Euroopan tietosuojaneuvosto

Euroopan tietosuojaneuvoston uutiset

11 December 2019

Following the EDPB opinion (July 2019) on the draft standard contractual clauses (SCCs) for contracts between controller and processor submitted to the Board by the Danish Supervisory Authority (SA), the final text of the Danish SCCs, as adopted by the Danish SA, has been published in the EDPB's Register for Decisions taken by supervisory authorities and courts on issues handled in the consistency mechanism.
 
The standard processor agreement has been adopted by the Danish SA pursuant to art. 28(8) GDPR and aims at helping organisations to meet the requirements of art. 28 (3) and (4), given the fact that the contract between controller and processor cannot just restate the provisions of the GDPR but should further specify them, e.g. with regard to the assistance provided by the processor to the controller.
 
The possibility of using SCCs adopted by a SA does not prevent the parties from adding other clauses or additional safeguards, provided that they do not contradict, directly or indirectly, the adopted clauses or prejudice the fundamental rights or freedoms of the data subjects.
Nevertheless, the clauses are an instrument to be used "as is", i.e. the parties who enter into a contract with a modified version of the clauses are not deemed to have employed the adopted SCCs. On the contrary, to the extent that organizations choose to make use of these standard provisions, the Danish SA, for example in connection with an inspection visit, will not examine these provisions in more detail.

04 December 2019

Bryssel 4. joulukuuta – ETA-maiden tietosuojaviranomaiset ja Euroopan tietosuojavaltuutettu kokoontuivat 2. ja 3. joulukuuta Euroopan tietosuojaneuvoston 16. täysistuntoon. Istunnossa keskusteltiin useista aiheista.

Tietosuoja-asetuksen 64 artiklan mukainen lausunto käytännesääntöjen valvontaelinten akkreditointivaatimuksista
Euroopan tietosuojaneuvosto antoi lausunnon Ison-Britannian tietosuojaviranomaisen laatimasta luonnoksesta käytännesääntöjen valvontaelinten akkreditointivaatimuksiksi. Neuvosto ehdottaa luonnokseen joitakin muutoksia, joiden tavoitteena on varmistaa valvontaelinten akkreditoinnin johdonmukainen ja asianmukainen soveltaminen.

Vastaus BERECin ohjauspyyntöön verkkoneutraaliutta koskevan ohjeistuksen tarkistamisesta
Euroopan tietosuojaneuvosto hyväksyi vastauksen Euroopan sähköisen viestinnän sääntelyviranomaisten yhteistyöelimen (BEREC) ohjauspyyntöön. Vastauksessa neuvosto tuo esiin huolensa verkkotunnusten ja URL-osoitteiden käsittelystä liikenteenhallinnassa ja laskutuksessa tapauksissa, jossa maksutonta pääsyä sivustolle tarjotaan esimerkiksi mainonnan sallimista vastaan.

Euroopan tietosuojaneuvosto kannustaa internet-liityntäpalvelujen tarjoajia ja tarvittaessa BERECiä sopimaan vähemmän kajoavista ja standardoidummista tavoista hallita internet-liikennettä. Näiden tapojen tulee olla yhteentoimivia eri IAS-standardeissa, eivätkä ne saa perustua URL-osoitteiden ja verkkotunnusten käyttöön.

Ohjeet perusteista, jotka koskevat oikeutta tulla unohdetuksi hakukoneisiin liittyvissä tapauksissa (osa 1)
Tietosuojaneuvosto hyväksyi ohjeluonnoksen kriteereistä, jotka koskevat oikeutta tulla unohdetuksi hakukoneisiin liittyvissä tapauksissa. Ohjeissa tulkitaan tietosuoja-asetuksen 17 artiklassa määriteltyä oikeutta tietojen poistamiseen sekä tähän oikeuteen liittyviä poikkeuksia, kun kyseessä on tietojen poisto hakukonepalvelusta. Ohje on päivitys WP29-työryhmän ohjeistukseen, joka laadittiin Euroopan unionin tuomioistuimen niin sanotun Costeja-päätöksen jälkeen vuonna 2014. Nyt käsitelty ohjeistus käy seuraavaksi läpi julkisen kuulemisen. Sitä täydennetään myöhemmin toisella osalla, joka käsittelee tiedon poistopyynnön epäämiseen liittyvän kantelun tekemistä.

Huomautus toimittajille:
Kaikki Euroopan tietosuojaneuvoston täysistunnon aikana hyväksytyt asiakirjat käyvät läpi oikeudellisen, kielellisen ja muodollisen tarkistuksen, ja ne julkaistaan Euroopan tietosuojaneuvoston verkkosivuilla näiden tarkistusten jälkeen.

02 December 2019

On December 2nd and 3rd, the sixteenth plenary session of the European Data Protection Board is taking place in Brussels. For further information, please consult the agenda.

Agenda of Sixteenth Plenary

14 November 2019

Bryssel 14. marraskuuta – ETA-maiden tietosuojaviranomaiset ja Euroopan tietosuojavaltuutettu kokoontuivat 12. ja 13. marraskuuta Euroopan tietosuojaneuvoston 15. täysistuntoon. Täysistunnossa keskusteltiin lukuisista aiheista.

Privacy Shield -järjestelyn kolmas vuosikatsaus
Euroopan tietosuojaneuvosto hyväksyi raportin EU:n ja Yhdysvaltojen Privacy Shield -järjestelyn kolmannesta vuosikatsauksesta. Tietosuojaneuvosto suhtautuu myönteisesti Yhdysvaltojen viranomaisten pyrkimyksiin Privacy Shield -järjestelyn täytäntöönpanemiseksi, erityisesti kaupallisia näkökohtia koskeviin valvonta- ja täytäntöönpanotoimiin, sekä yksityisyyden suojan ja kansalaisvapauksien valvontalautakunnan (PCLOB) jäsenten ja pysyvän oikeusasiamiehen nimittämiseen.

Useita huolenaiheita on kuitenkin vielä ratkaisematta. Tietosuojaneuvosto huomauttaa, että Privacy Shield -järjestelyn periaatteiden noudattamista koskevat tarkastukset vaativat vielä lisähuomiota samoin kuin järjestelyn vaatimusten soveltaminen kolmansiin maihin tehtävissä tietojen siirroissa, henkilötietojen käsittelyyn HR-sektorilla sekä  sertifiointien uudelleentarkastelu. Raportissa todetaan myös, että tarkasteluryhmän jäsenet hyötyisivät laajemmasta mahdollisuudesta saada ei-julkisia, kaupallisiin näkökohtiin ja meneillään oleviin tutkimuksiin liittyviä tietoja.

Euroopan tietosuojaneuvosto kannustaa valvontalautakuntaan (PCLOB) julkaisemaan raportteja muun muassa riippumattoman arvioinnin tekemiseksi Yhdysvaltojen alueen ulkopuolella tehdyistä valvontatoimista tapauksissa, joissa tietoja siirretään EU:sta Yhdysvaltoihin. Neuvosto toteaa, että sen asiantuntijat ovat edelleen valmiita tekemään lisätarkasteluja ja käymään lisää keskusteluja.

Vaikka Euroopan tietosuojaneuvosto on tyytyväinen tässä vuosikatsauksessa esille tulleisiin seikkoihin, raportin perusteella ei ole varmaa, onko oikeusasiamiehellä riittävät valtuudet tiedonsaantiin ja korjaavien toimenpiteiden toteuttamiseen.

Ohjeistus alueellisesta soveltamisalasta
Euroopan tietosuojaneuvosto hyväksyi julkisen kuulemisen jälkeen lopullisen version alueellista soveltamisalaa koskevasta ohjeistuksesta. Ohjeen tarkoituksena on luoda yhtenäinen tulkinta sen arvioimiseksi, milloin  rekisterinpitäjän tai käsittelijän suorittama henkilötietojen käsittely kuuluu  tietosuoja-asetuksen 3 artiklan mukaiseen alueelliseen soveltamisalaan . Ohje tarkentaa tietosuoja-asetuksen soveltamista silloin, kun rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut ETA-alueen ulkopuolelle ja esimerkiksi sitä, milloin organisaation tulee nimetä asetuksen 27 artiklan mukainen edustaja.

Lopullisessa ohjeistuksessa on huomioitu julkisessa kuulemisessa saadut kommentit mutta pyritty säilyttämään ohjeen ensimmäisen version tulkinnat.

Ohjeistus sisäänrakennetusta ja oletusarvoisesta tietosuojasta
Tietosuojaneuvosto hyväksyi ohjeistuksen sisäänrakennetusta ja oletusarvoisesta tietosuojasta. Sen keskeinen tavoite on tietosuojaperiaatteiden sekä rekisteröityjen oikeuksien tehokas toteutuminen. Tämä edellyttää, että rekisterinpitäjät toteuttavat asianmukaiset tekniset ja organisatoriset suojatoimet, joiden tarkoituksena on varmistaa tietosuojaperiaatteiden noudattaminen. Lisäksi rekisterinpitäjien on pystyttävä osoittamaan toteutettujen toimenpiteiden tehokkuus.

Sisäänrakennetun ja oletusarvoisen tietosuojan ohjeesta järjestetään seuraavaksi julkinen kuuleminen.

Lausunto ExxonMobilin yritystä koskevista sitovista säännöistä
Tietosuojaneuvosto antoi lausuntonsa ExxonMobilin luonnoksesta yritystä koskeviksi sitoviksi
 säännöiksi, jotka Belgian tietosuojaviranomainen on toimittanut tietosuojaneuvostolle. Neuvosto katsoo, että kyseinen luonnos tarjoaa riittävät takeet tietosuoja-asetuksen 46 artiklan 1 kohdan b alakohdan  ja 47 artiklan mukaisesti.

Vastauskirje LIBE-valiokunnalle EU:n tietojärjestelmistä
Euroopan tietosuojaneuvosto hyväksyi vastauksen Euroopan parlamentin kansalaisvapauksien sekä oikeus- ja sisäasioiden valiokunnan lähettämään kommenttipyyntöön Euroopan komission ehdotuksesta asetukseksi muihin EU:n tietojärjestelmiin pääsyn edellytyksistä ja asetukseksi muihin EU:n tietojärjestelmiin pääsyn edellytyksistä ETIAS-järjestelmän puitteissa. Vastauksessaan tietosuojaneuvosto katsoo, että ehdotukset olisi nähtävä osana laajempaa kokonaiskuvaa eli yhteentoimivuusperiaatteiden täytäntöönpanona ja muistuttaa WP29-työryhmän aiemmin esittämistä huolenaiheista. Lisäksi kirjeessä tuodaan esiin tietosuojan perusperiaatteisiin, kuten avoimuuteen, sisäänrakennettuun ja oletusarvoiseen tietosuojaan sekä käyttötarkoituksen rajoittamiseen liittyviä seikkoja.

Tietoverkkorikollisuutta koskevan Budapestin yleissopimuksen lisäpöytäkirja
Euroopan tietosuojaneuvosto on hyväksynyt ehdotuksen tietoverkkorikollisuutta koskevan Euroopan neuvoston yleissopimuksen (Budapestin yleissopimus) toiseksi lisäpöytäkirjaksi. Pöytäkirjaa käsitellään Euroopan neuvoston tietoverkkorikollisuutta koskevan yleissopimuksen komitean (T-CY) kuulemisten yhteydessä. Tietosuojaneuvosto muistuttaa, että henkilötietojen suoja ja oikeusvarmuus on taattava, mikä edistää tavoitetta luoda kestäviä järjestelyjä henkilötietojen jakamiseksi kolmansien maiden kanssa lainvalvontatarkoituksia varten. Neuvosto katsoo järjestelyjen olevan sopusoinnussa EU:n perussopimusten ja perusoikeuskirjan kanssa.

Huomautus toimittajille:
Kaikki Euroopan tietosuojaneuvoston täysistunnon aikana hyväksytyt asiakirjat käyvät läpi oikeudellisen, kielellisen ja muodollisen tarkistuksen, ja ne julkaistaan Euroopan tietosuojaneuvoston verkkosivuilla näiden tarkistusten jälkeen.

12 November 2019

On November 12th and 13th, the fifteenth plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of Fifteenth Plenary

10 October 2019

Bryssel, 10. lokakuuta – 8.–9. lokakuuta ETA-maiden tietosuojaviranomaiset ja Euroopan tietosuojavaltuutettu kokoontuivat Euroopan tietosuojaneuvoston 14. täysistuntoon. Istunnossa käsiteltiin useita aiheita.

Ohjeistus sähköisten palvelujen tietosuojasta, kun käsittelyperusteena on sopimus (6 (1) (b) artikla)
Euroopan tietosuojaneuvosto hyväksyi sähköisten palvelujen tietosuojaa koskevan ohjeen. Ohjeistus käsittelee tilanteita, joissa käsittelyperusteena on sopimus rekisteröidyn ja rekisterinpitäjän välillä. Ohje on ollut julkisessa kuulemisessa, ja sitä on tarkennettu kuulemisesta saadun palautteen perusteella. Tietosuojaneuvosto esittää ohjeistuksessa yleisiä huomioita tietosuojaperiaatteista ja sopimuksen perusteella tehtävän käsittelyn suhteesta muihin laillisiin perusteisiin. Lisäksi ohje käsittelee tilanteita, joissa useita erillisiä palveluita yhdistetään tai sopimus puretaan.

Lausunto yritystä koskevista sitovista säännöistä (64 artikla)
Euroopan tietosuojaneuvosto antoi lausunnon Ison-Britannian tietosuojaviranomaisen (ICO) päätösluonnoksesta Equinixin yritystä koskeviksi sitoviksi säännöiksi. Euroopan tietosuojaneuvoston mukaan säännöt sisältävät kaikki yleisen tietosuoja-asetuksen 47 artiklan ja neuvoston ohjeistuksen mukaiset elementit ja asianmukaiset suojatoimet.

Lentomatkustajatiedot (PNR)
Euroopan tietosuojaneuvosto hyväksyi vastauksen europarlamentaarikko Sophie in’t Veldin kirjeeseen, joka käsitteli uudelleen neuvoteltua PNR-sopimusta Kanadan kanssa ja sen vaikutusta muihin PNR-sopimuksiin. Vastauksessaan tietosuojaneuvosto toteaa, että sopimusluonnosta ei ole vielä hyväksytty, mutta siitä tullaan antamaan lausunto. Vastauksessa viitataan myös aiempaan kirjeeseen, jonka tietosuojaneuvoston edeltäjä, WP29-työryhmä, lähetti Euroopan komissiolle sen jälkeen, kun Euroopan unionin tuomioistuin oli antanut lausunnon Kanadan kanssa tehtävän PNR-sopimuksen ensimmäisestä luonnoksesta.

Maailman antidopingtoimiston (WADA) säännöstön uudelleenarviointi
Euroopan tietosuojaneuvosto laati vastauksen Maailman antidopingtoimiston (WADA) säännöstön uudelleenarviointiin. Vastauksessaan neuvosto viittaa kahteen WP29-työryhmän lausuntoon WADAn säännöstöstä ja toteaa, että säännöstön ja sen standardien uudessa versiossa on edistytty yksityisyyden suojaa ja tietosuojaa koskevien suojalausekkeiden osalta. Joitakin merkittäviä ongelmia on kuitenkin vielä ratkaisematta.

Huomautus toimittajille:
Kaikki Euroopan tietosuojaneuvoston täysistunnon aikana hyväksytyt asiakirjat käyvät läpi oikeudellisen, kielellisen ja muodollisen tarkistuksen, ja ne julkaistaan Euroopan tietosuojaneuvoston verkkosivuilla näiden tarkistusten jälkeen.

08 October 2019

On October 8th and 9th, the fourteenth plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of Fourteenth Plenary

02 October 2019

Registration has been closed - no more places available

Due to the overwhelming response to our call for expression of interest, registration has now been closed and no more places are available.
The EDPB would like to thank all those who have expressed interest in attending the event.


On November 4th, the EDPB is organising a stakeholders’ event on the topic of Data Subjects Rights. Representatives from, among others, individual companies, sector organisations, NGOs, law firms and academia are welcome to express interest in attending. Places will be allocated on a first come, first served basis, depending on availability.

Detailed information and the programme of the event can be found on the registration page.

As we would like to have a balanced and representative audience, participation will be limited to one participant per organisation.

When? November 4th 2019, from 08:30 - 16:00

Where? CCAB - Centre Albert Borschette
             Rue Froissart, 36, 1040 Brussels

10 September 2019

On September 10th, the thirteenth plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of Thirteenth Plenary

21 August 2019

It is with great sadness that we learned of the passing of Giovanni Buttarelli.
 
Giovanni Buttarelli is and will always remain a big part of European data protection law and practice as we know it today. His expert knowledge, leadership and vision have inspired many of us who are active in the data protection field.
 
Throughout his career, Giovanni worked tirelessly to raise awareness and to increase transparency regarding data protection law, not just in Europe, but around the world.  
 
We have always appreciated Giovanni's openness and his positive attitude. He has been vital in kick-starting the EDPB and his contributions to the work of the Board have been very valuable and important.
 
Our thoughts are with his family and we hope they find the strength to deal with this sorrow.

11 July 2019

Bryssel, 9.–10. heinäkuuta ETA-maiden tietosuojaviranomaiset ja Euroopan tietosuojavaltuutettu kokoontuivat Euroopan tietosuojaneuvoston 12. täysistuntoon. Täysistunnossa käsiteltiin useita aiheita.

Ohjeet kameravalvonnasta
Neuvosto hyväksyi videovalvontaa koskevan ohjeen, jossa selvennetään, miten yleistä tietosuoja-asetusta sovelletaan henkilötietojen käsittelyyn videovalvonnassa. Ohjeen tavoitteena on varmistaa, että videolaitteita käytettäessä noudatetaan yleistä tietosuoja-asetusta. Suuntaviivat koskevat sekä perinteisiä videolaitteita että älykkäitä videolaitteita. Viimeksi mainittujen osalta suuntaviivoissa keskitytään erityisten tietoryhmien käsittelyä koskeviin sääntöihin. Lisäksi ohjeessa käsitellään muun muassa tietojenkäsittelyn lainmukaisuutta, kotitalouspoikkeuksen sovellettavuutta ja videomateriaalin julkistamista kolmansille osapuolille. Suuntaviivoista järjestetään julkinen kuuleminen.

Euroopan tietosuojaneuvoston ja Euroopan tietosuojavaltuutetun yhteinen vastaus kansalaisvapauksien sekä oikeus- ja sisäasioiden valiokunnalle Yhdysvaltojen CLOUD-lain vaikutuksista
Euroopan tietosuojaneuvosto vastasi Euroopan parlamentin kansalaisvapauksien sekä oikeus- ja sisäasioiden valiokunnan (LIBE) pyyntöön arvioida Yhdysvaltojen CLOUD-lain vaikutuksia EU:n tietosuojan oikeudelliselle kehykselle. Lisäksi valiokunta pyysi valtuutusta neuvotella EU:n ja Yhdysvaltojen välisestä sopimuksesta oikeudellisesta yhteistyöstä, joka koskee sähköistä todistusaineistoa rikosasioissa. CLOUD-lain mukaan Yhdysvaltojen lainvalvontaviranomaiset voivat vaatia Yhdysvalloissa sijaitsevilta palveluntarjoajilta tietojen julkistamista riippumatta siitä, missä tiedot on tallennettu.

Euroopan tietosuojaneuvosto ja Euroopan tietosuojavaltuutettu korostavat, että EU:n ja Yhdysvaltojen sähköisen todistusaineiston rajatylittävää saatavuutta koskeva kattava sopimus, johon sisältyvät vahvat menettelylliset ja merkittävät takeet perusoikeuksista, on soveltuvin väline sen varmistamiseksi, että EU:n rekisteröidyillä on tarvittava suoja ja yrityksillä on oikeusvarmuus.

Tanskan valvontaviranomainen: henkilötietojen käsittelijöihin sovellettavia mallisopimuslausekkeita koskeva 28.8 artikla
Euroopan tietosuojaneuvosto antoi tietosuoja-asetuksen 64 artiklan mukaisen lausunnon mallisopimuslausekkeista, joita Tanskan valvontaviranomainen on laatinut henkilötietojen käsittelijöille. Lausunnolla, joka on ensimmäinen tätä aihetta koskeva lausunto, pyritään varmistamaan henkilötietojen käsittelijöitä koskevan yleisen tietosuoja-asetuksen 28 artiklan johdonmukainen soveltaminen. Tietosuojaneuvosto esitti siinä useita suosituksia, jotka on otettava huomioon, jotta luonnoksia voitaisiin pitää mallisopimuslausekkeina. Jos kaikki suositukset pannaan täytäntöön, tanskalainen valvontaviranomainen voi käyttää tätä sopimusluonnosta vakiosopimuslausekkeena yleisen tietosuoja-asetuksen 28 artiklan 8 kohdan mukaisesti.

Yleisen tietosuoja-asetuksen 64 artikla: lausunto käytännesääntöjen valvontaelinten akkreditointikriteereistä Itävallan valvontaviranomaiselle
Tietosuojaneuvosto antoi lausunnon Itävallan valvontaviranomaisen toimittamasta päätösluonnoksesta, joka koskee käytännesääntöjen valvontaelinten hyväksyntäperusteita. Tietosuojaneuvosto oli samaa mieltä siitä, että kaikilla muilla kuin julkisia viranomaisia ja elimiä koskevilla käytännesäännöillä on oltava yleisen tietosuoja-asetuksen mukaisesti akkreditoitu valvontaelin.

