Tietojärjestelmien hankinnat ja tietosuoja. Erkko Korhonen, Managing Associate, asianajaja

Samankaltaiset tiedostot
Tiedote yleisen tietosuoja-asetuksen mukaisista tiedonsiirroista sopimuksettoman brexitin tapauksessa

Tämä henkilötietojen käsittelyä ja tietosuojaa koskeva sopimusliite on tehty seuraavien sopijapuolten (Rekisterinpitäjä ja Toimittaja) välillä.

3.1. DialOk käsittelee Käsiteltäviä tietoja sopimuksen ja Asiakkaalta saatujen kirjallisten ohjeiden mukaisesti.

KOODIVIIDAKKO OY:N PALVELUITA KOSKEVAT HENKILÖTIETOJEN KÄSITTELYN YLEISET EHDOT

Henkilötietojen käsittelyn ehdot. 1. Yleistä

Liana Technologiesin palveluita koskevat henkilötietojen käsittelyn yleiset ehdot

1.3. Tämä liite sekä henkilötietojen käsittelyn kuvaus -liite korvaavat aiemman sopimukseen liitetyn Tietosuojaliitteen.

Pilvipalvelut ja henkilötiedot

Rekisterinpitäjän ja käsittelijän velvollisuuksien sekä vastuiden jako. Miten EU:n tietosuoja-asetus vaikuttaa sopimiseen?

2.3. Tilaaja sitoutuu huolehtimaan henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön mukaisista rekisterinpitäjän velvollisuuksista.

1.1. Tämä sopimusliite Henkilötietojen käsittelyn ehdot on osa kuljetuspalvelujen operaattoripalvelusopimusta

[yksilöitynä käsiteltävät henkilötiedot ja käsittelyn kesto] [yksilöitynä henkilötietojen tyyppi ja rekisteröityjen ryhmät]

VISMA SEVERA. GDPR webinaari

LIITE VARMENNEPALVELUJEN ASIAKAS- JA REKISTERÖINTISOPIMUKSIIN NRO

Määritelmät. Tarkoitus. Asiakkaan velvollisuudet. PULSE247 OY TIETOSUOJAEHDOT liite MyCashflow-verkkokauppapalvelun käyttöehtoihin 25.5.

2.3 Tilaaja sitoutuu huolehtimaan henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön mukaisista rekisterinpitäjän velvollisuuksista.

WestStar Oy Aleksanterinkatu 17 B Lahti. Liite Henkilötietojen käsittely

TIETOSUOJAA KOSKEVAT EHDOT

Käsittelyä koskevat tarkemmat tiedot, kuten käsittelyn luonne, henkilötietojen tyyppi ja rekisteröityjen ryhmät, on kuvattu jäljempänä.

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

Tietosuoja-asetus. Valo, Valtakunnallinen liikunta- ja urheiluorganisaatio ry Castrén & Snellman

Mitä tulisi huomioida henkilötietoja luovutettaessa? Maarit Huotari VM JUHTA/VAHTI-työpaja

LIITE HENKILÖTIETOJEN KÄSITTELYSTÄ

LIITE 2. Henkilötietojen käsittelyn ehdot. 1. Yleistä

Henkilötietojen käsittelyn ehdot

Henkilötietojen käsittelyn ehdot

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Helpdesk-palveluita

Henkilötietojen käsittelyn ehdot

Teknologia avusteiset palvelutverkostopalaveri

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

KMTK UUDET KUVAMITTAUSTEKNOLOGIAT - PROJEKTIN HANKINNAT JA TIETOSUOJA

Mitä kyselytutkimuksia suunnittelevien tulee tietää tietosuojasta?

Tietosuojalainsäännön katsaus Virpi Korhonen, lainsäädäntöneuvos

GDPR ja eprivacy mitä siis nyt pitäisi tehdä?

