Go to front page
Data Protection Ombudsman

14.4.2025

Data Protection Ombudsman

Decisions of the Data Protection Ombudsman on the interpretation of the EU General Data Protection Regulation, the Act on the Processing of Personal Data in Criminal Matters and the Personal Data Act

Päätös Nokian BCR-P-sääntöjen vahvistamisesta

Keywords
BCR-säännöt, Tiedonsiirrot, Yritystä koskevat sitovat säännöt
Year of case
2025
Date of Issue
Register number
TSV/4995/2023
Legal basis
EU:n yleisen tietosuoja-asetuksen mukainen päätös

Data Protection Ombudsman's decision approving Processor Binding Corporate Rules for Nokia

Summary of the facts

Pursuant to the request by Nokia Corporation on behalf of the Nokia Group (hereinafter also “Nokia”), received on 21 December 2018, for approval of their Binding Corporate Rules for Processor (hereinafter also “BCR-P”);

Having regard to Articles 47, 57 and 64 of the Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation or GDPR);

Having regard to the judgment of the Court of Justice of the European Union Data Protection Commissioner v. Facebook Ireland Ltd and Maximillian Schrems, C-311/18 of 16 July 2020;

Having regard to EDPB Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data of 18 June 2021;

The Data Protection Ombudsman makes the following observations:

  1. Article 47(1) of the EU General Data Protection Regulation 2016/679 (GDPR) provides that the competent supervisory authority shall approve Binding Corporate Rules (BCRs) provided that they meet the requirements set out under this Article.
  2. The implementation and adoption of BCRs by a group of undertakings is intended to provide guarantees to controllers and processors established in the EU as to the protection of personal data that apply uniformly in all third countries and, consequently, independently of the level of protection guaranteed in each third country.
  3. Before carrying out any transfer of personal data on the basis of the BCRs to one of the members of the group, it is the responsibility of any data exporter in a Member State, if needed with the help of the data importer, to assess whether the level of protection required by EU law is respected in the third country of destination in the case of the specific data transfer, including onward transfer situations. This assessment has to be conducted in order to determine whether any legislation or practices of the third country applicable to the to-be-transferred data may impinge on the data importer’s and/or the data exporter’s ability to comply with their commitments taken in the BCR, taking into account the circumstances surrounding the transfer. In case of such possible impingement, the data exporter in a Member State, if needed with the help of the data importer, should assess whether it can provide supplementary measures in order to exclude such impingement and therefore to nevertheless ensure, for the OFFICE OFTHE DATA PROTECTION OMBUDSMAN 2 envisaged transfer at hand, an essentially equivalent level of protection as provided in the EU. Deploying such supplementary measures is the responsibility of the data exporter and remains its responsibility even after approval of the BCRs by the competent Supervisory Authority and as such, they are not assessed by the competent Supervisory Authority as part of the approval process of the BCRs.
  4. In any case, where the data exporter in a Member State is not able to implement supplementary measures necessary to ensure an essentially equivalent level of protection as provided in the EU, personal data cannot be lawfully transferred to a third country under these BCRs. In the same vein, where the data exporter is made aware of any changes in the relevant third country legislation that undermine the level of data protection required by EU law, the data exporter is required to suspend or end the transfer of personal data at stake to the concerned third countries.
  5. In accordance with the cooperation procedure as set out in the Working Document WP263 rev.01, the Processor BCRs application of Nokia was reviewed by the Data Protection Ombudsman, as the competent SA for the BCRs (BCR Lead) and by two SAs acting as co-reviewers. The application was also reviewed by the concerned SAs to which the BCRs were communicated as part of the cooperation procedure.
  6. The review concluded that the Processor BCRs of Nokia comply with the requirements set out by Article 47(1) of the GDPR as well as the Working Document WP257 rev.011 and in particular that the aforementioned BCRs:

Are legally binding and contain a clear duty for each participating member of the group including their employees to respect the BCRs by entering in an Intra-Group Agreement. The BCR-P cover only Nokia Group Entities who have signed the BCR Intra-Group Agreement. The BCR-P are included in Nokia's Code of Conduct and thereby made binding on employees either directly or through implementation of the Code of Conduct according to country specific law (Sections 1, 2.1 and 8.1 of the BCR-P);

Expressly confer enforceable third-party beneficiary rights to data subjects with regard to the processing of their personal data as part of the BCRs (Sections 6 and 11 of the BCR-P);

Fulfil the requirements laid down in Article 47(2) of the GDPR:

  • The structure and contact details of the group of undertakings and each of its members are described in the application form WP265 as well as in the list of Nokia Group entities that were provided as part of the file review;
  • the data transfers or set of transfers, including the categories of personal data, the type of processing and its purposes, the type of data subjects affected and the identification of the third country or countries in question are specified in Section 2 of the BCR-P;
  • the legally binding nature, both internally and externally, of the Processor BCRs is recognized in Section 8 of the BCR-P;
  • the application of the general data protection principles, in particular purpose limitation, data minimisation, limited storage periods, data quality, data protection by design and by default, legal basis for processing, processing of special categories of personal data, measures to ensure data security, and the requirements in respect of onward transfers to bodies not bound by the BCRs are detailed in Section 4.1 of the BCR-P;
  • the rights of data subjects in regard to processing and the means to exercise those rights, including the right not to be subject to decisions based solely on automated processing, including profiling in accordance with Article 22 of the GDPR, the right to lodge a complaint with the competent SA and before the competent courts of the Member States in accordance with Article 79 of the GDPR, and to obtain redress and, where appropriate, compensation for a breach of the BCRs which are set forth in Sections 6 and 11 of the BCR-P;
  • the acceptance by the controller or processor established on the territory of a Member State of its liability for any breaches of the BCRs by any member concerned not established in the Union as well as the exemption from that liability, in whole or in part, only if the concerned party proves that that member is not responsible for the event giving rise to the damage are specified in Section 12 of the BCR-P;
  • how the information on the BCRs, in particular on the provisions referred to in points (d), (e) and (f) of Article 47(2) of the GDPR are provided to the data subjects in addition to Articles 13 and 14 of the GDPR, is specified in Sections 11, 14 and 17 of the BCR-P;
  • the tasks of any data protection officer designated in accordance with Article 37 of the GDPR or any other person or entity in charge of monitoring the compliance with the binding corporate rules within the group of undertakings, or group of enterprises engaged in a joint economic activity, as well as monitoring training and complaint-handling are detailed in Section 5 of the BCR-P;
  • the complaint procedures are specified in Sections 7 and 11 of the BCR-P;
  • the mechanisms put in place within the group of undertakings for ensuring the monitoring of compliance with the BCRs are detailed in Section 10 of the BCR-P. Such mechanisms include data protection audits and methods for ensuring corrective actions to protect the rights of the data subject. The results of such monitoring are communicated to the person or the entity referred to in point (h) above and to the board of the controlling undertaking of the group of undertakings (in this situation to Nokia headquarters, as well as to the data privacy organization) and are available upon request to the competent SA;
  • the mechanisms for reporting and recording changes to the rules and reporting those changes to the SAs are specified in Section 14 of the BCR-P;
  • the cooperation mechanism put in place with the SA to ensure compliance by any member of the group of undertakings is specified in Section 13 of the BCR-P. The obligation to make available to the SA the results of the monitoring of the measures referred to in point (j) above is specified in Section 10 of the BCR-P;
  • the mechanisms for reporting to the competent SA any legal requirements to which a member of the group of undertakings is subject in a third country which are likely to have a substantial adverse effect on the guarantees provided by the binding corporate rules are described in Section 15.1 of the BCR-P;
  • finally, provide for an appropriate data protection training to personnel having permanent or regular access to personal data (Section 9 of the BCR-P).

The EDPB provided its opinion on 8 April 2025 in accordance with Article 64(1)(f) of the GDPR. The Data Protection Ombudsman took utmost account of this opinion.

Decision of the Data Protection Ombudsman

The Data Protection Ombudsman decides as following:

  1. The Data Protection Ombudsman approves the Processor BCRs of Nokia as providing appropriate safeguards for the transfer of personal data in accordance with Article 46(1) and (2) (b) and Article 47(1) and (2) GDPR. For the avoidance of doubt, The Data Protection Ombudsman recalls that the approval of BCRs does not entail the approval of specific transfers of personal data to be carried out on the basis of the BCRs. Accordingly, the approval of BCRs may not be construed as the approval of transfers to third countries included in the BCRs for which, an essentially equivalent level of protection to that guaranteed within the EU cannot be ensured.
  2. The approved BCRs will not require any specific authorization from the concerned SAs.
  3. In accordance with Article 58(2)(j) GDPR, each concerned SA maintains the power to order the suspension of data flows to a recipient in a third country or to an international organisation whenever the appropriate safeguards envisaged by the Processor BCRs of Nokia are not respected.

Annex to the decision

The Processor BCRs of Nokia that are hereby approved cover the following:

  1. Scope. Only members of the Nokia Group acting as Processors, that are legally bound by the BCRs as described in Section 2.1 of the BCR-P.
  2. EEA countries from which transfers are to be made : Personal data can be transferred from any Nokia Group Entity in the following EEA Member States: Austria, Belgium, Bulgaria, Croatia, Czech Republic, Denmark, Estonia, Finland, France, Germany, Greece, Hungary, Ireland, Italy, Latvia, Lithuania, Luxembourg, Netherlands, Norway, Poland, Portugal, Romania, Slovakia, Slovenia, Spain and Sweden as well as non-EEA countries Switzerland and United Kingdom.
  3. Third countries to which transfers are to be made : The cross-border locations are listed in Sections 2.1 and 2.4 of the BCR-P.
  4. Purposes of the transfer : As a Data Processor, Nokia Processes Personal Data while providing services to Customers, at their request and on the basis of the Services Agreement and ancillary agreements. Typically Processing occurs while conducting activities and functions like: delivering professional services, network implementation, deployment and products maintenance services, local and remote support and troubleshooting, network monitoring, configuration management, incident and alarm management and notification, reporting, data analytics, data storage and compliance. Purposes are listed in Sections 2.2 and 2.4 of the BCR-P.
  5. Categories of data subjects concerned by the transfer : The BCR-P cover the following categories of Data Subjects: customers, consumers and employees of customer. Data subjects are listed in Section 2.3 of the BCR-P.
  6. Categories of personal data transferred : Categories of Personal Data are listed in Sections 2.2 and 2.4 of the BCR-P.

Tietosuojavaltuutetun päätös

Epävirallinen käännös

Asia

Tietosuoja-asetuksen 47 artiklan mukaisten henkilötietojen käsittelijän yritystä koskevien sitovien sääntöjen hyväksyminen

Asian vireilletulo

Nokia Oyj (jäljempänä Nokia) on muiden konsernin kuuluvien yhtiöiden puolesta 21.12.2018 saattanut tietosuojavaltuutetun toimistossa vireille hakemuksen henkilötietojen käsittelijän yritystä koskevien sitovien sääntöjen (jäljempänä myös BCR-P) hyväksymiseksi.

Yhteenveto tosiseikoista

Ottaen huomioon luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27 päivänä huhtikuuta 2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus tai yleinen tietosuoja-asetus) artiklat 47, 57 ja 64;

Euroopan unionin tuomioistuimen asiassa C-311/18, Facebook Ireland Ltd ja Maximillian Schrems, 16. heinäkuuta 2020 antaman tuomion; sekä

Euroopan tietosuojaneuvoston 18. kesäkuuta 2021 antamat suositukset 01/2020 toimenpiteistä, joilla täydennetään siirtovälineitä EU:ssa henkilötiedoille taatun suojan tason noudattamiseksi

tietosuojavaltuutettu toteaa seuraavaa:

  1. EU:n yleisen tietosuoja-asetuksen 2016/679 47 artiklan 1 kohdassa säädetään, että toimivaltaisen valvontaviranomaisen on hyväksyttävä yritystä koskevat sitovat säännöt edellyttäen, että ne täyttävät kyseisessä artiklassa säädetyt vaatimukset.
  2. Konsernin täytäntöön panemien yritystä koskevien sitovien sääntöjen tarkoituksena on antaa EU:hun sijoittautuneille rekisterinpitäjille ja henkilötietojen käsittelijöille henkilötietojen suojaa koskevat takeet, joita sovelletaan yhdenmukaisesti kaikissa kolmansissa maissa ja riippumatta siten kussakin kolmannessa maassa taatusta tietosuojan tasosta.
  3. Ennen kuin henkilötietoja siirretään yritystä koskevien sitovien sääntöjen nojalla jollekin yritysryhmän jäsenelle, EU-jäsenvaltiossa sijaitsevan tietojen viejän vastuulla on arvioida, tarvittaessa tietojen tuojan avustuksella, noudatetaanko vastaanottajamaana olevassa kolmannessa maassa EU:n lainsäädännön edellyttämää tietosuojan tasoa tiedonsiirtotilanteissa, mukaan lukien henkilötietojen edelleen siirrot. Tämä arviointi on tehtävä sen määrittämiseksi, voiko kolmannen maan lainsäädäntö tai käytännöt, joita sovelletaan siirrettäviin tietoihin, haitallisesti vaikuttaa tietojen tuojan ja/tai tietojen viejän mahdollisuuksiin noudattaa yritystä koskevissa sitovissa säännöissä antamiaan sitoumuksia ottaen huomioon siirtoon vaikuttavat olosuhteet. Tällaisissa tilanteissa jäsenvaltiossa sijaitsevan tietojen viejän olisi, tarvittaessa tietojen tuojan avustuksella, arvioitava, voiko se toteuttaa lisätoimenpiteitä tällaisen haitallisen vaikutuksen poissulkemiseksi ja siten varmistaa, että suunniteltu siirto olennaisilta osin nauttii vastaavasta tietosuojan tasosta kuin EU:ssa. Täydentävien suojatoimenpiteiden käyttöönotto on tietojen viejän vastuulla myös sen jälkeen, kun toimivaltainen valvontaviranomainen on hyväksynyt yritystä koskevat sitovat säännöt, eikä toimivaltainen valvontaviranomainen näin ollen arvioi niitä osana yritystä koskevien sitovien sääntöjen hyväksymisprosessia.
  4. Jos tietojen viejä jäsenvaltiossa ei pysty toteuttamaan tarvittavia lisätoimenpiteitä, joilla varmistetaan olennaisilta osin vastaava tietosuojan taso kuin EU:ssa, henkilötietoja ei voida laillisesti siirtää kolmanteen maahan näiden yritystä koskevien sitovien sääntöjen nojalla. Vastaavasti jos tietojen viejälle ilmoitetaan asiaan liittyvän kolmannen maan lainsäädännön muutoksista, jotka heikentävät EU:n lainsäädännössä vaadittua tietosuojan tasoa, tietojen viejän on keskeytettävä tai lopetettava henkilötietojen siirto kyseisiin kolmansiin maihin. 
  5. Toimivaltaisena valvontaviranomaisena tietosuojavaltuutetun toimisto tarkasteli Nokian toimittamat hakemusasiakirjat yhdessä kahden yhteisarvioijana toimineen valvontaviranomaisen kanssa Tietosuojaryhmän asiakirjassa WP263 rev.01 esitetyn yhteistyömenettelyn mukaisesti. Yhteistyömenettelyn seuraavassa vaiheessa hakemus toimitettiin nähtäväksi myös muille osallistuville valvontaviranomaisille.
  6. Tarkastelussa todettiin, että Nokian BCR-P täyttää yleisen tietosuoja-asetuksen 47 artiklan 1 kohdassa ja asiakirjassa WP257 rev.01 asetetut vaatimukset . Erityisesti todetaan, että edellä mainitut yritystä koskevat sitovat säännöt:

ovat oikeudellisesti sitovia ja sisältävät selkeän velvoitteen, jonka mukaan kunkin osallistuvan yritysryhmän jäsenen, myös yhtiöiden työntekijöiden, on noudatettava yritystä koskevia sitovia sääntöjä liittymällä konsernin sisäiseen sopimukseen (Intra-Group sopimus). BCR-P kattaa vain ne Nokia-konsernin yhtiöt, jotka ovat allekirjoittaneet BCR Intra-Group -sopimuksen. BCR-P sisältyy Nokian Code of Conduct -toimintaohjeisiin ja sitoo siten työntekijöitä joko suoraan tai kyseisten toimintaohjeiden täytäntöönpanon myötä maakohtaisen lainsäädännön mukaisesti (BCR-P:n kohdat 1, 2.1 ja 8.1);

nimenomaisesti antavat rekisteröidyille täytäntöönpanokelpoiset kolmannen osapuolen etua suojaavat oikeudet, jotka koskevat heidän henkilötietojensa käsittelyä yritystä koskevien sitovien sääntöjen nojalla (BCR-P:n kohdat 6 ja 11);

täyttävät yleisen tietosuoja-asetuksen 47 artiklan 2 kohdassa säädetyt vaatimukset:

  • Konsernin ja kunkin siihen kuuluvan jäsenen rakenne ja yhteystiedot on kuvattu hakemuslomakkeessa WP265 sekä asiakirja-aineiston tarkastelun yhteydessä toimitetussa Nokia-konsernin yhtiöiden luettelossa;
  • tiedonsiirrot tai tiedonsiirtojen sarjat, henkilötietoryhmät mukaan lukien, käsittelytoimien tyyppi ja käsittelyn tarkoitukset, käsittelyn kohteena olevien rekisteröityjen ryhmät sekä tieto siitä, mistä kolmannesta maasta tai kolmansista maista on kyse ovat täsmennetty BCR-P:n kohdassa 2;
  • henkilötietojen käsittelijän yritystä koskevien sitovien sääntöjen oikeudellinen sitovuus sekä unionin sisällä että sen ulkopuolella on tunnustettu BCR-P:n kohdassa 8;
  • yleisten tietosuojaperiaatteiden soveltaminen, erityisesti käyttötarkoitussidonnaisuus, tietojen minimointi, rajoitetut säilytysajat, tietojen laatu, sisäänrakennettu ja oletusarvoinen tietosuoja, käsittelyn oikeusperuste, erityisten henkilötietoryhmien käsittely, tietoturvallisuuden takaavat toimenpiteet ja vaatimukset, jotka koskevat henkilötietojen siirtämistä edelleen elimille, joita nämä yrityksiä koskevat sitovat säännöt eivät sido, on täsmennetty BCR-P:n kohdassa 4.1;
  • rekisteröityjen henkilötietojen käsittelyä koskevat oikeudet ja keinot käyttää niitä, mukaan lukien oikeus olla joutumatta sellaisten 22 artiklassa tarkoitettujen päätösten kohteeksi, jotka perustuvat pelkästään automaattiseen käsittelyyn, mukaan lukien profilointi, oikeus tehdä valitus toimivaltaiselle valvontaviranomaiselle ja oikeus oikeussuojakeinoihin jäsenvaltioiden toimivaltaisissa tuomioistuimissa 79 artiklan mukaisesti sekä oikeus muutoksenhakuun ja tarvittaessa korvauksen saamiseen yritystä koskevien sitovien sääntöjen rikkomisen vuoksi on kuvattu BCR-P:n kohdissa 6 ja 11;
