7.6.2021 |
FI |
Euroopan unionin virallinen lehti |
L 199/31 |
KOMISSION TÄYTÄNTÖÖNPANOPÄÄTÖS (EU) 2021/914,
annettu 4 päivänä kesäkuuta 2021,
vakiosopimuslausekkeista, jotka koskevat henkilötietojen siirtämistä kolmansiin maihin Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 mukaisesti
(ETA:n kannalta merkityksellinen teksti)
EUROOPAN KOMISSIO, joka
ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen,
ottaa huomioon luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27 päivänä huhtikuuta 2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (1) (yleinen tietosuoja-asetus) ja erityisesti sen 28 artiklan 7 kohdan ja 46 artiklan 2 kohdan c alakohdan,
sekä katsoo seuraavaa:
(1) |
Teknologian kehitys helpottaa rajat ylittävää tiedonsiirtoa, joka on välttämätöntä kansainvälisen yhteistyön ja kansainvälisen kaupan laajentumista varten. Samalla on tarpeen varmistaa, että asetuksessa (EU) 2016/679 taattua luonnollisten henkilöiden suojelun tasoa ei heikennetä, kun henkilötietoja siirretään kolmansiin maihin, ei myöskään silloin, kun on kyseessä tietojen edelleen siirtäminen (2). Asetuksen (EU) 2016/679 V luvussa olevien, tietojen siirtoa koskevien säännösten tarkoituksena on varmistaa, että suojelun taso pysyy korkeana, kun henkilötietoja siirretään kolmanteen maahan (3). |
(2) |
Jos komissio ei ole tehnyt asetuksen (EU) 2016/679 45 artiklan 3 kohdan mukaista tietosuojan riittävyyttä koskevaa päätöstä, rekisterinpitäjä tai henkilötietojen käsittelijä voi mainitun asetuksen 46 artiklan 1 kohdan nojalla siirtää henkilötietoja kolmanteen maahan vain, jos kyseinen rekisterinpitäjä tai henkilötietojen käsittelijä on toteuttanut asianmukaiset suojatoimet ja jos rekisteröidyn saatavilla on täytäntöönpanokelpoisia oikeuksia ja tehokkaita oikeussuojakeinoja. Kyseisistä suojatoimista voidaan määrätä komission 46 artiklan 2 kohdan c alakohdan nojalla antamissa tietosuojaa koskevissa vakiolausekkeissa. |
(3) |
Vakiosopimuslausekkeiden rooli rajoittuu asianmukaisten tietosuojaa koskevien suojatoimien varmistamiseen kansainvälisten tiedonsiirtojen osalta. Henkilötietoja kolmanteen maahan siirtävä rekisterinpitäjä tai henkilötietojen käsittelijä, jäljempänä ’tietojen viejä’, ja henkilötietoja vastaanottava rekisterinpitäjä tai henkilötietojen käsittelijä, jäljempänä ’tietojen tuoja’, voivat vapaasti sisällyttää kyseiset vakiosopimuslausekkeet laajempaan sopimukseen tai lisätä muita lausekkeita tai suojatoimia edellyttäen, että ne eivät ole suoraan tai välillisesti ristiriidassa vakiosopimuslausekkeiden kanssa eivätkä vaikuta rekisteröityjen perusoikeuksiin ja -vapauksiin. Rekisterinpitäjiä ja henkilötietojen käsittelijöitä kannustetaan tarjoamaan lisäsuojaa sopimusperusteisilla velvoitteilla, joilla täydennetään vakiosopimuslausekkeita (4). Vakiosopimuslausekkeiden käyttö ei vaikuta tietojen viejän ja/tai tietojen tuojan sopimusvelvoitteisiin, joilla varmistetaan erioikeuksien ja vapauksien kunnioittaminen. |
(4) |
Sen lisäksi, että asetuksen (EU) 2016/679 46 artiklan 1 kohdassa tarkoitettujen siirtoja koskevien asianmukaisten suojatoimien varmistamiseksi käytetään vakiosopimuslausekkeita, tiedon viejän on täytettävä asetuksen (EU) 2016/679 mukaiset yleiset velvollisuutensa rekisterinpitäjänä tai henkilötietojen käsittelijänä. Velvollisuuksiin kuuluu asetuksen (EU) 2016/679 13 artiklan 1 kohdan f alakohdan ja 14 artiklan 1 kohdan f alakohdan mukainen rekisterinpitäjän velvoite ilmoittaa rekisteröidyille, jos se aikoo siirtää rekisteröityjen henkilötietoja kolmanteen maahan. Jos tietoja siirretään asetuksen (EU) 2016/679 46 artiklan nojalla, rekisterinpitäjän on mainittava ilmoituksessa asianmukaiset suojatoimet sekä keinot, joilla niistä voi saada jäljennöksen, tai tiedon siitä, missä niihin voi tutustua. |
(5) |
Komission päätökset 2001/497/EY (5) ja 2010/87/EU (6) sisältävät vakiosopimuslausekkeita, joilla helpotetaan henkilötietojen siirtämistä unioniin sijoittautuneelta rekisterinpitäjältä sellaiseen kolmanteen maahan sijoittautuneelle rekisterinpitäjälle tai henkilötietojen käsittelijälle, joka ei tarjoa riittävää tietosuojan tasoa. Kyseiset päätökset perustuivat Euroopan parlamentin ja neuvoston direktiiviin 95/46/EY (7). |
(6) |
Asetuksen (EU) 2016/679 46 artiklan 5 kohdan mukaisesti päätös 2001/497/EY ja päätös 2010/87/EU pysyvät voimassa, kunnes niitä tarpeen vaatiessa muutetaan, ne korvataan tai ne kumotaan kyseisen asetuksen 46 artiklan 2 kohdan nojalla annetulla komission päätöksellä. Päätöksissä olevia vakiosopimuslausekkeita oli päivitettävä ottaen huomioon asetuksen (EU) 2016/679 uudet vaatimukset. Päätösten antamisen jälkeen digitaalitalous on lisäksi kehittynyt huomattavasti. Käyttöön on otettu laajasti uusia ja monimutkaisempia käsittelytoimia, joihin osallistuu monesti useita tietojen tuojia ja viejiä ja joihin liittyy pitkiä ja monimutkaisia käsittelyketjuja sekä kehittyviä liikesuhteita. Tämä edellyttää vakiosopimuslausekkeiden nykyaikaistamista niin, että uudet käsittely- ja siirtotilanteet otetaan huomioon, jotta vakiosopimuslausekkeet vastaisivat paremmin näitä realiteetteja ja sallisivat joustavamman lähestymistavan esimerkiksi sen suhteen, kuinka monta osapuolta voi liittyä sopimukseen. |
(7) |
Rekisterinpitäjä tai henkilötietojen käsittelijä voi käyttää tämän päätöksen liitteessä vahvistettuja vakiosopimuslausekkeita asetuksen (EU) 2016/679 46 artiklan 1 kohdassa tarkoitettujen asianmukaisten suojatoimien toteuttamiseksi siirrettäessä henkilötietoja kolmanteen maahan sijoittautuneelle henkilötietojen käsittelijälle tai rekisterinpitäjälle, sanotun kuitenkaan rajoittamatta asetukseen (EU) 2016/679 sisältyvän kansainvälisen siirron käsitteen tulkintaa. Vakiosopimuslausekkeita voidaan käyttää tällaisissa siirroissa vain siltä osin kuin tuojan suorittama käsittely ei kuulu asetuksen (EU) 2016/679 soveltamisalaan. Tähän sisältyy myös unioniin sijoittautumattoman rekisterinpitäjän tai henkilötietojen käsittelijän suorittama henkilötietojen siirto siltä osin kuin käsittelyyn sovelletaan asetusta (EU) 2016/679 (sen 3 artiklan 2 kohdan nojalla) sen vuoksi, että käsittely liittyy tavaroiden tai palvelujen tarjoamiseen rekisteröidyille unionissa tai rekisteröityjen käyttäytymisen seurantaan siltä osin kuin käyttäytyminen tapahtuu unionissa. |
(8) |
Koska asetus (EU) 2016/679 ja Euroopan parlamentin ja neuvoston asetus (EU) 2018/1725 (8) ovat yleisesti ottaen yhdenmukaisia, vakiosopimuslausekkeita olisi voitava käyttää asetuksen (EU) 2018/1725 29 artiklan 4 kohdassa tarkoitetulla tavalla sopimuksen yhteydessä myös silloin, kun henkilötietoja siirtää kolmannessa maassa olevalle alihankkijana toimivalle henkilötietojen käsittelijälle sellainen henkilötietojen käsittelijä, joka ei ole unionin toimielin tai elin, mutta johon sovelletaan asetusta (EU) 2016/679 ja joka käsittelee henkilötietoja unionin toimielimen tai elimen lukuun asetuksen (EU) 2018/1725 29 artiklan mukaisesti. Asetuksen (EU) 2018/1725 29 artiklan 4 kohdan noudattaminen varmistetaan siten, että sopimuksessa on samat tietosuojavelvoitteet kuin rekisterinpitäjän ja henkilötietojen käsittelijän välisessä sopimuksessa tai muussa oikeudellisessa asiakirjassa, kuten asetuksen (EU) 2018/1725 29 artiklan 3 kohdassa säädetään, erityisesti riittävät takeet teknisistä ja organisatorisista toimenpiteistä sen varmistamiseksi, että käsittely täyttää kyseisen asetuksen vaatimukset. Näin on erityisesti silloin, kun rekisterinpitäjä ja henkilötietojen käsittelijä käyttävät rekisterinpitäjien ja henkilötietojen käsittelijöiden välisiä vakiosopimuslausekkeita koskevaan komission täytäntöönpanopäätökseen sisältyviä vakiosopimuslausekkeita Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 28 artiklan 7 kohdan ja Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1725 (9) 29 artiklan 7 kohdan mukaisesti. |
(9) |
Kun käsittelyyn liittyy tietojen siirtoa asetuksen (EU) 2016/679 soveltamisalaan kuuluvilta rekisterinpitäjiltä sen maantieteellisen soveltamisalan ulkopuolisille henkilötietojen käsittelijöille tai asetuksen (EU) 2016/679 soveltamisalaan kuuluvilta henkilötietojen käsittelijöiltä sen maantieteellisen soveltamisalan ulkopuolisille alihankkijana toimiville käsittelijöille, tämän päätöksen liitteessä vahvistetut vakiosopimuslausekkeet mahdollistavat myös asetuksen (EU) 2016/679 28 artiklan 3 ja 4 kohdan vaatimusten täyttämisen. |
(10) |
Tämän päätöksen liitteessä olevissa vakiosopimuslausekkeissa yhdistetään yleislausekkeet modulaariseen lähestymistapaan, jotta erilaiset siirtoskenaariot ja nykyaikaisten käsittelyketjujen monitahoisuus voidaan ottaa huomioon. Yleislausekkeiden lisäksi rekisterinpitäjien ja henkilötietojen käsittelijöiden olisi valittava tilanteeseensa sovellettava moduuli, jotta ne voivat sovittaa vakiosopimuslausekkeiden mukaiset velvoitteensa vastaamaan rooliaan ja velvollisuuksiaan kyseessä olevan henkilötietojen käsittelyn yhteydessä. Useamman kuin kahden osapuolen olisi voitava liittyä vakiosopimuslausekkeiden soveltajiin. Lisäksi uusien rekisterinpitäjien ja henkilötietojen käsittelijöiden olisi voitava liittyä vakiosopimuslausekkeiden soveltajiin tietojen viejinä tai tietojen tuojina koko sen sopimuksen elinkaaren ajan, jonka osapuolia ne ovat. |
(11) |
Asianmukaisten suojatoimien toteuttamiseksi vakiosopimuslausekkeissa olisi varmistettava, että tältä pohjalta siirretyille henkilötiedoille tarjotaan olennaisilta osin unionissa taattua tasoa vastaava suoja (10). Käsittelyn läpinäkyvyyden varmistamiseksi rekisteröidyille olisi annettava jäljennös vakiosopimuslausekkeista, ja heille olisi ilmoitettava erityisesti käsiteltävien henkilötietojen ryhmistä, oikeudesta saada jäljennös vakiosopimuslausekkeista ja kaikista edelleen siirtämisistä. Tietojen tuojan suorittama tietojen edelleen siirtäminen toisessa kolmannessa maassa olevalle kolmannelle osapuolelle olisi sallittava ainoastaan, jos kolmas osapuoli liittyy vakiosopimuslausekkeiden soveltajiin tai jos suojan jatkuvuus varmistetaan muulla tavoin taikka erityistilanteissa, kuten rekisteröidyn nimenomaisen ja tietoon perustuvan suostumuksen perusteella. |
(12) |
Tiettyjä poikkeuksia lukuun ottamatta, erityisesti kun on kyse tietyistä velvoitteista, jotka koskevat yksinomaan tietojen viejän ja tietojen tuojan välistä suhdetta, rekisteröityjen olisi voitava vedota vakiosopimuslausekkeisiin ja tarvittaessa panna ne täytäntöön edunsaajina olevina kolmansina osapuolina. Osapuolten olisi sen vuoksi voitava valita, minkä jäsenvaltion lakia vakiosopimuslausekkeisiin sovelletaan, kunhan kyseisessä laissa otetaan huomioon edunsaajina olevien kolmansien osapuolten oikeudet. Yksilöllisten oikeussuojakeinojen käytön helpottamiseksi vakiosopimuslausekkeissa olisi edellytettävä, että tietojen tuoja ilmoittaa rekisteröidyille yhteyspisteestä ja käsittelee kantelut tai pyynnöt viipymättä. Jos tietojen tuojan ja rekisteröidyn, joka vetoaa oikeuksiinsa edunsaajana olevana kolmantena osapuolena, välille syntyy riita, rekisteröidyn olisi voitava tehdä kantelu toimivaltaiselle valvontaviranomaiselle tai siirtää riita EU:n toimivaltaisten tuomioistuinten ratkaistavaksi. |
(13) |
Tehokkaan täytäntöönpanon varmistamiseksi olisi edellytettävä, että tietojen tuoja hyväksyy tällaisen viranomaisen ja tuomioistuinten lainkäyttövallan ja sitoutuu noudattamaan kaikkia sovellettavan jäsenvaltion lainsäädännön mukaisia sitovia päätöksiä. Tietojen tuojan olisi erityisesti luvattava vastata tiedusteluihin, suostua auditointeihin ja noudattaa valvontaviranomaisen hyväksymiä toimenpiteitä, korjaavat ja korvaavat toimenpiteet mukaan lukien. Lisäksi tietojen tuojalla olisi oltava mahdollisuus tarjota rekisteröidyille mahdollisuus hakea muutosta riippumattomalta riidanratkaisuelimeltä maksutta. Rekisteröityjen olisi halutessaan voitava asetuksen (EU) 2016/679 80 artiklan 1 kohdan nojalla valtuuttaa yhdistyksiä tai muita elimiä edustamaan itseään tietojen tuojaa vastaan käytävissä riidoissa. |
(14) |
Vakiosopimuslausekkeissa olisi vahvistettava osapuolten väliset ja rekisteröityjä koskevat vastuusäännöt sekä säännöt osapuolten välisestä korvausvelvollisuudesta. Jos rekisteröidylle aiheutuu aineellista tai aineetonta vahinkoa vakiosopimuslausekkeissa vahvistettujen, edunsaajana olevan kolmannen osapuolen oikeuksien rikkomisesta, rekisteröidyllä olisi oltava oikeus korvaukseen. Tällä ei saisi olla vaikutusta asetuksen (EU) 2016/679 mukaiseen vastuuseen. |
(15) |
Kun tietoja siirretään tietojen tuojalle, joka toimii henkilötietojen käsittelijänä tai alihankkijana toimivana henkilötietojen käsittelijänä, olisi sovellettava asetuksen (EU) 2016/679 28 artiklan 3 kohdan mukaisia erityisvaatimuksia. Vakiosopimuslausekkeissa olisi edellytettävä, että tietojen tuoja asettaa saataville kaikki tarvittavat tiedot, joilla osoitetaan lausekkeiden velvoitteiden noudattaminen, ja sallii, että tietojen viejä suorittaa tietojen tuojan käsittelytoimien auditointeja ja osallistuu niihin. Kun tiedon tuoja käyttää alihankkijana toimivan henkilötietojen käsittelijän palveluksia asetuksen (EU) 2016/679 28 artiklan 2 ja 4 kohdan mukaisesti, vakiosopimuslausekkeissa olisi vahvistettava erityisesti tietojen viejän antamaa yleistä tai erityistä lupaa koskeva menettely sekä vaatimus, että alihankkijana toimivan henkilötietojen käsittelijän kanssa tehdään kirjallinen sopimus, jolla varmistetaan sama suojan taso kuin kyseisissä lausekkeissa. |
(16) |
Erityistilanteessa, jossa unionissa toimiva henkilötietojen käsittelijä siirtää henkilötietoja kolmannessa maassa sijaitsevalle rekisterinpitäjälleen, on asianmukaista toteuttaa vakiosopimuslausekkeissa erilaisia suojatoimia ja ottaa huomioon asetuksen (EU) 2016/679 mukaiset henkilötietojen käsittelijöiden rajoitetut erilliset velvoitteet. Vakiosopimuslausekkeissa olisi erityisesti edellytettävä, että henkilötietojen käsittelijä ilmoittaa rekisterinpitäjälle, jos se ei pysty noudattamaan sen ohjeita, myös jos tällaiset ohjeet ovat ristiriidassa unionin tietosuojalainsäädännön kanssa, ja että rekisterinpitäjä pidättyy kaikista toimista, jotka estäisivät henkilötietojen käsittelijää täyttämästä asetuksen (EU) 2016/679 mukaisia velvoitteitaan. Vakiosopimuslausekkeissa olisi myös edellytettävä, että osapuolet avustavat toisiaan vastatessaan rekisteröityjen tiedusteluihin ja pyyntöihin tietojen tuojaan sovellettavan paikallisen lainsäädännön mukaisesti tai kun on kyse tietojen käsittelystä unionissa, asetuksen (EU) 2016/679 mukaisesti. Silloin, kun unionin henkilötietojen käsittelijä yhdistää kolmannen maan rekisterinpitäjältä saamiaan henkilötietoja unionin henkilötietojen käsittelijän keräämiin henkilötietoihin, olisi sovellettava lisävaatimuksia, jotka liittyvät määrämaana olevan kolmannen maan lainsäädännön vaikutuksiin sen osalta, miten rekisterinpitäjä noudattaa lausekkeita ja erityisesti siihen, miten suhtaudutaan kolmannen maan viranomaisten sitoviin pyyntöihin luovuttaa siirrettyjä henkilötietoja. Tällaiset vaatimukset eivät sitä vastoin ole perusteltuja, jos ulkoistamiseen sisältyy ainoastaan rekisterinpitäjältä saatujen henkilötietojen käsittely ja palauttaminen ja jos henkilötiedot joka tapauksessa kuuluvat ja tulevat kuulumaan kyseisen maan lainkäyttövaltaan. |
(17) |
Osapuolten olisi voitava osoittaa, että vakiosopimuslausekkeita noudatetaan. Tietojen tuojalta olisi erityisesti edellytettävä, että se säilyttää asianmukaisen dokumentaation vastuullaan olevista käsittelytoimista ja ilmoittaa viipymättä tietojen viejälle, jos se ei jostain syystä pysty noudattamaan lausekkeita. Jos taas tietojen tuoja rikkoo lausekkeita tai ei pysty noudattamaan niitä, tietojen viejän olisi puolestaan keskeytettävä siirto ja sillä olisi erityisen vakavissa tapauksissa oltava oikeus irtisanoa sopimus siltä osin, kuin se koskee vakiosopimuslausekkeiden mukaista henkilötietojen käsittelyä. Silloin, kun paikallinen lainsäädäntö vaikuttaa lausekkeiden noudattamiseen, olisi sovellettava erityissääntöjä. Ennen sopimuksen irtisanomista siirretyt henkilötiedot ja niiden jäljennökset olisi tietojen viejän valinnan mukaan joko palautettava tietojen viejälle tai tuhottava kokonaan. |
(18) |
Vakiosopimuslausekkeissa olisi unionin tuomioistuimen oikeuskäytäntö (11) huomioon ottaen määrättävä erityisistä suojatoimista, jotka liittyvät määrämaana olevan kolmannen maan lainsäädännön vaikutuksiin sen osalta, miten tietojen tuoja noudattaa lausekkeita, ja erityisesti siihen, miten suhtaudutaan kyseisen maan viranomaisten sitoviin pyyntöihin luovuttaa siirrettyjä henkilötietoja. |
(19) |
Vakiosopimuslausekkeiden mukaista henkilötietojen siirtoa ja käsittelyä ei pitäisi toteuttaa, jos määrämaana olevan kolmannen maan lainsäädäntö estää tietojen tuojaa noudattamasta lausekkeita. Tässä suhteessa sellaisten lakien ja käytäntöjen, joissa kunnioitetaan perusoikeuksien ja -vapauksien keskeistä sisältöä ja jotka eivät ylitä sitä, mikä on demokraattisessa yhteiskunnassa välttämätöntä ja oikeasuhteista jonkin asetuksen (EU) 2016/679 23 artiklan 1 kohdassa mainitun tavoitteen turvaamiseksi, ei katsota olevan ristiriidassa vakiosopimuslausekkeiden kanssa. Osapuolten olisi vakuutettava, että niillä ei ole vakiosopimuslausekkeista sopiessaan syytä uskoa, että tietojen tuojaan sovellettavat lait ja käytännöt eivät olisi näiden vaatimusten mukaisia. |
(20) |
Osapuolten olisi otettava huomioon erityisesti siirtoon liittyvät erityisolosuhteet (kuten sopimuksen sisältö ja kesto, siirrettävien tietojen luonne, vastaanottajatyyppi, käsittelyn tarkoitus), määrämaana olevan kolmannen maan lait ja käytännöt, jotka ovat siirron olosuhteiden kannalta merkityksellisiä, sekä mahdolliset suojatoimet, joilla täydennetään vakiosopimuslausekkeiden mukaisia suojatoimia (mukaan lukien henkilötietojen siirtoon ja käsittelyyn määrämaassa sovellettavat asiaankuuluvat sopimusoikeudelliset, tekniset ja organisatoriset toimenpiteet). Kun tarkastellaan kyseisten lakien ja käytäntöjen vaikutuksia vakiosopimuslausekkeiden noudattamisen kannalta, osana kokonaisarviointia voidaan ottaa huomioon erilaisia tekijöitä, kuten luotettavat tiedot lainsäädännön soveltamisesta käytännössä (esim. oikeuskäytäntö ja riippumattomien valvontaelinten raportit), pyyntöjen olemassaolo tai puuttuminen samalla toimialalla ja tiukkojen edellytysten täyttyessä tietojen viejän ja/tai tietojen tuojan dokumentoitu käytännön kokemus. |
(21) |
Tietojen tuojan olisi ilmoitettava tietojen viejälle, jos sillä on vakiosopimuslausekkeista sopimisen jälkeen syytä uskoa, että se ei pysty noudattamaan vakiosopimuslausekkeita. Jos tietojen viejä saa tällaisen ilmoituksen tai saa muutoin tiedon siitä, että tietojen tuoja ei enää pysty noudattamaan vakiosopimuslausekkeita, sen olisi yksilöitävä asianmukaiset toimenpiteet tilanteen korjaamiseksi tarvittaessa toimivaltaista valvontaviranomaista kuullen. Kyseisiin toimenpiteisiin voi sisältyä tietojen viejän ja/tai tietojen tuojan käyttöön ottamia lisätoimenpiteitä, kuten teknisiä tai organisatorisia toimenpiteitä turvallisuuden ja luottamuksellisuuden varmistamiseksi. Tietojen viejää olisi vaadittava keskeyttämään siirto, jos se katsoo, ettei asianmukaisia suojatoimia voida varmistaa, tai jos toimivaltainen valvontaviranomainen on antanut tätä koskevan ohjeen. |
(22) |
Tietojen tuojan olisi mahdollisuuksien mukaan ilmoitettava tietojen viejälle ja rekisteröidylle, jos se saa määrämaan lainsäädännön nojalla viranomaiselta (oikeusviranomaiset mukaan lukien) oikeudellisesti sitovan pyynnön luovuttaa vakiosopimuslausekkeiden mukaisesti siirrettyjä henkilötietoja. Sen olisi ilmoitettava niille myös, jos se saa tietoonsa, että viranomaisilla on määrämaana olevan kolmannen maan lainsäädännön nojalla suora pääsy tällaisiin henkilötietoihin. Jos tietojen tuoja ei parhaista pyrkimyksistään huolimatta pysty ilmoittamaan tietojen viejälle ja/tai rekisteröidylle erityisistä tietojen luovuttamista koskevista pyynnöistä, sen olisi annettava tietojen viejälle mahdollisimman paljon merkityksellisiä tietoja pyynnöistä. Tietojen tuojan olisi lisäksi toimitettava tietojen viejälle kootut tiedot säännöllisin väliajoin. Tietojen tuojaa olisi myös vaadittava dokumentoimaan kaikki saadut henkilötietojen luovuttamista koskevat pyynnöt ja niihin annetut vastaukset ja antamaan kyseiset tiedot pyynnöstä tietojen viejän, toimivaltaisen valvontaviranomaisen tai molempien saataville. Jos sen jälkeen, kun kyseisen pyynnön laillisuutta on tarkasteltu määrämaan lainsäädännön mukaisesti, tietojen tuoja toteaa, että on perusteltua syytä katsoa, että pyyntö on määrämaana olevan kolmannen maan lainsäädännön mukaan laiton, sen olisi riitautettava pyyntö tarvittaessa myös käyttämällä kaikki muutoksenhakukeinot. Jos tietojen tuoja ei enää pysty noudattamaan vakiosopimuslausekkeita, sen olisi ilmoitettava asiasta tietojen viejälle, myös siinä tapauksessa, että tämä on seurausta tietojen luovuttamista koskevasta pyynnöstä. |
(23) |
Koska sidosryhmien tarpeet, teknologia ja käsittelytoimet voivat muuttua, komission olisi arvioitava vakiosopimuslausekkeiden toimintaa saatavan kokemuksen perusteella osana asetuksen (EU) 2016/679 97 artiklassa tarkoitettua kyseisen asetuksen määräaikaista arviointia. |
(24) |
Päätös 2001/497/EY ja päätös 2010/87/EU olisi kumottava kolmen kuukauden kuluttua tämän päätöksen voimaantulosta. Sinä aikana tietojen viejien ja tietojen tuojien olisi asetuksen (EU) 2016/679 46 artiklan 1 kohtaa sovellettaessa voitava edelleen käyttää päätöksissä 2001/497/EY ja 2010/87/EU vahvistettuja vakiosopimuslausekkeita. Tietojen viejien ja tietojen tuojien olisi asetuksen (EU) 2016/679 46 artiklan 1 kohtaa sovellettaessa voitava tukeutua niiden välillä ennen päätösten 2001/497/EY ja 2010/87/EU kumoamispäivää tehtyjen sopimusten täytäntöönpanossa kyseisissä päätöksissä vahvistettuihin vakiosopimuslausekkeisiin 15 kuukauden ajan edellyttäen, että sopimuksen kohteena olevat käsittelytoimet pysyvät muuttumattomina ja että lausekkeisiin tukeutumisella varmistetaan, että henkilötietojen siirtoon sovelletaan asetuksen (EU) 2016/679 46 artiklan 1 kohdassa tarkoitettuja suojatoimia. Jos sopimukseen tehdään olennaisia muutoksia, tietojen viejää olisi vaadittava tukeutumaan sopimuksen mukaisissa tiedonsiirroissa uusiin perusteisiin, erityisesti korvaamaan olemassa olevat vakiosopimuslausekkeet tämän päätöksen liitteessä esitetyillä vakiosopimuslausekkeilla. Samaa olisi sovellettava kaikkiin alihankintasopimuksiin, joita tehdään henkilötietojen käsittelytoimia suorittavien henkilötietojen käsittelijöiden kanssa. |
(25) |
Euroopan tietosuojavaltuutettua ja Euroopan tietosuojaneuvostoa on kuultu asetuksen (EU) 2018/1725 42 artiklan 1 ja 2 kohdan mukaisesti, ja ne antoivat 14 päivänä tammikuuta 2021 yhteisen lausunnon (12), joka on otettu huomioon tämän päätöksen valmistelussa. |
(26) |
Tässä päätöksessä säädetyt toimenpiteet ovat asetuksen (EU) 2016/679 93 artiklalla perustetun komitean lausunnon mukaiset, |
ON HYVÄKSYNYT TÄMÄN PÄÄTÖKSEN:
1 artikla
1. Liitteessä esitettyjen vakiosopimuslausekkeiden katsotaan muodostavan asetuksen (EU) 2016/679 46 artiklan 1 kohdassa ja 2 kohdan c alakohdassa tarkoitetut asianmukaiset suojatoimet, kun rekisterinpitäjä tai henkilötietojen käsittelijä, jäljempänä ’tietojen viejä’, siirtää kyseisen asetuksen soveltamisalaan kuuluvia henkilötietoja rekisterinpitäjälle tai (alihankkijana toimivalle) henkilötietojen käsittelijälle, jäljempänä ’tietojen tuoja’, jonka suorittama henkilötietojen käsittely jää kyseisen asetuksen soveltamisalan ulkopuolelle.
2. Vakiosopimuslausekkeissa määrätään myös rekisterinpitäjien ja henkilötietojen käsittelijöiden oikeuksista ja velvollisuuksista asetuksen (EU) 2016/679 28 artiklan 3 ja 4 kohdassa tarkoitetuissa asioissa, siltä osin kuin on kyse henkilötietojen siirtämisestä rekisterinpitäjältä henkilötietojen käsittelijälle tai henkilötietojen käsittelijältä alihankkijana toimivalle henkilötietojen käsittelijälle.
2 artikla
Kun jäsenvaltion toimivaltaiset viranomaiset käyttävät asetuksen (EU) 2016/679 58 artiklan mukaisia korjaavia toimivaltuuksia vastatakseen tilanteeseen, jossa tietojen tuojaan sovelletaan tai aletaan soveltaa määrämaana olevan kolmannen maan lakeja tai käytäntöjä, jotka estävät sitä noudattamasta liitteessä esitettyjä vakiosopimuslausekkeita ja johtavat kolmanteen maahan suuntautuvien tiedonsiirtojen keskeyttämiseen tai kieltämiseen, kyseisen jäsenvaltion on viipymättä ilmoitettava asiasta komissiolle, joka välittää tiedon edelleen muille jäsenvaltioille.
3 artikla
Komissio arvioi liitteessä esitettyjen vakiosopimuslausekkeiden käytännön soveltamista kaikkien saatavilla olevien tietojen perusteella osana asetuksen (EU) 2016/679 97 artiklassa edellytettyä määräaikaisarviointia.
4 artikla
1. Tämä päätös tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.
2. Päätös 2001/497/EY kumotaan 27 päivästä syyskuuta 2021.
3. Päätös 2010/87/EU kumotaan 27 päivästä syyskuuta 2021.
4. Päätöksen 2001/497/EY tai päätöksen 2010/87/EU perusteella ennen 27 päivää syyskuuta 2021 tehtyjen sopimusten katsotaan tarjoavan asetuksen (EU) 2016/679 46 artiklan 1 kohdassa tarkoitetut asianmukaiset suojatoimet 27 päivään joulukuuta 2022 saakka edellyttäen, että sopimuksen kohteena olevat käsittelytoimet pysyvät muuttumattomina ja että kyseisiin lausekkeisiin tukeutumalla varmistetaan, että henkilötietojen siirtoon sovelletaan asianmukaisia suojatoimia.
Tehty Brysselissä 4 päivänä kesäkuuta 2021.
Komission puolesta
Puheenjohtaja
Ursula VON DER LEYEN
(1) EUVL L 119, 4.5.2016, s. 1.
(2) Asetuksen (EU) 2016/679 44 artikla.
(3) Ks. myös unionin tuomioistuimen tuomio 16. heinäkuuta 2020, C-311/18, Data Protection Commissioner v. Facebook Ireland Ltd ja Maximillian Schrems (Schrems II), ECLI:EU:C:2020:559, 93 kohta.
(4) Asetuksen (EU) 2016/679 johdanto-osan 109 kappale.
(5) Komission päätös 2001/497/EY, annettu 15 päivänä kesäkuuta 2001, direktiivin 95/46/EY mukaisista mallisopimuslausekkeista henkilötietojen kolmansiin maihin siirtoa varten (EYVL L 181, 4.7.2001, s. 19).
(6) Komission päätös 2010/87/EU, annettu 5 päivänä helmikuuta 2010, Euroopan parlamentin ja neuvoston direktiivin 95/46/EY mukaisista mallisopimuslausekkeista henkilötietojen siirtoa varten kolmansiin maihin sijoittautuneille henkilötietojen käsittelijöille (EUVL L 39, 12.2.2010, s. 5).
(7) Euroopan parlamentin ja neuvoston direktiivi 95/46/EY, annettu 24 päivänä lokakuuta 1995, yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (EYVL L 281, 23.11.1995, s. 31).
(8) Euroopan parlamentin ja neuvoston asetus (EU) 2018/1725, annettu 23 päivänä lokakuuta 2018, luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta (EUVL L 295, 21.11.2018, s. 39), ks. johdanto-osan 5 kappale.
(9) C(2021) 3701.
(10) Schrems II, 96 ja 103 kohta. Ks. myös asetus (EU) 2016/679, johdanto-osan 108 ja 114 kappale.
(11) Schrems II.
(12) Euroopan tietosuojaneuvoston ja Euroopan tietosuojavaltuutetun yhteinen lausunto 2/2021 Euroopan komission täytäntöönpanopäätöksestä vakiosopimuslausekkeista, jotka koskevat henkilötietojen siirtämistä kolmansiin maihin asetuksen (EU) 2016/679 46 artiklan 2 kohdan c alakohdassa tarkoitettujen seikkojen osalta.
LIITE
VAKIOSOPIMUSLAUSEKKEET
I JAKSO
1 lauseke
Tarkoitus ja soveltamisala
a) |
Näillä vakiosopimuslausekkeilla on tarkoitus varmistaa, että siirrettäessä henkilötietoja kolmanteen maahan noudatetaan luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta 27 päivänä huhtikuuta 2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) (1) vaatimuksia. |
b) |
Osapuolet
ovat hyväksyneet nämä vakiosopimuslausekkeet, jäljempänä ’lausekkeet’. |
c) |
Näitä lausekkeita sovelletaan liitteessä I.B tarkoitettuun henkilötietojen siirtoon. |
d) |
Näiden lausekkeiden lisäys, joka sisältää mainitut liitteet, on erottamaton osa näitä lausekkeita. |
2 lauseke
Lausekkeiden vaikutus ja muuttumattomuus
a) |
Näissä lausekkeissa vahvistetaan asianmukaiset suojatoimet, mukaan lukien asetuksen (EU) 2016/679 46 artiklan 1 kohdassa ja 2 kohdan c alakohdassa tarkoitetut täytäntöönpanokelpoiset rekisteröityjen oikeudet ja tehokkaat oikeussuojakeinot, ja rekisterinpitäjiltä henkilötietojen käsittelijöille ja/tai henkilötietojen käsittelijöiltä henkilötietojen käsittelijöille tehtävien siirtojen osalta asetuksen (EU) 2016/679 28 artiklan 7 kohdassa tarkoitetut vakiosopimuslausekkeet edellyttäen, että niitä ei muuteta muutoin kuin valitsemalla asianmukainen moduuli tai moduulit tai lisäämällä tai päivittämällä lisäykseen tietoja. Tämä ei estä osapuolia sisällyttämästä näissä lausekkeissa vahvistettuja vakiosopimuslausekkeita laajempaan sopimukseen ja/tai lisäämästä muita lausekkeita tai suojatoimia edellyttäen, että ne eivät ole suoraan tai välillisesti ristiriidassa näiden lausekkeiden kanssa eivätkä rajoita rekisteröityjen perusoikeuksia tai -vapauksia. |
b) |
Nämä lausekkeet eivät vaikuta velvoitteisiin, joita tietojen viejään sovelletaan asetuksen (EU) 2016/679 nojalla. |
3 lauseke
Edunsaajina olevat kolmannet osapuolet
a) |
Rekisteröidyt voivat edunsaajina olevina kolmansina osapuolina vedota näihin lausekkeisiin ja panna ne täytäntöön tietojen viejää ja/tai tietojen tuojaa vastaan seuraavin poikkeuksin:
|
b) |
Edellä oleva a alakohta ei vaikuta oikeuksiin, joita rekisteröidyillä on asetuksen (EU) 2016/679 nojalla. |
4 lauseke
Tulkinta
a) |
Jos näissä lausekkeissa käytetään asetuksessa (EU) 2016/679 määriteltyjä termejä, näillä termeillä tarkoitetaan samaa kuin kyseisessä asetuksessa. |
b) |
Lausekkeita on luettava ja tulkittava asetuksen (EU) 2016/679 säännökset huomioon ottaen. |
c) |
Lausekkeita ei saa tulkita tavalla, joka on ristiriidassa asetuksessa (EU) 2016/679 säädettyjen oikeuksien ja velvollisuuksien kanssa. |
5 lauseke
Hierarkia
Jos nämä lausekkeet ja osapuolten välisten asiaan liittyvien sopimusten määräykset ovat ristiriidassa silloin, kun näistä lausekkeista sovitaan tai sen jälkeen, nämä lausekkeet ovat ensisijaisia.
6 lauseke
Siirron tai siirtojen kuvaus
Siirron tai siirtojen yksityiskohdat ja erityisesti siirrettävät henkilötietoryhmät sekä tarkoitus tai tarkoitukset, joita varten ne siirretään, esitetään liitteessä I.B.
7 lauseke – Vapaaehtoinen
Liittymistä koskeva lauseke
a) |
Yksikkö, joka ei ole näiden lausekkeiden osapuoli, voi osapuolten suostumuksella liittyä näihin lausekkeisiin milloin tahansa joko tietojen viejänä tai tietojen tuojana täyttämällä lisäyksen ja allekirjoittamalla liitteen I.A. |
b) |
Kun liittyvä yksikkö on täyttänyt lisäyksen ja allekirjoittanut liitteen I.A, siitä tulee näiden lausekkeiden osapuoli ja sillä on tietojen viejän tai tietojen tuojan oikeudet ja velvollisuudet sen mukaan kuin se on liitteessä I.A ilmoittanut. |
c) |
Liittyvällä yksiköllä ei ole näistä lausekkeista johtuvia oikeuksia tai velvollisuuksia ajalta ennen osapuoleksi liittymistä. |
JAKSO II – OSAPUOLTEN VELVOLLISUUDET
8 lauseke
Tietosuojaa koskevat suojatoimet
Tietojen viejä vakuuttaa, että se on toteuttanut kohtuullisia toimenpiteitä selvittääkseen, pystyykö tietojen tuoja asianmukaisia teknisiä ja organisatorisia toimenpiteitä toteuttamalla täyttämään näiden lausekkeiden mukaiset velvollisuutensa.
MODUULI 1: Siirto rekisterinpitäjältä rekisterinpitäjälle
8.1 Käyttötarkoituksen rajaaminen
Tietojen tuoja saa käsitellä henkilötietoja ainoastaan liitteessä I.B esitettyä siirtotarkoitusta tai -tarkoituksia varten. Se voi käsitellä henkilötietoja muuta tarkoitusta varten ainoastaan
i) |
jos se on saanut rekisteröidyltä ennakkosuostumuksen; |
ii) |
jos se on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi hallinto-, sääntely- tai oikeudenkäyntimenettelyn yhteydessä; tai |
iii) |
jos se on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi. |
8.2 Läpinäkyvyys
a) |
Jotta rekisteröidyt voivat tosiasiallisesti käyttää lausekkeesta 10 johtuvia oikeuksiaan, tietojen tuojan on ilmoitettava heille joko suoraan tai tietojen viejän välityksellä
|
b) |
Edellä olevaa a kohtaa ei sovelleta, jos rekisteröidyllä on jo kyseiset tiedot, myös siinä tapauksessa, että tietojen viejä on jo toimittanut tällaiset tiedot, tai jos kyseisten tietojen antaminen osoittautuu mahdottomaksi tai vaatisi tietojen tuojalta kohtuutonta vaivannäköä. Jälkimmäisessä tapauksessa tietojen tuojan on mahdollisuuksien mukaan asetettava tiedot julkisesti saataville. |
c) |
Osapuolet antavat maksutta rekisteröidyn saataville tämän pyynnöstä jäljennöksen näistä lausekkeista ja täyttämästään lisäyksestä. Sikäli kuin se on tarpeen liikesalaisuuksien tai muiden luottamuksellisten tietojen, kuten henkilötietojen, suojaamiseksi, osapuolet voivat poistaa osan lisäyksen tekstistä ennen jäljennöksen antamista. Niiden on kuitenkin toimitettava tarkoituksenmukainen yhteenveto tekstistä, jos rekisteröity ei muutoin pystyisi ymmärtämään sen sisältöä tai käyttämään oikeuksiaan. Osapuolten on pyynnöstä ilmoitettava rekisteröidylle tekstin poistamisen syyt siinä määrin kuin se on mahdollista paljastamatta poistettavia tietoja. |
d) |
Edellä olevat a–c kohta eivät rajoita tietojen viejälle asetuksen (EU) 2016/679 13 ja 14 artiklan nojalla kuuluvia velvoitteita. |
8.3 Tietojen paikkansapitävyys ja minimointi
a) |
Kummankin osapuolen on varmistettava, että henkilötiedot ovat paikkansapitäviä ja että ne saatetaan tarvittaessa ajan tasalle. Tietojen tuojan on toteutettava kaikki kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä. |
b) |
Jos osapuoli havaitsee, että sen siirtämät tai vastaanottamat henkilötiedot ovat virheellisiä tai vanhentuneita, sen on ilmoitettava asiasta toiselle osapuolelle ilman aiheetonta viivytystä. |
c) |
Tietojen tuojan on varmistettava, että henkilötiedot ovat asianmukaisia ja olennaisia ja että ne rajoittuvat siihen, mikä on tarpeen käsittelyn tarkoituksen kannalta. |
8.4 Säilytyksen rajoittaminen
Tietojen tuoja saa säilyttää henkilötietoja ainoastaan niin kauan kuin sen on tietojen käsittelyn tarkoituksia varten tarpeen. Sen on otettava käyttöön asianmukaiset tekniset tai organisatoriset toimenpiteet, joilla varmistetaan tämän velvoitteen noudattaminen, mukaan lukien tietojen ja kaikkien varmuuskopioiden poistaminen tai anonymisointi (2) säilytysajan päättyessä.
8.5 Käsittelyn turvallisuus
a) |
Tietojen tuojan ja siirron aikana myös tietojen viejän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet henkilötietojen turvallisuuden varmistamiseksi, mukaan lukien suojaaminen tietoturvaloukkaukselta, jonka seurauksena on vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin, jäljempänä ’henkilötietojen tietoturvaloukkaus’. Arvioidessaan asianmukaista turvallisuustasoa niiden on otettava asianmukaisesti huomioon uusin teknologia, toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä rekisteröidylle käsittelystä aiheutuvat riskit. Osapuolten on harkittava erityisesti turvautumista salaamiseen tai pseudonymisointiin, myös siirron aikana, jos käsittelyn tarkoitus voidaan täyttää tällä tavoin. |
b) |
Osapuolet ovat sopineet liitteessä II esitetyistä teknisistä ja organisatorisista toimenpiteistä. Tietojen tuojan on tehtävä säännöllisiä tarkastuksia varmistaakseen, että nämä toimenpiteet tarjoavat edelleen asianmukaisen turvallisuustason. |
c) |
Tietojen tuojan on varmistettava, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus. |
d) |
Jos henkilötietojen tietoturvaloukkaus koskee tietojen tuojan näiden lausekkeiden nojalla käsittelemiä henkilötietoja, tietojen tuojan on toteutettava asianmukaisia toimenpiteitä henkilötietojen tietoturvaloukkauksen johdosta, mukaan lukien toimenpiteet sen mahdollisten haittavaikutusten lieventämiseksi. |
e) |
Jos henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa riskin luonnollisten henkilöiden oikeuksille ja vapauksille, tietojen tuojan on ilman aiheetonta viivytystä ilmoitettava asiasta sekä tietojen viejälle että lausekkeessa 13 tarkoitetulle toimivaltaiselle valvontaviranomaiselle. Ilmoituksessa on oltava i) kuvaus tietoturvaloukkauksen luonteesta (mahdollisuuksien mukaan myös asianomaiset rekisteröityjen ryhmät ja arvioitu rekisteröityjen ja henkilötietotietueiden lukumäärä), ii) tietoturvaloukkauksen todennäköiset seuraukset, iii) tietoturvaloukkauksen johdosta toteutetut tai ehdotetut toimenpiteet ja iv) tiedot yhteyspisteestä, josta voi saada lisätietoa. Jos tietojen tuoja ei pysty toimittamaan kaikkia tietoja samanaikaisesti, se voi toimittaa ne vaiheittain ilman aiheetonta viivytystä. |
f) |
Jos kyseessä on henkilötietojen tietoturvaloukkaus, joka todennäköisesti aiheuttaa luonnollisten henkilöiden oikeuksien ja vapauksien kannalta korkean riskin, tietojen tuojan on ilman aiheetonta viivytystä ilmoitettava henkilötietojen tietoturvaloukkauksesta ja sen luonteesta myös asianomaisille rekisteröidyille, tarvittaessa yhteistyössä tietojen viejän kanssa, ja ilmoitettava samalla e kohdan ii–iv alakohdassa tarkoitetut tiedot, paitsi jos tietojen tuoja on toteuttanut toimenpiteitä, joilla luonnollisten henkilöiden oikeuksiin tai vapauksiin kohdistuvaa riskiä pienennetään merkittävästi, tai jos ilmoittaminen vaatisi kohtuutonta vaivannäköä. Jälkimmäisessä tapauksessa tietojen tuojan on sen sijaan annettava julkinen tiedote tai toteutettava vastaava toimenpide, jolla henkilötietojen tietoturvaloukkauksesta tiedotetaan yleisölle. |
g) |
Tietojen tuojan on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukseen liittyvät merkitykselliset tosiseikat, mukaan lukien sen vaikutukset ja toteutetut korjaavat toimet, ja pidettävä niistä kirjaa. |
8.6 Arkaluonteiset tiedot
Jos siirtoon sisältyy henkilötietoja, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys, geneettistä tietoa, biometristä tietoa henkilön yksiselitteistä tunnistamista varten, terveyttä koskevia tietoja, luonnollisen henkilön seksuaalista käyttäytymistä tai suuntautumista koskevia tietoja taikka rikostuomioihin tai rikoksiin liittyviä tietoja, jäljempänä ’arkaluonteiset tiedot’, tietojen tuojan on sovellettava erityisiä rajoituksia ja/tai ylimääräisiä suojatoimia, jotka on mukautettu tietojen erityisluonteeseen ja riskeihin. Tähän voi sisältyä henkilötietoihin pääsevän henkilöstön rajoittaminen, ylimääräisiä turvallisuustoimia (kuten pseudonymisointi) ja/tai lisärajoituksia, jotka koskevat tietojen luovuttamista edelleen.
8.7 Tietojen siirtäminen edelleen
Tietojen tuoja ei saa luovuttaa henkilötietoja (tietojen tuojan kanssa samassa maassa tai muussa kolmannessa maassa) Euroopan unionin ulkopuolella (3) olevalle kolmannelle osapuolelle, jäljempänä ’edelleen siirtäminen’, paitsi jos nämä lausekkeet sitovat kyseistä kolmatta osapuolta tai se lupaa sitoutua niihin asianmukaisen moduulin mukaisesti. Muussa tapauksessa tietojen tuoja voi siirtää tietoja edelleen ainoastaan, jos
i) |
ne siirretään maahan, jonka hyväksi on tehty asetuksen (EU) 2016/679 45 artiklan nojalla tehty tietosuojan riittävyyttä koskeva päätös, joka kattaa edelleen siirtämisen; |
ii) |
kolmas osapuoli muutoin varmistaa asetuksen (EU) 2016/679 46 tai 47 artiklassa tarkoitetut asianmukaiset suojatoimet kyseisen käsittelyn osalta; |
iii) |
kolmas osapuoli sopii tietojen tuojan kanssa sitovasta välineestä, jolla varmistetaan sama tietosuojan taso kuin näissä lausekkeissa, ja tietojen tuoja toimittaa tietojen viejälle jäljennöksen näistä suojatoimista; |
iv) |
se on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi hallinto-, sääntely- tai oikeudenkäyntimenettelyn yhteydessä; |
v) |
se on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi; tai |
vi) |
siinä tapauksessa, että mitään muuta edellytystä ei sovelleta, tietojen tuoja on saanut rekisteröidyn nimenomaisen suostumuksen tietojen edelleen siirtämiseen tietyssä tilanteessa ilmoitettuaan hänelle siirtämisen tarkoitukset, vastaanottajan henkilöllisyyden ja mahdolliset riskit, joita rekisteröidylle aiheutuu tällaisesta tietojen siirtämisestä asianmukaisten tietosuojaa koskevien suojatoimien puuttumisen vuoksi. Tässä tapauksessa tietojen tuojan on ilmoitettava asiasta tietojen viejälle ja tämän pyynnöstä toimitettava sille jäljennös rekisteröidylle annetuista tiedoista. |
Tietojen edelleen siirtäminen edellyttää, että tietojen tuoja noudattaa myös kaikkia muita näiden lausekkeiden mukaisia suojatoimia ja erityisesti käyttötarkoituksen rajaamista.