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Urkundplagioinnintunnistusohjelmaa

HENKILÖTIETOJEN KÄSITTELIJÄSOPIMUS

Asukkaan oikeus omaan dataan ja GDPR asuntoosakeyhtiössä. Ilmastoviisaat taloyhtiöt työpaja 1 Asukkaan MyData

Ulkoistaminen ja henkilötiedot

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opinnäytetöiden sähköisen järjestelmän henkilörekisteriä.

HPK Kannattajat ry. Tietosuojaseloste. EU:n tietosuoja-asetus (EU) 2016/679

Asianajotoimisto J. Rajamäki Oy Sibeliuksenkatu 15 B, Järvenpää Puh Fax Sähköposti:

Tietosuoja-asetus (GDPR)

Kanta-Hämeen sairaanhoitopiirin kuntayhtymä (jäljempänä Tilaaja ) Ahvenistontie 20, Hämeenlinna Y-tunnus:

1.1. Rekisterinpitäjän henkilötiedoilla tarkoitetaan näissä ehdoissa henkilötietoja, joista Rekisterinpitäjä

Sisältää EU:n tietosuoja-asetuksen (GDPR) mukaiset vaatimukset (artiklat 13, 14 ja 30)

Ehdotus NEUVOSTON PÄÄTÖS

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien laatujärjestelmää

Sopimuksen liite Henkilötietojen käsittelyn ehdot

Henkilötietojen käsittely sähköisen tunnistamisen luottamusverkostossa

ENERSENSE OY:N TIETOSUOJASELOSTE TYÖNHAKIJOILLE. Viimeksi päivitetty:

SMC:n tytäryhtiöt Euroopassa kunnioittavat yksityisyyttäsi ja sitoutuvat pitämään henkilötietosi suojattuina.

Tässä Liitteessä tarkoitetaan EU:n tietosuoja-asetuksen mukaisesti

I Osa: Sopimusehdot [Siirrä nämä ehdot soveltuvin osin sopimukseen]:

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

Informaatiovelvoite ja tietosuojaperiaate

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Haaga-Helian verkkokauppaa

Euroopan unionin yleinen tietosuoja-asetus mikä muuttuu? Ville Vainio, OTM, Asianajotoimisto Applex Oy

Tietosuojaliite Onnistuu.fi ja Visma Signin palveluehtoihin

SEMEL-PALVELUIDEN HENKILÖTIETOJEN KÄSITTELYÄ KOSKEVA LIITE

SOPIMUS HENKILÖTIETOJEN KÄSITTELYSTÄ

Public. Kumppanuusforum Yksityinen terveydenhuolto EU:n yleinen tietosuoja-asetus / General Data Protection Regulation (GDPR) Perjantai 24.

E U : N T I E T O S U O J A - A S E T U K S E N V A I K U T U K S E T Y R I T Y S T E N L I I K E T O I M I N T A A N T E R H O N E V A S A L O

Sovellettavaan tietosuojasääntelyyn perustuen Enersense käsittelee Rekisterin henkilötietoja seuraavilla oikeusperusteilla: Sopimus

Maksupalveludirektiivi (PSD2) tietosuojan näkökulmasta. Fintech Breakfast , Technopolis, Oulu

TIETOSUOJAA KOSKEVA SOPIMUSLIITE. Päivitetty

TILINTARKASTAJA JA EU:N TIETOSUOJA-ASETUS KYSYMYKSIÄ JA VASTAUKSIA

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Teknologiateollisuus ry Ylitarkastaja Anna Hänninen

Tietosuoja-asiat Glaston Oyj Sähköposti: Osoite: Vehmaistenkatu 5, PL 25,33731 Tampere

Henkilötietojen käsittelyn dokumentointi Mitä tulisi dokumentoida? LOTTA YLÄ-SULKAVA

