Henkilötietojen siirtäminen EU:n ulkopuolisiin maihin: mallisopimuslausekkeet

 

TIIVISTELMÄ ASIAKIRJASTA:

Päätös 2010/87/EU direktiivin 95/46/EY mukaisista mallisopimuslausekkeista henkilötietojen siirtoa varten kolmansiin maihin sijoittautuneille henkilötietojen käsittelijöille

PÄÄTÖKSEN TARKOITUS

Päätöksessä vahvistetaan mallisopimuslausekkeet sellaisten EU:ssa toimivien rekisterinpitäjien* (viejien) käyttöön, jotka siirtävät henkilötietoja* tietojen käsittelijöille* (tuojille), jotka puolestaan ovat sijoittautuneet EU:n tai ETA:n ulkopuolelle, jotta voidaan tarjota asianmukaiset tietosuojatakeet ja siten noudattaa EU:n tietosuojalainsäädäntöä (yleinen tietosuoja-asetus – asetus (EU) 2016/679 – ks. tiivistelmä).

TÄRKEIMMÄT KOHDAT

Päätöksen liitteessä mallisopimuslausekkeet esitellään seuraavasti. Mallisopimuslausekkeet koskevat ainoastaan tietosuojaa. Osapuolet voivat vapaasti sisällyttää ne laajempaan sopimukseen tai niitä voidaan täydentää muilla lausekkeilla tai lisätakuilla, kunhan nämä lausekkeet eivät ole suorassa tai epäsuorassa ristiriidassa tässä päätöksessä hyväksyttyjen mallisopimuslausekkeiden kanssa.

Lauseke 1: Määritelmät

Päätöksessä määritellään mallisopimuslausekkeissa käytettävät keskeiset käsitteet.

Lauseke 2: Siirron yksityiskohdat

Osapuolten on lueteltava sopimuslausekkeiden lisäyksessä siirtojen yksityiskohdat, kuten tietojen tuojan ja viejän merkityksellinen toiminta, siirrettävien henkilötietojen luokitus sekä prosessit, joiden mukaisesti henkilötietoja käsitellään siirtämisen jälkeen.

Lauseke 3: Kolmatta osapuolta suojaava edunsaajalauseke

Lausekkeen avulla rekisteröidyt voivat panna täytäntöön useita lausekkeita tietojen viejää, tietojen tuojaa tai alihankkijana toimivaa käsittelijää vastaan edunsaajana olevan kolmannen osapuolen ominaisuudessa. Lisäksi siinä säädetään, että sopimuspuolet eivät vastusta sitä, että rekisteröityä edustaa yhteenliittymä tai muu elin, jos se on kansallisen lainsäädännön mukaan sallittua.

Lauseke 4: Tietojen viejän velvollisuudet

Lausekkeessa esitetään tietojen viejän sopimusvelvoitteet. Hänen on hyväksyttävä ja taattava, että

• henkilötietoja käsitellään vain tietosuojalainsäädännön mukaisesti;
• tietojen tuojalle annetaan ohje, että tietoja käsitellään ainoastaan tietojen viejän puolesta ja tietosuojalainsäädännön ja lausekkeiden mukaisesti;
• annetaan riittävät takeet (joita noudatetaan) teknisistä ja organisatorisista turvatoimista, joilla henkilötiedot suojataan tahattomalta tai laittomalta tuhoamiselta, häviämiseltä, muuttamiselta, luvattomalta luovuttamiselta tai tietoihin pääsyltä erityisesti kun tietoja käsitellään verkossa;
• rekisteröidylle tiedotetaan, jos erityiset tietoryhmät voidaan siirtää EU:n ulkopuoliseen maahan, jossa tietosuojan taso on riittämätön;
• toimivaltaiselle viranomaiselle toimitetaan tietojen tuojalta saatu ilmoitus tämän kyvyttömyydestä noudattaa lauseketta, jos se päättää jatkaa siirtoa;
• saatetaan rekisteröityjen saataville pyynnöstä jäljennös lausekkeista sekä yleinen kuvaus turvatoimista;
• alihankintana suoritettavien käsittelypalvelujen tapauksessa alihankkijana toimiva käsittelijä takaa henkilötiedoille vähintään saman tasoisen suojan kuin tietojen tuoja.