8.8 Tietojenkäsittely tietojen tuojan alaisuudessa
Tietojen tuojan on varmistettava, että sen alaisuudessa toimivat henkilöt, kuten henkilötietojen käsittelijä, käsittelevät tietoa ainoastaan sen ohjeiden mukaisesti.
8.9 Dokumentointi ja noudattaminen
a) |
Kunkin osapuolen on pystyttävä osoittamaan, että se on noudattanut näiden lausekkeiden mukaisia velvoitteitaan. Tietojen tuojan on muun muassa säilytettävä asianmukainen dokumentaatio vastuullaan suoritetuista käsittelytoimista. |
b) |
Tietojen tuojan on pyynnöstä asetettava tällainen dokumentaatio toimivaltaisen valvontaviranomaisen saataville. |
MODUULI 2: Siirto rekisterinpitäjältä käsittelijälle
8.1 Ohjeet
a) |
Tietojen tuoja saa käsitellä henkilötietoja ainoastaan tietojen viejän antamien dokumentoitujen ohjeiden mukaisesti. Tietojen viejä voi antaa tällaisia ohjeita koko sopimuksen voimassaolon ajan. |
b) |
Tietojen tuojan on välittömästi ilmoitettava tietojen viejälle, jos se ei pysty noudattamaan näitä ohjeita. |
8.2 Käyttötarkoituksen rajaaminen
Tietojen tuoja saa käsitellä henkilötietoja ainoastaan liitteessä I.B esitettyä siirtotarkoitusta tai -tarkoituksia varten, ellei tietojen viejä ole antanut lisäohjeita.
8.3 Läpinäkyvyys
Tietojen viejän on annettava maksutta rekisteröidyn saataville tämän pyynnöstä jäljennös näistä lausekkeista ja osapuolten täyttämästä lisäyksestä. Sikäli kuin se on tarpeen liikesalaisuuksien tai muiden luottamuksellisten tietojen, kuten liitteessä II kuvattujen toimenpiteiden ja henkilötietojen, suojaamiseksi, tietojen viejä voi poistaa osan näiden lausekkeiden lisäyksen tekstistä ennen jäljennöksen antamista. Sen on kuitenkin toimitettava tarkoituksenmukainen yhteenveto tekstistä, jos rekisteröity ei muutoin pystyisi ymmärtämään sen sisältöä tai käyttämään oikeuksiaan. Osapuolten on pyynnöstä ilmoitettava rekisteröidylle tekstin poistamisen syyt siinä määrin kuin se on mahdollista paljastamatta poistettavia tietoja. Tämä lauseke ei rajoita tietojen viejälle asetuksen (EU) 2016/679 13 ja 14 artiklan nojalla kuuluvia velvoitteita.
8.4 Paikkansapitävyys
Jos tietojen tuoja havaitsee, että sen vastaanottamat henkilötiedot ovat virheellisiä tai vanhentuneita, sen on ilmoitettava asiasta tietojen viejälle ilman aiheetonta viivytystä. Tällöin tietojen tuojan on toimittava yhteistyössä tietojen viejän kanssa tietojen poistamiseksi tai oikaisemiseksi.
8.5 Tietojen käsittelyn kesto ja tietojen poistaminen tai palauttaminen
Tietojen tuoja saa käsitellä tietoja ainoastaan liitteessä I.B määritetyn ajan. Kun henkilötietojen käsittelypalvelujen tarjoaminen on päättynyt, tietojen tuojan on tietojen viejän valinnan mukaan poistettava kaikki tietojen viejän puolesta käsitellyt henkilötiedot ja todistettava tietojen viejälle, että se on tehnyt niin, tai palautettava tietojen viejälle kaikki sen puolesta käsitellyt henkilötiedot ja poistettava olemassa olevat kopiot. Tietojen tuojan on varmistettava, että näitä lausekkeita noudatetaan, kunnes tiedot poistetaan tai palautetaan. Jos tietojen tuojaan sovelletaan paikallista lainsäädäntöä, jossa kielletään henkilötietojen palauttaminen tai poistaminen, tietojen tuoja vakuuttaa varmistavansa edelleen näiden lausekkeiden noudattamisen ja käsittelevänsä niitä vain siinä määrin ja niin kauan kuin kyseisessä paikallisessa lainsäädännössä edellytetään. Tämä ei vaikuta lausekkeeseen 14 eikä etenkään siihen, että tietojen tuojan on lausekkeen 14 e kohdan mukaan ilmoitettava tietojen viejälle koko sopimuksen voimassaolon ajan, jos sillä on syytä uskoa, että siihen sovelletaan tai on alettu soveltaa lakeja tai käytäntöjä, jotka eivät ole 14 lausekkeen a kohdan vaatimusten mukaisia.
8.6 Käsittelyn turvallisuus
a) |
Tietojen tuojan ja siirron aikana myös tietojen viejän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet tietojen turvallisuuden varmistamiseksi, mukaan lukien suojaaminen tietoturvaloukkaukselta, jonka seurauksena on vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy kyseisiin tietoihin, jäljempänä ’henkilötietojen tietoturvaloukkaus’. Arvioidessaan asianmukaista turvallisuustasoa osapuolten on otettava asianmukaisesti huomioon uusin teknologia, toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä rekisteröidyille käsittelystä aiheutuvat riskit. Osapuolten on harkittava erityisesti turvautumista salaamiseen tai pseudonymisointiin, myös siirron aikana, jos käsittelyn tarkoitus voidaan täyttää tällä tavoin. Jos kyseessä on pseudonymisointi, lisätiedot, joiden perusteella henkilötiedot voidaan yhdistää tiettyyn rekisteröityyn, on mahdollisuuksien mukaan pidettävä tietojen viejän yksinomaisessa valvonnassa. Täyttäessään tämän kohdan mukaisia velvoitteitaan tietojen tuojan on toteutettava ainakin liitteessä II mainitut tekniset ja organisatoriset toimenpiteet. Tietojen tuojan on tehtävä säännöllisiä tarkastuksia varmistaakseen, että nämä toimenpiteet tarjoavat edelleen asianmukaisen turvallisuustason. |
b) |
Tietojen tuoja saa antaa henkilöstönsä jäsenille pääsyn henkilötietoihin vain siinä laajuudessa kuin se on ehdottoman välttämätöntä sopimuksen täytäntöönpanoa, hallinnointia ja seurantaa varten. Sen on varmistettava, että henkilötietojen käsittelyluvan saaneet henkilöt ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä sitoo asianmukainen lakisääteinen salassapitovelvollisuus. |
c) |
Jos henkilötietojen tietoturvaloukkaus koskee tietojen tuojan näiden lausekkeiden nojalla käsittelemiä henkilötietoja, tietojen tuojan on toteutettava asianmukaisia toimenpiteitä tietoturvaloukkauksen johdosta, mukaan lukien toimenpiteet sen haittavaikutusten lieventämiseksi. Saatuaan tietoturvaloukkauksesta tiedon tietojen tuojan on ilman aiheetonta viivytystä ilmoitettava siitä myös tietojen viejälle. Ilmoituksessa on oltava tiedot yhteyspisteestä, josta voi saada lisätietoja, kuvaus tietoturvaloukkauksen luonteesta (mahdollisuuksien mukaan myös asianomaiset rekisteröityjen ryhmät ja arvioitu rekisteröityjen ja henkilötietotietueiden lukumäärä), tietoturvaloukkauksen todennäköisistä seurauksista ja sen johdosta toteutetuista tai ehdotetuista toimenpiteistä, ja tarvittaessa myös toimenpiteistä sen mahdollisten haittavaikutusten lieventämiseksi. Jos kaikkia tietoja ei ole mahdollista toimittaa samanaikaisesti, alkuperäisessä ilmoituksessa on oltava sillä hetkellä saatavilla olevat tiedot, ja lisätiedot on toimitettava myöhemmin ilman aiheetonta viivytystä, kun ne tulevat saataville. |
d) |
Tietojen tuojan on tehtävä yhteistyötä tietojen viejän kanssa ja autettava sitä, jotta tietojen viejä voi täyttää asetuksen (EU) 2016/679 mukaiset velvoitteensa ja erityisesti ilmoittaa asiasta toimivaltaiselle valvontaviranomaiselle ja asianomaisille rekisteröidyille ottaen huomioon käsittelyn luonteen ja tietojen tuojan saatavilla olevat tiedot. |
8.7 Arkaluonteiset tiedot
Jos siirtoon sisältyy henkilötietoja, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys, geneettistä tietoa tai tietoa henkilön yksiselitteistä tunnistamista varten käytettävää biometristä tietoa, terveyttä koskevia tietoja, luonnollisen henkilön seksuaalista käyttäytymistä tai suuntautumista koskevia tietoja taikka rikostuomioihin ja rikoksiin liittyviä tietoja, jäljempänä ’arkaluonteiset tiedot’, tietojen tuojan on sovellettava liitteessä I.B kuvattuja erityisiä rajoituksia ja/tai ylimääräisiä suojatoimia.
8.8 Tietojen siirtäminen edelleen
Tietojen tuoja saa luovuttaa henkilötietoja kolmannelle osapuolelle ainoastaan tietojen viejän antamia dokumentoituja ohjeita noudattaen. Tietoja saa luovuttaa (tietojen tuojan kanssa samassa maassa tai muussa kolmannessa maassa) Euroopan unionin ulkopuolella (4) olevalle kolmannelle osapuolelle, jäljempänä ’edelleen siirtäminen’, ainoastaan jos nämä lausekkeet sitovat kyseistä kolmatta osapuolta tai se lupaa sitoutua niihin asianmukaisen moduulin mukaisesti.
i) |
tietoja siirretään edelleen maahan, jonka hyväksi on tehty asetuksen (EU) 2016/679 45 artiklan nojalla tietosuojan riittävyyttä koskeva päätös, joka kattaa edelleen siirtämisen; |
ii) |
kolmas osapuoli muutoin varmistaa asetuksen (EU) 2016/679 46 tai 47 artiklassa tarkoitetut asianmukaiset suojatoimet kyseisen käsittelyn osalta; |
iii) |
edelleen siirtäminen on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi hallinto-, sääntely- tai oikeudenkäyntimenettelyn yhteydessä; tai |
iv) |
edelleen siirtäminen on tarpeen rekisteröidyn tai toisen henkilön elintärkeiden etujen suojaamiseksi. |
Tietojen edelleen siirtäminen edellyttää, että tietojen tuoja noudattaa myös kaikkia muita näiden lausekkeiden mukaisia suojatoimia ja erityisesti käyttötarkoituksen rajaamista.
8.9 Dokumentointi ja noudattaminen
a) |
Tietojen tuojan on käsiteltävä nopeasti ja asianmukaisesti tietojen viejän tiedustelut, jotka liittyvät näiden lausekkeiden mukaiseen henkilötietojen käsittelyyn. |
b) |
Osapuolten on pystyttävä osoittamaan, että näitä lausekkeita on noudatettu. Tietojen tuojan on muun muassa säilytettävä asianmukainen dokumentaatio tietojen viejän puolesta suoritetuista käsittelytoimista. |
c) |
Tietojen tuojan on asetettava tietojen viejän saataville kaikki tarvittavat tiedot, joilla voidaan osoittaa, että näissä lausekkeissa asetettuja velvoitteita on noudatettu, ja sallittava tietojen viejän pyynnöstä kohtuullisin väliajoin tai tilanteessa, jossa on viitteitä siitä, että vaatimuksia ei ole noudatettu, näiden lausekkeiden piiriin kuuluvien käsittelytoimien auditointeja ja osallistuttava niihin. Päättäessään tarkastelusta tai auditoinnista tietojen viejä voi ottaa huomioon tietojen tuojalle myönnetyt asiaankuuluvat sertifioinnit. |
d) |
Tietojen viejä voi päättää suorittaa auditoinnin itse tai valtuuttaa riippumattoman auditoijan. Auditoinnit voivat sisältää tietojen tuojan tiloihin tai fyysisiin rakenteisiin kohdistuvia tarkastuksia, jotka on tehtävä kohtuullisen ajan kuluessa. |
e) |
Osapuolten on annettava b ja c kohdassa tarkoitetut tiedot, mukaan lukien mahdollisten auditointien tulokset, toimivaltaisen valvontaviranomaisen saataville tämän pyynnöstä. |
MODUULI 3: Siirto käsittelijältä käsittelijälle
8.1 Ohjeet
a) |
Tietojen viejä on ilmoittanut tietojen tuojalle toimivansa henkilötietojen käsittelijänä noudattaen rekisterinpitäjänsä tai rekisterinpitäjiensä ohjeita, jotka tietojen viejän on asetettava tietojen tuojan saataville ennen tietojen käsittelyä. |
b) |
Tietojen tuoja saa käsitellä henkilötietoja ainoastaan noudattaen rekisterinpitäjän antamia dokumentoituja ohjeita, jotka tietojen viejä on toimittanut tietojen tuojalle, ja mahdollisia tietojen viejän antamia dokumentoituja lisäohjeita. Tällaiset lisäohjeet eivät saa olla ristiriidassa rekisterinpitäjän antamien ohjeiden kanssa. Rekisterinpitäjä tai tietojen viejä voi antaa dokumentoituja lisäohjeita tietojen käsittelystä koko sopimuksen voimassaolon ajan. |
c) |
Tietojen tuojan on välittömästi ilmoitettava tietojen viejälle, jos se ei pysty noudattamaan näitä ohjeita. Jos tietojen tuoja ei pysty noudattamaan rekisterinpitäjän antamia ohjeita, tietojen viejän on ilmoitettava siitä välittömästi rekisterinpitäjälle. |
d) |
Tietojen viejä vakuuttaa, että se on asettanut tietojen tuojalle samat tietosuojavelvoitteet kuin rekisterinpitäjän ja tietojen viejän välisessä sopimuksessa tai unionin oikeuden tai jäsenvaltion lainsäädännön mukaisessa muussa oikeudellisessa asiakirjassa (5). |
8.2 Käyttötarkoituksen rajaaminen
Tietojen tuoja saa käsitellä henkilötietoja ainoastaan liitteessä I.B esitettyä siirtotarkoitusta tai -tarkoituksia varten, paitsi jos se on saanut rekisterinpitäjältä lisäohjeita, jotka tietojen viejä on toimittanut tietojen tuojalle, tai jos tietojen viejä on antanut lisäohjeita.
8.3 Läpinäkyvyys
Tietojen viejän on annettava rekisteröidyn pyynnöstä tämän saataville maksutta jäljennös näistä lausekkeista ja osapuolten täyttämästä lisäyksestä. Sikäli kuin se on tarpeen liikesalaisuuksien tai muiden luottamuksellisten tietojen, kuten henkilötietojen, suojaamiseksi, tietojen viejä voi poistaa osan lisäyksen tekstistä ennen jäljennöksen antamista. Sen on kuitenkin toimitettava tarkoituksenmukainen yhteenveto tekstistä, jos rekisteröity ei muutoin pystyisi ymmärtämään sen sisältöä tai käyttämään oikeuksiaan. Osapuolten on pyynnöstä ilmoitettava rekisteröidylle tekstin poistamisen syyt siinä määrin kuin se on mahdollista paljastamatta poistettavia tietoja.
8.4 Paikkansapitävyys
Jos tietojen tuoja havaitsee, että sen vastaanottamat henkilötiedot ovat virheellisiä tai vanhentuneita, sen on ilmoitettava asiasta tietojen viejälle ilman aiheetonta viivytystä. Tällöin tietojen tuojan on toimittava yhteistyössä tietojen viejän kanssa tietojen oikaisemiseksi tai poistamiseksi.
