TIETOSUOJAOPAS 30 9. TIETOJEN SIIRTO KOLMANSIINMAIHIN Henkilötietojen siirto EU:n tai Euroopan talousalueen ulkopuolelle on kiellettyä, jos tietosuoja-asetuksen mukaisia siirtomekanismeja ei ole otettu käyttöön. Rekisterinpitäjän ja henkilötietojen käsittelijän on huolehdittava siitä, että henkilötietoja siirrettäessä noudatetaan asetuksen mukaisia siirtomekanismeja. Organisaatiot voivat esimerkiksi • varmistaa, että aiotun kohdemaan osalta komissio on tehnyt päätöksen siitä, että kyseinen maa takaa henkilötiedoille riittävän tietosuojatason • käyttää komission hyväksymiä mallisopimuslausekkeita (standard contractual clauses) • noudattaa yritystä koskevia tietosuojaviranomaisten vahvistamia sitovia sääntöjä (binding corporate rules) • varmistaa ja tarkistaa, jos kyse on yhdysvaltalaisesta yrityksestä, että nk. Privacy Shield-sertifiointi soveltuu. EU:n ja Yhdysvaltojen välinen Privacy Shield -sopimus turvaa EU-kansalaisten perusoikeudet siirrettäessä henkilötietoja Yhdysvaltoihin ja asettaa vaatimukset yrityksille, jotka siirtävät henkilötietoja EU:n ja Yhdysvaltojen välillä. Henkilötietojen siirtäminen Privacy Shield -järjestelmään rekisteröityneelle yhdysvaltalaiselle toimijalle on sallittua, sillä rekisteröitynyt toimija on sitoutunut noudattamaan sertifioinnin asettamia vaatimuksia. Henkilötietojen siirtämisen käsite on laaja. Sitä on tietojen konkreettisen siirtämisen ja lähettämisen lisäksi esimerkiksi pääsyn salliminen rekisterinpitäjän sisämarkkinoilla sijaitsevaan tietokantaan EU:n tai Euroopan talousalueen ulkopuolella toimivalle taholle. Vastaavasti henkilötietojen siirroksi katsotaan tilanne, jossa työntekijä käsittelee tietokoneellaan henkilötietoja matkustaessaan EU:n ulkopuolella. Myös henkilötietojen julkaiseminen internetissä on siirtämistä kolmansiin maihin. Säännökset soveltuvat myös tilanteeseen, jossa tiedot siirretään esimerkiksi rekisterinpitäjän omalle palvelimelle EU:n tai Euroopan talousalueen ulkopuolelle. KOHDEMAAN OSALTA KOMISSIO ON TEHNYT PÄÄTÖKSEN SIITÄ, ETTÄ KYSEINEN MAA TAKAA HENKILÖTIEDOILLE RIITTÄVÄN TIETOSUOJATASON KOMISSION HYVÄKSYMÄT MALLISOPIMUSLAUSEKKEET (STANDARD CONTRACTUAL CLAUSES) YRITYSTÄ SITOVAT SÄÄNNÖT (BINDING CORPORATE RULES) SERTIFIOINTI KÄYTÄNNESÄÄNNÖT
RkJQdWJsaXNoZXIy Mjk0MTY=