Yleisen tietosuoja-asetuksen 64 artikla: lausunto valvontaviranomaisen toimivallasta, kun organisaation päätoimipaikan tai muun toimipaikan olosuhteet muuttuvat
Tietosuojaneuvosto antoi lausunnon valvontaviranomaisen toimivallasta, kun päätoimipaikkaan tai yksittäisiin toimipaikkoihin liittyvät olosuhteet muuttuvat. Tämä voi tapahtua silloin, kun pääasiallinen toimipaikka siirtyy ETA-maiden alueella, pääasiallinen toimipaikka siirretään ETA-maahan kolmannesta maasta tai kun Euroopan talousalueella ei ole enää pääasiallista toimipaikkaa tai yksittäistä toimipaikkaa. Näissä olosuhteissa tietosuojaneuvosto katsoo, että johtavan valvontaviranomaisen toimivalta voi siirtyä toiselle valvontaviranomaiselle. Silloin sovelletaan edelleen 60 artiklan mukaista yhteistyömenettelyä, ja uusi johtava valvontaviranomainen velvoitetaan tekemään yhteistyötä entisen johtavan valvontaviranomaisen ja muiden osallistuvien valvontaviranomaisten kanssa, jotta asiassa päästään yhteisymmärrykseen. Vaihto voidaan toteuttaa niin kauan kuin toimivaltainen valvontaviranomainen ei ole tehnyt lopullista päätöstä.

Euroopan tietosuojaneuvoston ja Euroopan tietosuojavaltuutetun yhteinen lausunto sähköisten terveyspalvelujen digitaalisesta palveluinfrastruktuurista (eHDSI)
Tietosuojaneuvosto hyväksyi neuvoston ja Euroopan tietosuojavaltuutetun yhteisen lausunnon sähköisen terveydenhuollon digitaalisten palvelujen infrastruktuuriin (eHDSI) sisältyvien potilaiden henkilötietojen käsittelyä koskevista näkökohdista. Se on ensimmäinen Euroopan tietosuojaneuvoston ja Euroopan tietosuojavaltuutetun yhteinen lausunto, joka hyväksyttiin vastauksena Euroopan komission esittämään, EU:n instituutioiden ja elinten tietosuojaa koskevan asetuksen (2018/1725) 42 artiklan 2 kohtaan. Euroopan tietosuojaneuvosto ja Euroopan tietosuojavaltuutettu katsovat lausunnossaan, että tässä nimenomaisessa tilanteessa ja potilaiden eHDSI:n sisällä tapahtuvan tietojen konkreettisen käsittelyn osalta ei ole mitään syytä poiketa Euroopan komission arviosta, jonka mukaan se toimii henkilötietojen käsittelijänä eHDSI:ssä. Lisäksi yhteisessä lausunnossa korostetaan tarvetta varmistaa, että sovellettavassa tietosuojalainsäädännössä määritellyt komissiolle kuuluvat käsittelijän tehtävät on määritelty selkeästi asiaa koskevassa täytäntöönpanosäädöksessä.

Kyprosta koskevan vaikutustenarvioinnin luettelo
Euroopan tietosuojaneuvosto antoi lausunnon Kyproksen toimittamasta tietosuojaa koskevan vaikutustenarvioinnin luettelosta. Tietosuojaa koskevan vaikutustenarvioinnin luettelot ovat tärkeä väline yleisen tietosuoja-asetuksen johdonmukaisen soveltamisen varmistamiseksi koko Euroopan talousalueella. Tietosuojaa koskeva vaikutustenarviointi on prosessi, jonka avulla voidaan tunnistaa ja lieventää tietosuojaan liittyviä riskejä, jotka voivat vaikuttaa yksilöiden oikeuksiin ja vapauksiin.

Yleisen tietosuoja-asetuksen 64 artikla: lausunto 35.5 artiklasta (tietosuojaa koskevan vaikutustenarvioinnin laatimista koskeva poikkeus)
Euroopan tietosuojaneuvosto antoi lausuntonsa 35.5 artiklan mukaisista Ranskan, Espanjan ja Tšekin valvontaviranomaisten toimittamista luetteloista.

Suositus Euroopan tietosuojavaltuutetun luettelosta asetuksen 2018/1725 39.4 artiklan mukaisesti (tietosuojaa koskevan vaikutustenarvioinnin luettelo)
Tietosuojaneuvosto on antanut suosituksen Euroopan tietosuojavaltuutetun toimittamasta 39.4 artiklan mukaisesta luettelosta. Euroopan tietosuojavaltuutetun on kuultava tietosuojaneuvostoa ennen näiden luetteloiden hyväksymistä, jos niissä ”viitataan yhden tai useamman muun rekisterinpitäjän kuin unionin toimielimen tai elimen kanssa yhdessä toimivan rekisterinpitäjän suorittamiin käsittelytoimiin” (asetuksen (EU) 2018/1725 39 artiklan 6 kohta). Samalla tavoin kuin yleisen tietosuoja-asetuksen tietosuojaa koskevan vaikutustenarvioinnin luetteloissa, tietosuojavaltuutetun luettelo antaa rekisterinpitäjille tietoa käsittelytoimista, jotka edellyttävät tietosuojaa koskevan vaikutustenarvioinnin tekemistä.

Huomautus toimittajille:
Kaikki Euroopan tietosuojaneuvoston täysistunnon aikana hyväksytyt asiakirjat käyvät läpi oikeudellisen, kielellisen ja muodollisen tarkistuksen, ja ne julkaistaan Euroopan tietosuojaneuvoston verkkosivuilla näiden tarkistusten jälkeen.

09 July 2019

On July 9th & 10th, the twelfth plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of twelfth plenary

05 June 2019

Bryssel, 5.–4. kesäkuuta ETA-maiden tietosuojaviranomaiset ja Euroopan tietosuojavaltuutettu kokoontuivat Euroopan tietosuojaneuvoston 11. täysistuntoon. Istunnossa käsiteltiin useita aiheita.

Käytännesääntöjä koskeva ohjeistus
Euroopan tietosuojaneuvosto hyväksyi käytännesääntöjä koskevan ohjeistuksen. Keväällä ohjeistus kävi läpi julkisen kuulemisen, minkä jälkeen ohjetekstiä on selkeytetty. Ohjeen tarkoituksena on antaa käytännön neuvoja ja tulkintaohjeita EU :n tietosuoja-asetuksen 40 ja 41 artiklan soveltamiseen. Lisäksi ohjeen tarkoituksena on auttaa käytännesääntöjen valmisteluun, hyväksymiseen ja julkaisemiseen liittyvien menettelytapojen sekä sääntöjen käyttöönotossa sekä kansallisella että EU-tasolla. Ohjeistus toimii myös kehyksenä toimivaltaisille valvontaviranomaisille, Euroopan tietosuojaneuvostolle ja komissiolle, jotta ne voivat arvioida käytännesääntöjä johdonmukaisesti ja virtaviivaistaa arviointiprosessia.

Akkreditointia koskevan ohjeistuksen liite
Euroopan tietosuojaneuvosto hyväksyi julkisen kuulemisen jälkeen liitteen akkreditointia koskevaan ohjeistukseen. Kuulemisen jälkeen liitteen tekstiä on pyritty vielä selkeyttämään. Ohjeistuksen tarkoituksena on antaa neuvoja EU :n tietosuoja-asetuksen 43 artiklan säännösten tulkintaan ja täytäntöönpanoon. Tarkoituksena on erityisesti auttaa jäsenvaltioita, valvontaviranomaisia ja kansallisia akkreditointielimiä luomaan yhdenmukainen käytäntö niiden sertifiointielinten akkreditoinnille, jotka toteuttavat tietosuoja-asetuksen mukaisia sertifiointeja. Nyt hyväksytyssä liitteessä annetaan ohjeita valvontaviranomaisten vahvistamien sertifiointielinten hyväksymistä koskevista lisävaatimuksista. Nämä lisävaatimukset on ennen valvontaviranomaisten hyväksyntää toimitettava Euroopan tietosuojaneuvostolle hyväksyttäväksi tietosuoja-asetuksen 64 artiklan 1 kohdan c alakohdan mukaisesti.*

Sertifiointia koskevan ohjeistuksen liite
Euroopan tietosuojaneuvosto hyväksyi sertifiointiohjeen liitteen 2 lopullisen version. Julkisen kuulemisen jälkeen liitteeseen tehtiin joitakin lisäyksiä, kuten se, liittyvätkö kriteerit rekisterinpitäjän/henkilötietojen käsittelijän velvoitteeseen nimittää tietosuojavastaava, sekä se, onko käsittelytoimista välttämätöntä pitää kirjaa. Ohjeen ensisijaisena tavoitteena on määritellä yleiset kriteerit tietosuoja-asetuksen 42 ja 43 artiklan mukaisille sertifiointimekanismeille. Ohjeen liitteessä 2 käsitellään sertifiointikriteerien hyväksymisessä sovellettavia seikkoja, joita tietosuojaviranomaiset ja Euroopan tietosuojaneuvosto tarkastelevat. Tämä luettelo ei ole tyhjentävä, mutta siinä esitetään ne asiat, jotka on vähintään otettava huomioon.*

Huomautus toimittajille:
* Ennen kuin sertifiointia ja akkreditointia koskevia yksittäistapauksia käsitellään Euroopan tietosuojaneuvostossa, neuvosto luo menettelytavan kansallisten viranomaisten sille toimittamien luonnosten johdonmukaista ja ajanmukaista käsittelyä sekä yhteisen sertifikaatin hyväksymistä varten.

Kaikki Euroopan tietosuojaneuvoston täysistunnon aikana hyväksytyt asiakirjat käyvät vielä läpi oikeudellisen, muodollisen ja kielellisen tarkistuksen ja julkaistaan näiden tarkistusten jälkeen Euroopan tietosuojaneuvoston verkkosivuilla.

04 June 2019

On June 4th, the eleventh plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of eleventh plenary

22 May 2019

1 year ago, the GDPR entered into application, but what has changed for you? Where can you go to address your data protection concerns? And what is the EDPB's role in all this?

The video below provides an answer to these questions in a nutshell:

22 May 2019

Brussels, 22 May - Just a few days short of the GDPR’s first anniversary, the European Data Protection Board surveyed the Supervisory Authorities (SAs) of the EEA and takes stock of the Board’s achievements.

From the very first day of application, the first cross-border cases were logged in the EDPB’s IMI case register, leading to a current total of 446 cross-border. 205 of these have led to One-Stop-Shop (OSS) procedures. So far, there have been 19 final OSS outcomes.

    

Number of procedures initiated by SAs from 21 EEA countries
Germany: Number of procedures initiated by SAs from 7 Regional SAs

    

At a national level, most Supervisory Authorities (SAs) report an increase in queries and complaints received compared to 2017. Over 144.000 queries and complaints* and over 89.000 data breaches have been logged by the EEA Supervisory Authorities. 63% of these have been closed and 37% are ongoing.

Based on information provided by SAs from 27 EEA countries
Germany: Based on information provided by The Federal and 17 Regional SAs

Based on information provided by SAs from 27 EEA countries (Case status information provided for 164633 cases)
Germany: Based on information provided by The Federal and 11 Regional SAs

    

The increase in queries and complaints confirms the perceived rise in awareness about data protection rights among individuals, as shown in the Eurobarometer of March 2019. 67% of EU citizens polled indicated that they have heard of the GDPR, 36% of them indicated that they are well aware of what the GDPR entails. In addition, 57% of EU citizens polled indicated that they are aware of the existence of a public authority in their country responsible for protecting their data protection rights. This result shows an increase of 20 percentage points compared to 2015 Eurobarometer results**.

The EEA SAs have reported that, while the cooperation procedures are robust and efficient works, they are time and resource intensive: SAs need to carry out investigations, observe procedural rules, coordinate and share information with other supervisory authorities.

Looking back on the first 12 months of the EDPB’s work, Andrea Jelinek, Chair of the EDPB, comments:

It has been a challenging first year, but we have reached the goals that we set out to achieve, and we intend to keep up both the work and the pace. Earlier this year, the EDPB adopted its work program for 2019 and 2020. We will also see several cross-border cases carried out by SAs leading to a final outcome in the coming months. Last but not least, we want to continue to listen to and to work together with the people who can give us the best insights into the day-to-day practice of data processing. An ambitious programme, but I am certain that we, as European data protection authorities will find more and more synergies, which will increase our effectiveness.

   

*At the time of the survey, the notion of complaint had not yet been analysed by the EDPB. Up to then, the interpretation of the notion was done by the national supervisory authorities, which may have an impact on the statistics.

**Source European Commission.

15 May 2019

Bryssel, 15. toukokuuta – 14. ja 15. toukokuuta Euroopan tietosuojavaltuutettu ja ETA-maiden tietosuojaviranomaiset kokoontuivat Euroopan tietosuojaneuvoston 10. täysistuntoon. Täysistunnossa käsiteltiin useita aiheita.
 
Uuden varapuheenjohtajan valinta

Euroopan tietosuojaneuvosto valitsi Aleid Wolfsenin, Alankomaiden tietosuojaviranomaisen johtajan, neuvoston varapuheenjohtajaksi. Wolfsen seuraa tässä tehtävässä Willem Debeuckelerea, jota neuvoston puheenjohtaja Andrea Jelinek kiitti kokouksessa tietosuojan hyväksi tehdystä työstä. Yhdessä toisen varapuheenjohtajan, Ventsislav Karadjovin, kanssa Wolfsen tukee puheenjohtaja Jelinekiä tietosuojaneuvoston työskentelyssä tulevina vuosina.

”Yleinen kiinnostus tietosuoja-asioita kohtaan on ennätyksellisen suurta. Odotan mielenkiinnolla yhdessä Aleidin ja Ventsislavin kanssa tehtävää työtä entistä laajemman sidosryhmäverkoston luomiseksi tietosuoja-alalle”, Jelinek toteaa.

”Meidän vastuullamme on tulevina vuosina antaa asiantuntevaa ja luotettavaa ohjeistusta ja neuvontaa tietosuojakysymyksissä. Varapuheenjohtajana tulen huolehtimaan siitä, että otamme keskustelussa huomioon kaikki näkemykset ja muodostamme niistä yhden yhteisen kannan”, lisää Aleid Wolfsen.

Vastaus europarlamentaarikko Sophie in’t Veldille älyautoihin liittyvässä kysymyksessä

Euroopan tietosuojaneuvosto hyväksyi kirjeen, jolla neuvosto vastaa Euroopan parlamentin jäsen Sophie in’t Veldin 17.4.2019 esittämään kysymykseen. Tämä kysymys liittyi autoilijoiden henkilötietojen jakamiseen autonvalmistajien ja kolmansien osapuolten kanssa ilman kuljettajan nimenomaista, erityistä ja tietoon perustuvaa suostumusta sekä ilman asianmukaista käsittelyperustetta. Vastauksessaan tietosuojaneuvosto korostaa, että neuvoston jäsenet ja heidän kansainväliset kollegansa hyväksyivät vuonna 2017 ICDPCC:n päätöslauselman automatisoitujen ja tietoverkkoon liitettyjen ajoneuvojen tietosuojasta ja että WP29-työryhmä hyväksyi samana vuonna lausunnon henkilötietojen käsittelystä vuorovaikutteisten älykkäiden liikennejärjestelmien (C-ITS) yhteydessä (WP29 Opinion 3/2017). Asiaa tullaan käsittelemään myös Euroopan tietosuojaneuvostossa vuosien 2019–2020 työohjelmassa esitetyllä tavalla.

Kolmas Privacy Shield -arviointi

Vuosittain järjestettävä Privacy Shield -arviointi toteutettiin nyt kolmannen kerran. Euroopan tietosuojaneuvoston puolesta mukana arviointitilaisuudessa olivat Euroopan tietosuojavaltuutettu sekä Itävallan, Bulgarian, Ranskan, Saksan ja Unkarin tietosuojaviranomaisten edustajat.

14 May 2019

On May 14 & 15, the European Data Protection Board's tenth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of tenth plenary

10 April 2019

Euroopan tietosuojaneuvoston 9. täysistunto: Ohjeet henkilötietojen käsittelystä tietoyhteiskunnan palvelujen yhteydessä

 

Bryssel, 10. huhtikuuta – 9. ja 10. huhtikuuta Euroopan tietosuojavaltuutettu ja Euroopan tietosuojaneuvosto kokoontuivat 9. täysistuntoonsa.
 
Täysistunnossa neuvosto hyväksyi ohjeet EU:n yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan b alakohdan* soveltamisalasta ja sen soveltamisesta tietoyhteiskunnan palvelujen yhteydessä. Tietosuojaneuvosto esittää ohjeistuksessa yleisiä huomioita tietosuojaperiaatteista sekä 6 artiklan 1 kohdan b alakohdan yhteensovittamisesta muiden laillisten perusteiden kanssa. Lisäksi ohjeistus käsittelee 6 artiklan 1 kohdan b alakohdan sovellettavuutta tilanteissa, joissa useita erillisiä palveluja yhdistetään ja sopimus puretaan.

Huomautus toimittajille:

 

Kaikki Euroopan tietosuojaneuvoston täysistunnon aikana hyväksytyt asiakirjat käyvät vielä läpi oikeudellisen, muodollisen ja kielellisen tarkistuksen ja julkaistaan näiden tarkistusten jälkeen Euroopan tietosuojaneuvoston verkkosivuilla.

*6 artiklan 1 kohdan b alakohta
”1. Käsittely on lainmukaista vain jos ja siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy:
...
(b) käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;”
09 April 2019

On April 9 & 10, the European Data Protection Board's ninth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of ninth plenary

09 April 2019

Your personal information is collected, shared, used and stored by individuals, organisations and public authorities every day. Recruitment activities, video surveillance and health data collection are just a few examples of this. The European Data Protection Board (EDPB) ensures the consistent application of the GDPR throughout the European Economic Area (EEA), and promotes cooperation between the EEA data protection authorities. The European Data Protection Supervisor (EDPS) monitors and ensures the protection of personal data and privacy when EU institutions and bodies process personal data.

The EDPB and EDPS stand will be at the European Commission as part of the EU institutions' Europe Day celebrations.

Located on the ground floor of the Berlaymont building, EDPB and EDPS staff will be on hand to answer questions about your privacy rights and how to protect your personal information. Free goodies and information will be on offer, as well as fun and interactive activities for both children and adults to enjoy. You will also have a chance to win one of 20 USB sticks, simply by taking part in our fun, simple quiz!

Whether shopping online, using a smartphone or applying for jobs, data protection affects us all, so be sure to visit our stand to find out more!

For more information visit http://europeday.europa.eu and http://ec.europa.eu/belgium/events/europe-day_en

For more information on the EDPS visit: https://edps.europa.eu/data-protection/our-work/publications/events/eu-open-day-2019-brussels_en 

15 March 2019

On February 26, the EDPB Chair and Vice-Chair addressed the European Parliament's Civil Liberties, Justice and Home Affairs Committee (LIBE) on GDPR implementation. You can read the full report here:  EDPB LIBE Report

14 March 2019

Bryssel, 13. maaliskuuta – Euroopan tietosuojaneuvosto ja Euroopan tietosuojavaltuutettu kokoontuivat 12.–13.3. kahdeksanteen täysistuntoonsa. Kokouksessa käsiteltiin useita aiheita.

Sähköisen viestinnän tietosuojadirektiivin ja yleisen tietosuoja-asetuksen yhteensovittaminen
Euroopan tietosuojaneuvosto antoi lausunnon sähköisen viestinnän tietosuojadirektiivin ja yleisen tietosuoja-asetuksen yhteensovittamisesta. Lausunnossa kiinnitettiin erityisesti huomiota siihen, että henkilötietojen käsittelyssä tulee ottaa huomioon sekä yleinen tietosuoja-asetus sekä sähköisen viestinnän tietosuojadirektiivi ja pohdittiin sitä, rajoittaako tämä tietosuojaviranomaisten toimivaltaa, tehtäviä ja valtuuksia. Tietosuojaneuvoston näkemys on, että tietosuojaviranomaisilla on oltava yleisen tietosuoja-asetuksen mukainen toimivalta. Se, että osaan henkilötiedoista sovelletaan myös sähköisen viestinnän tietosuojadirektiiviä, ei vaikuta tämän toimivallan toteuttamiseen.

Yleisen tietosuoja-asetuksen säännösten rikkominen voi samanaikaisesti johtaa kansallisten sähköisen viestinnän tietosuojasäännösten rikkomiseen. Tietosuojaviranomainen voi ottaa tämän huomioon soveltaessaan yleistä tietosuoja-asetusta, esimerkiksi arvioidessaan laillisuus- ja oikeudenmukaisuusperiaatteiden noudattamista.

Lausunto sähköisen viestinnän tietosuojadirektiivistä
Euroopan tietosuojaneuvosto antoi lausunnon valmisteilla olevasta sähköisen viestinnän tietosuoja-asetuksesta. Lausunnossa kehotetaan EU:n lainsäätäjiä tehostamaan toimia sähköisen viestinnän tietosuojadirektiivin hyväksymiseksi. Neuvoston mukaan tämä on olennaisen tärkeää tietosuojan ja sähköisen viestinnän luottamuksellisuuden varmistamiseksi.

Sähköisen viestinnän tietosuoja-asetus ei missään olosuhteissa saa heikentää nykyisen sähköisen viestinnän tietosuojadirektiivin tarjoamaa suojaa. Sen tulisi täydentää EU:n yleistä tietosuoja-asetusta tarjoamalla vahvaa lisäturvaa kaikentyyppisen sähköisen viestinnän tietosuojalle.

