Bryssel 20. heinäkuuta – Euroopan tietosuojaneuvosto antoi 34. täysistunnossaan lausunnon Euroopan unionin tuomioistuimen antamasta tuomiosta asiassa Facebook Ireland vastaan Schrems. Tietosuojaneuvosto laati lisäksi ohjeet toisen maksupalveludirektiivin ja yleisen tietosuoja-asetuksen välisestä vuorovaikutuksesta sekä vastauskirjeen Euroopan parlamentin jäsenelle Ďuriš Nicholsonoválle kontaktien jäljittämisestä, sovellusten yhteentoimivuudesta sekä tietosuojaa koskevasta vaikutustenarvioinnista.
Euroopan tietosuojaneuvosto antoi lausunnon, joka koski Euroopan unionin tuomioistuimen tuomiota asiassa C-311/18 – Data Protection Commissioner vastaan Facebook Ireland ja Maximillian Schrems, joka kumoaa EU:n ja Yhdysvaltojen välisen Privacy Shield -järjestelyn tarjoaman tietosuojan tason riittävyydestä annetun päätöksen 2016/1250 mutta katsoo, että mallisopimuslausekkeista henkilötietojen siirtoa varten kolmansiin maihin sijoittautuneille henkilötietojen käsittelijöille annettu komission päätös 2010/87 on pätevä.
Privacy Shield -järjestelyn osalta Euroopan tietosuojaneuvosto huomauttaa, että EU:n ja Yhdysvaltojen olisi saatava aikaan kattava ja tehokas kehys, joka takaa, että Yhdysvalloissa henkilötiedoille taatun suojan taso vastaa olennaisilta osin suojan tasoa EU:ssa kyseessä olevan tuomion mukaisesti. Euroopan tietosuojaneuvosto aikoo jatkaa toimintaansa rakentavana osapuolena työssään, henkilötietojen transatlanttisen siirron varmistamisessa ETA:n kansalaisia ja organisaatioita hyödyttävällä tavalla, ja se on valmis auttamaan ja opastamaan Euroopan komissiota tukeakseen sitä uusien, täysin EU:n tietosuojalainsäädännön mukaisten puitteiden luomisessa yhdessä Yhdysvaltojen kanssa.
Mallisopimuslausekkeiden osalta Euroopan tietosuojaneuvosto panee merkille tietojen viejän ja tuojan ensisijaisen vastuun sen varmistamisessa, että niiden takaaman suojan taso vastaa olennaisilta osin yleisen tietosuoja-asetuksen takaamaa tasoa EU:n perusoikeuskirjan mukaisesti, jos mallisopimuslausekkeet otetaan käyttöön. Tehdessään tällaista ennakkoarviointia viejän on (tarvittaessa tuojan avustuksella) otettava huomioon vakiosopimuslausekkeiden sisältö, siirron erityisolosuhteet sekä tuovassa maassa sovellettava oikeudellinen järjestelmä. Tuomioistuin korostaa, että tietojen viejän on ehkä harkittava lisätoimenpiteiden käyttöä mallisopimuslausekkeisiin sisältyvien lisäksi. Euroopan tietosuojaneuvosto tekee vielä lisätutkimusta siitä, mitä näihin lisätoimenpiteisiin voisi sisältyä.
Tietosuojaneuvosto huomauttaa, että toimivaltaisilla valvontaviranomaisilla on velvollisuus keskeyttää tai kieltää tietojen siirrot kolmansiin maihin vakiosopimuslausekkeiden nojalla, jos toimivaltainen valvontaviranomainen katsoo kaikki siirtoon liittyvät olosuhteet huomioon ottaen, että kyseisiä lausekkeita ei noudateta tai ei voida noudattaa kyseisessä kolmannessa maassa eikä siirrettävien tietojen suojaa voida varmistaa mitenkään muuten, etenkin jos rekisterinpitäjä tai henkilötietojen käsittelijä ei ole jo keskeyttänyt tai lopettanut siirtoa.
Euroopan tietosuojaneuvosto muistuttaa, että se on antanut ohjeet tietosuoja-asetuksen 49 artiklasta ja että ohjeisiin sisältyviä poikkeuksia sovelletaan tapauskohtaisesti.
Tietosuojaneuvosto arvioi vielä tuomiota yksityiskohtaisemmin ja antaa sidosryhmille lisäselvennyksiä ja ohjeita välineiden käytöstä henkilötietojen siirtämiseksi kolmansiin maihin tuomion mukaisesti. Kuten Euroopan unionin tuomioistuin totesi, myös Euroopan tietosuojaneuvosto ja sen valvontaviranomaiset Euroopassa ovat valmiita turvaamaan toiminnan yhdenmukaisuuden koko ETA-alueella.
Asiakirja on kokonaisuudessaan saatavilla täällä: https://edpb.europa.eu/news/news/2020/statement-court-justice-european-union-judgment-case-c-31118-data-protection_fi
Euroopan tietosuojaneuvosto laati toista maksupalveludirektiiviä koskevat ohjeet. Toisella maksupalveludirektiivillä nykyaikaistetaan maksupalvelumarkkinoiden oikeudellista kehystä. Toisella maksupalveludirektiivillä otetaan ennen kaikkea käyttöön uusia maksutoimeksiantopalvelujen ja tilitietopalvelujen tarjoajia koskeva oikeudellinen kehys. Käyttäjät voivat pyytää, että näille uusille maksupalveluntarjoajille myönnetään pääsy käyttäjien maksutileille. Helmikuussa 2019 järjestetyn sidosryhmien työpajan jälkeen Euroopan tietosuojaneuvosto laati ohjeet yleisen tietosuoja-asetuksen soveltamisesta näihin uusiin maksupalveluihin.
Ohjeissa todetaan, että tässä yhteydessä erityisten henkilötietoryhmien käsittely on yleensä kielletty (tietosuoja-asetuksen 9 artiklan 1 kohdan mukaisesti), paitsi jos rekisteröity on antanut nimenomaisen suostumuksensa (tietosuoja-asetuksen 9 artiklan 2 kohdan a alakohta) tai käsittely on tarpeen yleistä etua koskevista syistä (tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohta).
Ohjeissa käsitellään myös edellytyksiä, joiden täyttyessä tiliä ylläpitävät maksupalveluntarjoajat voivat antaa pääsyn maksutilitietoihin maksutoimeksiantopalvelujen ja tilitietopalvelujen tarjoajille, erityisesti yksityiskohtaisten käyttöoikeuksien osalta.
Ohjeissa korostetaan, että toisen maksupalveludirektiivin 66 artiklan 3 kohdan g alakohdassa tai 67 artiklan 2 kohdan f alakohdassa ei sallita muuta käsittelyä, paitsi jos rekisteröity on antanut siihen suostumuksensa yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan a alakohdan mukaisesti tai jos käsittelystä säädetään unionin oikeudessa tai jäsenvaltion lainsäädännössä. Ohjeista järjestetään julkinen kuuleminen.
Tietosuojaneuvosto hyväksyi myös vastauskirjeen Euroopan parlamentin jäsenen Ďuriš Nicholsonován kysymyksiin tietosuojasta covid-19:n torjunnan yhteydessä. Kirjeessä vastataan kysymyksiin kontaktien jäljityssovellusten yhdenmukaistamista ja yhteentoimivuudesta, tietosuojan vaikutustenarviointia koskevista vaatimuksista tällaisen käytön yhteydessä ja tietojen käytön kestosta.
EDPB_Press Release_2020_12