Euroopan tietosuojaneuvosto

Euroopan tietosuojaneuvoston 37. täysistunto: Rekisterinpitäjiä ja henkilötietojen käsittelijöitä koskevat ohjeet, ohjeet käyttäjien kohdentamisesta sosiaalisen median palveluissa, Euroopan unionin tuomioistuimen Schrems II -tuomion jälkeen tehtyjä valitu

Friday, 4 September, 2020

Bryssel 3. syyskuuta — Hallintoneuvosto hyväksyi ohjeistuksen rekisterinpitäjän ja henkilötietojen käsittelijän käsitteistä yleisessä tietosuoja-asetuksessa ja ohjeistuksen sosiaalisen median käyttäjien kohdentamisesta. Lisäksi Euroopan tietosuojaneuvosto perusti unionin tuomioistuimen asiassa Schrems II antaman tuomion jälkeen valituksia käsittelevän työryhmän sekä työryhmän, joka keskittyy lisätoimenpiteisiin, joita tietojen viejät ja tuojat voidaan vaatia toteuttamaan riittävän suojan varmistamiseksi siirrettäessä tietoja unionin tuomioistuimen asiassa Schrems II antaman tuomion mukaisesti.

Tietosuojaneuvosto hyväksyi ohjeistuksen rekisterinpitäjän ja henkilötietojen käsittelijän käsitteistä yleisessä tietosuoja-asetuksessa. Yleisen tietosuoja-asetuksen soveltamisen alkamisen jälkeen on esitetty kysymyksiä siitä, missä määrin yleinen tietosuoja-asetus on muuttanut näitä käsitteitä, erityisesti mitä tulee yhteisen rekisterinpitäjän käsitteeseen (sellaisena kuin se on vahvistettu yleisen tietosuoja-asetuksen 26 artiklassa ja useiden unionin tuomioistuimen tuomioiden jälkeen) sekä yleisen tietosuoja-asetuksen IV luvussa säädettyihin henkilötietojen käsittelijöitä koskeviin velvoitteisiin (erityisesti yleisen tietosuoja-asetuksen 28 artiklaan).

Maaliskuussa 2019 Euroopan tietosuojaneuvosto järjesti yhdessä sihteeristönsä kanssa sidosryhmätapahtuman, jossa tehtiin selväksi, että tarvitaan enemmän käytännön ohjausta, ja annettiin tietosuojaneuvostolle mahdollisuus ymmärtää paremmin alan tarpeita ja huolenaiheita. Uudet ohjeet koostuvat kahdesta pääosasta: ensimmäisessä osassa määritellään käsitteet, ja toinen osa sisältää yksityiskohtaiset ohjeet näiden käsitteiden tärkeimmistä seurauksista rekisterinpitäjille, henkilötietojen käsittelijöille ja yhteisrekisterinpitäjille. Ohjeisiin sisältyy vuokaavio käytännön lisäohjeiden antamiseksi. Ohjeluonnoksesta järjestetään julkinen kuuleminen.

Euroopan tietosuojaneuvosto hyväksyi ohjeen käyttäjien kohdentamisesta sosiaalisen median palveluissa. Ohjestuksen tarkoituksena on antaa käytännön ohjeita sidosryhmille, ja ne sisältävät esimerkkejä erilaisista tilanteista, jotta sidosryhmät voivat nopeasti tunnistaa ”skenaarion”, joka on lähinnä niiden suunnittelemaa kohdentamiskäytäntöä. Ohjeistuksen päätavoitteena on selventää sosiaalisen median tarjoajan ja kohdennuksen kohteena olevan henkilön rooleja ja vastuita. Tätä varten ohjeessa määritellään muun muassa mahdolliset riskit yksilön vapauksille, keskeiset toimijat ja niiden roolit, keskeisten tietosuojavaatimusten soveltaminen, kuten laillisuus ja avoimuus sekä tietosuojaa koskeva vaikutustenarviointi, sekä sosiaalisen median palvelun tarjoajien ja kohteena olevien henkilöiden välisten järjestelyjen keskeiset osatekijät. Lisäksi ohjeessa keskitytään erilaisiin kohdentamismekanismeihin, erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelyyn ja yhteisrekisterinpitäjien velvollisuuteen ottaa käyttöön asianmukaiset järjestelyt yleisen tietosuoja-asetuksen 26 artiklan mukaisesti. Täysistunto järjestää ohjeluonnokselle julkisen kuulemisen.