Tietosuojaa koskeva vaikutustenarviointi
Euroopan tietosuojaneuvosto antoi lausunnot Espanjan ja Islannin viranomaisten toimittamista vaikutustenarvioinnin kansallisista luetteloista. Näiden luetteloiden avulla pyritään yleisen tietosuoja-asetuksen yhdenmukaiseen soveltamiseen koko Euroopan talousalueella. Tietosuojaa koskeva vaikutustenarviointi on prosessi, jonka avulla voidaan tunnistaa ja vähentää tietosuojaan liittyviä riskejä, jotka voivat vaikuttaa yksilöiden oikeuksiin ja vapauksiin. Rekisterinpitäjän on yleensä arvioitava ennen henkilötietojen käsittelyn aloittamista, edellyttääkö se vaikutustenarvioinnin tekemistä. Tämän lisäksi kansallisten valvontaviranomaisten on laadittava ja julkaistava luettelo käsittelytoimista, joihin vaikutustenarviointia sovelletaan aina. Espanjalle ja Islannille annetut lausunnot ovat jatkoa edellisissä täysistunnoissa hyväksytyille, kansallisia vaikutustenarvioinnin luetteloita koskeville 28 lausunnolle.

Lausunto henkilötietojen käytöstä poliittisissa kampanjoissa
Euroopan tietosuojaneuvosto on hyväksynyt lausunnon, joka koskee henkilötietojen käyttöä vaalikampanjoissa. Lausunnossa otetaan huomioon erityisesti toukokuussa järjestettävät Euroopan parlamentin vaalit sekä muut EU-alueella ja sen ulkopuolella vuoden 2019 aikana järjestettävät vaalit. Henkilötietojen käsittely poliittisissa tarkoituksissa voi aiheuttaa vakavia riskejä rekisteröityjen oikeudelle yksityisyyteen ja tietosuojaan mutta myös vaalijärjestelmän demokraattisuudelle. Lausunnossaan Euroopan tietosuojaneuvosto korostaa useita keskeisiä seikkoja, jotka poliittisten puolueiden on otettava huomioon henkilötietojen käsittelyssä vaalityön aikana.

Huomautus toimittajille:

Kaikki Euroopan tietosuojaneuvoston täysistunnon aikana hyväksytyt asiakirjat käyvät vielä läpi oikeudellisen, muodollisen ja kielellisen tarkistuksen ja julkaistaan näiden tarkistusten jälkeen Euroopan tietosuojaneuvoston verkkosivuilla.

12 March 2019

On March 12 & 13, the European Data Protection Board's eighth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of Eighth Plenary

13 February 2019

Bryssel, 13. helmikuuta – ETA-maiden tietosuojaviranomaiset ja Euroopan tietosuojavaltuutettu kokoontuivat 12. helmikuuta Euroopan tietosuojaneuvoston seitsemänteen täysistuntoon. Istunnossa käsiteltiin useita aiheita.

Euroopan tietosuojaneuvoston toimintasuunnitelma 2019–2020
Tietosuojaneuvosto hyväksyi työjärjestyksen 29 artiklaan perustuvan toimintasuunnitelman vuosille 2019–2020. Suunnitelma laaditaan niiden tarpeiden perusteella, joita neuvoston jäsenet ovat tunnistaneet yksilöiden, sidosryhmien ja EU:n lainsäädännön näkökulmasta.

Luonnos rahoitusmarkkinoiden valvonnan hallinnolliseksi järjestelyksi
Tietosuojaneuvosto hyväksyi luonnoksen hallinnolliseksi järjestelyksi, joka koskee henkilötietojen siirtoa ETA-maiden rahoitusalan valvontaviranomaisten, muun muassa Euroopan arvopaperimarkkinaviranomaisen (ESMA), ja EU:n ulkopuolisten valvontaviranomaisten välillä. Järjestely perustuu yleisen tietosuoja-asetuksen 46 artiklan 3 kohdan b alakohtaan. Seuraavaksi luonnos toimitetaan kansallisten toimivaltaisten valvontaviranomaisten hyväksyttäväksi. Valvontaviranomaisen tehtävänä on seurata järjestelyn soveltamista käytäntöön ja varmistaa, että rekisteröidyn oikeudet sekä asianmukaiset oikeussuojakeinot ja valvonta toteutuvat asianmukaisella tavalla.

Brexit
Euroopan tietosuojaneuvosto hyväksyi kaupallisille toimijoille ja viranomaisille osoitetun ohjeistuksen, joka koski yleisen tietosuoja-asetuksen mukaisia tiedonsiirtoja sopimuksettoman brexitin toteutuessa.

Tiedonsiirto ETA-maista Isoon-Britanniaan
Jos EU ja Iso-Britannia eivät pääse sopimukseen Britannian EU-erosta, Britanniasta tulee kolmas maa 30. maaliskuuta 2019 alkaen. Tämän seurauksena henkilötietojen siirtojen Euroopan talousalueelta Britanniaan tulee perustua johonkin seuraavista siirtomekanismeista: tavanomaiset tai tapauskohtaiset tietosuojalausekkeet, yrityksiä sitovat säännöt, käytännesäännöt ja sertifiointimekanismit sekä viranomaisten käytössä olevat erityiset siirtomekanismit. Jos vakiomuotoisia tietosuojalausekkeita tai muita asianmukaisia suojatoimia ei ole käytössä, poikkeuksia voidaan tehdä tietyin edellytyksin.

Tiedonsiirto Isosta-Britanniasta ETA-maihin
Ison-Britannian hallituksen tiedonannon mukaan nykyiset käytännöt jatkuvat siirrettäessä henkilötietoja Britanniasta ETA-maihin. Näin ollen henkilötietoja voidaan siirtää vapaasti Britanniasta ETA-maihin sopimuksettoman brexitin toteuduttuakin.    

Käytännesääntöjä koskeva ohjeistus
Tietosuojaneuvosto hyväksyi käytännesääntöjä koskevan ohjeistuksen, jonka tarkoituksena on antaa neuvoja ja tulkintaohjeita yleisen tietosuoja-asetuksen 40 ja 41 artiklojen soveltamiseen. Ohjeistus selventää menettelyjä ja sääntöjä, jotka liittyvät käytännesääntöjen valmisteluun, hyväksymiseen ja julkaisemiseen sekä kansallisella että Euroopan tasolla. Ohjeistuksen tulisi lisäksi ohjata toimivaltaisia valvontaviranomaisia sekä Euroopan tietosuojaneuvostoa ja komissiota, jotta ne voivat arvioida käytännesääntöjä johdonmukaisesti ja virtaviivaistaa arviointiprosessiin liittyviä menettelyjä. Ohjeistuksesta järjestetään julkinen kuuleminen.

Huomautus toimittajille:

Kaikki Euroopan tietosuojaneuvoston täysistunnon aikana hyväksytyt asiakirjat käyvät vielä läpi oikeudellisen, muodollisen ja kielellisen tarkistuksen ja julkaistaan näiden tarkistusten jälkeen Euroopan tietosuojaneuvoston verkkosivuilla.

