Euroopan tietosuojaneuvosto

EDPB News

2019

10 April 2019

Euroopan tietosuojaneuvoston 9. täysistunto: Ohjeet henkilötietojen käsittelystä tietoyhteiskunnan palvelujen yhteydessä

 

Bryssel, 10. huhtikuuta – 9. ja 10. huhtikuuta Euroopan tietosuojavaltuutettu ja Euroopan tietosuojaneuvosto kokoontuivat 9. täysistuntoonsa.
 
Täysistunnossa neuvosto hyväksyi ohjeet EU:n yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan b alakohdan* soveltamisalasta ja sen soveltamisesta tietoyhteiskunnan palvelujen yhteydessä. Tietosuojaneuvosto esittää ohjeistuksessa yleisiä huomioita tietosuojaperiaatteista sekä 6 artiklan 1 kohdan b alakohdan yhteensovittamisesta muiden laillisten perusteiden kanssa. Lisäksi ohjeistus käsittelee 6 artiklan 1 kohdan b alakohdan sovellettavuutta tilanteissa, joissa useita erillisiä palveluja yhdistetään ja sopimus puretaan.

Huomautus toimittajille:

 

Kaikki Euroopan tietosuojaneuvoston täysistunnon aikana hyväksytyt asiakirjat käyvät vielä läpi oikeudellisen, muodollisen ja kielellisen tarkistuksen ja julkaistaan näiden tarkistusten jälkeen Euroopan tietosuojaneuvoston verkkosivuilla.

*6 artiklan 1 kohdan b alakohta
”1. Käsittely on lainmukaista vain jos ja siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy:
...
(b) käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;”
09 April 2019

On April 9 & 10, the European Data Protection Board's ninth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of ninth plenary

09 April 2019

Your personal information is collected, shared, used and stored by individuals, organisations and public authorities every day. Recruitment activities, video surveillance and health data collection are just a few examples of this. The European Data Protection Board (EDPB) ensures the consistent application of the GDPR throughout the European Economic Area (EEA), and promotes cooperation between the EEA data protection authorities. The European Data Protection Supervisor (EDPS) monitors and ensures the protection of personal data and privacy when EU institutions and bodies process personal data.

The EDPB and EDPS stand will be at the European Commission as part of the EU institutions' Europe Day celebrations.

Located on the ground floor of the Berlaymont building, EDPB and EDPS staff will be on hand to answer questions about your privacy rights and how to protect your personal information. Free goodies and information will be on offer, as well as fun and interactive activities for both children and adults to enjoy. You will also have a chance to win one of 20 USB sticks, simply by taking part in our fun, simple quiz!

Whether shopping online, using a smartphone or applying for jobs, data protection affects us all, so be sure to visit our stand to find out more!

For more information visit http://europeday.europa.eu and http://ec.europa.eu/belgium/events/europe-day_en

For more information on the EDPS visit: https://edps.europa.eu/data-protection/our-work/publications/events/eu-open-day-2019-brussels_en 

15 March 2019

On February 26, the EDPB Chair and Vice-Chair addressed the European Parliament's Civil Liberties, Justice and Home Affairs Committee (LIBE) on GDPR implementation. You can read the full report here:  EDPB LIBE Report

14 March 2019

Bryssel, 13. maaliskuuta – Euroopan tietosuojaneuvosto ja Euroopan tietosuojavaltuutettu kokoontuivat 12.–13.3. kahdeksanteen täysistuntoonsa. Kokouksessa käsiteltiin useita aiheita.

Sähköisen viestinnän tietosuojadirektiivin ja yleisen tietosuoja-asetuksen yhteensovittaminen
Euroopan tietosuojaneuvosto antoi lausunnon sähköisen viestinnän tietosuojadirektiivin ja yleisen tietosuoja-asetuksen yhteensovittamisesta. Lausunnossa kiinnitettiin erityisesti huomiota siihen, että henkilötietojen käsittelyssä tulee ottaa huomioon sekä yleinen tietosuoja-asetus sekä sähköisen viestinnän tietosuojadirektiivi ja pohdittiin sitä, rajoittaako tämä tietosuojaviranomaisten toimivaltaa, tehtäviä ja valtuuksia. Tietosuojaneuvoston näkemys on, että tietosuojaviranomaisilla on oltava yleisen tietosuoja-asetuksen mukainen toimivalta. Se, että osaan henkilötiedoista sovelletaan myös sähköisen viestinnän tietosuojadirektiiviä, ei vaikuta tämän toimivallan toteuttamiseen.

Yleisen tietosuoja-asetuksen säännösten rikkominen voi samanaikaisesti johtaa kansallisten sähköisen viestinnän tietosuojasäännösten rikkomiseen. Tietosuojaviranomainen voi ottaa tämän huomioon soveltaessaan yleistä tietosuoja-asetusta, esimerkiksi arvioidessaan laillisuus- ja oikeudenmukaisuusperiaatteiden noudattamista.

Lausunto sähköisen viestinnän tietosuojadirektiivistä
Euroopan tietosuojaneuvosto antoi lausunnon valmisteilla olevasta sähköisen viestinnän tietosuoja-asetuksesta. Lausunnossa kehotetaan EU:n lainsäätäjiä tehostamaan toimia sähköisen viestinnän tietosuojadirektiivin hyväksymiseksi. Neuvoston mukaan tämä on olennaisen tärkeää tietosuojan ja sähköisen viestinnän luottamuksellisuuden varmistamiseksi.

Sähköisen viestinnän tietosuoja-asetus ei missään olosuhteissa saa heikentää nykyisen sähköisen viestinnän tietosuojadirektiivin tarjoamaa suojaa. Sen tulisi täydentää EU:n yleistä tietosuoja-asetusta tarjoamalla vahvaa lisäturvaa kaikentyyppisen sähköisen viestinnän tietosuojalle.

Tietosuojaa koskeva vaikutustenarviointi
Euroopan tietosuojaneuvosto antoi lausunnot Espanjan ja Islannin viranomaisten toimittamista vaikutustenarvioinnin kansallisista luetteloista. Näiden luetteloiden avulla pyritään yleisen tietosuoja-asetuksen yhdenmukaiseen soveltamiseen koko Euroopan talousalueella. Tietosuojaa koskeva vaikutustenarviointi on prosessi, jonka avulla voidaan tunnistaa ja vähentää tietosuojaan liittyviä riskejä, jotka voivat vaikuttaa yksilöiden oikeuksiin ja vapauksiin. Rekisterinpitäjän on yleensä arvioitava ennen henkilötietojen käsittelyn aloittamista, edellyttääkö se vaikutustenarvioinnin tekemistä. Tämän lisäksi kansallisten valvontaviranomaisten on laadittava ja julkaistava luettelo käsittelytoimista, joihin vaikutustenarviointia sovelletaan aina. Espanjalle ja Islannille annetut lausunnot ovat jatkoa edellisissä täysistunnoissa hyväksytyille, kansallisia vaikutustenarvioinnin luetteloita koskeville 28 lausunnolle.

Lausunto henkilötietojen käytöstä poliittisissa kampanjoissa
Euroopan tietosuojaneuvosto on hyväksynyt lausunnon, joka koskee henkilötietojen käyttöä vaalikampanjoissa. Lausunnossa otetaan huomioon erityisesti toukokuussa järjestettävät Euroopan parlamentin vaalit sekä muut EU-alueella ja sen ulkopuolella vuoden 2019 aikana järjestettävät vaalit. Henkilötietojen käsittely poliittisissa tarkoituksissa voi aiheuttaa vakavia riskejä rekisteröityjen oikeudelle yksityisyyteen ja tietosuojaan mutta myös vaalijärjestelmän demokraattisuudelle. Lausunnossaan Euroopan tietosuojaneuvosto korostaa useita keskeisiä seikkoja, jotka poliittisten puolueiden on otettava huomioon henkilötietojen käsittelyssä vaalityön aikana.

Huomautus toimittajille:

Kaikki Euroopan tietosuojaneuvoston täysistunnon aikana hyväksytyt asiakirjat käyvät vielä läpi oikeudellisen, muodollisen ja kielellisen tarkistuksen ja julkaistaan näiden tarkistusten jälkeen Euroopan tietosuojaneuvoston verkkosivuilla.

12 March 2019

On March 12 & 13, the European Data Protection Board's eighth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of Eighth Plenary

13 February 2019

Bryssel, 13. helmikuuta – ETA-maiden tietosuojaviranomaiset ja Euroopan tietosuojavaltuutettu kokoontuivat 12. helmikuuta Euroopan tietosuojaneuvoston seitsemänteen täysistuntoon. Istunnossa käsiteltiin useita aiheita.

Euroopan tietosuojaneuvoston toimintasuunnitelma 2019–2020
Tietosuojaneuvosto hyväksyi työjärjestyksen 29 artiklaan perustuvan toimintasuunnitelman vuosille 2019–2020. Suunnitelma laaditaan niiden tarpeiden perusteella, joita neuvoston jäsenet ovat tunnistaneet yksilöiden, sidosryhmien ja EU:n lainsäädännön näkökulmasta.

Luonnos rahoitusmarkkinoiden valvonnan hallinnolliseksi järjestelyksi
Tietosuojaneuvosto hyväksyi luonnoksen hallinnolliseksi järjestelyksi, joka koskee henkilötietojen siirtoa ETA-maiden rahoitusalan valvontaviranomaisten, muun muassa Euroopan arvopaperimarkkinaviranomaisen (ESMA), ja EU:n ulkopuolisten valvontaviranomaisten välillä. Järjestely perustuu yleisen tietosuoja-asetuksen 46 artiklan 3 kohdan b alakohtaan. Seuraavaksi luonnos toimitetaan kansallisten toimivaltaisten valvontaviranomaisten hyväksyttäväksi. Valvontaviranomaisen tehtävänä on seurata järjestelyn soveltamista käytäntöön ja varmistaa, että rekisteröidyn oikeudet sekä asianmukaiset oikeussuojakeinot ja valvonta toteutuvat asianmukaisella tavalla.

Brexit
Euroopan tietosuojaneuvosto hyväksyi kaupallisille toimijoille ja viranomaisille osoitetun ohjeistuksen, joka koski yleisen tietosuoja-asetuksen mukaisia tiedonsiirtoja sopimuksettoman brexitin toteutuessa.

Tiedonsiirto ETA-maista Isoon-Britanniaan
Jos EU ja Iso-Britannia eivät pääse sopimukseen Britannian EU-erosta, Britanniasta tulee kolmas maa 30. maaliskuuta 2019 alkaen. Tämän seurauksena henkilötietojen siirtojen Euroopan talousalueelta Britanniaan tulee perustua johonkin seuraavista siirtomekanismeista: tavanomaiset tai tapauskohtaiset tietosuojalausekkeet, yrityksiä sitovat säännöt, käytännesäännöt ja sertifiointimekanismit sekä viranomaisten käytössä olevat erityiset siirtomekanismit. Jos vakiomuotoisia tietosuojalausekkeita tai muita asianmukaisia suojatoimia ei ole käytössä, poikkeuksia voidaan tehdä tietyin edellytyksin.

Tiedonsiirto Isosta-Britanniasta ETA-maihin
Ison-Britannian hallituksen tiedonannon mukaan nykyiset käytännöt jatkuvat siirrettäessä henkilötietoja Britanniasta ETA-maihin. Näin ollen henkilötietoja voidaan siirtää vapaasti Britanniasta ETA-maihin sopimuksettoman brexitin toteuduttuakin.    

Käytännesääntöjä koskeva ohjeistus
Tietosuojaneuvosto hyväksyi käytännesääntöjä koskevan ohjeistuksen, jonka tarkoituksena on antaa neuvoja ja tulkintaohjeita yleisen tietosuoja-asetuksen 40 ja 41 artiklojen soveltamiseen. Ohjeistus selventää menettelyjä ja sääntöjä, jotka liittyvät käytännesääntöjen valmisteluun, hyväksymiseen ja julkaisemiseen sekä kansallisella että Euroopan tasolla. Ohjeistuksen tulisi lisäksi ohjata toimivaltaisia valvontaviranomaisia sekä Euroopan tietosuojaneuvostoa ja komissiota, jotta ne voivat arvioida käytännesääntöjä johdonmukaisesti ja virtaviivaistaa arviointiprosessiin liittyviä menettelyjä. Ohjeistuksesta järjestetään julkinen kuuleminen.

Huomautus toimittajille:

Kaikki Euroopan tietosuojaneuvoston täysistunnon aikana hyväksytyt asiakirjat käyvät vielä läpi oikeudellisen, muodollisen ja kielellisen tarkistuksen ja julkaistaan näiden tarkistusten jälkeen Euroopan tietosuojaneuvoston verkkosivuilla.

12 February 2019

On February 12, the European Data Protection Board's seventh plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of Seventh Plenary

 

24 January 2019

Bryssel, 24. tammikuuta – 22.–23. tammikuuta Euroopan tietosuojaviranomaisista koostuva Euroopan tietosuojaneuvosto kokoontui kuudenteen täysistuntoonsa. Istunnossa käsiteltiin useita aiheita.

Privacy Shield -järjestely
Tietosuojaneuvosto hyväksyi EU: n ja Yhdysvaltojen välisen Privacy Shield -järjestelyn toisen vuosikatsauksen. Euroopan tietosuojaneuvosto suhtautuu myönteisesti siihen, että Yhdysvaltojen viranomaiset ja komissio ovat ryhtyneet toteuttamaan Privacy Shield -järjestelyä, erityisesti toimia, joiden tarkoituksena on mukauttaa alkuperäistä sertifiointimenettelyä, aloittaa valvonta- ja täytäntöönpanotoimet sekä julkaista asiakirjoja, jotka liittyvät osittain turvallisuusluokituksen poistamisen (kuten FISC-tuomioistuimen päätökset), uuden puheenjohtajan sekä yksityisyyden ja kansalaisvapauksien valvonnasta vastaavan lautakunnan (Privacy and Civil Liberties Oversight Board, PCLOB) kolmen uuden jäsenen nimittämiseen ja pysyvän oikeusasiamiehen nimittämiseen.

Tämän katsauksen jälkeenkin Privacy Shield -järjestelyn täytäntöönpanoa koskevat huolenaiheet ovat edelleen olemassa. Jo Euroopan tietosuojaneuvoston edeltäjän, WP29:n, asiakirjassa on todettu, ettei valikoimatonta henkilötietojen keruuta ja käyttöä kansalliseen turvallisuuteen liittyvissä tarkoituksissa ole suljettu pois. Nykyisen tiedon valossa Euroopan tietosuojaneuvosto ei myöskään voi olla varma, että oikeusasiamiehellä on riittävät valtuudet korjata näiden periaatteiden noudattamatta jättäminen. Lisäksi neuvosto huomauttaa, etteivät Privacy Shield -järjestelyn periaatteiden noudattamista koskevat tarkastukset ole riittävän kattavia.

Lisäksi Euroopan tietosuojaneuvostolla on joitakin lisähuolenaiheita. Ne liittyvät tarvittavien tarkastusten tekemiseen tietojen edelleen siirtämistä koskevien vaatimusten noudattamiseksi, henkilötietojen käsitteen laajuuteen ja uudelleensertifiointiprosessiin sekä luetteloon jäljellä olevista kysymyksistä, jotka ovat nousseet esiin ensimmäisen yhteisen tarkastelun jälkeen.

Brexit
Euroopan tietosuojaneuvosto keskusteli brexitin mahdollisista seurauksista tietosuojaan. Neuvosto sopi tekevänsä yhteistyötä liittyen brexit-valmisteluihin sekä niihin tietojensiirtomenetelmiin, jotka ovat käytettävissä sen jälkeen, kun Iso-Britannia ei enää ole EU:n jäsen.

Kliiniset lääketutkimukset
Euroopan tietosuojaneuvosto antoi Euroopan komission (SANTE-pääosasto) pyynnöstä lausunnon kliinisiin tutkimuksiin liittyvistä kysymyksistä. Lausunnossa käsitellään erityisesti näkökohtia, jotka liittyvät asianmukaisiin oikeusperusteisiin kliinisissä lääketutkimuksissa sekä kliinisten tutkimusten tietojen toissijaiseen käyttöön tieteellisissä tarkoituksissa. Lausunto toimitetaan seuraavaksi Euroopan komissiolle.

Vaikutustenarviointi
Euroopan tietosuojaneuvosto on antanut lausunnot tietosuojaa koskevasta vaikutustenarvioinnista (DPIA), jonka Liechtenstein ja Norja ovat neuvostolle toimittaneet. Nämä luettelot ovat väline tietosuoja-asetuksen johdonmukaisen soveltamisen kannalta koko Euroopan talousalueella. Tietosuojaa koskeva vaikutustenarviointi on prosessi, jonka avulla voidaan tunnistaa ja lieventää tietosuojaan liittyviä riskejä, jotka voivat vaikuttaa yksilöiden oikeuksiin ja vapauksiin. Vaikka rekisterinpitäjän on yleensä arvioitava, edellytetäänkö tietosuojaa koskevaa vaikutustenarviointia ennen käsittelytoiminnan aloittamista, kansallisten valvontaviranomaisten on laadittava ja julkaistava luettelo käsittelytoimista, joihin sovelletaan tietosuojaa koskevaa vaikutustenarviointia. Nämä kaksi lausuntoa noudattavat syyskuun täysistunnossa hyväksyttyjä 22 lausuntoa ja joulukuun täysistunnossa hyväksyttyjä neljää lausuntoa, ja ne auttavat osaltaan vahvistamaan yhteiset kriteerit tietosuojaa koskevan vaikutustenarvioinnin luettelolle koko Euroopan talousalueella.

Sertifiointia koskeva ohjeistus
Euroopan tietosuojaneuvoston sertifiointia koskeva ohjeistus hyväksyttiin julkisen kuulemisen ja sen perusteella tehtyjen muutosten jälkeen. Lisäksi neuvosto hyväksyi uuden liitteen. Tietosuojaneuvoston ensimmäinen täysistunto hyväksyi luonnoksen suuntaviivoista toukokuussa. Ohjeiden ensisijaisena tavoitteena on määritellä yleiset kriteerit, jotka voivat olla merkityksellisiä yleisen tietosuoja-asetuksen 42 ja 43 artiklan mukaisesti myönnettyjen sertifiointimekanismien kannalta. Ohjeissa selvennetään perusteluja sertifioinnin käyttämiselle vastuuvälineenä sekä asetuksen 42 ja 43 artiklan keskeisiä käsitteitä. Lisäksi ohjeet tarkentavat sitä, mitä voidaan sertifioida, ja kuvaavat sertifioinnin tarkoitusta. Ohjeet auttavat jäsenvaltioita, valvontaviranomaisia ja kansallisia akkreditointielimiä näiden tarkistaessa ja hyväksyessä yleisen tietosuoja-asetuksen mukaisia sertifiointiperusteita. Ohjeeseen kuuluvasta liitteestä järjestetään julkinen kuuleminen.

Vastaus Australian valvontaviranomaiselle tietojen tietoturvaloukkausilmoituksesta
Lokakuussa 2018 tietosuojaneuvosto sai Australian tietosuojavaltuutetun virastolta kirjallisen pyynnön, joka koski valvontaviranomaisten toimittamien tietoturvaloukkausten julkistamista. Euroopan tietosuojaneuvosto on tyytyväinen viraston kiinnostukseen tehdä yhteistyötä Euroopan tietosuojaneuvoston kanssa, mikä samalla korostaa kansainvälisen yhteistyön merkitystä. Vastauksessaan Euroopan tietosuojaneuvosto antaa lisätietoja siitä, julkaisevatko valvontaviranomaiset tietoturvaloukkauksia koskevia tietoja ja miten näitä tietoja mahdollisesti julkaistaan.

22 January 2019

On January 22 and 23, the European Data Protection Board's sixth plenary is taking place in Brussels. For further information, please consult the agenda.

Agenda of Sixth Plenary