EUROOPAN KOMISSIO

Bryssel 24.6.2020

SWD(2020) 115 final

KOMISSION YKSIKÖIDEN VALMISTELUASIAKIRJA

[…]

Oheisasiakirja

KOMISSION TIEDONANTO EUROOPAN PARLAMENTILLE JA NEUVOSTOLLE

Tietosuojasäännöt kansalaisten vaikutusmahdollisuuksien ja EU:n digitaalisen muutoksen edistäjänä – yleistä tietosuoja-asetusta sovellettu kaksi vuotta

{COM(2020) 264 final}

Sisällys

1    Tausta    

2    Yleisen tietosuoja-asetuksen täytäntöönpano ja yhteistyö- ja yhdenmukaisuusmekanismien toimivuus    

2.1    Tietosuojaviranomaisten laajennettujen valtuuksien käyttö    

Julkista sektoria koskevat kysymykset    

Yhteistyö muiden sääntelyviranomaisten kanssa    

2.2    Yhteistyö- ja yhdenmukaisuusmekanismit    

Yhden luukun järjestelmä    

Keskinäinen avunanto    

Yhdenmukaisuusmekanismi    

Ratkaistavat haasteet    

2.3    Neuvot ja ohjeet    

Tiedon lisääminen ja tietosuojaviranomaisten tarjoama neuvonta    

Euroopan tietosuojaneuvoston ohjeet    

2.4    Tietosuojaviranomaisten resurssit    

3    Yhdenmukaistetuista säännöistä huolimatta edelleenkin hajanaisuutta ja erilaisia lähestymistapoja    

3.1    Yleisen tietosuoja-asetuksen täytäntöönpano jäsenvaltioissa    

Merkittävimmät kansalliseen täytäntöönpanoon liittyvät ongelmat    

Henkilötietojen suojaa koskevan oikeuden yhteensovittaminen sananvapauden ja tiedonvälityksen vapauden kanssa    

3.2    Valinnaista täsmentämistä koskevat lausekkeet ja niiden rajoitukset    

Valinnaista täsmentämistä koskevien lausekkeiden käyttöön liittyvä hajanaisuus    

4    Kansalaisille paremmat mahdollisuudet valvoa tietojaan    

5    Mahdollisuudet ja haasteet organisaatioille ja erityisesti pienille ja keskisuurille yrityksille    

Yrityksille tarkoitettu välineistö    

6    Yleisen tietosuoja-asetuksen soveltaminen uusiin teknologioihin    

7    Kansainväliset siirrot ja maailmanlaajuinen yhteistyö    

7.1    Yksityisyys: maailmanlaajuinen kysymys    

7.2    Yleisen tietosuoja-asetuksen tiedonsiirtovälineistö    

Tietosuojan tason riittävyyttä koskevat päätökset    

Asianmukaiset suojatoimet    

Poikkeukset    

Ulkomaisten tuomioistuinten tai viranomaisten päätökset eivät ole peruste siirroille    

7.3    Kansainvälisen yhteistyö tietosuojan alalla    

Kahdenvälinen ulottuvuus    

Monenvälinen ulottuvuus    

Liite I: Valinnaista täsmentämistä koskevat kansallisen lainsäädännön lausekkeet

Liite II: Yleiskatsaus tietosuojaviranomaisten resursseihin

1Tausta

Yleinen tietosuoja-asetus 1 hyväksyttiin kahdeksan vuotta kestäneiden valmistelujen, laatimisen ja toimielinten välisten neuvottelujen tuloksena. Sitä alettiin soveltaa 25. toukokuuta 2018 kahden vuoden siirtymäkauden (toukokuusta 2016 toukokuuhun 2018) jälkeen. Yleisen tietosuoja-asetuksen 97 artiklassa säädetään, että komission on toimitettava kertomukset tämän asetuksen arvioinnista ja uudelleentarkastelusta. Komission on toimitettava ensimmäinen kertomuksensa, kun asetusta on sovellettu kaksi vuotta, ja joka neljäs vuosi sen jälkeen.

Arviointi on myös osa moniulotteista lähestymistapaa, jota komissio noudatti jo ennen yleisen tietosuoja-asetuksen soveltamisen alkamista ja jota se on jatkanut aktiivisesti sen jälkeen. Komissio on tämän lähestymistavan mukaisesti käynyt jäsenvaltioiden kanssa jatkuvasti kahdenvälisiä vuoropuheluja kansallisen lainsäädännön ja yleisen tietosuoja-asetuksen yhteensopivuudesta. Komissio on myös auttanut aktiivisesti Euroopan tietosuojaneuvostoa sen tekemässä työssä antamalla sen käyttöön kokemuksensa ja asiantuntemuksensa. Lisäksi komissio on tukenut tietosuojaviranomaisia ja pitänyt tiiviisti yhteyttä moniin erilaisiin sidosryhmiin asetuksen käytännön soveltamisesta.

Arviointi perustuu tilannekatsaukseen, jonka komissio teki yleisen tietosuoja-asetuksen soveltamisen ensimmäisestä vuodesta ja josta esitettiin yhteenveto heinäkuussa 2019 annetussa tiedonannossa 2 . Arviointi on myös jatkoa yleisen tietosuoja-asetuksen soveltamisesta tammikuussa 2018 annetulle tiedonannolle 3 . Lisäksi komissio on antanut syyskuussa 2018 julkaistut ohjeet henkilötietojen käytöstä vaalien yhteydessä ja huhtikuussa 2020 ohjeet covid-19-pandemian torjuntaa tukevien sovellusten tietosuojasta.

