Siirry sisältöön
Skip to page content

6. Siirrä henkilötietoja EU:n ulkopuolelle vain, jos edellytykset täyttyvät

Kun henkilötietoja siirretään EU:n ja ETA-alueen ulkopuolelle kolmansiin maihin, tietosuojan taso ei välttämättä vastaa EU:n tietosuojavaatimuksia. Tämän vuoksi on olemassa tiettyjä edellytyksiä, joiden on täytyttävä, jos tietoja aiotaan siirtää Euroopan talousalueen ulkopuolelle.

Harrastustoiminnan järjestäjän on tunnistettava, siirretäänkö sen toiminnassa tietoja kolmansiin maihin. Henkilötietoja voi siirtyä esimerkiksi erilaisten järjestelmien ja sähköisten palvelujen kautta.

Euroopan talousalueeseen kuuluvat EU-maiden lisäksi Islanti, Liechtenstein ja Norja. Henkilötietoja saa siirtää näihin maihin samoilla perusteilla kuin Suomen sisällä. Kun henkilötietoja siirretään näiden maiden ulkopuolelle, voi siirrosta aiheutua riskejä henkilöille, joiden tietoja siirretään.

Jotta henkilötietoja voidaan siirtää, tulee molempien alla olevien edellytysten täyttyä:

  1. Henkilötietojen käsittelyn on oltava ylipäätään sallittua kyseisessä tilanteessa.
  2. Henkilötietojen siirtoihin on käytettävä siirtoperustetta, jotka luetellaan yleisessä tietosuoja-asetuksessa. Lisäksi on arvioitava tapauskohtaisesti, tarvitaanko tietosuojan tason varmistamiseksi vielä täydentäviä suojatoimia.

Kunkin siirtoperusteen käyttämiseen liittyy tiettyjä edellytyksiä. Harrastustoiminnan järjestäjän on arvioitava, mikä siirtoperusteista on sopiva. Jos minkään siirtoperusteen edellytykset eivät täyty, henkilötietoja ei voida siirtää.

Lue lisää: Henkilötietojen siirrot Euroopan talousalueen ulkopuolelle | Tietosuojavaltuutetun toimisto.

Mitä harrastustoiminnan järjestäjän tulee huomioida henkilötietojen siirrossa ETA-alueen ulkopuolelle?

1. Harrastustoiminnan järjestäjän on ensin selvitettävä, siirtääkö se tai sen käyttämä henkilötietojen käsittelijä tai alikäsittelijä henkilötietoja ETA:n ulkopuolelle.

2. Jos henkilötietoja siirretään ETA:n ulkopuolelle, harrastustoiminnan järjestäjän on varmistettava, että henkilötietojen käsittely on sallittua kyseisessä tilanteessa ja henkilötietojen siirrolle on määritelty tietty siirtoperuste.

3. Tämän jälkeen on tarkistettava, taataanko siirrettäville henkilötiedoille kolmannen maan lainsäädännössä ja/tai käytännöissä sellainen henkilötietojen suojan taso, joka vastaa EU:n vaatimuksia.

4. Jos käytetty siirtoperuste ei yksin takaa riittävää tietosuojan tasoa, sitä voidaan tietyissä tilanteissa täydentää erilaisilla suojatoimilla. Harrastustoiminnan järjestäjän on selvitettävä, voidaanko tällaisia suojatoimia ottaa käyttöön.

5. Arvio henkilötietojen kansainvälisistä siirroista kannattaa dokumentoida.

Muista

Varmista, että henkilötietojen siirroissa ETA-alueen ulkopuolelle täytetään niille asetetut vaatimukset.

5. Ilmoita henkilötietojen tietoturvaloukkauksesta
7. Ohjeista ja kouluta harrastustoiminnassa mukana olevia tietosuojasta