Keskustelu Brexitin ympärillä on käynyt kiivaana viime aikoina. Mikäli Iso-Britannian erosopimus saadaan hyväksyttyä ennen 31.1.2020, Britannia noudattaa EU:n lainsäädäntöä ja on osana sisämarkkinoita sovitun siirtymäajan. Jos erosopimusta ei saada aikaan, Britanniasta tulee tammikuun jälkeen EU:n ulkopuolinen maa. Sitä ennen maassa järjestetään kuitenkin vaalit, jonka lopputulos saattaa vaikuttaa Brexitiin ja sen toteutumiseen hyvin paljon.

Brexitillä olisi vaikutuksia myös henkilötietojen siirtoon Iso-Britanniaan. Henkilötietojen käsittelyä koskeva lainsäädäntö on suurelta osin harmonisoitu Euroopan unionin jäsenvaltioissa toukokuussa 2018 voimaan tulleella tietosuoja-asetuksella. Tietosuoja-asetus on helpottanut henkilötietojen siirtämistä toiseen jäsenvaltioon, sillä asetuksessa ei aseteta erityisiä lisävelvoitteita henkilötietojen siirrolle EU:n sisällä.

Erosopimuksen mukaan tietosuoja-asetus pysyisi voimassa Britannian kansallisessa lainsäädännössä Brexitin jälkeenkin. Jos Brexit toteutuisi erosopimuksen mukaisesti, vaikutukset tietojen siirtoon olisivat tämän hetkisen tiedon mukaan todennäköisesti suhteelliset vähäiset. Iso-Britannia todennäköisesti jatkaisi tietosuoja-asetuksen soveltamista, kunnes EU antaisi päätöksen, että Britannian tietosuojalainsäädäntö takaa riittävän suojan henkilötietojen käsittelylle.

Sopimuksettoman eron vaikutukset henkilötietojen siirtoon ovat sen sijaan arvaamattomammat. Brexitin toteutuessa ilman sopimusta Iso-Britanniasta tulee välittömästi tietosuoja-asetuksen kontekstissa ns. kolmas maa. Tämä vaikuttaa erityisesti yrityksiin, jotka ovat tähän asti siirtäneet tietoja Iso-Britanniaan. Jatkossa niiden tulisi huomioida henkilötietojen siirtämistä EU/ETA-alueen ulkopuolelle koskevat velvoitteet. Nämä velvoitteet koskevat yhtäläisesti siirrettäessä henkilötietoja niin ulkopuolisille palveluntarjoajille ja yhteistyökumppaneille kuin konsernin sisäisiä henkilötietojen siirtoja, esim. suomalaiselta emoyhtiötä Britanniassa sijaitsevalle tytäryhtiölle.

Henkilötietojen siirtäminen Britanniaan sopimuksettoman Brexitin jälkeen

Henkilötietoja voidaan siirtää EU:n ulkopuolelle, jos kyseisessä kolmannessa maassa taataan Euroopan komission mukaan tietosuojan riittävä taso. Tällainen päätös on annettu esimerkiksi Japanin ja Uuden-Seelannin osalta. Tyypillisesti Komissiolta on kuitenkin kestänyt 18 kuukaudesta viiteen vuoteen todeta tietosuojan riittävä taso. On siis todennäköistä, että sopimuksettoman Brexitin jälkeen kestäisi jonkin aikaa ennen kuin tällainen päätös voitaisiin antaa Britannian osalta. Sitä odoteltaessa henkilötietojen siirrossa Britanniaan tulisi noudatettaa tietosuoja-asetuksen mukaisia muita siirtomekanismeja.