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

TIETOSUOJAA KOSKEVA SOPIMUSLIITE. Päivitetty

Henkilötietojen käsittelyä koskevat erityisehdot ( DPA ) Suomen Tilaajavastuu Oy

EU:N TIETOSUOJA-ASETUKSET WALMU

Vaikutustenarviointi GDPR:n mukaan

Yhteinen eurooppalainen tietosuoja Apulaistietosuojavaltuutettu Jari Råman

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

TILINTARKASTAJA JA EU:N TIETOSUOJA-ASETUS KYSYMYKSIÄ JA VASTAUKSIA

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

LIITE 3: HENKILÖTIETOJEN KÄSITTELYN EHDOT

T E R H O N E V A S A L O

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

EU-tietosuoja-asetus Vaikutukset korkeakoulun IT:n näkökulmasta Case Laurea

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Vähittäiskaupan tutkimussäätiössä

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien markkinointia ja viestintää

HENKILÖTIETOJEN KÄSITTELYSOPIMUS. 1. Johdanto. 2. Määritelmät

Tietosuojaliite Maventa Verkkopalkka -palvelun sopimusehtoihin

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton tapahtumarekisterissä

Tietosuoja sosiaalisessa mediassa

Hallituksen esitys yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi - TIETOSUOJALAKI

Valtuuskunnille toimitetaan oheisena asiakirja COM(2018) 249 final LIITTEET 1 ja 2.

HENKILÖTIETOJEN KÄSITTELYÄ KOSKEVA LIITE

Tietosuoja-asetus mikä muuttuu ja mitä yhdistystoiminnassa tulee huomioida?

Varustekorttirekisteri - Tietosuojaseloste

Enersense käsittelee henkilötietoja seuraavilla tietosuojalainsäädäntöön pohjautuvilla perusteilla:

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien sähköistä tenttijärjestelmää

EU:N UUSI TIETOSUOJA- ASETUS

Tietosuoja-asetus Immo Aakkula Arkistointi

TIETOSUOJASOPIMUS. 1. Sopijapuolet. 2. Sopimuksen tarkoitus. 3. Määritelmät. Laitos/kampus Osoite. Osoite. jäljempänä Sopijapuoli tai Sopijapuolet.

Datan vapaa liikkuvuus EU:ssa komission asetusehdotus

Tietosuoja Euroopassa ja yhteistyö. Helena Raula Juhta/VAHTI tietosuojan yhteishankkeen päätöseminaari

Transkriptio:

Tietojärjestelmien hankinnat ja tietosuoja Erkko Korhonen, Managing Associate, asianajaja 17.6.2019

Agenda > Tietojärjestelmien hankinasta eristyistesti standardijärjestelmät ja pilvipalvelut > Hankinnan suunnittelusta tietosuojanäkökulmasta > Käsittelysopimus > Henkilötietojen siirroista EU:n ulkopuolelle ja mallisopimuslausekkeiden käyttö

Hankinnan suunnittelu > Mitä ollaan hankkimassa? Valmisohjelmisto + implementointi Valmisohjelmisto + räätälöinnit + implementointi Pilvipalvelu + implementointi Räätälöity järjestelmä Asiakkaalle kehitetty järjestelmä ( from the scratch ) -> Vaikuttaa siihen millaisia asiakaskohtaisia tietosuojavaatimuksia voi asettaa ja edellyttää.

Hankinnan suunnittelu tietosuoja näkökulmasta > Relevanttien henkilötietojen ja käsittelyroolien tunnistaminen Mitä henkilötietoja on tarkoitus käsitellä? Missä roolissa kukin taho käsittelyyn osallistuu (rekisterinpitäjä, käsittelijä)? Toimittaja ei aina ainoastaan käsittelijän roolissa -> ei syytä sitoa tarjouspyynnön vaatimuksia tähän olettamaan Voidaan edellyttää tarjoajaa kuvaamaan suorittamansa käsittely ja siihen liittyvät toimijat tarjouksessaan Erityissääntelyn huomioiminen (mm. onko kyse esim. potilastiedoista) Vaikuttaa muun muassa siihen, mitkä ovat riittävät tekniset ja organisatoriset tietoturvatoimenpiteet > Tarvittaessa markkinavuoropuhelua potentiaalisten toimittajien kanssa (ei hankinnan aikana) > Mahdollisuus esittää kysymyksiä tarjouspyyntöön liittyen

