EUROOPAN KOMISSIO
Bryssel 24.6.2020
SWD(2020) 115 final
KOMISSION YKSIKÖIDEN VALMISTELUASIAKIRJA
[…]
Oheisasiakirja
KOMISSION TIEDONANTO EUROOPAN PARLAMENTILLE JA NEUVOSTOLLE
Tietosuojasäännöt kansalaisten vaikutusmahdollisuuksien ja EU:n digitaalisen muutoksen edistäjänä – yleistä tietosuoja-asetusta sovellettu kaksi vuotta
{COM(2020) 264 final}
Sisällys
1
Tausta
2
Yleisen tietosuoja-asetuksen täytäntöönpano ja yhteistyö- ja yhdenmukaisuusmekanismien toimivuus
2.1
Tietosuojaviranomaisten laajennettujen valtuuksien käyttö
Julkista sektoria koskevat kysymykset
Yhteistyö muiden sääntelyviranomaisten kanssa
2.2
Yhteistyö- ja yhdenmukaisuusmekanismit
Yhden luukun järjestelmä
Keskinäinen avunanto
Yhdenmukaisuusmekanismi
Ratkaistavat haasteet
2.3
Neuvot ja ohjeet
Tiedon lisääminen ja tietosuojaviranomaisten tarjoama neuvonta
Euroopan tietosuojaneuvoston ohjeet
2.4
Tietosuojaviranomaisten resurssit
3
Yhdenmukaistetuista säännöistä huolimatta edelleenkin hajanaisuutta ja erilaisia lähestymistapoja
3.1
Yleisen tietosuoja-asetuksen täytäntöönpano jäsenvaltioissa
Merkittävimmät kansalliseen täytäntöönpanoon liittyvät ongelmat
Henkilötietojen suojaa koskevan oikeuden yhteensovittaminen sananvapauden ja tiedonvälityksen vapauden kanssa
3.2
Valinnaista täsmentämistä koskevat lausekkeet ja niiden rajoitukset
Valinnaista täsmentämistä koskevien lausekkeiden käyttöön liittyvä hajanaisuus
4
Kansalaisille paremmat mahdollisuudet valvoa tietojaan
5
Mahdollisuudet ja haasteet organisaatioille ja erityisesti pienille ja keskisuurille yrityksille
Yrityksille tarkoitettu välineistö
6
Yleisen tietosuoja-asetuksen soveltaminen uusiin teknologioihin
7
Kansainväliset siirrot ja maailmanlaajuinen yhteistyö
7.1
Yksityisyys: maailmanlaajuinen kysymys
7.2
Yleisen tietosuoja-asetuksen tiedonsiirtovälineistö
Tietosuojan tason riittävyyttä koskevat päätökset
Asianmukaiset suojatoimet
Poikkeukset
Ulkomaisten tuomioistuinten tai viranomaisten päätökset eivät ole peruste siirroille
7.3
Kansainvälisen yhteistyö tietosuojan alalla
Kahdenvälinen ulottuvuus
Monenvälinen ulottuvuus
Liite I: Valinnaista täsmentämistä koskevat kansallisen lainsäädännön lausekkeet
Liite II: Yleiskatsaus tietosuojaviranomaisten resursseihin
1Tausta
Yleinen tietosuoja-asetus hyväksyttiin kahdeksan vuotta kestäneiden valmistelujen, laatimisen ja toimielinten välisten neuvottelujen tuloksena. Sitä alettiin soveltaa 25. toukokuuta 2018 kahden vuoden siirtymäkauden (toukokuusta 2016 toukokuuhun 2018) jälkeen. Yleisen tietosuoja-asetuksen 97 artiklassa säädetään, että komission on toimitettava kertomukset tämän asetuksen arvioinnista ja uudelleentarkastelusta. Komission on toimitettava ensimmäinen kertomuksensa, kun asetusta on sovellettu kaksi vuotta, ja joka neljäs vuosi sen jälkeen.
Arviointi on myös osa moniulotteista lähestymistapaa, jota komissio noudatti jo ennen yleisen tietosuoja-asetuksen soveltamisen alkamista ja jota se on jatkanut aktiivisesti sen jälkeen. Komissio on tämän lähestymistavan mukaisesti käynyt jäsenvaltioiden kanssa jatkuvasti kahdenvälisiä vuoropuheluja kansallisen lainsäädännön ja yleisen tietosuoja-asetuksen yhteensopivuudesta. Komissio on myös auttanut aktiivisesti Euroopan tietosuojaneuvostoa sen tekemässä työssä antamalla sen käyttöön kokemuksensa ja asiantuntemuksensa. Lisäksi komissio on tukenut tietosuojaviranomaisia ja pitänyt tiiviisti yhteyttä moniin erilaisiin sidosryhmiin asetuksen käytännön soveltamisesta.
Arviointi perustuu tilannekatsaukseen, jonka komissio teki yleisen tietosuoja-asetuksen soveltamisen ensimmäisestä vuodesta ja josta esitettiin yhteenveto heinäkuussa 2019 annetussa tiedonannossa. Arviointi on myös jatkoa yleisen tietosuoja-asetuksen soveltamisesta tammikuussa 2018 annetulle tiedonannolle. Lisäksi komissio on antanut syyskuussa 2018 julkaistut ohjeet henkilötietojen käytöstä vaalien yhteydessä ja huhtikuussa 2020 ohjeet covid-19-pandemian torjuntaa tukevien sovellusten tietosuojasta.
Vaikka tässä arvioinnissa keskitytään yleisen tietosuoja-asetuksen 97 artiklan 2 kohdassa mainittuihin kahteen asiaan eli henkilötietojen kansainvälisiin siirtoihin sekä yhteistyömenettelyyn ja yhdenmukaisuusmekanismiin, siinä tarkastellaan myös eräitä kysymyksiä, joita eri toimijat ovat nostaneet esiin kuluneiden kahden vuoden aikana.
Komissio otti arvioinnin valmistelussa huomioon seuraavista lähteistä saamansa tiedot:
·neuvosto
·Euroopan parlamentti (kansalaisvapauksien sekä oikeus- ja sisäasioiden valiokunta)
·Euroopan tietosuojaneuvosto ja yksittäiset tietosuojaviranomaiset komission lähettämän kyselylomakkeen perusteella
·yleisen tietosuoja-asetuksen soveltamista tukevan monisidosryhmäisen asiantuntijaryhmän jäsenten antama palaute, joka perustui myös komission lähettämään kyselylomakkeeseen
·ja sidosryhmiltä saadut tapauskohtaiset tiedot.
2Yleisen tietosuoja-asetuksen täytäntöönpano ja yhteistyö- ja yhdenmukaisuusmekanismien toimivuus
Yleisellä tietosuoja-asetuksella säädettiin innovatiivisesta hallintojärjestelmästä ja luotiin perusta aidosti eurooppalaiselle tietosuojakulttuurille. Sen tavoitteena on varmistaa paitsi tietosuojaa koskevien sääntöjen yhdenmukainen tulkinta myös niiden yhdenmukainen soveltaminen ja täytäntöönpano. Sen pilareita ovat riippumattomat kansalliset tietosuojaviranomaiset ja äskettäin perustettu Euroopan tietosuojaneuvosto.
Koska tietosuojaviranomaisten asema on keskeinen koko EU:n tietosuojajärjestelmän toiminnan kannalta, komissio valvoo tarkasti niiden tosiasiallista riippumattomuutta ja myös niiden taloudellisten, inhimillisten ja teknisten resurssien riittävyyttä.
Yhteistyö- ja yhdenmukaisuusmekanismien toimivuutta ei voida vielä arvioida kaikilta osin, koska siitä on saatu kokemusta vasta lyhyeltä ajalta. Tietosuojaviranomaiset eivät ole myöskään vielä käyttäneet kaikkia yleisen tietosuoja-asetuksen tarjoamia välineitä yhteistyönsä vahvistamiseksi edelleen.
2.1Tietosuojaviranomaisten laajennettujen valtuuksien käyttö
Yleisessä tietosuoja-asetuksessa säädetään riippumattomista tietosuojaviranomaisista ja annetaan niille yhdenmukaistetut ja laajennetut täytäntöönpanovaltuudet. Yleisen tietosuoja-asetuksen soveltamisen aloittamisen jälkeen nämä viranomaiset ovat käyttäneet monia erilaisia yleisessä tietosuoja-asetuksessa säädettyjä korjaavia toimivaltuuksia. On käytetty hallinnollisia sakkoja (22 EU:n / ETA-alueen viranomaista), varoituksia ja huomautuksia (23), määräyksiä noudattaa rekisteröityjen pyyntöjä (26), määräyksiä saattaa käsittelytoimet yleisen tietosuoja-asetuksen mukaisiksi (27) ja korjaamista, poistamista tai käsittelyn rajoittamista koskevia määräyksiä (17). Noin puolet tietosuojaviranomaisista (13) on määrännyt tilapäisiä tai lopullisia käsittelyä koskevia rajoituksia ja kieltoja. Tämä osoittaa, että kaikkia yleisessä tietosuoja-asetuksessa säädettyjä korjaavia toimenpiteitä on käytetty tietoisesti; tietosuojaviranomaiset eivät ole arkailleet määrätä hallinnollisia sakkoja muiden korjaavien toimenpiteiden lisäksi tai niiden sijaan, kullekin tapaukselle ominaisten seikkojen mukaan.
Hallinnolliset sakot:
EU:n / ETA-alueen tietosuojaviranomaisista 22 määräsi noin 785 sakkoa 25. toukokuuta ja 30. marraskuuta 2019 välisenä aikana. Vain muutama viranomainen ei ole vielä määrännyt minkäänlaisia hallinnollisia sakkoja, mutta ne saattavat määrätä niitä parhaillaan käynnissä olevissa menettelyissä. Suurin osa sakoista liittyi rikkomuksiin, jotka koskivat lainmukaisuuden periaatetta, voimassa olevaa suostumusta, arkaluonteisten tietojen suojelemista, läpinäkyvyyttä koskevaa velvollisuutta, rekisteröityjen oikeuksia ja tietoturvaloukkauksia.
Esimerkkejä tietosuojaviranomaisten määräämistä sakoista:
– 200 000 euroa suoramarkkinoinnista kieltäytymistä koskevan oikeuden noudattamatta jättämisestä Kreikassa
– 220 000 euroa tietojenkäsittely-yritykselle Puolassa, koska se ei ilmoittanut rekisteröidyille, että heidän tietojaan käsitellään
– 250 000 euroa Espanjan jalkapalloliiga LaLigalle älypuhelinsovelluksen rakenteen puutteellisen avoimuuden vuoksi
– 14,5 miljoonaa euroa saksalaiselle kiinteistöyhtiölle tietosuojaperiaatteiden – erityisesti laitonta säilyttämistä koskevan periaatteen – rikkomisen vuoksi
– 18 miljoonaa euroa Itävallan postille erityisten tietoryhmien laajamittaisen laittoman käsittelyn vuoksi
– 50 miljoonaa euroa Googlelle Ranskassa käyttäjien suostumuksen hankkimista koskevien ehtojen vuoksi.
Yleisen tietosuoja-asetuksen tuloksellisuutta ei pitäisi mitata annettujen sakkojen määrällä, koska yleisessä tietosuoja-asetuksessa säädetään muistakin korjaavista toimivaltuuksista. Esimerkiksi käsittelykiellon tai tiedonsiirtojen keskeyttämisen pelotevaikutus voi olla olosuhteista riippuen paljon tehokkaampi.
Julkista sektoria koskevat kysymykset
Yleisen tietosuoja-asetuksen nojalla jäsenvaltiot voivat määrittää, voidaanko julkisille viranomaisille ja elimille määrätä hallinnollisia sakkoja ja missä määrin niitä voidaan määrätä. Jos jäsenvaltiot päättävät käyttää tätä mahdollisuutta, se ei estä tietosuojaviranomaisia käyttämästä kaikkia muita korjaavia toimivaltuuksiaan julkisiin viranomaisiin ja elimiin nähden.
Toinen erityinen kysymys on tuomioistuinten valvonta: vaikka yleistä tietosuoja-asetusta sovelletaan myös tuomioistuinten toimintaan, tuomioistuimet on vapautettu tietosuojaviranomaisten valvonnasta lainkäyttötehtäviensä suorittamisen yhteydessä. Perusoikeuskirjassa ja Euroopan unionin toiminnasta tehdyssä sopimuksessa (SEUT-sopimus) jäsenvaltiot kuitenkin velvoitetaan antamaan näiden tehtävien valvonta jäsenvaltioiden oikeusjärjestelmään kuuluvan riippumattoman elimen tehtäväksi.
Yhteistyö muiden sääntelyviranomaisten kanssa
Komissio tukee heinäkuussa 2019 antamansa tiedonannon mukaisesti vuorovaikutusta muiden sääntelyviranomaisten kanssa kunkin viranomaisen toimivaltuuksia täysin kunnioittaen. Kuluttajansuoja ja kilpailu kuuluvat lupaaviin yhteistyöaloihin. Euroopan tietosuojaneuvosto on ilmaissut olevansa halukas tekemään yhteistyötä muiden sääntelyviranomaisten kanssa digitaalimarkkinoiden keskittymien osalta. Komissio on pannut merkille yksityisyyden suojan ja tietosuojan merkityksen yhtenä kilpailun laadullisista parametreista. Euroopan tietosuojaneuvoston jäsenet ovat osallistuneet kuluttajansuoja-asioiden yhteistyöverkoston yhteisiin työpajoihin, joissa on käsitelty yhteistyötä EU:n kuluttajansuoja- ja tietosuojalainsäädännön täytäntöönpanon parantamiseksi. Tämän toimintamallin avulla edistetään yhteisymmärrystä ja kehitetään käytännön keinoja ratkaista kuluttajien konkreettisia ongelmia erityisesti digitaalitaloudessa.
Tiivis yhteistyö sähköisen viestinnän tietosuojadirektiivin – sähköisen viestinnän alan erityissäädöksen – täytäntöönpanossa toimivaltaisten viranomaisten kanssa on välttämätöntä ennen sähköisen viestinnän tietosuoja-asetuksen hyväksymistä, jotta varmistetaan yhdenmukainen lähestymistapa yksityisyyden suojaan ja tietosuojaan. Tiiviimpi yhteistyö NIS-direktiivin nojalla toimivaltaisten viranomaisten ja NIS-yhteistyöryhmän kanssa hyödyttäisi sekä kyseisiä viranomaisia että tietosuojaviranomaisia.
2.2Yhteistyö- ja yhdenmukaisuusmekanismit
Yleisellä tietosuoja-asetuksella luotiin yhteistyömekanismi (yhden luukun järjestelmä toimijoille, yhteisille operaatioille ja tietosuojaviranomaisten keskinäiselle avunannolle) ja yhdenmukaisuusmekanismi. Niillä edistetään tietosuojamääräysten yhdenmukaista soveltamista Euroopan tietosuojaneuvoston tarjoamien yhdenmukaisten tulkintojen ja ratkaisujen avulla mahdollisissa viranomaisten välisissä erimielisyyksissä.
Kaikki tietosuojaviranomaiset yhteen kokoava Euroopan tietosuojaneuvosto on perustettu EU:n elimeksi. Se on täysin toimintakykyinen oikeushenkilö, jolla on oma sihteeristönsä. Sillä on ratkaisevan tärkeä asema kahden edellä mainitun mekanismin toiminnassa. Tietosuojaneuvosto oli antanut vuoden 2019 loppuun mennessä 67 asiakirjaa, mm. 10 uutta ohjetta ja 43 lausuntoa.
Euroopan tietosuojaneuvoston tärkeä rooli sai alkunsa tarpeesta saada nopeasti yhdenmukaisia tulkintoja yleisestä tietosuoja-asetuksesta ja löytää välittömästi EU:n tasolla sovellettavissa olevia ratkaisuja. Euroopan tietosuojaneuvosto antoi esimerkiksi covid-19-pandemian vuoksi maaliskuussa 2020 henkilötietojen käsittelystä lausunnon, jossa tarkastellaan muun muassa mobiilisijaintitietojen käsittelyn ja käytön lainmukaisuutta tähän pandemiaan liittyvässä tilanteessa. Se antoi huhtikuussa 2020 myös ohjeet terveystietojen käsittelystä tieteellistä tutkimusta varten covid-19-pandemian yhteydessä ja ohjeet sijaintitietojen ja kontaktien jäljitysvälineiden käytöstä covid-19-pandemian yhteydessä. Euroopan tietosuojaneuvosto edisti myös merkittävästi komission ja jäsenvaltioiden tekemää työtä jäljityssovelluksia koskevan EU:n lähestymistavan suunnittelemisessa.
Tietosuojaviranomaisten jokapäiväinen yhteistyö – toimivatpa ne sitten omasta puolestaan tai Euroopan tietosuojaneuvoston jäseninä – perustuu tietojen ja ilmoitusten vaihtamiseen viranomaisten avaamista asioista. Komissio on helpottanut merkittävästi viranomaisten välistä viestintää tuomalla niiden käyttöön tiedonvaihtojärjestelmän. Suurin osa viranomaisista pitää tätä järjestelmää yhteistyö- ja yhdenmukaisuusmekanismien tarpeisiin soveltuvana, vaikka sitä voitaisiin hienosäätää edelleen esimerkiksi käyttäjäystävällisyyttä parantamalla.
Vaikka asiasta on liian varhaista todeta mitään varmaa, havaittavissa on jo useita saavutuksia ja haasteita, jotka on esitelty jäljempänä. Ne osoittavat, että tietosuojaviranomaiset ovat käyttäneet tähän mennessä tehokkaasti yhteistyövälineitä, suosien erityisesti joustavampia ratkaisuja.
Yhden luukun järjestelmä
Yleisesti ottaen jäsenvaltion tietosuojaviranomainen voi osallistua rajatylittäviin tapauksiin joko i) johtavana viranomaisena, kun toimijan päätoimipaikka sijaitsee kyseisessä jäsenvaltiossa, tai ii) asianosaisena viranomaisena, kun toimija on sijoittautunut kyseisen jäsenvaltion alueelle, jos yksilöihin kohdistuu kyseisessä jäsenvaltiossa merkittäviä vaikutuksia tai jos heidän osaltaan on tehty valitus.
Tällaisesta tiiviistä yhteistyöstä on tullut arkipäivää: siitä lähtien, kun yleisen tietosuoja-asetuksen soveltaminen aloitettiin, kaikissa jäsenvaltioissa on jossain vaiheessa määritelty tietosuojaviranomaisia joko johtaviksi viranomaisiksi tai asianosaisiksi viranomaisiksi rajatylittävissä tapauksissa, joskin vaihtelevissa määrin.
Irlannin tietosuojaviranomainen toimi toukokuusta 2018 vuoden 2019 loppuun asti johtavana viranomaisena suurimmassa määrässä rajatylittäviä tapauksia (127). Irlannin perässä tulivat Saksa (92), Luxemburg (87), Ranska (64) ja Alankomaat (45). Tämä järjestys kuvastaa erityisesti Irlannin ja Luxemburgin erityisasemaa, sillä näihin maihin on sijoittautunut useita monikansallisia teknologiayrityksiä.
Asianosaisina tietosuojaviranomaisina osallistumista koskeva järjestys on erilainen: Saksan viranomaiset ovat osallistuneet suurimpaan määrään tapauksia (435), minkä jälkeen tulevat Espanja (337), Tanska (327), Ranska (332) ja Italia (306).
Yhden luukun järjestelmässä käsiteltiin 25.5.2018–31.12.2019 yhteensä 141 päätösehdotusta, joista 79 johti lainvoimaiseen päätökseen. Useiden merkittävien päätösten, joilla on rajatylittävä ulottuvuus ja joihin sovelletaan yhden luukun järjestelmää, käsitteleminen oli kesken tämän kertomuksen julkistamishetkellä. Osa näistä päätöksistä koskee suuria monikansallisia teknologiayrityksiä. Niiden odotetaan selventävän tilannetta ja edistävän yleisen tietosuoja-asetuksen tulkintojen yhdenmukaistamista.
Keskinäinen avunanto
Tietosuojaviranomaiset ovat hyödyntäneet laajasti keskinäisen avunannon välinettä.
Vuoden 2019 loppuun mennessä oli kirjattu 115 keskinäistä avunantomenettelyä. Ne liittyivät erityisesti tutkimusten suorittamiseen. Niitä oli eniten Espanjan (26), Saksan (20), Tanskan (13), Puolan (12) ja Tšekin tasavallan (10) tietosuojaviranomaisilta. Toisaalta eniten pyyntöjä saivat Irlannin (19), Ranskan (11), Itävallan (10), Saksan (10) ja Luxemburgin (9) viranomaiset.
Suurin osa viranomaisista pitää keskinäistä avunantoa erittäin hyödyllisenä yhteistyövälineenä, eivätkä ne ole myöskään kohdanneet mitään erityisiä esteitä keskinäisen avunantomenettelyn täytäntöönpanossa. Vapaaehtoiseen keskinäiseen avunantoon liittyvää tietojenvaihtoa, johon ei liity lakisääteistä määräaikaa tai ankaraa vastausvelvollisuutta, on käytetty useammin, yhteensä 2 427 menettelyssä. Irlannin tietosuojaviranomainen vastaanotti ja lähetti eniten keskinäistä avunantoa koskevia pyyntöjä (527 lähetettyä ja 359 vastaanotettua pyyntöä). Sen perässä tulivat Saksan viranomaiset (260 lähetettyä ja 356 vastaanotettua pyyntöä).
Toisaalta vielä ei ole suoritettu yhteisiä operaatioita, joissa tietosuojaviranomaiset useista eri jäsenvaltioista voisivat osallistua jo tutkimusten tasolla rajatylittäviin tapauksiin. Euroopan tietosuojaneuvostossa pohditaan parhaillaan tämän välineen käytännön täytäntöönpanoa ja sitä, miten sen käyttöä voitaisiin edistää.
Yhdenmukaisuusmekanismi
Tähän mennessä on käytetty ainoastaan yhdenmukaisuusmekanismin ensimmäistä vaihetta eli Euroopan tietosuojaneuvoston antamia lausuntoja. Sen sijaan tietosuojaneuvoston kiistanratkaisumenettelyä tai kiireellistä menettelyä ei ole vielä käytetty.
Euroopan tietosuojaneuvosto antoi 25.5.2018–31.12.2019 välisenä aikana 36 lausuntoa, jotka liittyivät jonkin sen jäsenen hyväksymiin toimenpiteisiin. Suurin osa lausunnoista (31) käsitteli tietosuojaa koskevaa vaikutustenarviointia edellyttävien käsittelytoimien kansallisten luettelojen hyväksymistä. Kaksi lausuntoa koski yritystä koskevia sitovia sääntöjä, kaksi muuta lausuntoa käytännesääntöjen valvontaelintä koskevien akkreditointivaatimusten luonnosta ja yksi lausunto vakiosopimuslausekkeita.
Lisäksi Euroopan tietosuojaneuvosto antoi pyynnöstä kuusi muuta lausuntoa. Näistä lausunnoista kolme koski kansallisia luetteloja käsittelytoimista, jotka eivät edellytä tietosuojaa koskevaa vaikutustenarviointia. Muut lausunnot koskivat hallinnollista järjestelyä henkilötietojen siirtämiseksi ETA-alueen sisäisten ja ulkopuolisten finanssivalvontaviranomaisten välillä. Ne koskivat myös sähköisen viestinnän tietosuojadirektiivin ja yleisen tietosuoja-asetuksen välistä vuorovaikutusta ja valvontaviranomaisen toimivaltuuksia tilanteessa, jossa päätoimipaikkaa tai ainoaa toimipaikkaa koskevat olosuhteet muuttuvat.
Ratkaistavat haasteet
Vaikka tietosuojaviranomaiset ovat tehneet hyvin aktiivisesti yhteistyötä Euroopan tietosuojaneuvoston kanssa ja käyttävät jo nykyisin intensiivisesti keskinäisen avunannon yhteistyövälinettä, aidosti yhteisen tietosuojakulttuurin rakentaminen on vielä kesken.
Erityisesti maiden rajat ylittävien tapausten käsittely edellyttää tehokkaampaa ja yhdenmukaisempaa lähestymistapaa ja kaikkien yleisessä tietosuoja-asetuksessa säädettyjen yhteistyövälineiden tehokasta käyttöä. Tästä asiasta ollaan hyvin laajasti yksimielisiä, sillä Euroopan parlamentti, neuvosto, Euroopan tietosuojavaltuutettu, sidosryhmät (monisidosryhmäisessä asiantuntijaryhmässä ja muualla) ja tietosuojaviranomaiset ovat ottaneet sen esille eri tavoin.
Tärkeimmät tähän liittyvät ratkaistavat ongelmat koskevat eroja
·kansallisissa hallinnollisissa menettelyissä, erityisesti valitusten käsittelymenettelyissä, valitusten tutkittaviksi ottamisen perusteissa, menettelyjen kestossa erilaisten aikataulujen tai määräaikojen puuttumisen vuoksi, menettelyn vaiheessa, jossa myönnetään oikeus tulla kuulluksi, sekä valituksen esittäjien tiedonsaannissa ja osallistumisessa menettelyn aikana
·yhteistyömekanismiin liittyvien seikkojen ja käsitteiden tulkinnassa; näitä ovat esimerkiksi asiaankuuluvat tiedot, käsitteet ’viipymättä’ ja ’valitus’, johtavan tietosuojaviranomaisen ’päätösehdotukseksi’ määritelty asiakirja ja sovintoratkaisu (erityisesti sovintoratkaisuun johtava menettely ja sovitteluratkaisun oikeudellinen muoto)
·toimintatavassa sen suhteen, milloin yhteistyömenettely aloitetaan, miten asianosaisia tietosuojaviranomaisia osallistetaan ja miten heille tiedotetaan. Valituksen tekijöille on myös epäselvää, miten heidän asiansa käsitellään maiden rajat ylittävissä tilanteissa. Tätä korostivat useat monisidosryhmäisen asiantuntijaryhmän jäsenet. Lisäksi yritykset mainitsivat, että kansalliset tietosuojaviranomaiset eivät tietyissä tapauksissa ohjaa asioita johtavalle tietosuojaviranomaisille vaan käsittelevät ne paikallisina asioina.
Komissio suhtautuu myönteisesti Euroopan tietosuojaneuvoston ilmoitukseen siitä, että se on alkanut pohtia, miten nämä huolenaiheet voitaisiin ratkaista. Euroopan tietosuojaneuvosto on erityisesti ilmoittanut, että se aikoo selventää johtavan tietosuojaviranomaisen ja asianosaisten tietosuojaviranomaisten väliseen yhteistyöhön kuuluvia menettelyvaiheita, analysoida kansalliset hallintomenettelylait, pyrkiä kohti keskeisten käsitteiden yhteistä tulkintaa ja vahvistaa viestintää ja yhteistyötä (myös yhteisiä operaatioita). Euroopan tietosuojaneuvoston pohdinnan ja analyysin odotetaan johtavan tehokkaampien työskentelyjärjestelyjen kehittämiseen rajatylittävissä tilanteissa, muun muassa sen jäsenten asiantuntemuksen pohjalta ja vahvistamalla sen sihteeristön osallistumista. Lisäksi olisi pantava merkille, että Euroopan tietosuojaneuvostoa ei voida vapauttaa sen velvollisuudesta varmistaa yleisen tietosuoja-asetuksen yhdenmukainen täytäntöönpano pelkästään löytämällä pienin mahdollinen yhteinen nimittäjä.
Lisäksi Euroopan tietosuojaneuvoston on EU:n elimenä sovellettava EU:n hallintolainsäädäntöä ja varmistettava päätöksentekomenettelyn avoimuus.
2.3Neuvot ja ohjeet
Tiedon lisääminen ja tietosuojaviranomaisten tarjoama neuvonta
Useat tietosuojaviranomaiset ovat luoneet uusia välineitä, kuten yksilöille ja yrityksille tarkoitettuja auttavia puhelimia ja yrityksille tarkoitettuja välineistöjä. Monet toimijat suhtautuvat myönteisesti siihen, että nämä viranomaiset ovat antaneet käytännönläheistä tukea yleisen tietosuoja-asetuksen soveltamisessa. Useat viranomaisista ovat tehneet aktiivista ja tiivistä yhteistyötä ja viestineet tietosuojavastaavien kanssa muun muassa tietosuojavastaavien yhdistysten välityksellä. Monet viranomaiset ovat myös antaneet ohjeita tietosuojavastaavien roolista ja velvollisuuksista tietosuojavastaavien tukemiseksi heidän päivittäisessä toiminnassaan ja järjestäneet erityisesti tietosuojavastaavia varten suunniteltuja seminaareja. Kaikki tietosuojaviranomaiset eivät ole kuitenkaan toimineet näin.
Sidosryhmiltä saadussa palautteessa huomautetaan toisaalta myös monista ohjeisiin ja neuvoihin liittyvistä ongelmista, kuten:
·yhdenmukaisen toimintatavan ja yhdenmukaisten ohjeiden puuttuminen tietyissä asioissa (esim. evästeiden, oikeutetun edun käsitteen soveltamisen, tietoturvaloukkauksista ilmoittamisen tai tietosuojaa koskevien vaikutustenarviointien osalta) kansallisten tietosuojaviranomaisten välillä tai jopa saman jäsenvaltion tietosuojaviranomaisten kesken (esim. Saksassa rekisterinpitäjän ja henkilötietojen käsittelijän käsitteiden suhteen);
·kansallisella tasolla annettujen ohjeiden ja Euroopan tietosuojaneuvoston antamien ohjeiden väliset ristiriidat;
·julkisten kuulemisten järjestämättä jättäminen tiettyjen kansallisella tasolla annettujen ohjeiden osalta;
·tietosuojaviranomaisten vaihteleva vuorovaikutus sidosryhmien kanssa;
·tietopyyntöihin vastaamiseen liittyvät viiveet;
·vaikeudet saada käytännöllisiä ja arvokkaita neuvoja tietosuojaviranomaisilta;
·tarve lisätä joidenkin tietosuojaviranomaisten alakohtaista asiantuntemusta (esim. terveydenhuolto- ja lääkealalla).
Monet näistä kysymyksistä liittyvät myös useiden tietosuojaviranomaisten puutteellisiin resursseihin (ks. jäljempänä).
Eroja tietoturvaloukkauksista ilmoittamisen käytännöissä
Vaikka neuvosto nostaa esille tällaisista ilmoituksista aiheutuvan rasitteen, niiden määrissä on merkittäviä eroja jäsenvaltioiden välillä: toukokuun 2018 ja marraskuun lopun 2019 välillä suurimmassa osassa jäsenvaltioita tietoturvaloukkauksista tehtyjen ilmoitusten kokonaismäärä oli alle 2 000 ja seitsemässä jäsenvaltiossa 2 000–10 000, kun taas Alankomaiden tietosuojaviranomaiset tekivät 37 400 ilmoitusta ja Saksan viranomaiset 45 600 ilmoitusta.
Tämä saattaa viitata säännösten epäyhdenmukaiseen tulkintaan ja täytäntöönpanoon, vaikka tietoturvaloukkauksia koskevista ilmoituksista on annettu ohjeet EU:n tasolla.
Euroopan tietosuojaneuvoston ohjeet
Euroopan tietosuojaneuvosto on antanut yli 20 ohjetta yleisen tietosuoja-asetuksen keskeisistä seikoista. Nämä ohjeet ovat olennaisia välineitä yleisen tietosuoja-asetuksen yhdenmukaisen soveltamisen kannalta, minkä vuoksi sidosryhmät ovat suhtautuneet niihin enimmäkseen myönteisesti. Sidosryhmät ovat arvostaneet järjestelmällisiä (6–8 viikon) julkisia kuulemisia. Ne toivovat kuitenkin lisää vuoropuhelua tietosuojaneuvoston kanssa. Tässä yhteydessä olisi jatkettava ja laajennettava käytäntöä järjestää tietyistä aiheista työpajoja ennen ohjeiden laatimista. Näin varmistetaan Euroopan tietosuojaneuvoston työn läpinäkyvyys, osallistavuus ja merkityksellisyys. Sidosryhmät pyytävät myös, että kiistanalaisimpien asioiden tulkintaa käsiteltäisiin yleisen tietosuoja-asetuksen 64 artiklan 2 kohdan mukaisten lausuntojen sijaan ohjeissa, koska niistä on järjestettävä julkinen kuuleminen. Jotkin sidosryhmät ovat myös pyytäneet käytännönläheisempiä ohjeita, joissa kerrottaisiin yksityiskohtaisesti yleisen tietosuoja-asetuksen käsitteiden ja säännösten soveltamisesta. Monisidosryhmäisen asiantuntijaryhmän jäsenet korostavat konkreettisempien esimerkkien tarvetta, jotta voidaan vähentää mahdollisimman paljon toisistaan poikkeavia tulkintoja eri tietosuojaviranomaisten välillä. Yleisen tietosuoja-asetuksen soveltamisen selventämistä ja oikeusvarmuuden varmistamista koskevien pyyntöjen ei pitäisi kuitenkaan johtaa lisävaatimuksiin tai heikentää riskiperusteisen lähestymistavan ja osoitusvelvollisuuden periaatteen tuomia etuja.
Sidosryhmät toivoisivat Euroopan tietosuojaneuvostolta lisäohjeita muun muassa seuraavista asioista: rekisteröityjen oikeuksien soveltamisala (myös työhön liittyen), oikeutettuun etuun perustuvasta käsittelystä annetun lausunnon saattaminen ajan tasalle, rekisterinpitäjää, yhteisrekisterinpitäjää ja henkilötietojen käsittelijää koskevat käsitteet ja tarvittavat osapuolten väliset järjestelyt, yleisen tietosuoja-asetuksen soveltaminen uusiin teknologioihin (kuten lohkoketju ja tekoäly), tieteelliseen tutkimukseen liittyvä käsittely (myös kansainvälisessä yhteistyössä), lasten tietojen käsittely, pseudonymisoiminen ja anonymisoiminen ja terveystietojen käsittely.
Euroopan tietosuojaneuvosto on jo ilmoittanut, että se antaa ohjeet monista näistä aiheista ja että työ on jo aloitettu monen aiheen osalta (esim. oikeutetun edun soveltaminen käsittelyn laillisena perusteena).
Sidosryhmät pyytävät tietosuojaneuvostoa päivittämään ja tarkistamaan nykyisiä ohjeita tarpeen mukaan, ottamaan tässä huomioon niiden julkaisemisen jälkeen saadut kokemukset ja hyödyntämään tilaisuuden käsitellä asioita tarvittaessa yksityiskohtaisemmin.
2.4Tietosuojaviranomaisten resurssit
Kaikille tietosuojaviranomaisille on annettava tarvittavat inhimilliset, tekniset ja taloudelliset resurssit, toimitilat ja infrastruktuuri, jotta ne voivat hoitaa tehtävänsä tehokkaasti ja käyttää toimivaltaansa. Nämä resurssit ovat näin ollen välttämättömiä tietosuojaviranomaisten riippumattomuuden varmistamiseksi.
Suurin osa tietosuojaviranomaisista on saanut lisää henkilöstöä ja resursseja yleisen tietosuoja-asetuksen tultua voimaan vuonna 2016. Monet niistä katsovat kuitenkin yhä, ettei niillä ole riittäviä resursseja.
Kansallisten tietosuojaviranomaisten henkilöstön määrä
ETA-alueen tietosuojaviranomaisten henkilöstön kokonaismäärä kasvoi yhteensä 42 prosenttia vuosina 2016–2019 (62 prosenttia, jos huomioon otetaan vuoden 2020 ennuste).
Useimpien viranomaisten henkilöstön määrä kasvoi tällä ajanjaksolla. Kasvu oli (prosentuaalisesti) suurinta Irlannin (+169 prosenttia), Alankomaiden (+145 prosenttia), Islannin (+143 prosenttia), Luxemburgin (+126 prosenttia) ja Suomen (+114 prosenttia) viranomaisissa. Toisaalta henkilöstön määrä väheni useissa tietosuojaviranomaisissa. Vähentymistä tapahtui eniten Kreikassa (-15 prosenttia), Bulgariassa (-14 prosenttia), Virossa (-11 prosenttia), Latviassa (-10 prosenttia) ja Liettuassa (-8 prosenttia). Joissakin viranomaisissa henkilöstön väheneminen johtui myös siitä, että tietosuoja-asiantuntijat siirtyivät yksityiselle sektorille houkuttelevampien tarjousten perässä.
Yleisesti ottaen vuoden 2020 ennusteen mukaan henkilöstön määrä kasvaa vuoteen 2019 verrattuna, lukuun ottamatta Itävallan, Bulgarian, Italian, Ruotsin ja Islannin (joissa henkilöstön määrän odotetaan pysyvän vakaana) sekä Kyproksen ja Tanskan (joissa henkilöstön määrän odotetaan vähentyvän) viranomaisia.
Saksan tietosuojaviranomaisilla on yhteensä eniten henkilöstöä (888 vuonna 2019 / 1 002 vuoden 2020 ennusteessa). Saksan perässä tulevat Puolan (238/260), Ranskan (215/225), Espanjan (170/220), Alankomaiden (179/188), Italian (170/170) ja Irlannin (140/176) tietosuojaviranomaiset.
Vähiten henkilöstöä on Kyproksen (24/22), Latvian (19/31), Islannin (17/17), Viron (16/18) ja Maltan (13/15) tietosuojaviranomaisissa.
Kansallisten tietosuojaviranomaisten talousarvio
ETA-alueen tietosuojaviranomaisten yhteenlasketut talousarviot kasvoivat yhteensä 49 prosenttia vuosina 2016–2019 (64 prosenttia, jos huomioon otetaan vuoden 2020 ennuste).
Useimpien viranomaisten talousarvio kasvoi tämän ajanjakson aikana. Kasvu oli (prosentuaalisesti) suurinta Irlannin (+223 prosenttia), Islannin (+167 prosenttia), Luxemburgin (+165 prosenttia), Alankomaiden (+130 prosenttia) ja Kyproksen (+114 prosenttia) viranomaisten osalta. Toisaalta joidenkin viranomaisten talousarvio kasvoi vain vähän. Kasvu oli pienintä Viron (7 prosenttia), Latvian (4 prosenttia), Romanian (3 prosenttia) ja Belgian (1 prosentti) tietosuojaviranomaisten osalta, kun taas Ranskan tietosuojaviranomaisen talousarvio supistui (-2 prosenttia).
Yleisesti ottaen vuoden 2020 ennusteen mukaan talousarviot kasvavat vuoteen 2019 verrattuna, lukuun ottamatta Itävallan, Bulgarian, Viron ja Alankomaiden viranomaisia (joiden talousarvioiden odotetaan pysyvän vakaina).
Suurimmat tietosuojaviranomaisten talousarviot ovat Saksassa (76,6 miljoonaa euroa vuonna 2019 / 85,8 miljoonaa euroa vuoden 2020 ennusteessa), Italiassa (29,1/30,1), Alankomaissa (18,6/18,6), Ranskassa (18,5/20,1) ja Irlannissa (15,2/16,9).
Pienimmät talousarviot ovat Kroatiassa (1,2 miljoonaa euroa vuonna 2019 / 1,4 miljoonaa euroa vuoden 2020 ennusteessa), Romaniassa (1,1/1,3), Latviassa (0,6/1,2), Kyproksessa (0,5/0,5) ja Maltassa (0,5/0,6).
Liitteessä II olevassa taulukossa esitetään yleiskatsaus kansallisten tietosuojaviranomaisten inhimillisistä ja taloudellisista resursseista.
Sen lisäksi, että resurssien puute vaikuttaa tietosuojaviranomaisten valmiuksiin panna sääntöjä täytäntöön kansallisella tasolla, se rajoittaa myös tietosuojaviranomaisten valmiuksia osallistua yhteistyö- ja yhdenmukaisuusmekanismeihin ja Euroopan tietosuojaneuvoston työhön ja edistää niitä. Kuten tietosuojaneuvosto on korostanut, yhden luukun järjestelmän onnistuminen riippuu ajasta ja resursseista, jotka tietosuojaviranomaiset voivat osoittaa yksittäisten rajatylittävien asioiden käsittelemiselle ja niihin liittyvälle yhteistyölle. Resurssikysymystä vaikeuttaa viranomaisten entistä suurempi rooli kehitettävinä olevien laajamittaisten tietoteknisten järjestelmien valvonnassa. Lisäksi Irlannin ja Luxemburgin tietosuojaviranomaisilla on erityisiä resurssitarpeita, koska niillä on rooli yleisen tietosuoja-asetuksen täytäntöönpanosta vastaavina johtavina viranomaisina enimmäkseen näissä jäsenvaltioissa sijaitseviin suuriin teknologiayrityksiin nähden.
Neuvosto huomauttaa yhteistyömekanismin ja sen määräaikojen vaikutuksista tietosuojaviranomaisten työhön, mutta jäsenvaltioiden on tarjottava yleisen tietosuoja-asetuksen mukaan kansallisille tietosuojaviranomaisilleen riittävät inhimilliset, taloudelliset ja tekniset resurssit.
Euroopan tietosuojavaltuutetun järjestämä Euroopan tietosuojaneuvoston sihteeristö koostuu tällä hetkellä 20 henkilöstä. Heidän joukossaan on lainsäädännön, tietotekniikan ja viestinnän asiantuntijoita. On arvioitava, onko sihteeristön henkilöstön määrää lisättävä tulevaisuudessa, jotta sihteeristö voi hoitaa tehokkaasti tehtävänsä, joka on analyyttisen, hallinnollisen ja logistisen tuen antaminen tietosuojaneuvostolle ja sen alaryhmille muun muassa hallinnoimalla tietojenvaihtojärjestelmää.
3Yhdenmukaistetuista säännöistä huolimatta edelleenkin hajanaisuutta ja erilaisia lähestymistapoja
Yleinen tietosuoja-asetus tarjoaa koko EU:lle yhdenmukaisen lähestymistavan tietosuojasääntöihin. Sillä korvattiin erilaiset kansalliset järjestelyt, jotka olivat voimassa vuoden 1995 tietosuojadirektiivin nojalla.
3.1Yleisen tietosuoja-asetuksen täytäntöönpano jäsenvaltioissa
Yleinen tietosuoja-asetus on ollut suoraan sovellettavaa lainsäädäntöä kaikissa jäsenvaltioissa 25. toukokuuta 2018 alkaen. Se velvoittaa jäsenvaltiot antamaan lainsäädäntöä ja erityisesti määrittämään kansalliset tietosuojaviranomaiset ja niiden jäseniä koskevat yleiset edellytykset sen varmistamiseksi, että kukin viranomainen voi suorittaa tehtävänsä ja käyttää toimivaltuuksiaan täysin riippumattomasti yleisen tietosuoja-asetuksen mukaisesti. Lakisääteiset velvoitteet ja julkiset tehtävät voivat olla oikeusperusta henkilötietojen käsittelylle vain siinä tapauksessa, että niistä on säädetty (unionin tai) jäsenvaltion lainsäädännössä. Lisäksi jäsenvaltioiden on vahvistettava rangaistuksia koskevat säännöt erityisesti sellaisten rikkomusten osalta, joista ei määrätä hallinnollisia sakkoja, ja sovitettava yhteen oikeus henkilötietojen suojaan ja sananvapaus ja tiedonvälityksen vapaus. Kansallisessa lainsäädännössä voidaan myös säätää oikeusperustasta, joka mahdollistaa vapautuksen erityisten henkilötietojen ryhmien yleisestä käsittelykiellosta esimerkiksi kansanterveyteen liittyvän merkittävän yleisen edun vuoksi. Tällainen yleinen etu voi liittyä esimerkiksi vakavilta maiden rajat ylittäviltä terveysuhkilta suojelemiseen. Lisäksi jäsenvaltioiden on varmistettava sertifiointielinten akkreditointi.
Komissio seuraa yleisen tietosuoja-asetuksen saattamista osaksi kansallista lainsäädäntöä. Kaikki jäsenvaltiot Sloveniaa lukuun ottamatta ovat hyväksyneet tämän kertomuksen laatimishetkellä uutta tietosuojalainsäädäntöä tai mukauttaneet lainsäädäntöään tällä alalla. Komissio on pyytänyt Sloveniaa toimittamaan selvityksen maan tähän mennessä saavuttamasta edistyksestä ja kehottanut sitä saattamaan tämän prosessin päätökseen.
