Euroopan tietosuojaneuvosto

Euroopan tietosuojaneuvoston uutiset

2018

Generic press release icon
05 December 2018

Bryssel, 5. joulukuuta – 4. ja 5. joulukuuta tietosuojaviranomaiset kokoontuivat Euroopan tietosuojaneuvoston viidenteen täysistuntoon, jossa käsiteltiin lukuisia aiheita.

EU:n ja Japanin tietosuojan tason riittävyyttä koskeva päätösluonnos

Tietosuojaneuvosto hyväksyi lausunnon EU:n ja Japanin tietosuojan tason riittävyyttä koskevasta päätösluonnoksesta, jonka neuvosto sai Euroopan komissiolta syyskuussa 2018 ja jota neuvosto on arvioinut Euroopan komission toimittamien asiakirjojen perusteella. Tietosuojaneuvoston keskeisenä tavoitteena oli arvioida, onko komissio varmistunut siitä, että henkilötietosuojan taso on Japanissa riittävä.

On tärkeää huomata, että Euroopan tietosuojaneuvosto ei odota Japanin lainsäädännön olevan yhdenmukainen EU:n tietosuojalainsäädännön kanssa. Neuvosto on kuitenkin tyytyväinen Euroopan komission ja Japanin pyrkimyksistä tuoda Japanin lainsäädäntöä lähemmäs EU:ta. Täydentävien säännösten tuomat parannukset lainsäädäntöjen välisten tasaamiseksi ovat erittäin tärkeitä.

Joitakin huolenaiheita on edelleen ratkaisematta, kuten henkilötietojen koko elinkaaren mittainen suoja siinä tapauksessa, että tietoja siirretään EU:sta Japaniin. Euroopan tietosuojaneuvosto suosittelee, että Euroopan komissio käsittelee myös tietosuojaneuvoston esittämiä selvityspyyntöjä, toimittaa lisätodisteita ja selvityksiä esiin tuoduista kysymyksistä ja seuraa tiiviisti hakemuksen tehokasta soveltamista. Euroopan tietosuojaneuvosto katsoo, että EU:n ja Japanin tietosuojan tason riittävyyttä koskeva päätös on äärimmäisen tärkeä. Se on ensimmäinen tietosuojan riittävyyttä koskeva päätös, jossa sovelletaan EU:n yleistä tietosuoja-asetusta.

Vaikutustenarviointia koskevat luettelot
Europan tietosuojaneuvosto on antanut lausunnot vaikutustenarviointia koskevista luetteloista Tanskan, Kroatian, Luxemburgin ja Slovenian osalta. Nämä luettelot ovat työkalu yleisen tietosuoja-asetuksen johdonmukaiseen soveltamiseen koko Euroopan talousalueella.

Tietosuojaa koskevan vaikutustenarvioinnin avulla voidaan tunnistaa ja lieventää tietosuojaan liittyviä riskejä, jotka voivat vaikuttaa yksilöiden oikeuksiin ja vapauksiin. Rekisterinpitäjän on arvioitava, edellytetäänkö tietosuojaa koskevaa vaikutustenarviointia ennen henkilötietojen käsittelyn aloittamista. Kansallisten valvontaviranomaisten on kuitenkin laadittava ja julkaistava luettelo käsittelytoimista, joihin vaikutustenarviontia on aina sovellettava.

Nyt käsitellyt neljä luetteloa ovat jatkoa syyskuun täysistunnossa hyväksytyille 22 kansalliselle luettelolle, ja ne auttavat osaltaan vahvistamaan vaikutustenarvioinnin yhteisiä kriteerejä Euroopan talousalueella. Euroopan tietosuojaneuvoston puheenjohtaja Andrea Jelinek toteaa: ”Tämä prosessi on tarjonnut Euroopan tietosuojaneuvostolle erinomaisen mahdollisuuden kokeilla, millaisia mahdollisuuksia ja haasteita käytännössä on. Yleisessä tietosuoja-asetuksessa ei edellytetä täydellistä yhdenmukaistamista tai ’EU:n luetteloa’, mutta se edellyttää johdonmukaisuutta, joka on saavutettu sopimalla yhteisestä kannasta kansallisten luetteloiden avulla.”

Akkreditointia koskeva ohjeistus

Euroopan tietosuojaneuvosto hyväksyi tarkistetun version akkreditointia koskevasta ohjeistuksesta ja siihen sisältyvän uuden liitteen. Ohjeistus on alun perin hyväksytty EU:n aiemmassa tietosuojatyöryhmässä (WP29), josta se on julkisen kuulemisen jälkeen siirtynyt tietosuojaneuvoston käsiteltäväksi.

Ohjeistuksen tarkoituksena on määritellä, miten yleisen tietosuoja-asetuksen 43 artiklan säännöksiä tulkitaan ja pannaan täytäntöön. Sen tarkoituksena on auttaa jäsenvaltioita, valvontaviranomaisia ja kansallisia akkreditointielimiä luomaan yhdenmukainen taso EU:n yleisen tietosuoja-asetuksen mukaisille akkreditoinneille. Nyt ohjeistusta on täydennetty liitteellä, joka käsittelee valvontaviranomaisten vahvistamien sertifiointielinten hyväksymiseen liittyviä lisävaatimuksia. Liitteestä järjestetään vielä julkinen kuuleminen.

04 December 2018

On December 4 and 5, the European Data Protection Board's fifth plenary is taking place in Brussels. For further information, please consult the agenda.

Agenda of Fifth Plenary

Generic press release image
19 November 2018

Bryssel 19. marraskuuta – Euroopan tietosuojeluviranomaiset kokoontuivat 16. marraskuuta Euroopan tietosuojaneuvoston neljänteen täysistuntoon. Kokouksen aikana keskusteltiin monenlaisista asioista.
 
EU:n ja Japanin välisen tietosuojan riittävyyttä koskevan päätöksen luonnos  
Euroopan tietosuojaneuvoston (EDPB) jäsenet keskustelivat siitä, miten EU:n ja Japanin välisen tietosuojan riittävyyttä koskevan päätöksen luonnokseen liittyvässä työssä oli edistytty. Komissaari Věra Jourová oli toimittanut päätösluonnoksen EDPB:lle syyskuussa 2018. Neuvosto toisti, kuinka tärkeää on taata EU:sta siirrettävien tietojen suojan jatkuvuus ja korkea taso.

Euroopan tietosuojaneuvosto antaa ohjeita kliinisiä lääketutkimuksia koskevia kysymyksiä ja vastauksia varten ottaen huomioon tietosuoja-asetuksen ja kliinisiä lääketutkimuksia koskevan asetuksen vuorovaikutuksen
Kuultuaan Euroopan komissiota EDPB hyväksyi mandaatin komission laatimasta kysymys- ja vastausluettelosta, joka koskee ohjeiden antamista tietosuoja-asetuksen ja kliinisiä lääketutkimuksia koskevan asetuksen keskinäisestä vuorovaikutuksesta.
 
Alueellista soveltamista koskevat suuntaviivat
Euroopan tietosuojaneuvosto hyväksyi syyskuun täysistunnossa luonnoksen uusista suuntaviivoista, joiden avulla on helpompi muodostaa yhteinen tulkinta yleisen tietosuoja-asetuksen alueellisen soveltamisalan selventämisestä, erityisesti silloin kun rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut EU:n ulkopuolelle. Tämä koskee myös edustajan nimeämistä. Ennen julkaisemista tehtävissä säännönmukaisissa lopullisissa oikeudellisissa tarkistuksissa kävi ilmi, että eräistä seikoista oli syytä keskustella enemmän, joten EDPB päätti keskustella suuntaviivoista vielä kerran marraskuun täysistunnossa. Nämä seikat on nyt ratkaistu täysin ja suuntaviivat julkaistaan pian julkista kuulemista varten.

16 November 2018

On November 16, the European Data Protection Board's fourth plenary is taking place in Brussels. For further information, please consult the agenda.

Agenda of fourth plenary

26 September 2018

Lehdistötiedote

Euroopan tietosuojaneuvoston kolmas täysistunto: Luonnos Japanin tietosuojan tason riittävyyttä koskevaksi EU:n päätökseksi, tietosuojan vaikutustenarviointia koskevat luettelot, alueellinen soveltaminen ja sähköinen todistusaineisto
Bryssel 26. syyskuuta – Euroopan tietosuojeluviranomaiset kokoontuvat 25. ja 26. syyskuuta Euroopan tietosuojaneuvoston kolmanteen täysistuntoon. Kokouksen aikana keskusteltiin monenlaisista asioista.

Japanin tietosuojan tason riittävyyttä koskeva EU:n päätös  
Tietosuojaneuvoston jäsenet keskustelivat Japanin tietosuojan riittävyyttä koskevan EU:n päätöksen luonnoksesta, jonka komissaari Věra Jourová oli toimittanut ja josta hän oli pyytänyt lausuntoa. Tietosuojaneuvosto tarkastelee päätösluonnosta nyt perusteellisesti. Se aikoo ottaa tarkastelussaan huomioon päätösluonnoksen laajan vaikutuksen sekä tarpeen suojella henkilötietoja EU:ssa.  

Luettelot tietosuojan vaikutustenarvioinneista
Euroopan tietosuojaneuvosto pääsi yhteisymmärrykseen 22 lausunnosta, jotka koskevat tietosuojan vaikutustenarviointia koskevien luettelojen yhteisiä vaatimuksia, ja hyväksyi ne. Nämä luettelot auttavat varmistamaan yleisen tietosuoja-asetuksen johdonmukaisen soveltamisen eri puolilla EU:ta. Tietosuojan vaikutustenarviointi on prosessi, jonka avulla voidaan havaita henkilöiden oikeuksiin ja vapauksiin mahdollisesti vaikuttavia tietosuojaan liittyviä riskejä ja lieventää niitä. Jotta voitaisiin selkiyttää, minkä tyyppiset käsittelytoimet edellyttävät tietosuojan vaikutustenarviointia, Euroopan tietosuojaneuvosto kehottaa kansallisia valvontaviranomaisia laatimaan ja julkaisemaan luettelot niistä toimista, joihin todennäköisesti liittyy suuri riski. Tietosuojaneuvosto vastaanotti 22 kansallista luetteloa, joissa esitetään yhteensä 260 erilaista käsittelytyyppiä. Euroopan tietosuojaneuvoston puheenjohtaja Andrea Jelinek toteaa, että kaikkien luettelojen tarkastelu ja tietosuojan vaikutustenarvioinnin käynnistävien yhteisten perusteiden vahvistaminen on ollut tietosuojaneuvoston jäsenille valtava tehtävä. ”Tämä tehtävä on tarjonnut Euroopan tietosuojaneuvostolle erinomaisen tilaisuuden selvittää tietosuojan johdonmukaisuuteen liittyviä mahdollisuuksia ja haasteita käytännössä. Yleisessä tietosuoja-asetuksessa ei vaadita täyttä yhdenmukaistamista tai ”EU-luettelon” vahvistamista, mutta siinä edellytetään johdonmukaisuuden lisäämistä. Tämä tavoite on saavutettu näiden 22 lausunnon myötä, nyt kun olemme sopineet yhteisestä kannasta”, hän sanoo.
Kansalliset lausunnot tietosuojan vaikutustenarviointia koskevista luetteloista on annettu yleisen tietosuoja-asetuksen 35 artiklan 4 ja 6 kohdan soveltamiseksi. Ne noudattelevat 29 artiklan mukaisen tietosuojatyöryhmän aiemmin antamia ohjeita.

Alueellista soveltamista koskevat suuntaviivat
Euroopan tietosuojaneuvosto hyväksyi luonnoksen uusista suuntaviivoista, joiden avulla on helpompi muodostaa yhteinen tulkinta yleisen tietosuoja-asetuksen alueellisesta soveltamisalasta eri tilanteissa, erityisesti silloin kun rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut EU:n ulkopuolelle. Tämä koskee myös edustajan nimeämistä. Suuntaviivoista pidetään julkinen kuuleminen.

Sähköinen todistusaineisto
Euroopan tietosuojaneuvosto antoi lausunnon uudesta sähköistä todistusaineistoa koskevasta asetuksesta, jota Euroopan komissio ehdotti huhtikuussa 2018. Tietosuojaneuvosto katsoi, että sähköisen todistusaineiston keräämistä koskevien uusien sääntöjen pitäisi suojata riittävästi henkilöiden oikeutta tietosuojaan, ja että niissä pitäisi noudattaa EU:n tietosuojalainsäädäntöä johdonmukaisemmin.

Plenary generic picture
25 September 2018

On September 25 and 26, the European Data Protection Board's third plenary is taking place in Brussels. For further information, please consult the agenda.

Agenda of Third Plenary

23 August 2018

The General Data Protection Regulation five months on

Initiatives in the EU and international perspectives

25 October 2018

Rue de la Loi 170

2:30 pm

Side event by EDPS and EDPB

Registration closed

Welcome from Giovanni Buttarelli, European Data Protection Supervisor

Introduction by Andrea Jelinek, Chair European Data Protection Board

Part 1    Initiatives in the EU - a new quality of cooperation

 • Helen Dixon, Irish Data Protection Commissioner

 • Cristina Angela Gulisano, Director Danish Data Protection Agency

 • Isabelle Vereecken, Head of the EDPB Secretariat

 • Questions by moderator to 3 panelists

At 3:15 PM:

 • Keynote: Catherine De Bolle, Executive Director of Europol, The broader framework for EU data protection: a law enforcement perspective – TBC

 • Comments by the audience and questions to EDPB Members

  BREAK

  At 4:00 PM:

 • Keynote: Koen Lenaerts, President European Court of Justice - Accountability in a digitalized world: the Court’s role in enhancing data protection in the European Union

Part 2   International perspectives and cross-border cooperation

 • Bruno Gencarelli, Head of the International Data Flows and Protection Unit, European Commission

 • Professor Masao Horibe, Chairman Personal Information Protection Commission Japan 

 • Professor Danilo Doneda Instituto Brasiliense de Direito Público 

 • Felipe Harboe, Senator of the Republic of Chile

 • Ludmila Georgieva, Co-Chair HWP Cyber Issues, Co-Chair DAPIX (Data Protection), Perm Rep Austria

 • Joan Antokol, Managing partner, Park Legal LLC
 • Florence Raynal, Deputy Director, Head of the Department of European and International Affairs, CNIL
 • Questions by the moderator to the 5 panelists

 • Comments by the audience and questions to the panel

 • Wrap-up

   

Generic image
20 July 2018

Brussels, 19 July – An important innovation of the General Data Protection Regulation (GDPR) is the new way in which the supervisory authorities of the Member States closely cooperate to ensure a consistent application as well as a consistent protection of individuals throughout the EU.

During its second plenary meeting on 4 and 5 July the EDPB discussed the consistency and the cooperation systems, sharing first experiences on the functioning of the One-Stop Shop mechanism, the performance of the Internal Market Information System (IMI), the challenges the authorities are facing and the type of questions received since 25 May. Most data protection authorities reported a substantial increase in complaints received. The first cross-border cases were initiated in IMI on 25 May. Currently, around 100 cross-border cases in IMI are under investigation.

The EDPB Chair Andrea Jelinek said: “Despite the sharp increase in the number of cases in the last month, the Members of the EDPB report that the workload is manageable for the moment, in large part thanks to a thorough preparation in the past two years by the Article 29 Data Protection Working Party. However, we should only expect the first results of the new procedures to deal with cross-border cases in a few months from now. To handle complaints lead supervisory authorities will have to carry out investigations, observe procedural rules, and coordinate and share information with other supervisory authorities. The GDPR sets specific deadlines for each phase of the procedure. All of this takes time. During this time, complainants are entitled to be kept informed on the state of play of a case. The GDPR does not offer a quick fix in case of a complaint but we are confident the procedures detailing the way in which the authorities work together are robust and efficient.”

Generic press release pictures
05 July 2018

Bryssel 5. heinäkuuta 2018 – Euroopan tietosuojaviranomaiset kokoontuivat Euroopan tietosuojaneuvoston toiseen täysistuntoon 4. ja 5. heinäkuuta. Euroopan tietosuojaviranomaiset käsittelivät kokouksessa useita eri aiheita.
 
Yhteistyö- ja yhdenmukaisuusmenettelyt: tilannekatsaus
Euroopan tietosuojaneuvosto keskusteli yhteistyö- ja yhdenmukaisuusmekanismeista ja jakoi kokemuksia yhden luukun mekanismin toiminnasta, rajatylittävän vaihdon verkkoalustana toimivan sisämarkkinoiden tietojenvaihtojärjestelmän (IMI) tehokkuudesta, viranomaisten kohtaamista haasteista sekä 25. toukokuuta jälkeen vastaanotetuista kysymyksistä. Valtaosa tietosuojaviranomaisista ilmoitti, että valituksia on vastaanotettu huomattavasti enemmän kuin ennen. Ensimmäisten tapausten tutkinta aloitettiin IMI:ssä 25. toukokuuta. Tällä hetkellä IMI:ssä on tutkittavana 30 rajatylittävää valitusta. Euroopan tietosuojaneuvoston puheenjohtaja Andrea Jelinek totesi, että vaikka tapausten määrä kasvoi viime kuussa voimakkaasti, Euroopan tietosuojaneuvoston jäsenten mukaan työmäärä on tällä hetkellä hallittavissa. Tämä on hänen mukaansa suurelta osin artikla 29 mukaisen tietosuojatyöryhmän kahden viime vuoden aikaisen perusteellisen valmistelun ansiota. Jelinek jatkoi, että yleinen tietosuoja-asetus ei tarjoa pikaratkaisua valituksiin, mutta he ovat luottavaisia, että menettelyt, joissa määritetään viranomaisten yhteistyötavat yhdenmukaisuusmekanismin puitteissa, ovat vakaita ja tehokkaita.
 
