Monthly Archives: March 2019

Brexit ja tietosuoja – kun pitäisi siirtää henkilötietoja Iso-Britanniaan

Disclaimer: Tämä ei ole lainopillinen neuvo, vaan kehotus kääntyä oman organisaation tietosuoja-asioista vastaavan puoleen. Tähän on nyt koottu pari havaintoa asiasta, mutta jokainen oikea tapaus täytyy tulkita erikseen.

Brexit on nyt ajakohtainen puheenaihe myös tietosuojakysymystensä puolesta. Britanniassa on erilaisia verkkoapalveuita ja vastaavia, joihin siirretään EU- tai ETA-alueelta henkilötietoja. Kun tai jos brexit tulee, niin mitä pitäisi tehdä?

Vaihtoehtoiset polut tästä päivästä (16.3.2019) katsoen näyttävät seuraavilta. Tilanne voi muuttua milloin tahansa, joten alla olevat tulkinnatkin voivat muuttua.

Ennen kuin brexit toteutuu tai koko brexit peruuntuu

  • Iso-Britanniassa on GDPR voimassa, minkä lisäksi on voimassa on kansallinen tietosuojalaki (Data Protection Act 2018) eikä nykytilanne muutu. EU:n tietosuojalainsäädännön mukaan henkilötietojen vapaa liikkuvuus taataan EU:n jäsenvaltioiden sekä EFTA-/ETA-valtioiden (Norja, Islanti, Liechtenstein ja Sveitsi) välillä.[1] Puhuttakoon tässä jatkossa tästä alueesta yksinkertaistaen ETA-alueena.

Tässä vaihtoehdossa ei siis ole välttämättä tarvetta tehdä mitään.

Brexit toteutuu EU:n kanssa sovitun erosopimuksen mukaisesti

  • Jos erosopimus astuu voimaan ja brexit toteutuu sitä kautta, alkaa tästä 31.12.2020 saakka kestävä siirtymäaika. Sen aikana EU-lainsäädäntö (mukaan lukien GDPR) on sovellettavaa oikeutta. Henkilötietoja voidaan siirtää Britanniaan siirtymäkauden aikana kuten tähänkin asti.[2]
  • Siirtymäkauden jälkeen EU-lainsäädäntöä ei enää sovelleta. On mahdollista, että Euroopan komissio antaa päätöksen Britannian tietosuojatason riittävyydestä (ns. adequacy decision) ennen siirtymäkauden päättymistä. Tällöin henkilötietojen siirto Britanniaan voisi jatkua kuten ennenkin [2]. Tällaisen komission päätöksen kanssa voi mennä aikaa, joten siirtymäkauden aikana olisi syytä varautua siihen, GDPR:n 5. luvun mukainen siirtomekanismi on käytössä [1][3]. Näitä siirtomekanismeja ovat esimerkiksi henkilön yksiselitteinen suostumus tai sopimus, jossa käytetään komission vahvistamia mallisopimuslausekkeita [4][5][6].

Jos siis erosopimus tulee hyväksytyksi ja berxit etenee sitä kautta, on aikaa vuoden 2020 loppuun ja riippuu komission päätöksistä, tarvitseeko erityisesti tehdä mitään. Varautuminen esimerkiksi mallisopimuslausekkeiden käyttöön kannattaa.

Brexit toteutuu ilman erosopimusta

  • Jos brexit toteutuu ilman sopimusta, Iso-Britanniasta tulee nk. kolmas maa eli Britannia on ETA-alueen ulkopuolinen maa. Silloin henkilötietojen siirto voi perustua em. GDPR:n 5. luvun mukainen siirtomekanismeille [3] kuten henkilön yksiselitteiselle suostumukselle tai mallisopimuslausekkeiden käyttöön.
  • Aina on olemassa se vaihtoehto, että palvelu ja tiedot, johon henkilötietojen käsittely liittyy, siirretään ETA-alueelle. Tällöin täytyy huomioida, että GDPR:ää noudatetaan myös silloin kun henkilötietojen käsittelijä [7] ei ole sijoittautunut EU-jäsenvaltioon, mutta sen suorittama henkilötietojen käsittely liittyy tavaroiden tai palvelujen tarjoamiseen unionissa sijaitseville rekisteröidyille tai rekisteröityjen käyttäytymisen seurantaan EU:n alueella.[8]

Käytännössä siis on huomattava, että jos palvelu ja tiedot ovat ETA-alueella, mutta ylläpitäjä kolmannessa maassa (kuten Britanniassa tässä tapauksessa), on noudatettava GDPR:n säädöksiä henkilötiedon käsittelystä ETA-alueen ulkopuolella. Siis mallisopimuslausekkeita, käyttäjien suostumuksia jne.

Brexit toteutuu jollain muulla tavalla (esim. jonkun muun sopimuksen kautta)

  • Tätä kirjoitettaessa tällainen näyttää hyvin epätodennäköiseltä, mutta mistäs sitä ikinä tietää. Tällaisessa tapauksessa ehdot voivat olla edellä poikkeavat ja asia pitäisi sitten selvittää erikseen.

Lähteitä:

[1] https://tietosuoja.fi/artikkeli/-/asset_publisher/miten-brexit-ilman-erosopimusta-muuttaisi-henkilotietojen-siirron-vaatimuksia-

[2] https://fondia.com/fi/blogsandnews/post-brexit-miten-brexit-muuttaa-henkilotietojen-siirron

[3] https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection_fi

[4] https://www.lexia.fi/fi/brexit-ja-gdpr/

[5] https://ec.europa.eu/info/law/law-topic/data-protection_en

[6] https://europa.eu/youreurope/business/dealing-with-customers/data-protection/data-protection-gdpr/index_fi.htm

[7] https://tietosuoja.fi/henkilotietojen-kasittelijat

[8] https://tietosuoja.fi/henkilotietojen-kasittelijan-velvollisuudet