Pitkälle vakioituja palveluja > Pilvipalvelut perustuvat suuruuden ekonomiaan / skaalautuvuuteen > Sama palvelu/järjestelmä tarjotaan sadoille / tuhansille käyttäjille samanaikaisesti Usein yhdestä yhteisestä infrastruktuurista Jaetun organisaation toimesta Soveltaen yhteisiä (globaaleja) Prosesseja Toimitusmalleja Teknisiä ja organisatorisia suojatoimenpiteitä Vakioehdoin > Pilvipalvelut ovat palvelun hankintaa, ei hyödykkeen hankintaa > Vakioitu palvelu asettaa rajoituksia asiakaskohtaisille vaatimuksille ja ehdoille

Asiakkaan vaatimukset (1/2) > Mitä asiakas voi vaatia / tulee vaatia? > Läpinäkyvä tuotantoketju Missä tietojenkäsittely tapahtuu (EU/ETA-alueella, muualla?) Tieto alihankkijoista Tieto tuotantoresursseista > Varautuminen häiriöihin ja tietoturvariskeihin Rajoituksin > Palvelutasot > Auditointioikeus Rajoituksin

Asiakkaan vaatimukset (2/2) > Lakien ja määräysten noudattaminen Mahdollistavatko soveltuvat lait pilvipalvelun hankinnan? Sertifikaatteja / standardeja? > Hinnoittelumallit > Kontrolli dataan ja oikeus saada asiakkaan data palvelusta Milloin tahansa Ilman korvausta > Vastuunrajoitukset > Sovellettava laki ja riidanratkaisu

Yhteenveto > Varsinkin pilvipalveluiden hankinnassa hyväksyttävä vakiomuotoisuus Rajallinen mahdollisuus saada yksilöllisiä ehtoja > Onnistunut järjestelmähankinta edellyttää markkinoiden tuntemista Markkinakartoitus / -vuoropuhelu! > Varmista soveltuvatko markkinoilla olevat ratkaisut aiottuun käyttötarkoitukseen > Aseta vaatimuksia, mutta ymmärrä onko toimittajan mahdollista täyttää vaatimukset vakioidussa palvelussa

Käsittelysopimus > Tietosuoja-asetus edellyttää käsittelysopimuksen (Data processing agreement) laatimista käsittelijän ja rekisterinpitäjän välille. > Sopimuksessa vahvistettava Käsittelyn kohde ja kesto Käsittelyn luonne ja tarkoitus Henkilötietojen tyyppi ja rekisteröityjen ryhmät Rekisterinpitäjän velvollisuudet ja oikeudet > Sopimuksen oltava kirjallinen

Käsittelysopimuksen sisältövaatimukset (1/2) 1. Käsittely ainoastaan rekisterinpitäjän antamien dokumentoitujen ohjeiden mukaisesti, Ml. myös koskien henkilötietojen siirtoja kolmanteen maahan tai kansainväliselle järjestölle; 2. Käsittelyyn osallistuvat henkilöt sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus; 3. Tietoturvatoimenpiteet; 4. Alikäsittelijöiden käyttöä koskevat ehdot; 5. Käsittelytoimen luonne huomioiden auttaa rekisterinpitäjää asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä mahdollisuuksien mukaan täyttämään rekisterinpitäjän velvollisuudet koskien rekisteröidyn oikeuksien käyttämistä;