  • jäsenvaltion alueelle sijoittautuneen rekisterinpitäjän tai henkilötietojen käsittelijän suostumus kantaa vastuu siitä, että asianomainen yritysryhmän jäsen, joka ei ole sijoittautunut unionin alueelle, rikkoo yritystä koskevia sitovia sääntöjä; rekisterinpitäjä tai henkilötietojen käsittelijä voidaan vapauttaa tästä vastuusta osittain tai kokonaan vain edellä mainitun rekisterinpitäjän tai henkilötietojen käsittelijän osoitettua, ettei kyseinen jäsen ole vastuussa vahingon aiheuttaneesta tapahtumasta (BCR-P:n kohta 12);
  • se, miten yritystä koskevista sitovista säännöistä ja erityisesti yleisen tietosuoja-asetuksen 47 artiklan 2 kohdan d, e ja f alakohdassa tarkoitetuista säännöksistä ilmoitetaan rekisteröidyille yleisen tietosuoja-asetuksen 13 ja 14 artiklan vaatimusten lisäksi, on täsmennetty BCR-P:n 11, 14 ja 17 kohdissa;
  • kaikkien tietosuoja-asetuksen 37 artiklan mukaisesti nimitettyjen tietosuojavastaavien taikka konsernissa yritystä koskevien sitovien sääntöjen noudattamisen valvonnasta sekä koulutuksen ja valitusten käsittelyn seurannasta vastaavan minkä tahansa muun henkilön tai yksikön tehtävät on määritelty BCR-P:n 5 kohdassa;
  • valitusmenettelyt on eritelty BCR-P:n 7 ja 11 kohdissa;
  • konsernissa käyttöön otetut mekanismit, joilla varmistetaan yritystä koskevien sitovien sääntöjen noudattamisen valvonta, on yksityiskohtaisesti esitetty BCR-P:n 10 kohdassa. Tällaisiin mekanismeihin kuuluvat tietosuojatarkastukset ja menetelmät, joilla varmistetaan korjaavat toimet rekisteröidyn oikeuksien suojaamiseksi. Tällaisen valvonnan tulokset ilmoitetaan h alakohdassa tarkoitetulle henkilölle tai yhteisölle sekä konsernissa määräysvaltaa käyttävän yrityksen hallitukselle (tässä tapauksessa Nokian pääkonttorille sekä tietosuojasta vastaavalle organisaatiolle) ja ne ovat pyynnöstä toimivaltaisen valvontaviranomaisen saatavilla;
  • mekanismit sääntöihin tehtävistä muutoksista ilmoittamista ja kirjaamista sekä kyseisistä muutoksista valvontaviranomaisille ilmoittamista varten määritellään BCR-P:n kohdassa 14;
  • valvontaviranomaisen kanssa käyttöön otettu yhteistyömekanismi sen varmistamiseksi, että kaikki konsernin jäsenet noudattavat sääntöjä, täsmennetään BCR-P:n kohdassa 13. Velvollisuus asettaa valvontaviranomaisen saataville edellä j alakohdassa tarkoitettujen toimenpiteiden seurannan tulokset on todettu BCR-P:n kohdassa 10;
  • mekanismit, joilla raportoidaan toimivaltaiselle valvontaviranomaiselle konsernin jäseneen kolmannessa maassa sovellettavista oikeudellisista vaatimuksista, joilla on todennäköisesti merkittävä haitallinen vaikutus yritystä koskevissa sitovissa säännöissä annettuihin takeisiin, on kuvattu BCR-P:n 15.1 kohdassa;
  • velvollisuus tarjota asianmukaista tietosuojakoulutusta henkilöstölle, jolla on pysyvä tai säännöllinen pääsy henkilötietoihin on täsmennetty BCR-P:n 9 kohdassa.

Tietosuojaneuvosto antoi asiassa lausuntonsa 8.huhtikuuta 2025 yleisen tietosuoja-asetuksen 64 artiklan 1 kohdan f alakohdan mukaisesti. Tietosuojavaltuutettu otti lausunnon huomioon.

