Bryssel 19. tammikuuta – Euroopan tietosuojaneuvosto hyväksyi viimeisimmässä täysistunnossaan kertomuksen lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta annetun direktiivin (LED) arvioinnin tueksi.
Komission on toimitettava julkinen kertomuksensa* tämän direktiivin arvioinnista ja uudelleentarkastelusta Euroopan parlamentille ja neuvostolle viimeistään 6 päivänä toukokuuta 2026. Tätä varten komissio keräsi Euroopan tietosuojaviranomaisten näkemyksiä lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta annetun direktiivin soveltamisesta ja toiminnasta tammikuun 2022 ja 31. elokuuta 2025 välisenä aikana.**
”Olemme tyytyväisiä Euroopan komission säännöllisiin arviointeihin lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta annetun direktiivin soveltamisesta ja olemme sitoutuneet tarjoamaan asiantuntemustamme näitä arviointeja varten sen varmistamiseksi, että lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta annetussa direktiivissä noudatetaan edelleen tiukkoja tietosuojanormeja lainvalvonnan yhteydessä.”
Euroopan tietosuojaneuvoston puheenjohtaja Anu Talus
Tietosuojaneuvosto helpottaa tietosuojaviranomaisten välistä yhteistyötä ja koordinointia niiden valvoessa lainvalvontakäsittelyä. Tietosuojaneuvoston sihteeristö toimii myös koordinoidun valvontakomitean sihteeristönä, joka varmistaa laaja-alaisten tietojärjestelmien ja EU:n elinten ja virastojen koordinoidun valvonnan lainvalvonnan ja rikosoikeuden alalla.
Euroopan tietosuojaneuvosto korostaa kertomuksessaan lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta annetun direktiivin keskeistä roolia henkilötietojen suojaamisessa lainvalvonnan yhteydessä. Tietosuojaviranomaiset ovat enenevässä määrin neuvoneet toimivaltaisia kansallisia viranomaisia tietoturvaloukkausten lieventämisessä, ja monet tietosuojaviranomaiset ovat myös toteuttaneet tiedotustoimia ja antaneet ohjeita.
Tietosuojaneuvosto panee merkille tietosuojaviranomaisten pyynnön selkeyttää lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta annetun direktiivin soveltamisalaa, erityisesti sen ja yleisen tietosuoja-asetuksen välistä rajaa, ja vastata perusteellisemmin haasteisiin, joita tekoälyn kaltaisten uusien teknologioiden kasvava käyttö lainvalvonta-alalla aiheuttaa. Tietosuojaneuvosto korostaa, että lainvalvontaviranomaisten on käytettävä näitä välineitä noudattaen tiukasti lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta annettua direktiiviä ja varmistettava, että niiden käyttö on välttämätöntä ja oikeasuhteista ja että niihin sovelletaan asianmukaisia suojatoimia.
Tietosuojaneuvoston mukaan direktiivin viimeisimmän arvioinnin jälkeen kehitetyn oikeuskäytännön yhteydessä on olennaisen tärkeää vahvistaa edelleen lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta annetun direktiivin kansallista täytäntöönpanoa kaikkialla Euroopan unionissa. Lisäksi tietosuojavastaavien roolia olisi vahvistettava, jotta voidaan varmistaa tietosuojasääntöjen tehokas ja johdonmukainen soveltaminen lainvalvontatoimissa.
Kertomuksessa todetaan myös, että sekä lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta annetun direktiivin täytäntöönpanosta vastaavien toimivaltaisten viranomaisten että laajemmin lainvalvontaviranomaisten välistä yhteistyötä on parannettava.
Lopuksi tietosuojaneuvosto korostaa, että sekä tietosuojaviranomaiset että tietosuojaneuvosto tarvitsevat lisää taloudellisia ja henkilöresursseja voidakseen hoitaa viimeaikaisista säädöksistä johtuvat uudet tehtävät, mukaan lukien yhteiseen turvallisuuskomiteaan liittyvät vastuut, joiden toimintaan kuuluu nyt myös sellaisten järjestelmien kuin viisumitietojärjestelmän (VIS), Prüm II -järjestelmän ja rajanylitystietojärjestelmän (EES) valvonta.
