Bryssel 15. tammikuuta — Euroopan tietosuojaneuvosto ja Euroopan tietosuojavaltuutettu ovat antaneet yhteiset lausunnot kahdesta vakiolausekkeesta. Yksi lausunto annettiin rekisterinpitäjien ja henkilötietojen käsittelijöiden välisiä sopimuksia koskevista vakiolausekkeista ja toinen vakiolausekkeista, jotka koskevat henkilötietojen siirtoa kolmansiin maihin.
Rekisterinpitäjän ja käsittelijän vakiolausekkeilla on EU:n laajuinen vaikutus, ja niillä pyritään varmistamaan rekisterinpitäjien ja henkilötietojen käsittelijöiden välisten sopimusten yhdenmukaistaminen ja oikeusvarmuus kaikkialla EU:ssa.
Euroopan tietosuojaneuvoston puheenjohtaja Andrea Jelinek totesi, että ”Euroopan tietosuojaneuvosto ja Euroopan tietosuojavaltuutettu suhtautuvat myönteisesti rekisterinpitäjän ja henkilötietojen käsittelijän välisiä sopimuksia koskeviin vakiolausekkeisiin yhtenä vahvana ja EU:n laajuisena osoitusvelvollisuuden toteuttamisen välineenä, joka helpottaa sekä yleisen tietosuoja-asetuksen että EUDPR-asetuksen säännösten noudattamista. Euroopan tietosuojaneuvosto ja Euroopan tietosuojavaltuutettu vaativat muun muassa, että osapuolille on annettava riittävä selvyys tilanteista, joissa ne voivat soveltaa näitä vakiolausekkeita. Ne korostavat myös, että tilanteita, joihin liittyy henkilötietojen siirtoja EU:n ulkopuolelle, ei pitäisi sulkea pois.”
Tekstin selkeyttämiseksi ja sen käytännön hyödyllisyyden varmistamiseksi rekisterinpitäjien ja henkilötietojen käsittelijöiden päivittäisessä toiminnassa pyydettiin useita muutoksia. Näihin kuuluvat vuorovaikutus kahden asiakirjan välillä, eli niin sanottu ”docking clause”, joka antaa uusille tahoille mahdollisuuden liittyä vakiolausekkeisiin, sekä muita henkilötietojen käsittelijöiden velvollisuuksiin liittyviä näkökohtia. Lisäksi tietosuojaneuvosto ja Euroopan tietosuojavaltuutettu ehdottavat, että vakiolausekkeiden liitteissä selvennetään mahdollisimman paljon kunkin osapuolen tehtäviä ja vastuita kunkin käsittelytoimen osalta. Epäselvyydet vaikeuttaisivat rekisterinpitäjien tai henkilötietojen käsittelijöiden osoitusvelvollisuusperiaatteen mukaisten velvoitteiden täyttämistä.
Wojciech Wiewiórowski, Euroopan tietosuojavaltuutettu, totesi: ”Olemme vakuuttuneita siitä, että nämä vakiolausekkeet voivat auttaa rekisterinpitäjiä ja henkilötietojen käsittelijöitä noudattamaan sekä yleisen tietosuoja-asetuksen että EU:n instituutioiden ja elinten oikeudellisen kehyksen mukaisia velvoitteitaan. Lisäksi toivomme, että nämä vakiolausekkeet edistävät yhdenmukaistamista sekä yksilöiden ja heidän henkilötietojensa oikeusvarmuutta. Tätä varten pyrimme varmistamaan, että nämä asiakirjat vastaavat mahdollisimman hyvin tulevaisuuden vaatimuksia.”
Luonnoksilla vakiolausekkeiksi, jotka koskevat henkilötietojen siirtoa kolmansiin maihin yleisen tietosuoja-asetuksen 46 artiklan 2 kohdan c alakohdan mukaisesti, korvataan nykyiset vakiolausekkeet kansainvälisiä siirtoja varten, jotka hyväksyttiin direktiivin 95/46 perusteella. Vakiolausekkeita oli päivitettävä, jotta ne olisivat yleisen tietosuoja-asetuksen vaatimusten mukaisia ja jotta niissä huomioitaisiin Euroopan unionin tuomioistuimen Schrems II -tuomion vaikutukset. Lisäksi niissä oli huomioitava uusien ja monimutkaisten käsittelytoimien yleinen käyttö, joihin osallistuu useita tietojen tuojia ja viejiä. Uusiin vakiolausekkeisiin sisältyy erityisesti täsmällisempiä suojatoimia, joita sovelletaan, jos kohdemaan lainsäädäntö vaikuttaa lausekkeiden noudattamiseen, erityisesti silloin, kun viranomaiset esittävät sitovia pyyntöjä henkilötietojen luovuttamisesta.
Wojciech Wiewiórowski, Euroopan tietosuojavaltuutettu, totesi: ”Käytännön kokemustemme perusteella olemme esittäneet nämä huomiot vakiolausekkeiden parantamiseksi, jotta voidaan varmistaa, että EU:n kansalaisten henkilötiedot saavat olennaisilta osin EU:n tasoa vastaavan suojan kolmansiin maihin tapahtuvissa siirroissa. Katsomme, että nämä ehdotukset ja muutokset ovat ratkaisevan tärkeitä näiden tavoitteiden saavuttamiseksi käytännössä.”
Yleisesti ottaen Euroopan tietosuojaneuvosto ja Euroopan tietosuojavaltuutettu katsovat, että vakiolausekkeiden luonnoksilla vahvistetaan rekisteröityjen suojan tasoa. Erityisesti tietosuojaneuvosto ja Euroopan tietosuojavaltuutettu suhtautuvat myönteisesti erityisiin säännöksiin, joilla on tarkoitus puuttua Schrems II -tuomiossa yksilöityihin keskeisiin ongelmiin. Euroopan tietosuojaneuvosto ja Euroopan tietosuojavaltuutettu katsovat kuitenkin, että useita säännöksiä, kuten vakiolausekkeiden soveltamisalaa, voitaisiin parantaa tai selkeyttää. Näihin lukeutuvat esimerkiksi tietyt kolmannen osapuolen edunsaajaoikeudet, tiettyjä edelleensiirtoja koskevat velvoitteet, kolmansien maiden lainsäädännön arviointiin liittyvät näkökohdat, jotka koskevat viranomaisten pääsyä julkisiin tietoihin sekä ilmoitukset valvontaviranomaiselle.
Tietosuojaneuvoston puheenjohtaja Andrea Jelinek lisäsi, että ”edellytyksien vakiolausekkeiden käyttämiselle on oltava selkeitä organisaatioille, ja rekisteröidyille olisi annettava tehokkaat oikeudet ja oikeussuojakeinot. Vakiolausekkeisiin olisi lisäksi sisällytettävä tehtävien ja vastuiden selkeä jako osapuolten kesken. Siltä osin kuin tietyissä tapauksissa on toteutettava tilapäisiä lisätoimenpiteitä varmistamaan, että rekisteröidyille annetaan suojan taso, joka vastaa olennaisilta osin EU:ssa taattua suojan tasoa, uusia vakiolausekkeita on käytettävä yhdessä Euroopan tietosuojaneuvoston täydentävistä suojatoimista antamien suositusten kanssa.”
Euroopan tietosuojaneuvosto ja Euroopan tietosuojavaltuutettu pyytävät komissiota viittaamaan tietosuojaneuvoston täydentäviä suojatoimia koskevien suositusten lopulliseen versioon, jos suositusten lopullinen versio hyväksytään ennen kuin komissio tekee päätöksen vakiolausekkeista. Asiakirja oli julkisessa kuulemisessa 21. joulukuuta 2020 asti, ja siihen voidaan vielä tehdä uusia muutoksia julkisen kuulemisen tulosten perusteella.
Taustatietoa:
Huomautus: Kaikille Euroopan tietosuojaneuvoston täysistunnossa hyväksytyille asiakirjoille tehdään tarvittavat oikeudelliset, kielelliset ja muotoilua koskevat tarkastukset, minkä jälkeen ne asetetaan saataville Euroopan tietosuojaneuvoston verkkosivustolle.
EDPB_Press Release_statement_2021_01