Bryssel 3. joulukuuta - Euroopan tietosuojaneuvosto julkaisi viimeisimmässä täysistunnossaan yleisen tietosuoja-asetuksen 48 artiklaa koskevat ohjeet tietojen siirtämisestä kolmansien maiden viranomaisille ja hyväksyi uuden eurooppalaisen tietosuojasinetin.
Tietosuojaneuvosto auttaa organisaatioita arvioimaan kolmansien maiden viranomaisten tiedonsiirtopyyntöjä
Hyvin yhteenliitetyssä maailmassa organisaatiot saavat muiden maiden viranomaisilta pyyntöjä jakaa henkilötietoja. Tietojen jakamisesta voi olla apua esimerkiksi todisteiden keräämisessä rikostapauksissa, rahaliikenteen tarkistamisessa tai uusien lääkkeiden hyväksymisessä.
Kun eurooppalainen organisaatio saa pyynnön tietojen siirtämisestä ”kolmannen maan” (eli Euroopan ulkopuolisen maan) viranomaiselta, sen on noudatettava yleistä tietosuoja-asetusta (GDPR).
Tietosuojaneuvosto tarkentaa ohjeissaan yleisen tietosuoja-asetuksen 48 artiklaa ja selventää, miten organisaatiot voivat parhaiten arvioida, millä edellytyksillä ne voivat laillisesti vastata tällaisiin pyyntöihin. Tällä tavoin ohjeet auttavat organisaatioita tekemään päätöksen siitä, voivatko ne siirtää henkilötietoja laillisesti kolmansien maiden viranomaisille, kun niitä pyydetään tekemään niin.
Kolmansien maiden viranomaisten tuomioita tai päätöksiä ei voida automaattisesti tunnustaa tai panna täytäntöön Euroopassa. Jos organisaatio vastaa kolmannen maan viranomaisen esittämään henkilötietopyyntöön, kyseessä on siirto, johon sovelletaan yleistä tietosuoja-asetusta. Kansainvälisessä sopimuksessa voidaan määrätä sekä oikeusperustasta että siirron perusteesta. Jos kansainvälistä sopimusta ei ole tai jos sopimuksessa ei määrätä asianmukaisesta oikeusperustasta tai suojatoimista, voidaan poikkeuksellisissa olosuhteissa ja tapauskohtaisesti harkita muita oikeusperustoja tai muita siirtoperusteita. *
Suuntaviivoista järjestetään julkinen kuuleminen 27. tammikuuta 2025 saakka.
EU:n tietosuojasinetin hyväksyminen
Tietosuojaneuvosto hyväksyi täysistunnossa myös lausunnon, jossa hyväksytään rekisterinpitäjien tai henkilötietojen käsittelijöiden käsittelytoimia koskevat Brand Compliance -sertifiointikriteerit. Syyskuussa 2023 tietosuojaneuvosto antoi jo lausunnon tuotemerkin vaatimustenmukaisuutta koskevien kansallisten sertifiointikriteerien hyväksymisestä ja teki niistä virallisesti tunnustettuja sertifiointikriteereitä Alankomaissa organisaatioiden suorittamaa tietojenkäsittelyä varten. Uuden lausunnon hyväksyminen merkitsee sitä, että näitä kriteerejä sovelletaan nyt kaikkialla Euroopassa ja eurooppalaisena tietosuojasinettinä.
GDPR-sertifiointi auttaa organisaatioita osoittamaan, että ne noudattavat tietosuojalainsäädäntöä. Tämä läpinäkyvyys auttaa ihmisiä luottamaan tuotteeseen, palveluun, prosessiin tai järjestelmään, jossa organisaatiot käsittelevät heidän henkilötietojaan.
Huomautus toimittajille:
* Siirron on oltava yleisen tietosuoja-asetuksen 6 artiklan ja V luvun säännösten mukainen.
Kansainvälisessä sopimuksessa voidaan määrätä sekä yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c tai e alakohdan mukaisesta oikeusperustasta että 46 artiklan 2 kohdan a alakohdan mukaisesta siirtoperusteesta.
Täällä julkaistu lehdistötiedote on käännetty automaattisesti englanniksi. Tietosuojaneuvosto ei takaa käännöksen oikeellisuutta. Ole hyvä ja tutustu viralliseen tekstiin sen englanninkielisessä versiossa, jos siitä on epäilyksiä.