Euroopan tietosuojaneuvosto

Euroopan tietosuojaneuvoston uutiset

20 November 2020

Brussels, 20 November - On November 19th, the EDPB met for its 42nd plenary session. During the plenary, the European Commission presented two new sets of draft Standard Contractual Clauses (SCCs) and the EDPB adopted a statement on the future ePrivacy Regulation.
The European Commission presented two draft SCCs: one set of SCCs for contracts between controllers and processors, and another one for data transfers outside the EU. The draft controller-processor SCCs are fully new and have been developed by the Commission in accordance with Art. 28 (7) GDPR and Art. 29 (7) of Regulation 2018/1725. These SCCs will have an EU-wide effect and aim to ensure full harmonisation and legal certainty across the EU when it comes to contracts between controllers and their processors. In addition, the Commission presented another set of SCCs for the transfer of personal data to third countries pursuant to Art. 46 (2) (c) GDPR. These SCCs will replace the existing SCCs for international transfers that were adopted on the basis of Directive 95/46 and needed to be updated to bring them in line with GDPR requirements, as well as with the CJEU’s ‘Schrems II’ ruling, and to better reflect the widespread use of new and more complex processing operations often involving multiple data importers and exporters. The Commission has requested a joint opinion from the EDPB and the EDPS on the implementing acts on both sets of SCCs.
EDPB Chair Andrea Jelinek said: “The new SCCs for the transfer of personal data to third countries have been highly anticipated, and it is important to point out that they are not a catch-all solution for data transfers post-Schrems II. While the updated SCCs are an important piece of the puzzle and a very important development, data exporters should still make the puzzle complete. The step-by-step approach of the EDPB recommendations on supplementary measures is necessary to bring the level of protection of the data transferred up to the EU standard of essential equivalence. Together with the EDPS, the Board will now thoroughly draft a joint opinion on the two sets of draft SCCs as invited by the European Commission.”
Recommendations 1/2020 on supplementary measures: During the plenary, the Members of the Board decided to extend the deadline for the public consultation on the Recommendations on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data from 30 November 2020 until 21 December 2020.

The EDPB adopted a statement on the future ePrivacy Regulation and the future role of supervisory authorities and the EDPB in this context. The EDPB expressed concerns about some new orientations of the discussions in the Council concerning the enforcement of the future ePrivacy Regulation, which could lead to fragmented supervision, procedural complexity and a lack of consistency and legal certainty for individuals and companies. The EDPB underlines that many of the provisions of the future ePrivacy Regulation concern processing of personal data and that many provisions of the GDPR and the ePrivacy Regulation are closely intertwined. Consistent interpretation and enforcement of both sets of rules, when covering personal data protection, would therefore be fulfilled in the most efficient way, if the enforcement of those parts of the ePrivacy Regulation and the GDPR would be entrusted to the same authority.
EDPB Chair Andrea Jelinek added: “The oversight of personal data processing activities under the ePrivacy Regulation should  be entrusted  to  the  same  national  authorities that are responsible for the enforcement of the GDPR. This will ensure a high level of data protection, guarantee a level playing field and ensure a harmonised interpretation and enforcement of the personal data processing elements of the ePrivacy Regulation across the EU.”
The EDPB also stressed the need to adopt the new Regulation as soon as possible.
The EDPB added that this statement is without prejudice to the Board’s previous positions, including its statement of March 2019 and May 2018 and reiterated that the future ePrivacy Regulation should under no circumstance lower the level of protection offered by the current ePrivacy Directive and should complement the GDPR by providing additional strong guarantees for confidentiality and protection of all types of electronic communications.

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_19

16 November 2020

***Registration has been closed***

On November 27, the EDPB is organising a remote stakeholder workshop on the topic of Legitimate Interest. Representatives from, among others, individual companies, sector organisations, NGOs, law firms and academia are welcome to express interest in attending.

Places will be allocated on a first come, first served basis, depending on availability. We will contact your organisation in case your registration has been successful.

Detailed information and the programme of the event will be available shortly.

As we would like to have a balanced and representative audience, participation will be limited to one participant per organisation.

When? November 27th 2020, from 10:00 - 16:00

11 November 2020

Brussels, 11 November - During its 41st plenary session, the EDPB adopted recommendations on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data, as well as recommendations on the European Essential Guarantees for surveillance measures. 

Both documents were adopted as a follow-up to the CJEU’s ‘Schrems II’ ruling. As a result of the ruling on July 16th, controllers  relying on Standard Contractual Clauses (SCCs) are required to verify, on a case-by-case basis and, where appropriate, in collaboration with the recipient of the data in the third country, if the law of the third country ensures a level of protection of the personal data transferred that is essentially equivalent to that guaranteed in the European Economic Area (EEA). The CJEU allowed exporters to add measures that are supplementary to the SCCs to ensure effective compliance with that level of protection where the safeguards contained in SCCs are not sufficient.   

The recommendations aim to assist controllers and processors acting as data exporters with their duty to identify and implement appropriate supplementary measures where they are needed to ensure an essentially equivalent level of protection to the data they transfer to third countries. In doing so, the EDPB seeks a consistent application of the GDPR and the Court’s ruling across the EEA. 

EDPB Chair, Andrea Jelinek said: “The EDPB is acutely aware of the impact of the Schrems II ruling on thousands of EU businesses and the important responsibility it places on data exporters. The EDPB hopes that these recommendations can help data exporters with identifying and implementing effective supplementary measures where they are needed. Our goal is to enable lawful transfers of personal data to third countries while guaranteeing that the data transferred is afforded a level of protection essentially equivalent to that guaranteed within the EEA.”  

The recommendations contain a roadmap of the steps data exporters must take to find out if they need to put in place supplementary measures to be able to transfer data outside the EEA in accordance with EU law, and help them identify those that could be effective. To assist data exporters, the recommendations also contain a non-exhaustive list of examples of supplementary measures and some of the conditions they would require to be effective. 

However, in the end data exporters are responsible for making the concrete assessment in the context of the transfer, the third country law and the transfer tool they are relying on. Data exporters must proceed with due diligence and document their process thoroughly, as they will be held accountable to the decisions they take on that basis, in line with the GDPR principle of accountability. Moreover, data exporters should know that it may not be possible to implement sufficient supplementary measures in every case.

The recommendations on the supplementary measures will be submitted to public consultation. They will be applicable immediately following their publication. 

In addition, the EDPB adopted recommendations on the European Essential Guarantees for surveillance measures. The recommendations on the European Essential Guarantees are complementary to the recommendations on supplementary measures. The European Essential Guarantees recommendations provide data exporters with elements to determine if the legal framework governing public authorities’ access to data for surveillance purposes in third countries can be regarded as a justifiable interference with the rights to privacy and the protection of personal data, and therefore as not impinging on the commitments of the Article 46 GDPR transfer tool the data exporter and importer rely on.

The Chair added: “The implications of the Schrems II judgment extend to all transfers to third countries. Therefore, there are no quick fixes, nor a one-size-fits-all solution for all transfers, as this would be ignoring the wide diversity of situations data exporters face. Data exporters will need to evaluate their data processing operations and transfers and take effective measures bearing in mind the legal order of the third countries to which they transfer or intend to transfer data.”

The EEA data protection supervisory authorities will continue coordinating their actions in the EDPB to ensure consistency in the application of EU data protection law. 

The agenda of the forty-first plenary is available here.

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_18

10 November 2020

Brussels, 10 November - During its 41st plenary session, the EDPB adopted by a 2/3 majority of its members its first dispute resolution decision on the basis of Art. 65 GDPR. The binding decision seeks to address the dispute arisen following a draft decision issued by the Irish SA as lead supervisory authority (LSA) regarding Twitter International Company and the subsequent relevant and reasoned objections (RROs) expressed by a number of concerned supervisory authorities (CSAs). 

The Irish SA issued the draft decision following an own-volition inquiry and investigations into Twitter International Company, after the company notified the Irish SA of a personal data breach on 8 January 2019. In May 2020, the Irish SA shared its draft decision with the CSAs in accordance with Art. 60 (3) GDPR. The CSAs then had four weeks to submit their RROs. Among others, the CSAs issued RROs on the infringements of the GDPR identified by the LSA, the role of Twitter International Company as the (sole) data controller, and the quantification of the proposed fine. 

As the LSA rejected the objections and/or considered they were not “relevant and reasoned”, it referred the matter to the EDPB in accordance with Art 60 (4) GDPR, thereby initiating the dispute resolution procedure. 

Following the submission by the LSA, the completeness of the file was assessed, resulting in the formal launch of the Art. 65 procedure on 8 September 2020. In compliance with Article 65 (3) GDPR and in conjunction with Article 11.4 of the EDPB Rules of Procedure, the default adoption timeline of one month was extended by a further month because of the complexity of the subject matter. 

On 9 November 2020, the EDPB adopted its binding decision and will shortly notify it formally to the Irish SA. 

The Irish SA shall adopt its final decision on the basis of the EDPB decision, which will be addressed to the controller, without undue delay and at the latest one month after the EDPB has notified its decision. The LSA and CSAs shall notify the EDPB of the date the final decision was notified to the controller. Following this notification, the EDPB will publish its decision on its website.

For further information see: Art. 65 FAQ

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_17

21 October 2020

Bryssel 21. lokakuuta — Euroopan tietosuojaneuvosto kokoontui 20. lokakuuta 40. täysistuntoonsa. Täysistunnossa keskusteltiin monenlaisista aiheista.

Julkisen kuulemisen jälkeen Euroopan tietosuojaneuvosto hyväksyi lopullisen version oletusarvoista ja sisäänrakennettua tietosuojaa koskevasta ohjeesta. Ohjeessa keskitytään yleisen tietosuoja-asetuksen 25 artiklassa säädettyyn sisäänrakennetun ja oletusarvoisen tietosuojan velvoitteeseen. Asetuksen 25 artiklassa vahvistettu keskeinen velvoite on tietosuojaperiaatteiden sekä rekisteröityjen oikeuksien ja vapauksien tehokas täytäntöönpano sisäänrakennetulla ja oletusarvoisella tavalla. Tämä tarkoittaa sitä, että rekisterinpitäjien on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet sekä tarvittavat suojatoimet, joiden tarkoituksena on varmistaa tietosuojaperiaatteiden noudattaminen käytännössä ja suojella rekisteröityjen oikeuksia ja vapauksia. Lisäksi rekisterinpitäjien olisi voitava osoittaa, että toteutetut toimenpiteet ovat tehokkaita.

Ohjeistusta annetaan myös siitä, miten yleisen tietosuoja-asetuksen 5 artiklan tietosuojaperiaatteet voidaan panna tehokkaasti täytäntöön. Ohjeissa luetellaan keskeiset tietosuojan oletusarvoisuuden ja sisäänrakentumisen tekijät sekä käytännön esimerkkitapauksia. Lisäksi annetaan suosituksia siitä, miten rekisterinpitäjät, henkilötietojen käsittelijät ja palvelujen tuottajat voivat tehdä yhteistyötä oletusarvoisen ja sisäänrakennetun tietosuojan aikaansaamiseksi.

Lopullisiin ohjeisiin on sisällytetty päivitetty sanamuoto ja lisää oikeudellisia perusteluja julkisen kuulemisen aikana saatudut kommentit ja palaute huomioiden.

Euroopan tietosuojaneuvosto päätti perustaa koordinoidut toimeenpanopuitteet. Toimeenpanopuitteet tarjoavat rakenteen, jolla koordinoidaan Euroopan tietosuojaneuvoston valvontaviranomaisten toistuvia vuotuisia toimia. Koordinoitujen toimeenpanopuitteiden tavoitteena on helpottaa yhteisiä toimia joustavasti ja koordinoidusti aina yhteisestä tietoisuuden lisäämisestä ja tiedonkeruusta lainvalvontaan ja yhteisiin tutkintoihin. Toistuvien vuosittaisten koordinoitujen toimien tarkoituksena on edistää sääntöjen noudattamista, antaa rekisteröidyille mahdollisuus käyttää oikeuksiaan ja lisätä tietoisuutta.

Euroopan tietosuojaneuvosto hyväksyi kirjeen vastauksena Europäische Akademie für Informationsfreiheit und Datenschutzille tekijänoikeusdirektiivin 17 artiklan tietosuojavaikutuksista erityisesti lataussuodattimien osalta. Kirjeessä Euroopan tietosuojaneuvosto toteaa, että henkilötietojen käsittelyn lataussuodattimia varten on oltava oikeasuhteista ja välttämätöntä ja että henkilötietoja ei pitäisi käsitellä tekijänoikeusdirektiivin 17 artiklan täytäntöönpanon yhteydessä, mikäli mahdollista. Jos henkilötietojen käsittely on tarpeen esimerkiksi muutoksenhakumekanismin vuoksi, tällaisten tietojen olisi koskettava ainoastaan tähän erityiseen tarkoitukseen tarvittavia tietoja samalla kun sovelletaan kaikkia muita yleisen tietosuoja-asetuksen periaatteita. Euroopan tietosuojaneuvosto korosti lisäksi, että se käy asiasta jatkuvaa keskustelua Euroopan komission kanssa ja että se on ilmoittanut olevansa valmis lisäyhteistyöhön.

Huomautus toimittajille:
huomatkaa, että kaikkiin Euroopan tietosuojaneuvoston täysistunnossa hyväksyttyihin asiakirjoihin sovelletaan tarvittavia oikeudellisia, kielellisiä ja muotoiluun liittyviä tarkistuksia, ja ne ovat saatavilla tietosuojaneuvoston verkkosivustolla, kun ne on saatu valmiiksi.

EDPB_Press Release_2020_16

12 October 2020

Bryssel 12. lokakuuta – Euroopan tietosuojaneuvosto hyväksyi 39. täysistunnossaan ohjeistuksen merkityksellisen ja perustellun vastalauseen käsitteestä. Ohjeella edistetään käsitteen yhdenmukaista tulkintaa, joka auttaa virtaviivaistamaan tulevia yleisen tietosuoja-asetuksen 65 artiklan mukaisia menettelyjä.

Valvontaviranomaisilla on yleisessä tietosuoja-asetuksessa säädetyn yhteistyömekanismin puitteissa velvollisuus ”vaihtaa kaikkia asiaankuuluvia tietoja keskenään” ja tehdä yhteistyötä ”yhteisymmärryksen saavuttamiseksi”. Yleisen tietosuoja-asetuksen 60 artiklan 3 kohdan ja (4) kohdan mukaan johtavan valvontaviranomaisen on toimitettava päätösehdotus osallistuville valvontaviranomaisille, jotka voivat esittää merkityksellisen ja perustellun vastalauseen tietyssä määräajassa. Merkityksellisen ja perustellun vastalauseen saatuaan johtavalla valvontaviranomaisella on kaksi vaihtoehtoa. Jos se ei noudata merkityksellistä ja perusteltua vastalausetta tai katsoo, että vastalause ei ole perusteltu tai merkityksellinen, se toimittaa asian tietosuojaneuvostolle yhdenmukaisuusmekanismin puitteissa (yleisen tietosuoja-asetuksen 65 artikla). Jos johtava valvontaviranomainen sitä vastoin noudattaa vastalausetta ja antaa tarkistetun päätösehdotuksen, osallistuvat valvontaviranomaiset voivat esittää tarkistettua päätösehdotusta koskevan merkityksellisen ja perustellun vastalauseen kahden viikon kuluessa.

Ohjeella pyritään saamaan aikaan yhteisymmärrys käsitteestä ”merkityksellinen ja perusteltu”, mukaan lukien se, mitä olisi otettava huomioon arvioitaessa, ”osoittaako vastalause selvästi päätösehdotuksen aiheuttamien riskien merkityksen” (yleisen tietosuoja-asetuksen 4 artiklan 24 kohta).

Huomautus toimittajille:

Huomatkaa, että kaikkiin Euroopan tietosuojaneuvoston täysistunnossa hyväksyttyihin asiakirjoihin sovelletaan tarvittavia oikeudellisia, kielellisiä ja muotoiluun liittyviä tarkistuksia, ja ne ovat saatavilla tietosuojaneuvoston verkkosivustolla, kun ne on saatu valmiiksi.

EDPB_Press Release_2020_15

04 September 2020

Bryssel 3. syyskuuta — Hallintoneuvosto hyväksyi ohjeistuksen rekisterinpitäjän ja henkilötietojen käsittelijän käsitteistä yleisessä tietosuoja-asetuksessa ja ohjeistuksen sosiaalisen median käyttäjien kohdentamisesta. Lisäksi Euroopan tietosuojaneuvosto perusti unionin tuomioistuimen asiassa Schrems II antaman tuomion jälkeen valituksia käsittelevän työryhmän sekä työryhmän, joka keskittyy lisätoimenpiteisiin, joita tietojen viejät ja tuojat voidaan vaatia toteuttamaan riittävän suojan varmistamiseksi siirrettäessä tietoja unionin tuomioistuimen asiassa Schrems II antaman tuomion mukaisesti.

Tietosuojaneuvosto hyväksyi ohjeistuksen rekisterinpitäjän ja henkilötietojen käsittelijän käsitteistä yleisessä tietosuoja-asetuksessa. Yleisen tietosuoja-asetuksen soveltamisen alkamisen jälkeen on esitetty kysymyksiä siitä, missä määrin yleinen tietosuoja-asetus on muuttanut näitä käsitteitä, erityisesti mitä tulee yhteisen rekisterinpitäjän käsitteeseen (sellaisena kuin se on vahvistettu yleisen tietosuoja-asetuksen 26 artiklassa ja useiden unionin tuomioistuimen tuomioiden jälkeen) sekä yleisen tietosuoja-asetuksen IV luvussa säädettyihin henkilötietojen käsittelijöitä koskeviin velvoitteisiin (erityisesti yleisen tietosuoja-asetuksen 28 artiklaan).

Maaliskuussa 2019 Euroopan tietosuojaneuvosto järjesti yhdessä sihteeristönsä kanssa sidosryhmätapahtuman, jossa tehtiin selväksi, että tarvitaan enemmän käytännön ohjausta, ja annettiin tietosuojaneuvostolle mahdollisuus ymmärtää paremmin alan tarpeita ja huolenaiheita. Uudet ohjeet koostuvat kahdesta pääosasta: ensimmäisessä osassa määritellään käsitteet, ja toinen osa sisältää yksityiskohtaiset ohjeet näiden käsitteiden tärkeimmistä seurauksista rekisterinpitäjille, henkilötietojen käsittelijöille ja yhteisrekisterinpitäjille. Ohjeisiin sisältyy vuokaavio käytännön lisäohjeiden antamiseksi. Ohjeluonnoksesta järjestetään julkinen kuuleminen.

Euroopan tietosuojaneuvosto hyväksyi ohjeen käyttäjien kohdentamisesta sosiaalisen median palveluissa. Ohjestuksen tarkoituksena on antaa käytännön ohjeita sidosryhmille, ja ne sisältävät esimerkkejä erilaisista tilanteista, jotta sidosryhmät voivat nopeasti tunnistaa ”skenaarion”, joka on lähinnä niiden suunnittelemaa kohdentamiskäytäntöä. Ohjeistuksen päätavoitteena on selventää sosiaalisen median tarjoajan ja kohdennuksen kohteena olevan henkilön rooleja ja vastuita. Tätä varten ohjeessa määritellään muun muassa mahdolliset riskit yksilön vapauksille, keskeiset toimijat ja niiden roolit, keskeisten tietosuojavaatimusten soveltaminen, kuten laillisuus ja avoimuus sekä tietosuojaa koskeva vaikutustenarviointi, sekä sosiaalisen median palvelun tarjoajien ja kohteena olevien henkilöiden välisten järjestelyjen keskeiset osatekijät. Lisäksi ohjeessa keskitytään erilaisiin kohdentamismekanismeihin, erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelyyn ja yhteisrekisterinpitäjien velvollisuuteen ottaa käyttöön asianmukaiset järjestelyt yleisen tietosuoja-asetuksen 26 artiklan mukaisesti. Täysistunto järjestää ohjeluonnokselle julkisen kuulemisen.

Tietosuojaneuvosto on perustanut työryhmän tarkastelemaan Euroopan unionin tuomioistuimen asiassa Schrems II antaman tuomion jälkeen tehtyjä valituksia. ETA-maiden tietosuojaviranomaisille on tehty yhteensä 101 samanlaista valitusta useita rekisterinpitäjiä vastaan ETA:n jäsenvaltioissa. Kantelut koskevat Googlen ja Facebookin palvelujen käyttöä, johon liittyy henkilötietojen siirtoa. Kantelijat, joita edustaa kansalaisjärjestö NOYB, väittävät erityisesti, että Google ja Facebook siirtävät henkilötietoja Yhdysvaltoihin EU:n ja Yhdysvaltojen Privacy Shield -järjestelyn tai vakiosopimuslausekkeiden perusteella ja että unionin tuomioistuimen asiassa C-311/18 äskettäin antaman tuomion mukaan rekisterinpitäjä ei pysty varmistamaan kantelijoiden henkilötietojen riittävää suojaa. Työryhmä analysoi asiaa ja varmistaa neuvoston jäsenten tiiviin yhteistyön.

Unionin tuomioistuimen Schrems II -tuomion jatkotoimena ja 23. heinäkuuta hyväksyttyjen usein kysyttyjen kysymysten lisäksi johtokunta on perustanut työryhmän. Työryhmä laatii suosituksia, joilla autetaan rekisterinpitäjiä ja henkilötietojen käsittelijöitä määrittelemään ja toteuttamaan asianmukaisia lisäsuojatoimenpiteitä, joilla varmistetaan riittävä suoja siirrettäessä tietoja kolmansiin maihin.