Henkilötietojen siirtäminen EU:n ulkopuolelle on mahdollista ensinnäkin sisällyttämällä osapuolien väliseen sopimukseen Euroopan komission vahvistamat tietosuojaa koskevat vakiolausekkeet. Rekisterinpitäjien väliselle henkilötietojen siirtämiselle sekä rekisterinpitäjien ja käsittelijän väliselle henkilötietojen siirtämiselle on erilliset vakiolausekkeet. Vakiolausekkeiden sisältöä ei saa muuttaa. Ne asettavat osapuolille oikeudellisia velvoitteita ja vastuita, joten sisältöön on suositeltavaa perehtyä huolellisesti ennen niiden käyttöönottamista. Vakiolausekkeita on mahdollista käyttää niin ulkopuolisten kumppaneiden kanssa kuin konsernin sisäisissä henkilötietojen siirroissa.  

Konsernin sisäisiä henkilötietojen siirtoja varten yksi vaihtoehto on ottaa käyttöön ns. yritystä koskevat sitovat säännöt (binding corporate rules). Sitovien sääntöjen tarkoituksena on, että konserni ottaa käyttöön valvontaviranomaisen hyväksymät säännöt henkilötietojen siirroille. Kun valvontaviranomainen on hyväksynyt säännöt, ne toimivat riittävinä suojakeinoina henkilötietojen siirroille EU-alueen ulkopuolelle, eikä tietojensiirroissa tarvita muita viranomaislupia tai esim. vakiolausekkeiden käyttöä. Erityisesti suomalaisyhtiöiden, joilla on tytäryhtiöitä Britanniassa, kannattaa harkita sitovien sääntöjen käyttöönottoa.

Henkilötietojen siirto on myös mahdollista tietyillä muilla tietosuoja-asetuksen mukaisilla poikkeusperusteilla, jotka kuitenkin pätevät vain erityistilanteisiin. Henkilötietojen siirto on mahdollista esimerkiksi henkilön antamalla nimenomaisella suostumuksella, tai sillä perustella, että henkilötietojen siirto on tarpeen rekisterinpitäjän ja ko. henkilön välisen sopimuksen tekemiseksi tai täytäntöönpanemiseksi. Nämä tilanteet edellyttävät aina tapauskohtaista arviointia. Esimerkiksi suostumus edellyttää henkilön informointia siirtoon liittyvistä asioista. Sopimuksen tekemistä koskeva siirto-oikeus mahdollistaa ainoastaan ko. sopimuksen kannalta tarpeellisten tietojen siirtämisen, ei esimerkiksi yleisesti asiakastietojen säilyttämistä EU:n ulkopuolisessa valtiossa.  

Lisäksi tulee huomioida, että siirrossa käytetystä suojamekanismista riippumatta tulee rekisteröityjä joka tapauksessa informoida lainsäädännön edellyttämällä tavalla henkilötietojen siirrosta. Tämä tarkoittaa sitä, että yhtiön tietosuojainformaatio, kuten tietosuojaselosteet tulee päivittää Britanniaan kohdistuvan henkilötietojen siirron osalta.

Näin varaudut Brexitiin tietosuojalainsäädännön velvoitteiden osalta

• Kartoita henkilötiedot, joita rekisterinpitäjä itse tai esim. sen käyttämät palveluntarjoajat siirtävät Iso-Britanniaan.
• Arvioi, mikä tietosuoja-asetuksen mukainen siirtomekanismi soveltuu parhaiten Brexitin jälkeiseen henkilötietojen siirtoon Iso-Britanniaan.
• Käy läpi henkilötietojen käsittelyä ja siirtoa koskevat sopimukset Britanniaan sijoittautuneiden kumppaneiden osalta ja neuvottele tarvittaessa sopimuksiin kolmansia maita koskevat tietojen siirtoon liittyvät mekanismit, kuten komission vahvistamat vakiolausekkeet.
• Päivitä tietosuojaselosteet ja muu tietosuojainformaatio Britanniaan tapahtuvan henkilötietojen siirron osalta.

Annamme mielellämme lisätietoja.

Ville Kukkonen, Associate, puh. +358 40 745 6784, [email protected]

Markus Myhrberg, Partner, puh. +358 40 505 5343, [email protected]

Maria Storey, Associate, puh. +358 40 743 2222, [email protected]