Bryssel 9. lokakuuta – Euroopan tietosuojaneuvosto antoi viimeisimmässä täysistunnossaan lausunnon tietyistä velvollisuuksista, jotka johtuvat henkilötietojen käsittelijän (käsittelijöiden) ja alikäsittelijän (alikäsittelijöiden) käytöstä, oikeutettua etua koskevista suuntaviivoista, lausuman yleisen tietosuoja-asetuksen täytäntöönpanoa koskevien täydentävien menettelysääntöjen vahvistamisesta ja Euroopan tietosuojaneuvoston työohjelmasta 2024–2025.
Ensinnäkin tietosuojaneuvosto antoi lausunnon tietyistä velvoitteista, jotka johtuvat henkilötietojen käsittelijän (käsittelijöiden) ja alikäsittelijän (alikäsittelijöiden) käytöstä Tanskan tietosuojaviranomaisen tietosuojaneuvostolle esittämän yleisen tietosuoja-asetuksen 64 artiklan 2 kohdan mukaisen pyynnön johdosta. Yleisen tietosuoja-asetuksen 64 artiklan 2 kohdassa säädetään, että mikä tahansa tietosuojaviranomainen voi pyytää tietosuojaneuvostolta lausuntoa yleisesti sovellettavista kysymyksistä tai kysymyksistä, joilla on vaikutuksia useammassa kuin yhdessä jäsenvaltiossa.
Lausunnossa käsitellään tilanteita, joissa rekisterinpitäjät käyttävät yhtä tai useampaa henkilötietojen käsittelijää ja alihankkijana toimivaa henkilötietojen käsittelijää. Siinä käsitellään erityisesti kahdeksaa kysymystä, jotka koskevat henkilötietojen käsittelijöihin ja alikäsittelijöihin tukeutuvien rekisterinpitäjien tiettyjen velvollisuuksien tulkintaa sekä rekisterinpitäjän ja henkilötietojen käsittelijän välisten sopimusten sanamuotoa, jotka johtuvat erityisesti yleisen tietosuoja-asetuksen 28 artiklasta.
Lausunnossa selitetään, että rekisterinpitäjillä olisi oltava kaikkina aikoina helposti saatavilla tiedot kaikkien henkilötietojen käsittelijöiden, alikäsittelijöiden jne. henkilöllisyydestä (nimi, osoite, yhteyshenkilö), jotta ne voivat parhaiten täyttää yleisen tietosuoja-asetuksen 28 artiklan mukaiset velvoitteensa. Lisäksi rekisterinpitäjän velvollisuutta tarkistaa, onko (ali)käsittelijöillä riittävät takeet, olisi sovellettava riippumatta rekisteröityjen oikeuksiin ja vapauksiin kohdistuvasta riskistä, vaikka tällaisen todentamisen laajuus voi vaihdella erityisesti käsittelyyn liittyvien riskien perusteella.
Lausunnossa todetaan myös, että vaikka alkuperäisen henkilötietojen käsittelijän olisi varmistettava, että se ehdottaa alihankkijana toimivaa henkilötietojen käsittelijää, jolla on riittävät takeet, lopullinen päätös ja vastuu tietyn alihankkijana toimivan henkilötietojen käsittelijän käyttämisestä jää rekisterinpitäjälle.
Tietosuojaneuvosto katsoo, että yleisen tietosuoja-asetuksen mukaan rekisterinpitäjällä ei ole velvollisuutta pyytää järjestelmällisesti alihankintasopimuksia tarkistamaan, onko tietosuojavelvoitteita siirretty käsittelyketjussa eteenpäin. Rekisterinpitäjän olisi arvioitava, onko jäljennöksen pyytäminen tällaisista sopimuksista tai niiden tarkistaminen tarpeen, jotta se voi osoittaa noudattavansa yleistä tietosuoja-asetusta.
Lisäksi silloin, kun henkilötietoja siirretään Euroopan talousalueen ulkopuolelle kahden (ali)käsittelijän välillä, tietojen viejänä toimivan henkilötietojen käsittelijän olisi laadittava asiaankuuluvat asiakirjat, jotka liittyvät esimerkiksi käytettyyn siirtoperusteeseen, siirron vaikutustenarviointiin ja mahdollisiin lisätoimenpiteisiin. Koska rekisterinpitäjään sovelletaan kuitenkin edelleen yleisen tietosuoja-asetuksen 28 artiklan 1 kohdasta johtuvia velvollisuuksia, jotka koskevat ”riittäviä takeita”, 44 artiklan mukaisten velvollisuuksien lisäksi sen olisi varmistettava, että henkilötietojen siirrot eivät heikennä tietosuojan tasoa, arvioitava nämä asiakirjat ja pystyttävä esittämään ne toimivaltaiselle tietosuojaviranomaiselle.
Tämän jälkeen tietosuojaneuvosto antoi ohjeet henkilötietojen käsittelystä oikeutetun edun perusteella.
Rekisterinpitäjät tarvitsevat oikeusperustan henkilötietojen lainmukaiselle käsittelylle. Oikeutettu etu on yksi kuudesta mahdollisesta oikeusperustasta.
Näissä ohjeissa analysoidaan yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan f alakohdassa vahvistettuja kriteereitä, jotka rekisterinpitäjien on täytettävä käsitelläkseen henkilötietoja laillisesti oikeutetun edun perusteella. Siinä otetaan huomioon myös unionin tuomioistuimen asiassa äskettäin antama tuomio (C-621/22, 4. lokakuuta 2024).
Jotta rekisterinpitäjä voi vedota oikeutettuun etuun, sen on täytettävä kolme kumulatiivista edellytystä:
-
rekisterinpitäjän tai kolmannen osapuolen oikeutetun edun tavoittelu;
-
Henkilötietojen käsittelyn tarpeellisuus oikeutetun edun toteuttamiseksi;
-
Yksilöiden edut tai perusvapaudet ja -oikeudet eivät ole ensisijaisia rekisterinpitäjän tai kolmannen osapuolen oikeutettuihin etuihin nähden (tasapainottaminen).
Ensinnäkin ainoastaan laillisia, selkeästi ja täsmällisesti ilmaistuja, todellisia ja olemassa olevia etuja voidaan pitää laillisina. Tällaisia oikeutettuja etuja voi olla esimerkiksi tilanteessa, jossa henkilö on asiakkaana tai rekisterinpitäjän palveluksessa.
Toiseksi, jos on olemassa kohtuullisia, yhtä tehokkaita mutta vähemmän rajoittavia vaihtoehtoja tavoiteltujen etujen saavuttamiseksi, käsittelyä ei voida pitää tarpeellisena. Käsittelyn tarpeellisuutta olisi tarkasteltava myös tietojen minimoinnin periaatteen mukaisesti.
Kolmanneksi rekisterinpitäjän on varmistettava, että sen oikeutettu etu ei syrjäytä yksilön etuja eli perusvapauksia. Tässä punninnassa rekisterinpitäjän on otettava huomioon yksilöiden edut, käsittelyn vaikutus ja heidän kohtuulliset odotuksensa sekä mahdolliset lisätakeet, jotka voisivat rajoittaa yksilöön kohdistuvaa vaikutusta.
Lisäksi näissä suuntaviivoissa selitetään, miten arviointi olisi tehtävä käytännössä, myös useissa erityistilanteissa, kuten petostentorjunnassa, suoramarkkinoinnissa ja tietoturvassa. Asiakirjassa selitetään myös tämän oikeusperustan ja useiden yleisen tietosuoja-asetuksen mukaisten rekisteröityjen oikeuksien välinen suhde.
Suuntaviivoista järjestetään julkinen kuuleminen 20. marraskuuta 2024 saakka.
Seuraavaksi tietosuojaneuvosto antoi lausuman sen jälkeen, kun Euroopan parlamentti ja neuvosto olivat tehneet muutoksia Euroopan komission ehdotukseen asetukseksi yleisen tietosuoja-asetuksen täytäntöönpanoa koskevista täydentävistä menettelysäännöistä.
Lausumassa suhtaudutaan yleisesti ottaen myönteisesti Euroopan parlamentin ja neuvoston tekemiin muutoksiin ja suositellaan tiettyjen osatekijöiden käsittelyä edelleen, jotta uudella asetuksella voidaan saavuttaa viranomaisten välisen yhteistyön virtaviivaistamista ja yleisen tietosuoja-asetuksen täytäntöönpanon parantamista koskevat tavoitteet.
Lausumassa annetaan käytännön suosituksia, joita voidaan käyttää tulevissa kolmikantaneuvotteluissa. Tietosuojaneuvosto toistaa erityisesti, että sovintoratkaisuja varten tarvitaan oikeusperusta ja yhdenmukaistettu menettely, ja antaa suosituksia sen varmistamiseksi, että keskeisten kysymysten yhteenvedosta päästään mahdollisimman tehokkaasti yhteisymmärrykseen. Kriisinratkaisuneuvosto suhtautuu myönteisesti myös lisämääräaikojen sisällyttämiseen mutta muistuttaa, että niiden on oltava realistisia, ja kehottaa lainsäätäjiä poistamaan säännökset, jotka liittyvät asiaankuuluviin ja perusteltuihin vastalauseisiin ja perusteluihin riitojenratkaisumenettelyssä.
Julkilausumassa suhtaudutaan myönteisesti tavoitteeseen lisätä avoimuutta, mutta Euroopan parlamentin ehdottaman yhteisen asiakirja-aineiston käyttöönotto edellyttäisi monimutkaisia muutoksia Euroopan ja jäsenvaltioiden tasolla käytettäviin asiakirjahallinto- ja viestintäjärjestelmiin. Sen täytäntöönpanoa koskevia teknisiä ratkaisuja olisi arvioitava huolellisesti, ja käyttöoikeuden myöntämistä koskevia yksityiskohtaisia sääntöjä olisi selkeytettävä edelleen.
Tietosuojaneuvosto suhtautuu myönteisesti neuvoston tarkistukseen, jonka mukaan johtava tietosuojaviranomainen voi jättäytyä pois niin kutsutusta tiiviimmästä yhteistyöstä yksinkertaisissa ja yksiselitteisissä tapauksissa, mutta korostaa tarvetta selventää edelleen tämän jättäytymisen soveltamisalaa.
Euroopan tietosuojaneuvoston puheenjohtaja Anu Talus totesi seuraavaa: ”Asetusluonnoksella voidaan virtaviivaistaa huomattavasti yleisen tietosuoja-asetuksen täytäntöönpanoa tehostamalla tapausten käsittelyä. Yhdenmukaistamista on lisättävä EU:n tasolla, jotta yleisen tietosuoja-asetuksen yhteistyö- ja yhdenmukaisuusmekanismit olisivat mahdollisimman tehokkaita.”
Kriisinratkaisuneuvosto hyväksyi viimeisimmässä täysistunnossaan vuosien 2024–2025 työohjelmansa. Tämä on ensimmäinen kahdesta työohjelmasta, joilla pannaan täytäntöön huhtikuussa 2024 hyväksytty Euroopan tietosuojaneuvoston strategia vuosiksi 2024–2027. Se perustuu tietosuojaneuvoston strategiassa asetettuihin painopisteisiin, ja siinä otetaan huomioon myös sidosryhmien kannalta tärkeimmiksi yksilöidyt tarpeet.
Tietosuojaneuvoston jäsenet sopivat myös myöntävänsä tarkkailijan aseman tietosuojaneuvoston toiminnalle Kosovon tieto- ja yksityisyydensuojavirastolle (Kosovan DPA) tietosuojaneuvoston työjärjestyksen 8 artiklan mukaisesti.
Täällä julkaistu lehdistötiedote on käännetty automaattisesti englanniksi. Tietosuojaneuvosto ei takaa käännöksen oikeellisuutta. Ole hyvä ja tutustu viralliseen tekstiin sen englanninkielisessä versiossa, jos siitä on epäilyksiä.