ICANN-organisaatio
Euroopan tietosuojaneuvosto lähetti puheenjohtajansa nimissä kirjeen Internetin nimi- ja osoitejärjestelmää hallinnoivalle ICANN-organisaatiolle. Kirjeessä annetaan ohjeita, jotta ICANN voisi kehittää yleisen tietosuoja-asetuksen vaatimusten mukaisen mallin WHOIS-järjestelmässä käsiteltäviin henkilötietoihin pääsyä varten.
Kirjeessä käsitellään kysymyksiä, jotka koskevat käyttötarkoituksen määrittelyä, täydellisten WHOIS-tietojen keruuta, oikeushenkilöiden rekisteröintiä, WHOIS-järjestelmän ei-julkisiin tietoihin pääsyn tallentamista lokiin, tietojen säilyttämistä sekä käytännesääntöjä ja akkreditointia.
Tietosuojaneuvoston edeltäjä, artikla 29 mukainen tietosuojatyöryhmä, on antanut vuodesta 2003 lähtien ICANN-organisaatiolle ohjeistusta siitä, miten WHOIS-järjestelmä saadaan vastaamaan EU:n tietosuojalainsäädäntöä.
Tietosuojatyöryhmä odottaa, että ICANN kehittää ja toteuttaa WHOIS-mallin, jonka avulla asiaankuuluvat sidosryhmät, kuten lainvalvontaviranomaiset, voivat käyttää laillisesti rekisterinpitäjiä koskevia henkilötietoja yleisen tietosuoja-asetuksen mukaisesti ilman, että kyseisiä tietoja tarvitsee julkaista rajattomasti.
 
PSD2 direktiivi
Euroopan tietosuojaneuvosto lähetti puheenjohtajansa nimissä Euroopan parlamentin jäsenelle Sophie in’t Veldille kirjeen, joka koskee tarkistettua maksupalveludirektiiviä (PSD2 direktiivi). Vastauksessaan Sophie in ’t Veldille Euroopan tietosuojaneuvosto antaa lisätietoja palveluja tarjoavien kolmansien osapuolten hallussa olevasta niin kutsutusta silent party -datasta, suostumuksen antamiseen ja peruuttamiseen liittyvistä menettelyistä, teknisistä sääntelystandardeista, pankkien ja Euroopan komission välisestä yhteistyöstä, Euroopan tietosuojavaltuutetusta ja 29 artiklan mukaisesta tietosuojatyöryhmästä sekä siitä, mitä on vielä tehtävä jäljellä olevien tietosuojapuutteiden korjaamiseksi.
 
Privacy Shield -järjestely
Yhdysvaltojen oikeusasiamies, joka vastaa kansalliseen turvallisuuteen liittyvien valitusten käsittelystä Privacy Shield -järjestelyssä, suurlähettiläs Judith Garber kutsuttiin Euroopan tietosuojaneuvoston täysistuntoon keskustelemaan neuvoston jäsenten kanssa. Euroopan tietosuojaneuvosto oli erityisen kiinnostunut neuvostoa edeltäneen 29 artiklan mukaisen tietosuojatyöryhmän Yhdysvalloille ilmoittamista huolenaiheista, etenkin pysyvän oikeusasiamiehen nimittämisestä, yksityisyyden ja kansalaisvapauksien valvontalautakuntaan tehdyistä virallisista nimityksistä sekä oikeusasiamiesmekanismia koskevien lisätietojen puuttumisesta ja menettelysääntöjen julkistamisesta erityisesti sen osalta, miten oikeusasiamies on vuorovaikutuksessa tiedustelupalveluiden kanssa.
 
Euroopan tietosuojaneuvosto totesi, että kokous oikeusasiamiehen kanssa oli mielenkiintoinen ja toverillinen, mutta se ei tarjonnut lopullista vastausta näihin huolenaiheisiin, ja että aiheet pysyvät asialistan kärjessä toisessa vuosikatsauksessa (joka on määrä laatia lokakuussa 2018). Lisäksi se kehottaa Yhdysvaltain viranomaisia toimittamaan täydentäviä todisteita huolenaiheiden ratkomiseksi. Euroopan tietosuojaneuvosto huomautti lopuksi, että Euroopan unionin tuomioistuin käsittelee samoja kysymyksiä jo vireillä olevissa tapauksissa, ja tietosuojaneuvosto voi antaa niistä näkemyksensä tuomioistuimen pyynnöstä.

Generic image for fintech
05 July 2018

The EDPB adopted a letter on behalf of the EDPB Chair addressed to Sophie in’t Veld MEP regarding the revised Payments Services Directive (PSD2 Directive). In its reply to Sophie in’t Veld the EDPB sheds further light on ‘silent party data’ by Third Party Providers, the procedures with regard to giving and withdrawing consent, the Regulatory Technical Standards, the cooperation between banks and the European Commission, EDPS and WP29 and what remains to be done to close any remaining data protection gaps.

ICANN generic letter image
05 July 2018

The EDPB adopted a letter on behalf of the EDPB Chair addressed to the Internet Corporation for Assigned Names and Numbers (ICANN), providing guidance to enable ICANN to develop a GDPR-compliant model for access to personal data processed in the context of WHOIS.

The letter addresses the issues of purpose specification, collection of “full WHOIS data”, registration of legal persons, logging of access to non-public WHOIS data, data retention and codes of conduct and accreditation.

The EDPB’s predecessor, WP29, has been offering guidance to ICANN on how to bring WHOIS in compliance with European data protection law since 2003.

