Bryssel, 9.–10. heinäkuuta ETA-maiden tietosuojaviranomaiset ja Euroopan tietosuojavaltuutettu kokoontuivat Euroopan tietosuojaneuvoston 12. täysistuntoon. Täysistunnossa käsiteltiin useita aiheita.
Ohjeet kameravalvonnasta
Neuvosto hyväksyi videovalvontaa koskevan ohjeen, jossa selvennetään, miten yleistä tietosuoja-asetusta sovelletaan henkilötietojen käsittelyyn videovalvonnassa. Ohjeen tavoitteena on varmistaa, että videolaitteita käytettäessä noudatetaan yleistä tietosuoja-asetusta. Suuntaviivat koskevat sekä perinteisiä videolaitteita että älykkäitä videolaitteita. Viimeksi mainittujen osalta suuntaviivoissa keskitytään erityisten tietoryhmien käsittelyä koskeviin sääntöihin. Lisäksi ohjeessa käsitellään muun muassa tietojenkäsittelyn lainmukaisuutta, kotitalouspoikkeuksen sovellettavuutta ja videomateriaalin julkistamista kolmansille osapuolille. Suuntaviivoista järjestetään julkinen kuuleminen.
Euroopan tietosuojaneuvoston ja Euroopan tietosuojavaltuutetun yhteinen vastaus kansalaisvapauksien sekä oikeus- ja sisäasioiden valiokunnalle Yhdysvaltojen CLOUD-lain vaikutuksista
Euroopan tietosuojaneuvosto vastasi Euroopan parlamentin kansalaisvapauksien sekä oikeus- ja sisäasioiden valiokunnan (LIBE) pyyntöön arvioida Yhdysvaltojen CLOUD-lain vaikutuksia EU:n tietosuojan oikeudelliselle kehykselle. Lisäksi valiokunta pyysi valtuutusta neuvotella EU:n ja Yhdysvaltojen välisestä sopimuksesta oikeudellisesta yhteistyöstä, joka koskee sähköistä todistusaineistoa rikosasioissa. CLOUD-lain mukaan Yhdysvaltojen lainvalvontaviranomaiset voivat vaatia Yhdysvalloissa sijaitsevilta palveluntarjoajilta tietojen julkistamista riippumatta siitä, missä tiedot on tallennettu.
Euroopan tietosuojaneuvosto ja Euroopan tietosuojavaltuutettu korostavat, että EU:n ja Yhdysvaltojen sähköisen todistusaineiston rajatylittävää saatavuutta koskeva kattava sopimus, johon sisältyvät vahvat menettelylliset ja merkittävät takeet perusoikeuksista, on soveltuvin väline sen varmistamiseksi, että EU:n rekisteröidyillä on tarvittava suoja ja yrityksillä on oikeusvarmuus.
Tanskan valvontaviranomainen: henkilötietojen käsittelijöihin sovellettavia mallisopimuslausekkeita koskeva 28.8 artikla
Euroopan tietosuojaneuvosto antoi tietosuoja-asetuksen 64 artiklan mukaisen lausunnon mallisopimuslausekkeista, joita Tanskan valvontaviranomainen on laatinut henkilötietojen käsittelijöille. Lausunnolla, joka on ensimmäinen tätä aihetta koskeva lausunto, pyritään varmistamaan henkilötietojen käsittelijöitä koskevan yleisen tietosuoja-asetuksen 28 artiklan johdonmukainen soveltaminen. Tietosuojaneuvosto esitti siinä useita suosituksia, jotka on otettava huomioon, jotta luonnoksia voitaisiin pitää mallisopimuslausekkeina. Jos kaikki suositukset pannaan täytäntöön, tanskalainen valvontaviranomainen voi käyttää tätä sopimusluonnosta vakiosopimuslausekkeena yleisen tietosuoja-asetuksen 28 artiklan 8 kohdan mukaisesti.
Yleisen tietosuoja-asetuksen 64 artikla: lausunto käytännesääntöjen valvontaelinten akkreditointikriteereistä Itävallan valvontaviranomaiselle
Tietosuojaneuvosto antoi lausunnon Itävallan valvontaviranomaisen toimittamasta päätösluonnoksesta, joka koskee käytännesääntöjen valvontaelinten hyväksyntäperusteita. Tietosuojaneuvosto oli samaa mieltä siitä, että kaikilla muilla kuin julkisia viranomaisia ja elimiä koskevilla käytännesäännöillä on oltava yleisen tietosuoja-asetuksen mukaisesti akkreditoitu valvontaelin.
Yleisen tietosuoja-asetuksen 64 artikla: lausunto valvontaviranomaisen toimivallasta, kun organisaation päätoimipaikan tai muun toimipaikan olosuhteet muuttuvat
Tietosuojaneuvosto antoi lausunnon valvontaviranomaisen toimivallasta, kun päätoimipaikkaan tai yksittäisiin toimipaikkoihin liittyvät olosuhteet muuttuvat. Tämä voi tapahtua silloin, kun pääasiallinen toimipaikka siirtyy ETA-maiden alueella, pääasiallinen toimipaikka siirretään ETA-maahan kolmannesta maasta tai kun Euroopan talousalueella ei ole enää pääasiallista toimipaikkaa tai yksittäistä toimipaikkaa. Näissä olosuhteissa tietosuojaneuvosto katsoo, että johtavan valvontaviranomaisen toimivalta voi siirtyä toiselle valvontaviranomaiselle. Silloin sovelletaan edelleen 60 artiklan mukaista yhteistyömenettelyä, ja uusi johtava valvontaviranomainen velvoitetaan tekemään yhteistyötä entisen johtavan valvontaviranomaisen ja muiden osallistuvien valvontaviranomaisten kanssa, jotta asiassa päästään yhteisymmärrykseen. Vaihto voidaan toteuttaa niin kauan kuin toimivaltainen valvontaviranomainen ei ole tehnyt lopullista päätöstä.
Euroopan tietosuojaneuvoston ja Euroopan tietosuojavaltuutetun yhteinen lausunto sähköisten terveyspalvelujen digitaalisesta palveluinfrastruktuurista (eHDSI)
Tietosuojaneuvosto hyväksyi neuvoston ja Euroopan tietosuojavaltuutetun yhteisen lausunnon sähköisen terveydenhuollon digitaalisten palvelujen infrastruktuuriin (eHDSI) sisältyvien potilaiden henkilötietojen käsittelyä koskevista näkökohdista. Se on ensimmäinen Euroopan tietosuojaneuvoston ja Euroopan tietosuojavaltuutetun yhteinen lausunto, joka hyväksyttiin vastauksena Euroopan komission esittämään, EU:n instituutioiden ja elinten tietosuojaa koskevan asetuksen (2018/1725) 42 artiklan 2 kohtaan. Euroopan tietosuojaneuvosto ja Euroopan tietosuojavaltuutettu katsovat lausunnossaan, että tässä nimenomaisessa tilanteessa ja potilaiden eHDSI:n sisällä tapahtuvan tietojen konkreettisen käsittelyn osalta ei ole mitään syytä poiketa Euroopan komission arviosta, jonka mukaan se toimii henkilötietojen käsittelijänä eHDSI:ssä. Lisäksi yhteisessä lausunnossa korostetaan tarvetta varmistaa, että sovellettavassa tietosuojalainsäädännössä määritellyt komissiolle kuuluvat käsittelijän tehtävät on määritelty selkeästi asiaa koskevassa täytäntöönpanosäädöksessä.
Kyprosta koskevan vaikutustenarvioinnin luettelo
Euroopan tietosuojaneuvosto antoi lausunnon Kyproksen toimittamasta tietosuojaa koskevan vaikutustenarvioinnin luettelosta. Tietosuojaa koskevan vaikutustenarvioinnin luettelot ovat tärkeä väline yleisen tietosuoja-asetuksen johdonmukaisen soveltamisen varmistamiseksi koko Euroopan talousalueella. Tietosuojaa koskeva vaikutustenarviointi on prosessi, jonka avulla voidaan tunnistaa ja lieventää tietosuojaan liittyviä riskejä, jotka voivat vaikuttaa yksilöiden oikeuksiin ja vapauksiin.
Yleisen tietosuoja-asetuksen 64 artikla: lausunto 35.5 artiklasta (tietosuojaa koskevan vaikutustenarvioinnin laatimista koskeva poikkeus)
Euroopan tietosuojaneuvosto antoi lausuntonsa 35.5 artiklan mukaisista Ranskan, Espanjan ja Tšekin valvontaviranomaisten toimittamista luetteloista.
Suositus Euroopan tietosuojavaltuutetun luettelosta asetuksen 2018/1725 39.4 artiklan mukaisesti (tietosuojaa koskevan vaikutustenarvioinnin luettelo)
Tietosuojaneuvosto on antanut suosituksen Euroopan tietosuojavaltuutetun toimittamasta 39.4 artiklan mukaisesta luettelosta. Euroopan tietosuojavaltuutetun on kuultava tietosuojaneuvostoa ennen näiden luetteloiden hyväksymistä, jos niissä ”viitataan yhden tai useamman muun rekisterinpitäjän kuin unionin toimielimen tai elimen kanssa yhdessä toimivan rekisterinpitäjän suorittamiin käsittelytoimiin” (asetuksen (EU) 2018/1725 39 artiklan 6 kohta). Samalla tavoin kuin yleisen tietosuoja-asetuksen tietosuojaa koskevan vaikutustenarvioinnin luetteloissa, tietosuojavaltuutetun luettelo antaa rekisterinpitäjille tietoa käsittelytoimista, jotka edellyttävät tietosuojaa koskevan vaikutustenarvioinnin tekemistä.
Huomautus toimittajille:
Kaikki Euroopan tietosuojaneuvoston täysistunnon aikana hyväksytyt asiakirjat käyvät läpi oikeudellisen, kielellisen ja muodollisen tarkistuksen, ja ne julkaistaan Euroopan tietosuojaneuvoston verkkosivuilla näiden tarkistusten jälkeen.