Euroopan tietosuojaneuvosto

Viidestoista täysistunto: Privacy Shield -järjestelyn vuosikatsaus, alueellista soveltamisalaa koskeva ohjeistus, sisäänrakennettua ja oletusarvoista tietosuojaa koskeva ohjeistus, lausunto Exxon Mobilin yritystä koskevista sitovista säännöistä (BCR)

Thursday, 14 November, 2019
EDPB

Bryssel 14. marraskuuta – ETA-maiden tietosuojaviranomaiset ja Euroopan tietosuojavaltuutettu kokoontuivat 12. ja 13. marraskuuta Euroopan tietosuojaneuvoston 15. täysistuntoon. Täysistunnossa keskusteltiin lukuisista aiheista.

Privacy Shield -järjestelyn kolmas vuosikatsaus
Euroopan tietosuojaneuvosto hyväksyi raportin EU:n ja Yhdysvaltojen Privacy Shield -järjestelyn kolmannesta vuosikatsauksesta. Tietosuojaneuvosto suhtautuu myönteisesti Yhdysvaltojen viranomaisten pyrkimyksiin Privacy Shield -järjestelyn täytäntöönpanemiseksi, erityisesti kaupallisia näkökohtia koskeviin valvonta- ja täytäntöönpanotoimiin, sekä yksityisyyden suojan ja kansalaisvapauksien valvontalautakunnan (PCLOB) jäsenten ja pysyvän oikeusasiamiehen nimittämiseen.

Useita huolenaiheita on kuitenkin vielä ratkaisematta. Tietosuojaneuvosto huomauttaa, että Privacy Shield -järjestelyn periaatteiden noudattamista koskevat tarkastukset vaativat vielä lisähuomiota samoin kuin järjestelyn vaatimusten soveltaminen kolmansiin maihin tehtävissä tietojen siirroissa, henkilötietojen käsittelyyn HR-sektorilla sekä  sertifiointien uudelleentarkastelu. Raportissa todetaan myös, että tarkasteluryhmän jäsenet hyötyisivät laajemmasta mahdollisuudesta saada ei-julkisia, kaupallisiin näkökohtiin ja meneillään oleviin tutkimuksiin liittyviä tietoja.

Euroopan tietosuojaneuvosto kannustaa valvontalautakuntaan (PCLOB) julkaisemaan raportteja muun muassa riippumattoman arvioinnin tekemiseksi Yhdysvaltojen alueen ulkopuolella tehdyistä valvontatoimista tapauksissa, joissa tietoja siirretään EU:sta Yhdysvaltoihin. Neuvosto toteaa, että sen asiantuntijat ovat edelleen valmiita tekemään lisätarkasteluja ja käymään lisää keskusteluja.

Vaikka Euroopan tietosuojaneuvosto on tyytyväinen tässä vuosikatsauksessa esille tulleisiin seikkoihin, raportin perusteella ei ole varmaa, onko oikeusasiamiehellä riittävät valtuudet tiedonsaantiin ja korjaavien toimenpiteiden toteuttamiseen.

Ohjeistus alueellisesta soveltamisalasta
Euroopan tietosuojaneuvosto hyväksyi julkisen kuulemisen jälkeen lopullisen version alueellista soveltamisalaa koskevasta ohjeistuksesta. Ohjeen tarkoituksena on luoda yhtenäinen tulkinta sen arvioimiseksi, milloin  rekisterinpitäjän tai käsittelijän suorittama henkilötietojen käsittely kuuluu  tietosuoja-asetuksen 3 artiklan mukaiseen alueelliseen soveltamisalaan . Ohje tarkentaa tietosuoja-asetuksen soveltamista silloin, kun rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut ETA-alueen ulkopuolelle ja esimerkiksi sitä, milloin organisaation tulee nimetä asetuksen 27 artiklan mukainen edustaja.

Lopullisessa ohjeistuksessa on huomioitu julkisessa kuulemisessa saadut kommentit mutta pyritty säilyttämään ohjeen ensimmäisen version tulkinnat.

Ohjeistus sisäänrakennetusta ja oletusarvoisesta tietosuojasta
Tietosuojaneuvosto hyväksyi ohjeistuksen sisäänrakennetusta ja oletusarvoisesta tietosuojasta. Sen keskeinen tavoite on tietosuojaperiaatteiden sekä rekisteröityjen oikeuksien tehokas toteutuminen. Tämä edellyttää, että rekisterinpitäjät toteuttavat asianmukaiset tekniset ja organisatoriset suojatoimet, joiden tarkoituksena on varmistaa tietosuojaperiaatteiden noudattaminen. Lisäksi rekisterinpitäjien on pystyttävä osoittamaan toteutettujen toimenpiteiden tehokkuus.

Sisäänrakennetun ja oletusarvoisen tietosuojan ohjeesta järjestetään seuraavaksi julkinen kuuleminen.

Lausunto ExxonMobilin yritystä koskevista sitovista säännöistä
Tietosuojaneuvosto antoi lausuntonsa ExxonMobilin luonnoksesta yritystä koskeviksi sitoviksi
 säännöiksi, jotka Belgian tietosuojaviranomainen on toimittanut tietosuojaneuvostolle. Neuvosto katsoo, että kyseinen luonnos tarjoaa riittävät takeet tietosuoja-asetuksen 46 artiklan 1 kohdan b alakohdan  ja 47 artiklan mukaisesti.

Vastauskirje LIBE-valiokunnalle EU:n tietojärjestelmistä
Euroopan tietosuojaneuvosto hyväksyi vastauksen Euroopan parlamentin kansalaisvapauksien sekä oikeus- ja sisäasioiden valiokunnan lähettämään kommenttipyyntöön Euroopan komission ehdotuksesta asetukseksi muihin EU:n tietojärjestelmiin pääsyn edellytyksistä ja asetukseksi muihin EU:n tietojärjestelmiin pääsyn edellytyksistä ETIAS-järjestelmän puitteissa. Vastauksessaan tietosuojaneuvosto katsoo, että ehdotukset olisi nähtävä osana laajempaa kokonaiskuvaa eli yhteentoimivuusperiaatteiden täytäntöönpanona ja muistuttaa WP29-työryhmän aiemmin esittämistä huolenaiheista. Lisäksi kirjeessä tuodaan esiin tietosuojan perusperiaatteisiin, kuten avoimuuteen, sisäänrakennettuun ja oletusarvoiseen tietosuojaan sekä käyttötarkoituksen rajoittamiseen liittyviä seikkoja.

Tietoverkkorikollisuutta koskevan Budapestin yleissopimuksen lisäpöytäkirja
Euroopan tietosuojaneuvosto on hyväksynyt ehdotuksen tietoverkkorikollisuutta koskevan Euroopan neuvoston yleissopimuksen (Budapestin yleissopimus) toiseksi lisäpöytäkirjaksi. Pöytäkirjaa käsitellään Euroopan neuvoston tietoverkkorikollisuutta koskevan yleissopimuksen komitean (T-CY) kuulemisten yhteydessä. Tietosuojaneuvosto muistuttaa, että henkilötietojen suoja ja oikeusvarmuus on taattava, mikä edistää tavoitetta luoda kestäviä järjestelyjä henkilötietojen jakamiseksi kolmansien maiden kanssa lainvalvontatarkoituksia varten. Neuvosto katsoo järjestelyjen olevan sopusoinnussa EU:n perussopimusten ja perusoikeuskirjan kanssa.

Huomautus toimittajille:
Kaikki Euroopan tietosuojaneuvoston täysistunnon aikana hyväksytyt asiakirjat käyvät läpi oikeudellisen, kielellisen ja muodollisen tarkistuksen, ja ne julkaistaan Euroopan tietosuojaneuvoston verkkosivuilla näiden tarkistusten jälkeen.