Yritysten kansainvälisten tiedonsiirtojen velvoitteet merkittävästi tarkentuneet

Tietosuojaan liittyviä riskejä ja toimenpiteitä on arvioitava säännöllisesti.

Tietosuojaan liittyviä riskejä ja toimenpiteitä on arvioitava säännöllisesti.

Schrems II -ratkaisun ja Euroopan tietosuojaneuvoston (EDPB) julkaiseman ohjeistuksen sekä viimeisimpänä Google Analyticsin käyttöä koskevien linjausten myötä yritysten kansainvälisten tiedonsiirtojen velvoitteet ovat merkittävästi tarkentuneet.

Lähes kaikki yritykset käyttävät erilaisia pilvipalveluita ja teknologioita, joiden yhteydessä henkilötietoja voi siirtyä EU:n/ETA:n ulkopuolelle. Tämän takia yritysten tulee kartoittaa ja dokumentoida kaikki toimintansa yhteydessä tapahtuvat kansainväliset tiedonsiirrot, arvioida tapauskohtaisesti riskit sekä tarvittaessa ottaa käyttöön täydentäviä lisäsuojatoimia. 

Osoitusvelvollisuuden toteutuminen edellyttää ajantasaista tietosuojadokumentaatiota

Tietosuojaviranomaisten antamien ohjeiden ja päätösten myötä tietosuojan soveltamiskäytännöt ovat viime vuosina tarkentuneet tietosuoja-asetuksen voimaantulon jälkeen. Isoja tietosuojariskejä toteutuu tyypillisesti uusien tietojärjestelmien tai pilvipalvelujen käyttöönoton aikana tai henkilötietojen käsittelytapojen muuttuessa.

Soveltamiskäytäntöjen ja toiminnan muuttuessa henkilötietoja käsittelevien yritysten on kyettävä varmistamaan tietosuoja-asetuksen mukaisen näyttötaakan, eli osoitusvelvollisuuden toteutuminen välttyäkseen sanktioriskiltä. Käytännössä tämä edellyttää ajantasaista ja kattavaa tietosuojadokumentaatiota, jonka avulla yritys voi osoittaa toimineensa tietosuojalainsäädännön mukaisesti.

Tietosuojaan liittyviä riskejä ja toimenpiteitä on arvioitava säännöllisesti

Tietosuoja-asetuksen voimaantulon jälkeen suurin osa yrityksistä on siirtynyt projektiluonteisista kartoituksista tietosuojan jatkuvaan kehittämiseen ja seurantaan. On kuitenkin yrityksiä, joissa tietosuojadokumentaatiota ei ole pidetty ajan tasalla tai sen päivittäminen on lykätty. Tietosuojadokumentaatio ei välttämättä enää vastaa nykyisiä tietosuojalainsäädännön vaatimuksia, ja oikeuskäytännön sekä uuden viranomaisohjeistuksen mukaiset keskeiset uudet arvioinnit saattavat puuttua kokonaan.

Tietosuoja-asetuksen riskilähtöisyys edellyttää henkilötietojen käsittelytoimiin liittyvien riskien jatkuvaa arviointia ja tarvittaessa päivittämistä. Vastaavasti tietosuojadokumentaatio tulee säännöllisesti päivittää soveltamiskäytännössä ja yrityksen toiminnassa tapahtuvien muutosten myötä. Samalla pidetään huolta osoitusvelvollisuuden toteutumisesta.

Vaadittava dokumentaatio vaihtelee yrityskohtaisesti

Osoitusvelvollisuuden laajuuteen ja vaadittaviin tietosuojadokumentteihin vaikuttaa muun muassa yrityksen koko, henkilötietojen määrä ja se, millaisia henkilötietoja yritys käsittelee sekä erityisesti yrityksen toimiala. Lisäksi osa tietosuoja-asetuksen osoitusvelvollisuuden mukaisista vaatimuksista koskee ainoastaan osaa yrityksiä. Näitä ovat esimerkiksi velvollisuus nimittää tietosuojavastaava, tietosuojaa koskevan vaikutustenarvioinnin tai seloste käsittelytoimista asiakirjan laatiminen.

Kuinka KPMG voi auttaa?

Tietosuoja- ja teknologiajuridiikan asiantuntijoillamme on runsaasti kokemusta kansainvälisiin tiedonsiirtoihin liittyvistä juridisista arvioinneista ja kysymyksistä. Olemme avustaneet lukuisia asiakkaita kansainvälisten tiedonsiirtojen vaikutustenarviointien laatimisessa sekä niihin liittyvissä toimenpiteissä.

Ota yhteyttä, niin keskustellaan lisää!

Jari Piittinen
+358 40 162 4687
etunimi.sukunimi@kpmg.fi