Euroopan tietosuojaneuvoston puheenjohtaja Andrea Jelinek: ”Euroopan tietosuojaneuvosto on hyvin tietoinen siitä, että Schrems II -päätös antaa rekisterinpitäjille merkittävän vastuun. Pian tuomion jälkeen esittämämme lausuman ja usein kysyttyjen kysymysten lisäksi aiomme laatia suosituksia, joilla tuetaan rekisterinpitäjiä ja henkilötietojen käsittelijöitä heidän velvollisuudessaan yksilöidä ja panna täytäntöön asianmukaisia, luonteeltaan oikeudellisia, teknisiä ja organisatorisia lisäsuojatoimenpiteitä ”olennaisen vastaavuusstandardin” täyttämiseksi siirrettäessä henkilötietoja kolmansiin maihin. Tuomion vaikutukset ovat kuitenkin laaja-alaisia, ja kolmansiin maihin tehtävien tiedonsiirtojen kontekstit ovat hyvin erilaisia. Näin ollen ei ole olemassa yhtä kaikille sopivaa nopeaa ratkaisua. Jokaisen organisaation on arvioitava omat tietojenkäsittelytoimensa ja tiedonsiirtonsa ja toteutettava tarvittavat toimenpiteet. ”

Huomautus toimittajille:
huomatkaa, että kaikkiin Euroopan tietosuojaneuvoston täysistunnossa hyväksyttyihin asiakirjoihin sovelletaan tarvittavia oikeudellisia, kielellisiä ja muotoiluun liittyviä tarkistuksia, ja ne ovat saatavilla tietosuojaneuvoston verkkosivustolla, kun ne on saatu valmiiksi.

EDPB_Press Release_2020_14

24 July 2020

Euroopan tietosuojaneuvosto julkaisee vastauksia usein kysyttyihin kysymyksiin Euroopan unionin tuomioistuimen tuomiosta asiassa C-311/18 (Schrems II)

Euroopan unionin tuomioistuimen asiassa C-311/18 – Data Protection Commissioner vastaan Facebook Ireland ja Maximillian Schrems antaman tuomion johdosta Euroopan tietosuojaneuvosto on laatinut usein kysyttyjä kysymyksiä sisältävän asiakirjan, jossa selvennetään ja annetaan alustavia ohjeita sidosryhmille oikeudellisten välineiden käytöstä siirrettäessä henkilötietoja kolmansiin maihin, Yhdysvallat mukaan luettuna. Asiakirjaa täydennetään ja uusia ohjeita lisätään, kun tietosuojaneuvosto jatkaa tuomion tarkastelua ja arviointia. 

Usein kysyttyjä kysymyksiä sisältävä asiakirja Euroopan unionin tuomioistuimen tuomiosta asiassa C-311/18 on luettavissa täällä.


23 July 2020

Bryssel, 23. heinäkuuta – Brexit-siirtymäkauden lähestyessä loppuaan Euroopan tietosuojaneuvosto on hyväksynyt tiedonannon toimista, jotka valvontaviranomaisten, yrityksiä koskevia sitovia sääntöjä käyttävien organisaatioiden sekä sellaisten organisaatioiden on toteutettava, joiden sitovat säännöt ovat Yhdistyneen kuningaskunnan valvontaviranomaisen käsiteltävänä. Toimilla varmistetaan, että näitä sitovia sääntöjä voidaan edelleen käyttää pätevänä siirtovälineenä siirtymäkauden päättymisen jälkeen. Koska Yhdistyneen kuningaskunnan valvontaviranomainen ei siirtymäkauden päättyessä enää ole yleisen tietosuoja-asetuksen mukainen toimivaltainen valvontaviranomainen, yleisen tietosuoja-asetuksen nojalla tehdyillä Yhdistyneen kuningaskunnan valvontaviranomaisen hyväksymispäätöksillä ei enää ole oikeusvaikutuksia Euroopan talousalueella. Lisäksi kyseisten yrityksiä koskevien sitovien sääntöjen sisältöä saattaa olla tarpeen muuttaa ennen siirtymäkauden päättymistä, koska nämä sitovat säännöt sisältävät yleensä viittauksia Yhdistyneen kuningaskunnan oikeusjärjestykseen. Tämä koskee myös direktiivin 94/46/EY nojalla jo hyväksyttyjä yrityksiä koskevia sitovia sääntöjä.

Yritysten, joita sitovat säännöt koskevat ja joiden johtava BCR-valvontaviranomainen on Yhdistyneen kuningaskunnan valvontaviranomainen, on otettava käyttöön kaikki organisaatiojärjestelyt uuden johtavan BCR-valvontaviranomaisen löytämiseksi ETA-alueelta. Johtava BCR-valvontaviranomainen on vaihdettava ennen brexit-siirtymäajan loppua.

Nykyisiä BCR-hakijoita kannustetaan ottamaan käyttöön kaikki organisatoriset järjestelyt uuden johtavan BCR-valvontaviranomaisen löytämiseksi ETA-alueelta hyvissä ajoin ennen brexit-siirtymäkauden päättymistä. Hakijoita kehotetaan ottamaan yhteyttä kyseiseen valvontaviranomaiseen kaikkien tarvittavien tietojen toimittamiseksi siitä, miksi kyseistä viranomaista harkitaan uudeksi johtavaksi BCR-valvontaviranomaiseksi. Uusi johtava valvontaviranomainen ottaa hakemuksen käsiteltäväkseen ja käynnistää virallisesti vahvistusmenettelyn saatuaan Euroopan tietosuojaneuvoston lausunnon. Uuden ETAan kuuluvan johtavan BCR-valvontaviranomaisen on tehtävä uusi hyväksymispäätös Yhdistyneen kuningaskunnan valvontaviranomaisen yleisen tietosuoja-asetuksen nojalla hyväksymistä yrityksiä koskevista sitovista säännöistä ennen siirtymäkauden päättymistä tietosuojaneuvoston lausunnon perusteella. Euroopan tietosuojaneuvosto hyväksyi myös liitteen, joka sisältää tarkistusluettelon seikoista, joita on muutettava yrityksiä koskeviin sitoviin sääntöihin liittyvissä asiakirjoissa brexitin yhteydessä.

Tämä tiedonanto ei vaikuta analyysiin, jota Euroopan tietosuojaneuvosto tekee parhaillaan Euroopan unionin tuomioistuimen asiassa DPC v. Facebook Ireland ja Schrems antaman tuomion vaikutuksista yritystä koskeviin sitoviin sääntöihin siirtovälineinä.


20 July 2020

Bryssel 20. heinäkuuta – Euroopan tietosuojaneuvosto antoi 34. täysistunnossaan lausunnon Euroopan unionin tuomioistuimen antamasta tuomiosta asiassa Facebook Ireland vastaan Schrems. Tietosuojaneuvosto laati lisäksi ohjeet toisen maksupalveludirektiivin ja yleisen tietosuoja-asetuksen välisestä vuorovaikutuksesta sekä vastauskirjeen Euroopan parlamentin jäsenelle Ďuriš Nicholsonoválle kontaktien jäljittämisestä, sovellusten yhteentoimivuudesta sekä tietosuojaa koskevasta vaikutustenarvioinnista.

Euroopan tietosuojaneuvosto antoi lausunnon, joka koski Euroopan unionin tuomioistuimen tuomiota asiassa C-311/18 – Data Protection Commissioner vastaan Facebook Ireland ja Maximillian Schrems, joka kumoaa EU:n ja Yhdysvaltojen välisen Privacy Shield -järjestelyn tarjoaman tietosuojan tason riittävyydestä annetun päätöksen 2016/1250 mutta katsoo, että mallisopimuslausekkeista henkilötietojen siirtoa varten kolmansiin maihin sijoittautuneille henkilötietojen käsittelijöille annettu komission päätös 2010/87 on pätevä.

Privacy Shield -järjestelyn osalta Euroopan tietosuojaneuvosto huomauttaa, että EU:n ja Yhdysvaltojen olisi saatava aikaan kattava ja tehokas kehys, joka takaa, että Yhdysvalloissa henkilötiedoille taatun suojan taso vastaa olennaisilta osin suojan tasoa EU:ssa kyseessä olevan tuomion mukaisesti. Euroopan tietosuojaneuvosto aikoo jatkaa toimintaansa rakentavana osapuolena työssään, henkilötietojen transatlanttisen siirron varmistamisessa ETA:n kansalaisia ja organisaatioita hyödyttävällä tavalla, ja se on valmis auttamaan ja opastamaan Euroopan komissiota tukeakseen sitä uusien, täysin EU:n tietosuojalainsäädännön mukaisten puitteiden luomisessa yhdessä Yhdysvaltojen kanssa.

Mallisopimuslausekkeiden osalta Euroopan tietosuojaneuvosto panee merkille tietojen viejän ja tuojan ensisijaisen vastuun sen varmistamisessa, että niiden takaaman suojan taso vastaa olennaisilta osin yleisen tietosuoja-asetuksen takaamaa tasoa EU:n perusoikeuskirjan mukaisesti, jos mallisopimuslausekkeet otetaan käyttöön. Tehdessään tällaista ennakkoarviointia viejän on (tarvittaessa tuojan avustuksella) otettava huomioon vakiosopimuslausekkeiden sisältö, siirron erityisolosuhteet sekä tuovassa maassa sovellettava oikeudellinen järjestelmä. Tuomioistuin korostaa, että tietojen viejän on ehkä harkittava lisätoimenpiteiden käyttöä mallisopimuslausekkeisiin sisältyvien lisäksi. Euroopan tietosuojaneuvosto tekee vielä lisätutkimusta siitä, mitä näihin lisätoimenpiteisiin voisi sisältyä.

Tietosuojaneuvosto huomauttaa, että toimivaltaisilla valvontaviranomaisilla on velvollisuus keskeyttää tai kieltää tietojen siirrot kolmansiin maihin vakiosopimuslausekkeiden nojalla, jos toimivaltainen valvontaviranomainen katsoo kaikki siirtoon liittyvät olosuhteet huomioon ottaen, että kyseisiä lausekkeita ei noudateta tai ei voida noudattaa kyseisessä kolmannessa maassa eikä siirrettävien tietojen suojaa voida varmistaa mitenkään muuten, etenkin jos rekisterinpitäjä tai henkilötietojen käsittelijä ei ole jo keskeyttänyt tai lopettanut siirtoa.

Euroopan tietosuojaneuvosto muistuttaa, että se on antanut ohjeet tietosuoja-asetuksen 49 artiklasta ja että ohjeisiin sisältyviä poikkeuksia sovelletaan tapauskohtaisesti.

Tietosuojaneuvosto arvioi vielä tuomiota yksityiskohtaisemmin ja antaa sidosryhmille lisäselvennyksiä ja ohjeita välineiden käytöstä henkilötietojen siirtämiseksi kolmansiin maihin tuomion mukaisesti. Kuten Euroopan unionin tuomioistuin totesi, myös Euroopan tietosuojaneuvosto ja sen valvontaviranomaiset Euroopassa ovat valmiita turvaamaan toiminnan yhdenmukaisuuden koko ETA-alueella.

Asiakirja on kokonaisuudessaan saatavilla täällä:

Euroopan tietosuojaneuvosto laati toista maksupalveludirektiiviä koskevat ohjeet. Toisella maksupalveludirektiivillä nykyaikaistetaan maksupalvelumarkkinoiden oikeudellista kehystä. Toisella maksupalveludirektiivillä otetaan ennen kaikkea käyttöön uusia maksutoimeksiantopalvelujen ja tilitietopalvelujen tarjoajia koskeva oikeudellinen kehys. Käyttäjät voivat pyytää, että näille uusille maksupalveluntarjoajille myönnetään pääsy käyttäjien maksutileille. Helmikuussa 2019 järjestetyn sidosryhmien työpajan jälkeen Euroopan tietosuojaneuvosto laati ohjeet yleisen tietosuoja-asetuksen soveltamisesta näihin uusiin maksupalveluihin.

