Bryssel 17. heinäkuuta – Euroopan tietosuojaneuvosto antoi viimeisimmässä täysistunnossaan julkilausuman tietosuojaviranomaisten roolista tekoälysäädöksen puitteissa.
Tietosuojaneuvoston mukaan tietosuojaviranomaisilla on jo kokemusta ja asiantuntemusta tekoälyn perusoikeuksiin, erityisesti henkilötietojen suojaa koskevaan oikeuteen, kohdistuvien vaikutusten käsittelystä, minkä vuoksi ne olisi useissa tapauksissa nimettävä markkinavalvontaviranomaisiksi. Näin varmistettaisiin parempi koordinointi eri sääntelyviranomaisten välillä, parannettaisiin kaikkien sidosryhmien oikeusvarmuutta ja vahvistettaisiin sekä tekoälysäädöksen että EU:n tietosuojalainsäädännön valvontaa ja täytäntöönpanoa.
Tekoälysäädöksen mukaan jäsenvaltioiden on nimitettävä markkinavalvontaviranomaiset kansallisella tasolla ennen 2 päivää elokuuta 2025 tekoälysäädöksen soveltamisen ja täytäntöönpanon valvontaa varten.
Tietosuojaneuvosto suosittelee lausunnossaan, että
- Kuten tekoälysäädöksessä jo todetaan, tietosuojaviranomaiset olisi nimettävä markkinavalvontaviranomaisiksi suuririskisille tekoälyjärjestelmille, joita käytetään lainvalvonnassa, rajavalvonnassa, oikeudenkäytössä ja demokraattisissa prosesseissa.
- Jäsenvaltioiden olisi harkittava tietosuojaviranomaisten nimittämistä markkinavalvontaviranomaisiksi myös muita suuririskisiä tekoälyjärjestelmiä varten ottaen huomioon kansallisen tietosuojaviranomaisen näkemykset erityisesti silloin, kun kyseiset suuririskiset tekoälyjärjestelmät toimivat aloilla, jotka todennäköisesti vaikuttavat luonnollisten henkilöiden oikeuksiin ja vapauksiin henkilötietojen käsittelyssä.
- Jos tietosuojaviranomaiset nimitetään markkinavalvontaviranomaisiksi, ne olisi nimettävä kansalaisten ja jäsenvaltioiden ja EU:n tason vastapuolten keskitetyiksi yhteyspisteiksi.
- Olisi vahvistettava selkeät menettelyt markkinavalvontaviranomaisten ja muiden tekoälyjärjestelmien valvonnasta vastaavien sääntelyviranomaisten, myös tietosuojaviranomaisten, välistä yhteistyötä varten. Lisäksi EU:n tekoälytoimiston ja tietosuojaviranomaisten/EDPB:n välille olisi luotava asianmukainen yhteistyö.
Euroopan tietosuojaneuvoston varapuheenjohtaja Irene Loizidou Nicolaidou totesi: ”DPA:illa olisi oltava merkittävä rooli tekoälysäädöksen täytäntöönpanossa, koska useimpiin tekoälyjärjestelmiin liittyy henkilötietojen käsittelyä. Uskon vakaasti, että tietosuojaviranomaiset soveltuvat tähän tehtävään, koska ne ovat täysin riippumattomia ja ymmärtävät syvällisesti tekoälyn perusoikeuksiin kohdistuvat riskit olemassa olevien kokemustensa perusteella.”
Tämän jälkeen tietosuojaneuvosto hyväksyi kaksi EU:n ja Yhdysvaltojen tietosuojakehystä koskevaa usein kysyttyä asiakirjaa, joiden tarkoituksena onselventää tietosuojakehyksen toimintaa.
Usein kysyttyä -osiossa on tietoa tietosuojakehyksen toiminnasta: miten siitä voi hyötyä, miten valituksen voi tehdä ja miten valitus käsitellään.
Yrityksille suunnatuissa usein kysytyissä kysymyksissä selitetään myös, mitkä yhdysvaltalaiset yritykset voivat liittyä tietosuojakehykseen: mitä tehdä ennen henkilötietojen siirtämistä Yhdysvalloissa sijaitsevalle yritykselle, jolla on tietosuojakehyksen mukainen sertifiointi, ja mistä saa lisäohjeita.
Tietosuojaneuvosto antoi myös lausunnon, jossa hyväksyttiin henkilötietojen käsittelijöiden suorittamaa käsittelytoimien sertifiointia koskeva EuroPriSe-kriteeriluettelo, jonka tuloksena on eurooppalainen tietosuojasinetti.* Eurooppalaiset tietosuojasinetit ovat tärkeitä yleisen tietosuoja-asetuksen noudattamista edistäviä välineitä.
Euroopan tietosuojaneuvosto oli antanut syyskuussa 2022 lausunnon EuroPriSe-sertifiointikriteereistä, joiden avulla ne voitiin tunnustaa Saksassa jalostajien käsittelytoimien sertifiointikriteereiksi. Järjestelmän päivityksen jälkeen tässä uudessa lausunnossa hyväksytään, että perusteita sovelletaan koko EU:ssa/ETA:ssa ja että ne muodostavat Euroopan tietosuojasinetin.
GDPR-sertifiointi edistää vaatimustenmukaisuuden osoittamista ja lisää läpinäkyvyyttä ja luottamusta. Sen avulla voidaan arvioida paremmin henkilötietoja käsittelevien organisaatioiden käyttämien tuotteiden, palvelujen, prosessien tai järjestelmien tarjoaman suojan tasoa.
Huomautus toimittajille:
*EuroPrise European Data Protection Seal lisätään sertifiointimekanismien ja tietosuojasinettien rekisteriin yleisen tietosuoja-asetuksen 42 artiklan 8 kohdan mukaisesti.
Euroopan tietosuojaneuvoston täysistunnossa hyväksytty lausunto EuroPriSe-sertifiointijärjestelmän hyväksymisestä eurooppalaiseksi tietosuojasinetiksi edellyttää tarvittavia oikeudellisia, kielellisiä ja muotoilutarkastuksia, ja se asetetaan saataville Euroopan tietosuojaneuvoston verkkosivustolla sen valmistuttua.
Täällä julkaistu lehdistötiedote on käännetty automaattisesti englanniksi. Tietosuojaneuvosto ei takaa käännöksen oikeellisuutta. Ole hyvä ja tutustu viralliseen tekstiin sen englanninkielisessä versiossa, jos siitä on epäilyksiä.