Tämän jälkeen tietosuojaneuvosto antoi suosituksia hyväksymishakemuksesta sekä henkilötietojen käsittelijöitä koskeviin yritystä koskeviin sitoviin sääntöihin (BCR-P) sisältyvistä seikoista ja periaatteista.
Näillä suosituksilla päivitetään voimassa olevaa BCR-P-viitettä, joka sisältää BCR-P:n hyväksymiskriteerit, ja yhdistetään se BCR-P:n vakiomuotoiseen hakulomakkeeseen.
BCR-P on siirtoväline, jota yritysryhmä tai yritykset voivat käyttää siirtääkseen henkilötietoja Euroopan talousalueen ulkopuolelle samaan ryhmään kuuluville henkilötietojen käsittelijöille. Sitovilla sitovilla säännöillä luodaan täytäntöönpanokelpoisia oikeuksia ja vahvistetaan sitoumukset, joilla vahvistetaan tietosuojan taso, joka vastaa olennaisilta osin yleisessä tietosuoja-asetuksessa säädettyä tasoa.
Uudet suositukset perustuvat sopimuksiin ja kokemuksiin, joita tietosuojaviranomaiset ovat saaneet konkreettisten yritystä koskevien sitovien sääntöjen soveltamista koskevien hakemusten hyväksymismenettelyistä yleisen tietosuoja-asetuksen soveltamisen alkamisen jälkeen, sekä työhön, jota on tehty rekisterinpitäjiä koskevista yritystä koskevista sitovista säännöistä annettujen päivitettyjen suositusten (BCR-C) yhteydessä.
Suosituksissa esitetään selkeät kriteerit ja selitykset sen varmistamiseksi, että yritysryhmien tai yritysten laatimat yrityksiä koskevat sitovat säännöt ovat yleisen tietosuoja-asetuksen mukaisia. Suosituksissa selvennetään, milloin BCR-P:tä voidaan käyttää, eli ainoastaan henkilötietojen käsittelijöiden välisissä ryhmän sisäisissä siirroissa, kun rekisterinpitäjä ei kuulu ryhmään.
Lisäksi suosituksissa selvennetään, että yrityksiä koskevat sitovat säännöt on suunniteltu täyttämään yleisen tietosuoja-asetuksen 28 artiklan 4 kohdan vaatimukset. Tämä tarkoittaa sitä, että BCR-P:tä käyttävän ryhmän sisällä toimivan henkilötietojen käsittelijän ei tarvitse allekirjoittaa erillistä alihankintasopimusta ryhmän kunkin alihankkijana toimivan henkilötietojen käsittelijän kanssa.
Suosituksista järjestetään julkinen kuuleminen 2. maaliskuuta 2026 saakka.
Tietosuojaneuvoston jäsenet keskustelivat myös digitaalista koontiasetusta koskevasta tulevasta yhteisestä lausunnosta, joka on määrä hyväksyä helmikuun täysistunnossa.
Huomautus toimittajille
*Komission toiminnan oikeusperusta on direktiivin (EU) 2016/680 (lainvalvontadirektiivi) 62 artikla, jossa edellytetään, että komissio arvioi direktiivin soveltamista ja raportoi siitä.
**Ks. myös Euroopan komission kertomus lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta annetun direktiivin soveltamisesta (COM(2022) 364 final), johon Euroopan tietosuojaneuvosto osallistui.
Täällä julkaistu lehdistötiedote on käännetty automaattisesti englanniksi. Tietosuojaneuvosto ei takaa käännöksen oikeellisuutta. Ole hyvä ja tutustu viralliseen tekstiin sen englanninkielisessä versiossa, jos siitä on epäilyksiä.