Lauseke 5: Tietojen tuojan velvollisuudet

Lausekkeessa esitetään tietojen tuojan sopimusvelvoitteet. Hänen on hyväksyttävä ja taattava, että

• henkilötietoja käsitellään ainoastaan tietojen viejän puolesta tämän antamien ohjeiden ja lausekkeiden mukaisesti;
• ei ole mitään syytä olettaa, että sovellettava lainsäädäntö estäisi tietojen viejältä saatujen ohjeiden noudattamisen ja tietojen tuojalle sopimuksen mukaan kuuluvien velvoitteiden täyttämisen;
• kyseiseen lainsäädäntöön tehtävät muutokset annetaan viipymättä tiedoksi, jos muutoksella on todennäköisesti merkittävä haitallinen vaikutus lausekkeilla annettaviin takeisiin ja lausekkeiden mukaisiin velvoitteisiin, jolloin tietojen viejällä on oikeus lykätä tietojen siirtoa ja/tai irtisanoa sopimus;
• tekniset ja organisatoriset turvatoimet pannaan täytäntöön ennen siirrettyjen henkilötietojen käsittelyä;
• tietojen viejälle ilmoitetaan viipymättä säännösten täytäntöönpanosta vastaavan viranomaisen pyynnöstä luovuttaa henkilötietoja, kaikista tahattomista tai luvattomista pääsyistä tietoihin ja rekisteröidyiltä suoraan saaduista tiedusteluista niihin vastaamatta, ellei siihen muutoin anneta lupaa;
• tietojen viejältä saadut siirrettävien henkilötietojen käsittelyyn liittyvät tiedustelut hoidetaan viipymättä ja valvontaviranomaisen neuvoja noudatetaan;
• tietojen viejän vaatimuksesta tietojenkäsittelyjärjestelmä annetaan tarkastettavaksi lausekkeiden piiriin kuuluvien käsittelytoimien osalta;
• saatetaan rekisteröityjen saataville pyynnöstä jäljennös lausekkeista sekä yleinen kuvaus turvatoimista;
• alihankkijana toimivaa käsittelijää käytetään vain, jos tietojen viejä on antanut tähän ennakkoon suostumuksensa.

Lauseke 6: Vastuu

Lausekkeissa edellytetään sopimuspuolia sopimaan, että rekisteröidyllä, jolle on koitunut vahinkoa velvoitteiden rikkomisen seurauksena, on oikeus saada tietojen viejältä korvaus aiheutuneista vahingoista.

Lauseke 7: Sovittelu ja toimivaltainen tuomioistuin

Tietojen tuojan on sovittava, että jos rekisteröity vetoaa kolmannen osapuolen etua suojaavaan oikeuteen ja/tai vaatii vahingonkorvausta, tietojen tuoja hyväksyy rekisteröidyn päätöksen saattaa riita käsiteltäväksi riippumattomassa sovittelumenettelyssä tai sen EU-maan tuomioistuinten ratkaistavaksi, johon tietojen viejä on sijoittautunut (rekisteröidyllä säilyy oikeus hakea tilanteeseen korjausta muiden kansallisten tai kansainvälisten säännösten nojalla).

Lauseke 8: Yhteistyö valvontaviranomaisten kanssa

Tämä lauseke koskee toimivaltaisen valvontaviranomaisen kanssa tehtävää yhteistyötä. Sen nojalla

• valvontaviranomaisella on oikeus tehdä tietojen tuojaan ja kaikkiin alihankkijoina toimiviin käsittelijöihin kohdistuvia tarkastuksia;
• tietojen tuoja ilmoittaa tietojen viejälle lainsäädännöstä, joka estää tietojen tuojaa koskevan tarkastuksen suorittamisen. Tässä tapauksessa tietojen viejällä on oikeus keskeyttää tietojen siirto tai irtisanoa sopimus.