Tietosuojavaltuutetun päätös

  1. Tietosuojavaltuutettu hyväksyy Nokian henkilötietojen käsittelijän yritystä koskevat sitovat säännöt asianmukaisiksi suojatoimiksi henkilötietojen siirrolle yleisen tietosuoja-asetuksen 46 artiklan 1 ja 2 kohdan b alakohdan sekä 47 artiklan 1 ja 2 kohdan mukaisesti. Selvyyden vuoksi todettakoon, että yritystä koskevien sitovien sääntöjen hyväksyminen ei merkitse yksittäisten henkilötietojen siirtojen hyväksymistä näiden sääntöjen perusteella. Näin ollen yritystä koskevien sitovien sääntöjen hyväksyntää ei tule tulkita hyväksynnäksi henkilötietojen siirroille sellaisiin kolmansiin maihin, jotka on mainittu näissä sitovissa säännöissä mutta joiden osalta ei voida taata, että tietosuojasuojan taso vastaa olennaisilta osin EU:n tietosuojasäännöksiä.
  2. Hyväksytyt yritystä koskevat sitovat säännöt eivät edellytä erityistä lupaa osallistuvilta valvontaviranomaisilta.
  3. Yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan j alakohdan mukaisesti jokaisella osallistuvalla valvontaviranomaisella on edelleen valtuudet määrätä kolmannessa maassa olevalle vastaanottajalle tai kansainväliselle järjestölle suuntautuvien tiedonsiirtojen keskeyttämisestä, jos Nokian henkilötietojen käsittelijän yritystä koskevien sitovien sääntöjen mukaisia asianmukaisia suojatoimia ei noudateta.

Päätös saa lainvoiman, kun valitusaika päättyy.

Päätöksen liitteet

Tällä päätöksellä hyväksytyt Nokian käsittelijän yritystä koskevat sitovat säännöt kattavat seuraavat:

  1. Soveltamisala : Vain Nokia-konsernin jäsenet, jotka toimivat henkilötietojen käsittelijöinä ja jotka ovat oikeudellisesti sitoutuneet sääntöihin BCR-P:n kohdassa 2.1 kuvatulla tavalla.
  2. ETA-maat, joista siirrot tehdään : Henkilötietoja voidaan siirtää mistä tahansa Nokia-konsernin yksiköstä seuraavissa ETA-maissa: Alankomaat, Belgia, Bulgaria, Espanja, Irlanti, Italia, Itävalta, Kreikka, Kroatia, Latvia, Liettua, Luxemburg, Norja, Portugali, Puola, Ranska, Romania, Ruotsi, Saksa, Slovakia, Slovenia, Suomi, Tanska, Tšekki, Unkari, Viro sekä ETA:n ulkopuoliset maat Sveitsi ja Yhdistynyt kuningaskunta.
  3. Kolmannet maat, joihin siirtoja tehdään : Rajat ylittävät sijainnit luetellaan BCR-P:n 2.1 ja 2.4 kohdissa.
  4. Siirron tarkoitus : Henkilötietojen käsittelijänä Nokia käsittelee henkilötietoja tarjotessaan palveluja asiakkaille näiden pyynnöstä palvelusopimuksen ja liitännäissopimusten perusteella. Tyypillisesti käsittely tapahtuu Nokian suorittaessa seuraavia toimintoja: asiantuntijapalvelujen tarjoaminen, verkon käyttöönotto, tuotteiden ylläpitopalvelut, etätuki ja vianetsintä, raportointi ja data-analytiikka. Tarkoitukset luetellaan BCR-P:n 2.2 ja 2.4 kohdissa.
  5. Siirron kohteena olevien rekisteröityjen ryhmät : BCR-P kattaa seuraavat rekisteröityjen ryhmät: asiakkaat, kuluttajat ja asiakkaan työntekijät. Rekisteröityjen ryhmät on lueteltu BCR-P:n 2.3 kohdassa.
  6. Siirrettävien henkilötietojen kategoriat : Henkilötietoluokat on lueteltu BCR-P:n 2.2 ja 2.4 kohdissa. 
Top of page