The EDPB expects ICANN to develop and implement a WHOIS model which will enable legitimate uses by relevant stakeholders, such as law enforcement, of personal data concerning registrants in compliance with the GDPR, without leading to an unlimited publication of those data.

Generic image of plenary
04 July 2018

On 4 and 5 July the second plenary of the European Data Protection Board is taking place in Brussels. Please consult the agenda for more information.

Generic IMI Picture
27 June 2018

It has been just a month ago that the General Data Protection Regulation (GDPR) entered into application, the long awaited revamp of the EU’s data protection rules. Under the GDPR, the supervisory authorities of the Member States closely cooperate to ensure a consistent application of the GDPR throughout the European Union, as well as consistent protection of individuals. They assist each other and coordinate decision-making in these cross-border data protection cases. Via the so-called consistency mechanism the European Data Protection Board issues opinions and takes binding decisions to arbitrate different positions on cross border cases between national data protection authorities.

IMI (Internal Market Information System) was chosen as the IT platform to support cooperation and consistency procedures under the GDPR. IMI helps public authorities across the EU to cooperate and exchange information. The GDPR is the 13th legal area supported by the system.

IMI has been developed by the European Commission’s DG GROW and was adapted to cater for the needs of the GDPR, in close cooperation with the Secretariat of the European Data Protection Board and the national supervisory authorities.

On 25 May, the first case was initiated in IMI, and shortly afterwards the supervisory authorities started to cooperate via the system. Currently, more than 30 cross-border cases are under investigation.

14 IMI modules, 19 forms and more than 10.000 data fields were put in place to address the needs of data protection authorities and the GDPR procedures. 

Generic picture derogation guidelines
30 May 2018

During its first plenary meeting, the EDPB adopted the final version of the Guidelines on derogations applicable to international transfers (art 49). The Article 29 Working Party conducted a public consultation on a draft of these guidelines. The EDPB took into consideration the replies received and integrated the appropriate changes into the adopted version. 

Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679

Generic picture certification guidelines
30 May 2018

During its first plenary meeting, the EDPB adopted a draft version of the Guidelines on certification. A public consultation is available for 6 weeks. If you are interested to contribute, please go to the “Public Consultations” section of our website or click the link bellow:

Public consultation: Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation 2016/679

Generic picture
28 May 2018

Euroopan tietosuojaneuvosto antoi ensimmäisessä täysistunnossaan 25. toukokuuta lausunnon, joka koskee sähköisen viestinnän tietosuoja-asetuksen tarkistusta ja sen vaikutusta henkilöiden yksityisyyden suojaan ja heidän viestintänsä luottamuksellisuuteen.

Lausuntoon sisältyy kehotus hyväksyä nopeasti uusi sähköisen viestinnän tietosuoja-asetus sekä tiettyjä ehdotuksia erityiskysymyksistä, jotka liittyvät lainsäätäjien esittämiin muutoksiin.

Lausunto: sähköisen viestinnän tietosuoja

Generic picture Icann
27 May 2018

Euroopan tietosuojaneuvosto hyväksyi ensimmäisessä täysistunnossaan 25. toukokuuta artikla 29 mukaisen tietosuojatyöryhmän lausunnon, joka koskee ICANN-organisaatiota ja Whois-palvelua.

Tietosuojatyöryhmän lausunto Whois-palvelusta

”Tietosuojatyöryhmä toteaa, että Whois-palvelu täyttää tärkeitä tehtäviä. 
 
Tietosuojatyöryhmä on antanut vuodesta 2003 ICANNille ohjeistusta siitä, miten Whois-palvelu saadaan vastaamaan Euroopan tietosuojalainsäädäntöä (ks. täältä tietosuojatyöryhmän lausunto vuodelta 2003). Vaikuttaa siltä, että ICANN aloitti prosessin yleiseen tietosuoja-asetukseen mukautumiseksi virallisesti vuoden 2017 aikana, mikä voi olla osasyynä siihen, että sidosryhmät ovat huolissaan yleisen tietosuoja-asetuksen soveltamisen aloittamisesta 25. toukokuuta 2018.
 
Yleisessä tietosuoja-asetuksessa ei sallita sitä, että kansalliset valvontaviranomaiset tai Euroopan tietosuojaneuvosto (joksi tietosuojatyöryhmä muuttuu 25. toukokuuta 2018) tarjoaisivat yksittäisille rekisterinpitäjille ”täytäntöönpanon lykkäyksen”. Tietosuoja on yksilön perusoikeus. Kansalainen voi aina tehdä kansalliselle tietosuojaviranomaiselleen valituksen, jos hän katsoo, että hänen yleisen tietosuoja-asetuksen mukaisia oikeuksiaan on loukattu. 
 
Tietosuojaviranomaiset voivat kuitenkin ottaa huomioon jo toteutetut tai toteutettavina olevat toimenpiteet päättäessään asianmukaisesta lakiperusteisesta kannastaan valitukseen.

Kuten on tullut ilmi jo aiemmassa kirjeenvaihdossa ICANNin kanssa (esimerkiksi tämä kirje joulukuulta 2017 ja tämä kirje huhtikuulta 2018),artikla 29 mukainen tietosuojatyöryhmä olettaa, että ICANN kehittää ja toteuttaa Whois-mallin, jonka avulla asianmukaiset sidosryhmät, kuten lainvalvontaviranomaiset, voivat käyttää laillisesti rekisterinpitäjiä koskevia henkilötietoja yleisen tietosuoja-asetuksen mukaisesti ilman, että kyseisiä tietoja tarvitsee julkaista rajattomasti.

Artikla 29 mukainen tietosuojatyöryhmä tunnistaa ICANNin viime aikoina toteuttamat toimet, joiden tarkoituksena on varmistaa, että Whois-järjestelmä on yleisen tietosuoja-asetuksen mukainen. Artikla 29 mukainen tietosuojatyöryhmä seuraa edelleen tiiviisti ICANNin edistymistä, ja sen jäsenet saattavat olla vielä ICANNiin yhteydessä varmistaakseen, että EU:n tietosuojalainsäädännön mukaiset vaatimukset otetaan asianmukaisesti huomioon.

generic picture guidelines
25 May 2018

During its first plenary meeting the European Data Protection Board endorsed the GDPR related WP29 Guidelines(Corrigendum: In document nr 8 reference to the WP 259 has been replaced by the correct WP 244).

Generic picture Plenary
25 May 2018

On 25 May 2018, the greatly anticipated General Data Protection Regulation (GDPR) entered into application and its pre-decessor Directive 95/46/EC was repealed. On that date, the Article 29 Working Party, the body bringing together the independent data protection authorities, ceased to exist and was replaced by a new body: the European Data Protection Board or EDPB.

The Board is composed of the heads of national supervisory authorities and the European Data Protection Supervisor (EDPS). The Board also includes a representative of the European Commission who, however, does not have a right to vote.

The Board’s primary role is to safeguard the consistent application of the GDPR, but it has additional competences. It advises the European Commission on, for example, the level of data protection offered by third countries. In addition, the Board promotes cooperation between the national supervisory authorities and plays a role in conciliation procedures for disputes between national supervisory authorities. In exercising its powers, the Board issues guidelines, recommendations and statements of best practice on myriad topics.

During its first plenary meeting on 25 May the Board elected its Chair and two Vice-Chairs. The EDPB Chair will lead the Board for the coming five years and will exert an important influence on data protection in Europe and beyond. The Chair’s role will be crucial for the success and effectiveness of the GDPR.

Generic picture Press release
25 May 2018

Transparency and awareness are two core principles of the Board. Therefore, following the first plenary meeting of the Board, the newly elected EDPB Chair will hold a press conference on 25 May at 12.30 in the Brussels Press Club (Rue Froissart 95, Brussels). The press conference will be broadcast in EbS: http://ec.europa.eu/avservices/ebs/live.cfm?page=2 

Generic picture Secretariat
25 May 2018

The European Data Protection Board needs to rely on an effective Secretariat to be able to effectively accomplish all the tasks it is required to carry out under the GDPR. The EDPB Secretariat is composed of legal experts, communication and IT officers and administrative staff.

This brand-new team has worked hard to make the launch of the EDPB possible.  They will, without a doubt, have busy months ahead to organise the meetings of the Board and answer questions on the Board’s tasks and responsibilities.   

 

Generic picture Press release
25 May 2018

Bryssel 25. toukokuuta – Euroopan tietosuojaneuvosto piti tänään ensimmäisen täysistuntonsa. Kyseessä on uusi, riippumaton EU:n päätöksentekoelin. Sillä on oikeushenkilön asema, ja se on perustettu yleisellä tietosuoja-asetuksella, jota aletaan soveltaa tänään. Euroopan tietosuojaneuvosto on artikla 29 mukaisen tietosuojatyöryhmän seuraaja. Sen puitteissa Euroopan tietosuojavaltuutettu ja jäsenvaltioiden valvontaviranomaiset kokoontuvat varmistamaan, että yleistä tietosuoja-asetusta sovelletaan johdonmukaisesti kaikkialla EU:ssa ja että yksilöitä suojataan yhdenmukaisesti.  Lisäksi Euroopan tietosuojaneuvosto valvoo rikosasioiden tietosuojadirektiivin täytäntöönpanoa.

Euroopan tietosuojaneuvoston puheenjohtaja Andrea Jelinek toteaa, että ”Tämä pitkään odotettu säädös antaa yksilölle suuremman mahdollisuuden hallita omia henkilötietojansa ja tarjoaa yhtenäisen sääntökokonaisuuden, jota sovelletaan kaikkiin EU:ssa henkilötietoja käsitteleviin tahoihin. Maailmassa, jossa tietoa pidetään valuuttana, yksilön oikeudet jätetään usein huomiotta tai niitä rikotaan tietoisesti. Meidän olisi pidettävä aina mielessä, että henkilötiedot kuuluvat ihmisille itselleen. Olen vakuuttunut siitä, että yleinen tietosuoja-asetus antaa kansalaisille ja valvontaviranomaisille tehokkaat välineet suojata tätä perusoikeutta ja valvoa sen toteutumista.

Uusia tietosuojavaatimuksia käsiteltäessä on usein keskitytty vain suurten sakkojen riskiin, mutta yleinen tietosuoja-asetus on paljon muutakin. Siinä asetetaan etusijalle yksilön oikeudet ja päivitetään EU:n tietosuojasääntöjä, jotta ne olisivat mahdollisimman tehokkaat ja valmiita tulevaisuuden haasteisiin. Myös yritykset, joilla on liiketoimintaa Euroopassa, hyötyvät yleisestä tietosuoja-asetuksesta, sillä se tarjoaa oikeusvarmuutta ja helpottaa toimimista eri puolilla sisämarkkinoita. Lisäksi yleisen tietosuoja-asetuksen noudattaminen parantaa yritysten mainetta. Datavetoisessa taloudessamme maine voi tuhoutua jo muutamassa päivässä, jos asiakkaat menettävät luottamuksensa yrityksen kykyyn käsitellä heidän tietojaan huolella.”

Andrea Jelinekin mukaan yhteistyö on keskeistä, jotta yleisen tietosuoja-asetuksen avulla voitaisiin saavuttaa toivotut tulokset. ”On hyvin tärkeää, että yhdistämme voimamme Euroopan tietosuojaneuvoston puitteissa, jotta voimme taata korkean ja yhdenmukaisen tietosuojan tason kaikille ihmisille eri puolilla EU:ta. Aiomme myös tiedottaa yleisölle tietosuojaoikeuksista. Tietosuojaneuvosto on vastaperustettu EU:n elin, jolla on uusi hallinto- ja koordinointimalli sekä toimivalta antaa sitovia päätöksiä. Näin voimme täyttää tehokkaasti tehtävämme, joka on yleisen tietosuoja-asetuksen keskeisiä käsitteitä koskevien ohjeiden antaminen.”

Yleinen tietosuoja-asetus on uusi EU:n säädös, jolla tiukennetaan valvontaa sen suhteen, miten ihmiset ja organisaatiot saavat käyttää ja jakaa yksilöiden henkilötietoja. Sitä sovelletaan myös Euroopan ulkopuolella toimiviin organisaatioihin, jotka kohdentavat toimintansa EU:n alueella asuviin henkilöihin tai seuraavat heidän käyttäytymistään. Yleisellä tietosuoja-asetuksella korvataan EU:n tietosuojadirektiivi, joka annettiin jo vuonna 1995 – aikana, jona internet oli vasta lapsenkengissä. Sen myötä erilliset kansalliset lait korvataan yhdellä EU:n asetuksella, jonka tarkoituksena on lisätä organisaatioiden vastuuvelvollisuutta, antaa yksilöille paremmat mahdollisuudet hallita omia tietojaan ja parantaa yritysten oikeusvarmuutta innovoinnin edistämiseksi ja digitaalisten sisämarkkinoiden tulevan kehityksen vauhdittamiseksi.  

Generic picture MoU
25 May 2018

Euroopan tietosuojaneuvosto ja Euroopan tietosuojavaltuutettu allekirjoittivat yhteisymmärryspöytäkirjan Euroopan tietosuojaneuvoston ensimmäisessä täysistunnossa. Yhteisymmärryspöytäkirjassa esitetään tapa, jolla Euroopan tietosuojaneuvosto ja Euroopan tietosuojavaltuutettu tekevät yhteistyötä.

Yhteisymmärryspöytäkirja

Generic picture Cocktail
24 May 2018

A new regulation and a new EU Body need to be celebrated! To do so, a cocktail reception took place on the 24th of May. Within the beautiful venue of the Bibliotheque Solvay in Brussels, Commissioner Vera Jourova, Jan Philipp Albrecht MEP, European Data Protection Supervisor Giovanni Buttarelli and WP29 Chair Andrea Jelinek held speeches looking back at the coming into application of the GDPR and the challenges ahead. Many of those who played an active role in the negotiations of the GDPR were present and proud to see the achievement of such a long process.