Lauseke 9: Sovellettava laki

Lausekkeisiin sovelletaan sen EU-maan lakia, johon tietojen viejä on sijoittautunut.

Lauseke 10: Sopimuksen mukauttaminen

Sopimuspuolet eivät saa mukauttaa tai muuttaa lausekkeita, eivätkä lisättävät lausekkeet saa olla ristiriidassa näiden lausekkeiden kanssa.

Lauseke 11: Alihankintana suoritettava käsittely

Alihankintana suoritettavaa käsittelyä koskeviin määräyksiin sovelletaan sen EU-maan lakia, johon tietojen viejä on sijoittautunut.

Lauseke 12: Tietojen käsittelypalvelujen päättymisen jälkeiset velvoitteet

Tämä lauseke koskee osapuolten velvoitteita käsittelypalvelujen päättymisen jälkeen Sopimuspuolet sopivat erityisesti, että tietojen käsittelypalvelujen päättymisen jälkeen tietojen tuojan ja alihankkijana toimivan käsittelijän on palautettava (tai pyynnöstä hävitettävä) kaikki siirretyt henkilötiedot, ellei lainsäädäntö estä sitä.

MISTÄ ALKAEN PÄÄTÖSTÄ ON SOVELLETTU?

Asetusta on sovellettu 15. toukokuuta 2010 alkaen.

TAUSTAA

• Huomautus: tästä päätöksestä esitettiin ennakkoratkaisupyyntö, jonka seurauksena EU:n tuomioistuin antoi 16. heinäkuuta 2020 tuomion (asia C-311/18), jossa se vahvisti päätöksen olevan pätevä.
• Euroopan komissio on myös antanut kahdenlaiset mallisopimuslausekkeet, jotka koskevat tietojen siirtoa EU:hun sijoittautuneilta rekisterinpitäjiltä EU:n tai ETA:n ulkopuolelle sijoittautuneille rekisterinpitäjille.
• Ks. myös:
  • Tietosuoja (Euroopan komissio).

KESKEISET TERMIT

ASIAKIRJA

Komission päätös 2010/87/EU, annettu 5 päivänä helmikuuta 2010, Euroopan parlamentin ja neuvoston direktiivin 95/46/EY mukaisista mallisopimuslausekkeista henkilötietojen siirtoa varten kolmansiin maihin sijoittautuneille henkilötietojen käsittelijöille (EUVL L 39, 12.2.2010, s. 5–18)

Päätökseen 2010/87/EU tehdyt peräkkäiset muutokset on sisällytetty alkuperäiseen tekstiin. Konsolidoitu toisinto on tarkoitettu ainoastaan dokumentointitarkoituksiin.

MUUT ASIAAN LIITTYVÄT ASIAKIRJAT

Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (EUVL L 119, 4.5.2016, s. 1–88)

Ks. konsolidoitu toisinto.

Komission päätös 2004/915/EY, annettu 27 päivänä joulukuuta 2004, päätöksen 2001/497/EY muuttamisesta vaihtoehtoisten mallisopimuslausekkeiden ottamiseksi käyttöön henkilötietojen kolmansiin maihin siirtoa varten (EUVL L 385, 29.12.2004, s. 74–84)

Komission päätös 2001/497/EY, annettu 15 päivänä kesäkuuta 2001, direktiivin 95/46/EY mukaisista mallisopimuslausekkeista henkilötietojen kolmansiin maihin siirtoa varten (EYVL L 181, 4.7.2001, s. 19–31)

Ks. konsolidoitu toisinto.

Euroopan parlamentin ja neuvoston direktiivi 95/46/EY, annettu 24 päivänä lokakuuta 1995, yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (EYVL L 281, 23.11.1995, s. 31–50)

Ks. konsolidoitu toisinto.

Viimeisin päivitys: 07.10.2020