Euroopan tietosuojaneuvosto

Euroopan tietosuojaneuvoston uutiset

23 March 2020

Following a decision by the EDPB Chair, the EDPB April Plenary Session has been cancelled due to safety concerns surrounding the outbreak of the Coronavirus (COVID-19). The EDPB hereby follows the example of other EU institutions, such as the European Parliament, which have restricted the number of large-scale meetings.

The April Plenary Session was scheduled to take place on 20 and 21 April. Earlier, the EDPB March Plenary was also cancelled for the same reasons. You can find an overview of upcoming EDPB Plenary Meetings here

20 March 2020

On March 19th, the European Data Protection Board adopted a formal statement on the processing of personal data in the context of the COVID-19 outbreak via written procedure. The full statement is available here

16 March 2020

Governments, public and private organisations throughout Europe are taking measures to contain and mitigate COVID-19. This can involve the processing of different types of personal data.  

Andrea Jelinek, Chair of the European Data Protection Board (EDPB), said: “Data protection rules (such as GDPR) do not hinder measures taken in the fight against the coronavirus pandemic. However, I would like to underline that, even in these exceptional times, the data controller must ensure the protection of the personal data of the data subjects. Therefore, a number of considerations should be taken into account to guarantee the lawful processing of personal data.”

The GDPR is a broad legislation and also provides for the rules to apply to the processing of personal data in a context such as the one relating to COVID-19. Indeed, the GDPR provides for the legal grounds to enable the employers and the competent public health authorities to process personal data in the context of epidemics, without the need to obtain the consent of the data subject. This applies for instance when the processing of personal data is necessary for the employers for reasons of public interest in the area of public health or to protect vital interests (Art. 6 and 9 of the GDPR) or to comply with another legal obligation.

For the processing of electronic communication data, such as mobile location data, additional rules apply. The national laws implementing the ePrivacy Directive provide for the principle that the location data can only be used by the operator when they are made anonymous, or with the consent of the individuals. The public authorities should first aim for the processing of location data in an anonymous way (i.e. processing data aggregated in a way that it cannot be reversed to personal data). This could enable to generate reports on the concentration of mobile devices at a certain location (“cartography”).  

When it is not possible to only process anonymous data, Art. 15 of the ePrivacy Directive enables the member states to introduce legislative measures pursuing national security and public security *. This emergency legislation is possible under the condition that it constitutes a necessary, appropriate and proportionate measure within a democratic society. If such measures are introduced, a Member State is obliged to put in place adequate safeguards, such as granting individuals the right to judicial remedy.

Update:

On March 19th, the European Data Protection Board adopted a formal statement on the processing of personal data in the context of the COVID-19 outbreak. The full statement is available below.

* In this context, it shall be noted that safeguarding public health may fall under the national and/or public security exception.

10 March 2020

Following a decision by the EDPB Chair, the EDPB March Plenary Session has been cancelled due to safety concerns surrounding the outbreak of the Coronavirus (COVID-19). The EDPB hereby follows the example of other EU institutions, such as the European Parliament, which have restricted the number of large-scale meetings.

The March Plenary Session was scheduled to take place on 19 and 20 March. You can find an overview of upcoming EDPB Plenary Meetings here

20 February 2020

Bryssel 20. helmikuuta – ETA-maiden valvontaviranomaiset ja Euroopan tietosuojavaltuutettu kokoontuivat 18. ja 19. helmikuuta Euroopan tietosuojaneuvoston 18. täysistuntoon. Istunnossa käsiteltiin monenlaisia aiheita.

Tietosuojaneuvosto ja ETA-maiden valvontaviranomaiset osallistuivat yleisen tietosuoja-asetuksen arviointiin ja uudelleentarkasteluun yleisen tietosuoja-asetuksen 97 artiklan mukaisesti. Tietosuojaneuvosto katsoo, että yleisen tietosuoja-asetuksen soveltaminen ensimmäisten 20 kuukauden aikana on onnistunut. Vaikka valvontaviranomaisten resurssien riittävyys on edelleen huolenaiheena ja joitakin mm. maiden erilaisista tulkintakäytännöistä aiheutuvia haasteita on tunnistettu, tietosuojaneuvosto on vakuuttunut siitä, että valvontaviranomaisten välinen yhteistyö johtaa yhteiseen tietosuojakulttuuriin ja johdonmukaisiin tulkintoihin. Euroopan tietosuojaneuvosto etsii parhaillaan ratkaisuja näihin haasteisiin vastaamiseksi ja nykyisten yhteistyötapojen kehittämiseksi. Se kehottaa Euroopan komissiota tarkistamaan, vaikuttavatko kansalliset menettelyt yhteistyön tehokkuuteen, ja katsoo, että viime kädessä myös lainsäätäjät voivat toiminnallaan tukea yhdenmukaisten toimintatapojen kehittämistä. Tietosuojaneuvosto käsittelee arvioinnissaan kansainvälisiä siirtomekanismeja, asetuksen vaikutuksia pk-yrityksiin, kansallisten viranomaisten resursseja sekä uusien teknologioiden kehittämistä. Tietosuojaneuvosto katsoo, että tietosuoja-asetuksen tarkistaminen olisi tässä vaiheessa ennenaikaista.

Tietosuojaneuvosto hyväksyi luonnoksen ohjeeksi, joka tarkentaa tietosuoja-asetuksen 46 artiklan2 kohdan a alakohdan ja 46 artiklan 3 kohdan b alakohdan soveltamista. Kyseiset artiklat käsittelevät henkilötietojen siirtoja ETA-maiden viranomaisilta kolmansien maiden viranomaisille tai kansainvälisille järjestöille, jos nämä siirrot eivät tapahdu tietosuojan riittävyyttä koskevan päätöksen perusteella. Ohje esittää suosituksia takeista, jotka tulisi täyttää hyödynnettäessä viranomaisten välisiä oikeudellisesti sitovia välineitä (art. 46:2 (a)) tai hallinnollisissa järjestelyissä olevia säännöksiä (46:3 (b)) sen varmistamiseksi, että luonnollisten henkilöiden tietosuojan tasoa ei heikennetä. Ohjeesta järjestetään julkinen kuuleminen.

Lausunto yritysfuusioiden vaikutuksista tietosuojaan
Kun Google oli ilmoittanut aikovansa ostaa älylaitteita valmistavan Fitbitin, Euroopan tietosuojaneuvosto antoi lausunnon, jossa se korosti, että arkaluonteisten henkilötietojen yhdistäminen ja kerääminen voi aiheuttaa suuren riskin Euroopassa asuvien tietosuojaa koskeville perusoikeuksille. Tietosuojaneuvosto muistuttaa suunnitteilla olevan fuusion osapuolia siitä, että niitä koskevat tietosuoja-asetuksen mukaiset velvoitteet ja että fuusiosta tietosuojalle aiheutuvia vaikutuksia on arvioitava kattavasti ja avoimesti. Tietosuojaneuvosto kehottaa osapuolia myös alentamaan fuusiosta mahdollisesti aiheutuvia tietosuojariskejä ennen Euroopan komissiolle tehtävää ilmoitusta fuusiosta. Tietosuojaneuvosto tarkastelee fuusion mahdollisia vaikutuksia henkilötietojen suojaan Euroopan talousalueella ja on pyydettäessä valmis antamaan asiasta lausunnon komissiolle.

Huomautus toimittajille:
Kaikki Euroopan tietosuojaneuvoston täysistunnon aikana hyväksytyt asiakirjat käyvät läpi oikeudellisen, kielellisen ja muodollisen tarkistuksen, ja ne julkaistaan Euroopan tietosuojaneuvoston verkkosivuilla näiden tarkistusten jälkeen.

18 February 2020

On February 18th and 19th, the eighteenth plenary session of the European Data Protection Board is taking place in Brussels. For further information, please consult the agenda.

Agenda of Eighteenth Plenary

30 January 2020

Bryssel 30. tammikuuta – Euroopan talousalueen tietosuojaviranomaiset ja Euroopan tietosuojavaltuutettu kokoontuivat 28.−29. tammikuuta Euroopan tietosuojaneuvoston 17. täysistuntoon. Täysistunnossa keskusteltiin monenlaisista aiheista.

Euroopan tietosuojaneuvosto antoi lausuntonsa Belgian, Espanjan ja Ranskan valvontaviranomaisten toimittamista käytännesääntöjen valvontaelinten akkreditointivaatimuksista. Lausunnoilla pyritään varmistamaan, että valvontaviranomaisten kriteerit ovat johdonmukaisia ja niitä sovelletaan asianmukaisesti.

Euroopan tietosuojaneuvosto hyväksyi ohjeluonnoksen verkkoon liitetyistä ajoneuvoista. Kun ajoneuvojen verkottuminen lisääntyy, kuljettajista ja matkustajista tuotetun datan määrä kasvaa nopeasti. Tietosuojaneuvoston ohje keskittyy henkilötietojen käsittelyyn silloin, kun rekisteröidyt käyttävät verkkoon liitettyjä ajoneuvoja muuhun kuin ammattimaiseen käyttöön. Ohje koskee ajoneuvon käsittelemiä henkilötietoja ja tietoja, joita ajoneuvo välittää verkkoon liitettynä laitteena. Ohjeesta järjestetään julkinen kuuleminen.

Tietosuojaneuvosto hyväksyi henkilötietojen käsittelyä videolaitteiden välityksellä koskevan ohjeen lopullisen version julkisen kuulemisen jälkeen. Ohjeilla pyritään selventämään, miten yleistä tietosuoja-asetusta sovelletaan henkilötietojen käsittelyyn videolaitteita käytettäessä. Tavoitteena on varmistaa yleisen tietosuoja-asetuksen johdonmukainen soveltaminen. Tietosuojaneuvoston suuntaviivat kattavat sekä perinteiset että älykkäät videolaitteet. Suuntaviivoissa käsitellään muun muassa käsittelyn laillisuutta, mukaan lukien erityisten tietoryhmien käsittely, kotitaloutta koskevan poikkeuksen sovellettavuutta ja videomateriaalin luovuttamista kolmansille osapuolille. Ohjeeseen tehtiin useita muutoksia julkisen kuulemisen jälkeen.

Euroopan tietosuojaneuvosto antoi lausuntonsa sertifiointielinten akkreditointivaatimusten luonnoksista Yhdistyneen kuningaskunnan ja Luxemburgin valvontaviranomaisille. Nämä ovat ensimmäiset tietosuojaneuvoston antamat lausunnot sertifiointielinten akkreditointivaatimuksista. Niillä pyritään luomaan johdonmukainen ja yhdenmukainen lähestymistapa vaatimuksiin, joita valvontaviranomaiset ja kansalliset akkreditointielimet soveltavat sertifiointielimiä akkreditoidessaan.

Euroopan tietosuojaneuvosto antoi lausuntonsa Espanjan valvontaviranomaisen toimittamasta päätösluonnoksesta, joka koskee Fujikura Automotive Europe Groupin yritystä koskevia sitovia sääntöjä (BCR).

Kirje epäoikeudenmukaisista algoritmeista
Euroopan tietosuojaneuvosto hyväksyi kirjeen vastauksena Euroopan parlamentin jäsenen Sophie in ’t Veldin pyyntöön, joka koski epäoikeudenmukaisten algoritmien käyttöä. Kirjeessä analysoidaan algoritmien käytön asettamia haasteita, luodaan katsaus asiaa koskeviin yleisen tietosuoja-asetuksen säännöksiin ja näitä kysymyksiä käsitteleviin ohjeisiin sekä kuvaillaan valvontaviranomaisten jo tekemää työtä.

Kirje Euroopan neuvostolle kyberrikollisuutta koskevasta sopimuksesta
Euroopan tietosuojaneuvoston annettua panoksensa neuvotteluihin tietoverkkorikollisuutta koskevan Euroopan neuvoston sopimuksen (Budapestin sopimus) toisesta lisäpöytäkirjasta, useat tietosuojaneuvoston jäsenet osallistuivat aktiivisesti Euroopan neuvoston kyberrikollisuutta käsittelevän komitean (T-CY) konferenssiin. Tietosuojaneuvosto hyväksyi konferenssin seurantakirjeen, jossa korostettiin tarvetta sisällyttää vahvat tietosuojatakeet sopimuksen tulevaan lisäpöytäkirjaan ja varmistaa sen johdonmukaisuus yleissopimuksen nro 108 sekä EU:n perussopimusten ja perusoikeuskirjan kanssa.

Huomautus toimittajille:
Kaikki Euroopan tietosuojaneuvoston täysistunnon aikana hyväksytyt asiakirjat käyvät läpi oikeudellisen, kielellisen ja muodollisen tarkistuksen, ja ne julkaistaan Euroopan tietosuojaneuvoston verkkosivuilla näiden tarkistusten jälkeen.

28 January 2020

On January 28th and 29th, the seventeenth plenary session of the European Data Protection Board is taking place in Brussels. For further information, please consult the agenda.

Agenda of Seventeenth Plenary