Euroopan tietosuojaneuvosto ja Euroopan tietosuojavaltuutettu antoivat yhteisen lausunnon datahallintosäädöksestä

10 March 2021 EDPB

Bryssel 10. maaliskuuta – Euroopan tietosuojaneuvosto ja Euroopan tietosuojavaltuutettu ovat antaneet yhteisen lausunnon datahallintosäädöstä koskevasta ehdotuksesta. Datahallintosäädöksen tavoitteena on edistää datan saatavuutta lisäämällä luottamusta datan välittäjiin[1] ja vahvistamalla datan jakamismekanismeja kaikkialla EU:ssa. Säädöksen tarkoituksena on erityisesti edistää julkisen sektorin datan saatavuutta uudelleenkäyttöä varten, datan jakamista yritysten kesken ja henkilötietojen käytön sallimista ”henkilötietojen jakamisesta vastaavan välittäjän” avulla. Lisäksi datahallintosäädöksellä pyritään mahdollistamaan tietojen käyttö altruistisiin, yhteistä etua palveleviin tarkoituksiin.

Euroopan tietosuojaneuvosto ja Euroopan tietosuojavaltuutettu tunnustavat datahallintosäädöksen oikeutetun tavoitteen parantaa datan jakamisen edellytyksiä sisämarkkinoilla. Samalla kuitenkin henkilötietojen suojaaminen on digitaalitaloudessa olennainen ja erottamaton osa luottamusta. Tietosuojaneuvosto ja tietosuojavaltuutettu kehottavat tällä yhteisellä lausunnolla lainsäätäjiä varmistamaan, että tuleva datahallintosäädös on kaikilta osin henkilötietojen suojaa koskevan EU:n lainsäädännön mukainen. Siten lisätään luottamusta digitaalitalouteen ja ylläpidetään EU:n lainsäädännön tarjoaman suojan tasoa EU:n jäsenvaltioiden valvontaviranomaisten valvonnassa. 

Euroopan tietosuojaneuvoston puheenjohtajan Andrea Jelinekin mukaan tietosuojaa koskeva EU:n oikeudellinen kehys ei estä datatalouden kehittämistä. ”Päinvastoin se mahdollistaa tällaisen kehittämisen: luottamus mihin tahansa datan jakamiseen voidaan saavuttaa vain noudattamalla voimassa olevaa tietosuojalainsäädäntöä. Eurooppalainen datahallintomalli on rakennettava yleisen tietosuoja-asetuksen perustalle. Tämän vuoksi korostamme tarvetta varmistaa yhdenmukaisuus yleisen tietosuoja-asetuksen kanssa valvontaviranomaisten toimivallan, eri toimijoiden tehtävien, henkilötietojen käsittelyn oikeusperustan, tarvittavien suojatoimien ja rekisteröityjen oikeuksien käytön osalta”, Jelinek totesi.

”Olemme tietoisia siitä, että datan merkitys taloudelle ja yhteiskunnalle on kasvussa, kuten Euroopan datastrategiassa todetaan”, sanoi Euroopan tietosuojavaltuutettu Wojciech Wiewiórowski. ”Massadatan myötä tulee kuitenkin suuri vastuu, joten käyttöön on otettava asianmukaiset tietosuojatoimet. Tietosuojalainsäädäntöä ei saa heikentää, mikä olisi varmistettava eurooppalaisten data-avaruuksien kokonaisvaltaisella kehyksellä”, Wiewiórowski totesi.

Euroopan tietosuojaneuvoston ja Euroopan tietosuojavaltuutetun näkemyksen mukaan EU:n lainsäätäjän olisi varmistettava, että datahallintosäädöksen sanamuodossa todetaan selkeästi ja yksiselitteisesti, että säädös ei vaikuta yksilöiden henkilötietojen suojan tasoon eikä tietosuojalainsäädännössä säädettyjä oikeuksia ja velvoitteita muuteta. 

Julkisen sektorin elinten hallussa olevien henkilötietojen uudelleenkäytön osalta tietosuojaneuvosto ja tietosuojavaltuutettu suosittelevat, että datahallintosäädös yhdenmukaistetaan yleisessä tietosuoja-asetuksessa ja avointa dataa koskevassa direktiivissä vahvistettujen, henkilötietojen suojaa koskevien voimassa olevien sääntöjen kanssa. Lisäksi olisi selvennettävä, että julkisen sektorin elinten hallussa olevien henkilötietojen uudelleenkäyttö voidaan sallia vain, jos se perustuu EU:n tai jäsenvaltion lainsäädäntöön. Tällaiseen lainsäädäntöön olisi sisällytettävä luettelo selkeistä yhteensopivista tarkoituksista, joita varten myöhempi käsittely voidaan laillisesti sallia tai jotka muodostavat demokraattisessa yhteiskunnassa välttämättömän ja oikeasuhteisen toimenpiteen yleisen tietosuoja-asetuksen 23 artiklassa tarkoitettujen tavoitteiden turvaamiseksi.

Datan jakamispalvelujen tarjoajien osalta yhteisessä lausunnossa korostetaan tarvetta varmistaa, että yksilöt saavat ennakkotiedon ja mahdollisuuden valvontaan ottaen huomioon sisäänrakennetun ja oletusarvoisen tietosuojan, läpinäkyvyyden ja käyttötarkoitussidonnaisuuden periaatteet. Lisäksi olisi selkeytettävä menettelysääntöjä, joiden mukaisesti tällaiset palveluntarjoajat tosiasiallisesti auttaisivat yksilöitä käyttämään oikeuksiaan rekisteröityinä.

Data-altruismin osalta tietosuojaneuvosto ja tietosuojavaltuutettu suosittelevat, että datahallintosäädöksessä määriteltäisiin paremmin tällaisetyleisen edun mukaiset tarkoitukset. Data-altruismi olisi järjestettävä siten, että yksilöiden on helppo antaa suostumuksensa mutta myös peruuttaa se.

Ottaen huomioon riskit, joita rekisteröidyille voi aiheutua datan jakamispalvelujen tarjoajien tai data-altruismipohjaisten organisaatioiden mahdollisesti käsitellessä heidän henkilötietojaan, Euroopan tietosuojaneuvosto ja Euroopan tietosuojavaltuutettu katsovat, että datahallintosäädöksessä vahvistetut näitä yhteisöjä koskevat ilmoitukseen perustuvat rekisteröitymisjärjestelmät eivät muodosta riittävän tiukkaa tällaisiin palveluihin sovellettavaa tutkintamenettelyä. Sen vuoksi tietosuojaneuvosto ja tietosuojavaltuutettu suosittelevat tutkimaan vaihtoehtoisia menettelyjä, joihin sisällytetään järjestelmällisemmin vastuuvelvollisuuden välineitä, erityisesti käytännesääntöjen tai sertifiointimekanismin noudattaminen.

Yhteinen lausunto sisältää myös suosituksia valvontaviranomaisten nimeämisestä pääasiallisiksi toimivaltaisiksi viranomaisiksi, jotka valvovat datahallintosäädöksen säännösten noudattamista yhteistyössä muiden alakohtaisten viranomaisten kanssa.

 

______________________________________
[1] Ks. ehdotuksen perustelut, s. 1

Lisätietoja toimittajille: Huomautus: Kaikille Euroopan tietosuojaneuvoston täysistunnossa hyväksytyille asiakirjoille tehdään tarvittavat oikeudelliset, kielelliset ja muotoilua koskevat tarkastukset, minkä jälkeen ne asetetaan saataville Euroopan tietosuojaneuvoston verkkosivustolle.

EDPB_Press Release_statement_2021_02