Tiedonsiirrot vapautettu, mutta säännelty

Ote Bruno DUMAYn kirjasta: GDPR:n purkaminen – yritysten ja organisaatioiden johtajille, strategisille osastoille ja työntekijöille – Esipuhe: Gaëlle MONTEILLER

Vaikka se saattaakin kuulostaa yllättävältä globalisoituneessa taloudessa, jossa rajojen käsite näyttää olevan ristiriidassa internetin kautta tehtävien liiketoimien kanssa, EU kielsi henkilötietojen siirtämisen jatkokäsittelyä varten kolmanteen maahan eli unionin ulkopuolella sijaitsevaan maahan ilman valvontaviranomaisen myöntämää lupaa.

GDPR poistaa ennakkolupamenettelyn. Siirron toteuttamiseksi on kuitenkin täytettävä tietyt ehdot. Komission on täytynyt päätöksellä todeta, että EU:n ulkopuolinen vastaanottaja (maa, alue tai maan sektori, kansainvälinen järjestö) "varmistaa riittävän tietosuojan tason" (artikla 45-1). 

Toinen^e Artiklan 45 ensimmäisessä kohdassa luetellaan tätä riittävää suojan tasoa vastaavat kriteerit, mukaan lukien oikeusvaltioperiaate, ihmisoikeuksien ja perusvapauksien kunnioittaminen, lainsäädäntö, riippumattoman valvontaviranomaisen tosiasiallinen olemassaolo, kansainväliset sitoumukset jne. Jos näiden kriteerien tarkastelu johtaa siihen johtopäätökseen, että toimenpide on EU:n sääntöjen mukainen, komissio hyväksyy "täytäntöönpanosäädöksen", jota tarkastellaan säännöllisesti vähintään neljän vuoden välein (45 artiklan 3 kohta). Lisäksi täsmennetään, että komission on jatkuvasti seurattava kehitystä kolmansissa maissa (45 artiklan 4 kohta).

Siirto on kuitenkin mahdollista, aina ilman ennakkolupaa, kohteeseen, jota ei ole käsitelty täytäntöönpanosäädöksellä. Artiklassa 46 säädetään itse asiassa, että rekisterinpitäjä tai käsittelijä voi siirtää tietoja, "jos se on antanut asianmukaiset takeet ja edellyttäen, että rekisteröidyillä on täytäntöönpanokelpoiset oikeudet ja tehokkaat oikeussuojakeinot" (46 artiklan 1 kohta).

Nämä asianmukaiset takuut voidaan tarjota eri tavoin, joista joitakin olemme jo maininneet:

•  Oikeudellisesti sitova ja täytäntöönpanokelpoinen asiakirja viranomaisten tai elinten välillä;
•  Sitovat yrityssäännöt (yritysryhmien osalta näiden sääntöjen ehdot, jotka valvontaviranomaisen on hyväksyttävä, on määritelty 47 artiklassa);
• Komission joko suoraan tai valvontaviranomaisen kautta hyväksymät vakiolausekkeet;
•  Käytännesäännöt tai sertifiointimekanismi, ”johon liittyy kolmannen maan rekisterinpitäjän tai henkilötietojen käsittelijän sitova ja täytäntöönpanokelpoinen sitoumus asianmukaisten suojatoimien soveltamisesta” (artikla 46-2).

Asianmukaiset suojatoimet siirrolle voidaan toteuttaa, tällä kertaa valvontaviranomaisen luvan jälkeen, kahdella muulla tavalla:

– Rekisterinpitäjän tai alihankkijan ja heidän kolmannen maan vastapuoltensa välinen sopimus;

– ”Viranomaisten tai julkisten elinten välisiin hallinnollisiin järjestelyihin sisällytettävät määräykset” (artikla 46-3).

Kaikki siirrot ovat siksi kiellettyjä ilman riittävää tietosuojan tasoa tai erityisiä takeita takaavaa täytäntöönpanosäädöstä. Poikkeuksia on kuitenkin olemassa 49 artiklassa luetelluissa erityistilanteissa. Siirto on mahdollista erityisesti seuraavissa tapauksissa:

– Kun asianomainen henkilö on antanut nimenomaisen suostumuksensa sen jälkeen, kun hänelle on kerrottu asiaan liittyvistä riskeistä; 

– Rekisteröidyn ja rekisterinpitäjän välisen sopimuksen täytäntöönpanon yhteydessä (tai hänen etunsa mukaisesti toisen luonnollisen henkilön tai oikeushenkilön kanssa);

– Kun siirto on yleisen edun mukaista tai liittyy laillisten oikeuksien täytäntöönpanoon tai on tarpeen rekisteröidyn elintärkeiden etujen suojaamiseksi.

Nämä lukuisat siirtomahdollisuuksia koskevat säännökset osoittavat, että GDPR:n alullepanijat haluavat taata henkilötietojen suojan estämättä yritysten ja hallintojen toimintaa. Poistamalla ennakkoluvan useimmissa tapauksissa he panostavat toimijoiden vastuuseen, joiden työ on voitava todentaa kuuluisan vastuuvelvollisuusperiaatteen mukaisesti.