Lisäksi komission koordinoimassa Schengenin säännöstön arviointimekanismissa arvioidaan, onko kansallinen lainsäädäntö Schengenin säännöstöä koskevien tietosuojasääntöjen mukaista. Komissio ja jäsenvaltiot arvioivat yhdessä, miten maat panevat Schengenin säännöstön täytäntöön ja soveltavat sitä eri aloilla. Tietosuojan osalta tämä koskee suuria tietoteknisiä järjestelmiä, kuten Schengenin tietojärjestelmää ja Via-tietojärjestelmää, ja arviointi kattaa tietosuojaviranomaisten roolin näissä järjestelmissä tapahtuvan henkilötietojen käsittelyn valvonnassa.
Alakohtaisten lakien mukauttaminen on yhä kesken kansallisella tasolla. Sen jälkeen, kun yleinen tietosuoja-asetus sisällytettiin Euroopan talousalueesta tehtyyn sopimukseen, sitä alettiin soveltaa myös Norjassa, Islannissa ja Liechtensteinissa. Nämä maat ovat myös mukauttaneet kansallista tietosuojalainsäädäntöään.
Komissio aikoo hyödyntää kaikkia käytössään olevia välineitä, myös rikkomusmenettelyjä, varmistaakseen, että jäsenvaltiot noudattavat yleistä tietosuoja-asetusta.
Merkittävimmät kansalliseen täytäntöönpanoon liittyvät ongelmat
Meneillään on kansallisen lainsäädännön arviointi ja kahdenväliset keskustelut jäsenvaltioiden kanssa. Niiden yhteydessä on tähän mennessä havaittu erityisesti seuraavia ongelmia:
·yleisen tietosuoja-asetuksen soveltamiseen liittyvät rajoitukset: jotkin jäsenvaltiot ovat esimerkiksi sulkeneet kokonaan pois kansallisen parlamentin toimet;
·erot kansallisten täsmentävien säädösten sovellettavuudessa: jotkin jäsenvaltiot kytkevät kansallisen lainsäädäntönsä sovellettavuuden paikkaan, jossa tavaroita tai palveluja tarjotaan, kun taas toiset kytkevät sen rekisterinpitäjän tai henkilötietojen käsittelijän sijoittautumispaikkaan. Tämä on vastoin yleisen tietosuoja-asetuksen tavoitteena olevaa yhdenmukaistamista;
·kansalliset säädökset, jotka herättävät kysymyksiä tietosuojaa koskevaan oikeuteen puuttumisen oikeasuhtaisuudesta. Komissio on esimerkiksi käynnistänyt rikkomusmenettelyn tapauksessa, jossa jäsenvaltio on antanut lainsäädäntöä, jossa edellytetään tuomareiden antavan tarkkoja tietoja ammattinsa ulkopuolisesta toiminnastaan. Tämä on ristiriidassa yksityiselämän kunnioittamista koskevan oikeuden ja henkilötietojen suojaa koskevan oikeuden kanssa;
·tuomioistuinten lainkäyttötehtäviensä yhteydessä suorittaman tietojen käsittelyn valvonnasta vastaavan riippumattoman elimen puuttuminen;
·lainsäädännön antaminen aloilla, jotka kuuluvat täysin yleisen tietosuoja-asetuksen soveltamisalaan eivätkä sallittujen täsmennysten tai rajoitusten alaan. Tämä koskee erityisesti tilanteita, joissa kansallisissa säännöksissä määritellään ehtoja käsittelylle oikeutetun edun perusteella tasapainottamalla rekisterinpitäjän ja asianosaisten henkilöiden väliset edut, vaikka yleisessä tietosuoja-asetuksessa velvoitetaan kaikki rekisterinpitäjät huolehtimaan tästä tasapainottamisesta tapauskohtaisesti ja hyödyntämään sitä oikeusperustaa;
·täsmennykset ja lisävaatimukset, joissa on kyse käsittelystä, joka ulottuu lakisääteisen velvoitteen noudattamista tai julkisen tehtävän suorittamista pidemmälle (esim. videovalvonta yksityisellä sektorilla tai suoramarkkinointi), tai yleisessä tietosuoja-asetuksessa käytetyistä käsitteistä (esim. ’laajamittainen’ tai ’poistaminen’).
Unionin tuomioistuin saattaa selventää joitakin näistä kysymyksistä asioissa, joiden käsittely on vielä kesken.
Henkilötietojen suojaa koskevan oikeuden yhteensovittaminen sananvapauden ja tiedonvälityksen vapauden kanssa
Yksi erityinen kysymys liittyy jäsenvaltioiden velvollisuuteen sovittaa lainsäädännöllisesti yhteen henkilötietojen suojaa koskeva oikeus ja sananvapaus ja tiedonvälityksen vapaus. Tämä on erittäin monimutkainen asia, koska arvioitaessa näiden perusoikeuksien tasapainotusta huomioon on otettava myös lehdistöä ja tiedotusvälineitä koskevan lainsäädännön säännökset ja suojatoimet.
Jäsenvaltioiden lainsäädännön arviointi osoittaa, että henkilötietojen suojaa koskevan oikeuden yhteensovittamiseen sananvapauden ja tiedonvälityksen vapauden kanssa sovelletaan erilaisia lähestymistapoja:
·Osa jäsenvaltioista on vahvistanut periaatteen sananvapauden ensisijaisuudesta tai myöntänyt periaatteellisen vapautuksen kokonaisten yleisen tietosuoja-asetuksen 85 artiklan 2 kohdassa mainittujen lukujen soveltamisesta, jos käsittely tapahtuu journalistisia tarkoituksia tai akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten. Tiedotusvälineitä koskevassa lainsäädännössä on säädetty joistakin rekisteröityjen oikeuksia koskevista suojatoimista.
·Joissakin jäsenvaltioissa on säädetty henkilötietojen suojan ensisijaisuudesta ja myönnetty vapautus tietosuojasääntöjen soveltamisesta vain tietyissä tilanteissa esimerkiksi silloin, jos on kyse julkisuuden henkilöstä.
·Joissakin jäsenvaltioissa taas on säädetty lainsäätäjän suorittamasta eri oikeuksien tasapainottamisesta ja/tai tapauskohtaisesta arvioinnista, kun on kyse eräiden yleisen tietosuoja-asetuksen säännösten soveltamista koskevista poikkeuksista.
Komissio jatkaa kansallisen lainsäädännön arviointia perusoikeuskirjan vaatimusten pohjalta. Eri oikeuksien ja vapauksien yhteensovittamisesta on säädettävä lailla näiden perusoikeuksien keskeistä sisältöä kunnioittaen, ja sen on oltava tavoitteen kannalta oikeasuhteista ja välttämätöntä (perusoikeuskirjan 52 artiklan 1 kohta). Tietosuojaa koskevat säännöt eivät saisi vaikuttaa sananvapauteen ja tiedonvälityksen vapauteen tukahduttavasti tai siten, että niitä tulkittaisiin keinona painostaa toimittajia paljastamaan lähteensä.
3.2Valinnaista täsmentämistä koskevat lausekkeet ja niiden rajoitukset
Yleisessä tietosuoja-asetuksessa annetaan jäsenvaltioille mahdollisuus täsmentää asetuksen soveltamista tietyillä aloilla. Tämä kansallisen lainsäädännön liikkumavara on erotettava velvollisuudesta panna täytäntöön tietyt muut yleisen tietosuoja-asetuksen säännökset, kuten edellä on mainittu. Valinnaista täsmentämistä koskevat lausekkeet on lueteltu liitteessä I.
Jäsenvaltioiden lainsäädännölliseen liikkumavaraan sovelletaan yleisessä tietosuoja-asetuksessa säädettyjä ehtoja ja rajoituksia. Liikkumavara ei mahdollista rinnakkaista kansallista tietosuojajärjestelmää. Jäsenvaltioiden on muutettava kansallista tietosuojalainsäädäntöä tai kumottava se. Tämä koskee myös alakohtaista lainsäädäntöä, johon liittyy tietosuojaa koskevia näkökohtia.
Asiaa koskevassa jäsenvaltioiden lainsäädännössä ei myöskään saa olla säännöksiä, jotka voisivat aiheuttaa epäselvyyttä yleisen tietosuoja-asetuksen suorasta sovellettavuudesta. Näin ollen kun yleisessä tietosuoja-asetuksessa annetaan mahdollisuus sen sääntöjen täsmennyksiin tai rajoituksiin jäsenvaltioiden lainsäädännössä, jäsenvaltiot voivat sisällyttää osia asetuksesta kansalliseen lainsäädäntöönsä siinä määrin kuin on tarpeen, jotta voidaan varmistaa johdonmukaisuus ja kansallisten säännösten ymmärrettävyys niille, joihin niitä sovelletaan.
Sidosryhmät katsovat, että jäsenvaltioiden olisi vähennettävä valinnaista täsmentämistä koskevien lausekkeiden käyttöä tai pidättäydyttävä siitä kokonaan, koska ne eivät edistä yhdenmukaisuutta. Jäsenvaltioiden väliset erot sekä lainsäädännön täytäntöönpanossa että siinä, miten tietosuojaviranomaiset tulkitsevat niitä, lisäävät merkittävästi lainsäädännön noudattamisesta aiheutuvia kustannuksia EU:ssa.
Valinnaista täsmentämistä koskevien lausekkeiden käyttöön liittyvä hajanaisuus
·Tietoyhteiskunnan palveluihin liittyvä lapsen suostumuksen ikäraja
Useat jäsenvaltiot ovat käyttäneet mahdollisuuden säätää 16 vuoden ikää alhaisempi ikäraja tietoyhteiskunnan palveluihin liittyvää suostumusta varten (yleisen tietosuoja-asetuksen 8 artiklan 1 kohta). Yhdeksän jäsenvaltiota soveltaa 16 vuoden ikärajaa, kun taas kahdeksan jäsenvaltiota on valinnut ikärajaksi 13 vuotta, kuusi jäsenvaltiota 14 vuotta ja kolme jäsenvaltiota 15 vuotta.
Näin ollen yrityksen, joka tarjoaa tietoyhteiskunnan palveluja alaikäisille EU:n alueella, on erotettava toisistaan mahdolliset eri-ikäiset käyttäjät sen mukaan, missä jäsenvaltiossa he asuvat. Tämä on vastoin yleisen tietosuoja-asetuksen keskeistä tavoitetta eli yhdenvertaisen suojan tarjoamista yksilöille ja tasapuolisten liiketoimintamahdollisuuksien tarjoamista kaikissa jäsenvaltioissa.
Tällaiset erot aiheuttavat tilanteita, joissa jäsenvaltio, johon rekisterinpitäjä on sijoittautunut, säätää eri ikärajan kuin jäsenvaltiot, joissa rekisteröidyt asuvat.
·Terveys ja tutkimus
Kun jäsenvaltiot panevat lainsäädännössään täytäntöön erityisten henkilötietoryhmien yleistä käsittelykieltoa koskevia poikkeuksia, niillä on erilaisia suhtautumistapoja täsmennysten ja suojatoimien tasoon, myös terveyteen ja tutkimukseen liittyvissä tarkoituksissa. Suurin osa jäsenvaltioista on ottanut käyttöön tai säilyttänyt lisäehtoja, jotka koskevat geneettisten, biometristen tai terveyttä koskevien tietojen käsittelyä. Tämä koskee myös rekisteröityjen oikeuksiin liittyviä poikkeuksia tutkimustarkoituksia varten sekä poikkeusten laajuuden että niihin liittyvien suojatoimien osalta.
Euroopan tietosuojaneuvoston tulevat ohjeet henkilötietojen käytöstä tieteellisessä tutkimuksessa edistävät yhdenmukaistettua lähestymistapaa tällä alalla. Komissio toimittaa tietosuojaneuvostolle panoksensa erityisesti terveystutkimuksen osalta, ja sisällyttää siihen myös tiedeyhteisöltä saamiaan konkreettisia kysymyksiä ja konkreettisista skenaarioista tehtyjä analyyseja. Olisi hyödyllistä, jos nämä ohjeet voitaisiin antaa ennen Horisontti Eurooppa ‑puiteohjelman käynnistämistä. Tämä olisi hyvä tietosuojakäytäntöjen yhdenmukaistamisen ja tutkimustyössä saavutettua edistystä koskevien tietojen jakamisen helpottamisen kannalta. Euroopan tietosuojaneuvoston ohjeet henkilötietojen käsittelystä terveyden alalla voisivat myös olla hyödyksi.
Yleinen tietosuoja-asetus muodostaa tukevat puitteet kansanterveyden alan kansalliselle lainsäädännölle, ja se nimenomaisesti sisältää maiden rajat ylittävät terveysuhat sekä epidemioiden ja niiden leviämisen seurannan, millä on ollut merkitystä covid-19-pandemian torjunnassa.
EU:n tasolla komissio antoi 8. huhtikuuta 2020 suosituksen välineistöstä teknologian ja datan (myös mobiilisovellusten ja anonymisoidun liikkuvuusdatan) käyttöä varten tässä yhteydessä ja 16. huhtikuuta 2020 covid-19-pandemian torjuntaa tukevien sovellusten tietosuojaa koskevat ohjeet. Euroopan tietosuojaneuvosto julkaisi 19. maaliskuuta 2020 lausunnon tähän liittyvästä tietojen käsittelystä ja sen jälkeen 21. huhtikuuta 2020 ohjeet tietojen käsittelystä tutkimukseen liittyviä tarkoituksia varten ja siihen liittyvästä sijaintitietojen ja kontaktien jäljitystyökalujen käytöstä. Näissä suosituksissa ja ohjeissa selvennetään, miten henkilötietojen suojaa koskevia periaatteita ja sääntöjä sovelletaan pandemian torjunnan yhteydessä.
·Rekisteröityjen oikeuksia koskevat laajat rajoitukset
Suurimmassa osassa kansallisia tietosuojasäädöksiä, joilla rajoitetaan rekisteröidyn oikeuksia, ei täsmennetä näiden rajoitusten suojelemia yleisen edun tavoitteita ja/tai täytetä riittävällä tavalla yleisen tietosuoja-asetuksen 23 artiklan 2 kohdassa vaadittuja ehtoja ja suojatoimia. Useat jäsenvaltiot eivät jätä mahdollisuutta suhteellisuustestille, tai ne ulottavat rajoitukset jopa yleisen tietosuoja-asetuksen 23 artiklan 1 kohdan soveltamisalaa laajemmalle. Esimerkiksi joissakin kansallisissa säädöksissä evätään oikeus saada pääsy säilyttämisvelvollisuuden nojalla säilytettyihin tai julkisten tehtävien suorittamiseen liittyviin henkilötietoihin sen perusteella, että se vaatisi rekisterinpitäjältä kohtuutonta vaivaa, rajaamatta tällaista rajoitusta yleisen edun mukaisiin tavoitteisiin.
·Yrityksiä koskevat lisävaatimukset
Vaikka pakollista tietosuojavastaavaa koskeva vaatimus perustuu riskipohjaiseen lähestymistapaan, yksi jäsenvaltio on ulottanut sen määrällisiin perusteisiin ja edellyttää, että yritysten, joissa vähintään 20 henkilöä työskentelee jatkuvasti automatisoidun henkilötietojen käsittelyn parissa, on nimettävä tietosuojavastaava käsittelytoimiin liittyvistä riskeistä riippumatta. Tämä on aiheuttanut ylimääräistä rasitetta.
4Kansalaisille paremmat mahdollisuudet valvoa tietojaan
Yleinen tietosuoja-asetus tukee tehokkaasti perusoikeuksien toteutumista. Tämä koskee erityisesti oikeutta henkilötietojen suojaan mutta myös muita perusoikeuskirjassa tunnustettuja perusoikeuksia, kuten oikeutta yksityisyyden ja perhe-elämän kunnioitukseen, sananvapautta ja tiedonvälityksen vapautta, syrjintäkieltoa, ajatuksen-, omantunnon ja uskonnonvapautta, liiketoiminnan harjoittamisen vapautta ja oikeutta tehokkaaseen oikeussuojaan. Nämä oikeudet on tasapainotettava keskenään suhteellisuusperiaatteen mukaisesti.
Yleisessä tietosuoja-asetuksessa säädetään, että yksilöillä on täytäntöönpanokelpoisia oikeuksia, kuten oikeus saada pääsy tietoihin, oikeus oikaista tai poistaa tietoja, oikeus vastustaa tietojenkäsittelyä, oikeus siirtää tiedot ja oikeus suurempaan läpinäkyvyyteen. Lisäksi siinä annetaan yksilöille oikeus tehdä valitus tietosuojaviranomaiselle, myös edustajakanteina, sekä oikeus muutoksenhakuun tuomioistuimessa.
Yksilöt tuntevat entistä paremmin oikeutensa, kuten heinäkuun 2019 Eurobarometri-tutkimuksen tulokset ja Euroopan unionin perusoikeusviraston raportti osoittavat.
Perusoikeusviraston perusoikeusraportin mukaan:
·69 prosenttia EU:n vähintään 16-vuotiaasta väestöstä on kuullut yleisestä tietosuoja-asetuksesta
·71 prosenttia vastaajista EU:ssa on kuullut kansallisesta tietosuojaviranomaisestaan; tämä luku vaihtelee Tšekin tasavallan 90 prosentista Belgian 44 prosenttiin
·60 prosenttia vastaajista EU:ssa on tietoisia lainsäädännöstä, jonka nojalla heillä on oikeus saada viranomaisten hallussa pitämiä henkilötietojaan; tämä osuus on kuitenkin vain 51 prosenttia, kun on kyse yksityisistä yrityksistä
·useampi kuin joka viides vastaaja (23 prosenttia) EU:ssa ei halua jakaa henkilötietoja (kuten osoitetta, kansalaisuutta tai syntymäaikaa) viranomaisten kanssa, ja 41 prosenttia vastaajista ei halua jakaa näitä tietoja yksityisten yritysten kanssa.
Yksilöt käyttävät entistä enemmän oikeuttaan tehdä valituksia tietosuojaviranomaisille joko yksilöinä tai edustajakanteina. Vain harvat jäsenvaltiot ovat sallineet kansalaisjärjestöjen käynnistää toimia ilman valtuutusta yleisessä tietosuoja-asetuksessa säädetyn mahdollisuuden mukaisesti. Ehdotetun direktiivin kuluttajien yhteisten etujen suojaamiseksi nostettavista edustajakanteista odotetaan vahvistavan edustajakanteita koskevaa lainsäädäntökehystä myös tietosuojan alalla, kunhan se on hyväksytty.
Valitukset
Toukokuun 2018 ja marraskuun lopun 2019 välisenä aikana vastaanotettujen valitusten kokonaismäärä oli Euroopan tietosuojaneuvoston raportoimien tietojen mukaan noin 275 000. Tähän lukuun on kuitenkin syytä suhtautua suurella varauksella, koska kaikki viranomaiset eivät ole määritelleet valitusta samalla tavoin. Tietosuojaviranomaisten vastaanottamien valitusten absoluuttinen määrä vaihtelee hyvin paljon jäsenvaltioittain. Eniten valituksia kirjattiin Saksassa (67 000), Alankomaissa (37 000), Espanjassa ja Ranskassa (kummassakin 18 000), Italiassa (14 000), Puolassa ja Irlannissa (kummassakin 12 000). Kaksi kolmasosaa viranomaisista ilmoitti valitusten määräksi 600–8 000. Vähiten valituksia kirjattiin Virossa ja Belgiassa (kummassakin noin 500) sekä Maltalla ja Islannissa (kummassakin alle 200).
Valitusten määrä ei välttämättä korreloi väestön määrän tai BKT:n suuruuden kanssa, sillä esimerkiksi Saksassa vastaanotettiin lähes kaksinkertainen määrä valituksia Alankomaihin verrattuna ja nelinkertainen määrä Espanjaan ja Ranskaan verrattuna.
Monisidosryhmäiseltä asiantuntijaryhmältä saatu palaute osoittaa, että organisaatiot ovat ottaneet käyttöön erilaisia toimenpiteitä, joilla helpotetaan rekisteröityjen oikeuksien käyttöä. Ne ovat esimerkiksi ottaneet käyttöön prosesseja, joilla varmistetaan pyyntöjen yksilöllinen tarkastelu ja vastaus rekisterinpitäjältä, asettaneet tarjolle eri kanavia (posti, tarkoitukseen varattu sähköpostiosoite, verkkosivusto jne.), päivittäneet sisäisiä menettelyjä ja käytäntöjä pyyntöjen ripeää sisäistä käsittelyä varten ja kouluttaneet henkilöstöä. Jotkin yritykset ovat ottaneet käyttöön digitaalisia portaaleja, jotka ovat käytettävissä yritysten verkkosivustojen kautta (tai yritysten intranetsivujen kautta työntekijöille) helpottamaan rekisteröityjen oikeuksien käyttämistä.
Seuraavissa asioissa on kuitenkin edistyttävä edelleen:
·Kaikki rekisterinpitäjät eivät noudata velvollisuuttaan helpottaa rekisteröityjen oikeuksien käyttöä. Niiden on varmistettava, että rekisteröidyillä on toimiva yhteyspiste, jonka kautta he voivat kertoa ongelmistaan. Yhteyspiste voi olla tietosuojavastaava, jonka yhteystiedot on ilmoitettava oma-aloitteisesti rekisteröidylle. Yhteydenottomenetelmänä ei saa olla pelkkä sähköposti, vaan rekisteröidylle on tarjottava mahdollisuus olla yhteydessä rekisterinpitäjään myös muilla tavoin.
·Yksilöillä on yhä vaikeuksia, kun he pyytävät pääsyä tietoihinsa esimerkiksi verkkoalustoilta, datanvälittäjiltä ja digitaalisen markkinoinnin yrityksiltä.
·Oikeutta tietojen siirrettävyyteen ei hyödynnetä täysimääräisesti. Komission 19. helmikuuta 2020 hyväksymässä Euroopan datastrategiassa (jäljempänä ”datastrategia”) korostetaan tarvetta helpottaa kaikkia mahdollisia tämän oikeuden käyttötarkoituksia (esim. ottamalla käyttöön teknisiä käyttöliittymiä ja koneellisesti luettavia formaatteja, jotka mahdollistavat tietojen (lähes) reaaliaikaisen siirrettävyyden). Toimijat huomauttavat, että tietoja on joskus vaikea toimittaa jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa (standardin puuttumisen vuoksi). Vain tietyillä aloilla, kuten pankkitoiminnassa, televiestinnässä tai vesi- ja lämpömittareiden alalla, toimivat organisaatiot raportoivat ottaneensa käyttöön tarvittavat käyttöliittymät. Uusia teknisiä välineitä on kehitetty, jotta yksilöt voisivat käyttää helpommin heille yleisen tietosuoja-asetuksen nojalla kuuluvia oikeuksiaan. Tämä koskee myös muita kuin tietojen siirrettävyyteen liittyviä oikeuksia (esim. henkilökohtaisia datatiloja ja henkilökohtaisia tietojen hallintapalveluja).
·Lasten oikeudet: Monisidosryhmäisen asiantuntijaryhmän jäsenet korostavat tarvetta tarjota lapsille tietoa. Ne korostivat myös sitä, että monet organisaatiot eivät ota huomioon, että niiden suorittama tietojen käsittely voi koskea myös lapsia. Neuvosto on korostanut, että lasten suojeluun olisi kiinnitettävä erityistä huomiota käytännesääntöjä laadittaessa. Lasten suojelu on myös yksi tietosuojaviranomaisten painopisteistä.
·Oikeus saada tietoja: Jotkin yritykset toimivat hyvin legalistisesti ja pitävät tietosuojailmoituksia juridisena toimenpiteenä. Niiden antamat tiedot ovat tällöin melko monimutkaisia, vaikeatajuisia tai puutteellisia, vaikka yleisessä tietosuoja-asetuksessa edellytetään, että tiedot esitetään tiiviisti, selkeästi ja yksinkertaisesti. Vaikuttaa siltä, että osa yrityksistä ei noudata Euroopan tietosuojaneuvoston suosituksia esimerkiksi niiden toimijoiden nimien ilmoittamisesta, joiden kanssa ne jakavat tietoja.
·Useat jäsenvaltiot rajoittavat laajasti rekisteröityjen oikeuksia kansallisessa lainsäädännössä – osa jopa yleisen tietosuoja-asetuksen 23 artiklassa sallittua liikkumavaraa enemmän.
·Yksilöiden oikeuksien käyttämistä vaikeuttavat toisinaan muutamien merkittävien digitaalialan toimijoiden käytännöt. Niiden vuoksi yksilöiden on vaikea valita asetuksia, jotka suojelisivat parhaiten heidän yksityisyyttään (mikä rikkoo vaatimusta siitä, että tietosuojan on oltava sisäänrakennettua ja oletusarvoista).
Sidosryhmät suuresti odottavat Euroopan tietosuojaneuvoston ohjeita rekisteröityjen oikeuksista.
5Mahdollisuudet ja haasteet organisaatioille ja erityisesti pienille ja keskisuurille yrityksille
Mahdollisuudet organisaatioille
Yleinen tietosuoja-asetus edistää kilpailua ja innovointia. Yhdessä muiden kuin henkilötietojen vapaata liikkuvuutta koskevan asetuksen kanssa se takaa datan vapaan liikkuvuuden EU:ssa ja turvaa tasapuoliset toimintaedellytykset EU:n ulkopuolelle sijoittautuneiden yritysten kanssa. Luomalla yhdenmukaistettu kehys henkilötietojen suojelemiselle yleisen tietosuoja-asetuksen avulla varmistetaan, että kaikkia sisämarkkinoiden toimijoita sitovat samat säännöt ja että niillä kaikilla on samat mahdollisuudet, sijainnistaan ja tietojen käsittelypaikasta riippumatta. Koska yleinen tietosuoja-asetus on teknologianeutraali, se tarjoaa tietosuojakehyksen myös teknologian kehittyessä. Sisäänrakennetun ja oletusarvoisen tietosuojan periaatteet kannustavat innovatiivisiin ratkaisuihin, joissa tietosuojaa koskevat näkökohdat on huomioitu alusta alkaen ja joiden avulla voidaan vähentää tietosuojaa koskevien sääntöjen noudattamisesta aiheutuvia kustannuksia.
Lisäksi yksityisyydestä tulee tärkeä kilpailun osatekijä, jonka kuluttajat ottavat yhä useammin huomioon palvelujaan valitessaan. Ihmiset, jotka ovat tietoisempia tietosuojaa koskevista näkökohdista ja pitävät niitä tärkeämpinä, etsivät tuotteita ja palveluja, joissa on varmistettu tehokas henkilötietojen suoja. Toteuttamalla tietojen siirrettävyyttä koskeva oikeus voidaan madaltaa innovatiivisia, tietosuojamyönteisiä palveluja tarjoavien yritysten markkinoillepääsyn esteitä. Tämän oikeuden mahdollisesti laajemman käytön vaikutuksia markkinoiden eri aloihin olisi seurattava. Tietosuojasääntöjen noudattaminen ja läpinäkyvä täytäntöönpano luo luottamusta ihmisten henkilötietojen käyttöä kohtaan ja siten uusia mahdollisuuksia yrityksille.
Kuten kaikki sääntely, myös tietosuojasäännöt aiheuttavat luontaisesti yrityksille kustannuksia niiden noudattamisesta. Digitaalialan innovaatioita koskevan luottamuksen kasvusta seuraavat mahdollisuudet ja hyödyt sekä muut yhteiskunnalliset hyödyt ovat kuitenkin näitä kustannuksia suuremmat. Varmistamalla tasapuoliset toimintaedellytykset ja antamalla tietosuojaviranomaisille valmiudet sääntöjen tehokkaaseen täytäntöönpanoon yleisellä tietosuoja-asetuksella estetään sääntöjä rikkovia yrityksiä hyväksikäyttämästä sitä luottamusta, jonka sääntöjä noudattaneet toimijat ovat rakentaneet.
Pk-yritysten erityiset haasteet
Sidosryhmät ovat yleisesti ottaen sitä mieltä ja myös Euroopan parlamentti ja neuvosto sekä tietosuojaviranomaiset katsovat, että yleisen tietosuoja-asetuksen soveltaminen on erityisen haastavaa mikroyrityksille, pienille ja keskisuurille yrityksille sekä pienille vapaaehtois- ja hyväntekeväisyysjärjestöille.
Riskiperusteisen lähestymistavan mukaan ei olisi tarkoituksenmukaista säätää poikkeuksista toimijoiden koon perusteella, sillä yritysten koko ei itsessään ilmennä riskejä, joita niiden suorittama henkilötietojen käsittely voi yksittäisille henkilöille aiheuttaa. Riskiperusteisessa lähestymistavassa yhdistyvät joustavuus ja tehokas suojelu. Siinä otetaan huomioon sellaisten pk-yritysten tarpeet, joiden ydintoimintaan ei kuulu tietojen käsittely, ja mukautetaan niitä koskevat velvollisuudet erityisesti niiden suorittamiin käsittelytoimiin liittyvien riskien todennäköisyyden ja vakavuuden pohjalta.
Käsittelyä, jonka riskit ovat pieniä ja joka on vähäistä, ei pitäisi kohdella samalla tavoin kuin käsittelyä, jonka riskit ovat suuria ja joka on yleistä – käsittelyn suorittavan yrityksen koosta riippumatta. Euroopan tietosuojaneuvosto on todennut siksi, että ”lainsäätäjän tekstissä edistämän riskiperusteisen lähestymistavan noudattamista olisi jatkettava, sillä rekisteröityjä koskevat riskit eivät riipu rekisterinpitäjien koosta”. Tietosuojaviranomaisten olisi noudatettava tätä periaatetta täysimääräisesti, kun ne panevat yleisen tietosuoja-asetuksen täytäntöön, mieluiten yhteisen eurooppalaisen lähestymistavan puitteissa, jottei toimilla luoda esteitä sisämarkkinoille.
Tietosuojaviranomaiset ovat kehittäneet useita työkaluja ja korostaneet aikovansa jatkaa niiden kehittämistä. Jotkin viranomaiset ovat käynnistäneet tiedotuskampanjoita ja aikovat jopa järjestää maksutonta koulutusta yleisestä tietosuoja-asetuksesta pk-yrityksille.
Esimerkkejä tietosuojanviranomaisten erityisesti pk-yrityksille antamista ohjeista ja työkaluista
·pk-yrityksille kohdennettu tiedotus
·tietosuojavastaaville tarkoitetut seminaarit ja sellaisille pk-yrityksille tarkoitetut tapahtumat, joiden ei tarvitse nimetä tietosuojavastaavaa
·vuorovaikutteiset oppaat pk-yritysten avuksi
·neuvontapuhelimet
·mallit tietojenkäsittelyä koskevia sopimuksia ja käsittelytoimia koskevia selosteita varten.
Euroopan tietosuojaneuvoston kannanotossa esitellään tietosuojaviranomaisten toteuttamia toimia.
Useat nimenomaan pk-yrityksille suunnatut tukitoimet ovat saaneet EU:n rahoitusta. Komissio on myöntänyt kolmella jakokierroksella avustuksina yhteensä viisi miljoonaa euroa. Kaksi viimeisintä jakokierrosta oli suunnattu erityisesti kansallisille tietosuojaviranomaisille, jotta ne voivat tukea yksityishenkilöitä ja pk-yrityksiä. Tämän johdosta vuonna 2018 osoitettiin kaksi miljoonaa euroa yhdeksälle tietosuojaviranomaiselle vuosina 2018–2019 toteutettavia toimia varten (Belgia, Bulgaria, Tanska, Unkari, Liettua, Latvia, Alankomaat, Slovenia ja Islanti) ja vuonna 2019 miljoona euroa neljälle tietosuojaviranomaiselle vuonna 2020 toteutettavia toimia varten (Belgia, Malta, Slovenia ja Kroatia yhdessä Irlannin kanssa)
. Vuonna 2020 tukea on tarkoitus myöntää vielä miljoona euroa.
Näistä aloitteista huolimatta pk-yritykset ja startup-yritykset raportoivat usein vaikeuksista yleisessä tietosuoja-asetuksessa säädetyn osoitusvelvollisuuden täyttämisessä. Ne raportoivat erityisesti, että ne eivät saa aina tarpeeksi ohjeita ja käytännön neuvoja kansallisilta tietosuojaviranomaisilta tai että ohjeiden ja neuvojen saaminen kestää liian pitkään. Joissakin tapauksissa viranomaiset ovat myös olleet haluttomia ottamaan kantaa oikeudellisiin kysymyksiin. Tällaisissa tilanteissa pk-yritykset kääntyvät usein ulkopuolisten neuvonantajien ja juristien puoleen saadakseen apua osoitusvelvollisuuden ja riskiperusteisen lähestymistavan noudattamisessa (mukaan lukien läpinäkyvyysvaatimukset, selosteet käsittelytoimista ja tietoturvaloukkauksista ilmoittaminen). Tästä voi aiheutua niille myös lisäkustannuksia.
Pk-yritysten ja pienten järjestöjen mukaan erityisesti selosteiden laatiminen käsittelytoimista on suuri hallinnollinen rasite. Yleisen tietosuoja-asetuksen 30 artiklan 5 kohdassa säädetty vapautus tästä velvollisuudesta on määritelty hyvin kapeasti. Tämän velvollisuuden noudattamisen työläyttä ei kuitenkaan pitäisi yliarvioida. Jos pk-yritykset eivät käsittele henkilötietoja osana ydinliiketoimintaansa, ne voivat laatia yksinkertaisen selosteen vähällä vaivalla. Sama koskee vapaaehtois- ja muita järjestöjä. Selostemallit helpottaisivat tällaisten yksinkertaistettujen selosteiden laatimista. Osa tietosuojaviranomaisista onkin ottanut tällaisia malleja jo käyttöön. Joka tapauksessa kaikilla henkilötietojen käsittelijöillä olisi oltava yleiskuva tietojen käsittelystään, mikä on osoitusvelvollisuuden perusvaatimus.
Euroopan tietosuojaneuvoston EU:n tasolla kehittämät käytännön työkalut, kuten tietoturvaloukkauksia koskevat yhdenmukaistetut lomakkeet ja yksinkertaistetut selosteet käsittelytoimista, voisivat auttaa sellaisia pk-yrityksiä ja pieniä järjestöjä täyttämään velvollisuutensa, jotka eivät keskity päätoiminnassaan henkilötietojen käsittelyyn.
Monet eri toimialajärjestöt ovat pyrkineet lisäämään jäsentensä tietoisuutta ja jakamaan tietoa esimerkiksi konferenssien ja seminaarien avulla. Ne ovat myös tarjonneet yrityksille tietoa saatavilla olevista ohjeista tai kehittäneet yksityisyydensuojaa koskevan tukipalvelun jäsenilleen. Ne ovat myös raportoineet, että ajatushautomot ja pk-yritysjärjestöt ovat järjestäneet entistä enemmän yleiseen tietosuoja-asetukseen liittyviä kysymyksiä käsitteleviä seminaareja, kokouksia ja tapahtumia.
Jotta kaikkien tietojen vapaa liikkuvuus tehostuisi EU:ssa ja jotta yleistä tietosuoja-asetusta ja muiden kuin henkilötietojen vapaata liikkuvuutta koskevaa asetusta sovellettaisiin yhdenmukaisesti, komissio on lisäksi antanut erityisesti pk-yrityksiä silmällä pitäen käytännön ohjeet sekä henkilötietoja että muita tietotyyppejä yhdistelevien tietokokonaisuuksien (mixed datasets) käsittelyä koskevista säännöistä.
Yrityksille tarkoitettu välineistö
Yleinen tietosuoja-asetus tuo käyttöön välineitä, kuten käytännesääntöjä, sertifiointimekanismeja ja vakiosopimuslausekkeita, joiden avulla on helpompi osoittaa tietosuojasääntöjen noudattaminen.
·Käytännesäännöt
Euroopan tietosuojaneuvosto on antanut ohjeet, jotka tukevat käytännesääntöjen ylläpitäjiä käytännesääntöjen laatimisessa, muuttamisessa tai laajentamisessa ja jotka tarjoavat käytännön opastusta ja tulkinta-apua. Näissä ohjeissa selvennetään myös käytännesääntöjen toimittamista, hyväksymistä ja julkaisemista koskevia menettelyjä sekä jäsenvaltioiden että EU:n tasolla esittämällä vaadittavat vähimmäisvaatimukset.
Sidosryhmät pitävät käytännesääntöjä erittäin hyödyllisinä välineinä. Vaikka monia käytännesääntöjä sovelletaan kansallisella tasolla, useita koko EU:n laajuisia käytännesääntöjä on valmisteilla (esimerkiksi terveysalan mobiilisovelluksista, perimätieteeseen liittyvästä terveystutkimuksesta, pilvipalveluista, suoramarkkinoinnista, vakuutuksista ja tietojenkäsittelystä lapsia koskevissa suojelu- ja neuvontapalveluissa). Toimijat uskovat, että EU:n laajuisia käytännesääntöjä olisi tuotava esiin näkyvämmin, koska ne edistävät yleisen tietosuoja-asetuksen yhdenmukaisempaa täytäntöönpanoa kaikissa jäsenvaltioissa.
Käytännesäännöt edellyttävät kuitenkin toimijoilta aikaa ja investointeja, kun niitä kehitetään ja tarvittavia riippumattomia valvontaelimiä perustetaan. Pk-yritysten edustajat korostavat sellaisten niiden tilanteeseen räätälöityjen käytännesääntöjen merkitystä ja hyödyllisyyttä, joista ei aiheudu kohtuuttomia kustannuksia.
Näin ollen liike-elämän järjestöt monilla aloilla ovat ottaneet käyttöön muunlaisia itsesääntelyvälineitä, kuten hyvän käytännön säännöstöjä tai ohjeita. Vaikka tällaiset välineet voivat tuottaa hyödyllistä tietoa, ne eivät ole kuitenkaan tietosuojaviranomaisten hyväksymiä eikä niillä voi siten osoittaa, että yleistä tietosuoja-asetusta noudatetaan.
Neuvosto korostaa, että käytännesäännöissä on kiinnitettävä erityistä huomiota lasten tietojen ja terveystietojen käsittelyyn. Komissio kannattaa sellaisia käytännesääntöjä, joilla yhdenmukaistetaan terveyttä ja tutkimusta koskeva lähestymistapa ja helpotetaan henkilötietojen rajatylittävää käsittelyä. Euroopan tietosuojaneuvosto on parhaillaan hyväksymässä useiden tietosuojaviranomaisten esittämää luonnosta käytännesääntöjen valvontaelinten akkreditointia koskevista vaatimuksista. Kun monikansalliset tai EU:n käytännesäännöt ovat valmiita toimitettaviksi tietosuojaviranomaisille hyväksyntää varten, tietosuojaneuvostoa kuullaan niistä. Monikansallisten käytännesääntöjen nopea käyttöönotto on erityisen tärkeää aloilla, joilla käsitellään huomattavia datamääriä (esim. pilvipalvelut) tai arkaluonteisia tietoja (esim. terveys/tutkimus).
·Sertifiointi
Sertifiointi voi olla hyödyllinen väline yleisen tietosuoja-asetuksen erityisvaatimusten noudattamisen osoittamisessa. Se voi parantaa yritysten oikeusvarmuutta ja tuoda yleiselle tietosuoja-asetukselle maailmanlaajuista näkyvyyttä.
Kuten huhtikuussa 2019 julkaistussa sertifiointia koskevassa selvityksessä todetaan, tavoitteena olisi oltava asiaankuuluvien järjestelmien käyttöönoton helpottaminen. EU:n sertifiointijärjestelmien kehittämistä tukevat Euroopan tietosuojaneuvoston ohjeet sertifiointikriteereistä ja sertifiointielinten akkreditoinnista.
Yleisen tietosuoja-asetuksen mukaisissa sertifiointijärjestelmissä olennaisia tekijöitä ovat turvallisuus ja sisäänrakennettu tietosuoja, ja niitä varten olisi hyvä saada aikaan yhteinen ja kunnianhimoinen lähestymistapa kaikkialla EU:ssa. Komissio tukee myös jatkossa EU:n kyberturvallisuusviraston (ENISA), tietosuojaviranomaisten ja Euroopan tietosuojaneuvoston yhteydenpitoa.
Kyberturvallisuuden osalta komissio pyysi kyberturvallisuusasetuksen hyväksymisen jälkeen ENISAa valmistelemaan kaksi sertifiointijärjestelmää, joista toinen koskisi pilvipalveluja. Kuluttajille tarkoitettujen palvelujen ja tuotteiden kyberturvallisuutta koskevia lisäjärjestelmiä harkitaan parhaillaan. Vaikka näissä kyberturvallisuusasetuksen nojalla perustetuissa sertifiointijärjestelmissä ei nimenomaisesti käsitellä tietosuojaa ja yksityisyyttä, ne auttavat lisäämään kuluttajien luottamusta digitaalisiin palveluihin ja tuotteisiin. Tällaiset järjestelmät voivat toimia näyttönä sisäänrakennetun turvallisuuden periaatteiden noudattamisesta ja henkilötietojen turvalliseen käsittelyyn liittyvien asianmukaisten teknisten ja organisatoristen toimenpiteiden täytäntöönpanosta.
·Vakiosopimuslausekkeet
Komissio laatii rekisterinpitäjien ja henkilötietojen käsittelijöiden välisiä vakiosopimuslausekkeita ja ottaa tässä yhteydessä huomioon myös kansainvälisiä siirtoja koskevien vakiosopimuslausekkeiden modernisoinnin (ks. 7.2 kohta). Komission hyväksymä unionin säädös sitoo EU:n laajuisesti, mikä varmistaa täyden yhdenmukaisuuden ja oikeusvarmuuden.
6Yleisen tietosuoja-asetuksen soveltaminen uusiin teknologioihin
Uusille teknologioille avoin teknologianeutraali kehys
Yleinen tietosuoja-asetus on teknologianeutraali, luottamusta lisäävä ja periaatteisiin perustuva. Nämä periaatteet, joihin sisältyvät lainmukainen ja läpinäkyvä käsittely, käyttötarkoitussidonnaisuus ja tietojen minimointi, antavat vankan pohjan henkilötietojen suojalle sovelletuista käsittelytoimista ja ‑tekniikoista riippumatta.
Monisidosryhmäisen asiantuntijaryhmän jäsenet raportoivat, että yleisellä tietosuoja-asetuksella on ollut yleisesti ottaen myönteinen vaikutus uusien teknologioiden kehittämiseen ja että se antaa hyvän perustan innovoinnille. Yleistä tietosuoja-asetusta pidetään olennaisena ja joustavana välineenä sen varmistamiseen, että uusien teknologioiden kehittämisessä noudatetaan perusoikeuksia. Sen keskeisten periaatteiden noudattaminen on ratkaisevan tärkeää dataintensiivisen käsittelyn kannalta. Yleisen tietosuoja-asetuksen riskiperusteinen ja teknologianeutraali lähestymistapa tuottaa tietosuojan tason, joka on riittävä käsittelyyn liittyvien riskien torjumiseksi myös uusien teknologioiden osalta.
Sidosryhmät ovat erityisesti maininneet, että tekoälyn käyttöön liittyvien huolenaiheiden ratkaisemisessa ovat avuksi yleisen tietosuoja-asetuksen periaatteet käyttötarkoitussidonnaisuudesta, jatkokäsittelyn yhteensopivuudesta alkuperäisten tarkoitusten kanssa, tietojen minimoinnista, säilytyksen rajoittamisesta, läpinäkyvyydestä, osoitusvelvollisuudesta ja ehdoista, joiden nojalla automaattisen päätöksenteon prosesseja voidaan ottaa laajamittaisesti käyttöön laillisesti.
Yleisen tietosuoja-asetuksen aikaa kestävää ja riskiperusteista lähestymistapaa sovelletaan myös mahdollisessa tulevassa tekoälyä koskevassa kehyksessä ja datastrategian täytäntöönpanossa. Datastrategian tavoitteena on edistää datan saatavuutta ja luoda yhteisiä eurooppalaisia data-avaruuksia, joita tukevat yhteen liitetyt pilvi-infrastruktuuripalvelut. Henkilötietojen osalta yleinen tietosuoja-asetus tarjoaa pääasiallisen oikeudellisen kehyksen, jonka puitteissa toimivia ratkaisuja voidaan suunnitella tapauskohtaisesti kunkin data-avaruuden luonteen ja sisällön mukaisesti.
Yleinen tietosuoja-asetus on lisännyt tietoisuutta henkilötietojen suojasta sekä EU:ssa että sen ulkopuolella ja saanut yritykset mukauttamaan käytäntöjään, jotta tietosuojaa koskevat periaatteet otetaan huomioon innovoinnin yhteydessä. Kansalaisjärjestöt huomauttavat kuitenkin, että vaikka yleisen tietosuoja-asetuksen vaikutus uusien teknologioiden kehittämiseen vaikuttaa myönteiseltä, suurimpien digitaalialan toimijoiden käytännöt eivät ole vielä muuttuneet oleellisesti yksityisyydelle suotuisamman käsittelyn suuntaan. Yksilöiden suojelemiseksi on olennaisen tärkeää, että yleisen tietosuoja-asetuksen noudattamista digitaalisilla alustoilla ja integroiduissa yrityksissä valvotaan tiukasti ja tuloksellisesti, myös verkkomainonnan ja mikrokohdentamisen osalta.
Komissio analysoi parhaillaan suurten digialan toimijoiden käyttäytymiseen markkinoilla liittyviä laajempia kysymyksiä digitaalisia palveluja koskevan säädöspaketin yhteydessä. Komissio palauttaa sosiaalisen median alalla tehtävän tutkimuksen osalta mieliin, että sosiaalisen median alustat eivät voi käyttää yleistä tietosuoja-asetusta tekosyynä rajoittaakseen tutkijoiden ja faktantarkistajien pääsyä muihin kuin henkilötietoihin. Näitä ovat esimerkiksi tilastotiedot siitä, millaisia kohdennettuja mainoksia on lähetetty eri ihmisryhmille ja mitä perusteita tässä kohdentamisessa on käytetty, valetilejä koskevat tiedot jne.
Yleisen tietosuoja-asetuksen teknologianeutraali ja aikaa kestävä lähestymistapa joutui covid-19-pandemian aikana koetukselle ja osoittautui toimivaksi. Sen periaatteisiin perustuvat säännöt tukivat välineiden kehittämistä viruksen leviämisen torjumiseen ja valvomiseen.
Ratkaistavat haasteet
Uusien teknologioiden kehittäminen ja soveltaminen ei aseta edellä mainittuja periaatteita kyseenalaisiksi. Haasteet liittyvät sen selventämiseen, miten hyviksi havaittuja periaatteita voidaan soveltaa tiettyjen teknologioiden, kuten tekoälyn, lohkoketjun, esineiden internetin, kasvojentunnistuksen tai kvanttilaskennan, käyttöön.
Euroopan parlamentti ja neuvosto ovat korostaneet tässä yhteydessä jatkuvan seurannan tarvetta sen selvittämiseksi, miten yleistä tietosuoja-asetusta sovelletaan uusiin teknologioihin ja suuriin teknologiayrityksiin. Lisäksi sidosryhmät varoittavat, että myös sen arviointi, säilyykö yleinen tietosuoja-asetus tarkoituksenmukaisena, edellyttää jatkuvaa seurantaa.
Toimialan sidosryhmät korostavat innovoinnin edellyttävän, että yleistä tietosuoja-asetusta ei sovelleta jäykästi ja muodollisesti vaan sen periaatteisiin pohjautuvalla tavalla, kuten oli tarkoitus. Sidosryhmät katsovat, että Euroopan tietosuojaneuvoston ohjeet yleisen tietosuoja-asetuksen periaatteiden, käsitteiden ja sääntöjen soveltamisesta tekoälyn, lohkoketjun tai esineiden internetin kaltaisiin uusiin teknologioihin riskiperusteisen lähestymistavan mukaisesti auttaisivat selventämään asiaa ja lisäisivät oikeusvarmuutta. Tällaiset ”pehmeät” oikeuslähteet ovat välineitä, jotka sopivat hyvin yleisen tietosuoja-asetuksen soveltamiseen uusiin teknologioihin, sillä ne lisäävät oikeusvarmuutta ja niitä voidaan tarkistaa teknologian kehityksen mukaisesti. Jotkin sidosryhmät ovat myös tuoneet esiin, että alakohtaiset ohjeet yleisen tietosuoja-asetuksen soveltamisesta uusiin teknologioihin voisivat olla hyödyllisiä.
Euroopan tietosuojaneuvosto on ilmoittanut jatkavansa uusien teknologioiden henkilötietojen suojaan kohdistuvien vaikutusten arvioimista.
Sidosryhmät korostavat myös, että sääntelijöiden on tärkeää ymmärtää hyvin, miten teknologiaa käytetään, ja osallistua uusien teknologioiden kehittämisestä toimialan kanssa käytävään vuoropuheluun. Sidosryhmät katsovat, että sääntelyn virtuaaliseen testauspaikkaan liittyvä lähestymistapa – jonka avulla saadaan käsitystä sääntöjen soveltamisesta – voisi olla mielenkiintoinen vaihtoehto, jolla uusia teknologioita voidaan testata ja yrityksiä auttaa sisäänrakennettua ja oletusarvoista tietosuojaa koskevan periaatteen soveltamisessa uusissa teknologioissa.
Tulevien politiikkatoimien osalta sidosryhmät suosittelevat, että mahdollisissa tulevissa tekoälyä koskevissa poliittisissa ehdotuksissa olisi otettava huomioon nykyiset oikeudelliset kehykset ja sovitettava ne yhteen yleisen tietosuoja-asetuksen kanssa. Mahdolliset ongelmakohdat olisi arvioitava huolellisesti sopivan näytön perusteella ennen uusien normatiivisten sääntöjen ehdottamista.
Tekoälyä koskevassa komission valkoisessa kirjassa esitetään useita politiikkavaihtoehtoja, joista pyydettiin sidosryhmien näkemyksiä 14. kesäkuuta 2020 saakka. Kasvojentunnistuksen – mahdollisesti merkittävästi yksilöiden oikeuksiin vaikuttavan teknologian – osalta valkoisessa kirjassa palautettiin mieliin nykyinen lainsäädäntökehys. Siinä myös käynnistettiin julkinen keskustelu siitä, mitkä erityiset olosuhteet – jos mitkään – voisivat oikeuttaa tekoälyn käytön kasvojentunnistusta ja muuta biometristä tunnistusta varten julkisissa paikoissa ja mitä yleisiä suojatoimia voitaisiin ottaa käyttöön.
7Kansainväliset siirrot ja maailmanlaajuinen yhteistyö
7.1Yksityisyys: maailmanlaajuinen kysymys
Henkilötietojen suojan tarve ei tunne rajoja, ja yksilöt ympäri maailman vaalivat ja arvostavat entistä enemmän yksityisyyttä ja tietojensa turvallisuutta.
Samaan aikaan tietovirtojen merkitys yksilöille, viranomaisille, yrityksille ja yleensäkin koko yhteiskunnalle on väistämätön tosiasia verkottuneessa maailmassa. Tietovirrat ovat erottamaton osa kaupankäyntiä, viranomaisten välistä yhteistyötä ja sosiaalista vuorovaikutusta. Vallitseva covid-19-pandemia on nostanut tältä osin esille myös sen, miten elintärkeää henkilötietojen siirtäminen ja vaihtaminen ovat monien keskeisten toimintojen kannalta. Tällaisia toimintoja ovat olleet muun muassa viranomaisten ja yritysten toiminnan jatkuvuuden varmistaminen (mahdollistamalla etätyö ja muut ratkaisut, jotka riippuvat pitkälti tieto- ja viestintätekniikasta) sekä diagnostiikkaa, hoitoa ja rokotteita koskevan tieteellisen yhteistyön kehittäminen. Niihin lukeutuu myös uusien kyberrikollisuuden muotojen (esimerkiksi verkkopetosten, joissa markkinoidaan väärennettyjä lääkkeitä väitteillä covid-19-taudin ehkäisemisestä tai parantamisesta) torjuminen.
Tämän vuoksi ja enemmän kuin koskaan aiemmin on tärkeää, että yksityisyyden suojeleminen sovitetaan yhteen tietovirtojen helpottamisen kanssa. EU tietosuojajärjestelmineen, jossa avoimuus kansainvälisille siirroille on yhdistetty yksilöiden korkeatasoiseen suojaan, soveltuu hyvin turvallisten ja luotettavien tietovirtojen edistämiseen. Yleisestä tietosuoja-asetuksesta on jo tullut vertailukohta kansainvälisellä tasolla, ja se on kannustanut monia maita eri puolilla maailmaa harkitsemaan nykyaikaisten tietosuojasääntöjen käyttöönottoa.
Kyseessä on todella maailmanlaajuinen trendi, joka ulottuu esimerkiksi Chilestä Etelä-Koreaan, Brasiliasta Japaniin, Keniasta Intiaan, Tunisiasta Indonesiaan ja Kaliforniasta Taiwaniin. Nämä kehityssuuntaukset ovat merkittäviä paitsi määrällisesti myös laadullisesti: monet äskettäin hyväksytyistä tai parhaillaan hyväksyttävinä olevista yksityisyyttä koskevista säädöksistä perustuvat EU:lle yhteisiin tärkeimpiin suojatoimiin, oikeuksiin ja täytäntöönpanomekanismeihin. Tämä kehitys kohti maailmanlaajuista lähentymistä on erittäin myönteinen suuntaus maailmassa, jossa sovelletaan liian usein erilaisia tai jopa poikkeavia sääntelyä koskevia lähestymistapoja. Se tarjoaa uusia mahdollisuuksia parantaa yksilöiden suojelua Euroopassa samalla, kun sen avulla helpotetaan tietovirtoja ja vähennetään liiketoiminnan harjoittajille aiheutuvia tapahtumakustannuksia.
Komissio antoi vuonna 2017 tiedonannon ”Henkilötietojen vaihtaminen ja suojaaminen globalisoituneessa maailmassa”. Siinä määrittelemiensä mahdollisuuksien hyödyntämiseksi ja strategian panemiseksi täytäntöön komissio on tehostanut merkittävästi yksityisyyden kansainvälistä ulottuvuutta koskevaa työtään hyödyntäen kaikilta osin tiedonsiirtoon käytettävissä olevaa välineistöä, kuten jäljempänä selitetään. Se on muun muassa aktiivisesti pyrkinyt saamaan keskeiset kumppanit mukaan, jotta voitaisiin saavuttaa riittäväksi katsottu tietosuojan taso. Tämä on tuottanut merkittäviä tuloksia, kuten maailman suurimman vapaiden ja turvallisten tietovirtojen alueen luominen EU:n ja Japanin välille.
Tietosuojan tason riittävyyttä koskevan työn lisäksi komissio on tehnyt tiivistä yhteistyötä tietosuojaviranomaisten kanssa Euroopan tietosuojaneuvostossa ja myös muiden sidosryhmien kanssa, jotta yleisen tietosuoja-asetuksen kansainvälisiä siirtoja koskevien joustavien sääntöjen kaikkia mahdollisuuksia voidaan hyödyntää. Tämä koskee vakiosopimuslausekkeiden kaltaisten välineiden nykyaikaistamista sekä sertifiointijärjestelmien, käytännesääntöjen tai hallinnollisten järjestelyjen kehittämistä viranomaisten välistä tietojenvaihtoa varten. Se koskee myös sellaisten keskeisten käsitteiden selventämistä, jotka liittyvät esimerkiksi EU:n tietosuojaa koskevien sääntöjen alueelliseen soveltamisalaan tai niin sanottujen poikkeusten käyttöön henkilötietojen siirrossa.
Lisäksi komissio on tiivistänyt vuoropuheluaan useilla kahden- ja monenvälisillä sekä alueellisilla foorumeilla edistääkseen yksityisyyden suojan kunnioittamisen kulttuuria maailmanlaajuisesti ja kehittääkseen erilaisten yksityisyyden suojajärjestelmien lähentymiseen vaikuttavia tekijöitä. Näissä toimissa komissio voi tukeutua Euroopan ulkosuhdehallinnon ja kolmansissa maissa ja kansainvälisissä järjestöissä toimivien EU:n edustustojen verkoston aktiiviseen tukeen. Tämän avulla on myös varmistettu EU:n politiikkojen ulkoisen ulottuvuuden eri näkökohtien yhdenmukaisuus ja parempi keskinäinen täydentävyys – olipa kyseessä kauppa tai EU:n ja Afrikan välinen uusi kumppanuus.
7.2Yleisen tietosuoja-asetuksen tiedonsiirtovälineistö
Kun entistä useampi yksityinen ja julkinen toimija käyttää tavallisessa toiminnassaan kansainvälisiä tietovirtoja, tarvitaan entistä enemmän joustavia välineitä, jotka voidaan mukauttaa eri aloille, liiketoimintamalleihin ja siirtämiseen liittyviin tilanteisiin. Yleinen tietosuoja-asetus tarjoaa näitä tarpeita varten modernin välineistön, jonka avulla helpotetaan henkilötietojen siirtoa EU:sta kolmanteen maahan tai kansainväliselle järjestölle ja varmistetaan samalla tietosuojan jatkuva korkea taso. Suojan jatkuvuus on tärkeää, koska nykymaailmassa tiedot liikkuvat helposti yli rajojen ja yleisen tietosuoja-asetuksen takaama suoja ei olisi täydellinen, jos se rajoittuisi ainoastaan EU:n sisällä tapahtuvaan käsittelyyn.
Lainsäätäjä on vahvistanut yleisen tietosuoja-asetuksen V luvussa tietojen siirtämistä koskevien sääntöjen rakenteen, joka oli jo olemassa direktiivin 95/46/EY nojalla: tietoja voidaan siirtää, jos komissio on todennut kolmannen maan tai kansainvälisen järjestön tietosuojan tason riittäväksi tai jos – tällaisen toteamuksen puuttuessa – EU:ssa sijaitseva rekisterinpitäjä tai henkilötietojen käsittelijä (’tietojen viejä’) on ryhtynyt asianmukaisiin suojatoimiin esimerkiksi tekemällä sopimuksen tietojen vastaanottajan (’tietojen tuoja’) kanssa. Lisäksi siirtojen lailliset perusteet (niin sanotut poikkeukset) ovat yhä käytettävissä tietyissä tilanteissa, joiden osalta lainsäätäjä katsoo, että etujen tasapaino mahdollistaa tiedonsiirron tiettyjen edellytysten täyttyessä. Samaan aikaan uudistuksessa on selvennetty ja yksinkertaistettu sääntöjä esimerkiksi säätämällä yksityiskohtaisesti ehdoista tietosuojan tason riittäväksi toteamista tai yrityksiä sitovia sääntöjä varten. Lupavaatimukset on rajattu tiettyihin harvoihin tapauksiin ja ilmoittamista koskevat vaatimukset on poistettu kokonaan. Lisäksi käyttöön on otettu uusia tietojen siirtoon liittyviä välineitä, kuten käytännesääntöjä tai sertifiointijärjestelmiä, ja olemassa olevien välineiden (esim. vakiosopimuslausekkeiden) käyttömahdollisuuksia on laajennettu.
Nykyinen digitaalitalous mahdollistaa sen, että ulkomaiset toimijat voivat osallistua (etänä mutta) suoraan EU:n sisämarkkinoille ja kilpailla eurooppalaisista asiakkaista ja heidän henkilötiedoistaan. Jos nämä toimijat kohdistavat tavaroiden tai palvelujen tarjonnan tai käyttäytymisen tarkkailun erityisesti eurooppalaisiin, niiden tulee noudattaa EU:n lainsäädäntöä samalla tavoin kuin EU:n toimijoiden. Tämä on otettu huomioon yleisen tietosuoja-asetuksen 3 artiklassa, jossa EU:n tietosuojasääntöjen suora soveltamisala ulotetaan tiettyihin EU:n ulkopuolisten rekisterinpitäjien ja henkilötietojen käsittelijöiden käsittelytoimiin. Tämä takaa tarvittavat suojatoimet ja lisäksi tasapuoliset toimintaedellytykset kaikille EU:n markkinoilla toimiville yrityksille.
Laaja kattavuus on yksi niistä syistä, joiden takia yleisen tietosuoja-asetuksen vaikutukset ovat ulottuneet myös muualle maailmassa. Euroopan tietosuojaneuvosto on antanut kattavan julkisen kuulemisen perusteella yksityiskohtaiset ohjeet alueellisesta soveltamisalasta. Ne ovat tärkeitä, koska ne auttavat ulkomaisia toimijoita arvioimaan, mihin niiden suorittamiin käsittelytoimiin sovelletaan suoraan yleisen tietosuoja-asetuksen suojatoimia. Niissä annetaan myös konkreettisia esimerkkejä.
EU:n tietosuojalainsäädännön soveltamisalan laajentaminen ei kuitenkaan itsessään riitä takaamaan sen noudattamista käytännössä. Kuten myös neuvosto on korostanut, on ratkaisevan tärkeää varmistaa, että ulkomaiset toimijat noudattavat tätä lainsäädäntöä, ja valvoa sitä tehokkaasti. Tässä yhteydessä keskeinen rooli olisi oltava EU:n aluetta varten nimettävällä edustajalla (yleisen tietosuoja-asetuksen 27 artiklan 1 ja 2 kohta), jonka puoleen yksilöt ja valvontaviranomaiset voivat kääntyä ulkomailta toimivan vastuussa olevan yrityksen lisäksi tai sen sijaan. Tällaista lähestymistapaa, jota noudatetaan yhä enemmän myös muissa yhteyksissä, olisi noudatettava vielä tiukemmin, jotta voidaan antaa selkeä viesti siitä, että ulkomainen toimija ei voi vapautua yleisen tietosuoja-asetuksen mukaisista velvollisuuksista sillä perusteella, että se ei ole sijoittautunut EU:n alueelle. Jos nämä toimijat eivät noudata velvollisuuttaan nimetä edustaja, valvontaviranomaisten olisi hyödynnettävä kaikkia yleisen tietosuoja-asetuksen 58 artiklassa säädettyjä täytäntöönpanovälineitä (esim. julkiset varoitukset, tietojen käsittelyn tilapäinen tai lopullinen kieltäminen EU:ssa, täytäntöönpanotoimet EU:hun sijoittautuneita yhteisrekisterinpitäjiä vastaan).
Lisäksi on erittäin tärkeää, että Euroopan tietosuojaneuvosto saattaa päätökseen työnsä, jolla selvennetään edelleen yleisen tietosuoja-asetuksen suoraa sovellettavuutta koskevan 3 artiklan ja V luvun kansainvälisiä siirtoja koskevien sääntöjen välistä suhdetta.
Tietosuojan tason riittävyyttä koskevat päätökset
Sidosryhmiltä saatu palaute vahvistaa, että tietosuojan tason riittävyyttä koskevat päätökset ovat edelleen keskeinen väline, jonka perusteella EU:n toimijat voivat siirtää turvallisesti henkilötietoja kolmansiin maihin. Tällaiset päätökset ovat kattavin, selkein ja kustannustehokkain ratkaisu kansainvälisiä tiedonsiirtoja varten, sillä siirrot rinnastuvat tällöin EU:n sisäisiin tiedonsiirtoihin, millä varmistetaan henkilötietojen turvallinen ja vapaa liikkuvuus ilman lisäehtoja tai lupien tarvetta. Tietosuojan tason riittävyyttä koskevat päätökset avaavat näin ollen EU:n toimijoille kaupallisia kanavia ja helpottavat viranomaisten välistä yhteistyötä samalla, kun ne tarjoavat etuoikeutetun pääsyn EU:n sisämarkkinoille. Vuoden 1995 direktiivin soveltamiskäytännön pohjalta yleisessä tietosuoja-asetuksessa on nimenomaisesti sallittu tietosuojan riittävyyden määrittäminen kolmannen maan tietyn maantieteellisen alueen, sektorin tai toimialan osalta (ns. osittainen riittävyyspäätös).
Yleinen tietosuoja-asetus perustuu aiempina vuosina saatuihin kokemuksiin ja selvennyksiin, jotka unionin tuomioistuin on antanut laatimalla yksityiskohtaisen luettelon tekijöistä, jotka komission on otettava arvioinnissaan huomioon. Tietosuojan tason riittävyyttä koskeva vaatimus edellyttää tietosuojan tasoa, joka on vertailukelpoinen (tai ”olennaisilta osin vastaava”) EU tason kanssa. Tämä edellyttää kattava arviointia kolmannen maan koko järjestelmästä, myös yksityisyyttä koskevien suojatoimien sisällöstä, niiden tosiasiallisesta täytäntöönpanosta ja täytäntöönpanon valvonnasta. Arvioiti kattaa myös säännöt, joiden nojalla viranomaiset voivat saada henkilötietoja erityisesti lainvalvontaan ja kansalliseen turvallisuuteen liittyviä tarkoituksia varten.
Tämä käy myös ilmi entisen artiklan 29 mukaisen tietosuojatyöryhmän antamista (ja Euroopan tietosuojaneuvoston hyväksymistä) ohjeista, erityisesti niin sanotuista ”tietosuojan riittävyyden viitearvoista”. Ne selventävät edelleen tekijöitä, jotka komission on otettava huomioon tietosuojan tason riittävyyttä koskevassa arvioinnissaan, muun muassa esittämällä yleiskatsauksen ”olennaisiin takeisiin”, jotka liittyvät viranomaisten mahdollisuuksiin saada henkilötietoja. Viimeksi mainittu perustuu erityisesti Euroopan ihmisoikeustuomioistuimen oikeuskäytäntöön. Vaikka vastaavuutta olennaisilta osin koskevaan vaatimukseen ei sisälly EU:n sääntöjen kohta kohdalta toisintamista, koska tietosuojan vertailukelpoisen tason varmistamisen keinot voivat vaihdella erilaisten ja usein erilaisia oikeudellisia perinteitä kuvastavien yksityisyyden suojaa koskevien järjestelmien välillä, siinä edellytetään kuitenkin vahvaa tietosuojan tasoa.
Tämän vaatimus perustuu siihen, että tietosuojan tason riittävyyttä koskeva päätös käytännössä ulottaa sisämarkkinoiden edut tietojen vapaan liikkuvuuden osalta kolmanteen maahan. Tämä tarkoittaa kuitenkin myös sitä, että kyseessä olevassa kolmannessa maassa taatussa suojelun tasossa on joskus yleiseen tietosuoja-asetukseen verrattuna merkityksellisiä eroja, jotka on poistettava esimerkiksi neuvottelemalla täydentävistä suojatoimista. Tällaisiin suojatoimiin olisi suhtauduttava myönteisesti, sillä ne vahvistavat edelleen yksilöiden käytettävissä olevia suojatoimia EU:ssa. Samaan aikaan komissio on yhtä mieltä Euroopan tietosuojaneuvoston kanssa siitä, että on tärkeää seurata jatkuvasti näiden suojatoimien soveltamista käytännössä, myös kyseisen kolmannen maan tietosuojaviranomaisen tosiasiallisia lainvalvontatoimia.
Yleisessä tietosuoja-asetuksessa selvennetään, että tietosuojan tason riittävyyttä koskevat päätökset ovat luonteeltaan muuttuvia, ja ne edellyttävät jatkuvaa seurantaa ja säännöllistä arviointia. Komissio vaihtaa näiden vaatimusten mukaisesti säännöllisesti tietoja asiaankuuluvien viranomaisten kanssa seuratakseen uusia kehityssuuntauksia ennakoivasti. Esimerkiksi EU:n ja Yhdysvaltojen välistä Privacy Shield ‑järjestelyä koskevan vuoden 2016 päätöksen jälkeen komissio on suorittanut yhdessä Euroopan tietosuojaneuvoston edustajien kanssa kolme vuotuista tarkastelua, joissa on arvioitu kaikkia kehyksen toimintaan liittyviä tekijöitä. Nämä tarkastelut perustuivat tietojenvaihtoon Yhdysvaltojen viranomaisten kanssa ja muilta sidosryhmiltä, kuten EU:n tietosuojaviranomaisilta, kansalaisyhteiskunnalta ja toimialajärjestöiltä, saatuihin tietoihin. Niiden myötä on voitu parantaa kehyksen eri tekijöiden käytännön toimivuutta. Yleensäkin vuotuiset tarkastelut ovat edistäneet laajemman vuoropuhelun vakiinnuttamista Yhdysvaltojen viranomaisten kanssa. Vuoropuhelua käydään yleisesti ottaen yksityisyydestä ja erityisesti kansalliseen turvallisuuteen liittyvistä rajoituksista ja suojatoimista.
Ensimmäisessä yleisen tietosuoja-asetuksen arvioinnissaan komission on tarkasteltava myös vuoden 1995 direktiivin nojalla tehtyjä tietosuojan tason riittävyyttä koskevia päätöksiä. Komission yksiköt ovat käyneet tiivistä vuoropuhelua asianomaisten 11 maan ja alueen kanssa sen arvioimiseksi, miten niiden henkilötietoja suojelevat järjestelmät ovat kehittyneet tietosuojan tason riittävyyttä koskevan päätöksen tekemisen jälkeen ja täyttävätkö ne yleisessä tietosuoja-asetuksessa asetetut vaatimukset. Koska nämä päätökset ovat keskeinen kaupan ja kansainvälisen yhteistyön väline, tarve varmistaa niiden voimassaolon jatkuminen on yksi tekijä, joka on kannustanut monia näistä maista ja alueista uudistamaan ja vahvistamaan yksityisyyden suojaa koskevaa lainsäädäntöään. Nämä ovat todellakin myönteisiä kehitysaskeleita. Joidenkin maiden ja alueiden kanssa keskustellaan täydentävistä suojatoimista tietosuojan tasossa havaittujen erojen korjaamiseksi.
Koska unionin tuomioistuin saattaa 16. heinäkuuta annettavassa tuomiossaan tarkentaa joitakin tietosuojan tason riittävyyteen liittyviä tekijöitä, komissio aikoo raportoida mainittujen 11 tietosuojan tason riittävyyttä koskevan päätöksen arvioinnista erikseen sen jälkeen, kun tuomioistuin on antanut tuomionsa kyseisessä asiassa.
Komissio aloitti vuoden 2017 tiedonannossaan ”Henkilötietojen vaihtaminen ja suojaaminen globalisoituneessa maailmassa” esitetyn strategian täytäntöönpanemiseksi myös uusia tietosuojan tason riittävyyttä koskevia vuoropuheluja. Tämä on jo tuottanut merkittäviä tuloksia keskeisten EU:n kumppaneiden kanssa. Komissio hyväksyi Japanin tietosuojan tason riittävyyttä koskevan päätöksen tammikuussa 2019. Se perustuu pitkälle edenneeseen lähentymiseen, myös erityisten suojatoimien avulla esimerkiksi henkilötietojen eteenpäin siirtämisen alalla. Lähentymistä on lisännyt myös mekanismi, jonka avulla tutkitaan ja ratkaistaan yksilöiden valituksia, jotka koskevat viranomaisten pääsyä henkilötietoihin lainvalvontaan ja kansalliseen turvallisuuteen liittyviä tarkoituksia varten.
Japanin kanssa sovittu kehys on ensimmäinen yleisen tietosuoja-asetuksen mukaisesti hyväksytty päätös tietosuojan tason riittävyydestä ja hyödyllinen ennakkotapaus tulevia päätöksiä varten. Sen yhteydessä myös Japani totesi vastavuoroisesti EU:n tietosuojan tason riittäväksi. Nämä vastavuoroiset tietosuojan tason riittävyyttä koskevat toteamukset luovat yhdessä maailman suurimman henkilötietojen turvallisen ja vapaan liikkuvuuden alueen, joka täydentää EU:n ja Japanin välistä talouskumppanuussopimusta. Järjestely tukee noin 124 miljardin euron arvoista vuotuista tavarakauppaa ja 42,5 miljardin euron arvoista vuotuista palvelukauppaa.
|
Tietosuojan tason riittävyyttä koskeva prosessi on pitkällä myös Etelä-Korean kanssa. Yksi tärkeä tämän prosessin tulos on se, että Etelä-Korean äskettäinen lainsäädäntöuudistus johti siihen, että maahan perustettiin riippumaton tietosuojaviranomainen, jolla on vahvat täytäntöönpanovaltuudet. Tämä osoittaa, miten tietosuojan tason riittävyyttä koskeva vuoropuhelu voi edistää EU:n ja kolmannen maan tietosuojaa koskevien sääntöjen lähentymistä.
Komissio on täysin yhtä mieltä sidosryhmien toiveesta voimistaa vuoropuhelua tiettyjen kolmansien maiden kanssa mahdollisia uusia tietosuojan riittävyyttä koskevia toteamuksia silmällä pitäen. Komissio selvittää aktiivisesti vuoropuhelun mahdollisuutta muiden tärkeiden Aasiassa, Latinalaisessa Amerikassa ja naapurialueilla sijaitsevien kumppaneiden kanssa tietosuojavaatimusten nykyisen maailmanlaajuisen noususuuntaisen lähentymisen pohjalta. Kattavaa yksityisyyttä koskevaa lainsäädäntöä on annettu tai sen säätämisessä on päästy pitkälle esimerkiksi Latinalaisessa Amerikassa (Brasilia ja Chile). Lisäksi lupaavaa kehitystä on havaittavissa Aasiassa (esim. Intia, Indonesia, Malesia, Sri Lanka, Taiwan ja Thaimaa), Afrikassa (esim. Etiopia ja Kenia) sekä Euroopan itäisissä ja eteläisissä naapurimaissa (esim. Georgia ja Tunisia). Komissio edistää mahdollisuuksien mukaan kokonaisvaltaisia tietosuojan tason riittävyyttä koskevia päätöksiä, jotka kattavat sekä yksityisen että julkisen sektorin.
Lisäksi yleisessä tietosuoja-asetuksessa on säädetty komission mahdollisuudesta todeta kansainvälisten järjestöjen tietosuojan taso riittäväksi. Tätä mahdollisuutta voitaisiin hyödyntää nyt ensimmäistä kertaa, kun jotkin kansainvälisiset järjestöt ovat nykyaikaistamassa tietosuojajärjestelmiään ottamalla käyttöön kattavia sääntöjä ja mekanismeja, jotka mahdollistavat riippumattoman valvonnan ja oikeussuojan.
Tietosuojan tason riittävyydellä on keskeinen merkitys myös Yhdistyneen kuningaskunnan kanssa brexitin jälkeen solmittavan suhteen kannalta, jos edellytykset tällaisen päätöksen tekemiselle täyttyvät. Päätös on tärkeä kaupankäynnin, myös sähköisen kaupankäynnin, mahdollistava tekijä ja välttämätön edellytys tiiviille ja kunnianhimoiselle yhteistyölle lainvalvonnan ja turvallisuuden alalla. Lisäksi kun otetaan huomioon EU:n ja Yhdistyneen kuningaskunnan välisten tietovirtojen merkitys ja maan läheisyys EU:n markkinoihin, tietosuojasääntöjen pitkälle viety lähentyminen Englannin kanaalin molemmin puolin on tärkeä tekijä tasapuolisten toimintaedellytysten varmistamisessa. Kuten Euroopan unionin ja Yhdistyneen kuningaskunnan tulevaa suhdetta koskevasta kehyksestä annetussa poliittisessa julistuksessa edellytetään, komissio laatii parhaillaan sekä yleisen tietosuoja-asetuksen että lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta annetun direktiivin mukaista riittävyysarviointia. Koska tietosuojan tason riittävyyttä koskevat arvioinnit ovat luonteeltaan itsenäisiä ja yksipuolisia, näitä keskusteluja käydään erillään neuvotteluista, jotka liittyvät EU:n ja Yhdistyneen kuningaskunnan tulevaa suhdetta koskevaan sopimukseen.
|
Lisäksi komissio suhtautuu myönteisesti siihen, että muut maat ovat ottamassa käyttöön tiedonsiirtoa koskevia mekanismeja, jotka vastaavat tietosuojan tason riittävyyden toteamista. Näin tehdessään ne usein tunnustavat EU:n ja sellaiset maat turvallisiksi siirtojen kohteiksi, joiden tietosuojan tason komissio on todennut riittäväksi. Kun tulee yhä enemmän maita, jotka hyötyvät yhtäältä EU:n tekemistä tietosuojan tason riittävyyttä koskevista päätöksistä ja toisaalta tällaisesta muiden maiden myöntämästä tunnustuksesta, se voi auttaa luomaan sellaisten maiden verkoston, joiden välillä tiedot voivat liikkua vapaasti ja turvallisesti. Komissio pitää tätä myönteisenä kehityksenä, joka lisää edelleen tietosuojan tason riittävyyttä koskevan päätöksen hyötyjä kolmansille maille ja edistää maailmanlaajuista lähentymistä. Tällaiset synergiat voivat myös edistää kehysten laatimista tietojen turvallista ja vapaata liikkumista varten, esimerkiksi Data Free Flow with Trust ‑aloitteen (ks. jäljempänä) yhteydessä.
Asianmukaiset suojatoimet
Yleisessä tietosuoja-asetuksessa säädetään useista muista siirtovälineistä sen kattavan ratkaisun lisäksi, jonka tarjoaa tietosuojan tason toteaminen riittäväksi. Tämän välineistön joustavuus käy ilmi yleisen tietosuoja-asetuksen 46 artiklasta, jolla säännellään tiedonsiirtoja asianmukaisia suojatoimia soveltaen. Niitä ovat muun muassa rekisteröityjen täytäntöönpanokelpoiset oikeudet ja tehokkaat oikeussuojakeinot. Asianmukaisten suojatoimien takaamista varten käytettävissä on erilaisia välineitä, jotka palvelevat sekä kaupallisten toimijoiden että julkisten elinten siirtotarpeita.
·Vakiosopimuslausekkeet
Näiden välineiden ensimmäinen ryhmä sisältää sopimusvälineitä, jotka voivat olla joko EU:n tietojen viejän ja EU:n ulkopuolisen tietojen tuojan välillä toimivaltaisen viranomaisen luvalla sovittuja mukautettuja tilapäisiä tietosuojalausekkeita (yleisen tietosuoja-asetuksen 46 artiklan 3 kohdan a alakohta) tai komission etukäteen hyväksymiä mallilausekkeita (yleisen tietosuoja-asetuksen 46 artiklan 2 kohdan c ja d alakohta). Näistä välineistä tärkeimpiä ovat niin sanotut vakiosopimuslausekkeet eli tietosuojaa koskevat mallilausekkeet, joita tietojen viejä ja tietojen tuoja voivat sisällyttää sopimusjärjestelyihinsä (esim. palvelusopimus, joka edellyttää henkilötietojen siirtoa) vapaaehtoisesti ja joissa määritellään asianmukaisiin suojatoimiin liittyvät vaatimukset.
Vakiosopimuslausekkeet ovat selvästi eniten käytetty tiedonsiirtomekanismi. Tuhannet EU:n yritykset käyttävät vakiosopimuslausekkeita, jotta ne voivat tarjota monia erilaisia palveluja asiakkailleen, tavarantoimittajilleen, kumppaneilleen ja työntekijöilleen. Niihin kuuluu myös talouden toimivuuden kannalta välttämättömiä palveluja. Näiden lausekkeiden laajamittainen käyttö viittaa siihen, että ne ovat yrityksille erittäin hyödyllisiä niiden pyrkiessä noudattamaan sääntöjä. Ne myös hyödyttävät erityisesti yrityksiä, joilla ei ole resursseja neuvotella yksittäisiä sopimuksia jokaisen liikekumppaninsa kanssa. Standardoidut ja etukäteen hyväksytyt vakiosopimuslausekkeet ovat yrityksille helppokäyttöinen väline, jonka avulla ne voivat täyttää tietosuojavaatimukset siirtojen yhteydessä.
Nykyiset vakiosopimuslausekkeet on laadittu ja hyväksytty vuoden 1995 direktiivin pohjalta. Nämä vakiosopimuslausekkeet ovat voimassa siihen saakka, kunnes niitä muutetaan tai ne korvataan tai kumotaan tarpeen mukaan komission päätöksellä (yleisen tietosuoja-asetuksen 46 artiklan 5 kohta). Yleinen tietosuoja-asetus laajentaa vakiosopimuslausekkeiden käyttömahdollisuuksia sekä EU:ssa että kansainvälisissä tiedonsiirroissa. Komissio tekee yhteistyötä sidosryhmien kanssa, jotta näitä mahdollisuuksia voitaisiin hyödyntää ja nykyisiä lausekkeita voitaisiin päivittää. Jotta tulevaisuudessa muotoiltavat vakiosopimuslausekkeet olisivat varmasti tarkoituksenmukaisia, komissio on kerännyt palautetta sidosryhmien vakiosopimuslausekkeita koskevista kokemuksista. Sitä on kerätty yleisen tietosuoja-asetuksen monisidosryhmäisen asiantuntijaryhmän ja syyskuussa 2019 järjestetyn asiaa käsitelleen työpajan välityksellä mutta myös olemalla yhteydessä moniin vakiosopimuslausekkeita käyttäviin yrityksiin ja kansalaisjärjestöihin. Euroopan tietosuojaneuvosto on myös saattamassa ajan tasalle useita ohjeita, jotka voisivat olla hyödyllisiä vakiosopimuslausekkeiden uudelleenarvioinnissa esimerkiksi rekisterinpitäjän ja henkilötietojen käsittelijän käsitteiden osalta.
Komission yksiköt tarkistavat parhaillaan vakiosopimuslausekkeita saadun palautteen perusteella. Tässä yhteydessä on määritelty useita parannuskohteita, jotka liittyvät erityisesti seuraaviin näkökohtiin:
1.vakiosopimuslausekkeiden saattaminen ajan tasalle niin, että otetaan huomioon yleisessä tietosuoja-asetuksessa säädetyt uudet vaatimukset, kuten rekisterinpitäjän ja henkilötietojen käsittelijän suhdetta koskevat yleisen tietosuoja-asetuksen 28 artiklan vaatimukset (erityisesti henkilötietojen käsittelijän velvollisuudet), tietojen tuojaa koskevat läpinäkyvyyteen liittyvät velvollisuudet (rekisteröidylle annettavien tarvittavien tietojen osalta) jne.;
2.erilaiset siirtämistä koskevat skenaariot, joita nykyiset vakiosopimuslausekkeet eivät kata, kuten tietojen siirtäminen EU:ssa sijaitsevalta henkilötietojen käsittelijältä EU:n ulkopuoliselle henkilötietojen (alemman tason) käsittelijälle, sekä esimerkiksi tilanteet, joissa rekisterinpitäjä sijaitsee EU:n ulkopuolella;
3.modernin digitaalitalouden käsittelytoimia koskevien realiteettien parempi huomioon ottaminen, sillä tällaisiin toimiin liittyy usein useita tietojen tuojia ja viejiä, pitkiä ja usein monimutkaisia käsittelyketjuja, muuttuvia liikesuhteita jne. Tällaisten tilanteiden vuoksi tarkastellaan muun muassa mahdollisuutta sallia se, että useat osapuolet voisivat allekirjoittaa vakiosopimuslausekkeita tai että niihin voisi liittyä uusia osapuolia koko sopimuksen keston ajan.
Komissio harkitsee näiden seikkojen vuoksi myös tapoja, joilla nykyisestä vakiosopimuslausekkeiden järjestelmästä voitaisiin tehdä käyttäjäystävällisempi esimerkiksi korvaamalla eri vakiosopimuslausekkeiden sarjat yhdellä asiakirjalla, joka kokoaa ne yhteen. Haasteena on löytää hyvä tasapaino yhtäältä tarvittavan selkeyden ja tietynasteisen standardoinnin ja toisaalta sellaisen tarvittavan joustavuuden välillä, jonka ansiosta eri toimijat, joilla on erilaisia vaatimuksia, voivat käyttää lausekkeita erilaisissa tilanteissa ja erilaisia siirtoja varten.
Toinen tärkeä huomioon otettava näkökohta on se, että unionin tuomioistuimessa tällä hetkellä käsiteltävänä olevan riita-asian perusteella vaikuttaa siltä, että suojatoimia on mahdollisesti selvennettävä edelleen sen osalta, miten ulkomaiden viranomaiset voivat saada vakiosopimuslausekkeiden perusteella siirrettyjä tietoja erityisesti kansalliseen turvallisuuteen liittyviä tarkoituksia varten. Tämä saattaa edellyttää, että tietojen tuojan tai viejän tai molempien on ryhdyttävä toimenpiteisiin ja että tietosuojaviranomaisten roolia selvennetään tältä osin. Vaikka vakiosopimuslausekkeiden tarkistamisessa on edetty jo pitkälle, on vielä odotettava unionin tuomioistuimen tuomiota, jotta tarkistetuissa lausekkeissa voidaan ottaa huomioon mahdolliset lisävaatimukset ennen kuin luonnos päätökseksi uusista vakiosopimuslausekkeista voidaan toimittaa Euroopan tietosuojaneuvostolle lausuntoa varten ja ennen kuin niitä voidaan ehdottaa sen jälkeen hyväksyttäviksi komiteamenettelyssä.
Komissio on tämän lisäksi yhteydessä kansainvälisiin kumppaneihin, jotka kehittävät samanlaisia välineitä. Tämä kokemusten ja parhaiden käytäntöjen vaihdon mahdollistava vuoropuhelu saattaa edistää merkittävästi käytännön lähentymistä ja siten auttaa eri puolilla maailmaa toimivia yrityksiä noudattamaan maiden rajat ylittäviä siirtoja koskevia sääntöjä.
·Yritystä koskevat sitovat säännöt
Toinen tärkeä väline ovat niin sanotut yritystä koskevat sitovat säännöt. Ne ovat oikeudellisesti sitovia käytäntöjä ja järjestelyjä, joita sovelletaan yritysryhmän jäseniin ja myös näiden yritysten työntekijöihin (yleisen tietosuoja-asetuksen 46 artiklan 2 kohdan b alakohta ja 47 artikla). Yritystä koskevilla sitovilla säännöillä henkilötiedot voivat liikkua vapaasti koko maailmassa ryhmän eri jäsenten kesken, jolloin ei tarvita sopimusjärjestelyjä jokaisen yrityksen välillä. Samalla niiden avulla varmistetaan, että koko ryhmässä noudatetaan samaa tietosuojan korkeaa tasoa. Nämä säännöt soveltuvat erityisen hyvin monimutkaisille ja suurille yritysryhmille ja tietoja useiden eri lainkäyttöalueiden välillä vaihtavien yritysten tiiviiseen yhteistyöhön. Toisin kuin vuoden 1995 direktiivin nojalla, yleisen tietosuoja-asetuksen mukaan yritystä koskevia sitovia sääntöjä voi käyttää ryhmä yrityksiä, jotka osallistuvat yhteiseen taloudelliseen toimintaan mutta jotka eivät ole kuitenkaan kuulu samaan konserniin.
Menettelyllisesti toimivaltaisten tietosuojaviranomaisten on hyväksyttävä yritystä koskevat sitovat säännöt Euroopan tietosuojaneuvoston ei-sitovan lausunnon perusteella. Tämän prosessin ohjaamiseksi Euroopan tietosuojaneuvosto on tarkistanut yritystä koskevien sitovien sääntöjen viitearvoja (joissa vahvistetaan aineelliset vaatimukset) rekisterinpitäjien ja henkilötietojen käsittelijöiden osalta yleisen tietosuoja-asetuksen pohjalta. Se myös päivittää näitä asiakirjoja jatkossa valvontaviranomaisten saamien käytännön kokemusten perusteella. Tietosuojaneuvosto on myös antanut hakijoiden avuksi erilaisia ohjeasiakirjoja ja virtaviivaistanut haku- ja hyväksyntäprosessia yritystä koskevien sitovien sääntöjen osalta. Tietosuojaneuvoston mukaan hyväksymistä odottaa tällä hetkellä yli 40 yritystä koskevaa sitovaa sääntöä, joista puolet on määrä hyväksyä vuoden 2020 loppuun mennessä. On tärkeää, että tietosuojaviranomaiset jatkavat työtä, jolla pyritään virtaviivaistamaan edelleen hyväksymisprosessia, sillä sidosryhmät mainitsevat usein, että tällaisten menettelyjen pituus on käytännön este yritystä koskevien sitovien sääntöjen laajemmalle käytölle.