Käsittelysopimuksen sisältövaatimukset (2/2) 6. Käsittelijä auttaa rekisterinpitäjää varmistamaan, että tietoturvaa, DPIA:ta, tietoturvaloukkauksia koskevia velvollisuuksia noudatetaan ottaen huomioon käsittelyn luonteen ja henkilötietojen käsittelijän saatavilla olevat tiedot; 7. Rekisterinpitäjän valinnan mukaan käsittelijä poistaa tai palauttaa käsittelyyn liittyvien palveluiden tarjoamisen päätyttyä kaikki henkilötiedot rekisterinpitäjälle ja poistaa olemassa olevat jäljennökset, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä vaaditaan säilyttämään henkilötiedot; 8. Käsittelijä saattaa rekisterinpitäjän saataville kaikki tiedot, jotka ovat tarpeen tässä artiklassa säädettyjen velvollisuuksien noudattamisen osoittamista varten; ja 9. Käsittelijä sallii rekisterinpitäjän tai muun rekisterinpitäjän valtuuttaman auditoijan suorittamat auditoinnit, kuten tarkastukset, sekä osallistuu niihin.

Havaintoja tarjouspyynnöistä > Ehdottomana vaatimuksena ollut hankintayksikön oman käsittelysopimuksen käyttäminen tilanteessa, jossa kyse vakiomuotoisesta, useille asiakkaille tarjottavasta palvelusta Tällöin olisi suositeltavampaa, edellyttää tietosuoja-asetuksen mukaisen sopimuksen solmimista ja mahdollistaa tarjoaja toimittamaan oma käsittelysopimuspohjansa osana tarjousta > Käsittelysopimuksen edellyttäminen tarjoajan ja hankintayksikön välille vaikka tarjoaja itse ei osallistu lainkaan henkilötietojen käsittelyyn Tulisi tunnistaa käsittelyroolit ja mahdollistaa se, että DPA solmittaisiin suoraan hankintayksikön ja käsittelijän välille > Rajoitetaan käsittely EU:n alueelle tilanteessa, jossa sille ei ole tarvetta Sen sijaan tulisi mahdollistaa tietojen siirrot, kunhan siirrot toteutetaan tietosuoja-asetuksen mukaisesti ja siirrosta on huolehdittu

Kansainvälisiä siirtoja koskevat säännöt tietosuoja-asetuksessa > EU:n yleistä tietosuoja-asetusta (679/2016) sovelletaan Euroopan unionin (EU) lisäksi Euroopan talousalueella (ETA) ETA-alueella henkilötiedot liikkuvat vapaasti > Jos henkilötietoja siirretään ETA-alueen ulkopuolelle, tulee siirto toteuttaa tietosuoja-asetuksen edellytykset huomioiden > Tietosuoja-asetus tarjoaa erilaisia mekanismeja, joiden avulla tietojen siirto voidaan toteuttaa Esim. tietosuojan riittävyyttä koskevat päätökset, vakiosopimuslausekkeet, yritystä koskevat sitovat säännöt, käytännesäännöt, sertifiointimekanismit ja poikkeukset erityistilanteissa

Mitä siirto tarkoittaa? > Ei määritelty GDPR:ssä > Käytännössä pelkkä pääsy tietoihin ETA:n ulkopuolelta voidaan katsoa siirroksi > ICO: Transfer transit GDPR Art 46: Any transfer of personal data which are undergoing processing or are intended for processing after transfer to a third country

Tietosuojan tason riittävyyttä koskevat päätökset > Komissio voi päättää, että EU:n ulkopuolinen maa tai kansainvälinen järjestö tarjoaa riittävän tietosuojan tason Jotta tietosuojan taso voidaan todeta riittäväksi, kolmannen maan tietosuojasääntöjen on oltava verrattavissa EU:n sääntöihin > Päätöksen myötä henkilötietoja voidaan siirtää kyseiseen maahan tai järjestölle ilman erityistä lupaa > Päätös tarkastetaan vähintään joka neljäs vuosi, jolloin päätöstä voidaan tarvittaessa muuttaa tai se voidaan kumota

Komission päätöksellä riittävän tietosuojan tason tarjoavat: 1 Sveitsi 2 Andorra 3 Färsaaret 4 Guernsey 5 Jersey 6 Mansaari 7 Uusi-Seelanti 8 Uruguay 9 Argentiina 10 Kanada (kaupalliset organisaatiot) 11 Israel 12 Yhdysvallat (Privacy Shield järjestelyn puitteissa) 13 Japani Etelä-Korean tietosuojan tasosta keskustellaan.