12 February 2019

On February 12, the European Data Protection Board's seventh plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of Seventh Plenary

 

24 January 2019

Bryssel, 24. tammikuuta – 22.–23. tammikuuta Euroopan tietosuojaviranomaisista koostuva Euroopan tietosuojaneuvosto kokoontui kuudenteen täysistuntoonsa. Istunnossa käsiteltiin useita aiheita.

Privacy Shield -järjestely
Tietosuojaneuvosto hyväksyi EU: n ja Yhdysvaltojen välisen Privacy Shield -järjestelyn toisen vuosikatsauksen. Euroopan tietosuojaneuvosto suhtautuu myönteisesti siihen, että Yhdysvaltojen viranomaiset ja komissio ovat ryhtyneet toteuttamaan Privacy Shield -järjestelyä, erityisesti toimia, joiden tarkoituksena on mukauttaa alkuperäistä sertifiointimenettelyä, aloittaa valvonta- ja täytäntöönpanotoimet sekä julkaista asiakirjoja, jotka liittyvät osittain turvallisuusluokituksen poistamisen (kuten FISC-tuomioistuimen päätökset), uuden puheenjohtajan sekä yksityisyyden ja kansalaisvapauksien valvonnasta vastaavan lautakunnan (Privacy and Civil Liberties Oversight Board, PCLOB) kolmen uuden jäsenen nimittämiseen ja pysyvän oikeusasiamiehen nimittämiseen.

Tämän katsauksen jälkeenkin Privacy Shield -järjestelyn täytäntöönpanoa koskevat huolenaiheet ovat edelleen olemassa. Jo Euroopan tietosuojaneuvoston edeltäjän, WP29:n, asiakirjassa on todettu, ettei valikoimatonta henkilötietojen keruuta ja käyttöä kansalliseen turvallisuuteen liittyvissä tarkoituksissa ole suljettu pois. Nykyisen tiedon valossa Euroopan tietosuojaneuvosto ei myöskään voi olla varma, että oikeusasiamiehellä on riittävät valtuudet korjata näiden periaatteiden noudattamatta jättäminen. Lisäksi neuvosto huomauttaa, etteivät Privacy Shield -järjestelyn periaatteiden noudattamista koskevat tarkastukset ole riittävän kattavia.

Lisäksi Euroopan tietosuojaneuvostolla on joitakin lisähuolenaiheita. Ne liittyvät tarvittavien tarkastusten tekemiseen tietojen edelleen siirtämistä koskevien vaatimusten noudattamiseksi, henkilötietojen käsitteen laajuuteen ja uudelleensertifiointiprosessiin sekä luetteloon jäljellä olevista kysymyksistä, jotka ovat nousseet esiin ensimmäisen yhteisen tarkastelun jälkeen.

Brexit
Euroopan tietosuojaneuvosto keskusteli brexitin mahdollisista seurauksista tietosuojaan. Neuvosto sopi tekevänsä yhteistyötä liittyen brexit-valmisteluihin sekä niihin tietojensiirtomenetelmiin, jotka ovat käytettävissä sen jälkeen, kun Iso-Britannia ei enää ole EU:n jäsen.

Kliiniset lääketutkimukset
Euroopan tietosuojaneuvosto antoi Euroopan komission (SANTE-pääosasto) pyynnöstä lausunnon kliinisiin tutkimuksiin liittyvistä kysymyksistä. Lausunnossa käsitellään erityisesti näkökohtia, jotka liittyvät asianmukaisiin oikeusperusteisiin kliinisissä lääketutkimuksissa sekä kliinisten tutkimusten tietojen toissijaiseen käyttöön tieteellisissä tarkoituksissa. Lausunto toimitetaan seuraavaksi Euroopan komissiolle.

Vaikutustenarviointi
Euroopan tietosuojaneuvosto on antanut lausunnot tietosuojaa koskevasta vaikutustenarvioinnista (DPIA), jonka Liechtenstein ja Norja ovat neuvostolle toimittaneet. Nämä luettelot ovat väline tietosuoja-asetuksen johdonmukaisen soveltamisen kannalta koko Euroopan talousalueella. Tietosuojaa koskeva vaikutustenarviointi on prosessi, jonka avulla voidaan tunnistaa ja lieventää tietosuojaan liittyviä riskejä, jotka voivat vaikuttaa yksilöiden oikeuksiin ja vapauksiin. Vaikka rekisterinpitäjän on yleensä arvioitava, edellytetäänkö tietosuojaa koskevaa vaikutustenarviointia ennen käsittelytoiminnan aloittamista, kansallisten valvontaviranomaisten on laadittava ja julkaistava luettelo käsittelytoimista, joihin sovelletaan tietosuojaa koskevaa vaikutustenarviointia. Nämä kaksi lausuntoa noudattavat syyskuun täysistunnossa hyväksyttyjä 22 lausuntoa ja joulukuun täysistunnossa hyväksyttyjä neljää lausuntoa, ja ne auttavat osaltaan vahvistamaan yhteiset kriteerit tietosuojaa koskevan vaikutustenarvioinnin luettelolle koko Euroopan talousalueella.

Sertifiointia koskeva ohjeistus
Euroopan tietosuojaneuvoston sertifiointia koskeva ohjeistus hyväksyttiin julkisen kuulemisen ja sen perusteella tehtyjen muutosten jälkeen. Lisäksi neuvosto hyväksyi uuden liitteen. Tietosuojaneuvoston ensimmäinen täysistunto hyväksyi luonnoksen suuntaviivoista toukokuussa. Ohjeiden ensisijaisena tavoitteena on määritellä yleiset kriteerit, jotka voivat olla merkityksellisiä yleisen tietosuoja-asetuksen 42 ja 43 artiklan mukaisesti myönnettyjen sertifiointimekanismien kannalta. Ohjeissa selvennetään perusteluja sertifioinnin käyttämiselle vastuuvälineenä sekä asetuksen 42 ja 43 artiklan keskeisiä käsitteitä. Lisäksi ohjeet tarkentavat sitä, mitä voidaan sertifioida, ja kuvaavat sertifioinnin tarkoitusta. Ohjeet auttavat jäsenvaltioita, valvontaviranomaisia ja kansallisia akkreditointielimiä näiden tarkistaessa ja hyväksyessä yleisen tietosuoja-asetuksen mukaisia sertifiointiperusteita. Ohjeeseen kuuluvasta liitteestä järjestetään julkinen kuuleminen.

Vastaus Australian valvontaviranomaiselle tietojen tietoturvaloukkausilmoituksesta
Lokakuussa 2018 tietosuojaneuvosto sai Australian tietosuojavaltuutetun virastolta kirjallisen pyynnön, joka koski valvontaviranomaisten toimittamien tietoturvaloukkausten julkistamista. Euroopan tietosuojaneuvosto on tyytyväinen viraston kiinnostukseen tehdä yhteistyötä Euroopan tietosuojaneuvoston kanssa, mikä samalla korostaa kansainvälisen yhteistyön merkitystä. Vastauksessaan Euroopan tietosuojaneuvosto antaa lisätietoja siitä, julkaisevatko valvontaviranomaiset tietoturvaloukkauksia koskevia tietoja ja miten näitä tietoja mahdollisesti julkaistaan.

22 January 2019

On January 22 and 23, the European Data Protection Board's sixth plenary is taking place in Brussels. For further information, please consult the agenda.

Agenda of Sixth Plenary