Tietosuoja-asetuksen mukaan henkilötietojen siirto EU:n ja ETA:n ulkopuolelle on sallittu kolmella eri perusteella. Toisin sanoen, vuoden 2021 alusta alkaen henkilötietoja voi siirtää Isoon-Britanniaan vain jollakin seuraavista perusteista:
- EU:n komissio on tehnyt päätöksen riittävästä tietosuojan tasosta
- Siirtoon sovelletaan asetuksen 46 artiklan mukaisia asianmukaisia suojatoimia
- Siirto on oikeutettu 49 artiklan mukaisessa erityistilanteessa
Päätös riittävästä tietosuojan tasosta
EU:n komissio on ilmoittanut pyrkivänsä saamaan aikaan luonnoksen päätökseksi riittävästä tietosuojan tasosta siirtymäajan aikana. Tämä tarkoittaisi, että komissio toteaa Ison-Britannian lainsäädännön takaavan henkilötiedoille riittävän suojan, jolloin tietoja voitaisiin siirtää ilman erillisiä suojatoimia. Päätöksen hyväksyminen edellyttää kuitenkin myös esimerkiksi EU:n tietosuojaneuvoston käsittelyä ja kaikkien jäsenvaltioiden hyväksyntää. Periaatteessa prosessi voitaisiin viedä läpi siirtymäajan aikana, mutta käytännössä aikataulu voi osoittautua ongelmaksi. EU:n oma tietosuojavastaava on myös nostanut esiin Ison-Britannian tiedusteluviranomaisten toiminnan ja siihen liittyvät mahdolliset ongelmat tietosuojan riittävän tason kannalta sekä sen, että käsiteltävänä on muitakin hakemuksia ja ohituskaistan antaminen Isolle-Britannialle on kyseenalaista.
Asianmukaiset suojatoimet
Jos päätöstä riittävästä tietosuojan tasosta ei saada aikaan ennen vuodenvaihdetta, jäävät jäljelle asetuksen tarkoittamat asianmukaiset suojatoimet. Näistä merkittävimpiä ovat komission hyväksymät mallisopimuslausekkeet sekä yritystä koskevat sitovat säännöt (binding corporate rules, BCR). Säännöt edellyttävät viranomaisten hyväksyntää ja soveltuvat vain tiettyihin tilanteisiin, käytännössä tietojen siirtoon yrityksen tai konsernin sisällä.
Henkilötietoja Isoon-Britanniaan siirtävien lieneekin syytä varautua mallisopimuslausekkeiden käyttöön ja niihin liittyvien velvoitteiden täyttämiseen, mikäli päätöstä riittävästä tietosuojan tasosta ei saada siirtymäajan aikana. Tietosuoja-asetuksen 46 artikla tuntee myös muita suojatoimia, esimerkiksi erikseen asetuksen mukaan hyväksytyt käytännesäännöt. Tällaisia ei kuitenkaan vielä ole, ja myös nämä edellyttävät erillistä hyväksymisprosessia. Mallisopimuslausekkeet ovatkin ainoa suojamekanismi, jonka tietojen siirtäjä ja vastaanottaja voivat ottaa käyttöön ilman ulkopuolisia. Pelkkä mallisopimuslausekkeiden allekirjoittaminen ei tosin vielä yksinään tarjoa tiedoille kummoista suojaa, ja tietojen siirtäjän onkin syytä ottaa huomioon lausekkeista seuraavat velvollisuutensa.
Erityistilanteet
Tietojen siirto EU:n ja ETA:n ulkopuolelle on lisäksi sallittua erikseen säädetyissä erityistilanteissa, esimerkiksi kun rekisteröity on antanut nimenomaisen suostumuksensa tietojen siirtoon tai kun siirto on tarpeen rekisteröidyn
elintärkeiden etujen suojaamiseksi ja rekisteröity on estynyt antamasta suostumustaan. Käytännössä näissä on kuitenkin kyse tavalla tai toisella poikkeuksellisista tilanteista verrattuna muihin siirtoperusteisiin.
Mitä seuraavaksi?
Vaikka Iso-Britannia ja EU pääsivät sopuun Brexitin ehdoista, jäi tilanne henkilötietojen siirron osalta yhä osittain epäselväksi. Komission päätös riittävästä tietosuojan tasosta olisi tietoja siirtävien ja vastaanottavien toimijoiden kannalta selkein ja yksinkertaisin peruste tietojen siirrolle, mutta sen toteutumiseen siirtymäaikana liittyy vielä huomattavasti epävarmuutta. Selkeintä lieneekin varautua asetuksen mukaisten suojatoimien käyttöön, jos henkilötietoja on yhä tarpeen siirtää Isoon-Britanniaan. Useimmissa tilanteissa kyse käytännössä on komission hyväksymien mallisopimuslausekkeiden käytöstä. Mallisopimuslausekkeiden osalta on syytä pitää silmällä myös EU-tuomioistuimen myöhemmin keväällä 2020 tulossa olevaa ratkaisua ns. Schrems 2.0 -asiassa – tapauksessa on kyse muun muassa mallisopimuslausekkeiden pätevyydestä ja julkisasiamiehen ratkaisuehdotuksen perusteella myös tietojen siirtäjien velvollisuuksista mallisopimuslausekkeita käytettäessä.