Käytännesäännöt ja sertifiointimekanismi > Rekisterinpitäjä tai henkilötietojen käsittelijä voi osoittaa, että se käyttää asianmukaisia suojatoimia suojatakseen siirrettyjä henkilötietoja sitoutumalla käytännesääntöihin tai sertifiointimekanismin avulla Käytännesääntöjä voivat laatia yhdistykset ja muut elimet, jotka edustavat rekisterinpitäjien tai henkilötietojen käsittelijöiden eri ryhmiä Sertifiointimekanismeja sekä tietosuojasinettejä ja -merkkejä voidaan ottaa käyttöön erityisesti unionin tasolla > Toimivaltainen valvontaviranomainen hyväksyy käytännesäännöt ja myöntää sertifioinnit. Myös erityiset sertifiointielimet voivat myöntää sertifiointeja > Vielä yksikään viranomainen ei ole hyväksynyt käytännesääntöjä tai sertifiointimekanismeja

Yritystä koskevat sitovat säännöt > Yritystä koskevia sitovia sääntöjä (binding corporate rules) voidaan käyttää siirtoperusteena silloin, kun monikansallinen konserni tai yritysryhmä, joka harjoittaa yhteistä taloudellista toimintaa, siirtää tietoja sisäisesti konsernin sisällä ETA-alueen ulkopuolelle Toimivaltainen valvontaviranomainen vahvistaa säännöt Säännöt ovat oikeudellisesti sitovat > Säännöillä varmistetaan mm. tietosuojaperiaatteiden noudattaminen; asianmukainen tietosuojakoulutus henkilöstölle; valitusmenettelyt; ja mekanismit, joiden avulla sääntöjen noudattaminen varmistetaan. > Hyväksytetty yhteensä 125-130 konsernissa

Vakiolausekkeet sopimuksissa > Komissio voi vahvistaa tietosuojaa koskevat vakiolausekkeet, joiden käyttäminen sopimusjärjestelyssä tarjoaa asianmukaisen henkilötietojen suojan silloin, kun henkilötietoja siirretään EU- tai ETA-alueen ulkopuolelle > Myös tietosuojaviranomainen voi vahvistaa riittävän suojan tarjoavat vakiolausekkeet, jotka komissio hyväksyy > Tähän mennessä mallisopimuslausekkeita on kolmet: Kahdet näistä soveltuvat tietojen siirroissa rekisterinpitäjältä rekisterinpitäjälle (ns. Controller-to-Controller ) Yhdet soveltuvat tietojen siirroissa rekisterinpitäjältä henkilötietojen käsittelijälle (ns. Controller-to-Processor )

Vakiolausekkeet käytännössä: Käsitteet > Tietojen viejä (engl. data exporter) tarkoittaa rekisterinpitäjää, joka siirtää henkilötietoja > Tietojen tuoja (engl. data importer) tarkoittaa kolmanteen maahan (EU/ETA-alueen ulkopuolelle) sijoittunutta henkilötietojen käsittelijää tai rekisterinpitäjää, joka vastaanottaa henkilötietoja tietojen viejältä käsitelläkseen niitä

Vakiolausekkeet käytännössä > Voidaanko vakiolausekkeita käyttää kahden ETA-alueella toimivan tahon välillä? > Ei. ETA-alueella toimiva käsittelijä ei voi toimia tietojen tuojana komission päätöksen tarkoittamalla tavalla, koska päätös edellyttää että tietojen tuoja on sijoittunut ETA-alueen ulkopuolelle.

Vakiolausekkeet käytännössä > Voidaanko vakiolausekkeita käyttää silloin, kun henkilötietoja siirretään ETA-alueella toimivalta henkilötietojen käsittelijältä ETAalueen ulkopuolella toimivalle alikäsittelijälle? > Ei. ETA-alueella toimiva henkilötietojen käsittelijä ei voi toimia komission päätöksen tarkoittamana tietojen viejänä, koska tietojen viejän tulee olla rekisterinpitäjä.