Lisäksi yritykset voivat jatkaa Yhdistyneen kuningaskunnan tietosuojaviranomaisen (Information Commissioner Office) hyväksymien yritystä koskevien sitovien sääntöjen käyttöä yleisen tietosuoja-asetuksen mukaisena hyväksyttävänä siirtomekanismina EU:n ja Yhdistyneen kuningaskunnan välisen erosopimuksen siirtymäkauden päätyttyä, mutta ainoastaan sillä ehdolla, että näitä sääntöjä muutetaan siten, että kaikki yhteydet Yhdistyneen kuningaskunnan oikeusjärjestykseen korvataan asianmukaisilla viittauksilla yrityksiin ja toimivaltaisiin viranomaisiin EU:n alueella. Mahdollisten uusien yritystä koskevien sitovien sääntöjen hyväksyntää olisi haettava joltakin EU:ssa sijaitsevalta valvontaviranomaiselta.
·Sertifiointimekanismit ja käytännesäännöt
Jo olemassa olevien siirtovälineiden nykyaikaistamisen ja soveltamisalan laajentamisen lisäksi yleisellä tietosuoja-asetuksella otettiin käyttöön myös uusia välineitä ja laajennettiin siten kansainvälisten tiedonsiirtojen mahdollisuuksia. Näihin sisältyvät, tietyin ehdoin, hyväksytyt käytännesäännöt ja sertifiointimekanismit (kuten tietosuojasinetit tai -merkit) asianmukaisten suojatoimien varmistamiseksi. Nämä ovat alhaalta ylöspäin suuntautuvia välineitä, joilla saadaan käyttöön räätälöityjä ratkaisuja yleisenä osoituksena sääntöjen noudattamisesta (ks. yleisen tietosuoja-asetuksen 40–42 artikla) erityisesti kansainvälisten tiedonsiirtojen yhteydessä. Niissä otetaan huomioon esimerkiksi tietyn alan ominaispiirteet ja tarpeet tai tyypilliset tietovirrat. Käytännesäännöillä velvoitteet voidaan mukauttaa riskeihin. Tämän vuoksi ne voivat olla pienille ja keskisuurille yrityksille myös erittäin hyödyllinen ja kustannustehokas tapa täyttää yleisestä tietosuoja-asetuksesta johtuvat velvoitteet.
Euroopan tietosuojaneuvosto on jo antanut ohjeet, joiden tarkoituksena on edistää sertifiointimekanismien käyttöä EU:ssa, mutta se ei ole vielä saanut valmiiksi perusteita, joiden nojalla sertifiointimekanismeja voidaan hyväksyä kansainvälisiksi siirtovälineiksi. Sama pätee myös käytännesääntöihin, joiden osalta Euroopan tietosuojaneuvosto laatii parhaillaan ohjeita siitä, miten niitä voidaan käyttää siirtovälineinä.
Komissio kehottaa Euroopan tietosuojaneuvostoa viimeistelemään nämä ohjeet mahdollisimman pian, koska on tärkeää tarjota toimijoille laaja valikoima heidän tarpeisiinsa soveltuvia siirtovälineitä ja sertifiointimekanismeilla voidaan edistää tiedonsiirtoja ja varmistaa tietosuojan korkea taso. Tämä koskee sekä aineellisia (perusteet) että menettelyllisiä (hyväksyntä, seuranta jne.) näkökohtia. Sidosryhmät ovat olleet hyvin kiinnostuneita näistä siirtomekanismeista. Sidosryhmien olisikin voitava hyödyntää täysimääräisesti yleisen tietosuoja-asetuksen tarjoamia välineitä. Euroopan tietosuojaneuvoston ohjeet edistäisivät myös EU:n tietosuojamallia maailmanlaajuisella tasolla ja lähentäisivät maailman maita toisiinsa, sillä muissa yksityisyyden suojaa koskevissa järjestelmissä käytetään samanlaisia välineitä.
Arvokkaita kokemuksia voidaan saada nykyisistä standardointitoimista, joita on toteutettu yksityisyyden suojan alalla sekä eurooppalaisella että kansainvälisellä tasolla. Yksi mielenkiintoinen esimerkki on äskettäin julkaistu kansainvälinen ISO 27701 ‑standardi. Sen tavoitteena on auttaa yrityksiä täyttämään yksityisyyden suojaa koskevat vaatimukset ja hallitsemaan henkilötietojen käsittelyyn liittyviä riskejä yksityisyyden suojaan liittyvien tietojen hallintajärjestelmien avulla. Vaikka standardin mukainen sertifiointi ei sinällään täytä yleisen tietosuoja-asetuksen 42 ja 43 artiklan vaatimuksia, yksityisyyden suojaan liittyvien tietojen hallintajärjestelmien käyttö voi edistää osoitusvelvollisuuden täyttämistä, myös kansainvälisissä tiedonsiirroissa.
·Kansainväliset sopimukset ja hallinnolliset järjestelyt
Yleisen tietosuoja-asetuksen ansiosta voidaan myös varmistaa asianmukaiset suojatoimet kansainvälisten sopimusten nojalla (46 artiklan 2 kohdan a alakohta) tai hallinnollisten järjestelyjen (46 artiklan 3 alakohdan b alakohta) perusteella tehtävissä viranomaisten tai julkisten elinten välisissä tiedonsiirroissa. Molempien välineiden on taattava sama tulos suojatoimien ja myös rekisteröityjen täytäntöönpanokelpoisten oikeuksien ja tehokkaiden oikeussuojakeinojen osalta, mutta ne eroavat toisistaan oikeudellisen luonteensa ja hyväksymismenettelynsä osalta.
Toisin kuin kansainväliset sopimukset, jotka luovat sitovia kansainväliseen oikeuteen perustuvia velvoitteita, hallinnolliset järjestelyt (esim. yhteisymmärryspöytäkirjat) eivät yleensä ole sitovia vaan ne edellyttävät toimivaltaisen tietosuojaviranomaisen ennakkohyväksyntää (ks. myös yleisen tietosuoja-asetuksen johdanto-osan 108 kappale). Yksi varhainen esimerkki koskee hallinnollista järjestelyä henkilötietojen siirtämiseksi sellaisten ETA-alueen sisäisten ja ulkopuolisten finanssivalvojien välillä, jotka tekevät yhteistyötä kansainvälisessä arvopaperimarkkinavalvojien yhteisössä (IOSCO). Euroopan tietosuojaneuvosto antoi tästä aiheesta lausunnon vuoden 2019 alussa. Sittemmin Euroopan tietosuojaneuvosto on kehittänyt edelleen tulkintaansa vähimmäissuojatoimista, jotka on taattava viranomaisten tai julkisten elinten (myös kansainvälisten järjestöjen) välisissä kansainvälisissä (yhteistyö)sopimuksissa ja hallinnollisissa järjestelyissä yleisen tietosuoja-asetuksen 46 artiklan vaatimusten noudattamiseksi. Euroopan tietosuojaneuvosto antoi 18. tammikuuta 2020 lausunnon, joka vastaa jäsenvaltioiden pyyntöön saada selvennystä ja ohjeita siitä, mitä voidaan pitää asianmukaisina suojatoimina viranomaisten välisissä siirroissa. Euroopan tietosuojaneuvosto suosittelee painokkaasti, että viranomaiset käyttäisivät näitä ohjeita vertailukohtana kolmansien osapuolten kanssa käymissään neuvotteluissa.
Nämä ohjeet osoittavat tällaisten välineiden suunnitteluun liittyvän joustavuuden, joka koskee myös valvonnan ja oikeussuojakeinojen kaltaisia tärkeitä näkökohtia. Viranomaisten pitäisi selviytyä tämän avulla vaikeuksista, joita liittyy esimerkiksi rekisteröityjen täytäntöönpanokelpoisten oikeuksien varmistamiseen sitomattomien järjestelyjen avulla. Tällaisten järjestelyjen osalta on tärkeää, että toimivaltainen tietosuojaviranomainen seuraa niitä jatkuvasti – tietoja ja tietojen säilyttämistä koskevien vaatimusten mukaisesti – ja että tietojen siirto keskeytetään, jos asianmukaisia suojatoimia ei voida enää taata käytännössä.
Poikkeukset
Yleisessä tietosuoja-asetuksessa selvennetään myös niin sanottujen poikkeusten käyttöä. Ne ovat tiedonsiirtoja koskevia erityisiä perusteita (esim. nimenomainen suostumus, sopimuksen täytäntöönpano tai yleisen edun mukaiset tärkeät syyt), jotka on tunnustettu lainsäädännössä ja joihin toimijat voivat turvautua tietyin ehdoin, jos käytettävissä ei ole muita siirtovälineitä.
Euroopan tietosuojaneuvosto on antanut tällaisten laillisten perusteiden käytön selventämiseksi ohjeet ja tulkinnut 49 artiklaa useissa tapauksissa, jotka liittyvät tiettyihin siirtoskenaarioihin. Poikkeusten poikkeusluonteen vuoksi tietosuojaneuvosto katsoo, että niitä on tulkittava suppeasti ja tapauskohtaisesti. Suppeasta tulkinnasta huolimatta nämä perusteet koskevat monenlaisia siirtoskenaarioita. Niitä ovat erityisesti sekä viranomaisten että yksityisten toimijoiden tekemät tiedonsiirrot ”yleistä etua koskevien tärkeiden syiden vuoksi”, esimerkiksi kilpailu-, finanssi-, vero- tai tulliviranomaisten tai sosiaaliturvasta tai kansanterveydestä vastaavien viranomaisten välillä (esimerkiksi silloin, kun jäljitetään tartuntatauteja tai torjutaan dopingin käyttöä urheilussa). Toinen alue on rajatylittävä lainvalvontayhteistyö rikosasioissa, erityisesti vakavien rikosten osalta.
Tietosuojaneuvosto on selventänyt, että vaikka asiaan liittyvä yleinen etu on tunnustettava EU:n tai jäsenvaltioiden lainsäädännössä, se voidaan todeta myös sellaisen kansainvälisen sopimuksen tai yleissopimuksen perusteella, jossa tunnustetaan tietty tavoite ja määrätään kansainvälisestä yhteistyöstä tämän tavoitteen edistämiseksi. Tällaisen sopimuksen olemassaololla voi olla merkitystä arvioitaessa 49 artiklan 1 kohdan d alakohdan mukaisen yleisen edun olemassaoloa, kunhan EU tai jäsenvaltiot ovat kyseisen sopimuksen tai yleissopimuksen osapuolia.
Ulkomaisten tuomioistuinten tai viranomaisten päätökset eivät ole peruste siirroille
Yleisen tietosuoja-asetuksen V luvussa vahvistetaan selvästi tiedonsiirtojen perusteet. Sen lisäksi 48 artiklassa selvennetään myös, että EU:n ulkopuolisten tuomioistuinten määräykset ja hallintoviranomaisten päätökset eivät ole itsessään tällaisia perusteita, jollei niitä ole tunnustettu tai tehty täytäntöönpanokelpoisiksi kansainvälisen sopimuksen (esim. vastavuoroista oikeusapua koskevan sopimuksen) perusteella. Jos pyynnön vastaanottanut toimija EU:ssa luovuttaa tietoja ulkomaiselle tuomioistuimelle tai viranomaiselle tällaisen määräyksen tai päätöksen nojalla, kyseessä on kansainvälinen tiedonsiirto, jonka on perustuttava johonkin edellä mainituista siirtovälineistä.
Yleinen tietosuoja-asetus ei ole ”ulkomaisen lainsäädännön vaikutukset estävä säädös”, vaan siinä sallitaan tietyin ehdoin tietojen siirtäminen kolmannen maan lainvalvontaviranomaisten esittämän asianmukaisen pyynnön perusteella. Tärkeää on, että EU:n lainsäädäntö määrittää sellaiset tilanteet sekä suojatoimet, joiden perusteella tällaisia siirtoja voidaan tehdä.
Komissio selitti asiassa Microsoft Yhdysvaltain korkeimmalle oikeudelle yleisen tietosuoja-asetuksen 48 artiklan toimintaa ja yleistä etua koskevan poikkeuksen käyttömahdollisuutta ulkomaisen rikosoikeudellisen lainvalvontaviranomaisen antaman esittämismääräyksen (warrant) yhteydessä. Komissio korosti lausunnossaan EU:n etua varmistaa, että lainvalvontayhteistyö tapahtuu sellaisen oikeudellisen kehyksen puitteissa, jonka avulla vältetään lainvalintatilanteet ja joka perustuu [...] kummankin osapuolen olennaisten etujen kunnioittamiseen sekä yksityisyyden että lainvalvonnan osalta. Se korosti erityisesti, että kansainvälisen julkisoikeuden näkökulmasta tilanteessa, jossa viranomainen vaatii lainkäyttöalueelleen sijoittautunutta yritystä esittämään vieraalla lainkäyttöalueella sijaitsevalle palvelimelle tallennettuja sähköisiä tietoja, noudatetaan kansainvälisen julkisoikeuden alueellisuutta ja kohteliaisuutta koskevia periaatteita.
Tämä käy myös ilmi komission ehdotuksesta asetukseksi sähköistä todistusaineistoa rikosoikeudellisissa asioissa koskevista eurooppalaisista esittämis- ja säilyttämismääräyksistä. Se sisältää erityisen ”kohteliaisuuslausekkeen”, jonka nojalla on mahdollista vastustaa esittämismääräystä, jos sen noudattaminen olisi ristiriidassa tietojen luovuttamisen kieltävän kolmannen maan lainsäädännön kanssa, erityisesti sillä perusteella, että kielto on tarpeen asianomaisten yksilöiden perusoikeuksien suojelemiseksi.
|
Kohteliaisuusperiaatteen varmistaminen on tärkeää, koska lainvalvonta on – rikollisuuden ja erityisesti kyberrikollisuuden tavoin – entistä useammin luonteeltaan rajatylittävää ja aiheuttaa siten usein oikeudenkäyttöön liittyviä kysymyksiä ja mahdollisesti lainvalintatilanteita. Ei ole yllätys, että nämä ongelmat voi parhaiten ratkaista solmimalla kansainvälisiä sopimuksia, joissa määrätään tarvittavista rajoituksista ja suojatoimista henkilötietojen rajatylittävän saatavuuden osalta, muun muassa varmistamalla tietosuojan korkea taso tietoja pyytävän viranomaisen puolelta.
Komissio osallistuu EU:n puolesta tietoverkkorikollisuutta koskevan Euroopan neuvoston yleissopimuksen (Budapestin yleissopimus) toisesta lisäpöytäkirjasta parhaillaan käytäviin monenvälisiin neuvotteluihin. Toisen lisäpöytäkirjan tavoitteena on parantaa nykyisiä sääntöjä, jotka koskevat sähköisen todistusaineiston rajatylittävää saatavuutta rikosoikeudellisissa tutkimuksissa samalla, kun osana pöytäkirjaa varmistetaan asianmukaiset tietosuojatoimet. Lisäksi on aloitettu kahdenväliset neuvottelut sopimuksen tekemiseksi Euroopan unionin ja Yhdysvaltojen välillä oikeudelliseen yhteistyöhön rikosasioissa liittyvästä rajatylittävästä pääsystä sähköiseen todistusaineistoon. Komissio luottaa Euroopan parlamentin ja neuvoston tukeen ja Euroopan tietosuojaneuvoston ohjeisiin näissä neuvotteluissa.
Yleisemminkin on tärkeää varmistaa, että kun Euroopan markkinoilla toimiville yrityksille esitetään oikeutettu pyyntö jakaa tietoja lainvalvontatarkoituksia varten, ne voivat tehdä niin joutumatta kohtaamaan lainvalintaan liittyviä ongelmia ja EU:n perusoikeuksia kaikilta osin noudattaen. Tällaisten siirtojen parantamiseksi komissio on sitoutunut kehittämään kansainvälisten kumppaniensa kanssa asianmukaisia lainsäädäntökehyksiä, joiden avulla voidaan välttää lainvalintaan liittyviä ongelmia ja tukea tuloksellisia yhteistyömuotoja, erityisesti tarjoamalla tarvittavat tietosuojatakeet. Tällä lisätään rikosten vastaisten toimien tuloksellisuutta.
7.3Kansainvälisen yhteistyö tietosuojan alalla
Erilaisten yksityisyydensuojajärjestelmien lähentymisen edistäminen tarkoittaa myös toisilta oppimista vaihtamalla tietoja, kokemuksia ja parhaita käytäntöjä. Tällainen vaihto on välttämätöntä, jotta voidaan ratkaista luonteeltaan ja ulottuvuudeltaan yhä useammin maailmanlaajuisia uusia haasteita. Komissio on tehostanut tämän vuoksi tietosuojaa ja tiedonsiirtoa koskevaa vuoropuheluaan monien erilaisten toimijoiden kanssa ja erilaisilla foorumeilla kahdenvälisellä, alueellisella ja monenvälisellä tasolla.
Kahdenvälinen ulottuvuus
Kiinnostus EU:n modernien yksityisyydensuojaa koskevien sääntöjen suunnittelusta, neuvottelemisesta ja täytäntöönpanosta saamia kokemuksia kohtaan on lisääntynyt yleisen tietosuoja-asetuksen hyväksymisen jälkeen. Vuoropuhelua vastaavia prosesseja läpi käyvien maiden kanssa on käyty eri muodoissa.
Komission yksiköt ovat vastanneet useisiin ulkomaiden, esimerkiksi Yhdysvaltojen, Intian, Malesian ja Etiopian, järjestämiin julkisiin kuulemisiin niiden harkitessa yksityisyyden suojaa koskevaa lainsäädäntöä. Joissakin kolmansissa maissa, kuten Brasiliassa, Chilessä, Ecuadorissa ja Tunisiassa, komission yksiköillä on ollut kunnia antaa lausuntoja toimivaltaisille parlamentaarisille toimielimille.
Tietosuojalainsäädännön osalta meneillään olevien uudistusten yhteydessä on lisäksi järjestetty asiaa käsitelleitä kokouksia useiden eri puolilla maailmaa sijaitsevien valtioiden (esim. Georgia, Kenia, Taiwan, Thaimaa ja Marokko) edustajien tai parlamentaaristen valtuuskuntien kanssa. Tähän on sisältynyt seminaarien ja opintomatkojen järjestämistä esimerkiksi Indonesian hallituksen edustajien ja Yhdysvaltain kongressin henkilöstön valtuuskunnan kanssa. Tämä on tarjonnut tilaisuuksia selventää yleisen tietosuoja-asetuksen keskeisiä käsitteitä, lisätä yhteisymmärrystä yksityisyyteen liittyvistä kysymyksistä ja tuoda esiin lähentymisen etuja yksilöiden oikeuksien korkeatasoisen suojan varmistamisen, kaupankäynnin ja yhteistyön kannalta. Joissakin tapauksissa tässä yhteydessä on voitu myös varoittaa tietyistä tietosuojaa koskevista väärinkäsityksistä, jotka voivat johtaa protektionististen toimenpiteiden, kuten tietojen sijaintia koskevien pakottavien vaatimusten, käyttöönottoon.
Komissio on yleisen tietosuoja-asetuksen hyväksymisen jälkeen käynyt keskusteluja myös useiden kansainvälisten järjestöjen kanssa muun muassa siksi, että monilla politiikanaloilla tapahtuu merkittävää tietojenvaihtoa tällaisten järjestöjen kanssa. Erityisesti Yhdistyneiden kansakuntien kanssa käydään yksityiskohtaista vuoropuhelua. Sen tarkoituksena on helpottaa keskusteluja kaikkien asianosaisten sidosryhmien kanssa, jotta voidaan varmistaa sujuvat tiedonsiirrot ja edistää tietosuojajärjestelmien lähentymistä. Osana tätä vuoropuhelua komissio tekee tiivistä yhteistyötä Euroopan tietosuojaneuvoston kanssa, jotta voidaan entisestään selkiyttää, miten EU:n julkiset ja yksityiset toimijat voivat noudattaa yleisestä tietosuoja-asetuksesta johtuvia velvollisuuksiaan, kun ne vaihtavat tietoja YK:n kaltaisten kansainvälisten järjestöjen kanssa.
Komissio on valmis jakamaan uudistusprosessista saamaansa kokemusta siitä kiinnostuneiden maiden ja kansainvälisten järjestöjen kanssa samassa hengessä kuin se itse otti oppia muista järjestelmistä laatiessaan ehdotusta uusista EU:n tietosuojasäännöistä. Tällainen vuoropuhelu hyödyttää sekä EU:ta että sen kumppaneita, sillä sen avulla voidaan saada parempi käsitys nopeasti muuttuvasta yksityisyyden suojan tilanteesta ja vaihtaa näkemyksiä uusista lainsäädännöllisistä ja teknologisista ratkaisuista.
Komissio aikoo perustaa ns. tietosuoja-akatemian edistämään eurooppalaisten ja kolmansien maiden lainsäätäjien välistä vuorovaikutusta ja parantamaan tällä tavoin käytännön yhteistyötä.
Lisäksi on kehitettävä asianmukaiset oikeudelliset välineet tiiviimmälle yhteistyölle ja keskinäiselle avunannolle esimerkiksi silloin, kun pitää vaihtaa tietoja tutkintatoimien yhteydessä. Komissio käyttää tätä varten yleisen tietosuoja-asetuksen 50 artiklassa sille tällä alalla myönnettyjä valtuuksia ja pyytää erityisesti lupaa käynnistää neuvottelut sopimusten tekemiseksi lainvalvontayhteistyöstä tiettyjen kolmansien maiden kanssa. Komissio ottaa tässä yhteydessä huomioon myös Euroopan tietosuojaneuvoston näkemykset siitä, mitkä maat olisi asetettava etusijalle. Siinä perusteita olisivat tiedonsiirtojen suuruusluokka, yksityisyyden suojan noudattamisen valvonnasta kolmannessa maassa vastaavan tahon asema ja valtuudet sekä lainvalvontayhteistyön tarve yhteisen edun mukaisissa asioissa.
|
Monenvälinen ulottuvuus
Kahdenvälisten keskustelujen lisäksi komissio osallistuu aktiivisesti myös useisiin monenvälisiin foorumeihin ja edistää niillä yhteisiä arvoja ja lähentymistä alueellisella ja maailmanlaajuisella tasolla.