8.5 Tietojen käsittelyn kesto ja tietojen poistaminen tai palauttaminen
Tietojen tuoja saa käsitellä tietoja ainoastaan liitteessä I.B määritetyn ajan. Kun henkilötietojen käsittelypalvelujen tarjoaminen on päättynyt, tietojen tuojan on tietojen viejän valinnan mukaan poistettava kaikki rekisterinpitäjän puolesta käsitellyt henkilötiedot ja todistettava tietojen viejälle, että se on tehnyt niin, tai palautettava tietojen viejälle kaikki sen puolesta käsitellyt henkilötiedot ja poistettava olemassa olevat kopiot. Tietojen tuojan on varmistettava, että näitä lausekkeita noudatetaan, kunnes tiedot poistetaan tai palautetaan. Jos tietojen tuojaan sovelletaan paikallista lainsäädäntöä, jossa kielletään henkilötietojen palauttaminen tai poistaminen, tietojen tuoja vakuuttaa varmistavansa edelleen näiden lausekkeiden noudattamisen ja käsittelevänsä niitä vain siinä määrin ja niin kauan kuin kyseisessä paikallisessa lainsäädännössä edellytetään. Tämä ei vaikuta lausekkeeseen 14 eikä etenkään siihen, että tietojen tuojan on lausekkeen 14 e kohdan mukaan ilmoitettava tietojen viejälle koko sopimuksen voimassaolon ajan, jos sillä on syytä uskoa, että siihen sovelletaan tai on alettu soveltaa lakeja tai käytäntöjä, jotka eivät ole 14 lausekkeen a kohdan vaatimusten mukaisia.
8.6 Käsittelyn turvallisuus
a) |
Tietojen tuojan ja siirron aikana myös tietojen viejän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet tietojen turvallisuuden varmistamiseksi, mukaan lukien suojaaminen tietoturvaloukkaukselta, jonka seurauksena on vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy kyseisiin tietoihin, jäljempänä ’henkilötietojen tietoturvaloukkaus’. Arvioidessaan asianmukaista turvallisuustasoa niiden on otettava asianmukaisesti huomioon uusin teknologia, toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä rekisteröidylle käsittelystä aiheutuvat riskit. Osapuolten on harkittava erityisesti turvautumista salaamiseen tai pseudonymisointiin, myös siirron aikana, jos käsittelyn tarkoitus voidaan täyttää tällä tavoin. Jos kyseessä on pseudonymisointi, lisätiedot, joiden perusteella henkilötiedot voidaan yhdistää tiettyyn rekisteröityyn, on mahdollisuuksien mukaan pidettävä tietojen viejän tai rekisterinpitäjän yksinomaisessa valvonnassa. Täyttäessään tämän kohdan mukaisia velvoitteitaan tietojen tuojan on toteutettava ainakin liitteessä II mainitut tekniset ja organisatoriset toimenpiteet. Tietojen tuojan on tehtävä säännöllisiä tarkastuksia varmistaakseen, että nämä toimenpiteet tarjoavat edelleen asianmukaisen turvallisuustason. |
b) |
Tietojen tuoja saa antaa henkilöstönsä jäsenille pääsyn tietoihin vain siinä laajuudessa kuin se on ehdottoman välttämätöntä sopimuksen täytäntöönpanoa, hallinnointia ja seurantaa varten. Sen on varmistettava, että henkilötietojen käsittelyluvan saaneet henkilöt ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä sitoo asianmukainen lakisääteinen salassapitovelvollisuus. |
c) |
Jos henkilötietojen tietoturvaloukkaus koskee tietojen tuojan näiden lausekkeiden nojalla käsittelemiä henkilötietoja, tietojen tuojan on toteutettava asianmukaisia toimenpiteitä tietoturvaloukkauksen johdosta, mukaan lukien toimenpiteet sen haittavaikutusten lieventämiseksi. Saatuaan tietoturvaloukkauksesta tiedon tietojen tuojan on ilman aiheetonta viivytystä ilmoitettava siitä myös tietojen viejälle ja, jos se on tarkoituksenmukaista ja mahdollista, rekisterinpitäjälle. Ilmoituksessa on oltava tiedot yhteyspisteestä, josta voi saada lisätietoja, kuvaus tietoturvaloukkauksen luonteesta (mahdollisuuksien mukaan myös asianomaiset rekisteröityjen ryhmät ja arvioitu rekisteröityjen ja henkilötietotietueiden lukumäärä), tietoturvaloukkauksen todennäköisistä seurauksista ja sen johdosta toteutetuista tai ehdotetuista toimenpiteistä sekä toimenpiteistä sen mahdollisten haittavaikutusten lieventämiseksi. Jos kaikkia tietoja ei ole mahdollista toimittaa samanaikaisesti, alkuperäisessä ilmoituksessa on oltava sillä hetkellä saatavilla olevat tiedot, ja lisätiedot on toimitettava myöhemmin ilman aiheetonta viivytystä, kun ne tulevat saataville. |
d) |
Tietojen tuojan on tehtävä yhteistyötä tietojen viejän kanssa ja autettava sitä, jotta tietojen viejä voi täyttää asetuksen (EU) 2016/679 mukaiset velvoitteensa ja erityisesti ilmoittaa asiasta rekisterinpitäjälleen, jotta tämä voi puolestaan ilmoittaa asiasta toimivaltaiselle valvontaviranomaiselle ja asianomaisille rekisteröidyille ottaen huomioon käsittelyn luonteen ja tietojen tuojan saatavilla olevat tiedot. |
8.7 Arkaluonteiset tiedot
Jos siirtoon sisältyy henkilötietoja, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys, geneettistä tietoa tai henkilön yksiselitteistä tunnistamista varten käytettävää biometristä tietoa, terveyttä koskevia tietoja, luonnollisen henkilön seksuaalista käyttäytymistä tai suuntautumista koskevia tietoja taikka rikostuomioihin ja rikoksiin liittyviä tietoja, jäljempänä ’arkaluonteiset tiedot’, tietojen tuojan on sovellettava liitteessä I.B kuvattuja erityisiä rajoituksia ja/tai ylimääräisiä suojatoimia.
8.8 Tietojen siirtäminen edelleen
Tietojen tuoja saa luovuttaa henkilötietoja kolmannelle osapuolelle ainoastaan noudattaen rekisterinpitäjän dokumentoituja ohjeita, jotka tietojen viejä on toimittanut tietojen tuojalle. Tietoja saa luovuttaa (tietojen tuojan kanssa samassa maassa tai muussa kolmannessa maassa) Euroopan unionin ulkopuolella (6) olevalle kolmannelle osapuolelle, jäljempänä ’edelleen siirtäminen’, ainoastaan jos nämä lausekkeet sitovat kyseistä kolmatta osapuolta tai se lupaa sitoutua niihin asianmukaisen moduulin mukaisesti.
i) |
tietoja siirretään edelleen maahan, jonka hyväksi on tehty asetuksen (EU) 2016/679 45 artiklan nojalla tietosuojan riittävyyttä koskeva päätös, joka kattaa edelleen siirtämisen; |
ii) |
kolmas osapuoli muutoin varmistaa asetuksen (EU) 2016/679 46 tai 47 artiklassa tarkoitetut asianmukaiset suojatoimet; |
iii) |
edelleen siirtäminen on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi hallinto-, sääntely- tai oikeudenkäyntimenettelyn yhteydessä; tai |
iv) |
edelleen siirtäminen on tarpeen rekisteröidyn tai toisen henkilön elintärkeiden etujen suojaamiseksi. |
Tietojen edelleen siirtäminen edellyttää, että tietojen tuoja noudattaa myös kaikkia muita näiden lausekkeiden mukaisia suojatoimia ja erityisesti käyttötarkoituksen rajaamista.
8.9 Dokumentointi ja noudattaminen
a) |
Tietojen tuojan on käsiteltävä nopeasti ja asianmukaisesti tietojen viejän tai rekisterinpitäjän tiedustelut, jotka liittyvät näiden lausekkeiden mukaiseen henkilötietojen käsittelyyn. |
b) |
Osapuolten on pystyttävä osoittamaan, että näitä lausekkeita on noudatettu. Tietojen tuojan on muun muassa säilytettävä asianmukainen dokumentaatio rekisterinpitäjän puolesta suoritetuista käsittelytoimista. |
c) |
Tietojen tuojan on asetettava tietojen viejän saataville kaikki tarvittavat tiedot, joilla voidaan osoittaa, että näissä lausekkeissa asetettuja velvoitteita on noudatettu. Tietojen viejän on toimitettava ne rekisterinpitäjälle. |
d) |
Tietojen tuojan on annettava tietojen viejän auditoida näiden lausekkeiden piiriin kuuluvat käsittelytoimet kohtuullisin väliajoin tai tilanteessa, jossa on viitteitä siitä, että vaatimuksia ei ole noudatettu, ja osallistuttava auditointeihin. Sama pätee silloin, kun tietojen viejä pyytää auditointia rekisterinpitäjän ohjeistamana. Päättäessään auditoinnista tietojen viejä voi ottaa huomioon tietojen tuojalle myönnetyt asiaankuuluvat sertifioinnit. |
e) |
Jos auditointi tehdään rekisterinpitäjän ohjeistamana, tietojen viejän on asetettava tulokset rekisterinpitäjän saataville. |
f) |
Tietojen viejä voi päättää suorittaa auditoinnin itse tai valtuuttaa riippumattoman auditoijan. Auditoinnit voivat sisältää tietojen tuojan tiloihin tai fyysisiin rakenteisiin kohdistuvia tarkastuksia, jotka on tehtävä kohtuullisen ajan kuluessa. |
g) |
Osapuolten on annettava b ja c kohdassa tarkoitetut tiedot, mukaan lukien mahdollisten auditointien tulokset, toimivaltaisen valvontaviranomaisen saataville tämän pyynnöstä. |
MODUULI 4: Siirto käsittelijältä rekisterinpitäjälle.
8.1 Ohjeet
a) |
Tietojen viejä saa käsitellä henkilötietoja ainoastaan rekisterinpitäjänä toimivan tietojen tuojan antamien dokumentoitujen ohjeiden mukaisesti. |
b) |
Tietojen viejän on välittömästi ilmoitettava tietojen tuojalle, jos se ei pysty noudattamaan kyseisiä ohjeita, myös siinä tapauksessa, että ohjeet rikkovat asetusta (EU) 2016/679 tai muuta unionin tai jäsenvaltion tietosuojalainsäädäntöä. |
c) |
Tietojen tuojan on pidättäydyttävä kaikista toimista, jotka estäisivät tietojen viejää täyttämästä asetuksen (EU) 2016/679 mukaisia velvoitteitaan, myös siinä tapauksessa, että henkilötietoja käsitellään alihankintana, tai toimivaltaisten valvontaviranomaisten kanssa tehtävän yhteistyön osalta. |
d) |
Kun käsittelypalvelujen tarjoaminen on päättynyt, tietojen viejän on tietojen tuojan valinnan mukaan poistettava kaikki tietojen tuojan puolesta käsitellyt henkilötiedot ja todistettava tietojen tuojalle, että se on tehnyt niin, tai palautettava tietojen tuojalle kaikki sen puolesta käsitellyt henkilötiedot ja poistettava olemassa olevat kopiot. |
8.2 Käsittelyn turvallisuus
a) |
Osapuolten on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet tietojen turvallisuuden varmistamiseksi, myös siirron aikana, ja niiden suojaamiseksi tietoturvaloukkaukselta, jonka seurauksena on vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin, jäljempänä ’henkilötietojen tietoturvaloukkaus’. Arvioidessaan asianmukaista turvallisuustasoa niiden on otettava asianmukaisesti huomioon uusin teknologia, toteuttamiskustannukset, henkilötietojen luonne (7), käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä rekisteröidyille käsittelystä aiheutuvat riskit ja harkittava erityisesti turvautumista salaamiseen tai pseudonymisointiin, myös siirron aikana, jos käsittelyn tarkoitus voidaan täyttää tällä tavoin. |
b) |
Tietojen viejän on avustettava tietojen tuojaa a kohdassa tarkoitetussa tietojen asianmukaisen turvallisuuden varmistamisessa. Jos tapahtuu henkilötietojen tietoturvaloukkaus, joka koskee tietojen viejän näiden lausekkeiden nojalla käsittelemiä henkilötietoja, tietojen viejän on ilmoitettava asiasta tietojen tuojalle ilman aiheetonta viivytystä saatuaan siitä tiedon ja avustettava tietojen tuojaa toteuttamaan toimenpiteitä tietoturvaloukkauksen johdosta. |
c) |
Tietojen viejän on varmistettava, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus. |
8.3 Dokumentointi ja noudattaminen
a) |
Osapuolten on pystyttävä osoittamaan, että näitä lausekkeita on noudatettu. |
b) |
Tietojen viejän on asetettava tietojen tuojan saataville kaikki tarvittavat tiedot, joilla voidaan osoittaa, että se on noudattanut näissä lausekkeissa asetettuja velvoitteitaan, sekä sallittava auditoinnit ja osallistuttava niihin. |
9 lauseke
Henkilötietojen käsittely alihankintana
MODUULI 2: Siirto rekisterinpitäjältä käsittelijälle
a) |
VAIHTOEHTO 1: ERITYINEN ENNAKKOLUPA Tietojen tuoja ei saa antaa tietojen viejän puolesta näiden lausekkeiden mukaisesti suorittamiaan henkilötietojen käsittelytoimia alihankkijalle ilman tietojen viejän etukäteen antamaa erityistä kirjallista lupaa. Tietojen tuojan on pyydettävä lupaa vähintään [mainitaan aika] ennen alihankkijan palvelusten käyttämistä ja toimitettava siinä yhteydessä tiedot, jotka tietojen viejä tarvitsee voidakseen päättää luvasta. Luettelo tietojen tuojan jo valtuuttamista henkilötietojen alikäsittelijöistä on liitteessä III. Osapuolten on pidettävä liite III ajan tasalla. VAIHTOEHTO 2: YLEINEN KIRJALLINEN ENNAKKOLUPA Tietojen tuojalla on tietojen viejän yleinen lupa, joka koskee yhden tai useamman sovitussa luettelossa olevan henkilötietojen käsittelijän käyttämistä alihankkijana. Jos tietojen tuoja aikoo muuttaa kyseistä luetteloa lisäämällä tai korvaamalla alihankkijana toimivia henkilötietojen käsittelijöitä, sen on ilmoitettava tästä tietojen viejälle erikseen kirjallisesti vähintään [mainitaan aika] etukäteen, jotta tietojen viejällä on riittävästi aikaa vastustaa muutoksia ennen kyseisten alihankkijoiden palvelusten käyttöä. Tietojen tuojan on toimitettava tietojen viejälle tiedot, jotka tämä tarvitsee voidakseen käyttää oikeuttaan vastustaa luettelon muuttamista. |
b) |
Jos tietojen tuoja käyttää alihankkijaa tiettyjen käsittelytoimien suorittamiseen (tietojen viejän puolesta), sen on tehtävä asiasta kirjallinen sopimus, jossa määrätään olennaisilta osiltaan samoista tietosuojavelvoitteista, jotka näiden lausekkeiden nojalla sitovat tietojen tuojaa, mukaan lukien rekisteröityjen oikeudet edunsaajina olevina kolmansina osapuolina (8). Osapuolet sopivat, että noudattamalla tätä lauseketta tietojen tuoja täyttää 8.8 lausekkeen mukaiset velvoitteensa. Tietojen tuojan on varmistettava, että alihankkijana toimiva henkilötietojen käsittelijä noudattaa velvoitteita, joita tietojen tuojaan näiden lausekkeiden nojalla sovelletaan. |
c) |
Tietojen tuojan on toimitettava tietojen viejälle tämän pyynnöstä jäljennös tällaisesta alihankkijan kanssa tehdystä sopimuksesta ja sen mahdollisista myöhemmistä muutoksista. Sikäli kuin se on tarpeen liikesalaisuuksien tai muiden luottamuksellisten tietojen, kuten henkilötietojen, suojaamiseksi, tietojen tuoja voi poistaa osan sopimuksen tekstistä ennen jäljennöksen antamista. |
d) |
Tietojen tuojalla on edelleen tietojen viejään nähden täysi vastuu siitä, että alihankkijana toimiva henkilötietojen käsittelijä täyttää velvoitteensa tietojen tuojan kanssa tekemänsä sopimuksen nojalla. Tietojen tuojan on ilmoitettava tietojen viejälle, jos alihankkijana toimiva henkilötietojen käsittelijä ei täytä kyseisen sopimuksen mukaisia velvoitteitaan. |
e) |
Tietojen tuojan on sovittava alihankkijana toimivan henkilötietojen käsittelijän kanssa edunsaajina olevia kolmansia osapuolia koskevasta lausekkeesta, jonka mukaan tietojen viejällä on oikeus irtisanoa alihankkijana toimivan henkilötietojen käsittelijän sopimus ja ohjeistaa tätä poistamaan tai palauttamaan henkilötiedot, jos tietojen tuoja on tosiasiallisesti lakkautettu tai lakannut oikeudellisesti olemasta tai siitä on tullut maksukyvytön. |
MODUULI 3: Siirto käsittelijältä käsittelijälle
a) |
VAIHTOEHTO 1: ERITYINEN ENNAKKOLUPA Tietojen tuoja ei saa antaa tietojen viejän puolesta näiden lausekkeiden mukaisesti suorittamiaan henkilötietojen käsittelytoimia alihankkijalle ilman rekisterinpitäjän etukäteen antamaa erityistä kirjallista lupaa. Tietojen tuojan on pyydettävä lupaa vähintään [mainitaan aika] ennen alihankkijan palvelusten käyttämistä ja toimitettava siinä yhteydessä tiedot, jotka rekisterinpitäjä tarvitsee voidakseen päättää luvasta. Sen on ilmoitettava tietojen viejälle tällaisesta palvelusten käyttämisestä. Luettelo rekisterinpitäjän jo valtuuttamista henkilötietojen alikäsittelijöistä on liitteessä III. Osapuolten on pidettävä liite III ajan tasalla. VAIHTOEHTO 2: YLEINEN KIRJALLINEN ENNAKKOLUPA Tietojen tuojalla on rekisterinpitäjän yleinen lupa, joka koskee yhden tai useamman sovitussa luettelossa olevan henkilötietojen käsittelijän käyttämistä alihankkijana. Jos tietojen tuoja aikoo muuttaa kyseistä luetteloa lisäämällä tai korvaamalla alihankkijana toimivia henkilötietojen käsittelijöitä, sen on ilmoitettava tästä rekisterinpitäjälle erikseen kirjallisesti vähintään [mainitaan aika] etukäteen, jotta rekisterinpitäjällä on riittävästi aikaa vastustaa muutoksia ennen kyseisten alihankkijoiden palvelusten käyttöä. Tietojen tuojan on toimitettava rekisterinpitäjälle tiedot, jotka tämä tarvitsee voidakseen käyttää oikeuttaan vastustaa luettelon muuttamista. Tietojen tuojan on ilmoitettava tietojen viejälle asianomaisten alihankkijana toimivien henkilötietojen käsittelijöiden palvelusten käyttämisestä. |
b) |
Jos tietojen tuoja käyttää alihankkijaa tiettyjen käsittelytoimien suorittamiseen (rekisterinpitäjän puolesta), sen on tehtävä asiasta kirjallinen sopimus, jossa määrätään olennaisilta osiltaan samoista tietosuojavelvoitteista, jotka näiden lausekkeiden nojalla sitovat tietojen tuojaa, mukaan lukien rekisteröityjen oikeudet edunsaajina olevina kolmansina osapuolina (9). Osapuolet sopivat, että noudattamalla tätä lauseketta tietojen tuoja täyttää 8.8 lausekkeen mukaiset velvoitteensa. Tietojen tuojan on varmistettava, että alihankkijana toimiva henkilötietojen käsittelijä noudattaa velvoitteita, joita tietojen tuojaan näiden lausekkeiden nojalla sovelletaan. |
c) |
Tietojen tuojan on toimitettava tietojen viejän tai rekisterinpitäjän pyynnöstä jäljennös tällaisesta alihankkijan kanssa tehdystä sopimuksesta ja sen mahdollisista myöhemmistä muutoksista. Sikäli kuin se on tarpeen liikesalaisuuksien tai muiden luottamuksellisten tietojen, kuten henkilötietojen, suojaamiseksi, tietojen tuoja voi poistaa osan sopimuksen tekstistä ennen jäljennöksen antamista. |
d) |
Tietojen tuojalla on edelleen tietojen viejään nähden täysi vastuu siitä, että alihankkijana toimiva henkilötietojen käsittelijä täyttää velvoitteensa tietojen tuojan kanssa tekemänsä sopimuksen nojalla. Tietojen tuojan on ilmoitettava tietojen viejälle, jos alihankkijana toimiva henkilötietojen käsittelijä ei täytä kyseisen sopimuksen mukaisia velvoitteitaan. |
e) |
Tietojen tuojan on sovittava alihankkijana toimivan henkilötietojen käsittelijän kanssa edunsaajina olevia kolmansia osapuolia koskevasta lausekkeesta, jonka mukaan tietojen viejällä on oikeus irtisanoa alihankkijana toimivan henkilötietojen käsittelijän sopimus ja ohjeistaa tätä poistamaan tai palauttamaan henkilötiedot, jos tietojen tuoja on tosiasiallisesti lakkautettu tai lakannut oikeudellisesti olemasta tai siitä on tullut maksukyvytön. |
10 lauseke
Rekisteröityjen oikeudet
MODUULI 1: Siirto rekisterinpitäjältä rekisterinpitäjälle
a) |
Tietojen tuojan on, tarvittaessa tietojen viejän avustuksella, käsiteltävä kaikki rekisteröidyltä saamansa tiedustelut ja pyynnöt, jotka koskevat rekisteröidyn henkilötietojen käsittelyä ja näiden lausekkeiden mukaisten oikeuksien käyttämistä, ilman aiheetonta viivytystä ja viimeistään kuukauden kuluessa tiedustelun tai pyynnön vastaanottamisesta (10). Tietojen tuojan on toteutettava asianmukaiset toimenpiteet tällaisten tiedustelujen, pyyntöjen ja rekisteröidyn oikeuksien käyttämisen helpottamiseksi. Rekisteröidylle annettavien tietojen on oltava helposti ymmärrettävässä ja helposti saatavilla olevassa muodossa ja ne on esitettävä selkeällä ja yksinkertaisella kielellä. |
b) |
Tietojen tuojan on rekisteröidyn pyynnöstä maksua veloittamatta
|
c) |
Jos tietojen tuoja käsittelee henkilötietoja suoramarkkinointia varten, sen on lopetettava käsittely tällaisiin tarkoituksiin, jos rekisteröity vastustaa sitä. |
d) |
Tietojen tuoja ei saa pelkästään siirrettyjen henkilötietojen automaattisen käsittelyn perusteella tehdä päätöstä, jäljempänä ’automaattinen päätös’, jolla olisi rekisteröityä koskevia oikeusvaikutuksia tai joka vaikuttaisi rekisteröityyn vastaavalla tavalla merkittävästi, paitsi jos rekisteröity on antanut nimenomaisen suostumuksensa tai jos se on määrämaan lainsäädännön nojalla sallittua, edellyttäen että kyseisessä lainsäädännössä vahvistetaan asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja oikeutettujen etujen suojaamiseksi. Tällöin tietojen tuojan on tarvittaessa yhteistyössä tietojen viejän kanssa
|
e) |
Jos rekisteröidyn pyynnöt ovat kohtuuttomia, erityisesti siitä syystä, että niitä esitetään toistuvasti, tietojen tuoja voi joko periä niistä pyynnön täyttämisestä aiheutuvat hallinnolliset kustannukset huomioon ottaen kohtuullisen maksun tai kieltäytyä täyttämästä pyyntöä. |
f) |
Tietojen tuoja voi evätä rekisteröidyn pyynnön, jos se on sallittua määrämaan lainsäädännön nojalla sekä tarpeen ja oikeasuhteista demokraattisessa yhteiskunnassa jonkin asetuksen (EU) 2016/679 23 artiklan 1 kohdassa luetellun tavoitteen turvaamiseksi. |
g) |
Jos tietojen tuoja aikoo evätä rekisteröidyn pyynnön, sen on ilmoitettava rekisteröidylle epäämisen syyt ja kerrottava mahdollisuudesta tehdä kantelu valvontaviranomaiselle ja/tai käyttää muita oikeussuojakeinoja. |
MODUULI 2: Siirto rekisterinpitäjältä käsittelijälle
a) |
Tietojen tuojan on nopeasti ilmoitettava tietojen viejälle rekisteröidyltä saamastaan pyynnöstä. Tietojen tuoja ei saa itse vastata tähän pyyntöön, paitsi jos tietojen viejä on antanut siihen luvan. |
b) |
Tietojen tuojan on autettava tietojen viejää täyttämään velvollisuutensa vastata rekisteröityjen pyyntöihin, jotka koskevat rekisteröityjen oikeuksien käyttämistä asetuksen (EU) 2016/679 nojalla. Tältä osin osapuolten on liitteessä II vahvistettava asianmukaiset tekniset ja organisatoriset toimenpiteet ottaen huomioon, millaista se käsittely, jonka avulla apua annetaan, on luonteeltaan, sekä tarvittavan avun soveltamisala ja laajuus. |
c) |
Täyttäessään a ja b kohdassa tarkoitettuja velvoitteitaan tietojen tuojan on noudatettava tietojen viejän antamia ohjeita. |
MODUULI 3: Siirto käsittelijältä käsittelijälle
a) |
Tietojen tuojan on nopeasti ilmoitettava tietojen viejälle ja tarvittaessa rekisterinpitäjälle rekisteröidyltä saamastaan pyynnöstä. Se ei saa vastata tähän pyyntöön, paitsi jos rekisterinpitäjä on antanut siihen luvan. |
b) |
Tietojen tuojan on tarvittaessa yhteistyössä tietojen viejän kanssa autettava rekisterinpitäjää täyttämään velvollisuutensa vastata rekisteröityjen pyyntöihin, jotka koskevat rekisteröityjen oikeuksien käyttämistä asetuksen (EU) 2016/679 tai asetuksen (EU) 2018/1725 nojalla. Tältä osin osapuolten on liitteessä II vahvistettava asianmukaiset tekniset ja organisatoriset toimenpiteet ottaen huomioon, millaista se käsittely, jonka avulla apua annetaan, on luonteeltaan, sekä tarvittavan avun soveltamisala ja laajuus. |
c) |
Täyttäessään a ja b kohdassa tarkoitettuja velvoitteitaan tietojen tuojan on noudatettava rekisterinpitäjän antamia ohjeita, jotka tietojen viejä on toimittanut. |
MODUULI 4: Siirto käsittelijältä rekisterinpitäjälle.
Osapuolten on autettava toisiaan vastaamaan rekisteröityjen tiedusteluihin ja pyyntöihin tietojen tuojaan sovellettavaa paikallista lainsäädäntöä tai, jos on kyse henkilötietojen käsittelystä EU:ssa, asetusta (EU) 2016/679 noudattaen.
11 lauseke
Oikeussuojakeinot
a) |
Tietojen tuojan on ilmoitettava rekisteröidyille selkeässä ja helposti saatavilla olevassa muodossa, yksilöllisellä ilmoituksella tai verkkosivustollaan, yhteyspisteestä, jolla on valtuudet käsitellä kanteluja. Sen on käsiteltävä rekisteröidyiltä saamansa kantelut nopeasti. [VAIHTOEHTO: Tietojen tuoja hyväksyy sen, että rekisteröidyt voivat tehdä kantelun myös riippumattomalle riidanratkaisuelimelle (11) ilman rekisteröidylle aiheutuvia kustannuksia. Sen on ilmoitettava rekisteröidyille a kohdassa säädetyllä tavalla tällaisesta oikeussuojamekanismista ja siitä, että rekisteröityjen ei ole pakko käyttää sitä tai noudattaa oikeussuojakeinojen käytössä tiettyä järjestystä.] |
MODUULI 1: Siirto rekisterinpitäjältä rekisterinpitäjälle
MODUULI 2: Siirto rekisterinpitäjältä käsittelijälle
MODUULI 3: Siirto käsittelijältä käsittelijälle
b) |
Jos rekisteröidyn ja osapuolen välillä syntyy riita näiden lausekkeiden noudattamisesta, osapuolen on parhaansa mukaan pyrittävä ratkaisemaan asia sopimalla ja hyvissä ajoin. Osapuolten on ilmoitettava toisilleen tällaisista riidoista ja tehtävä tarvittaessa yhteistyötä niiden ratkaisemiseksi. |
c) |
Jos rekisteröity vetoaa 3 lausekkeen nojalla edunsaajana olevan kolmannen osapuolen oikeuteen, tietojen tuojan on hyväksyttävä rekisteröidyn päätös
|
d) |
Osapuolet hyväksyvät, että rekisteröityä voi edustaa voittoa tavoittelematon elin, järjestö tai yhdistys asetuksen (EU) 2016/679 80 artiklan 1 kohdassa säädetyin edellytyksin. |
e) |
Tietojen tuojan on noudatettava päätöstä, joka on sovellettavan EU:n tai jäsenvaltion lainsäädännön nojalla sitova. |
f) |
Tietojen tuoja hyväksyy sen, että rekisteröidyn tekemä valinta ei vaikuta rekisteröidyn aineellisiin ja menettelyllisiin oikeuksiin käyttää sovellettavan lainsäädännön mukaisia oikeussuojakeinoja. |
12 lauseke
Vastuu vahingoista
MODUULI 1: Siirto rekisterinpitäjältä rekisterinpitäjälle
MODUULI 4: Siirto käsittelijältä rekisterinpitäjälle.
