Konserniyhtiöiden väliset henkilötietojen siirrot kolmansiin maihin
Mattila, Jenny (2021)
Mattila, Jenny
2021
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi-fe2022013111611
https://urn.fi/URN:NBN:fi-fe2022013111611
Tiivistelmä
Tutkielmassa tarkastellaan konserniyhtiöiden välisiä henkilötietojen siirtoja kolmansiin maihin yleisen tietosuoja-asetuksen säännösten näkökulmasta. Tutkielman tavoitteena on selvittää, milloin tiedonsiirrot konserniyhtiöiden välillä unionin alueelta kolmanteen maahan täyttävät tietosuoja-asetuksen vaatimukset. Lisäksi tutkielmassa selvitetään tietosuoja-asetuksen alueellisen soveltamisalan suhdetta kansainvälisiä tiedonsiirtoja koskevan tietosuoja-asetuksen V luvun säännöksiin. Tutkielmassa keskitytään tarkastelemaan erityisesti Euroopan unionin tuomioistuimen oikeuskäytäntöä sekä tuoretta viranomaisohjeistusta. Tutkimuskysymyksiä tarkastellaan lainopillisen eli oikeusdogmaattisen menetelmän keinoin.
Tietosuoja-asetuksen alueellinen soveltamisala on määritelty hyvin laajaksi. Kynnys tietosuoja-asetuksen 3 artiklan soveltumiselle henkilötietojen käsittelytoimeen on asetettu Euroopan unionin tuomioistuimen oikeuskäytännössä hyvin matalalle. On siis mahdollista, että unionin ulkopuolella olevan henkilötietojen käsittelijän tai rekisterinpitäjän toiminta kuuluu tietosuoja-asetuksen soveltamisalan piiriin. Tietosuoja-asetuksen soveltuminen 3 artiklan nojalla ei kuitenkaan poissulje tietosuoja-asetuksen V luvun tiedonsiirtoja koskevien säännösten soveltumista, vaan säännökset voivat tulla sovellettavaksi samanaikaisesti.
Kolmansilla mailla tarkoitetaan Euroopan unionin ja Euroopan talousalueen ulkopuolisia maita. Rekisterinpitäjä tai henkilötietojen käsittelijä saa siirtää henkilötietoja unionin alueen ulkopuolelle vain, jos rekisteröidylle voidaan taata keskeisiltä osin samansisältöinen tietosuojan taso kuin unionissa. Euroopan unionin tuore oikeuskäytäntö ja sitä seurannut viranomaisohjeistus on nostanut kynnystä tiedonsiirtojen lainmukaisuuden osalta. Tietojen viejän on yksityiskohtaisemmin arvioitava käytettävän siirtomekanismin tehokkuutta ja implementoitava lisäsuojatoimenpiteitä niissä tilanteissa, jossa siirtomekanismi itsessään takaa tehokasta henkilötietojen suojaa. Arviointi on tehtävä tapauskohtaisesti ja siinä on otettava huomioon kolmannen maan lainsäädäntö sekä oikeuskäytäntö.
Tietosuoja-asetuksen 45 artiklan mukainen komission päätös tietosuojan tason riittävyydestä toimii jatkossa tehokkaimpana siirtomekanismina myös konserniyhtiöiden välisissä henkilötietojen siirroissa. Jos komission päätöstä ei ole, konserniyhtiöiden on käytävä läpi tiedonsiirtoja koskeva arviointimenettely ja pohdittava lisäsuojatoimenpiteiden tarvetta.
Tietosuoja-asetuksen alueellinen soveltamisala on määritelty hyvin laajaksi. Kynnys tietosuoja-asetuksen 3 artiklan soveltumiselle henkilötietojen käsittelytoimeen on asetettu Euroopan unionin tuomioistuimen oikeuskäytännössä hyvin matalalle. On siis mahdollista, että unionin ulkopuolella olevan henkilötietojen käsittelijän tai rekisterinpitäjän toiminta kuuluu tietosuoja-asetuksen soveltamisalan piiriin. Tietosuoja-asetuksen soveltuminen 3 artiklan nojalla ei kuitenkaan poissulje tietosuoja-asetuksen V luvun tiedonsiirtoja koskevien säännösten soveltumista, vaan säännökset voivat tulla sovellettavaksi samanaikaisesti.
Kolmansilla mailla tarkoitetaan Euroopan unionin ja Euroopan talousalueen ulkopuolisia maita. Rekisterinpitäjä tai henkilötietojen käsittelijä saa siirtää henkilötietoja unionin alueen ulkopuolelle vain, jos rekisteröidylle voidaan taata keskeisiltä osin samansisältöinen tietosuojan taso kuin unionissa. Euroopan unionin tuore oikeuskäytäntö ja sitä seurannut viranomaisohjeistus on nostanut kynnystä tiedonsiirtojen lainmukaisuuden osalta. Tietojen viejän on yksityiskohtaisemmin arvioitava käytettävän siirtomekanismin tehokkuutta ja implementoitava lisäsuojatoimenpiteitä niissä tilanteissa, jossa siirtomekanismi itsessään takaa tehokasta henkilötietojen suojaa. Arviointi on tehtävä tapauskohtaisesti ja siinä on otettava huomioon kolmannen maan lainsäädäntö sekä oikeuskäytäntö.
Tietosuoja-asetuksen 45 artiklan mukainen komission päätös tietosuojan tason riittävyydestä toimii jatkossa tehokkaimpana siirtomekanismina myös konserniyhtiöiden välisissä henkilötietojen siirroissa. Jos komission päätöstä ei ole, konserniyhtiöiden on käytävä läpi tiedonsiirtoja koskeva arviointimenettely ja pohdittava lisäsuojatoimenpiteiden tarvetta.