Tietosuoja-arvioinnit

KANSAINVÄLISTEN TIEDONSIIRTOJEN VAIKUTUSTENARVIOINTI

Velvollisuuksien hallitseminen

Tiedonsiirtoja koskeva vaikutustenarviointi palveluna tukee organisaatiosi tietojen kansainvälisiin siirtoihin liittyvien velvollisuuksien hoitamisessa. Palvelu kattaa laajan valikoiman toimenpiteitä, jotka auttavat vastaamaan asianmukaisesti Schrems II -päätöksestä johtuviin uusiin velvollisuuksiin. Tietosuoja-asiantuntijamme auttavat sinua arvioimaan tietojen siirtojen luonnetta sekä varmistamaan, että tulevat tietojen siirrot ovat lainmukaisia.

Schrems II -päätös kumosi aikaisemman Privacy Shield -järjestelyn, jonka perusteella henkilötietoja voitiin siirtää EU:sta Yhdysvaltoihin. Päätöksen myötä Euroopan komissio julkaisi uudet vakiolausekkeet (Standard Contractual Clauses, SCC) ja yhtiöille aiheutui suurempi paine määrittää suhteensa EU/ETA:n ulkopuolella sijaitsevien tietojen käsittelijöiden kanssa. Kaikkien uusien tietojenkäsittelysopimusten tulee sisältää uudet vakiolausekkeet 27.9.2021 lähtien ja vanhoihin vakiolausekkeisiin nojaavat sopimukset tulee päivittää 27.12.2022 mennessä.

Uusien vakiolausekkeiden päivittäminen sopimusliitteeksi ei kuitenkaan vielä riitä. Tietojen siirron kohdemaan lainsäädäntö saattaa vaikuttaa vakiolausekkeiden soveltuvuuteen, joten organisaatiosi tulee arvioida jokainen tietojen siirto määrittääkseen, voiko tietojen vastaanottaja todella toteuttaa samantasoista henkilötietojen suojaa kuin EU:ssa. Euroopan tietosuojaneuvosto edellyttää tietojen siirron vaikutusten arviointia (Data Transfer Impact Assessments, TIA), jossa arvioidaan mm. kohdemaan lainsäädännön kohtia, joiden perusteella viranomaiset voivat saada pääsyn henkilötietoihin. Henkilötietojen siirron vaikutustenarviointi on yksi due diligence -toimenpiteistä, joilla organisaatioiden tulee varmistaa tietojen siirron lainmukaisuus. Tietojen siirron vaikutustenarvioinnin avulla organisaatiosi voi arvioida siirron jälkeen henkilötietoihin kohdistuvien riskien tasoa.