12. helmikuuta 2010

Tietosuoja: Henkilötietojen siirto EU:n ulkopuolelle

Euroopan unionin tietosuojadirektiivi eli henkilötietodirektiivi 95/46 kieltää periaatteessa henkilötietojen siirron EU:n (ja Euroopan talousalueen, ETA:n) ulkopuolelle, jollei tietosuojan taso kyseisessä kolmannessa maassa ole riittävä (25 artikla):



EUROOPAN PARLAMENTIN JA NEUVOSTON DIREKTIIVI 95/46/EY annettu 24 päivänä lokakuuta 1995, yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (konsolidoitu eli päivitetty toisinto 20.11.2003)


Tietosuojadirektiivin 26 artikla tarjoaa kuitenkin eräitä poikkeusmahdollisuuksia, vaikka kolmannen maan lainsäädäntö ei ole EU:n edellyttämällä tasolla. Rekisterinpitäjä voi antaa riittävät takeet sopimusteitse, ja tätä silmällä pitäen komissiolle on annettu mahdollisuus vahvistaa mallisopimuslausekkeet, joiden katsotaan antavan riittävät takeet.



Komission päätös

Komissio on nyt antanut uuden päätöksen kelvollisista mallisopimuslausekkeista:



KOMISSION PÄÄTÖS, annettu 5 päivänä helmikuuta 2010, Euroopan parlamentin ja neuvoston direktiivin 95/46/EY mukaisista mallisopimuslausekkeista henkilötietojen siirtoa varten kolmansiin maihin sijoittautuneille henkilötietojen käsittelijöille; julkaistu Euroopan unionin virallisessa lehdessä 12.2.2010 L 39/5


Tarkoitus käy ilmi päätöksen 2010/87/EU 1 artiklasta:


1 artikla

Liitteessä olevien mallisopimuslausekkeiden katsotaan antavan riittävät takeet yksityisyyden ja yksilöiden perusoikeuksien ja -vapauksien suojaamiseksi ja vastaavien oikeuksien toteutumiseksi direktiivin 95/46/EY 26 artiklan 2 kohdassa edellytetyllä tavalla.


Uutta päätöstä 2010/87/EU sovelletaan 15. toukokuuta 2010 alkaen, ja se kumoaa komission aiemman päätöksen 2002/16/EY.


Perusteet

Komission esittämät perustelut uudelle päätökselle on esitetty varsin epämääräisesti, joten asian valmistelussa annetut lausunnot voivat olla avuksi lukijalle.

Tietosuojadirektiivin 95/46 nojalla perustettu tietosuojatyöryhmä (tunnettu nimellä Article 29 Data Protection Working Party) antoi 5. maaliskuuta 2009 varsin yksityiskohtaisen lausunnon, joka kuvaa liiketoimintamallien muutoksia ja tarvetta nykyaikaistaa päätöstä. Lausunto on julkaistu myös suomeksi (7 sivua):



Lausunto 3/2009 komission päätösehdotuksesta, joka koskee direktiivin 95/46/EY mukaisia mallisopimuslausekkeita henkilötietojen siirtoa varten kolmansiin maihin sijoittautuneille henkilötietojen käsittelijöille (rekisterinpitäjältä henkilötietojen käsittelijälle)


Myöhemmässä vaiheessa Euroopan tietosuojavaltuutettu Peter Hustinx antoi lausunnon, jossa puututtiin lähinnä joihinkin yksityiskohtiin:


Note concerning the Draft Commission Decision on standard contractual clauses for the transfer of personal data to processors established in third countries (kirjessä 15. heinäkuuta 2009)


Tietosuoja EU:ssa ja Suomessa




Kokonaiskuvan tietosuojasta Euroopan unionissa tarjoaa lainsäädännön tiivistelmä Henkilötietojen suojelu (viimeksi päivitetty 31.8.2007).



Komissio on käynnistänyt henkilötietodirektiivin uudistamisen valmistelun.




Direktiivit toteutetaan jäsenmaissa kansallisella lainsäädännöllä ja jokaisessa maassa on valvova viranomainen. Suomen osalta tietosuojavaltuutetun toimiston verkkosivuilta saa tietoa henkilötietolaista 523/1999 ja muusta tietosuojalainsäädännöstä sekä ohjeita, ratkaisuja ja uutisia.




Ralf Grahn

Ei kommentteja: