Euroopan tietosuojaneuvosto

Euroopan tietosuojaneuvoston kuudes täysistunto: Privacy Shield, Brexit, kliiniset lääketutkimukset, tietosuojaa koskevan vaikutustenarvioinnin luettelot, sertifiointia koskevat ohjeet, Euroopan tietosuojaneuvoston vastaus Australian tietosuojaviranomaise

Thursday, 24 January, 2019
EDPB

Bryssel, 24. tammikuuta – 22.–23. tammikuuta Euroopan tietosuojaviranomaisista koostuva Euroopan tietosuojaneuvosto kokoontui kuudenteen täysistuntoonsa. Istunnossa käsiteltiin useita aiheita.

Privacy Shield -järjestely
Tietosuojaneuvosto hyväksyi EU: n ja Yhdysvaltojen välisen Privacy Shield -järjestelyn toisen vuosikatsauksen. Euroopan tietosuojaneuvosto suhtautuu myönteisesti siihen, että Yhdysvaltojen viranomaiset ja komissio ovat ryhtyneet toteuttamaan Privacy Shield -järjestelyä, erityisesti toimia, joiden tarkoituksena on mukauttaa alkuperäistä sertifiointimenettelyä, aloittaa valvonta- ja täytäntöönpanotoimet sekä julkaista asiakirjoja, jotka liittyvät osittain turvallisuusluokituksen poistamisen (kuten FISC-tuomioistuimen päätökset), uuden puheenjohtajan sekä yksityisyyden ja kansalaisvapauksien valvonnasta vastaavan lautakunnan (Privacy and Civil Liberties Oversight Board, PCLOB) kolmen uuden jäsenen nimittämiseen ja pysyvän oikeusasiamiehen nimittämiseen.

Tämän katsauksen jälkeenkin Privacy Shield -järjestelyn täytäntöönpanoa koskevat huolenaiheet ovat edelleen olemassa. Jo Euroopan tietosuojaneuvoston edeltäjän, WP29:n, asiakirjassa on todettu, ettei valikoimatonta henkilötietojen keruuta ja käyttöä kansalliseen turvallisuuteen liittyvissä tarkoituksissa ole suljettu pois. Nykyisen tiedon valossa Euroopan tietosuojaneuvosto ei myöskään voi olla varma, että oikeusasiamiehellä on riittävät valtuudet korjata näiden periaatteiden noudattamatta jättäminen. Lisäksi neuvosto huomauttaa, etteivät Privacy Shield -järjestelyn periaatteiden noudattamista koskevat tarkastukset ole riittävän kattavia.

Lisäksi Euroopan tietosuojaneuvostolla on joitakin lisähuolenaiheita. Ne liittyvät tarvittavien tarkastusten tekemiseen tietojen edelleen siirtämistä koskevien vaatimusten noudattamiseksi, henkilötietojen käsitteen laajuuteen ja uudelleensertifiointiprosessiin sekä luetteloon jäljellä olevista kysymyksistä, jotka ovat nousseet esiin ensimmäisen yhteisen tarkastelun jälkeen.

Brexit
Euroopan tietosuojaneuvosto keskusteli brexitin mahdollisista seurauksista tietosuojaan. Neuvosto sopi tekevänsä yhteistyötä liittyen brexit-valmisteluihin sekä niihin tietojensiirtomenetelmiin, jotka ovat käytettävissä sen jälkeen, kun Iso-Britannia ei enää ole EU:n jäsen.

Kliiniset lääketutkimukset
Euroopan tietosuojaneuvosto antoi Euroopan komission (SANTE-pääosasto) pyynnöstä lausunnon kliinisiin tutkimuksiin liittyvistä kysymyksistä. Lausunnossa käsitellään erityisesti näkökohtia, jotka liittyvät asianmukaisiin oikeusperusteisiin kliinisissä lääketutkimuksissa sekä kliinisten tutkimusten tietojen toissijaiseen käyttöön tieteellisissä tarkoituksissa. Lausunto toimitetaan seuraavaksi Euroopan komissiolle.

Vaikutustenarviointi
Euroopan tietosuojaneuvosto on antanut lausunnot tietosuojaa koskevasta vaikutustenarvioinnista (DPIA), jonka Liechtenstein ja Norja ovat neuvostolle toimittaneet. Nämä luettelot ovat väline tietosuoja-asetuksen johdonmukaisen soveltamisen kannalta koko Euroopan talousalueella. Tietosuojaa koskeva vaikutustenarviointi on prosessi, jonka avulla voidaan tunnistaa ja lieventää tietosuojaan liittyviä riskejä, jotka voivat vaikuttaa yksilöiden oikeuksiin ja vapauksiin. Vaikka rekisterinpitäjän on yleensä arvioitava, edellytetäänkö tietosuojaa koskevaa vaikutustenarviointia ennen käsittelytoiminnan aloittamista, kansallisten valvontaviranomaisten on laadittava ja julkaistava luettelo käsittelytoimista, joihin sovelletaan tietosuojaa koskevaa vaikutustenarviointia. Nämä kaksi lausuntoa noudattavat syyskuun täysistunnossa hyväksyttyjä 22 lausuntoa ja joulukuun täysistunnossa hyväksyttyjä neljää lausuntoa, ja ne auttavat osaltaan vahvistamaan yhteiset kriteerit tietosuojaa koskevan vaikutustenarvioinnin luettelolle koko Euroopan talousalueella.

Sertifiointia koskeva ohjeistus
Euroopan tietosuojaneuvoston sertifiointia koskeva ohjeistus hyväksyttiin julkisen kuulemisen ja sen perusteella tehtyjen muutosten jälkeen. Lisäksi neuvosto hyväksyi uuden liitteen. Tietosuojaneuvoston ensimmäinen täysistunto hyväksyi luonnoksen suuntaviivoista toukokuussa. Ohjeiden ensisijaisena tavoitteena on määritellä yleiset kriteerit, jotka voivat olla merkityksellisiä yleisen tietosuoja-asetuksen 42 ja 43 artiklan mukaisesti myönnettyjen sertifiointimekanismien kannalta. Ohjeissa selvennetään perusteluja sertifioinnin käyttämiselle vastuuvälineenä sekä asetuksen 42 ja 43 artiklan keskeisiä käsitteitä. Lisäksi ohjeet tarkentavat sitä, mitä voidaan sertifioida, ja kuvaavat sertifioinnin tarkoitusta. Ohjeet auttavat jäsenvaltioita, valvontaviranomaisia ja kansallisia akkreditointielimiä näiden tarkistaessa ja hyväksyessä yleisen tietosuoja-asetuksen mukaisia sertifiointiperusteita. Ohjeeseen kuuluvasta liitteestä järjestetään julkinen kuuleminen.

Vastaus Australian valvontaviranomaiselle tietojen tietoturvaloukkausilmoituksesta
Lokakuussa 2018 tietosuojaneuvosto sai Australian tietosuojavaltuutetun virastolta kirjallisen pyynnön, joka koski valvontaviranomaisten toimittamien tietoturvaloukkausten julkistamista. Euroopan tietosuojaneuvosto on tyytyväinen viraston kiinnostukseen tehdä yhteistyötä Euroopan tietosuojaneuvoston kanssa, mikä samalla korostaa kansainvälisen yhteistyön merkitystä. Vastauksessaan Euroopan tietosuojaneuvosto antaa lisätietoja siitä, julkaisevatko valvontaviranomaiset tietoturvaloukkauksia koskevia tietoja ja miten näitä tietoja mahdollisesti julkaistaan.