back

Euroopan Tietosuojaneuvoston uudet ohjeet selkeyttävät 'siirron' käsitettä

Schrems II -tuomion jälkimainingeissa monessa organisaatiossa pohditaan tiedon siirtoihin liittyviä ongelmia ja ratkaisuja. GDPR ei kuitenkaan määrittele mitä 'siirrolla kolmanteen maahan' tarkoitetaan, mikä on paikoin aiheuttanut harmaita hiuksia itse kullekin. Kun työntekijä menee työmatkalle Intiaan ja avaa läppärillään etäyhteyden työnantajan palveluihin ja tätä kautta henkilötietoihin, onko kyse henkilötiedon siirrosta kolmanteen maahan?

 

Kolme edellytystä siirron tunnistamiseksi

 

Euroopan tietosuojaneuvosto on nyt julkaissut luonnoksen uusista ohjeista. Tässä uudessa ohjeluonnoksessaan Euroopan tietosuojaneuvosto listaa kolme edellytystä, joiden on täytyttävä, jotta kyse olisi henkilötiedon siirrosta:

 

1) Ensinnäkin henkilötietoja siirtävän organisaation, eli käytännössä rekisterinpitäjän tai henkilötietojen käsittelijän on kuuluttava GDPR:n soveltamisalan piiriin, eli käytännössä 2 ja 3 artikloissa säädettyjen alueellisen ja aineellisen soveltamisalan piiriin.

2) Toisekseen, tällaisen rekisterinpitäjän tai käsittelijän tulee siirtää, paljastaa tai saattaa muutoin henkilötietoja toisen organisaation, eli käytännössä rekisterinpitäjän, käsittelijän tai yhteisrekisterinpitäjän saataville.

3) Kolmanneksi, tällaisen vastaanottavan organisaation tulee sijaita kolmannessa maassa, eli siis käytännössä Euroopan talousalueen ulkopuolella, riippumatta siitä kuuluuko se GDPR:n soveltamisalan piiriin.

 

Perinteisesti siirroksi on ymmärretty ne tilanteet, joissa henkilötietoja tallennetaan esimerkiksi kolmannessa maassa sijaitsevaan pilvipalveluun. On kuitenkin hyvä muistaa, että siirroksi katsotaan myös tilanteet, joissa Euroopan talousalueella sijaitseviin henkilötietoihin avataan etäpääsyllä yhteys. Edellyttäen siis, että kaikki edellä mainitut kolme edellytystä täyttyvät.

 

Ohjeluonnoksessa myös vastataan usein esitettyyn kysymykseen: Onko kyseessä siirto kolmanteen maahan, jos yrityksen työntekijä matkustaa työmatkalle Intiaan ja avaa sieltä etäyhteydellä pääsyn Euroopassa oleviin henkilötietoihin? Tietosuojaneuvoston mukaan ei ole. Tämä siksi, että työntekijän ei katsota toimivan erillisenä rekisterinpitäjänä eikä käsittelijänä. Vastaanottava organisaatio siis puuttuu, eikä näin ollen edellä mainitut edellytykset täyty. Toki tilanne muuttuu silloin, jos jokin kolmas taho, kuten paikallisen maan viranomainen saisi myös pääsyn henkilötietoihin.

 

Ohjeluonnoksessa vahvistetaan myös yksi seikka, joka asettaa Eurooppalaiset yritykset huonompaan asemaan verrattuna kolmannessa maassa toimiviin. Ajatelkaa toimivanne Suomeen rekisteröityneenä henkilötietojen käsittelijänä. Kehitätte ohjelmistoa, jossa asiakkaanne käsittelevät henkilötietoja. Saatte asiakkaaksenne Yhdysvaltalaisen yrityksen, joka siirtää ohjelmistoonne henkilötietoja Yhdysvaltain kansalaisista. Kun sitten tällainen asiakas haluaa omat henkilötietonsa takaisin, tulee vastaan ongelma, koska henkilötietojen siirtäminen takaisin tälle asiakkaalle tulee tapahtua GDPR:n V luvun mukaisesti. Schrems II myötä näiden siirtojen lainmukaisuus on iso kysymysmerkki. Herää kysymys, kannattaako Yhdysvaltalaisen ostaa tällaista palvelua Eurooppalaiselta yritykseltä, koska henkilötietoja ei välttämättä voida saada takaisin rikkomatta Eurooppalaista lainsäädäntöä.

 

Mikäli siirrot aiheuttavat harmaita hiuksia omassa organisaatiossanne, olkaa rohkeasti yhteydessä. Me PrivacyAntillä olemme auttaneet useita yrityksiä dokumentoimaan kaikki henkilötietojen siirtotilanteet sekä tehneet riskiarvioita tällaisten siirtojen lainmukaisuuden arvioimiseksi.