Euroopan tietosuojaneuvosto

Euroopan tietosuojaneuvoston 41. täysistunto: Euroopan tietosuojaneuvosto antaa suosituksia täydentävistä suojatoimista Schrems II -tuomion jälkeen

Wednesday, 11 November, 2020

Bryssel 11. marraskuuta — Euroopan tietosuojaneuvosto hyväksyi 41. täysistunnossaan suosituksia toimista, joilla täydennetään tiedonsiirtovälineitä. Täydentävillä suojatoimilla varmistetaan, että henkilötietojen suojan taso vastaa olennaisilta osin Euroopan talousalueella (ETA) taattua tasoa. Lisäksi tietosuojaneuvosto antoi suosituksia valvontatoimenpiteiden olennaisista eurooppalaisista takeista.

Molemmat asiakirjat hyväksyttiin jatkotoimena EU-tuomioistuimen Schrems II -tuomiolle. 16. heinäkuuta annetun tuomion seurauksena vakiosopimuslausekkeita käyttävien rekisterinpitäjien on tarkistettava tapauskohtaisesti, ja tarvittaessa yhteistyössä kolmannessa maassa olevan tietojen vastaanottajan kanssa, taataanko siirrettäville tiedoille kolmannen maan lainsäädännössä sellainen henkilötietojen suojan taso, joka vastaa olennaisilta osin Euroopan talousalueella (ETA) taattua tasoa. Euroopan unionin tuomioistuin antoi tietojen viejille mahdollisuuden ottaa käyttöön sopimuslausekkeita täydentäviä suojatoimia varmistaakseen, että kyseistä suojan tasoa noudatetaan tehokkaasti myös tilanteissa, joissa sopimuslausekkeisiin sisältyvät suojatoimet eivät ole riittäviä.

Suositusten tarkoituksena on auttaa tietojen viejinä toimivia rekisterinpitäjiä ja henkilötietojen käsittelijöitä yksilöimään ja toteuttamaan asianmukaisia täydentäviä suojatoimia, jos ne ovat tarpeen sen varmistamiseksi, että siirrettävät tiedot saavat olennaisilta osin samantasoisen suojan kolmannessa maassa. Näin tehdessään tietosuojaneuvosto pyrkii siihen, että yleistä tietosuoja-asetusta ja tuomioistuimen päätöstä sovelletaan johdonmukaisesti koko ETA-alueella.

Tietosuojaneuvoston puheenjohtaja Andrea Jelinek totesi: ”Euroopan tietosuojaneuvosto on täysin tietoinen Schrems II -tuomion vaikutuksesta tuhansiin EU:n yrityksiin ja siitä merkittävästä vastuusta, jonka se asettaa tietojen viejille. Tietosuojaneuvosto toivoo, että nämä suositukset voivat auttaa tietojen viejiä tunnistamaan ja tarvittaessa ottamaan käyttöön tehokkaita täydentäviä suojatoimia.” Tavoitteenamme on mahdollistaa henkilötietojen lailliset siirrot kolmansiin maihin samalla kun taataan, että siirretyt tiedot saavat suojan, joka vastaa olennaisilta osin Euroopan talousalueella taattua suojan tasoa.”

Suosituksiin sisältyy etenemissuunnitelma toimista, joita tietojen viejien on tehtävä selvittääkseen, onko niiden toteutettava täydentäviä suojatoimia voidakseen siirtää tietoja ETA:n ulkopuolelle EU:n lainsäädännön mukaisesti. Lisäksi ne auttavat tietojen viejiä tunnistamaan ne täydentävät suojatoimet, jotka voisivat olla tehokkaita. Tietojen viejien avuksi suosituksiin sisältyy myös esimerkkiluettelo täydentävistä suojatoimista ja joistakin edellytyksistä, joita ne edellyttävät ollakseen tehokkaita. Luettelo ei ole tyhjentävä.

Tietojen viejät ovat vastuussa konkreettisen arvioinnin tekemisestä. Arvioinnissa on huomioitava siirron konteksti, kolmannen maan lainsäädäntö ja siirtoväline. Tietojen viejien on noudatettava asianmukaista huolellisuutta ja dokumentoitava prosessinsa perusteellisesti, sillä ne ovat vastuussa tämän perusteella tekemistään päätöksistä yleisen tietosuoja-asetuksen osoitusvelvollisuutta koskevan periaatteen mukaisesti. Lisäksi tietojen viejien on huomioitava, että kaikissa tapauksissa ei ehkä ole mahdollista toteuttaa riittäviä täydentäviä suojatoimia.

Täydentäviä suojatoimia koskevista suosituksista järjestetään julkinen kuuleminen. Niitä sovelletaan välittömästi niiden julkaisemisen jälkeen.

Lisäksi Euroopan tietosuojaneuvosto antoi suosituksia valvontatoimien olennaisista eurooppalaisista takeista (European Essential Guarantees). Eurooppalaisia olennaisia takeita koskevat suositukset täydentävät täydentäviä suojatoimia koskevia suosituksia. Eurooppalaisia olennaisia takeita koskevissa suosituksissa annetaan tietojen viejille ohjeita sen määrittämiseksi, voidaanko lainsäädäntöä koskien viranomaisten pääsyä tietoihin valvontatarkoituksissa kolmansissa maissa pitää oikeutettuna puuttumisena yksityisyyttä ja henkilötietojen suojaa koskeviin oikeuksiin ja näin ollen sellaisena, että se ei vaikuttaisi tietojen viejän ja tuojan käyttämän yleisen tietosuoja-asetuksen 46 artiklan mukaisen siirtovälineen sitoumuksiin.

Puheenjohtaja lisäsi: ”Schrems II -tuomion vaikutukset ulottuvat kaikkiin kolmansiin maihin tehtäviin siirtoihin. Näin ollen ei ole olemassa nopeita ratkaisuja eikä yhtä kaikille sopivaa ratkaisua kaikkiin siirtoihin, koska tällöin jätettäisiin huomiotta tietojen viejien tilanteiden moninaisuus. Tietojen viejien on arvioitava tietojenkäsittelytoimensa ja -siirtonsa ja toteutettava tehokkaita toimenpiteitä ottaen huomioon oikeusjärjestyksen niissä kolmansissa maissa, joihin ne siirtävät tai aikovat siirtää tietoja.”

ETA:n tietosuojaviranomaiset koordinoivat edelleen toimiaan tietosuojaneuvostossa varmistaakseen EU:n tietosuojalainsäädännön johdonmukaisen soveltamisen.

Huomautus toimittajille:
Kaikkiin Euroopan tietosuojaneuvoston täysistunnossa hyväksyttyihin asiakirjoihin tehdään tarvittavia oikeudellisia, kielellisiä ja muotoiluun liittyviä tarkistuksia. Asiakirjat ovat saatavilla tietosuojaneuvoston verkkosivustolla, kun tarkistukset on saatu valmiiksi.

EDPB_Press Release_2020_18