Euroopan komissio hyväksyi uuudet mallisopimuslausekkeet


Euroopan komissio hyväksyi 4.6.2021 uudet mallisopimuslausekkeet, joita tulee jatkossa käyttää Euroopan unionin alueella rajat ylittävässä henkilötietojen käsittelyssä. Uudet mallisopimuslausekkeet ovat yhdenmukaisia ​​Schrems II -ratkaisun mukaisten tiedonsiirtovaatimusten kanssa. Voit lukea ratkaisusta tarkemmin aiemmista kirjoituksistamme täältä ja täältä. Uusia mallisopimuslausekkeita on mahdollista käyttää 27.6.2021 lukien.


Miten uudet mallisopimuslausekkeet eroavat aiemmista mallisopimuslausekkeista?


Uusissa mallisopimuslausekkeissa on otettu aiempaa huomattavasti kattavampi lähestymistapa tietojen siirtämisen hallintaan. Uudet mallisopimuslausekkeet sisältävät erilliset määräykset tiedonsiirtoihin, jotka tapahtuvat rekisterinpitäjältä toiselle rekisterinpitäjälle, rekisterinpitäjältä henkilötietojen käsittelijälle, henkilötietojen käsittelijältä rekisterinpitäjälle sekä henkilötietojen käsittelijältä toiselle henkilötietojen käsittelijälle, mitä on erityisesti toivottu ICT-palveluiden tarjomiseen liittyen, koska niiden yhteydessä henkilötietojen käsittelijä käytännössä usein suorittaa tarvittavat tiedonsiirrot. Aiemmin rekisterinpitäjän on ollut tarpeen sopia mallisopimuslausekkeista suoraan tietojen siirtäjän kanssa, tai valtuuttaa henkilötietojen käsittelijä tekemään sen rekisterinpitäjän puolesta.


Uudet mallisopimuslausekkeet edellyttävät, Schrems II -tuomion mukaisesti, että henkilötietoja kolmansiin maihin siirtävien organisaatioiden on tehtävä tarkat arvioinnit tietosuojan tasosta asianomaisissa kolmansissa maissa. Uudet mallisopimuslausekkeet velvoittavat sopimusosapuolia osoittamaan, ettei niillä ole ollut syytä uskoa perusteellisen tietojen siirtämisen kokonaisarvioinnin perusteella, että kolmannen maan lait ja/tai käytännöt heikentäisivät mallisopimuslausekkeiden turvaamaa henkilötietojen käsittelyä kolmannessa maassa. Tehty arviointi tulee dokumentoida ja kyseinen dokumentaatio on toimitettava toimivaltaisen tietosuojaviranomaisen saataville sen pyynnöstä.


Uudet mallisopimuslausekkeet selventävät sen, että yritysten tulee voida luottaa riskiperusteiseen lähestymistapaan arvioidessaan siirrettyjen tietojen suojaamisen tasoa, ottaen huomioon aiempi käytännön kokemus viranomaisten esittämistä tietojen luovutuspyynnöistä. Asiaankuuluvaa käytännön kokemusta tulee tukea riittävän säännöllisesti laadituilla sisäisillä asiakirjoilla, jotka yrityksen ylemmän johdon tulee sertifioida.


Kun uusia mallisopimuslausekkeita aletaan käyttää rekisterinpitäjän ja henkilötietojen käsittelijän tai käsitellijän ja sen alikäsittelijän välillä, on lisäksi hyvä huomioida se, että ne voivat toimia myös tietojenkäsittelysopimuksena, mikä tarkoittaa sitä, ettei erillistä tietojenkäsittelysopimusta välttämättä siinä tapauksessa tarvita, koska tarpeelliset seikat on huomioitu jo mallisopimuslausekkeilla.


Käytännössä kaikkien sellaisten EU:n sisällä toimivien organisaatioiden, jotka harjoittavat rajat ylittävää liiketoimintaa tai käyttävät kansainvälisiä ICT-palveluja, tulee alkaa valmistautua uusien mallisopimuslausekkeiden käyttöönottoon. Yritysten tulee arvioida henkilötietojen tietoturvan taso kolmannessa maassa jo ennen uusien mallisopimuslausekkeiden ottamista käyttöön.


Koska uudet mallisopimuslausekkeet tulee ottaa käyttöön?


Euroopan komission päätökseen sisältyy siirtymäkausi, jonka mukaan vanhoja mallisopimuslausekkeita voidaan hyödyntää uusissa sopimuksissa 26.9.2021 saakka ja 27.9.2021 alkaen tulee käyttää uusia mallisopimuslausekkeita. Jo tehdyissä sopimuksissa voidaan vuorostaan hyödyntää vanhoja mallisopimuslausekkeita 27.12.2022 asti, minkä jälkeen yritysten on viimeistään korvattavat vanhat mallisopimuslausekkeet uusilla mallisopimuslausekkeilla.


Euroopan komission päätöksessä todetaan kuitenkin, että henkilötietojen käsittelytoimien on pysyttävä muuttumattomina ja niihin on sovellettava asianmukaisia ​​suojatoimenpiteitä edellä todetuista siirtymäajoista huolimatta. Siirtymäaika ei täten vapauta yrityksiä suorittamasta Schrems II -ratkaisuun perustuvia velvoitteita asianmukaisten suojatoimien arvioimisesta ja varmistamisesta nykyisissäkin sopimussuhteissa.


Annamme mielellämme lisätietoja uusista mallisopimuslausekkeista ja avustamme niiden ottamisessa käyttöön. Asiaan liittyen voit olla yhteydessä Annaan (anna.paimela@iconics.fi tai + 358 40 164 8626) tai Toniin (toni.haapasalo@iconics.fi tai +358 44 033 0331).


Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Iconicsin uutiskirje täältä.