Euroopan tietosuojaneuvosto selventää päätoimipaikan ilmoittamista ja kehottaa EU:n lainsäätäjiä varmistamaan, että CSAM-asetuksessa kunnioitetaan oikeutta yksityisyyteen ja tietosuojaan

14 February 2024

Bryssel 14. helmikuuta –Euroopan tietosuojaneuvosto antoi viimeisimmässä täysistunnossaan lausunnon päätoimipaikan käsitteestä ja keskitetyn asiointipisteen mekanisminsoveltamiskriteereistä Ranskan tietosuojaviranomaisen (DPA)64 artiklan 2 kohdan mukaisesti. Lausunnossa selvennetään rekisterinpitäjän ”päätoimipaikan” käsitettä EU:ssa erityisesti tapauksissa, joissa käsittelyä koskevat päätökset tehdään EU:n ulkopuolella.

Tietosuojaneuvoston puheenjohtaja Anu Talus totesi: ”Päätoimipaikan käsiteon yksi keskitetyn asiointipisteen kulmakivistä. Se on avainasemassa määritettäessä, mikä mahdollinen tietosuojaviranomainen on johtava valvontaviranomainen rajatylittävissä tietosuojatapauksissa. Tietosuojaneuvoston lausunnossa selvennetään tarkemmin edellytyksiä, joilla rekisterinpitäjillä on pääsy keskitettyyn asiointipisteeseen, ja annetaan tietosuojaviranomaisille lisäohjeita määriteltäessä, mikä tietosuojaviranomainen on johtavassa asemassa.” 

Lausunnossaan tietosuojaneuvosto katsoo, että rekisterinpitäjän ”keskushallintoa” EU:ssa voidaan pitää yleisen tietosuoja-asetuksen 4 artiklan 16 kohdan a alakohdan mukaisena päätoimipaikkana vain, jos se tekee päätökset henkilötietojen käsittelyn tarkoituksesta ja keinosta ja jos sillä on valtuudet panna tällaiset päätökset täytäntöön. Tietosuojaneuvosto selittää lisäksi, että keskitetyn asiointipisteen mekanismia voidaan soveltaa vain, jos on näyttöä siitä, että yksi rekisterinpitäjän toimipaikoista unionissa tekee päätöksiä asiaankuuluvien käsittelytoimien tarkoituksista ja keinoista ja sillä on valtuudet panna nämä päätökset täytäntöön. Tämä tarkoittaa sitä, että kun päätökset käsittelyn tarkoituksesta ja keinosta tehdään EU:n ulkopuolella, rekisterinpitäjän päätoimipaikkaa ei pitäisi olla unionissa, minkä vuoksi keskitettyä asiointipistettä ei pitäisi soveltaa.

Tämä lausunto on viimeisin niistä konkreettisista toimista, joita Euroopan tietosuojaneuvosto on toteuttanut rajatylittävää täytäntöönpanoa koskevan Wienin julkilausuman johdosta ja joilla pyritään virtaviivaistamaan tietosuojaviranomaisten välistä täytäntöönpanoa ja yhteistyötä. 

Tämän jälkeen tietosuojaneuvosto antoi julkilausuman lainsäädäntökehityksestä, joka koskee ehdotusta asetukseksi lasten seksuaalisen hyväksikäytön ehkäisemistä ja torjumista koskevista säännöistä. Lausuma on jatkoa Euroopan tietosuojaneuvoston ja tietosuojavaltuutetun yhteiselle lausunnolle Euroopan komission asetusehdotuksesta, ja siinä keskitytään lainsäädännön viimeisimpään kehitykseen, erityisesti Euroopan parlamentin marraskuussa 2023 esittämään kantaan. 

Tietosuojaneuvosto suhtautuu myönteisesti parlamentin ehdottamiin moniin parannuksiin, kuten päästä päähän -salatun viestinnän vapauttamiseen havaitsemismääräyksistä. Tietosuojaneuvosto pahoittelee kuitenkin sitä, että parlamentin ehdottamalla tekstillä ei ilmeisesti täysin ratkaista Euroopan tietosuojaneuvoston ja Euroopan tietosuojavaltuutetun mainitsemia tärkeitä kysymyksiä, jotka liittyvät yksityisen viestinnän yleiseen ja erotuksetta tapahtuvaan seurantaan erityisesti havaitsemismääräysten antamisen osalta. 

Tietosuojaneuvoston puheenjohtaja Anu Talus totesi: ”Lasten seksuaalinen hyväksikäyttö on erityisen hirvittävä rikos ja vaatii tehokkaita ratkaisuja. On tärkeää, että uusi oikeudellinen väline on yksiselitteinen ja että siinä kunnioitetaan yksityisyyttä ja tietosuojaa koskevia perusoikeuksia. Verkkoviestinnän liiallinen saatavuus heikentäisi näitä tärkeitä periaatteita ja voisi itsessään vaikuttaa kielteisesti sekä aikuisten että lasten oikeuksiin ja turvallisuuteen; meidän on oltava hyvin varovaisia teoista, jotka lopulta aiheuttavat enemmän haittaa kuin hyvää. Euroopan tietosuojaneuvosto katsoo, että parlamentin ehdottamalla sanamuodolla olisi annettava asianmukaiset takeet siitä, että havaitsemismääräykset ovat riittävän kohdennettuja, jotta varmistetaan, että se voi suojella uhreja vaikuttamatta suhteettomasti EU:n lainsäädännössä suojattuihin oikeuksiin ja vapauksiin.”

Tietosuojaneuvosto korostaa, että on tärkeää rajoittaa entisestään riskiä siitä, että kyseiset määräykset voivat vaikuttaa henkilöihin, jotka eivät todennäköisesti osallistu lasten seksuaaliseen hyväksikäyttöön liittyviin rikoksiin. Lisäksi tietosuojaneuvosto pitää valitettavana, että havaitsemismääräykset eivät rajoitu viranomaisten jo tiedossa olevaan lasten seksuaaliseen hyväksikäyttöön liittyvään materiaaliin, vaikka uuden CSAM-mekanismin havaitsemiseen käytetyt teknologiat ovat aiemmin osoittautuneet merkittäviksi virhetasoiksi.

Täysistunnossa Euroopan tietosuojaneuvosto keskusteli myös suostumus- tai palkkamalliin liittyvien ohjeiden laajuudesta. Tulevan 64 artiklan 2 kohdan mukaisen lausunnon, jossa käsitellään suostumus- tai maksumallia suurten verkkoalustojen yhteydessä, lisäksi sovittiin, että on tarpeen laatia peräkkäin laajemmat suuntaviivat.

Tietosuojaneuvosto nimitti lisäksi useita edustajia osallistumaan Euroopan komission tietosuojakehyksen arviointiryhmään, digimarkkinasäädöksen 5 artiklan 2 kohtaa käsittelevään digitaalimarkkinasäädöksen korkean tason alaryhmään ja digipalvelusäädöksen iän todentamista käsittelevään työryhmään

Täällä julkaistu lehdistötiedote on käännetty automaattisesti englanniksi. Tietosuojaneuvosto ei takaa käännöksen oikeellisuutta. Ole hyvä ja tutustu viralliseen tekstiin sen englanninkielisessä versiossa, jos siitä on epäilyksiä.