Vakiolausekkeet käytännössä > Kuinka henkilötietojen siirto ETA-alueella toimivalta henkilötietojen käsittelijältä ETA-alueen ulkopuolella toimivalle alikäsittelijälle tulisi toteuttaa? > Vakiolausekkeita ei voida soveltaa tilanteessa, jossa ETA-alueelle sijoittunut henkilötietojen käsittelijä käsittelee henkilötietoja ETA-alueella toimivan rekisterinpitäjän puolesta ja siirtää käsittelyn kolmannessa maassa toimivalle alikäsittelijälle.

Vakiolausekkeet käytännössä > Vaihtoehto 1: Suora sopimus ETA-alueella toimivan rekisterinpitäjän ja ETA-alueen ulkopuolella toimivan alikäsittelijän välillä

Vakiolausekkeet käytännössä > Vaihtoehto 2: Valtuutus ETA-alueella toimivalta rekisterinpitäjältä ETA-alueen ulkopuolella toimivalle henkilötietojen käsittelijälle

Vakiolausekkeet käytännössä > Vaihtoehto 3: Valtuutus ETA-alueen ulkopuolella sijaitsevalta alikäsittelijältä ETA-alueella sijaitsevalle henkilötietojen käsittelijälle

Erityistilanne Rekisterinpitäjä ei EU:n alueella > Soveltuvatko siirtorajoitukset tilanteessa, jossa rekisterinpitäjä ei ole EU:ssa, mutta käyttää EU:ssa olevaa käsittelijää, joka puolestaan käyttää EU:n ulkopuolista alikäisttelijää? > Voi soveltua ainakin jos rekisterinpitäjä GDPR:n piirissä.

Erityistilanteita koskevat poikkeukset > Jos tietosuojan riittävyydestä ei ole tehty komission päätöstä, eikä asianmukaisia suojatoimia ole myöskään toteutettu, voi siirto perustua useisiin erityistapauksia koskeviin poikkeuksiin > Siirtoperusteita erityistilanteissa ovat esimerkiksi: Rekisteröidyn nimenomainen suostumus, hänen saatuaan kaikki tarvittavat tiedot siirtämiseen liittyvistä riskeistä Rekisteröidyn ja rekisterinpitäjän välinen sopimus, jonka täytäntöön panemiseksi tai sopimusta edeltävien toimenpiteiden toteuttamiseksi siirtäminen on tarpeen Rekisterinpitäjän ja toisen luonnollisen henkilön tai oikeushenkilön välinen sopimus, joka on rekisteröidyn edun mukainen ja jonka tekemiseksi tai täytäntöön panemiseksi siirtäminen on tarpeen Oikeusvaateen laatiminen, esittäminen tai puolustaminen, jonka vuoksi siirtäminen on tarpeen

Mikä organisaatiossanne on tavanomaisin siirtoperuste? a) Vakiosopimuslausekkeet b) Rekisteröidyn suostumus c) Jokin muu d) Tietojamme ei käsitellä EU:n/ETA:n ulkopuolella e) En tiedä

Ota yhteyttä Managing Associate Tel: +358 40 483 5763 erkko.korhonen@hannessnellman.com

Helsinki Hannes Snellman Attorneys Ltd Eteläesplanadi 20 P.O. Box 333 00130 00131 Helsinki, Finland Tel: +358 9 228 841 Fax: +358 9 177 393 riikka.rannikko@hannessnellman.com Stockholm Hannes Snellman Attorneys Ltd Kungsträdgårdsgatan 20 P.O. Box 7801 111 47 103 96 Stockholm, Sweden Tel: +46 760 000 000 Fax: +46 8 679 85 11 paula.rottorp@hannessnellman.com www.hannessnellman.com

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute