Euroopan tietosuojaneuvosto - 48. täysistunto

14 April 2021 EDPB

lausunnot Yhdistyneen kuningaskunnan tietosuojan riittävyyttä koskevien päätösten luonnoksista, ohjeet yleisen tietosuoja-asetuksen 65 artiklan 1 kohdan a alakohdan soveltamisesta, ohjeet kohdentamisesta sosiaalisen median käyttäjille ja lausunto tiedonsiirtoja koskevista kansainvälisistä sopimuksista

Bryssel 14 päivä huhtikuuta — Euroopan tietosuojaneuvosto hyväksyi täysistunnossaan kaksi lausuntoa Yhdistyneen kuningaskunnan tietosuojan riittävyyttä koskevista päätösluonnoksista. Lausunto 14/2021 perustuu yleiseen tietosuoja-asetukseen, ja siinä arvioidaan sekä yleisiä tietosuojanäkökohtia että tietosuojan riittävyyttä koskevaan päätösluonnokseen sisältyvää valtion oikeutta saada käyttöönsä Euroopan talousalueelta siirrettyjä henkilötietoja lainvalvontaa ja kansallista turvallisuutta varten. Tämä arvio perustuu yleisen tietosuoja-asetuksen riittävyyttä koskevaan viiteasiakirjaan WP254. Lausunto 15/2021 perustuu rikosasioiden tietosuojadirektiiviin, ja siinä analysoidaan tietosuojan riittävyyttä koskevan päätöksen luonnosta suhteessa suosituksiin 01/2021, jotka koskevat tietosuojan tason riittävyyden viitearvoja rikosasioiden tietosuojadirektiiviä sovellettaessa. Luonnosta analysoidaan myös suhteessa asiaankuuluvaan oikeuskäytäntöön, joka on otettu huomioon tiedustelua koskevista eurooppalaisista olennaisista takeista annetuissa suosituksissa 02/2020. Tämä on ensimmäinen Euroopan komission esittämä ja Euroopan tietosuojaneuvoston arvioima luonnos täytäntöönpanopäätökseksi kolmannen maan tietosuojan tason riittävyydestä rikosasioiden tietosuojadirektiivin nojalla.

Tietosuojaneuvosto panee merkille, että EU:n ja Yhdistyneen kuningaskunnan tietosuojalainsäädäntökehysten säännöksissä on yhteneväisyyksiä keskeisillä alueilla. Näitä ovat esimerkiksi perusteet lainmukaiselle ja asianmukaiselle käsittelylle laillisia tarkoituksia varten, käsittelyn tarkoituksen rajaaminen, tietojen laatu ja oikeasuhteisuus, tietojen säilyttäminen, turvallisuus ja luottamuksellisuus, avoimuus, erityiset henkilötietoryhmät sekä automatisoitu päätöksenteko ja profilointi.

Tietosuojaneuvoston puheenjohtaja Andrea Jelinek totesi: ”Yhdistyneen kuningaskunnan tietosuojakehys perustuu suurelta osin EU:n tietosuojalainsäädännön kehykseen. Yhdistyneen kuningaskunnan tietosuojalaissa (Data Protection Act 2018) täsmennetään tietosuoja-asetuksen soveltamista Yhdistyneen kuningaskunnan lainsäädännössä sen lisäksi, että rikosasioiden tietosuojadirektiivi on saatettu osaksi kansallista lainsäädäntöä, sekä valtuuksien myöntäminen ja tehtävien määrääminen kansalliselle tietosuojaviranomaiselle ICOlle. Näin ollen tietosuojaneuvosto toteaa, että Yhdistynyt kuningaskunta on pääosin ottanut yleisen tietosuoja-asetuksen ja rikosasioiden tietosuojadirektiivin huomioon tietosuojalainsäädännön kehyksessään, ja analysoidessaan sen lainsäädäntöä ja käytäntöjä tietosuojaneuvosto määritti monet näkökohdat olennaisilta osiltaan vastaaviksi. Vaikka lainsäädäntö voi kehittyä, tämä yhdenmukaisuus olisi kuitenkin säilytettävä. Olemmekin tyytyväisiä komission päätökseen rajoittaa myönnettävää tietosuojan tason riittävyyttä ajallisesti ja sen aikomukseen seurata tiiviisti Yhdistyneen kuningaskunnan kehitystä.”

Tietosuojaneuvosto korostaa, että Euroopan komission olisi yleisen tietosuoja-asetuksen perusteella tekemässään päätöksessä arvioitava tarkemmin ja/tai seurattava tiiviisti useita seikkoja, kuten

  • Maahanmuuttoa koskevaa poikkeusta ja sen vaikutukset rekisteröidyn oikeuksien rajoituksiin;
  • Rajoitusten soveltaminen Yhdistyneeseen kuningaskuntaan siirrettävien ETA:n henkilötietojen edelleen siirtämiseen esimerkiksi Yhdistyneen kuningaskunnan tekemien tulevien tietosuojan riittävyyttä koskevien päätösten, Yhdistyneen kuningaskunnan ja kolmansien maiden välillä tehtyjen kansainvälisten sopimusten tai poikkeusten perusteella.

Mitä tulee viranomaisten pääsyyn Yhdistyneeseen kuningaskuntaan siirrettyihin henkilötietoihin kansallista turvallisuutta varten, tietosuojaneuvosto suhtautuu myönteisesti tutkintavaltuuksia käsittelevän tuomioistuimen (IPT) perustamiseen, jotta voidaan vastata muutoksenhakua koskeviin haasteisiin kansallisen turvallisuuden alalla, ja oikeudellisen komission edustajien sisällyttämiseen tutkintavaltuuksia koskevaan vuoden 2016 lakiin (IPA), jotta voidaan varmistaa parempi valvonta tällä alalla. Tietosuojaneuvosto yksilöi edelleen useita kohtia, jotka edellyttävät lisäselvennyksiä ja/tai seurantaa:

  • Massavalvonta;
  • Automatisoitujen käsittelyvälineiden käytön riippumaton arviointi ja valvonta;
  • Yhdistyneen kuningaskunnan lainsäädännössä säädetyt suojatoimet koskien tietojen paljastamista ulkomailla, erityisesti kansallista turvallisuutta koskevien poikkeusten soveltamisen osalta.

Tietosuojaneuvosto hyväksyi yleisen tietosuoja-asetuksen 65 artiklan 1 kohdan a alakohdan soveltamista koskevan ohjeen, jossa määritellään menettelyn päävaiheet ja selvennetään tietosuojaneuvoston toimivaltaa, kun se tekee oikeudellisesti sitovan päätöksen yleisen tietosuoja-asetuksen 65 artiklan 1 kohdan a alakohdan perusteella. Ohjeistukseen sisältyy myös kuvaus sovellettavista menettelyllisistä takeista ja oikeussuojakeinoista. Ohjeesta järjestetään kuuden viikon julkinen kuuleminen.

Euroopan tietosuojaneuvosto hyväksyi julkisen kuulemisen jälkeen lopullisen version sosiaalisen median käyttäjien kohdentamista koskevista ohjeista. Ohjeiden tarkoituksena on selventää sosiaalisen median tarjoajien ja kohdennuksen kohteena olevien henkilöiden tehtäviä ja vastuita. Lopulliseen versioon on sisällytetty päivitetty sanamuoto julkisessa kuulemisessa saatuihin kommentteihin ja palautteeseen vastaamiseksi.

Tietosuojaneuvosto antoi lausunnon tiedonsiirtoja koskevista kansainvälisistä sopimuksista. Tietosuojaneuvosto kehottaa EU:n jäsenvaltioita arvioimaan ja tarvittaessa tarkistamaan kansainvälisiä sopimuksiaan, joihin liittyy henkilötietojen kansainvälisiä siirtoja ja jotka on tehty ennen 24. toukokuuta 2016 (yleisen tietosuoja-asetuksen kannalta merkitykselliset sopimukset) ja 6. toukokuuta 2016 (rikosasioiden tietosuojadirektiivin kannalta merkitykselliset sopimukset), jotta ne voidaan tarvittaessa mukauttaa EU:n tietosuojalainsäädäntöön.

 

Huomautus toimittajille: Huom. Huomatkaa, että kaikkiin Euroopan tietosuojaneuvoston täysistunnossa hyväksyttyihin asiakirjoihin tehdään tarvittavat oikeudelliset, kielelliset ja muotoiluun liittyvät tarkistukset ja että ne asetetaan saataville Euroopan tietosuojaneuvoston verkkosivustolla niiden valmistuttua.

EDPB_Press Release_2021_03