Henkilötietojen siirtäminen EU- tai ETA-alueen ulkopuolelle
EU- ja ETA-alueella henkilötietoja käsitellään samoin perustein kuin Suomessa. ETA-alueeseen kuuluvat EU-maiden lisäksi Norja, Liechtenstein ja Islanti.
Jos aineistoa siirretään tai käsitellään EU/ETA-alueen ulkopuolella, kyse on siirrosta niin sanottuun kolmanteen maahan. Tällöin siirrolle on oltava GDPR:n mukainen siirtoperuste.
Etäkäyttö ulkomailta voi olla henkilötietojen siirto
Aineiston käsittely etäyhteydellä EU-/ETA-alueen ulkopuolelta voidaan katsoa henkilötietojen siirroksi kolmanteen maahan, vaikka aineisto sijaitsee etäkäyttöympäristössä.
Jos henkilötietoja käsittelevä henkilö toimii EU/ETA-alueella toimivan rekisterinpitäjän lukuun esimerkiksi työntekijänä, kolmansissa maissa tapahtuvaa käsittelyä ei kuitenkaan yleensä pidetä henkilötietojen siirtona.
Siirtoperusteet
Siirto EU/ETA-alueen ulkopuolelle on sallittua, jos vähintään yksi seuraavista siirtoperusteista täyttyy. Ensisijainen peruste on turvallisen maan peruste.
▸ 45 art. Turvallinen maa
Euroopan komissio on arvioinut kohdemaan tietosuojan riittäväksi. Jos tämä peruste täyttyy, muita toimenpiteitä ei tarvita. Findata huomioi perusteen tietolupapäätöksessä.
▸ 46 art. Vakiolausekkeet (SCC)
Euroopan komission hyväksymät mallisopimuslausekkeet rekisterinpitäjän ja käsittelijän välillä. Hakijan on toimitettava allekirjoitetut vakiolausekkeet Findatalle ennen kuin aineistoa voidaan käsitellä EU/ETA-alueen ulkopuolella. Lausekkeisiin ei saa tehdä omia muutoksia.
▸ 47 art. Sitovat yrityssäännöt (BCR)
Konserniyhtiöiden väliset yhteiset sitovat säännöt henkilötietojen siirrosta. Hakijan on toimitettava säännöt Findatalle tiedoksi.
▸ 49 art. Poikkeukset
Esimerkiksi tutkittavan nimenomainen suostumus siirtoon. Voidaan käyttää vain poikkeustapauksissa.
Aineistoa saa siirtää EU/ETA-alueen ulkopuolelle vain, jos Findatan tietolupapäätöksessä on annettu siihen lupa.