Bryssel 20. lokakuuta – Euroopan tietosuojaneuvosto antoi viimeisimmässä täysistunnossaan kaksi lausuntoa Euroopan komission päätösluonnoksista, jotka koskevat Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen ja lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta annetun direktiivin mukaisten tietosuojan riittävyyttä koskevien päätösten voimassaolon jatkamista joulukuuhun 2031 saakka.*
Tietosuojaneuvoston lausunnoissa, joita komissio on pyytänyt yleisen tietosuoja-asetuksen 70 artiklan 1 kohdan s alakohdan ja lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta annetun direktiivin 51 artiklan 1 kohdan g alakohdan mukaisesti, käsitellään ehdotettua kuuden vuoden jatkoaikaa kahdelle Yhdistyneen kuningaskunnan tietosuojan riittävyyttä koskevalle päätökselle, joiden voimassaolon on määrä päättyä joulukuussa 2025.
Yhdistyneen kuningaskunnan tietosuojan riittävyyttä koskevien päätösten voimassaolon jatkaminen antaa Eurooppaan sijoittautuneille organisaatioille ja toimivaltaisille viranomaisille mahdollisuuden jatkaa tietojen siirtämistä Yhdistyneeseen kuningaskuntaan sijoittautuneille organisaatioille ja viranomaisille ilman lisätakeita.**
”Euroopantietosuojaneuvosto on tyytyväinen Yhdistyneen kuningaskunnan ja Euroopan tietosuojakehyksen jatkuvaan yhdenmukaistamiseen huolimatta viimeaikaisista muutoksista Yhdistyneen kuningaskunnan oikeudellisessa kehyksessä.
Kehotan Euroopan komissiota käsittelemään tietosuojaneuvoston esiin tuomia seikkoja ja varmistamaan tehokkaan seurannan, kun päätökset on hyväksytty. Tämä lisää Yhdistyneen kuningaskunnan tietosuojan riittävyyttä ja lisää oikeusvarmuutta organisaatioille ja toimivaltaisille viranomaisille, jotka siirtävät henkilötietoja Euroopasta Yhdistyneeseen kuningaskuntaan.”
Euroopan tietosuojaneuvoston puheenjohtaja Anu Talus
Tietoa GDPR-lausunnosta
Tietosuojaneuvoston mukaan useimmilla Yhdistyneen kuningaskunnan tietosuojakehykseen tehdyillä muutoksilla pyritään selkeyttämään ja helpottamaan lain noudattamista.
Joitakin päätösluonnoksen näkökohtia voitaisiin selventää edelleen.
Tietosuojaneuvosto kehottaa Euroopan komissiota analysoimaan ja seuraamaan edelleen vuoden 2023 lakiin säilytetystä EU:n lainsäädännöstä (kumoaminen ja uudistaminen) (Retained EU Law (Revocation and Reform) Act 2023), joka tunnetaan myös REUL-säädöksenä, tehtyjä muutoksia, erityisesti EU:n oikeuden ensisijaisuuden periaatteen poistamista ja EU:n oikeuden periaatteiden suoran soveltamisen poistamista.
Tietosuojaneuvosto toteaa, että ministerille on annettu uusia valtuuksia tehdä muutoksia uuteen tietosuojakehykseen toissijaisilla asetuksilla, jotka edellyttävät vähemmän parlamentaarista valvontaa. Tämä koskee kansainvälisiä siirtoja, automaattista päätöksentekoa ja tietosuojavaltuutetun toimiston (ICO) hallintoa. Tietosuojaneuvosto kehottaa komissiota puuttumaan mahdollisiin erojen riskeihin korostamalla tietosuojan riittävyyttä koskevassa lopullisessa päätöksessä aloja, joita ne aikovat seurata huolellisesti.
Tietosuojaneuvosto kannustaa komissiota myös kehittämään edelleen arviointiaan ja seuraamaan Yhdistyneestä kuningaskunnasta kolmansiin maihin tehtäviä siirtoja koskevia sääntöjä. Vuoden 2025 datan käyttöä ja saatavuutta koskevalla lailla (Data (Use and Access) Act 2025) käyttöön otetussa uudessa tietosuojan riittävyyttä koskevassa testissä edellytetään, että kolmannen maan tietosuojan taso ei saa olla olennaisesti alhaisempi kuin Yhdistyneen kuningaskunnan kehyksessä rekisteröityjen tietosuojan taso, mutta testissä ei viitata riskiin viranomaisten pääsystä tietoihin, yksityishenkilöiden käytettävissä oleviin oikeussuojakeinoihin eikä riippumattoman valvontaviranomaisen tarpeeseen.
Komission olisi myös edelleen arvioitava ja seurattava sitä, miten Yhdistyneen kuningaskunnan hallituksen väitetään käyttävän teknisiä valmiuksia koskevia ilmoituksia, joissa yrityksiä vaaditaan kiertämään salausta, koska tämä loisi systeemisiä haavoittuvuuksia ja vaarantaisi sähköisen viestinnän eheyden ja luottamuksellisuuden.
Lopuksi tietosuojaneuvosto kehottaa komissiota arvioimaan ja seuraamaan edelleen ICO:n rakenteeseen tehtäviä muutoksia ja sen korjaavien valtuuksien käyttöä. Tässä yhteydessä tietosuojaneuvosto panee tyytyväisenä merkille ICO:n avoimuuspolitiikan ja sen täytäntöönpanotoimia koskevien tilastollisten ja analyyttisten tietojen saatavuuden.
Uudet tietosuojan riittävyyttä koskevat päätökset täydentävät vuoden 2021 päätöksiä, joita sovelletaan edelleen aloilla, joita vuoden 2025 päätösluonnokset eivät kata. Tietosuojaneuvosto tukeutuu vuoden 2021 lausuntoihinsa (14/2021 ja 15/2021). Erityisesti yleisen tietosuoja-asetuksen kehyksen ja keskeisiä säännöksiä koskevan Yhdistyneen kuningaskunnan oikeudellisen kehyksen tiivis yhdenmukaistaminen, jota korostettiin vuonna 2021, pitää edelleen paikkansa (mukaan lukien esimerkiksi avoimuus, rekisteröityjen oikeudet ja erityiset tietoryhmät).
Tietoja LED-lausunnosta
Tietosuojaneuvosto on tyytyväinen Euroopan ja Yhdistyneen kuningaskunnan tietosuojakehyksen jatkuvaan yhdenmukaistamiseen ja kannustaa komissiota täydentämään arviointiaan kansallista turvallisuutta koskeviin poikkeuksiin liittyvistä näkökohdista. Tällaisilla poikkeuksilla voidaan luopua useimmista tietosuojaperiaatteista ja joistakin lainvalvontaviranomaisten kansainvälisiä siirtoja koskevista säännöistä, mikämyös rajoittaa ICO:n täytäntöönpano- ja tarkastusvaltuuksia.
Tietosuojaneuvosto kehottaa komissiota analysoimaan henkilötietojen siirtoa kolmansiin maihin koskevia Yhdistyneen kuningaskunnan sääntöjä, erityisesti uutta tietosuojan riittävyystestiä, samalla tavalla kuin yleisen tietosuoja-asetuksen lausunnossa.
Tietosuojaneuvosto korostaa myös sallivampaa lähestymistapaa automatisoituun päätöksentekoon ja Secretary of Statelle tässä asiassa annettuja uusia valtuuksia. Se muistuttaa ihmisen suorittaman merkityksellisen uudelleentarkastelun merkityksestä ja kehottaa komissiota selventämään ja seuraamaan mahdollisia poikkeuksia yksilöiden oikeudesta saada ihmisen toimia.
Lopuksi tietosuojaneuvosto toteaa, että rikosoikeudellisten lainvalvontaviranomaisten valvontajärjestelmä ja oikeussuojamekanismit pysyvät suurelta osin muuttumattomina, ja toistaa, että komission on seurattava tiiviisti korjaavien valtuuksien ja oikeussuojakeinojen soveltamista henkilöihin Yhdistyneen kuningaskunnan tietosuojakehyksessä.
Huomautus toimittajille:
* Euroopan komissio antoi 22. heinäkuuta 2025 kaksi ehdotusta täytäntöönpanopäätöksiksi Yhdistyneen kuningaskunnan tarjoaman henkilötietojen suojan riittävyydestä yleisen tietosuoja-asetuksen 45 artiklan 3 kohdan ja lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta annetun direktiivin 36 artiklan 3 kohdan nojalla. Näiden päätösluonnosten tarkoituksena on jatkaa 28. kesäkuuta 2021 tehtyjen aiempien tietosuojan riittävyyttä koskevien päätösten voimassaoloa.
Komissio hyväksyi toukokuussa 2025 päätöksen Yhdistyneen kuningaskunnan tietosuojan riittävyyttä koskevan päätöksen voimassaolon jatkamisesta kuudella kuukaudella kesäkuusta joulukuuhun 2025. Tietosuojaneuvosto antoi lausunnon voimassaolon jatkamisesta toukokuussa 2025.
** Tietosuojan riittävyyttä koskeva päätös on EU:n tietosuojalainsäädännön keskeinen mekanismi, jonka avulla Euroopan komissio voi määrittää, tarjoaako kolmas maa tai kansainvälinen järjestö riittävän tietosuojan tason. Euroopan komissiolla on valtuudet määrittää asetuksen (EU) 2016/679 45 artiklan perusteella, tarjoaako EU:n ulkopuolinen maa riittävän tietosuojan tason.
Tietosuojan riittävyyttä koskevan päätöksen tekeminen edellyttää seuraavaa: 1) Euroopan komission ehdotus; 2) Euroopan tietosuojaneuvoston lausunto; 3) EU-maiden edustajien hyväksyntä; 4) Euroopan komission päätös.
Täällä julkaistu lehdistötiedote on käännetty automaattisesti englanniksi. Tietosuojaneuvosto ei takaa käännöksen oikeellisuutta. Ole hyvä ja tutustu viralliseen tekstiin sen englanninkielisessä versiossa, jos siitä on epäilyksiä.