Ohjeissa todetaan, että tässä yhteydessä erityisten henkilötietoryhmien käsittely on yleensä kielletty (tietosuoja-asetuksen 9 artiklan 1 kohdan mukaisesti), paitsi jos rekisteröity on antanut nimenomaisen suostumuksensa (tietosuoja-asetuksen 9 artiklan 2 kohdan a alakohta) tai käsittely on tarpeen yleistä etua koskevista syistä (tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohta).

Ohjeissa käsitellään myös edellytyksiä, joiden täyttyessä tiliä ylläpitävät maksupalveluntarjoajat voivat antaa pääsyn maksutilitietoihin maksutoimeksiantopalvelujen ja tilitietopalvelujen tarjoajille, erityisesti yksityiskohtaisten käyttöoikeuksien osalta.

Ohjeissa korostetaan, että toisen maksupalveludirektiivin 66 artiklan 3 kohdan g alakohdassa tai 67 artiklan 2 kohdan f alakohdassa ei sallita muuta käsittelyä, paitsi jos rekisteröity on antanut siihen suostumuksensa yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan a alakohdan mukaisesti tai jos käsittelystä säädetään unionin oikeudessa tai jäsenvaltion lainsäädännössä. Ohjeista järjestetään julkinen kuuleminen.

Tietosuojaneuvosto hyväksyi myös vastauskirjeen Euroopan parlamentin jäsenen Ďuriš Nicholsonován kysymyksiin tietosuojasta covid-19:n torjunnan yhteydessä. Kirjeessä vastataan kysymyksiin kontaktien jäljityssovellusten yhdenmukaistamista ja yhteentoimivuudesta, tietosuojan vaikutustenarviointia koskevista vaatimuksista tällaisen käytön yhteydessä ja tietojen käytön kestosta.

EDPB_Press Release_2020_12

17 July 2020

The European Data Protection Board has adopted the following statement:

The EDPB welcomes the CJEU’s judgment, which highlights the fundamental right to privacy in the context of the transfer of personal data to third countries. The CJEU’s decision is one of great importance. The European Data Protection Board (EDPB) has taken note of the fact that the Court of Justice invalidates Decision 2016/1250 on the adequacy of the protection provided by the EU-US Privacy Shield, and of the fact that it considers Commission Decision 2010/87 on Standard Contractual Clauses (SCCs) for the transfer of personal data to processors established in third countries valid.

The EDPB discussed the Court’s ruling during its 34th plenary session of 17 July 2020.

With regard to the Privacy Shield, the EDPB points out that the EU and the U.S. should achieve a complete and effective framework guaranteeing that the level of protection granted to personal data in the U.S. is essentially equivalent to that guaranteed within the EU, in line with the judgment.

The EDPB identified in the past some of the main flaws of the Privacy Shield on which the CJEU grounds its decision to declare it invalid.

The EDPB questioned in its reports on the annual joint reviews of Privacy Shield the compliance with the data protection principles of necessity and proportionality in the application of U.S. law. (1)

The EDPB intends to continue playing a constructive part in securing a transatlantic transfer of personal data that benefits EEA citizens and organisations and stands ready to provide the European Commission with assistance and guidance to help it build, together with the U.S., a new framework that fully complies with EU data protection law.

While the SCCs remain valid, the CJEU underlines the need to ensure that these maintain, in practice, a level of protection that is essentially equivalent to the one guaranteed by the GDPR in light of the EU Charter. The assessment of whether the countries to which data are sent offer adequate protection is primarily the responsibility of the exporter and the importer, when considering whether to enter into SCCs. When performing such prior assessment, the exporter (if necessary, with the assistance of the importer) shall take into consideration the content of the SCCs, the specific circumstances of the transfer, as well as the legal regime applicable in the importer’s country. The examination of the latter shall be done in light of the non-exhaustive factors set out under Art 45(2) GDPR.

If the result of this assessment is that the country of the importer does not provide an essentially equivalent level of protection, the exporter may have to consider putting in place additional measures to those included in the SCCs. The EDPB is looking further into what these additional measures could consist of.

The CJEU’s judgment also recalls the importance for the exporter and importer to comply with their obligations included in the SCCs, in particular the information obligations in relation to change of legislation in the importer’s country. When those contractual obligations are not or cannot be complied with, the exporter is bound by the SCCs to suspend the transfer or terminate the SCCs or to notify its competent supervisory authority if it intends to continue transferring data.

The EDPB takes note of the duties for the competent supervisory authorities (SAs) to suspend or prohibit a transfer of data to a third country pursuant to SCCs, if, in the view of the competent SA and in the light of all the circumstances of that transfer, those clauses are not or cannot be complied with in that third country, and the protection of the data transferred cannot be ensured by other means, in particular where the controller or a processor has not already itself suspended or put an end to the transfer.

The EDPB recalls that it issued guidelines on Art 49 GDPR derogations (2); and that such derogations must be applied on a case-by-case basis.

The EDPB will assess the judgment in more detail and provide further clarification for stakeholders and guidance on the use of instruments for the transfer of personal data to third countries pursuant to the judgment.

The EDPB and its European SAs stand ready, as stated by the CJEU, to ensure consistency across the EEA.

For the European Data Protection Board

The Chair

(Andrea Jelinek)


(1) See EDPB, EU-U.S. Privacy Shield  - Second Annual Joint Review report here, and  EDPB, EU -U.S. Privacy Shield   - Third Annual Joint Review report here.

(2) DPB Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679, adopted on 25 May 2018, p3.


EDPB_Press Release_statement_2020_05

25 June 2020

The EDPB has published a new register containing decisions taken by national supervisory authorities following the One-Stop-Shop cooperation procedure (Art. 60 GDPR) on its website.

Under the GDPR, Supervisory Authorities have a duty to cooperate on cases with a cross-border component to ensure a consistent application of the regulation - the so-called one-stop-shop (OSS) mechanism. Under the OSS, the Lead Supervisory Authority (LSA) is in charge of preparing the draft decisions and works together with the concerned SAs to reach consensus. Up until early June, LSAs have adopted 110 final OSS decisions. The register includes access to the decisions as well as  summaries of the decisions in English prepared by the EDPB Secretariat. The register will be valuable to data protection practitioners who will gain access to information showcasing how SAs work together to enforce the GDPR in practice. The information in the register has been validated by the LSAs in question and in accordance with the conditions provided by its national legislation.

The register is accessible here

EDPB_Press Release_statement_2020_04

17 June 2020

Bryssel 17. kesäkuuta – Euroopan tietosuojaneuvosto hyväksyi 32. täysistunnossaan kannanoton  kontaktien jäljityssovellusten yhteentoimivuudesta sekä kannanoton rajojen avaamisesta ja tietosuojaoikeuksista. Neuvosto hyväksyi myös kaksi kirjettä Euroopan parlamentin jäsenelle Körnerille – salauksesta ja yleisen tietosuoja-asetuksen 25 artiklasta – ja kirjeen CEAOB:lle PCAOB-järjestelyistä.

Euroopan tietosuojaneuvosto antoi kontaktien jäljittämissovellusten yhteentoimivuutta koskevan kannanoton, joka perustui Euroopan tietosuojaneuvoston suuntaviivoihin 04/2020 paikannustietojen ja kontaktien jäljittämisvälineiden käytöstä COVID-19-epidemian yhteydessä. Kannanotossa analysoidaan perusteellisemmin keskeisiä näkökohtia, kuten läpinäkyvyyttä, oikeusperustaa, rekisterinpitäjää, rekisteröityjen oikeuksia, tietojen säilyttämistä ja minimointia, tietoturvaa ja tietojen tarkkuutta, jotka on otettava huomioon Euroopan tietosuojaneuvoston suuntaviivoissa 04/2020 mainittujen lisäksi.

Euroopan tietosuojaneuvosto korostaa, että käytettäessä tällaisia yhteentoimivia sovelluksia positiivisesti diagnosoituja tai testattuja henkilöitä koskevia tietoja tulisi jakaa vain käyttäjän vapaaehtoisuuteen perustuen. Rekisteröityjen informointi ja kontrollin mahdollistaminen lisää heidän luottamustaan ratkaisuihin ja niiden mahdolliseen käyttöönottoon. Yhteentoimivuuden tavoitetta ei pitäisi käyttää perusteena henkilötietojen keräämiseen laajemmin kuin on tarpeen.

Lisäksi kontaktien jäljityssovellusten on oltava osa kattavaa kansanterveysstrategiaa pandemian torjumiseksi, kuten testauksen ja manuaalisen kontaktien jäljittämisen, jotta voidaan parantaa toteutettujen toimenpiteiden tehokkuutta.

Yhteentoimivuuden varmistaminen on teknisesti haastavaa ja joskus mahdotonta ilman suhteettomia kompromisseja, minkä lisäksi se saattaa lisätä tietosuojariskiä. Siksi rekisterinpitäjien on varmistettava, että toimenpiteet ovat tehokkaita ja oikeasuhteisia sekä arvioitava, voidaanko samaan päämäärään päästä lievemmällä vaihtoehdolla.

Euroopan tietosuojaneuvosto antoi kannanoton henkilötietojen käsittelystä Schengen-alueen rajojen avaamisen yhteydessä COVID-19-epidemian jälkeen. Jäsenvaltioiden suunnittelemiin tai toteuttamiin toimenpiteisiin, joilla mahdollistetaan rajojen turvallinen uudelleenavaaminen, kuuluvat COVID-19-taudin testaus, terveydenhuollon ammattihenkilöiden myöntämien todistusten vaatiminen ja vapaaehtoisen kontaktien jäljittämissovelluksen käyttö. Useimpiin toimenpiteisiin liittyy henkilötietojen käsittelyä.

Euroopan tietosuojaneuvosto muistuttaa, että tietosuojalainsäädäntöä sovelletaan edelleen ja että se mahdollistaa tehokkaan reagoinnin pandemiaan samalla suojellen perusoikeuksia ja -vapauksia. Tietosuojaneuvosto korostaa, että henkilötietojen käsittelyn on oltava välttämätöntä ja oikeasuhteista. Suojan tason on oltava yhdenmukainen kaikkialla Euroopan talousalueella. Euroopan tietosuojaneuvosto kehottaa kannanotossa jäsenvaltioita omaksumaan yhteisen eurooppalaisen lähestymistavan päättäessään tarpeellisesta henkilötietojen käsittelystä tässä yhteydessä.

