Euroopan tietosuojaneuvosto

Euroopan tietosuojaneuvoston uutiset

11 July 2019

Bryssel, 9.–10. heinäkuuta ETA-maiden tietosuojaviranomaiset ja Euroopan tietosuojavaltuutettu kokoontuivat Euroopan tietosuojaneuvoston 12. täysistuntoon. Täysistunnossa käsiteltiin useita aiheita.

Ohjeet kameravalvonnasta
Neuvosto hyväksyi videovalvontaa koskevan ohjeen, jossa selvennetään, miten yleistä tietosuoja-asetusta sovelletaan henkilötietojen käsittelyyn videovalvonnassa. Ohjeen tavoitteena on varmistaa, että videolaitteita käytettäessä noudatetaan yleistä tietosuoja-asetusta. Suuntaviivat koskevat sekä perinteisiä videolaitteita että älykkäitä videolaitteita. Viimeksi mainittujen osalta suuntaviivoissa keskitytään erityisten tietoryhmien käsittelyä koskeviin sääntöihin. Lisäksi ohjeessa käsitellään muun muassa tietojenkäsittelyn lainmukaisuutta, kotitalouspoikkeuksen sovellettavuutta ja videomateriaalin julkistamista kolmansille osapuolille. Suuntaviivoista järjestetään julkinen kuuleminen.

Euroopan tietosuojaneuvoston ja Euroopan tietosuojavaltuutetun yhteinen vastaus kansalaisvapauksien sekä oikeus- ja sisäasioiden valiokunnalle Yhdysvaltojen CLOUD-lain vaikutuksista
Euroopan tietosuojaneuvosto vastasi Euroopan parlamentin kansalaisvapauksien sekä oikeus- ja sisäasioiden valiokunnan (LIBE) pyyntöön arvioida Yhdysvaltojen CLOUD-lain vaikutuksia EU:n tietosuojan oikeudelliselle kehykselle. Lisäksi valiokunta pyysi valtuutusta neuvotella EU:n ja Yhdysvaltojen välisestä sopimuksesta oikeudellisesta yhteistyöstä, joka koskee sähköistä todistusaineistoa rikosasioissa. CLOUD-lain mukaan Yhdysvaltojen lainvalvontaviranomaiset voivat vaatia Yhdysvalloissa sijaitsevilta palveluntarjoajilta tietojen julkistamista riippumatta siitä, missä tiedot on tallennettu.

Euroopan tietosuojaneuvosto ja Euroopan tietosuojavaltuutettu korostavat, että EU:n ja Yhdysvaltojen sähköisen todistusaineiston rajatylittävää saatavuutta koskeva kattava sopimus, johon sisältyvät vahvat menettelylliset ja merkittävät takeet perusoikeuksista, on soveltuvin väline sen varmistamiseksi, että EU:n rekisteröidyillä on tarvittava suoja ja yrityksillä on oikeusvarmuus.

Tanskan valvontaviranomainen: henkilötietojen käsittelijöihin sovellettavia mallisopimuslausekkeita koskeva 28.8 artikla
Euroopan tietosuojaneuvosto antoi tietosuoja-asetuksen 64 artiklan mukaisen lausunnon mallisopimuslausekkeista, joita Tanskan valvontaviranomainen on laatinut henkilötietojen käsittelijöille. Lausunnolla, joka on ensimmäinen tätä aihetta koskeva lausunto, pyritään varmistamaan henkilötietojen käsittelijöitä koskevan yleisen tietosuoja-asetuksen 28 artiklan johdonmukainen soveltaminen. Tietosuojaneuvosto esitti siinä useita suosituksia, jotka on otettava huomioon, jotta luonnoksia voitaisiin pitää mallisopimuslausekkeina. Jos kaikki suositukset pannaan täytäntöön, tanskalainen valvontaviranomainen voi käyttää tätä sopimusluonnosta vakiosopimuslausekkeena yleisen tietosuoja-asetuksen 28 artiklan 8 kohdan mukaisesti.

Yleisen tietosuoja-asetuksen 64 artikla: lausunto käytännesääntöjen valvontaelinten akkreditointikriteereistä Itävallan valvontaviranomaiselle
Tietosuojaneuvosto antoi lausunnon Itävallan valvontaviranomaisen toimittamasta päätösluonnoksesta, joka koskee käytännesääntöjen valvontaelinten hyväksyntäperusteita. Tietosuojaneuvosto oli samaa mieltä siitä, että kaikilla muilla kuin julkisia viranomaisia ja elimiä koskevilla käytännesäännöillä on oltava yleisen tietosuoja-asetuksen mukaisesti akkreditoitu valvontaelin.

Yleisen tietosuoja-asetuksen 64 artikla: lausunto valvontaviranomaisen toimivallasta, kun organisaation päätoimipaikan tai muun toimipaikan olosuhteet muuttuvat
Tietosuojaneuvosto antoi lausunnon valvontaviranomaisen toimivallasta, kun päätoimipaikkaan tai yksittäisiin toimipaikkoihin liittyvät olosuhteet muuttuvat. Tämä voi tapahtua silloin, kun pääasiallinen toimipaikka siirtyy ETA-maiden alueella, pääasiallinen toimipaikka siirretään ETA-maahan kolmannesta maasta tai kun Euroopan talousalueella ei ole enää pääasiallista toimipaikkaa tai yksittäistä toimipaikkaa. Näissä olosuhteissa tietosuojaneuvosto katsoo, että johtavan valvontaviranomaisen toimivalta voi siirtyä toiselle valvontaviranomaiselle. Silloin sovelletaan edelleen 60 artiklan mukaista yhteistyömenettelyä, ja uusi johtava valvontaviranomainen velvoitetaan tekemään yhteistyötä entisen johtavan valvontaviranomaisen ja muiden osallistuvien valvontaviranomaisten kanssa, jotta asiassa päästään yhteisymmärrykseen. Vaihto voidaan toteuttaa niin kauan kuin toimivaltainen valvontaviranomainen ei ole tehnyt lopullista päätöstä.

Euroopan tietosuojaneuvoston ja Euroopan tietosuojavaltuutetun yhteinen lausunto sähköisten terveyspalvelujen digitaalisesta palveluinfrastruktuurista (eHDSI)
Tietosuojaneuvosto hyväksyi neuvoston ja Euroopan tietosuojavaltuutetun yhteisen lausunnon sähköisen terveydenhuollon digitaalisten palvelujen infrastruktuuriin (eHDSI) sisältyvien potilaiden henkilötietojen käsittelyä koskevista näkökohdista. Se on ensimmäinen Euroopan tietosuojaneuvoston ja Euroopan tietosuojavaltuutetun yhteinen lausunto, joka hyväksyttiin vastauksena Euroopan komission esittämään, EU:n instituutioiden ja elinten tietosuojaa koskevan asetuksen (2018/1725) 42 artiklan 2 kohtaan. Euroopan tietosuojaneuvosto ja Euroopan tietosuojavaltuutettu katsovat lausunnossaan, että tässä nimenomaisessa tilanteessa ja potilaiden eHDSI:n sisällä tapahtuvan tietojen konkreettisen käsittelyn osalta ei ole mitään syytä poiketa Euroopan komission arviosta, jonka mukaan se toimii henkilötietojen käsittelijänä eHDSI:ssä. Lisäksi yhteisessä lausunnossa korostetaan tarvetta varmistaa, että sovellettavassa tietosuojalainsäädännössä määritellyt komissiolle kuuluvat käsittelijän tehtävät on määritelty selkeästi asiaa koskevassa täytäntöönpanosäädöksessä.

Kyprosta koskevan vaikutustenarvioinnin luettelo
Euroopan tietosuojaneuvosto antoi lausunnon Kyproksen toimittamasta tietosuojaa koskevan vaikutustenarvioinnin luettelosta. Tietosuojaa koskevan vaikutustenarvioinnin luettelot ovat tärkeä väline yleisen tietosuoja-asetuksen johdonmukaisen soveltamisen varmistamiseksi koko Euroopan talousalueella. Tietosuojaa koskeva vaikutustenarviointi on prosessi, jonka avulla voidaan tunnistaa ja lieventää tietosuojaan liittyviä riskejä, jotka voivat vaikuttaa yksilöiden oikeuksiin ja vapauksiin.

Yleisen tietosuoja-asetuksen 64 artikla: lausunto 35.5 artiklasta (tietosuojaa koskevan vaikutustenarvioinnin laatimista koskeva poikkeus)
Euroopan tietosuojaneuvosto antoi lausuntonsa 35.5 artiklan mukaisista Ranskan, Espanjan ja Tšekin valvontaviranomaisten toimittamista luetteloista.

Suositus Euroopan tietosuojavaltuutetun luettelosta asetuksen 2018/1725 39.4 artiklan mukaisesti (tietosuojaa koskevan vaikutustenarvioinnin luettelo)
Tietosuojaneuvosto on antanut suosituksen Euroopan tietosuojavaltuutetun toimittamasta 39.4 artiklan mukaisesta luettelosta. Euroopan tietosuojavaltuutetun on kuultava tietosuojaneuvostoa ennen näiden luetteloiden hyväksymistä, jos niissä ”viitataan yhden tai useamman muun rekisterinpitäjän kuin unionin toimielimen tai elimen kanssa yhdessä toimivan rekisterinpitäjän suorittamiin käsittelytoimiin” (asetuksen (EU) 2018/1725 39 artiklan 6 kohta). Samalla tavoin kuin yleisen tietosuoja-asetuksen tietosuojaa koskevan vaikutustenarvioinnin luetteloissa, tietosuojavaltuutetun luettelo antaa rekisterinpitäjille tietoa käsittelytoimista, jotka edellyttävät tietosuojaa koskevan vaikutustenarvioinnin tekemistä.

Huomautus toimittajille:
Kaikki Euroopan tietosuojaneuvoston täysistunnon aikana hyväksytyt asiakirjat käyvät läpi oikeudellisen, kielellisen ja muodollisen tarkistuksen, ja ne julkaistaan Euroopan tietosuojaneuvoston verkkosivuilla näiden tarkistusten jälkeen.

09 July 2019

On July 9th & 10th, the twelfth plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of twelfth plenary

05 June 2019

Bryssel, 5.–4. kesäkuuta ETA-maiden tietosuojaviranomaiset ja Euroopan tietosuojavaltuutettu kokoontuivat Euroopan tietosuojaneuvoston 11. täysistuntoon. Istunnossa käsiteltiin useita aiheita.

Käytännesääntöjä koskeva ohjeistus
Euroopan tietosuojaneuvosto hyväksyi käytännesääntöjä koskevan ohjeistuksen. Keväällä ohjeistus kävi läpi julkisen kuulemisen, minkä jälkeen ohjetekstiä on selkeytetty. Ohjeen tarkoituksena on antaa käytännön neuvoja ja tulkintaohjeita EU :n tietosuoja-asetuksen 40 ja 41 artiklan soveltamiseen. Lisäksi ohjeen tarkoituksena on auttaa käytännesääntöjen valmisteluun, hyväksymiseen ja julkaisemiseen liittyvien menettelytapojen sekä sääntöjen käyttöönotossa sekä kansallisella että EU-tasolla. Ohjeistus toimii myös kehyksenä toimivaltaisille valvontaviranomaisille, Euroopan tietosuojaneuvostolle ja komissiolle, jotta ne voivat arvioida käytännesääntöjä johdonmukaisesti ja virtaviivaistaa arviointiprosessia.

Akkreditointia koskevan ohjeistuksen liite
Euroopan tietosuojaneuvosto hyväksyi julkisen kuulemisen jälkeen liitteen akkreditointia koskevaan ohjeistukseen. Kuulemisen jälkeen liitteen tekstiä on pyritty vielä selkeyttämään. Ohjeistuksen tarkoituksena on antaa neuvoja EU :n tietosuoja-asetuksen 43 artiklan säännösten tulkintaan ja täytäntöönpanoon. Tarkoituksena on erityisesti auttaa jäsenvaltioita, valvontaviranomaisia ja kansallisia akkreditointielimiä luomaan yhdenmukainen käytäntö niiden sertifiointielinten akkreditoinnille, jotka toteuttavat tietosuoja-asetuksen mukaisia sertifiointeja. Nyt hyväksytyssä liitteessä annetaan ohjeita valvontaviranomaisten vahvistamien sertifiointielinten hyväksymistä koskevista lisävaatimuksista. Nämä lisävaatimukset on ennen valvontaviranomaisten hyväksyntää toimitettava Euroopan tietosuojaneuvostolle hyväksyttäväksi tietosuoja-asetuksen 64 artiklan 1 kohdan c alakohdan mukaisesti.*

Sertifiointia koskevan ohjeistuksen liite
Euroopan tietosuojaneuvosto hyväksyi sertifiointiohjeen liitteen 2 lopullisen version. Julkisen kuulemisen jälkeen liitteeseen tehtiin joitakin lisäyksiä, kuten se, liittyvätkö kriteerit rekisterinpitäjän/henkilötietojen käsittelijän velvoitteeseen nimittää tietosuojavastaava, sekä se, onko käsittelytoimista välttämätöntä pitää kirjaa. Ohjeen ensisijaisena tavoitteena on määritellä yleiset kriteerit tietosuoja-asetuksen 42 ja 43 artiklan mukaisille sertifiointimekanismeille. Ohjeen liitteessä 2 käsitellään sertifiointikriteerien hyväksymisessä sovellettavia seikkoja, joita tietosuojaviranomaiset ja Euroopan tietosuojaneuvosto tarkastelevat. Tämä luettelo ei ole tyhjentävä, mutta siinä esitetään ne asiat, jotka on vähintään otettava huomioon.*

Huomautus toimittajille:
* Ennen kuin sertifiointia ja akkreditointia koskevia yksittäistapauksia käsitellään Euroopan tietosuojaneuvostossa, neuvosto luo menettelytavan kansallisten viranomaisten sille toimittamien luonnosten johdonmukaista ja ajanmukaista käsittelyä sekä yhteisen sertifikaatin hyväksymistä varten.

Kaikki Euroopan tietosuojaneuvoston täysistunnon aikana hyväksytyt asiakirjat käyvät vielä läpi oikeudellisen, muodollisen ja kielellisen tarkistuksen ja julkaistaan näiden tarkistusten jälkeen Euroopan tietosuojaneuvoston verkkosivuilla.

04 June 2019

On June 4th, the eleventh plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of eleventh plenary

22 May 2019

1 year ago, the GDPR entered into application, but what has changed for you? Where can you go to address your data protection concerns? And what is the EDPB's role in all this?

The video below provides an answer to these questions in a nutshell:

22 May 2019

Brussels, 22 May - Just a few days short of the GDPR’s first anniversary, the European Data Protection Board surveyed the Supervisory Authorities (SAs) of the EEA and takes stock of the Board’s achievements.

From the very first day of application, the first cross-border cases were logged in the EDPB’s IMI case register, leading to a current total of 446 cross-border. 205 of these have led to One-Stop-Shop (OSS) procedures. So far, there have been 19 final OSS outcomes.

    

Number of procedures initiated by SAs from 21 EEA countries
Germany: Number of procedures initiated by SAs from 7 Regional SAs

    

At a national level, most Supervisory Authorities (SAs) report an increase in queries and complaints received compared to 2017. Over 144.000 queries and complaints* and over 89.000 data breaches have been logged by the EEA Supervisory Authorities. 63% of these have been closed and 37% are ongoing.

Based on information provided by SAs from 27 EEA countries
Germany: Based on information provided by The Federal and 17 Regional SAs

Based on information provided by SAs from 27 EEA countries (Case status information provided for 164633 cases)
Germany: Based on information provided by The Federal and 11 Regional SAs

    

The increase in queries and complaints confirms the perceived rise in awareness about data protection rights among individuals, as shown in the Eurobarometer of March 2019. 67% of EU citizens polled indicated that they have heard of the GDPR, 36% of them indicated that they are well aware of what the GDPR entails. In addition, 57% of EU citizens polled indicated that they are aware of the existence of a public authority in their country responsible for protecting their data protection rights. This result shows an increase of 20 percentage points compared to 2015 Eurobarometer results**.

The EEA SAs have reported that, while the cooperation procedures are robust and efficient works, they are time and resource intensive: SAs need to carry out investigations, observe procedural rules, coordinate and share information with other supervisory authorities.

Looking back on the first 12 months of the EDPB’s work, Andrea Jelinek, Chair of the EDPB, comments:

It has been a challenging first year, but we have reached the goals that we set out to achieve, and we intend to keep up both the work and the pace. Earlier this year, the EDPB adopted its work program for 2019 and 2020. We will also see several cross-border cases carried out by SAs leading to a final outcome in the coming months. Last but not least, we want to continue to listen to and to work together with the people who can give us the best insights into the day-to-day practice of data processing. An ambitious programme, but I am certain that we, as European data protection authorities will find more and more synergies, which will increase our effectiveness.

   

*At the time of the survey, the notion of complaint had not yet been analysed by the EDPB. Up to then, the interpretation of the notion was done by the national supervisory authorities, which may have an impact on the statistics.

**Source European Commission.

15 May 2019

Bryssel, 15. toukokuuta – 14. ja 15. toukokuuta Euroopan tietosuojavaltuutettu ja ETA-maiden tietosuojaviranomaiset kokoontuivat Euroopan tietosuojaneuvoston 10. täysistuntoon. Täysistunnossa käsiteltiin useita aiheita.
 
Uuden varapuheenjohtajan valinta

Euroopan tietosuojaneuvosto valitsi Aleid Wolfsenin, Alankomaiden tietosuojaviranomaisen johtajan, neuvoston varapuheenjohtajaksi. Wolfsen seuraa tässä tehtävässä Willem Debeuckelerea, jota neuvoston puheenjohtaja Andrea Jelinek kiitti kokouksessa tietosuojan hyväksi tehdystä työstä. Yhdessä toisen varapuheenjohtajan, Ventsislav Karadjovin, kanssa Wolfsen tukee puheenjohtaja Jelinekiä tietosuojaneuvoston työskentelyssä tulevina vuosina.

”Yleinen kiinnostus tietosuoja-asioita kohtaan on ennätyksellisen suurta. Odotan mielenkiinnolla yhdessä Aleidin ja Ventsislavin kanssa tehtävää työtä entistä laajemman sidosryhmäverkoston luomiseksi tietosuoja-alalle”, Jelinek toteaa.

”Meidän vastuullamme on tulevina vuosina antaa asiantuntevaa ja luotettavaa ohjeistusta ja neuvontaa tietosuojakysymyksissä. Varapuheenjohtajana tulen huolehtimaan siitä, että otamme keskustelussa huomioon kaikki näkemykset ja muodostamme niistä yhden yhteisen kannan”, lisää Aleid Wolfsen.

Vastaus europarlamentaarikko Sophie in’t Veldille älyautoihin liittyvässä kysymyksessä

Euroopan tietosuojaneuvosto hyväksyi kirjeen, jolla neuvosto vastaa Euroopan parlamentin jäsen Sophie in’t Veldin 17.4.2019 esittämään kysymykseen. Tämä kysymys liittyi autoilijoiden henkilötietojen jakamiseen autonvalmistajien ja kolmansien osapuolten kanssa ilman kuljettajan nimenomaista, erityistä ja tietoon perustuvaa suostumusta sekä ilman asianmukaista käsittelyperustetta. Vastauksessaan tietosuojaneuvosto korostaa, että neuvoston jäsenet ja heidän kansainväliset kollegansa hyväksyivät vuonna 2017 ICDPCC:n päätöslauselman automatisoitujen ja tietoverkkoon liitettyjen ajoneuvojen tietosuojasta ja että WP29-työryhmä hyväksyi samana vuonna lausunnon henkilötietojen käsittelystä vuorovaikutteisten älykkäiden liikennejärjestelmien (C-ITS) yhteydessä (WP29 Opinion 3/2017). Asiaa tullaan käsittelemään myös Euroopan tietosuojaneuvostossa vuosien 2019–2020 työohjelmassa esitetyllä tavalla.

Kolmas Privacy Shield -arviointi

Vuosittain järjestettävä Privacy Shield -arviointi toteutettiin nyt kolmannen kerran. Euroopan tietosuojaneuvoston puolesta mukana arviointitilaisuudessa olivat Euroopan tietosuojavaltuutettu sekä Itävallan, Bulgarian, Ranskan, Saksan ja Unkarin tietosuojaviranomaisten edustajat.

14 May 2019

On May 14 & 15, the European Data Protection Board's tenth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of tenth plenary

10 April 2019

Euroopan tietosuojaneuvoston 9. täysistunto: Ohjeet henkilötietojen käsittelystä tietoyhteiskunnan palvelujen yhteydessä

 

Bryssel, 10. huhtikuuta – 9. ja 10. huhtikuuta Euroopan tietosuojavaltuutettu ja Euroopan tietosuojaneuvosto kokoontuivat 9. täysistuntoonsa.
 
Täysistunnossa neuvosto hyväksyi ohjeet EU:n yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan b alakohdan* soveltamisalasta ja sen soveltamisesta tietoyhteiskunnan palvelujen yhteydessä. Tietosuojaneuvosto esittää ohjeistuksessa yleisiä huomioita tietosuojaperiaatteista sekä 6 artiklan 1 kohdan b alakohdan yhteensovittamisesta muiden laillisten perusteiden kanssa. Lisäksi ohjeistus käsittelee 6 artiklan 1 kohdan b alakohdan sovellettavuutta tilanteissa, joissa useita erillisiä palveluja yhdistetään ja sopimus puretaan.

Huomautus toimittajille:

 

Kaikki Euroopan tietosuojaneuvoston täysistunnon aikana hyväksytyt asiakirjat käyvät vielä läpi oikeudellisen, muodollisen ja kielellisen tarkistuksen ja julkaistaan näiden tarkistusten jälkeen Euroopan tietosuojaneuvoston verkkosivuilla.

*6 artiklan 1 kohdan b alakohta
”1. Käsittely on lainmukaista vain jos ja siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy:
...
(b) käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;”
09 April 2019

On April 9 & 10, the European Data Protection Board's ninth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of ninth plenary

09 April 2019

Your personal information is collected, shared, used and stored by individuals, organisations and public authorities every day. Recruitment activities, video surveillance and health data collection are just a few examples of this. The European Data Protection Board (EDPB) ensures the consistent application of the GDPR throughout the European Economic Area (EEA), and promotes cooperation between the EEA data protection authorities. The European Data Protection Supervisor (EDPS) monitors and ensures the protection of personal data and privacy when EU institutions and bodies process personal data.

The EDPB and EDPS stand will be at the European Commission as part of the EU institutions' Europe Day celebrations.

Located on the ground floor of the Berlaymont building, EDPB and EDPS staff will be on hand to answer questions about your privacy rights and how to protect your personal information. Free goodies and information will be on offer, as well as fun and interactive activities for both children and adults to enjoy. You will also have a chance to win one of 20 USB sticks, simply by taking part in our fun, simple quiz!

Whether shopping online, using a smartphone or applying for jobs, data protection affects us all, so be sure to visit our stand to find out more!

For more information visit http://europeday.europa.eu and http://ec.europa.eu/belgium/events/europe-day_en

For more information on the EDPS visit: https://edps.europa.eu/data-protection/our-work/publications/events/eu-open-day-2019-brussels_en 

15 March 2019

On February 26, the EDPB Chair and Vice-Chair addressed the European Parliament's Civil Liberties, Justice and Home Affairs Committee (LIBE) on GDPR implementation. You can read the full report here:  EDPB LIBE Report

14 March 2019

Bryssel, 13. maaliskuuta – Euroopan tietosuojaneuvosto ja Euroopan tietosuojavaltuutettu kokoontuivat 12.–13.3. kahdeksanteen täysistuntoonsa. Kokouksessa käsiteltiin useita aiheita.

Sähköisen viestinnän tietosuojadirektiivin ja yleisen tietosuoja-asetuksen yhteensovittaminen
Euroopan tietosuojaneuvosto antoi lausunnon sähköisen viestinnän tietosuojadirektiivin ja yleisen tietosuoja-asetuksen yhteensovittamisesta. Lausunnossa kiinnitettiin erityisesti huomiota siihen, että henkilötietojen käsittelyssä tulee ottaa huomioon sekä yleinen tietosuoja-asetus sekä sähköisen viestinnän tietosuojadirektiivi ja pohdittiin sitä, rajoittaako tämä tietosuojaviranomaisten toimivaltaa, tehtäviä ja valtuuksia. Tietosuojaneuvoston näkemys on, että tietosuojaviranomaisilla on oltava yleisen tietosuoja-asetuksen mukainen toimivalta. Se, että osaan henkilötiedoista sovelletaan myös sähköisen viestinnän tietosuojadirektiiviä, ei vaikuta tämän toimivallan toteuttamiseen.

Yleisen tietosuoja-asetuksen säännösten rikkominen voi samanaikaisesti johtaa kansallisten sähköisen viestinnän tietosuojasäännösten rikkomiseen. Tietosuojaviranomainen voi ottaa tämän huomioon soveltaessaan yleistä tietosuoja-asetusta, esimerkiksi arvioidessaan laillisuus- ja oikeudenmukaisuusperiaatteiden noudattamista.

Lausunto sähköisen viestinnän tietosuojadirektiivistä
Euroopan tietosuojaneuvosto antoi lausunnon valmisteilla olevasta sähköisen viestinnän tietosuoja-asetuksesta. Lausunnossa kehotetaan EU:n lainsäätäjiä tehostamaan toimia sähköisen viestinnän tietosuojadirektiivin hyväksymiseksi. Neuvoston mukaan tämä on olennaisen tärkeää tietosuojan ja sähköisen viestinnän luottamuksellisuuden varmistamiseksi.

Sähköisen viestinnän tietosuoja-asetus ei missään olosuhteissa saa heikentää nykyisen sähköisen viestinnän tietosuojadirektiivin tarjoamaa suojaa. Sen tulisi täydentää EU:n yleistä tietosuoja-asetusta tarjoamalla vahvaa lisäturvaa kaikentyyppisen sähköisen viestinnän tietosuojalle.

Tietosuojaa koskeva vaikutustenarviointi
Euroopan tietosuojaneuvosto antoi lausunnot Espanjan ja Islannin viranomaisten toimittamista vaikutustenarvioinnin kansallisista luetteloista. Näiden luetteloiden avulla pyritään yleisen tietosuoja-asetuksen yhdenmukaiseen soveltamiseen koko Euroopan talousalueella. Tietosuojaa koskeva vaikutustenarviointi on prosessi, jonka avulla voidaan tunnistaa ja vähentää tietosuojaan liittyviä riskejä, jotka voivat vaikuttaa yksilöiden oikeuksiin ja vapauksiin. Rekisterinpitäjän on yleensä arvioitava ennen henkilötietojen käsittelyn aloittamista, edellyttääkö se vaikutustenarvioinnin tekemistä. Tämän lisäksi kansallisten valvontaviranomaisten on laadittava ja julkaistava luettelo käsittelytoimista, joihin vaikutustenarviointia sovelletaan aina. Espanjalle ja Islannille annetut lausunnot ovat jatkoa edellisissä täysistunnoissa hyväksytyille, kansallisia vaikutustenarvioinnin luetteloita koskeville 28 lausunnolle.

Lausunto henkilötietojen käytöstä poliittisissa kampanjoissa
Euroopan tietosuojaneuvosto on hyväksynyt lausunnon, joka koskee henkilötietojen käyttöä vaalikampanjoissa. Lausunnossa otetaan huomioon erityisesti toukokuussa järjestettävät Euroopan parlamentin vaalit sekä muut EU-alueella ja sen ulkopuolella vuoden 2019 aikana järjestettävät vaalit. Henkilötietojen käsittely poliittisissa tarkoituksissa voi aiheuttaa vakavia riskejä rekisteröityjen oikeudelle yksityisyyteen ja tietosuojaan mutta myös vaalijärjestelmän demokraattisuudelle. Lausunnossaan Euroopan tietosuojaneuvosto korostaa useita keskeisiä seikkoja, jotka poliittisten puolueiden on otettava huomioon henkilötietojen käsittelyssä vaalityön aikana.

Huomautus toimittajille:

Kaikki Euroopan tietosuojaneuvoston täysistunnon aikana hyväksytyt asiakirjat käyvät vielä läpi oikeudellisen, muodollisen ja kielellisen tarkistuksen ja julkaistaan näiden tarkistusten jälkeen Euroopan tietosuojaneuvoston verkkosivuilla.

12 March 2019

On March 12 & 13, the European Data Protection Board's eighth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of Eighth Plenary

13 February 2019

Bryssel, 13. helmikuuta – ETA-maiden tietosuojaviranomaiset ja Euroopan tietosuojavaltuutettu kokoontuivat 12. helmikuuta Euroopan tietosuojaneuvoston seitsemänteen täysistuntoon. Istunnossa käsiteltiin useita aiheita.

Euroopan tietosuojaneuvoston toimintasuunnitelma 2019–2020
Tietosuojaneuvosto hyväksyi työjärjestyksen 29 artiklaan perustuvan toimintasuunnitelman vuosille 2019–2020. Suunnitelma laaditaan niiden tarpeiden perusteella, joita neuvoston jäsenet ovat tunnistaneet yksilöiden, sidosryhmien ja EU:n lainsäädännön näkökulmasta.

Luonnos rahoitusmarkkinoiden valvonnan hallinnolliseksi järjestelyksi
Tietosuojaneuvosto hyväksyi luonnoksen hallinnolliseksi järjestelyksi, joka koskee henkilötietojen siirtoa ETA-maiden rahoitusalan valvontaviranomaisten, muun muassa Euroopan arvopaperimarkkinaviranomaisen (ESMA), ja EU:n ulkopuolisten valvontaviranomaisten välillä. Järjestely perustuu yleisen tietosuoja-asetuksen 46 artiklan 3 kohdan b alakohtaan. Seuraavaksi luonnos toimitetaan kansallisten toimivaltaisten valvontaviranomaisten hyväksyttäväksi. Valvontaviranomaisen tehtävänä on seurata järjestelyn soveltamista käytäntöön ja varmistaa, että rekisteröidyn oikeudet sekä asianmukaiset oikeussuojakeinot ja valvonta toteutuvat asianmukaisella tavalla.

Brexit
Euroopan tietosuojaneuvosto hyväksyi kaupallisille toimijoille ja viranomaisille osoitetun ohjeistuksen, joka koski yleisen tietosuoja-asetuksen mukaisia tiedonsiirtoja sopimuksettoman brexitin toteutuessa.

Tiedonsiirto ETA-maista Isoon-Britanniaan
Jos EU ja Iso-Britannia eivät pääse sopimukseen Britannian EU-erosta, Britanniasta tulee kolmas maa 30. maaliskuuta 2019 alkaen. Tämän seurauksena henkilötietojen siirtojen Euroopan talousalueelta Britanniaan tulee perustua johonkin seuraavista siirtomekanismeista: tavanomaiset tai tapauskohtaiset tietosuojalausekkeet, yrityksiä sitovat säännöt, käytännesäännöt ja sertifiointimekanismit sekä viranomaisten käytössä olevat erityiset siirtomekanismit. Jos vakiomuotoisia tietosuojalausekkeita tai muita asianmukaisia suojatoimia ei ole käytössä, poikkeuksia voidaan tehdä tietyin edellytyksin.

Tiedonsiirto Isosta-Britanniasta ETA-maihin
Ison-Britannian hallituksen tiedonannon mukaan nykyiset käytännöt jatkuvat siirrettäessä henkilötietoja Britanniasta ETA-maihin. Näin ollen henkilötietoja voidaan siirtää vapaasti Britanniasta ETA-maihin sopimuksettoman brexitin toteuduttuakin.    

Käytännesääntöjä koskeva ohjeistus
Tietosuojaneuvosto hyväksyi käytännesääntöjä koskevan ohjeistuksen, jonka tarkoituksena on antaa neuvoja ja tulkintaohjeita yleisen tietosuoja-asetuksen 40 ja 41 artiklojen soveltamiseen. Ohjeistus selventää menettelyjä ja sääntöjä, jotka liittyvät käytännesääntöjen valmisteluun, hyväksymiseen ja julkaisemiseen sekä kansallisella että Euroopan tasolla. Ohjeistuksen tulisi lisäksi ohjata toimivaltaisia valvontaviranomaisia sekä Euroopan tietosuojaneuvostoa ja komissiota, jotta ne voivat arvioida käytännesääntöjä johdonmukaisesti ja virtaviivaistaa arviointiprosessiin liittyviä menettelyjä. Ohjeistuksesta järjestetään julkinen kuuleminen.

Huomautus toimittajille:

Kaikki Euroopan tietosuojaneuvoston täysistunnon aikana hyväksytyt asiakirjat käyvät vielä läpi oikeudellisen, muodollisen ja kielellisen tarkistuksen ja julkaistaan näiden tarkistusten jälkeen Euroopan tietosuojaneuvoston verkkosivuilla.

12 February 2019

On February 12, the European Data Protection Board's seventh plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of Seventh Plenary

 

24 January 2019

Bryssel, 24. tammikuuta – 22.–23. tammikuuta Euroopan tietosuojaviranomaisista koostuva Euroopan tietosuojaneuvosto kokoontui kuudenteen täysistuntoonsa. Istunnossa käsiteltiin useita aiheita.

Privacy Shield -järjestely
Tietosuojaneuvosto hyväksyi EU: n ja Yhdysvaltojen välisen Privacy Shield -järjestelyn toisen vuosikatsauksen. Euroopan tietosuojaneuvosto suhtautuu myönteisesti siihen, että Yhdysvaltojen viranomaiset ja komissio ovat ryhtyneet toteuttamaan Privacy Shield -järjestelyä, erityisesti toimia, joiden tarkoituksena on mukauttaa alkuperäistä sertifiointimenettelyä, aloittaa valvonta- ja täytäntöönpanotoimet sekä julkaista asiakirjoja, jotka liittyvät osittain turvallisuusluokituksen poistamisen (kuten FISC-tuomioistuimen päätökset), uuden puheenjohtajan sekä yksityisyyden ja kansalaisvapauksien valvonnasta vastaavan lautakunnan (Privacy and Civil Liberties Oversight Board, PCLOB) kolmen uuden jäsenen nimittämiseen ja pysyvän oikeusasiamiehen nimittämiseen.

Tämän katsauksen jälkeenkin Privacy Shield -järjestelyn täytäntöönpanoa koskevat huolenaiheet ovat edelleen olemassa. Jo Euroopan tietosuojaneuvoston edeltäjän, WP29:n, asiakirjassa on todettu, ettei valikoimatonta henkilötietojen keruuta ja käyttöä kansalliseen turvallisuuteen liittyvissä tarkoituksissa ole suljettu pois. Nykyisen tiedon valossa Euroopan tietosuojaneuvosto ei myöskään voi olla varma, että oikeusasiamiehellä on riittävät valtuudet korjata näiden periaatteiden noudattamatta jättäminen. Lisäksi neuvosto huomauttaa, etteivät Privacy Shield -järjestelyn periaatteiden noudattamista koskevat tarkastukset ole riittävän kattavia.

Lisäksi Euroopan tietosuojaneuvostolla on joitakin lisähuolenaiheita. Ne liittyvät tarvittavien tarkastusten tekemiseen tietojen edelleen siirtämistä koskevien vaatimusten noudattamiseksi, henkilötietojen käsitteen laajuuteen ja uudelleensertifiointiprosessiin sekä luetteloon jäljellä olevista kysymyksistä, jotka ovat nousseet esiin ensimmäisen yhteisen tarkastelun jälkeen.

Brexit
Euroopan tietosuojaneuvosto keskusteli brexitin mahdollisista seurauksista tietosuojaan. Neuvosto sopi tekevänsä yhteistyötä liittyen brexit-valmisteluihin sekä niihin tietojensiirtomenetelmiin, jotka ovat käytettävissä sen jälkeen, kun Iso-Britannia ei enää ole EU:n jäsen.

Kliiniset lääketutkimukset
Euroopan tietosuojaneuvosto antoi Euroopan komission (SANTE-pääosasto) pyynnöstä lausunnon kliinisiin tutkimuksiin liittyvistä kysymyksistä. Lausunnossa käsitellään erityisesti näkökohtia, jotka liittyvät asianmukaisiin oikeusperusteisiin kliinisissä lääketutkimuksissa sekä kliinisten tutkimusten tietojen toissijaiseen käyttöön tieteellisissä tarkoituksissa. Lausunto toimitetaan seuraavaksi Euroopan komissiolle.

Vaikutustenarviointi
Euroopan tietosuojaneuvosto on antanut lausunnot tietosuojaa koskevasta vaikutustenarvioinnista (DPIA), jonka Liechtenstein ja Norja ovat neuvostolle toimittaneet. Nämä luettelot ovat väline tietosuoja-asetuksen johdonmukaisen soveltamisen kannalta koko Euroopan talousalueella. Tietosuojaa koskeva vaikutustenarviointi on prosessi, jonka avulla voidaan tunnistaa ja lieventää tietosuojaan liittyviä riskejä, jotka voivat vaikuttaa yksilöiden oikeuksiin ja vapauksiin. Vaikka rekisterinpitäjän on yleensä arvioitava, edellytetäänkö tietosuojaa koskevaa vaikutustenarviointia ennen käsittelytoiminnan aloittamista, kansallisten valvontaviranomaisten on laadittava ja julkaistava luettelo käsittelytoimista, joihin sovelletaan tietosuojaa koskevaa vaikutustenarviointia. Nämä kaksi lausuntoa noudattavat syyskuun täysistunnossa hyväksyttyjä 22 lausuntoa ja joulukuun täysistunnossa hyväksyttyjä neljää lausuntoa, ja ne auttavat osaltaan vahvistamaan yhteiset kriteerit tietosuojaa koskevan vaikutustenarvioinnin luettelolle koko Euroopan talousalueella.

Sertifiointia koskeva ohjeistus
Euroopan tietosuojaneuvoston sertifiointia koskeva ohjeistus hyväksyttiin julkisen kuulemisen ja sen perusteella tehtyjen muutosten jälkeen. Lisäksi neuvosto hyväksyi uuden liitteen. Tietosuojaneuvoston ensimmäinen täysistunto hyväksyi luonnoksen suuntaviivoista toukokuussa. Ohjeiden ensisijaisena tavoitteena on määritellä yleiset kriteerit, jotka voivat olla merkityksellisiä yleisen tietosuoja-asetuksen 42 ja 43 artiklan mukaisesti myönnettyjen sertifiointimekanismien kannalta. Ohjeissa selvennetään perusteluja sertifioinnin käyttämiselle vastuuvälineenä sekä asetuksen 42 ja 43 artiklan keskeisiä käsitteitä. Lisäksi ohjeet tarkentavat sitä, mitä voidaan sertifioida, ja kuvaavat sertifioinnin tarkoitusta. Ohjeet auttavat jäsenvaltioita, valvontaviranomaisia ja kansallisia akkreditointielimiä näiden tarkistaessa ja hyväksyessä yleisen tietosuoja-asetuksen mukaisia sertifiointiperusteita. Ohjeeseen kuuluvasta liitteestä järjestetään julkinen kuuleminen.

Vastaus Australian valvontaviranomaiselle tietojen tietoturvaloukkausilmoituksesta
Lokakuussa 2018 tietosuojaneuvosto sai Australian tietosuojavaltuutetun virastolta kirjallisen pyynnön, joka koski valvontaviranomaisten toimittamien tietoturvaloukkausten julkistamista. Euroopan tietosuojaneuvosto on tyytyväinen viraston kiinnostukseen tehdä yhteistyötä Euroopan tietosuojaneuvoston kanssa, mikä samalla korostaa kansainvälisen yhteistyön merkitystä. Vastauksessaan Euroopan tietosuojaneuvosto antaa lisätietoja siitä, julkaisevatko valvontaviranomaiset tietoturvaloukkauksia koskevia tietoja ja miten näitä tietoja mahdollisesti julkaistaan.

22 January 2019

On January 22 and 23, the European Data Protection Board's sixth plenary is taking place in Brussels. For further information, please consult the agenda.

Agenda of Sixth Plenary