Euroopan komissio hyväksyi kesäkuussa 2021 uudet vakiolausekkeet (standard contractual clauses), jotka koskevat henkilötietojen käsittelysopimuksia sekä henkilötietojen siirtoja EU- tai ETA-maiden ulkopuolelle, eli niin sanottuihin kolmansiin maihin. Uudet henkilötietojen siirtoa kolmansiin maihin koskevat vakiolausekkeet korvaavat edelliset näitä kansainvälisiä tiedonsiirtoja koskevat mallisopimuslausekkeet.

Vakiolausekkeita päivitettiin vastaamaan tietosuoja-asetuksen ja EU:n tuomioistuimen ns. Schrems II -ratkaisun vaatimuksia. Kyseiset vakiolausekkeet ovat etukäteen hyväksyttyjä, vakiomuotoisia tietosuojaa koskevia lausekkeita, jotka on mahdollista oma-aloitteisesti sisällyttää sopimuksiin tietosuojaa koskevien vaatimusten noudattamisen varmistamiseksi.

Henkilötietoja ei voida lähtökohtaisesti siirtää Euroopan talousalueen ulkopuolelle, ellei voida varmistua siitä, että vastaanottajan tietosuoja on riittävällä tasolla. Vakiolausekkeet ovat keino varmistaa tietosuojan taso kansainvälisissä tiedonsiirroissa. Vakiolausekkeiden käyttäminen henkilötietojen siirtämiseen siirtoperusteena ei edellytä erillistä lupaa tai vahvistusta tietosuojaviranomaiselta, toisin kuin esimerkiksi yritystä koskevien sitovien sääntöjen käyttäminen. Vakiolausekkeita ei saa kuitenkaan muuttaa, vaan niitä on sovellettava sellaisenaan.

Uusia vakiolausekkeita voidaan käyttää, kun sovitaan tiedonsiirrosta:

• rekisterinpitäjältä rekisterinpitäjälle,
• rekisterinpitäjältä henkilötietojen käsittelijälle,
• henkilötietojen käsittelijältä henkilötietojen käsittelijälle ja
• henkilötietojen käsittelijältä rekisterinpitäjälle.

Vakiolausekkeissa määritellään sekä tietojen viejän että tietojen tuojan velvollisuudet henkilötietojen suojaamiseksi. Lausekkeita käytettäessä on lisäksi tarkistettava tapauskohtaisesti, taataanko henkilötietojen siirrolle EU:n vaatimuksia vastaava tietosuojan taso sekä arvioitava tarve täydentävien suojatoimien käytölle.

Uudet vakiolausekkeet tulivat voimaan 27.6.2021. Yrityksillä, jotka tällä hetkellä käyttävät vanhoja mallisopimuslausekkeita, on 18 kuukautta aikaa päivittää sopimuksiaan, eli siirtymäaika päättyy siis 27.12.2022. Uusissa sopimuksissa vanhoja mallisopimuslausekkeita sai käyttää 27.9.2021 asti. Tästä eteenpäin kaikissa uusissa sopimuksissa tulee käyttää uusia vakiolausekkeita.

Uusien vakiolausekkeiden lisäksi Euroopan tietosuojaneuvosto julkaisi 18.6.2021 lopullisen version Schrems II -tuomiota koskevista suosituksistaan. Euroopan tietosuojaneuvosto ohjeistaa rekisterinpitäjää arvioimaan kansainvälisiä tiedonsiirtoja seuraavien kohtien avulla:

• Kartoita ja tunnista kaikki henkilötietojen siirtosi ETA-maiden ulkopuolelle
• Käy läpi tiedonsiirtosopimukset ja selvitä, mitä tietoja siirretään tällä hetkellä vanhojen mallisopimuslausekkeiden perusteella
• Tutustu uusiin vakiolausekkeisiin ja valmistaudu ottamaan ne käyttöön tiedonsiirtosopimuksissa
• Perehdy mahdollisiin tarvittaviin lisätoimenpiteisiin (esim. tekniset toimenpiteet, kuten salaus).
• Laadi suunnitelma mahdollisten vanhojen sopimusten uudelleen neuvottelemiseksi tai uusien sopimusten laatimiseksi

Tutustu Lexian aiempaan artikkeliin aiheesta: Henkilötietojen siirrot Yhdysvaltoihin: Päivitetyt mallisopimuslausekkeet ja uudet suositukset julkaistu Schrems II -päätöksen jatkotoimenpiteinä

Ota käyttöön uudet vakiolausekkeet komission verkkosivuilta:

Vakiolausekkeet tiedonsiirroista kolmansiin maihin (artikla 46): Standard contractual clauses for international transfers

Käsittelysopimuksia koskevat vakiolausekkeet (artikla 28): Standard contractual clauses for controllers and processors in the EU/EEA

Annamme mielellämme lisätietoja ja avustamme uusien vakiolausekkeiden käyttöönotossa:

Markus Myhrberg, Partner, [email protected], puh. +358 40 505 5343
Erika Leinonen, Counsel, [email protected], puh.  +358 45 782 00310
Petra Lahtinen, Associate, [email protected], puh. +358 40 589 4402