Kannanotossa käsitellään myös yleisen tietosuoja-asetuksen periaatteita, joihin jäsenvaltioiden on kiinnitettävä erityistä huomiota käsitellessään henkilötietoja rajan avaamisen yhteydessä. Näitä ovat laillisuus, oikeudenmukaisuus ja läpinäkyvyys, käyttötarkoitussidonnaisuus, tietojen minimointi, säilytyksen rajoittaminen sekä sisäänrakennettu ja oletusarvoinen tietosuoja. Lisäksi päätös maahan pääsyn sallimisesta ei saisi perustua pelkästään automatisoituihin yksittäisiin päätöksentekoteknologioihin. Tällaisiin päätöksiin olisi joka tapauksessa sovellettava asianmukaisia suojatoimia, joihin olisi sisällyttävä rekisteröidylle annettavat erityiset tiedot ja oikeus vaatia, että tiedot käsittelee luonnolllinen henkilö, oikeus ilmaista näkemyksensä, saada selitys arvioinnin jälkeen tehdystä päätöksestä ja oikeus riitauttaa päätös. Automatisoituja yksittäispäätöksiä ei pitäisi kohdistaa lapsiin.
Lopuksi Euroopan tietosuojaneuvosto korostaa, että on tärkeää kuulla etukäteen toimivaltaisia kansallisia valvontaviranomaisia, kun jäsenvaltiot aikovat käsitellä henkilötietoja tässä yhteydessä.

Tietosuojaneuvosto hyväksyi vastauksen Euroopan parlamentin jäsenen Moritz Körnerin kirjeeseen, joka koski kolmansissa maissa sovellettavien salauskieltojen merkitystä arvioitaessa tietosuojan tasoa, kun henkilötietoja siirretään maihin, joissa nämä kiellot ovat voimassa. Tietosuojaneuvoston mukaan salauskielto tai salauksen heikentämistä koskevat säännökset heikentäisivät vakavasti rekisterinpitäjiin ja henkilötietojen käsittelijöihin sovellettavien yleisen tietosuoja-asetuksen mukaisten turvallisuusvelvoitteiden noudattamista, olipa kyse kolmannessa maassa tai ETA-alueella sovellettavista velvoitteista. Turvatoimet ovat yksi niistä tekijöistä, jotka Euroopan komission on otettava huomioon arvioidessaan suojan riittävyyttä kolmannessa maassa.

Toinen kirje Euroopan parlamentin jäsenelle Körnerille käsittelee kannettavan tietokoneen kameran suojia. Euroopan parlamentin jäsen Körner korosti, että tämä teknologia voisi auttaa noudattamaan yleistä tietosuoja-asetusta, ja ehdotti, että uudet kannettavat tietokoneet olisi varustettava niillä. Vastauksessaan tietosuojaneuvosto selventää, että vaikka kannettavien tietokoneiden valmistajia olisi kannustettava ottamaan huomioon oikeus tietosuojaan kehittäessään ja suunnitellessaan tällaisia tuotteita, ne eivät ole vastuussa kyseisten tuotteiden käsittelystä eikä yleisessä tietosuoja-asetuksessa aseteta valmistajille oikeudellisia velvoitteita, elleivät ne toimi myös rekisterinpitäjinä tai henkilötietojen käsittelijöinä. Rekisterinpitäjien on arvioitava kuhunkin käsittelyyn liittyvät riskit ja valittava asianmukaiset suojatoimet yleisen tietosuoja-asetuksen noudattamiseksi, mukaan lukien yleisen tietosuoja-asetuksen 25 artiklassa säädetty sisäänrakennettu ja oletusarvoinen yksityisyyden suoja.

Lopuksi Euroopan tietosuojaneuvosto hyväksyi kirjeen Euroopan tilintarkastajien valvontaelinten komitealle (CEAOB). Euroopan tietosuojaneuvosto sai kansalliset tilintarkastajien valvontaelimet EU:n tasolla yhteen kokoavalta CEAOBilta ehdotuksen yhteistyöstä ja palautteen saamisesta koskien luonnoksia hallinnollisista järjestelyistä tietojen siirtämiseksi Yhdysvaltojen Public Company Accounting Oversight Boardille (PCAOB).  Tietosuojaneuvosto suhtautuu ehdotukseen myönteisesti ja toteaa, että se on valmis keskustelemaan CEAOB:n kanssa tällaisten järjestelyjen tietosuojavaatimuksia koskevien mahdollisten kysymysten selventämiseksi ottaen huomioon tietosuojaneuvoston suuntaviivat 2/2020 yleisen tietosuoja-asetuksen 46 artiklan 1 kohdan a alakohdasta ja 46 artiklan 3 kohdan b alakohdasta, joita sovelletaan henkilötietojen siirtoihin ETA:n viranomaisten ja ETA:n ulkopuolisten viranomaisten välillä. Keskusteluun voisi osallistua myös PCAOB, jos CEAOB ja sen jäsenet pitävät sitä hyödyllisenä näitä järjestelyjä koskevan työn kannalta.

Huomautus toimittajille:
Huom. Kaikille Euroopan tietosuojaneuvoston täysistunnossa hyväksytyille asiakirjoille tehdään tarvittavat oikeudelliset, kielelliset ja muotoiluun liittyvät tarkistukset, ja ne ovat saatavilla tietosuojaneuvoston verkkosivustolla, kun ne on saatu valmiiksi.

10 June 2020

Bryssel, 10. kesäkuuta – Euroopan tietosuojaneuvosto päätti 31. täysistunnossaan perustaa työryhmän, jonka tehtävänä on koordinoida mahdollisia toimia ja saada kattava yleiskuva TikTokin tietojen käsittelystä ja sen käytännöistä EU:ssa, ja hyväksyi kirjeen koskien lainvalvontaviranomaisten Clearview AI:n käyttöä. Lisäksi Euroopan tietosuojaneuvosto hyväksyi vastauksen ENISAn neuvoa-antavalle ryhmälle sekä kirjeen vastauksena NOYB:n avoimeen kirjeeseen.

Euroopan tietosuojaneuvosto ilmoitti päätöksestään perustaa työryhmä koordinoimaan mahdollisia toimia ja luomaan kattavamman yleiskuvan TikTokin tietojen käsittelystä ja sen käytännöistä eri puolilla EU:ta.

Vastauksena parlamentin jäsen Körnerin TikTokia koskevaan pyyntöön tietosuojaneuvosto toteaa, että se on jo antanut ohjeita ja suosituksia, jotka kaikkien yleisen tietosuoja-asetuksen soveltamisalaan kuuluvien rekisterinpitäjien olisi otettava huomioon, erityisesti kun on kyse henkilötietojen siirtämisestä kolmansiin maihin, viranomaisten henkilötietoihin pääsyä koskevista aineellisista ja menettelyllisistä edellytyksistä tai yleisen tietosuoja-asetuksen alueellisen soveltamisalan soveltamisesta, ja erityisesti silloin kun on kyse alaikäisten tietojen käsittelystä. Tietosuojaneuvosto muistuttaa, että yleistä tietosuoja-asetusta sovelletaan rekisterinpitäjän suorittamaan henkilötietojen käsittelyyn, vaikka rekisterinpitäjä ei olisi sijoittautunut EU:hun, jos käsittely liittyy tavaroiden tai palvelujen tarjoamiseen rekisteröidyille EU:ssa.

Vastauksessaan Euroopan parlamentin jäsenille Clearview AI:n osalta Euroopan tietosuojaneuvosto ilmaisi huolensa tietyistä kasvontunnistusteknologian kehityssuuntauksista. Euroopan tietosuojaneuvosto muistuttaa, että lainvalvontaviranomaiset voivat lainvalvontadirektiivin (EU) 2016/680 nojalla käsitellä biometrisiä tietoja luonnollisen henkilön yksiselitteistä tunnistamista varten ainoastaan direktiivin 8 ja 10 artiklassa säädettyjen tiukkojen edellytysten mukaisesti.

Euroopan tietosuojaneuvosto suhtautuu epäillen siihen, että EU:n tai jonkin sen jäsenvaltion lainsäädäntö tarjoaisi oikeusperustan Clearview AI:n tarjoaman palvelun kaltaisen palvelun käyttämiselle. Näin ollen tällaisen käytön laillisuutta unionin lainvalvontaviranomaisilla ei voida nykyisessä muodossaan varmistaa, sanotun kuitenkaan rajoittamatta mahdollista tulevaa tai vireillä olevaa tutkintaa.

Euroopan tietosuojaneuvosto katsoo näin ollen, että Clearview AI:n kaltaisen palvelun käyttö Euroopan unionin lainvalvontaviranomaisten toiminnassa ei nykyisellään todennäköisesti olisi johdonmukaista EU:n tietosuojajärjestelmän kanssa, sanotun kuitenkaan rajoittamatta toimitettujen lisätietojen pohjalta tehtävää lisäanalyysia.

Lopuksi Euroopan tietosuojaneuvosto viittaa ohjeisiinsa, jotka koskevat henkilötietojen käsittelyä videolaitteiden avulla, ja ilmoittaa tulevista toimista, jotka koskevat lainvalvontaviranomaisten kasvojentunnistusteknologian käyttöä.

Vastauksena Euroopan unionin kyberturvallisuusviraston (ENISA) kirjeeseen, jossa pyydettiin Euroopan tietosuojaneuvostoa nimeämään edustaja ENISAn neuvoa-antavaan ryhmään, johtokunta nimitti edustajakseen CNIL:n apulaispääsihteerin Gwendal Le Grandin. Neuvoa-antava ryhmä avustaa ENISAn pääjohtajaa vuotuisen työohjelman laatimisessa ja viestinnän varmistamisessa asiaankuuluvien sidosryhmien kanssa.

Euroopan tietosuojaneuvosto hyväksyi vastauksen NOYB:n avoimeen kirjeeseen, joka koski valvontaviranomaisten välistä yhteistyötä ja yhdenmukaisuusmenettelyjä. Tietosuojaneuvosto toteaa kirjeessään työskentelevänsä jatkuvasti valvontaviranomaisten yhteistyön ja yhdenmukaisuusmenettelyjen parantamiseksi. Tietosuojaneuvosto on tietoinen parannuksia kaipaavista seikoista, kuten kansallisten hallintomenettelylakien ja -käytäntöjen eroista sekä rajatylittävien tapausten ratkaisemiseen tarvittavasta ajasta ja resursseista. Neuvosto toistaa olevansa sitoutunut etsimään ratkaisuja siltä osin, kuin ne kuuluvat sen toimivaltaan.

Tietoa toimittajille
Huomautus: Kaikille Euroopan tietosuojaneuvoston täysistunnossa hyväksytyille asiakirjoille tehdään tarvittavat oikeudelliset, kielelliset ja muotoilua koskevat tarkastukset, minkä jälkeen ne asetetaan saataville Euroopan tietosuojaneuvoston verkkosivustolle.

EDPB_Press Release_2020_10

03 June 2020

Bryssel 3. kesäkuuta – Euroopan tietosuojaneuvosto antoi 30. täysistunnossaan lausunnon rekisteröityjen oikeuksista tilanteessa, jossa jäsenvaltioissa vallitsee hätätila. Neuvosto hyväksyi myös kirjeen vastauksena kirjeeseen, jonka Civil Liberties Union for Europe, Access Now ja Hungarian Civil Liberties Union (HCLU) olivat esittäneet sille Unkarin hallituksen 4. toukokuuta antaman asetuksen 179/2020 johdosta.

Euroopan tietosuojaneuvosto muistuttaa, että vaikka elämmekin nyt poikkeuksellisia aikoja, myös hätätoimenpiteissä on aina pidettävä huolta henkilötietojen suojasta, mikä osaltaan auttaa vaalimaan demokratiaa, oikeusvaltioperiaatetta ja perusoikeuksia eli niitä yleisiä arvoja, joiden varaan unioni on perustettu.

Euroopan tietosuojaneuvosto toteaa sekä lausunnossaan että kirjeessään, että yleinen tietosuoja-asetus on yhä voimassa ja mahdollistaa tehokkaan puuttumisen pandemiaan tavalla, joka samalla suojaa perusoikeuksia ja -vapauksia. Tietosuojalainsäädäntö mahdollistaa jo nykyisellään covid-19-pandemian torjuntaan tarvittavat tiedonkäsittelytoimet.

Lausunnossa muistutetaan pääperiaatteista, jotka koskevat rekisteröityjen oikeuksiin tehtäviä rajoituksia jäsenvaltioissa hätätilan vallitessa:

  • Rajoituksia, jotka ovat yleisiä tai laaja-alaisia tai jotka kajoavat perusoikeuteen niin, että se menettää merkityksensä, ei voida hyväksyä.
  • Yleisen tietosuoja-asetuksen 23 artiklassa annetaan kansallisille lainsäätäjille mahdollisuus rajoittaa erityistilanteessa lainsäädäntötoimenpiteellä rekisterinpitäjien ja henkilötietojen käsittelijöiden velvollisuuksien ja rekisteröityjen oikeuksien soveltamisalaa, jos kyseisessä rajoituksessa noudatetaan keskeisiltä osin perusoikeuksia ja -vapauksia. Lisäksi tämän rajoituksen on oltava demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimenpide, jotta voidaan taata unionin tai jäsenvaltion yleiseen etuun liittyvät tärkeät tavoitteet, kuten erityisesti kansanterveys.
  • Tietosuoja on perusoikeus, ja rekisteröityjen oikeudet ovat sen ydinaluetta. Yleisen tietosuoja-asetuksen 23 artiklan tulkinnassa pitääkin muistaa, että näitä oikeuksia on lähtökohtaisesti sovellettava. Koska rajoitukset ovat poikkeuksia yleissäännöstä, niitä pitäisi käyttää vain harvoissa tilanteissa.
  • Rajoituksista on säädettävä lailla. Lain, jolla rajoitukset otetaan käyttöön, on oltava riittävän selkeä, jotta kansalaiset ymmärtävät, missä tilanteissa rekisterinpitäjillä on valtuudet turvautua niihin. Rajoitusten pitää myös olla niiden kohteena olevien henkilöiden ennakoitavissa. Rajoitukset, joiden kestoa ei ole määritetty täsmällisesti, joita sovelletaan takautuvasti tai joiden edellytyksiä ei ole määritelty, eivät täytä ennakoitavuuskriteeriä.
  • Pandemia tai mikä tahansa muu hätätilanne ei vielä sinänsä ole riittävä peruste rajoittaa rekisteröityjen oikeuksia. Mahdollisilla rajoituksilla on selvästi edistettävä EU:n taikka jäsenvaltion yleiseen etuun liittyvän tärkeän tavoitteen takaamista.
  • Pandemiatilanteessa julistettu hätätila on oikeudellinen edellytys, joka voi antaa perusteen rajoittaa rekisteröityjen oikeuksia, mutta tällaisia rajoituksia on sovellettava vain silloin, kun ne ovat ehdottoman välttämättömiä ja oikeasuhteisia kansanterveyttä koskevan tavoitteen turvaamiseksi. Rajoitusten soveltamisala ja kesto on siis rajattava ehdottoman tiukasti, sillä rekisteröityjen oikeuksia voidaan rajoittaa, mutta niitä ei voida evätä. Yleisen tietosuoja-asetuksen 23 artiklan 2 kohdan mukaisia suojatoimia on myös sovellettava täysimääräisesti.
  • Hätätilassa käyttöön otetut rajoitukset, joilla keskeytettäisiin rekisteröityjen oikeuksien ja rekisterinpitäjiä ja henkilötietojen käsittelijöitä koskevien velvollisuuksien soveltaminen tai lykättäisiin sitä ilman minkäänlaista selkeää aikarajaa, merkitsisivät tosiasiassa näiden oikeuksien kohtuutonta keskeyttämistä ja olisivat perustavanlaatuisessa ristiriidassa perusoikeuksien ja -vapauksien kanssa.

Lisäksi Euroopan tietosuojaneuvosto ilmoitti antavansa lähikuukausina ohjeita yleisen tietosuoja-asetuksen 23 artiklan täytäntöönpanosta.

Tietoa toimittajille

Huomautus: Kaikille Euroopan tietosuojaneuvoston täysistunnossa hyväksytyille asiakirjoille tehdään tarvittavat oikeudelliset, kielelliset ja muotoilua koskevat tarkastukset, minkä jälkeen ne asetetaan saataville Euroopan tietosuojaneuvoston verkkosivustolle.

20 May 2020

Bryssel 20. toukokuuta – Euroopan tietosuojaneuvoston 28. täysistunnossa neuvosto hyväksyi yleisen tietosuoja-asetuksen 64 artiklan mukaisen lausunnon Slovenian valvontaviranomaisen tekemistä ehdotuksista vakiosopimuslausekkeiksi ja päätti ”yhden luukun järjestelmässä” tehdyt päätökset sisältävän rekisterin julkaisemisesta.

Euroopan tietosuojaneuvosto antoi lausunnon Slovenian valvontaviranomaisen neuvostolle esittämistä ehdotuksista rekisterinpitäjän ja henkilötietojen käsittelijän välisten sopimusten vakiosopimuslausekkeiksi. Lausunnolla halutaan varmistaa yleisen tietosuoja-asetuksen 28 artiklan yhdenmukainen soveltaminen. Kyseisessä artiklassa rekisterinpitäjät ja henkilötietojen käsittelijät velvoitetaan tekemään sopimus tai muu oikeudellinen asiakirja, jossa määrätään kunkin osapuolen velvollisuuksista. Yleisen tietosuoja-asetuksen 28 artiklan 6 kohdan mukaisesti tällaiset sopimukset tai muut oikeudelliset asiakirjat voivat perustua kokonaan tai osittain valvontaviranomaisen hyväksymiin vakiosopimuslausekkeisiin. Neuvosto esittää lausunnossa useita suosituksia, jotka on otettava huomioon, jotta nämä vakiosopimuslauseke-ehdotukset voidaan hyväksyä vakiosopimuslausekkeiksi. Mikäli kaikki suositukset toteutetaan, Slovenian valvontaviranomainen voi hyväksyä tämän sopimusehdotuksen vakiosopimuslausekkeiksi yleisen tietosuoja-asetuksen 28 artiklan 8 kohdan mukaisesti.

Euroopan tietosuojaneuvosto julkaisee verkkosivullaan rekisterin päätöksistä, jotka kansalliset valvontaviranomaiset ovat tehneet yhden luukun järjestelmään perustuvassa yhteistyömenettelyssä (yleisen tietosuoja-asetuksen 60 artikla).

Yleisen tietosuoja-asetuksen nojalla valvontaviranomaisilla on asetuksen yhdenmukaisen soveltamisen varmistamiseksi velvollisuus tehdä yhteistyötä asioissa, joihin liittyy rajatylittäviä elementtejä (niin sanottu yhden luukun järjestelmä). Yhden luukun järjestelmässä johtava valvontaviranomainen on vastuussa päätösehdotusten laadinnasta ja tekee yhteistyötä osallistuvien valvontaviranomaisten kanssa yhteisymmärryksessä tehtyyn ratkaisuun pääsemiseksi. Huhtikuun 2020 loppuun mennessä johtavat valvontaviranomaiset ovat tehneet 103 lopullista päätöstä yhden luukun järjestelmässä. Euroopan tietosuojaneuvosto aikoo julkaista neuvoston laatimat englanninkieliset yhteenvedot. Tiedot julkaistaan asianomaisen johtavan valvontaviranomaisen vahvistuksen jälkeen kansallisessa lainsäädännössä asetettujen ehtojen mukaisesti.

Tietoa toimittajille

Huomautus: Kaikille Euroopan tietosuojaneuvoston täysistunnossa hyväksytyille asiakirjoille tehdään tarvittavat oikeudelliset, kielelliset ja muotoilua koskevat tarkastukset, minkä jälkeen ne asetetaan saataville Euroopan tietosuojaneuvoston verkkosivustolle.

EDPB_Press Release_2020_08

08 May 2020

During its 26th plenary session, the EDPB adopted a letter in response to requests from MEPs Metsola and Halicki regarding the Polish presidential elections taking place via postal vote. Additionally, an exchange of information took place on the recent Hungarian government decrees in relation to the coronavirus during the state of emergency
In its response to the MEPs Metsola and Halicki, the EDPB indicates that it is aware that data of Polish citizens was sent from the national PESEL (personal identification) database to the Polish Post by one of the Polish ministries and acknowledges that this issue requires special attention.

The Board underlines that, according to the GDPR, personal data, such as names and addresses, and national identification numbers (such as the Polish PESEL ID), must be processed lawfully, fairly and in a transparent manner, for specified purposes only. Public authorities may disclose information on individuals included in electoral lists, but only when this is specifically authorised by Member State law. The EDPB underlined that the disclosure of personal data – from one entity to another – always requires a legal basis in accordance with EU data protection laws. As previously indicated in the EDPB statement on the use of personal data in political campaigns (2/2019), political parties and candidates - but also public authorities, particularly those responsible for public registers - must stand ready to demonstrate how they have complied with data protection principles. The EDPB also underlined that, where elections are conducted by the collection of postal votes, it is the responsibility of the state to ensure that specific safeguards are in place to maintain the secrecy and integrity of the personal data concerning political opinions.

EDPB Chair, Andrea Jelinek, added: “Elections form the cornerstone of every democratic society. That is why the EDPB has always dedicated special attention to the processing of personal data for election purposes. We encourage data controllers, especially public authorities, to lead by example and process personal data in a manner which is transparent and leaves no doubt regarding the legal basis for the processing operations, including disclosure of data.”

However, the EDPB stresses that enforcement of the GDPR lies with the national supervisory authorities. The EDPB is not a data protection supervisory authority in its own right and, as such, does not have the same competences, tasks and powers as the national supervisory authorities. In the first instance, the assessment of alleged GDPR infringements falls within the competence of the responsible and independent national supervisory authority. Nevertheless, the EDPB will continue to pay special attention to the developments of personal data processing in connection to democratic elections and remains ready to support all members of the Board, including the Polish Supervisory Authority, in such matters.

During the plenary, the Hungarian Supervisory Authority provided the Board with information on the legislative measures the Hungarian government has adopted in relation to the coronavirus during the state of emergency. The Board considers that further explanation is necessary and has thus requested that the Hungarian Supervisory Authority provides further information on the scope and the duration, as well as the Hungarian Supervisory Authority’s opinion on the necessity and proportionality of these measures. The Board will discuss this further during its plenary session next Tuesday.

The agenda of the 26th plenary is available here

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_07

24 April 2020

During its 24th plenary session, the EDPB adopted three letters, reinforcing several elements from its earlier guidance on data protection in the context of fighting the COVID-19 outbreak.

In reply to a letter from the United States Mission to the European Union, the EDPB looks into transfers of health data for research purposes, enabling international cooperation for the development of a vaccine. The US Mission enquired into the possibility of relying on a derogation of Art. 49 GDPR to enable international flows.

The EDPB tackled this topic in detail in its recently adopted guidelines (03/2020) on the processing of health data for scientific research. In its letter, the EDPB reiterates that the GDPR allows for collaboration between EEA and non-EEA scientists in the search for vaccines and treatments against COVID-19, while simultaneously protecting fundamental data protection rights in the EEA.

When data are transferred outside of the EEA, solutions that guarantee the continuous protection of data subjects’ fundamental rights, such as adequacy decisions or appropriate safeguards (included in Article 46 GDPR) should be favoured, according to the EDPB.  

However, the EDPB considers that the fight against COVID-19 has been recognised by the EU and Member States as an important public interest, as it has caused an exceptional sanitary crisis of an unprecedented nature and scale. This may require urgent action in the field of scientific research, necessitating transfers of personal data to third countries or international organisations.
In the absence of an adequacy decision or appropriate safeguards, public authorities and private entities may also rely upon derogations included in Article 49 GDPR

Andrea Jelinek, the Chair of the EDPB, said: “The global scientific community is racing against the clock to develop a COVID-19 vaccine or treatment. The EDPB confirms that the GDPR offers tools giving the best guarantees for international transfers of health data and is flexible enough to offer faster temporary solutions in the face of the urgent medical situation.”

The EDPB also adopted a response to a request from MEPs Lucia Ďuriš Nicholsonová and Eugen Jurzyca.

The EDPB replies that data protection laws already take into account data processing operations necessary to contribute to fighting an epidemic, therefore - according to the EDPB - there is no reason to lift GDPR provisions, but to observe them. In addition, the EDPB refers to the guidelines on the issues of geolocation and other tracing tools, as well as the processing of health data for research purposes in the context of the COVID-19 outbreak.

Andrea Jelinek, Chair of the EDPB, added: “The GDPR is designed to be flexible. As a result, it can enable an efficient response to support the fight against the pandemic, while at the same time protecting fundamental human rights and freedoms. When the processing of personal data is necessary in the context of COVID-19, data protection is indispensable to build trust, to create the conditions for social acceptability of any possible solution and, therefore, to guarantee the effectiveness of these measures”.

The EDPB received two letters from Sophie In 't Veld MEP, raising a series of questions regarding the latest technologies that are being developed in order to fight the spread of COVID-19.

In its reply, the EDPB refers to its recently adopted guidelines (04/2020) on the use of location data and contact tracing apps, which highlight – among other elements - that such schemes should have a voluntary nature, use the least amount of data possible, and should not trace individual movements, but rather use proximity information of users.

The agenda of the 23rd plenary is available here

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_06

21 April 2020

During its 23rd plenary session, the EDPB adopted guidelines on the processing of health data for research purposes in the context of the COVID-19 outbreak and guidelines on geolocation and other tracing tools in the context of the COVID-19 outbreak.

The  guidelines on the processing of health data for research purposes in the context of the COVID-19 outbreak aim to shed light on the most urgent legal questions concerning the use of health data, such as the legal basis of processing, further processing of health data for the purpose of scientific research, the implementation of adequate safeguards and the exercise of data subject rights.

The guidelines state that the GDPR contains several provisions for the processing of health data for the purpose of scientific research, which also apply in the context of the COVID-19 pandemic, in particular relating to consent and to the respective national legislations. The GDPR foresees the possibility to process certain special categories of personal data, such as health data, where it is necessary for scientific research purposes.

In addition, the guidelines address legal questions concerning international data transfers involving health data for research purposes related to the fight against COVID-19, in particular in the absence of an adequacy decision or other appropriate safeguards.  

Andrea Jelinek, Chair of the EDPB, said: “Currently, great research efforts are being made in the fight against COVID-19. Researchers hope to produce results as quickly as possible. The GDPR does not stand in the way of scientific research, but enables the lawful processing of health data to support the purpose of finding a vaccine or treatment for COVID-19”.

The guidelines on geolocation and other tracing tools in the context of the COVID-19 outbreak aim to clarify the conditions and principles for the proportionate use of location data and contact tracing tools, for two specific purposes:
1.    using location data to support the response to the pandemic by modelling the spread of the virus in order to assess the overall effectiveness of confinement measures;
2.    using contact tracing, which aims to notify individuals who may have been in close proximity to someone who is eventually confirmed as a carrier of the virus, in order to break the contamination chains as early as possible.

The guidelines emphasise that both the GDPR and the ePrivacy Directive contain specific provisions allowing for the use of anonymous or personal data to support public authorities and other actors at both national and EU level in their efforts to monitor and contain the spread of COVID-19. The general principles of effectiveness, necessity, and proportionality must guide any measures adopted by Member States or EU institutions that involve processing of personal data to fight COVID-19.

The EDPB stands by and underlines the position expressed in its letter to the European Commission (14 April) that the use of contact tracing apps should be voluntary and should not rely on tracing individual movements, but rather on proximity information regarding users.

Dr. Jelinek added: “Apps can never replace nurses and doctors. While data and technology can be important tools, we need to keep in mind that they have intrinsic limitations. Apps can only complement the effectiveness of public health measures and the dedication of healthcare workers that is necessary to fight COVID-19. At any rate, people should not have to choose between an efficient response to the crisis and the protection of fundamental rights.”

In addition, the EDPB adopted a guide for contact tracing apps as an annex to the guidelines. The purpose of this guide, which is non-exhaustive, is to provide general guidance to designers and implementers of contact tracing apps, underlining that any assessment must be carried out on a case-by-case basis.

Both sets of guidelines will exceptionally not be submitted for public consultation due to the urgency of the current situation and the necessity to have the guidelines readily available.

The agenda of the 23rd plenary is available here

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_05

17 April 2020

On April 17th, the EDPB held its 22nd Plenary Session. For further information, please consult the agenda:

Agenda of Twenty-second Plenary

14 April 2020

Following a request for consultation from the European Commission, the European Data Protection Board adopted a letter concerning the European Commission's draft Guidance on apps supporting the fight against the COVID-19 pandemic. This Guidance on data protection and privacy implications complements the European Commission’s Recommendation on apps for contact tracing, published on 8 April and setting out the process towards a common EU toolbox for the use of technology and data to combat and exit from the COVID-19 crisis.
Andrea Jelinek, Chair of the EDPB, said: “The EDPB welcomes the Commission’s initiative to develop a pan-European and coordinated approach as this will help to ensure the same level of data protection for every European citizen, regardless of where he or she lives.”
In its letter, the EDPB specifically addresses the use of apps for the contact tracing and warning functionality, because this is where increased attention must be paid in order to minimise interferences with private life while still allowing data processing with the goal of preserving public health.
The EDPB considers that the development of the apps should be made in an accountable way, documenting with a data protection impact assessment all the implemented privacy by design and privacy by default mechanisms. In addition, the source code should be made publicly available for the widest possible scrutiny by the scientific community.
The EDPB strongly supports the Commission’s proposal for a voluntary adoption of such apps, a choice that should be made by individuals as a token of collective responsibility.
Finally, the EDPB underlined the need for the Board and its Members, in charge of advising and ensuring the correct application of the GDPR and the E-Privacy Directive, to be fully involved in the whole process of elaboration and implementation of these measures. The EDPB recalls that it intends to publish Guidelines in the upcoming days on geolocation and tracing tools in the context of the COVID-19 out-break.

The EDPB’s letter is available here:
The agenda of the 21th plenary session is available here:

EDPB_Press Release_2020_04

07 April 2020

During its 20th plenary session on April 7th, the European Data Protection Board assigned concrete mandates to its expert subgroups to develop guidance on several aspects of data processing in the fight against COVID-19. This follows the decision made on April 3rd during the EDPB's 19th plenary session.

1.    geolocation and other tracing tools in the context of the COVID-19 outbreak – a mandate was given to the technology expert subgroup for leading this work;
2.    processing of health data for research purposes in the context of the COVID-19 outbreak – a mandate was given to the compliance, e-government and health expert subgroup for leading this work.

Considering the high priority of these 2 topics, the EDPB decided to postpone the guidance work on teleworking tools and practices in the context of the COVID-19 outbreak, for the time being.

Andrea Jelinek, Chair of the EDPB, said: “The EDPB will move swiftly to issue guidance on these topics within the shortest possible notice to help make sure that technology is used in a responsible way to support and hopefully win the battle against the corona pandemic. I strongly believe data protection and public health go hand in hand."

The agenda of the 20th plenary session is available here

EDPB_Press Release_2020_03

03 April 2020

The European Data Protection Board is speeding up its guidance work in response to the COVID-19 crisis. Its monthly plenary meetings are being replaced by weekly remote meetings with the Members of the Board.
Andrea Jelinek, Chair of the EDPB, said: "The Board will prioritise providing guidance on the following issues: use of location data and anonymisation of data; processing of health data for scientific and research purposes and the processing of data by technologies used to enable remote working. The EDPB will adopt a horizontal approach and plans to issue general guidance with regard to the appropriate legal bases and applicable legal principles."

The agenda of today's remote meeting is available here

EDPB_Press Release_statement_2020_03

23 March 2020

Following a decision by the EDPB Chair, the EDPB April Plenary Session has been cancelled due to safety concerns surrounding the outbreak of the Coronavirus (COVID-19). The EDPB hereby follows the example of other EU institutions, such as the European Parliament, which have restricted the number of large-scale meetings.

The April Plenary Session was scheduled to take place on 20 and 21 April. Earlier, the EDPB March Plenary was also cancelled for the same reasons. You can find an overview of upcoming EDPB Plenary Meetings here

20 March 2020

On March 19th, the European Data Protection Board adopted a formal statement on the processing of personal data in the context of the COVID-19 outbreak via written procedure. The full statement is available here


EDPB_Press Release_statement_2020_02

16 March 2020

Governments, public and private organisations throughout Europe are taking measures to contain and mitigate COVID-19. This can involve the processing of different types of personal data.  

Andrea Jelinek, Chair of the European Data Protection Board (EDPB), said: “Data protection rules (such as GDPR) do not hinder measures taken in the fight against the coronavirus pandemic. However, I would like to underline that, even in these exceptional times, the data controller must ensure the protection of the personal data of the data subjects. Therefore, a number of considerations should be taken into account to guarantee the lawful processing of personal data.”

The GDPR is a broad legislation and also provides for the rules to apply to the processing of personal data in a context such as the one relating to COVID-19. Indeed, the GDPR provides for the legal grounds to enable the employers and the competent public health authorities to process personal data in the context of epidemics, without the need to obtain the consent of the data subject. This applies for instance when the processing of personal data is necessary for the employers for reasons of public interest in the area of public health or to protect vital interests (Art. 6 and 9 of the GDPR) or to comply with another legal obligation.

For the processing of electronic communication data, such as mobile location data, additional rules apply. The national laws implementing the ePrivacy Directive provide for the principle that the location data can only be used by the operator when they are made anonymous, or with the consent of the individuals. The public authorities should first aim for the processing of location data in an anonymous way (i.e. processing data aggregated in a way that it cannot be reversed to personal data). This could enable to generate reports on the concentration of mobile devices at a certain location (“cartography”).  

When it is not possible to only process anonymous data, Art. 15 of the ePrivacy Directive enables the member states to introduce legislative measures pursuing national security and public security *. This emergency legislation is possible under the condition that it constitutes a necessary, appropriate and proportionate measure within a democratic society. If such measures are introduced, a Member State is obliged to put in place adequate safeguards, such as granting individuals the right to judicial remedy.


On March 19th, the European Data Protection Board adopted a formal statement on the processing of personal data in the context of the COVID-19 outbreak. The full statement is available below.

* In this context, it shall be noted that safeguarding public health may fall under the national and/or public security exception.

EDPB_Press Release_statement_2020_01

10 March 2020

Following a decision by the EDPB Chair, the EDPB March Plenary Session has been cancelled due to safety concerns surrounding the outbreak of the Coronavirus (COVID-19). The EDPB hereby follows the example of other EU institutions, such as the European Parliament, which have restricted the number of large-scale meetings.

The March Plenary Session was scheduled to take place on 19 and 20 March. You can find an overview of upcoming EDPB Plenary Meetings here

20 February 2020

Bryssel 20. helmikuuta – ETA-maiden valvontaviranomaiset ja Euroopan tietosuojavaltuutettu kokoontuivat 18. ja 19. helmikuuta Euroopan tietosuojaneuvoston 18. täysistuntoon. Istunnossa käsiteltiin monenlaisia aiheita.

Tietosuojaneuvosto ja ETA-maiden valvontaviranomaiset osallistuivat yleisen tietosuoja-asetuksen arviointiin ja uudelleentarkasteluun yleisen tietosuoja-asetuksen 97 artiklan mukaisesti. Tietosuojaneuvosto katsoo, että yleisen tietosuoja-asetuksen soveltaminen ensimmäisten 20 kuukauden aikana on onnistunut. Vaikka valvontaviranomaisten resurssien riittävyys on edelleen huolenaiheena ja joitakin mm. maiden erilaisista tulkintakäytännöistä aiheutuvia haasteita on tunnistettu, tietosuojaneuvosto on vakuuttunut siitä, että valvontaviranomaisten välinen yhteistyö johtaa yhteiseen tietosuojakulttuuriin ja johdonmukaisiin tulkintoihin. Euroopan tietosuojaneuvosto etsii parhaillaan ratkaisuja näihin haasteisiin vastaamiseksi ja nykyisten yhteistyötapojen kehittämiseksi. Se kehottaa Euroopan komissiota tarkistamaan, vaikuttavatko kansalliset menettelyt yhteistyön tehokkuuteen, ja katsoo, että viime kädessä myös lainsäätäjät voivat toiminnallaan tukea yhdenmukaisten toimintatapojen kehittämistä. Tietosuojaneuvosto käsittelee arvioinnissaan kansainvälisiä siirtomekanismeja, asetuksen vaikutuksia pk-yrityksiin, kansallisten viranomaisten resursseja sekä uusien teknologioiden kehittämistä. Tietosuojaneuvosto katsoo, että tietosuoja-asetuksen tarkistaminen olisi tässä vaiheessa ennenaikaista.

Tietosuojaneuvosto hyväksyi luonnoksen ohjeeksi, joka tarkentaa tietosuoja-asetuksen 46 artiklan2 kohdan a alakohdan ja 46 artiklan 3 kohdan b alakohdan soveltamista. Kyseiset artiklat käsittelevät henkilötietojen siirtoja ETA-maiden viranomaisilta kolmansien maiden viranomaisille tai kansainvälisille järjestöille, jos nämä siirrot eivät tapahdu tietosuojan riittävyyttä koskevan päätöksen perusteella. Ohje esittää suosituksia takeista, jotka tulisi täyttää hyödynnettäessä viranomaisten välisiä oikeudellisesti sitovia välineitä (art. 46:2 (a)) tai hallinnollisissa järjestelyissä olevia säännöksiä (46:3 (b)) sen varmistamiseksi, että luonnollisten henkilöiden tietosuojan tasoa ei heikennetä. Ohjeesta järjestetään julkinen kuuleminen.

Lausunto yritysfuusioiden vaikutuksista tietosuojaan
Kun Google oli ilmoittanut aikovansa ostaa älylaitteita valmistavan Fitbitin, Euroopan tietosuojaneuvosto antoi lausunnon, jossa se korosti, että arkaluonteisten henkilötietojen yhdistäminen ja kerääminen voi aiheuttaa suuren riskin Euroopassa asuvien tietosuojaa koskeville perusoikeuksille. Tietosuojaneuvosto muistuttaa suunnitteilla olevan fuusion osapuolia siitä, että niitä koskevat tietosuoja-asetuksen mukaiset velvoitteet ja että fuusiosta tietosuojalle aiheutuvia vaikutuksia on arvioitava kattavasti ja avoimesti. Tietosuojaneuvosto kehottaa osapuolia myös alentamaan fuusiosta mahdollisesti aiheutuvia tietosuojariskejä ennen Euroopan komissiolle tehtävää ilmoitusta fuusiosta. Tietosuojaneuvosto tarkastelee fuusion mahdollisia vaikutuksia henkilötietojen suojaan Euroopan talousalueella ja on pyydettäessä valmis antamaan asiasta lausunnon komissiolle.

Huomautus toimittajille:
Kaikki Euroopan tietosuojaneuvoston täysistunnon aikana hyväksytyt asiakirjat käyvät läpi oikeudellisen, kielellisen ja muodollisen tarkistuksen, ja ne julkaistaan Euroopan tietosuojaneuvoston verkkosivuilla näiden tarkistusten jälkeen.

18 February 2020

On February 18th and 19th, the eighteenth plenary session of the European Data Protection Board is taking place in Brussels. For further information, please consult the agenda.

Agenda of Eighteenth Plenary

30 January 2020

Bryssel 30. tammikuuta – Euroopan talousalueen tietosuojaviranomaiset ja Euroopan tietosuojavaltuutettu kokoontuivat 28.−29. tammikuuta Euroopan tietosuojaneuvoston 17. täysistuntoon. Täysistunnossa keskusteltiin monenlaisista aiheista.

Euroopan tietosuojaneuvosto antoi lausuntonsa Belgian, Espanjan ja Ranskan valvontaviranomaisten toimittamista käytännesääntöjen valvontaelinten akkreditointivaatimuksista. Lausunnoilla pyritään varmistamaan, että valvontaviranomaisten kriteerit ovat johdonmukaisia ja niitä sovelletaan asianmukaisesti.

Euroopan tietosuojaneuvosto hyväksyi ohjeluonnoksen verkkoon liitetyistä ajoneuvoista. Kun ajoneuvojen verkottuminen lisääntyy, kuljettajista ja matkustajista tuotetun datan määrä kasvaa nopeasti. Tietosuojaneuvoston ohje keskittyy henkilötietojen käsittelyyn silloin, kun rekisteröidyt käyttävät verkkoon liitettyjä ajoneuvoja muuhun kuin ammattimaiseen käyttöön. Ohje koskee ajoneuvon käsittelemiä henkilötietoja ja tietoja, joita ajoneuvo välittää verkkoon liitettynä laitteena. Ohjeesta järjestetään julkinen kuuleminen.

Tietosuojaneuvosto hyväksyi henkilötietojen käsittelyä videolaitteiden välityksellä koskevan ohjeen lopullisen version julkisen kuulemisen jälkeen. Ohjeilla pyritään selventämään, miten yleistä tietosuoja-asetusta sovelletaan henkilötietojen käsittelyyn videolaitteita käytettäessä. Tavoitteena on varmistaa yleisen tietosuoja-asetuksen johdonmukainen soveltaminen. Tietosuojaneuvoston suuntaviivat kattavat sekä perinteiset että älykkäät videolaitteet. Suuntaviivoissa käsitellään muun muassa käsittelyn laillisuutta, mukaan lukien erityisten tietoryhmien käsittely, kotitaloutta koskevan poikkeuksen sovellettavuutta ja videomateriaalin luovuttamista kolmansille osapuolille. Ohjeeseen tehtiin useita muutoksia julkisen kuulemisen jälkeen.

Euroopan tietosuojaneuvosto antoi lausuntonsa sertifiointielinten akkreditointivaatimusten luonnoksista Yhdistyneen kuningaskunnan ja Luxemburgin valvontaviranomaisille. Nämä ovat ensimmäiset tietosuojaneuvoston antamat lausunnot sertifiointielinten akkreditointivaatimuksista. Niillä pyritään luomaan johdonmukainen ja yhdenmukainen lähestymistapa vaatimuksiin, joita valvontaviranomaiset ja kansalliset akkreditointielimet soveltavat sertifiointielimiä akkreditoidessaan.

Euroopan tietosuojaneuvosto antoi lausuntonsa Espanjan valvontaviranomaisen toimittamasta päätösluonnoksesta, joka koskee Fujikura Automotive Europe Groupin yritystä koskevia sitovia sääntöjä (BCR).

Kirje epäoikeudenmukaisista algoritmeista
Euroopan tietosuojaneuvosto hyväksyi kirjeen vastauksena Euroopan parlamentin jäsenen Sophie in ’t Veldin pyyntöön, joka koski epäoikeudenmukaisten algoritmien käyttöä. Kirjeessä analysoidaan algoritmien käytön asettamia haasteita, luodaan katsaus asiaa koskeviin yleisen tietosuoja-asetuksen säännöksiin ja näitä kysymyksiä käsitteleviin ohjeisiin sekä kuvaillaan valvontaviranomaisten jo tekemää työtä.

Kirje Euroopan neuvostolle kyberrikollisuutta koskevasta sopimuksesta
Euroopan tietosuojaneuvoston annettua panoksensa neuvotteluihin tietoverkkorikollisuutta koskevan Euroopan neuvoston sopimuksen (Budapestin sopimus) toisesta lisäpöytäkirjasta, useat tietosuojaneuvoston jäsenet osallistuivat aktiivisesti Euroopan neuvoston kyberrikollisuutta käsittelevän komitean (T-CY) konferenssiin. Tietosuojaneuvosto hyväksyi konferenssin seurantakirjeen, jossa korostettiin tarvetta sisällyttää vahvat tietosuojatakeet sopimuksen tulevaan lisäpöytäkirjaan ja varmistaa sen johdonmukaisuus yleissopimuksen nro 108 sekä EU:n perussopimusten ja perusoikeuskirjan kanssa.

Huomautus toimittajille:
Kaikki Euroopan tietosuojaneuvoston täysistunnon aikana hyväksytyt asiakirjat käyvät läpi oikeudellisen, kielellisen ja muodollisen tarkistuksen, ja ne julkaistaan Euroopan tietosuojaneuvoston verkkosivuilla näiden tarkistusten jälkeen.

28 January 2020

On January 28th and 29th, the seventeenth plenary session of the European Data Protection Board is taking place in Brussels. For further information, please consult the agenda.

Agenda of Seventeenth Plenary