Open search

    Brexit ja henkilötietojen siirto Iso-Britanniaan

    Huom! Kirjoitus käsittelee tilannetta helmikuussa 2019. EU:n ja Ison-Britannian erosopimuksen ja siirtymäajan vaikutuksia on käsitelty uudemmassa kirjoituksessa.

     

    Iso-Britannian ero Euroopan unionista on määrä astua voimaan 30. maaliskuuta 2019. Erolla on vaikutuksia myös henkilötietojen käsittelyyn, etenkin mikäli EU ja Iso-Britannia eivät pääse sopimukseen eron ehdoista. Jos Brexit toteutuu ilman sopimusta, tulee Iso-Britanniasta maaliskuun lopussa tietosuoja-asetuksen ja henkilötietojen siirtojen kannalta EU:n ja Euroopan talousalueen ulkopuolinen, ns. kolmas maa. Henkilötietoja voidaan siirtää EU:n ja Euroopan talousalueen ulkopuolelle vain asetuksessa säädettyjä edellytyksiä noudattaen.

    Sopimuksettoman Brexitin mahdollisuuden häämöttäessä tulevaisuudessa on jokaisen henkilötietoja Iso-Britanniaan siirtävän rekisterinpitäjän ja käsittelijän syytä viimeistään nyt selvittää, edellyttääkö Brexit toimenpiteitä. Vaihtoehtoina ovat käytännössä käsittelyn jatkaminen Iso-Britanniassa tietosuoja-asetuksen edellytyksiä noudattaen tai käsittelyn siirto pois Iso-Britanniasta EU:n alueelle tai sellaiseen valtioon, jonka osalta EU:n komissio on tehnyt päätöksen riittävästä tietosuojan tasosta.

    Tietosuoja-asetuksen edellytykset tietojen siirrolle Iso-Britanniaan

    Ensisijainen peruste henkilötietojen siirrolle EU:n ulkopuolelle on EU:n komission tekemä päätös riittävästä tietosuojan tasosta. Tällaista Iso-Britannian osalta ei kuitenkaan ole ainakaan välittömästi tulossa. Näin ollen siirrettäessä henkilötietoja Iso-Britanniaan Brexitin jälkeen kysymykseen tulevat asetuksen 46 artiklan mukaiset suojatoimet. Tällaisia ovat esimerkiksi Euroopan komission hyväksymät mallisopimuslausekkeet tai yritystä koskevat sitovat säännöt (binding corporate rules).

    Useimmissa tapauksissa käyttökelpoisin suojakeino on komission hyväksymien mallisopimuslausekkeiden käyttö. Yritystä koskevat sitovat säännöt tulee hyväksyttää valvontaviranomaisilla, ja ottaen huomioon sääntöjen laatimiseen ja hyväksyttämiseen kuluvan ajan, voivat ne tässä tilanteessa olla käytännössä avuksi vain niiden yritysten osalta, jotka ovat hyväksyttäneet säännöt jo aiemmin. Toisin sanoen, uusia sääntöjä ei ennen Brexitiä ehditä hyväksyttämään.

    Rajatuissa tilanteissa siirto voi perustua myös erityistilanteita koskevaan tietosuoja-asetuksen 49 artiklaan, mutta sen soveltamisala on rajallinen, eikä laajamittainen ja säännöllinen tietojen siirto sen perusteella ole mahdollista.

    Henkilötietojen siirto pois Iso-Britanniasta

    Tilanteesta riippuen mahdollista voi olla myös ratkaista tilanne siirtämällä tietojen käsittely pois Iso-Britanniasta EU:n alueelle. Tämä ei välttämättä tarkoita käsittelijän vaihtamista, sillä osa palveluntarjoajista on jo etukäteen varautunut Brexitiin siirtämällä konesalejaan ja toimintaansa pois Iso-Britanniasta.

    Osa palveluntarjoajista tarjoaa asiakkailleen myös mahdollisuutta valita, mistä palvelua tarjotaan. Esimerkiksi Amazon, Google ja Microsoft tarjoavat monien pilvipalveluidensa osalta mahdollisuuden rajata käsittely tietylle alueelle tai tiettyyn sijaintiin. Toisin sanoen, jos käytössä on aiemmin ollut esimerkiksi Amazon Web Servicesin (AWS) Lontoossa sijaitseva eu-west-2 -alue, voi palvelut siirtää EU:n alueelle jääviin AWS:n alueisiin (tällä hetkellä Irlannissa sijaitseva eu-west-1, Ranskassa sijaitseva eu-west-3 ja Ruotsissa sijaitseva eu-north-1).

    Lisätietoja

    Euroopan tietosuojaneuvosto (EDPB) on julkaissut tiedotteen Brexitin varalta. Myös esimerkiksi Iso-Britannian tietosuojaviranomainen ICO on kerännyt aiheesta tietopaketin nettisivuilleen.

    Kirjoittaja

    Janne Valo