a) |
Kukin osapuoli on vastuussa toiselle osapuolelle tai toisille osapuolille vahingoista, joita se aiheuttaa toiselle osapuolelle tai toisille osapuolille rikkomalla näitä lausekkeita. |
b) |
Kukin osapuoli on vastuussa rekisteröidylle, ja rekisteröidyllä on oikeus saada korvausta kaikista aineellisista tai aineettomista vahingoista, joita osapuoli aiheuttaa rekisteröidylle rikkomalla näiden lausekkeiden mukaisia edunsaajana olevan kolmannen osapuolen oikeuksia. Tämä ei rajoita tietojen viejälle asetuksen (EU) 2016/679 nojalla kuuluvaa vastuuta. |
c) |
Jos useampi kuin yksi osapuoli aiheuttaa rekisteröidylle näitä lausekkeita rikkomalla vahinkoa, kaikki vahinkoa aiheuttaneet osapuolet ovat yhteisvastuussa, ja rekisteröidyllä on oikeus nostaa kanne mitä tahansa näistä osapuolista vastaan. |
d) |
Osapuolet sopivat, että jos yksi osapuoli vedetään c kohdan nojalla vastuuseen, sillä on oikeus vaatia toista osapuolta tai toisia osapuolia maksamaan takaisin se osa korvauksesta, joka vastaa sen/niiden vastuuta vahingosta. |
e) |
Tietojen tuoja ei voi vedota henkilötietojen käsittelijän tai alihankkijana toimivan henkilötietojen käsittelijän toimintaan oman vastuunsa välttämiseksi. |
MODUULI 2: Siirto rekisterinpitäjältä käsittelijälle
MODUULI 3: Siirto käsittelijältä käsittelijälle
a) |
Kukin osapuoli on vastuussa toiselle osapuolelle tai toisille osapuolille vahingoista, joita se aiheuttaa toiselle osapuolelle tai toisille osapuolille rikkomalla näitä lausekkeita. |
b) |
Tietojen tuoja on vastuussa rekisteröidylle, ja rekisteröidyllä on oikeus saada korvausta kaikista aineellisista tai aineettomista vahingoista, joita tietojen tuoja tai sen alihankkijana toimiva henkilötietojen käsittelijä aiheuttaa rekisteröidylle rikkomalla näiden lausekkeiden mukaisia edunsaajana olevan kolmannen osapuolen oikeuksia. |
c) |
Tietojen viejä on vastuussa rekisteröidylle, ja rekisteröidyllä on oikeus saada korvausta kaikista aineellisista tai aineettomista vahingoista, joita tietojen viejä tai tietojen tuoja (tai sen alihankkijana toimiva henkilötietojen käsittelijä) aiheuttaa rekisteröidylle rikkomalla näiden lausekkeiden mukaisia edunsaajana olevan kolmannen osapuolen oikeuksia, sanotun kuitenkaan rajoittamatta b kohdan soveltamista. Tämä ei rajoita tietojen viejälle ja, jos tietojen viejä on rekisterinpitäjän puolesta toimiva henkilötietojen käsittelijä, rekisterinpitäjälle asetuksen (EU) 2016/679 tai asetuksen (EU) 2018/1725 nojalla kuuluvaa vastuuta. |
d) |
Osapuolet sopivat, että jos tietojen viejä vedetään c kohdan nojalla vastuuseen tietojen tuojan (tai sen alihankkijana toimivan henkilötietojen käsittelijän) aiheuttamista vahingoista, sillä on oikeus vaatia tietojen tuojaa maksamaan takaisin se osa korvauksesta, joka vastaa tietojen tuojan vastuuta vahingosta. |
e) |
Jos useampi kuin yksi osapuoli aiheuttaa rekisteröidylle näitä lausekkeita rikkomalla vahinkoa, kaikki vahinkoa aiheuttaneet osapuolet ovat yhteisvastuussa, ja rekisteröidyllä on oikeus nostaa kanne mitä tahansa näistä osapuolista vastaan. |
f) |
Osapuolet sopivat, että jos yksi osapuoli vedetään e kohdan nojalla vastuuseen, sillä on oikeus vaatia toista osapuolta tai toisia osapuolia maksamaan takaisin se osa korvauksesta, joka vastaa sen/niiden vastuuta vahingosta. |
g) |
Tietojen tuoja ei voi vedota alihankkijana toimivan henkilötietojen käsittelijän toimintaan oman vastuunsa välttämiseksi. |
13 lauseke
Valvonta
MODUULI 1: Siirto rekisterinpitäjältä rekisterinpitäjälle
MODUULI 2: Siirto rekisterinpitäjältä käsittelijälle
MODUULI 3: Siirto käsittelijältä käsittelijälle
a) |
[Jos tietojen viejä on sijoittautunut EU:n jäsenvaltioon:] Toimivaltainen valvontaviranomainen on liitteessä I.C mainittu valvontaviranomainen, jonka tehtävänä on varmistaa, että tietojen viejä noudattaa asetusta (EU) 2016/679 tietojen siirtämisessä. [Jos tietojen viejä ei ole sijoittautunut EU:n jäsenvaltioon mutta se kuuluu asetuksen (EU) 2016/679 alueelliseen soveltamisalaan asetuksen 3 artiklan 2 kohdan nojalla ja se on nimennyt edustajan asetuksen (EU) 2016/679 27 artiklan 1 kohdan nojalla:] Toimivaltainen valvontaviranomainen on liitteessä I.C mainittu sen jäsenvaltion valvontaviranomainen, johon asetuksen (EU) 2016/679 27 artiklan 1 kohdassa tarkoitettu edustaja on sijoittautunut. [Jos tietojen viejä ei ole sijoittautunut EU:n jäsenvaltioon mutta se kuuluu asetuksen (EU) 2016/679 alueelliseen soveltamisalaan asetuksen 3 artiklan 2 kohdan nojalla ilman, että sen pitäisi nimetä edustaja asetuksen (EU) 2016/679 27 artiklan 2 kohdan nojalla:] Toimivaltainen valvontaviranomainen on liitteessä I.C mainittu jonkin sellaisen jäsenvaltion valvontaviranomainen, jossa rekisteröidyt, joiden henkilötietoja siirretään näiden lausekkeiden nojalla tavaroiden tai palvelujen tarjoamisen yhteydessä tai joiden toimintaa seurataan, ovat. |
b) |
Tietojen tuoja hyväksyy toimivaltaisen valvontaviranomaisen lainkäyttövallan ja tekee sen kanssa yhteistyötä kaikissa menettelyissä, joilla pyritään varmistamaan näiden lausekkeiden noudattaminen. Tietojen tuoja lupaa vastata tiedusteluihin, hyväksyä auditointeja ja noudattaa valvontaviranomaisen hyväksymiä toimenpiteitä, korjaavat ja korvaavat toimenpiteet mukaan lukien. Sen on annettava valvontaviranomaiselle kirjallinen vahvistus siitä, että tarvittavat toimet on toteutettu. |
III JAKSO – PAIKALLISET LAIT JA VELVOITTEET, JOS VIRANOMAISILLA ON PÄÄSY TIETOIHIN
14 lauseke
Lausekkeiden noudattamiseen vaikuttavat paikalliset lait ja käytännöt
MODUULI 1: Siirto rekisterinpitäjältä rekisterinpitäjälle
MODUULI 2: Siirto rekisterinpitäjältä käsittelijälle
MODUULI 3: Siirto käsittelijältä käsittelijälle
MODUULI 4: Siirto käsittelijältä rekisterinpitäjälle (jos EU:n henkilötietojen käsittelijä yhdistää kolmannen maan rekisterinpitäjältä saamansa henkilötiedot EU:ssa olevan henkilötietojen käsittelijän keräämiin henkilötietoihin)
a) |
Osapuolet vakuuttavat, ettei niillä ole syytä uskoa, että määrämaana olevan kolmannen maan lainsäädäntö ja käytännöt, joita sovelletaan tietojen tuojan suorittamaan henkilötietojen käsittelyyn, mukaan lukien henkilötietojen luovuttamista koskevat vaatimukset tai viranomaisten pääsyn sallivat toimenpiteet, estäisivät tietojen tuojaa täyttämästä näiden lausekkeiden mukaisia velvoitteitaan. Tämä perustuu siihen käsitykseen, että sellaiset lait ja käytännöt, joissa noudatetaan keskeisiltä osin perusoikeuksia ja -vapauksia eikä ylitetä sitä, mikä on demokraattisessa yhteiskunnassa välttämätöntä ja oikeasuhteista jonkin asetuksen (EU) 2016/679 23 artiklan 1 kohdassa mainitun tavoitteen turvaamiseksi, eivät ole ristiriidassa vakiosopimuslausekkeiden kanssa. |
b) |
Osapuolet ilmoittavat ottaneensa a kohdassa tarkoitettua vakuutusta antaessaan asianmukaisesti huomioon erityisesti seuraavat seikat:
|
c) |
Tietojen tuoja vakuuttaa, että suorittaessaan b kohdassa tarkoitettua arviointia se on parhaansa mukaan pyrkinyt toimittamaan tietojen viejälle asiaankuuluvat tiedot, ja lupaa jatkaa yhteistyötä tietojen viejän kanssa varmistaakseen, että näitä lausekkeita noudatetaan. |
d) |
Osapuolet lupaavat dokumentoida b kohdassa tarkoitetun arvioinnin ja asettaa sen toimivaltaisen valvontaviranomaisen saataville tämän pyynnöstä. |
e) |
Tietojen tuoja lupaa ilmoittaa tietojen viejälle nopeasti koko sopimuksen voimassaolon ajan, jos sillä on sen jälkeen, kun se on sopinut näistä lausekkeista, syytä uskoa, että siihen sovelletaan tai on alettu soveltaa lakeja tai käytäntöjä, jotka eivät ole a kohdan vaatimusten mukaisia, esimerkiksi kolmannen maan lainsäädännön muututtua tai sellaisen toimenpiteen (kuten henkilötietojen luovutuspyynnön) seurauksena, joka osoittaa, että lainsäädännön käytännön soveltaminen ei ole a kohdan vaatimusten mukaista. [Moduulissa 3: Tietojen viejän on toimitettava ilmoitus rekisterinpitäjälle.] |
f) |
Edellä e kohdassa tarkoitetun ilmoituksen jälkeen tai jos tietojen viejällä muutoin on syytä uskoa, että tietojen tuoja ei voi enää täyttää näiden lausekkeiden mukaisia velvoitteitaan, tietojen viejän on nopeasti yksilöitävä asianmukaiset toimenpiteet (kuten tekniset tai organisatoriset toimenpiteet turvallisuuden ja luottamuksellisuuden varmistamiseksi), joita tietojen viejän ja/tai tietojen tuojan on toteutettava tilanteen korjaamiseksi [Moduulissa 3:, tarvittaessa rekisterinpitäjää kuullen]. Tietojen viejän on keskeytettävä tietojen siirtäminen, jos se katsoo, että siirtoa koskevia asianmukaisia suojatoimia ei voida varmistaa, tai jos [Moduulissa 3: rekisterinpitäjä tai] toimivaltainen valvontaviranomainen näin ohjeistaa. Tällöin tietojen viejällä on oikeus irtisanoa sopimus siltä osin kuin se koskee näiden lausekkeiden mukaista henkilötietojen käsittelyä. Jos sopimuksen osapuolia on useampi kuin kaksi, tietojen viejä voi käyttää tätä oikeutta irtisanomiseen ainoastaan asianomaisen osapuolen osalta, elleivät osapuolet ole toisin sopineet. Kun sopimus irtisanotaan tämän lausekkeen nojalla, sovelletaan 16 artiklan d ja e kohtaa. |
15 lauseke
Tietojen tuojan velvollisuudet, jos viranomaisilla on pääsy tietoihin
MODUULI 1: Siirto rekisterinpitäjältä rekisterinpitäjälle
MODUULI 2: Siirto rekisterinpitäjältä käsittelijälle
MODUULI 3: Siirto käsittelijältä käsittelijälle
MODUULI 4: Siirto käsittelijältä rekisterinpitäjälle (jos EU:n henkilötietojen käsittelijä yhdistää kolmannen maan rekisterinpitäjältä saamansa henkilötiedot EU:ssa olevan henkilötietojen käsittelijän keräämiin henkilötietoihin)
15.1 Ilmoittaminen
a) |
Tietojen tuoja lupaa nopeasti ilmoittaa tietojen viejälle ja mahdollisuuksien mukaan rekisteröidylle (tarvittaessa tietojen viejän avulla), jos se
[Moduulissa 3: Tietojen viejän on toimitettava ilmoitus rekisterinpitäjälle.] |
b) |
Jos tietojen tuojaa määrämaan lainsäädännön nojalla kielletään ilmoittamasta asiasta tietojen viejälle ja/tai rekisteröidylle, tietojen tuoja lupaa tehdä parhaansa saadakseen vapautuksen kiellosta voidakseen toimittaa mahdollisimman paljon tietoa mahdollisimman pian. Tietojen tuoja lupaa dokumentoida toteuttamansa toimet voidakseen tietojen viejän pyynnöstä osoittaa ne. |
c) |
Jos se on sallittua määrämaan lainsäädännön nojalla, tietojen tuoja lupaa toimittaa tietojen viejälle säännöllisin väliajoin sopimuksen voimassaolon ajan mahdollisimman paljon merkityksellisiä tietoja vastaanotetuista pyynnöistä (erityisesti pyyntöjen määrä, pyydettyjen tietojen tyyppi, pyyntöjä esittäneet viranomaiset, tietopyyntöjen mahdollinen riitauttaminen ja sen tulokset jne.). [Moduulissa 3: Tietojen viejän on toimitettava tiedot rekisterinpitäjälle.] |
d) |
Tietojen tuoja lupaa säilyttää a–c kohdassa tarkoitetut tiedot sopimuksen voimassaolon ajan ja asettaa ne pyynnöstä toimivaltaisen valvontaviranomaisen saataville. |
e) |
Edellä olevat a–c kohta eivät rajoita 14 lausekkeen e kohdan ja 16 lausekkeen mukaista tietojen tuojan velvollisuutta ilmoittaa nopeasti tietojen viejälle, jos se ei pysty noudattamaan näitä lausekkeita. |
15.2 Laillisuuden tarkastelu ja tietojen minimointi
a) |
Tietojen tuoja lupaa tutkia tietojen luovuttamista koskevan pyynnön laillisuuden ja erityisesti sen, pysyykö se pyynnön esittäneen viranomaisen toimivallan rajoissa, ja riitauttaa pyynnön, jos se huolellisen arvioinnin jälkeen toteaa, että on perusteltua katsoa, että pyyntö on määrämaan lainsäädännön, sovellettavien kansainvälisen oikeuden mukaisten velvoitteiden ja kansainvälisen kohteliaisuuden periaatteiden nojalla laiton. Tietojen tuojan on samoin edellytyksin käytettävä muutoksenhakukeinoja. Riitauttaessaan pyynnön tietojen tuojan on pyydettävä välitoimia pyynnön vaikutusten lykkäämiseksi siihen saakka, kunnes toimivaltainen oikeusviranomainen on ratkaissut asiakysymyksen. Se ei saa luovuttaa pyydettyjä henkilötietoja ennen kuin sovellettavien menettelysääntöjen nojalla niin vaaditaan. Nämä vaatimukset eivät rajoita 14 lausekkeen e kohdan mukaisia tietojen tuojan velvoitteita. |
b) |
Tietojen tuoja lupaa dokumentoida oikeudellisen arviointinsa ja tietojen luovuttamista koskevan pyynnön mahdollisen riitauttamisen sekä asettaa dokumentaation tietojen viejän saataville määrämaan lainsäädännön sallimissa rajoissa. Sen on pyynnöstä asetettava dokumentaatio myös toimivaltaisen valvontaviranomaisen saataville. [Moduulissa 3: Tietojen viejän on asetettava arviointi rekisterinpitäjän saataville.] |
c) |
Tietojen tuoja lupaa vastatessaan tietojen luovuttamista koskevaan pyyntöön toimittaa kohtuullisen tulkinnan perusteella vähimmäismäärän sallittuja tietoja. |
IV JAKSO – LOPPUMÄÄRÄYKSET
16 lauseke
Lausekkeiden noudattamatta jättäminen ja irtisanominen
a) |
Tietojen tuojan on nopeasti ilmoitettava tietojen viejälle, jos se ei jostain syystä pysty noudattamaan näitä lausekkeita. |
b) |
Jos tietojen tuoja rikkoo lausekkeita tai ei pysty noudattamaan niitä, tietojen viejän on keskeytettävä henkilötietojen siirtäminen tietojen tuojalle, kunnes noudattaminen jälleen varmistetaan, tai sopimus irtisanotaan. Tämä ei rajoita 14 lausekkeen f kohdan soveltamista. |
c) |
Tietojen viejällä on oikeus irtisanoa sopimus siltä osin kuin se koskee näiden lausekkeiden mukaista henkilötietojen käsittelyä, jos
Tällöin sen on ilmoitettava noudattamatta jättämisestä toimivaltaiselle valvontaviranomaiselle [Moduulissa 3: ja rekisterinpitäjälle]. Jos sopimuksen osapuolia on useampi kuin kaksi, tietojen viejä voi käyttää tätä oikeutta irtisanomiseen ainoastaan asianomaisen osapuolen osalta, elleivät osapuolet ole toisin sopineet. |
d) |
[Moduuleissa 1, 2 ja 3: Henkilötiedot, jotka on siirretty, ennen kuin sopimus c kohdan nojalla irtisanotaan, on tietojen viejän valinnan mukaan joko välittömästi palautettava tietojen viejälle tai tuhottava kokonaan. Sama koskee tietojen jäljennöksiä.] [Moduulissa 4: Henkilötiedot, jotka tietojen viejä on kerännyt EU:ssa ennen kuin sopimus c kohdan nojalla irtisanotaan, ja niiden kopiot on välittömästi poistettava kokonaan.] Tietojen tuojan on todistettava tietojen poistaminen tietojen viejälle. Tietojen tuojan on varmistettava, että näitä lausekkeita noudatetaan, kunnes tiedot poistetaan tai palautetaan. Jos tietojen tuojaan sovelletaan paikallista lainsäädäntöä, jossa kielletään siirrettyjen henkilötietojen palauttaminen tai poistaminen, tietojen tuoja vakuuttaa varmistavansa edelleen näiden lausekkeiden noudattamisen ja käsittelevänsä tietoja vain siinä määrin ja niin kauan, kuin kyseisessä paikallisessa lainsäädännössä edellytetään. |
e) |
Kumpikin osapuoli voi peruuttaa hyväksyntänsä sille, että nämä lausekkeet sitovat sitä, jos i) Euroopan komissio tekee asetuksen (EU) 2016/679 45 artiklan 3 kohdan nojalla päätöksen, joka koskee sellaisten henkilötietojen siirtoa, joihin näitä lausekkeita sovelletaan; tai ii) asetuksesta (EU) 2016/679 tulee osa sen maan oikeudellista kehystä, johon henkilötiedot siirretään. Tämä ei rajoita muita kyseiseen henkilötietojen käsittelyyn asetuksen (EU) 2016/679 nojalla sovellettavia velvoitteita. |
17 lauseke
Sovellettava lainsäädäntö
MODUULI 1: Siirto rekisterinpitäjältä rekisterinpitäjälle
MODUULI 2: Siirto rekisterinpitäjältä käsittelijälle
MODUULI 3: Siirto käsittelijältä käsittelijälle
[VAIHTOEHTO 1: Näihin lausekkeisiin sovelletaan jonkin EU:n jäsenvaltion lainsäädäntöä edellyttäen, että kyseisessä lainsäädännössä sallitaan edunsaajana olevan kolmannen osapuolen oikeudet. Osapuolet sopivat, että tämä on ___:n (ilmoitetaan jäsenvaltio) lainsäädäntö.]
[VAIHTOEHTO 2 (moduuleissa 2 ja 3): Näihin lausekkeisiin sovelletaan sen EU:n jäsenvaltion lainsäädäntöä, johon tietojen viejä on sijoittautunut. Jos kyseisessä lainsäädännössä ei sallita edunsaajana olevan kolmannen osapuolen oikeuksia, lausekkeisiin sovelletaan jonkin toisen EU:n jäsenvaltion lainsäädäntöä, jossa sallitaan edunsaajana olevan kolmannen osapuolen oikeudet. Osapuolet sopivat, että tämä on ___:n (ilmoitetaan jäsenvaltio) lainsäädäntö.]
MODUULI 4: Siirto käsittelijältä rekisterinpitäjälle
Näihin lausekkeisiin sovelletaan sellaisen maan lainsäädäntöä, joka sallii edunsaajana olevan kolmannen osapuolen oikeudet. Osapuolet sopivat, että tämä on ___:n (ilmoitetaan maa) lainsäädäntö.
18 lauseke
Oikeuspaikan ja tuomioistuimen valinta
MODUULI 1: Siirto rekisterinpitäjältä rekisterinpitäjälle
MODUULI 2: Siirto rekisterinpitäjältä käsittelijälle
MODUULI 3: Siirto käsittelijältä käsittelijälle
a) |
Näistä lausekkeista johtuvat riidat ratkaistaan EU:n jäsenvaltion tuomioistuimissa. |
b) |
Osapuolet sopivat, että käytetään ___:n (ilmoitetaan jäsenvaltio) tuomioistuimia.] |
c) |
Myös rekisteröity voi nostaa kanteen tietojen viejää ja/tai tietojen tuojaa vastaan sen jäsenvaltion tuomioistuimissa, jossa hänen asuinpaikkansa on. |
d) |
Osapuolet sopivat olevansa tällaisten tuomioistuinten toimivallan alaisia. |
MODUULI 4: Siirto käsittelijältä rekisterinpitäjälle
|
Näistä lausekkeista johtuvat riidat ratkaistaan _____:n (ilmoitetaan maa) tuomioistuimissa. |
(1) Jos tietojen viejä on unionin toimielimen tai elimen puolesta rekisterinpitäjänä toimiva henkilötietojen käsittelijä, johon sovelletaan asetusta (EU) 2016/679, näihin lausekkeisiin turvautumalla varmistetaan myös luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta 23 päivänä lokakuuta 2018 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1725 (EUVL L 295, 21.11.2018, s. 39) 29 artiklan 4 kohdan noudattaminen silloin, kun käytetään toista henkilötietojen käsittelijää (alihankintana suoritettava tietojen käsittely), johon ei sovelleta asetusta (EU) 2016/679, sikäli kuin nämä lausekkeet ja asetuksen (EU) 2018/1725 29 artiklan 3 kohdassa tarkoitetussa rekisterinpitäjän ja henkilötietojen käsittelijän välisessä sopimuksessa tai muussa oikeudellisessa asiakirjassa asetetut tietosuojavelvoitteet ovat toisiaan vastaavia. Näin on erityisesti tilanteessa, jossa rekisterinpitäjä ja henkilötietojen käsittelijä käyttävät päätökseen 2021/915 sisältyviä vakiosopimuslausekkeita.
(2) Tämä edellyttää asetuksen (EU) 2016/679 johdanto-osan 26 kappaleessa tarkoitettua tietojen anonymisointia siten, että kukaan ei enää voi tunnistaa kyseistä henkilöä. Prosessin on oltava peruuttamaton.
(3) Euroopan talousalueesta tehdyn sopimuksen (ETA-sopimus) mukaan Euroopan unionin sisämarkkinat ulottuvat kolmeen ETA-valtioon (Islanti, Liechtenstein ja Norja). Tietosuojaa koskeva unionin lainsäädäntö, mukaan lukien asetus (EU) 2016/679, kuuluu ETA-sopimuksen soveltamisalaan ja on sisällytetty sen liitteeseen XI. Näin ollen, jos tietojen tuoja luovuttaa tietoja Euroopan talousalueella olevalle kolmannelle osapuolelle, sitä ei voida pitää näissä lausekkeissa tarkoitettuna edelleen siirtämisenä.
(4) Euroopan talousalueesta tehdyn sopimuksen (ETA-sopimus) mukaan Euroopan unionin sisämarkkinat ulottuvat kolmeen ETA-valtioon (Islanti, Liechtenstein ja Norja). Tietosuojaa koskeva unionin lainsäädäntö, mukaan lukien asetus (EU) 2016/679, kuuluu ETA-sopimuksen soveltamisalaan ja on sisällytetty sen liitteeseen XI. Näin ollen, jos tietojen tuoja luovuttaa tietoja Euroopan talousalueella olevalle kolmannelle osapuolelle, sitä ei voida pitää näissä lausekkeissa tarkoitettuna edelleen siirtämisenä.
(5) Ks. asetuksen (EU) 2016/679 28 artiklan 4 kohta ja, jos rekisterinpitäjä on EU:n toimielin tai elin, asetuksen (EU) 2018/1725 29 artiklan 4 kohta.
(6) Euroopan talousalueesta tehdyn sopimuksen (ETA-sopimus) mukaan Euroopan unionin sisämarkkinat ulottuvat kolmeen ETA-valtioon (Islanti, Liechtenstein ja Norja). Tietosuojaa koskeva unionin lainsäädäntö, mukaan lukien asetus (EU) 2016/679, kuuluu ETA-sopimuksen soveltamisalaan ja on sisällytetty sen liitteeseen XI. Näin ollen, jos tietojen tuoja luovuttaa tietoja Euroopan talousalueella olevalle kolmannelle osapuolelle, sitä ei voida pitää näissä lausekkeissa tarkoitettuna edelleen siirtämisenä.
(7) Kyse on siitä, koskevatko siirto ja jatkokäsittely henkilötietoja, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys, geneettistä tietoa, biometristä tietoa henkilön yksiselitteistä tunnistamista varten, terveyttä koskevia tietoja, luonnollisen henkilön seksuaalista käyttäytymistä tai suuntautumista koskevia tietoja taikka rikostuomioihin ja rikoksiin liittyviä tietoja.
(8) Tämän vaatimuksen voi täyttää siten, että alihankkijana toimiva henkilötietojen käsittelijä liittyy 7 lausekkeen nojalla näihin lausekkeisiin asianmukaisen moduulin mukaisesti.
(9) Tämän vaatimuksen voi täyttää siten, että alihankkijana toimiva henkilötietojen käsittelijä liittyy 7 lausekkeen nojalla näihin lausekkeisiin asianmukaisen moduulin mukaisesti.
(10) Määräaikaa voidaan jatkaa enintään kahdella kuukaudella, sikäli kuin se on välttämätöntä ottaen huomioon pyyntöjen monimutkaisuus ja määrä. Tietojen tuojan on asianmukaisesti ja nopeasti ilmoitettava rekisteröidylle määräajan jatkamisesta.
(11) Tietojen tuoja voi tarjota riippumatonta riitojenratkaisua sovitteluelimen kautta ainoastaan, jos se on sijoittautunut maahan, joka on ratifioinut välitystuomioiden täytäntöönpanosta tehdyn New Yorkin yleissopimuksen.
(12) Tällaisten lakien ja käytäntöjen vaikutuksista näiden lausekkeiden noudattamiseen voidaan todeta, että kokonaisarvioinnissa voidaan ottaa huomioon erilaisia osatekijöitä. Tällaisia voivat olla relevantti ja dokumentoitu käytännön kokemus riittävän edustavalta ajalta aiemmista tapauksista, joissa viranomaiset ovat pyytäneet luovuttamaan tietoja, tai siitä, että tällaisia pyyntöjä ei ole ollut. Tässä on kyse erityisesti asianmukaista huolellisuutta koskevien menettelyjen mukaisesti jatkuvalla periaatteella laadittavista, ylemmän johdon tasolla varmennetuista sisäisistä rekistereistä tai muusta dokumentaatiosta, edellyttäen, että niiden tiedot voidaan laillisesti jakaa kolmansien osapuolten kanssa. Jos päätelmä tämän käytännön kokemuksen perusteella on, että tietojen tuojaa ei estetä noudattamasta näitä lausekkeita, päätelmän tukena olisi oltava myös muita asiaankuuluvia objektiivisia tekijöitä. Osapuolten on harkittava huolellisesti, ovatko nämä tekijät yhdessä luotettavuudeltaan ja edustavuudeltaan riittävän painavia tukemaan tätä päätelmää. Osapuolten on erityisesti otettava huomioon, saako niiden käytännön kokemus vahvistusta julkisesti tai muuten saatavilla olevasta luotettavasta tiedosta, joka koskee pyyntöjen esittämistä tai niiden puuttumista samalla alalla, ja/tai lainsäädännön käytännön soveltamisesta, kuten oikeuskäytännöstä ja riippumattomien valvontaelinten raporteista.
LISÄYS
SELITTÄVÄ HUOMAUTUS:
On oltava mahdollista erottaa selkeästi kuhunkin siirtoon tai siirtoluokkaan sovellettavat tiedot ja määrittää tältä osin osapuolten rooli(t) tietojen viejinä ja/tai tietojen tuojina. Tämä ei välttämättä edellytä erillisten lisäysten täyttämistä ja allekirjoittamista kunkin siirron/siirtoluokan ja/tai sopimussuhteen osalta, jos tällainen läpinäkyvyys toteutuu yhdellä lisäyksellä. Jos riittävän selkeyden varmistaminen sitä edellyttää, olisi kuitenkin käytettävä erillisiä lisäyksiä.
LIITE I
A. OSAPUOLTEN LUETTELO
MODUULI 1: Siirto rekisterinpitäjältä rekisterinpitäjälle
MODUULI 2: Siirto rekisterinpitäjältä käsittelijälle
MODUULI 3: Siirto käsittelijältä käsittelijälle
MODUULI 4: Siirto käsittelijältä rekisterinpitäjälle
Tietojen viejä(t): [Tietojen viejän (viejien) ja sen/niiden mahdollisen tietosuojavastaavan ja/tai Euroopan unionissa olevan edustajan henkilöllisyys ja yhteystiedot]
1. |
Nimi: …
Osoite: … Yhteyshenkilön nimi, asema ja yhteystiedot: … Näitä lausekkeita noudattaen siirrettäviin tietoihin liittyvät toimet: … Allekirjoitus ja päiväys: … Rooli (rekisterinpitäjä / henkilötietojen käsittelijä): … |
2. |
… |
Tietojen tuoja(t): [Tietojen tuojan (tuojien) henkilöllisyys ja yhteystiedot, mukaan lukien mahdolliset tietosuojasta vastaavat yhteyshenkilöt]
1. |
Nimi: …
Osoite: … Yhteyshenkilön nimi, asema ja yhteystiedot: … Näitä lausekkeita noudattaen siirrettäviin tietoihin liittyvät toimet: … Allekirjoitus ja päiväys: … Rooli (rekisterinpitäjä / henkilötietojen käsittelijä): … |
2. |
… |
B. SIIRRON KUVAUS
MODUULI 1: Siirto rekisterinpitäjältä rekisterinpitäjälle
MODUULI 2: Siirto rekisterinpitäjältä käsittelijälle
MODUULI 3: Siirto käsittelijältä käsittelijälle
MODUULI 4: Siirto käsittelijältä rekisterinpitäjälle
Rekisteröityjen ryhmät, joiden henkilötietoja siirretään
…
Siirrettävät henkilötietoryhmät
…
Siirrettävät arkaluonteiset tiedot (jos sellaisia siirretään) ja tietojen luonteen ja siirtämiseen liittyvät riskit täysimääräisesti huomioon ottavat rajoitukset tai suojatoimet, kuten tiukat käyttötarkoituksen rajoitukset, pääsyrajoitukset (esim. vain erityiskoulutuksen saaneen henkilöstön pääsy tietoihin), pääsyrekisterin pitäminen, edelleen siirtämisen rajoitukset tai ylimääräiset turvallisuustoimet.
…
Siirron toistuvuus (esim. siirretäänkö tietoja kertaluonteisesti vai jatkuvasti).
…
Henkilötietojen käsittelyn luonne
…
Tietojen siirron ja jatkokäsittelyn tarkoitus (tarkoitukset)
…
Henkilötietojen säilytysaika tai, jos sitä ei ole mahdollista ilmoittaa, säilytysajan määrittämiskriteerit
…
Kun on kyse siirroista alihankkijana toimiville henkilötietojen käsittelijöille, ilmoitetaan myös käsittelyn aihe, luonne ja kesto.
…
C. TOIMIVALTAINEN VALVONTAVIRANOMAINEN
MODUULI 1: Siirto rekisterinpitäjältä rekisterinpitäjälle
MODUULI 2: Siirto rekisterinpitäjältä käsittelijälle
MODUULI 3: Siirto käsittelijältä käsittelijälle
Ilmoitetaan lausekkeessa 13 tarkoitettu toimivaltainen valvontaviranomainen / toimivaltaiset valvontaviranomaiset
…
LIITE II
TEKNISET JA ORGANISATORISET TOIMENPITEET, MUKAAN LUKIEN TEKNISET JA ORGANISATORISET TOIMENPITEET TIETOTURVAN VARMISTAMISEKSI
MODUULI 1: Siirto rekisterinpitäjältä rekisterinpitäjälle
MODUULI 2: Siirto rekisterinpitäjältä käsittelijälle
MODUULI 3: Siirto käsittelijältä käsittelijälle
SELITTÄVÄ HUOMAUTUS:
Tekniset ja organisatoriset toimenpiteet on kuvattava yksityiskohtaisesti (ei yleisellä tasolla). Ks. myös lisäyksen ensimmäisellä sivulla oleva yleinen huomautus, jossa mainitaan erityisesti, että on tarpeen ilmoittaa selvästi, mitä toimenpiteitä kuhunkin siirtoon/siirtokokonaisuuteen sovelletaan.
Kuvaus tietojen tuojan (tuojien) toteuttamista teknisistä ja organisatorisista toimenpiteistä (mukaan lukien mahdolliset sertifioinnit), joilla varmistetaan asianmukainen turvallisuustaso ottaen huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitus sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat riskit.
[Esimerkkejä mahdollisista toimenpiteistä:
Toimenpiteet henkilötietojen pseudonymisoimiseksi ja salaamiseksi
Toimenpiteet, joilla varmistetaan käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus
Toimenpiteet, joilla varmistetaan kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa
Prosessit, joilla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi
Toimenpiteet käyttäjän tunnistamiseksi ja käyttövaltuutuksen antamiseksi
Toimenpiteet tietojen suojaamiseksi siirron aikana
Toimenpiteet tietojen suojaamiseksi säilytyksen aikana
Toimenpiteet henkilötietojen käsittelypaikkojen fyysisen turvallisuuden varmistamiseksi
Toimenpiteet tapahtumien kirjaamisen varmistamiseksi
Toimenpiteet, joilla varmistetaan järjestelmän konfiguraatio, oletuskonfiguraatio mukaan lukien
Toimenpiteet, jotka koskevat sisäistä tietotekniikka- ja tietoturvahallintoa ja johtamista
Toimenpiteet prosessien ja tuotteiden sertifioimiseksi/varmentamiseksi
Toimenpiteet tietojen minimoimiseksi
Toimenpiteet tietojen laadun varmistamiseksi
Toimenpiteet tietojen säilyttämisen rajoittamiseksi
Toimenpiteet vastuuvelvollisuuden varmistamiseksi
Toimenpiteet tietojen siirrettävyyden mahdollistamiseksi ja poistamisen varmistamiseksi]
Jos kyseessä on siirto alihankkijana toimiville henkilötietojen käsittelijöille, kuvaillaan myös tekniset ja organisatoriset toimenpiteet, jotka tämän on toteutettava voidakseen avustaa rekisterinpitäjää ja – jos kyseessä on siirto henkilötietojen käsittelijältä alihankkijana toimivalle henkilötietojen käsittelijälle – voidakseen avustaa rekisterinpitäjää
LIITE III
LUETTELO ALIHANKKIJANA TOIMIVISTA HENKILÖTIETOJEN KÄSITTELIJÖISTÄ
MODUULI 2: Siirto rekisterinpitäjältä käsittelijälle
MODUULI 3: Siirto käsittelijältä käsittelijälle
SELITTÄVÄ HUOMAUTUS:
Tämä liite on täytettävä moduulien 2 ja 3 osalta, kun on kyse alihankkijana toimivien henkilötietojen käsittelijöiden erityisestä ennakkoluvasta (lauseke 9 a, vaihtoehto 1).
Rekisterinpitäjä on antanut luvan käyttää seuraavia alihankkijana toimivia henkilötietojen käsittelijöitä:
1. |
Nimi: …
Osoite: … Yhteyshenkilön nimi, asema ja yhteystiedot: … Kuvaus henkilötietojen käsittelystä (mukaan lukien selkeä vastuunjako, jos alihankkijana toimivia henkilötietojen käsittelijöitä on useampi): … |
2. |
… |