Tietosuojaneuvosto on perustanut työryhmän tarkastelemaan Euroopan unionin tuomioistuimen asiassa Schrems II antaman tuomion jälkeen tehtyjä valituksia. ETA-maiden tietosuojaviranomaisille on tehty yhteensä 101 samanlaista valitusta useita rekisterinpitäjiä vastaan ETA:n jäsenvaltioissa. Kantelut koskevat Googlen ja Facebookin palvelujen käyttöä, johon liittyy henkilötietojen siirtoa. Kantelijat, joita edustaa kansalaisjärjestö NOYB, väittävät erityisesti, että Google ja Facebook siirtävät henkilötietoja Yhdysvaltoihin EU:n ja Yhdysvaltojen Privacy Shield -järjestelyn tai vakiosopimuslausekkeiden perusteella ja että unionin tuomioistuimen asiassa C-311/18 äskettäin antaman tuomion mukaan rekisterinpitäjä ei pysty varmistamaan kantelijoiden henkilötietojen riittävää suojaa. Työryhmä analysoi asiaa ja varmistaa neuvoston jäsenten tiiviin yhteistyön.

Unionin tuomioistuimen Schrems II -tuomion jatkotoimena ja 23. heinäkuuta hyväksyttyjen usein kysyttyjen kysymysten lisäksi johtokunta on perustanut työryhmän. Työryhmä laatii suosituksia, joilla autetaan rekisterinpitäjiä ja henkilötietojen käsittelijöitä määrittelemään ja toteuttamaan asianmukaisia lisäsuojatoimenpiteitä, joilla varmistetaan riittävä suoja siirrettäessä tietoja kolmansiin maihin.

Euroopan tietosuojaneuvoston puheenjohtaja Andrea Jelinek: ”Euroopan tietosuojaneuvosto on hyvin tietoinen siitä, että Schrems II -päätös antaa rekisterinpitäjille merkittävän vastuun. Pian tuomion jälkeen esittämämme lausuman ja usein kysyttyjen kysymysten lisäksi aiomme laatia suosituksia, joilla tuetaan rekisterinpitäjiä ja henkilötietojen käsittelijöitä heidän velvollisuudessaan yksilöidä ja panna täytäntöön asianmukaisia, luonteeltaan oikeudellisia, teknisiä ja organisatorisia lisäsuojatoimenpiteitä ”olennaisen vastaavuusstandardin” täyttämiseksi siirrettäessä henkilötietoja kolmansiin maihin. Tuomion vaikutukset ovat kuitenkin laaja-alaisia, ja kolmansiin maihin tehtävien tiedonsiirtojen kontekstit ovat hyvin erilaisia. Näin ollen ei ole olemassa yhtä kaikille sopivaa nopeaa ratkaisua. Jokaisen organisaation on arvioitava omat tietojenkäsittelytoimensa ja tiedonsiirtonsa ja toteutettava tarvittavat toimenpiteet. ”

Huomautus toimittajille:
huomatkaa, että kaikkiin Euroopan tietosuojaneuvoston täysistunnossa hyväksyttyihin asiakirjoihin sovelletaan tarvittavia oikeudellisia, kielellisiä ja muotoiluun liittyviä tarkistuksia, ja ne ovat saatavilla tietosuojaneuvoston verkkosivustolla, kun ne on saatu valmiiksi.

EDPB_Press Release_2020_14