GDPR on asettanut korkeat vaatimukset tietojen siirtämisestä kolmansiin maihin tai kansainvälisiin järjestöihin.
Mitä tarkoittaa kolmannet maat?
Kolmannet maat ovat seuraavien alueiden ulkopuolella: EU, EEA, Andorra, Argentiina, Kanada (kaupalliset järjestöt), Färsaaret, Guernsey, Israel, mansaari, Jersey, Uusi-seelanti, Sveitsi, Uruguay ja Yhdysvallat. Japanin ja Etelä-Korean kanssa neuvottelut ovat vielä kesken.
Mitkä ovat edellytykset tietojen siirtämiselle kolmansiin maihin?
49 artiklan 1 kohdassa todetaan, että riittävän päätöksen tai asianmukaisten suojatoimenpiteiden puuttuessa henkilötietojen siirto tai henkilötietojen siirto kolmanteen maahan tai kansainväliseen järjestöön tapahtuu vain tietyin edellytyksin, esimerkiksi:
- Suostumus rekisteröidyltä, yrityksen on ilmoitettava rekisteröidylle kaikista riskeistä, joita voi esiintyä, kun tietoja siirretään ;
- Tietojen siirto on välttämätöntä sopimuksen toteuttamiseksi;
- Oikeudellisten vaatimusten laatiminen, käyttäminen tai puolustaminen.
Henkilötietojen luovuttaminen 49 artiklan mukaan sallitaan vain silloin, kun se on satunnaista ja tarpeellista. Tämä tarkoittaa, että yrityksen on arvioitava, kuinka usein henkilökohtaiset tiedot lähetetään ja onko tietojen lähettäminen kolmanteen maahan tarpeellista, tai voidaanko sama tulos saavuttaa EU:n sisällä. Sopimuksen täytäntöönpanoa voitaisiin käyttää oikeudellisena perustana esimerkiksi silloin, kun matkatoimistot siirtävät yksittäisten asiakkaidensa henkilötietoja asiakkailleen ulkomaille esimerkiksi, hotelleille tai muille kaupallisille kumppaneille.
Yrityksillä on velvollisuus kirjata kolmansiin maihin tai kansainvälisiin järjestöihin siirretty tieto 30 artiklan mukaisesti (käsittelytoimet)