Ainoa oikeudellisesti sitova monenvälinen väline henkilötietojen suojelun alalla on Euroopan neuvoston yleissopimus yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä. Siihen on liittynyt entistä enemmän osapuolia kaikkialta maailmasta, mikä on selvä merkki tästä (ylöspäin suuntautuvasta) lähentymiskehityksestä. Tämän yleissopimuksen, johon voivat liittyä myös Euroopan neuvoston jäsenistön ulkopuoliset maat, on ratifioinut jo 55 maata, joiden joukossa on muun muassa useita Afrikan ja Latinalaisen Amerikan maita. Komissio vaikutti merkittävästi yleissopimuksen nykyaikaistamisesta käytyjen neuvottelujen onnistumiseen, ja se varmisti, että yleissopimus kuvastaa samoja periaatteita kuin EU:n tietosuojasäännöt. Suurin osa EU:n jäsenvaltioista on nyt allekirjoittanut muutospöytäkirjan. Se on vielä tekemättä Tanskalta, Maltalta ja Romanialta. Vain neljä jäsenvaltiota (Bulgaria, Kroatia, Liettua ja Puola) on tähän mennessä ratifioinut muutospöytäkirjan. Komissio kehottaa kolmea jäljellä olevaa jäsenvaltiota allekirjoittamaan nykyaikaistetun yleissopimuksen ja kaikkia jäsenvaltioita ratifioimaan sen pikaisesti, jotta se voi tulla voimaan lähitulevaisuudessa. Komissio kannustaa edelleen aktiivisesti myös kolmansia maita liittymään tähän yleissopimukseen.
Tiedonsiirtoa ja tietosuojaa on käsitelty äskettäin myös G20- ja G7-maiden kesken. Maailman johtajat kannattivat vuonna 2019 ensimmäisen kerran ajatusta siitä, että tietosuoja auttaa luomaan luottamusta digitaalitaloutta kohtaan ja helpottaa tiedonsiirtoa. Johtajat hyväksyivät komission aktiivisella tuella
Data Free Flow with Trust ‑aloitteen, jota Japani ehdotti alun perin G20-maiden Osakan julkilausumassa
ja G7-huippukokouksessa Biarritzissa
. Tämä lähestymistapa käy ilmi myös komission vuonna 2020 Euroopan datastrategiasta antamasta tiedonannosta. Siinä korostetaan, että komissio aikoo edelleenkin edistää tietojen jakamista luotettavien kumppanien kanssa samalla, kun torjutaan tiedonsiirron väärinkäyttöä, kuten (ulkomaisten) viranomaisten liiallista pääsyä henkilötietoihin.
Toimiessaan näin EU voi myös käyttää eri politiikanaloilla useita välineitä, joissa otetaan entistä enemmän huomioon yksityisyyden suojaan kohdistuvat vaikutukset: esimerkiksi ensimmäiset ulkomaisten sijoitusten seurantaan tarkoitetut EU:n puitteet, joita aletaan soveltaa kaikilta osin lokakuussa 2020, antavat EU:lle ja sen jäsenvaltioille mahdollisuuden seurata sijoitustoimia, joilla on vaikutusta pääsyyn arkaluonteisiin tietoihin, myös henkilötietoihin, tai kykyyn hallita tällaisia tietoja, jos ne vaikuttavat turvallisuuteen tai yleiseen järjestykseen.
Komissio tekee yhteistyötä samanmielisten maiden kanssa useilla muilla monenvälisillä foorumeilla edistääkseen aktiivisesti arvojaan ja normejaan. Yksi tärkeä foorumi on OECD:n äskettäin perustama datanhallintaa ja yksityisyydensuojaa käsittelevä työryhmä, joka työstää useita tärkeitä tietosuojaan, tietojen jakamiseen ja tiedonsiirtoihin liittyviä aloitteita. Niihin sisältyy OECD:n vuonna 2013 yksityisyydensuojasta antamien suuntaviivojen arviointi. Komissio on myös osallistunut aktiivisesti tekoälyä koskevan OECD:n neuvoston suosituksen laatimiseen ja varmistanut, että sen lopullinen teksti vastaa EU:n ihmiskeskeistä lähestymistapaa. Sillä tarkoitetaan sitä, että tekoälysovelluksissa on noudatettava perusoikeuksia ja erityisesti tietosuojaa. Tärkeää on, että tekoälyä koskevassa suosituksessa viitataan avoimuutta ja selitettävyyttä koskeviin periaatteisiin, jotta tekoälyjärjestelmän haitallisista vaikutuksista kärsivät voivat valittaa sen tuottamista tuloksista niitä tekijöitä ja sitä logiikkaa koskevien selkeiden ja ymmärrettävien tietojen pohjalta, joiden perusteella ennuste, suositus tai päätös on tehty. Tämä vastaa läheisesti yleisen tietosuoja-asetuksen periaatteita automatisoidusta päätöksenteosta. Suositus sisällytettiin myöhemmin G20-johtajien Osakan julkilausumaan liitettyihin G20-maiden tekoälyä koskeviin periaatteisiin.
Komissio tehostaa myös vuoropuheluaan sellaisten alueellisten järjestöjen ja verkostojen kanssa, joilla on yhä keskeisempi rooli yhteisten tietosuojastandardien laatimisessa, parhaiden käytäntöjen jakamisen edistämisessä ja sääntöjen noudattamisen valvonnasta vastaavien tahojen välisen yhteistyön lisäämisessä. Tämä koskee erityisesti Kaakkois-Aasian maiden liittoa (ASEAN), myös sen tiedonsiirtovälineiden osalta tekemän työn yhteydessä, Afrikan unionia, yksityisyyden suojaa käsittelevää Aasian ja Tyynenmeren foorumia (APPA) ja iberoamerikkalaista tietosuojaverkostoa. Ne kaikki ovat käynnistäneet tärkeitä aloitteita tällä alalla ja tarjoavat foorumin hedelmälliselle vuoropuhelulle yksityisyydensuojaa sääntelevien tahojen ja muiden sidosryhmien välillä.
Afrikka on kuvaava esimerkki siitä, kuinka yksityisyydensuojan kansalliset, alueelliset ja maailmanlaajuiset ulottuvuudet täydentävät toisiaan. Digitaaliteknologiat muuttavat Afrikan mannerta nopeasti ja perusteellisesti. Tämä voi vauhdittaa kestävän kehityksen tavoitteiden saavuttamista tehostamalla talouskasvua, vähentämällä köyhyyttä ja parantamalla ihmisten elämänlaatua. Tämän muutoksen kannalta keskeinen tekijä on nykyaikainen tietosuojakehys, jolla houkutellaan investointeja ja edistetään kilpailukykyisen liiketoiminnan kehittämistä samalla, kun sen avulla lisätään ihmisoikeuksien, demokratian ja oikeusvaltioperiaatteen kunnioittamista. Tietosuojasääntöjen yhdenmukaistaminen koko Afrikassa mahdollistaisi digitaalisten markkinoiden yhdentämisen, kun taas lähentyminen maailmanlaajuisten standardien kanssa helpottaisi tietojen vaihtoa EU:n kanssa. Nämä tietosuojan eri ulottuvuudet ovat yhteydessä toisiinsa ja vahvistavat toinen toistaan.
Kiinnostus tietosuojaa kohtaan on lisääntymässä monissa Afrikan maissa. Myös entistä useampi Afrikan maa on ottanut tai ottamassa käyttöön nykyaikaisia tietosuojasääntöjä tai ratifioinut yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä tehdyn yleissopimuksen tai Malabon yleissopimuksen. Toisaalta sääntelykehys on erittäin epätasainen ja pirstoutunut Afrikan alueella. Monissa maissa tietosuojaa koskevat suojatoimet ovat edelleenkin vähäisiä tai niitä ei ole lainkaan. Tiedonsiirtoa rajoittavat toimet ovat yhä yleisiä ja vaikeuttavat alueellisen digitaalitalouden kehittämistä.
Jotta tietosuojaa koskevien sääntöjen lähentymisen yhteisiä etuja voidaan hyödyntää, komissio pitää aihetta esillä afrikkalaisten kumppaneidensa kanssa sekä kahdenvälisesti että alueellisilla foorumeilla. Asiaa pohjustaa EU:n ja Afrikan unionin digitaalitalouden työryhmän tekemä työ Afrikan ja Euroopan välisen uuden digitaalitalouskumppanuuden puitteissa. Näitä tavoitteita edistää myös se, että tietosuojan ja tiedonsiirron tehostamista koskevan komission kumppanuusvälineen soveltamisala on ulotettu myös Afrikkaan. Hankkeella tuetaan Afrikan maita, jotka aikovat kehittää nykyaikaisia tietosuojakehyksiä tai jotka haluavat vahvistaa sääntelyviranomaistensa valmiuksia koulutuksen sekä tiedon ja parhaiden käytäntöjen jakamisen avulla.
|
Edistäessään tietosuojavaatimusten lähentämistä kansainvälisellä tasolla keinona helpottaa tiedonsiirtoa ja sen myötä kauppaa komissio myös torjuu määrätietoisesti digitaalista protektionismia, kuten datastrategiassa hiljattain todettiin. Tämän vuoksi komissio on laatinut kauppasopimuksia varten erityisiä määräyksiä tiedonsiirrosta ja tietosuojasta, ja se ehdottaa niitä järjestelmällisesti sekä kahdenvälisissä neuvotteluissa (viimeksi Australian, Uuden-Seelannin ja Yhdistyneen kuningaskunnan kanssa) että monenvälisissä neuvotteluissa, kuten sähköisestä kaupankäynnistä parhaillaan käytävissä WTO:n neuvotteluissa. Tällaisilla horisontaalisilla määräyksillä estetään perusteettomat rajoitukset, kuten tietojen sijaintia koskevat pakottavat vaatimukset, mutta säilytetään osapuolten vapaus sääntelyn keinoin suojella tietosuojaa perusoikeutena.
Vaikka tietosuojaa koskeva vuoropuhelu ja kauppaneuvottelut on pidettävä erillään, ne voivat täydentää toisiaan. Itse asiassa korkeisiin vaatimuksiin perustuva ja tehokkaan täytäntöönpanon tukema lähentyminen tuottaa vahvimman perustan henkilötietojen vaihdolle, minkä myös entistä useampi EU:n kansainvälinen kumppani on tunnustanut. Koska yritykset toimivat yhä useammin valtioiden rajojen yli, ne soveltaisivat mieluiten samankaltaisia sääntöjä kaikessa liiketoiminnassaan kaikkialla maailmassa. Siksi tällainen lähentyminen auttaa luomaan toimintaympäristön, joka edistää suoria investointeja, helpottaa kaupankäyntiä ja parantaa liikekumppaneiden välistä luottamusta. Kauppaa ja tietosuojaa koskevien välineiden keskinäistä synergiaa olisi siksi tutkittava edelleen, jotta voidaan varmistaa tietovirtojen vapaa ja turvallinen kansainvälinen liikkuvuus, koska ne ovat olennaisen tärkeitä eurooppalaisten yritysten, myös pk-yritysten, liiketoiminnan, kilpailukyvyn ja kasvun edistämiseksi yhä digitalisoituneemmassa taloudessa.
|
Liite I – Valinnaista täsmentämistä koskevat kansallisen lainsäädännön lausekkeet
Aihe
|
Soveltamisala
|
Yleisen tietosuoja-asetuksen artiklat
|
Lakisääteisiä velvollisuuksia ja julkista tehtävää koskevat täsmennykset
|
Säännösten soveltamisen mukauttaminen sellaisessa käsittelyssä, joka tehdään lakisääteisten velvollisuuksien tai julkisen tehtävän noudattamiseksi, mukaan lukien IX luvussa säädetyt erityiset käsittelytilanteet
|
6 artiklan 2 kohta ja 6 artiklan 3 kohta
|
Tietoyhteiskunnan palveluihin liittyvän suostumuksen ikäraja
|
13–16 vuoden vähimmäisiän määrittäminen
|
8 artiklan 1 kohta
|
Erityisiä tietoryhmiä koskeva käsittely
|
Sellaisten lisäehtojen, mukaan lukien rajoitukset, käyttöönotto tai säilyttäminen, jotka koskevat geneettisten, biometristen tai terveyttä koskevien tietojen käsittelyä
|
9 artiklan 4 kohta
|
Poikkeaminen tietovaatimuksista
|
Nimenomaisesti lainsäädännössä säädetty hankinta tai luovuttaminen tai lainsäädännössä säädetty salassapitovelvollisuus
|
14 artiklan 5 kohdan c ja d alakohta
|
Automatisoidut yksittäispäätökset
|
Lupa automatisoitua päätöksentekoa varten yleisestä kiellosta poiketen
|
22 artiklan 2 kohdan b alakohta
|
Rajoitukset rekisteröityjen oikeuksiin
|
12–22 artiklan, 34 artiklan ja 5 artiklan asiaankuuluvien säännösten rajoitukset, kun ne ovat tarpeen ja oikeasuhteisia tyhjentävästi lueteltujen tärkeiden tavoitteiden suojelemiseksi
|
23 artiklan 1 kohta
|
Kuulemis- ja lupavaatimus
|
Vaatimus, jonka mukaan rekisterinpitäjien on kuultava tietosuojaviranomaista tai saatava siltä lupa käsittelyä varten yleisen edun mukaisessa tehtävässä
|
36 artiklan 5 kohta
|
Tietosuojavastaavan nimittäminen muita tapauksia varten
|
Tietosuojavastaavan nimittäminen muissa kuin 37 artiklan 1 kohdassa luetelluissa tapauksissa
|
37 artiklan 4 kohta
|
Siirtoja koskevat rajoitukset
|
Tiettyjen henkilötietoryhmien siirtoja koskevat rajoitukset
|
49 artiklan 5 kohta
|
Järjestöjen itsenäisesti tekemät valitukset tai käynnistämät oikeustoimet
|
Luvan antaminen yksityisyydensuojan alalla toimiville järjestöille jättää valituksia ja käynnistää oikeustoimia rekisteröityjen valtuutuksesta riippumatta
|
80 artiklan 2 kohta
|
Mahdollisuus tutustua virallisiin asiakirjoihin
|
Virallisiin asiakirjoihin tutustumista koskevan mahdollisuuden ja henkilötietojen suojaa koskevan oikeuden yhteensovittaminen
|
86 artikla
|
Kansallisen henkilötunnuksen käsitteleminen
|
Kansallisen henkilötunnuksen käsittelemisen erityisehdot
|
87 artikla
|
Henkilötietojen käsittely työsuhteen yhteydessä
|
Työntekijöiden henkilötietojen käsittelyä koskevat tarkemmat säännöt
|
88 artikla
|
Yleisen edun mukaisia arkistointitarkoituksia taikka tutkimustarkoituksia tai tilastollisia tarkoituksia varten tapahtuvaa käsittelyä koskevat poikkeukset
|
Poikkeukset määritellyistä rekisteröityjen oikeuksista, jos oikeudet todennäköisesti estävät kyseessä olevien tarkoitusten saavuttamisen tai vaikeuttavat sitä suuresti
|
89 artiklan 2 ja 3 kohta
|
Tietosuojan ja salassapitovelvollisuuksien yhteensovittaminen
|
Tietosuojaviranomaisten tutkintavaltuuksia suhteessa salassapitovelvollisuuden alaisiin rekisterinpitäjiin tai henkilötietojen käsittelijöihin koskevat erityissäännöt
|
90 artikla
|
Liite II – Yleiskatsaus tietosuojaviranomaisten resursseihin
Jäljempänä olevassa taulukossa esitetään yleiskatsaus tietosuojaviranomaisten resursseihin (henkilöstö ja talousarvio) EU:n/ETA-alueen jäsenvaltioissa.
Vertailtaessa jäsenvaltioiden välisiä lukuja on tärkeää muistaa, että viranomaisilla saattaa olla muitakin kuin yleisestä tietosuoja-asetuksesta johtuvia tehtäviä ja että nämä tehtävät voivat vaihdella eri jäsenvaltioissa. Viranomaisten työllistämän henkilöstön suhde miljoonaa asukasta kohti ja talousarvion suhde miljoonaan euroon BKT:stä ovat mukana ainoastaan lisätekijöinä vertailtaessa samankokoisia jäsenvaltioita eikä niitä pitäisi tarkastella yksinään. Viime vuosien absoluuttisia lukuja, suhdelukuja ja kehitystä olisi tarkasteltava kokonaisuutena, kun arvioidaan kunkin viranomaisen resursseja.
|
HENKILÖSTÖ (kokoaikaiseksi muutettuna)
|
TALOUSARVIO (EUROA)
|
EU-/ETA-Jäsenvaltio
|
2019
|
Ennuste 2020
|
Kasvu 2016–2019
|
Kasvu 2016–2020 (ennuste)
|
Henkilöstö miljoonaa asukasta kohti (2019)
|
2019
|
Ennuste 2020
|
Kasvu 2016–2019
|
Kasvu 2016–
2020 (ennuste)
|
Talousarvio miljoonaa euroa kohti BKT:sta (2019)
|
Itävalta
|
34
|
34
|
48 %
|
48 %
|
3,8
|
2 282 000
|
2 282 000
|
29 %
|
29 %
|
5,7
|
Belgia
|
59
|
65
|
9 %
|
20 %
|
5,2
|
8 197 400
|
8 962 200
|
1 %
|
10 %
|
17,3
|
Bulgaria
|
60
|
60
|
-14 %
|
-14 %
|
8,6
|
1 446 956
|
1 446 956
|
24 %
|
24 %
|
23,8
|
Kroatia
|
39
|
60
|
39 %
|
114 %
|
9,6
|
1 157 300
|
1 405 000
|
57 %
|
91 %
|
21,5
|
Kypros
|
24
|
22
|
NA
|
NA
|
27,4
|
503 855
|
NA
|
114 %
|
NA
|
23,0
|
Tšekki
|
101
|
109
|
0 %
|
8 %
|
9,5
|
6 541 288
|
6 720 533
|
10 %
|
13 %
|
29,7
|
Tanska
|
66
|
63
|
106 %
|
97 %
|
11,4
|
5 610 128
|
5 623 114
|
101 %
|
101 %
|
18,0
|
Viro
|
16
|
18
|
-11 %
|
0 %
|
12,1
|
750 331
|
750 331
|
7 %
|
7 %
|
26,8
|
Suomi
|
45
|
55
|
114 %
|
162 %
|
8,2
|
3 500 000
|
4 500 000
|
94 %
|
150 %
|
14,6
|
Ranska
|
215
|
225
|
9 %
|
14 %
|
3,2
|
18 506 734
|
20 143 889
|
-2 %
|
7 %
|
7,7
|
Saksa
|
888
|
1 002
|
52 %
|
72 %
|
10,7
|
76 599 800
|
85 837 500
|
48 %
|
66 %
|
22,3
|
Kreikka
|
33
|
46
|
-15 %
|
18 %
|
3,1
|
2 849 000
|
3 101 000
|
38 %
|
50 %
|
15,2
|
Unkari
|
104
|
117
|
42 %
|
60 %
|
10,6
|
3 505 152
|
4 437 576
|
102 %
|
155 %
|
24,4
|
Islanti
|
17
|
17
|
143 %
|
143 %
|
47,6
|
2 272 490
|
2 294 104
|
167 %
|
170 %
|
105,2
|
Irlanti
|
140
|
176
|
169 %
|
238 %
|
28,5
|
15 200 000
|
16 900 000
|
223 %
|
260 %
|
43,8
|
Italia
|
170
|
170
|
40 %
|
40 %
|
2,8
|
29 127 273
|
30 127 273
|
46 %
|
51 %
|
16,3
|
Latvia
|
19
|
31
|
-10 %
|
48 %
|
9,9
|
640 998
|
1 218 978
|
4 %
|
98 %
|
21,0
|
Liettua
|
46
|
52
|
-8 %
|
4 %
|
16,5
|
1 482 000
|
1 581 000
|
40 %
|
49 %
|
30,6
|
Luxemburg
|
43
|
48
|
126 %
|
153 %
|
70,0
|
5 442 416
|
6 691 563
|
165 %
|
226 %
|
85,7
|
Malta
|
13
|
15
|
30 %
|
50 %
|
26,3
|
480 000
|
550 000
|
41 %
|
62 %
|
36,3
|
Alankomaat
|
179
|
188
|
145 %
|
158 %
|
10,4
|
18 600 000
|
18 600 000
|
130 %
|
130 %
|
22,9
|
Norja
|
49
|
58
|
2 %
|
21 %
|
9,2
|
5 708 950
|
6 580 660
|
27 %
|
46 %
|
15,9
|
Puola
|
238
|
260
|
54 %
|
68 %
|
6,3
|
7 506 345
|
9 413 381
|
66 %
|
108 %
|
14,2
|
Portugali
|
25
|
27
|
-4 %
|
4 %
|
2,4
|
2 152 000
|
2 385 000
|
67 %
|
86 %
|
10,1
|
Romania
|
39
|
47
|
-3 %
|
18 %
|
2,0
|
1 103 388
|
1 304 813
|
3 %
|
22 %
|
4,9
|
Slovakia
|
49
|
51
|
20 %
|
24 %
|
9,0
|
1 731 419
|
1 859 514
|
47 %
|
58 %
|
18,4
|
Slovenia
|
47
|
49
|
42 %
|
48 %
|
22,6
|
2 242 236
|
2 266 485
|
68 %
|
70 %
|
46,7
|
Espanja
|
170
|
220
|
13 %
|
47 %
|
3,6
|
15 187 680
|
16 500 000
|
8 %
|
17 %
|
12,2
|
Ruotsi
|
87
|
87
|
81 %
|
81 %
|
8,5
|
8 800 000
|
10 300 000
|
96 %
|
129 %
|
18,5
|
YHTEENSÄ
|
2 966
|
3 372
|
42 %
|
62 %
|
6,6
|
249 127 139
|
273 782 870
|
49 %
|
64 %
|
17,4
|
Muokkaamattomien lukujen lähde: Euroopan tietosuojaneuvoston kannanotto. Laskelmat: komissio.