppanin kanssa.

Miksi vakiolausekkeita on muutettu?

Vanhan henkilötietodirektiivin ja henkilötietolain aikana komissio hyväksyi kolmet vakiolausekkeet, jotka jäivät voimaan GDPR:n tultua voimaan 25.5.2018. Lisäksi voimassa oli EU:n ja Yhdysvaltojen välinen Privacy Shield -järjestely, jonka oli tarkoitus taata riittävä tietosuojan taso, kun tietoja siirrettiin alueesta toiseen.

Syynä vakiolausekkeiden muuttamiselle olikin halu päivittää vakiolausekkeet vastaamaan uutta lakikehystä ja GDPR:n vaatimuksia. Haluna oli myös ottaa huomioon uusi oikeuskäytäntö, erityisesti ns. Schrems II -ratkaisu (C311/18), jossa Euroopan tuomioistuin mm. mitätöi Privacy Shield -järjestelyn, koska Yhdysvaltojen lainsäädäntö ei varmistanut EU:n tasoa pääosiltaan vastaavaa tietosuojan tasoa. Lisäksi kyse oli yksinkertaisesti siitä, että vanhat vakiolausekkeet eivät enää pysyneet nykyaikaisen digitaalisen talouden tahdissa: kun sopimusten osapuolten lukumäärä kasvoi ja syntyi tarve monimutkaisille sopimusketjuille, oli tarkoituksenmukaista päivittää vakiolausekkeiden rakennetta helpommin lähestyttävämmäksi ja joustavammaksi.

Miten vakiolausekkeita on muutettu?

Vakiolausekkeiden ydinsisältö on pysynyt samana. Kuten edellisetkin, nykyiset vakiolausekkeet sisältävät sitoumuksia olennaisiin tietosuojaperiaatteisiin, tietoturvavelvollisuuksia, kolmannen osapuolen oikeuksia sekä toimivaltalausekkeen ETA:n tietosuojaviranomaisille ja tuomioistuimille.

Muutosten kannalta ensinnäkin vakiolausekkeiden rakennetta on muutettu mahdollistamaan laajemman valikoiman tiedonsiirtotilanteita. Tämä on tehty luomalla moduulirakenne, josta käyttäjät pystyvät valitsemaan kutakin siirtotilannetta vastaavan moduulin. Tämän avulla on kyetty korvaamaan kolme erillistä vakiolauseketta yhdellä moduulirakenteisella vakiolausekkeella. Lisäksi vakiolausekkeet nykyään mahdollistavat niiden liittämisen osaksi sopimusta kesken sopimuskauden sekä sisältävät liitteiden listan, jokaista tiedonsiirtoa koskevien tietojen täyttämistä varten.

Toiseksi päivitys on tuonut myös sisällöllisiä muutoksia: nyt vakiolausekkeet vastaavat GDPR:n vaatimuksia ja sisältävät tehostettuja läpinäkyvyysvelvoitteita sekä yksityiskohtaisempia lausekkeita rekisteröityjen oikeuksista, tietoturvaloukkauksesta ilmoittamisesta ja tietojen siirtämistä eteenpäin koskevista säännöistä. Lisäksi päivityksellä on saatettu voimaan Schrems II -ratkaisu, joten sopimusosapuolten on tästä edespäin suoritettava tapauskohtainen arviointi siitä, taataanko henkilötietojen siirrolle EU:n vaatimuksia vastaava tietosuojan taso sekä arvioitava tarve täydentävien suojatoimien käytölle (ns. transfer impact assessment). Vakiolausekkeisiin on lisätty myös tiedonantovelvollisuuksia ja velvollisuus vastustaa laittomia tietopyyntöjä.  

Milloin pitää reagoida muutoksiin?

Tietosuojasopimusten, jotka on solmittu 27.9.2021 jälkeen, pitää perustua uusiin vakiolausekkeisiin. Niille tahoille, jotka ovat solmineet tietosuojasopimuksen vanhoja vakiolausekkeita käyttäen, on säädetty 18 kuukauden siirtymäaika. Tämä siirtymäaika päättyy 27.12.2022, jolloin vanhat vakiolausekkeet on vaihdettava uusiin, mukaan lukien niiden liitteet. Kuitenkin, jos sopimukseen tehdään muutoksia jo ennen siirtymäajan päättymistä, on tahojen siirryttävä käyttämään uusia vakiolausekkeita heti.

Artikkelin laadintaan osallistui lakimiesharjoittelijamme Savva Kuparinen.