Vaikka tässä arvioinnissa keskitytään yleisen tietosuoja-asetuksen 97 artiklan 2 kohdassa mainittuihin kahteen asiaan eli henkilötietojen kansainvälisiin siirtoihin sekä yhteistyömenettelyyn ja yhdenmukaisuusmekanismiin, siinä tarkastellaan myös eräitä kysymyksiä, joita eri toimijat ovat nostaneet esiin kuluneiden kahden vuoden aikana.

Komissio otti arvioinnin valmistelussa huomioon seuraavista lähteistä saamansa tiedot:

·neuvosto 4

·Euroopan parlamentti (kansalaisvapauksien sekä oikeus- ja sisäasioiden valiokunta) 5

·Euroopan tietosuojaneuvosto 6 ja yksittäiset tietosuojaviranomaiset 7 komission lähettämän kyselylomakkeen perusteella

·yleisen tietosuoja-asetuksen soveltamista tukevan monisidosryhmäisen asiantuntijaryhmän jäsenten antama palaute 8 , joka perustui myös komission lähettämään kyselylomakkeeseen

·ja sidosryhmiltä saadut tapauskohtaiset tiedot.

2Yleisen tietosuoja-asetuksen täytäntöönpano ja yhteistyö- ja yhdenmukaisuusmekanismien toimivuus

Yleisellä tietosuoja-asetuksella säädettiin innovatiivisesta hallintojärjestelmästä ja luotiin perusta aidosti eurooppalaiselle tietosuojakulttuurille. Sen tavoitteena on varmistaa paitsi tietosuojaa koskevien sääntöjen yhdenmukainen tulkinta myös niiden yhdenmukainen soveltaminen ja täytäntöönpano. Sen pilareita ovat riippumattomat kansalliset tietosuojaviranomaiset ja äskettäin perustettu Euroopan tietosuojaneuvosto.

Koska tietosuojaviranomaisten asema on keskeinen koko EU:n tietosuojajärjestelmän toiminnan kannalta, komissio valvoo tarkasti niiden tosiasiallista riippumattomuutta ja myös niiden taloudellisten, inhimillisten ja teknisten resurssien riittävyyttä.

Yhteistyö- ja yhdenmukaisuusmekanismien toimivuutta ei voida vielä arvioida kaikilta osin, koska siitä on saatu kokemusta vasta lyhyeltä ajalta. 9 Tietosuojaviranomaiset eivät ole myöskään vielä käyttäneet kaikkia yleisen tietosuoja-asetuksen tarjoamia välineitä yhteistyönsä vahvistamiseksi edelleen.

2.1Tietosuojaviranomaisten laajennettujen valtuuksien käyttö

Yleisessä tietosuoja-asetuksessa säädetään riippumattomista tietosuojaviranomaisista ja annetaan niille yhdenmukaistetut ja laajennetut täytäntöönpanovaltuudet. Yleisen tietosuoja-asetuksen soveltamisen aloittamisen jälkeen nämä viranomaiset ovat käyttäneet monia erilaisia yleisessä tietosuoja-asetuksessa säädettyjä korjaavia toimivaltuuksia. On käytetty hallinnollisia sakkoja (22 EU:n / ETA-alueen viranomaista) 10 , varoituksia ja huomautuksia (23), määräyksiä noudattaa rekisteröityjen pyyntöjä (26), määräyksiä saattaa käsittelytoimet yleisen tietosuoja-asetuksen mukaisiksi (27) ja korjaamista, poistamista tai käsittelyn rajoittamista koskevia määräyksiä (17). Noin puolet tietosuojaviranomaisista (13) on määrännyt tilapäisiä tai lopullisia käsittelyä koskevia rajoituksia ja kieltoja. Tämä osoittaa, että kaikkia yleisessä tietosuoja-asetuksessa säädettyjä korjaavia toimenpiteitä on käytetty tietoisesti; tietosuojaviranomaiset eivät ole arkailleet määrätä hallinnollisia sakkoja muiden korjaavien toimenpiteiden lisäksi tai niiden sijaan, kullekin tapaukselle ominaisten seikkojen mukaan.

Yleisen tietosuoja-asetuksen tuloksellisuutta ei pitäisi mitata annettujen sakkojen määrällä, koska yleisessä tietosuoja-asetuksessa säädetään muistakin korjaavista toimivaltuuksista. Esimerkiksi käsittelykiellon tai tiedonsiirtojen keskeyttämisen pelotevaikutus voi olla olosuhteista riippuen paljon tehokkaampi.

Julkista sektoria koskevat kysymykset

Yleisen tietosuoja-asetuksen nojalla jäsenvaltiot voivat määrittää, voidaanko julkisille viranomaisille ja elimille määrätä hallinnollisia sakkoja ja missä määrin niitä voidaan määrätä. Jos jäsenvaltiot päättävät käyttää tätä mahdollisuutta, se ei estä tietosuojaviranomaisia käyttämästä kaikkia muita korjaavia toimivaltuuksiaan julkisiin viranomaisiin ja elimiin nähden. 12

Toinen erityinen kysymys on tuomioistuinten valvonta: vaikka yleistä tietosuoja-asetusta sovelletaan myös tuomioistuinten toimintaan, tuomioistuimet on vapautettu tietosuojaviranomaisten valvonnasta lainkäyttötehtäviensä suorittamisen yhteydessä. Perusoikeuskirjassa ja Euroopan unionin toiminnasta tehdyssä sopimuksessa (SEUT-sopimus) jäsenvaltiot kuitenkin velvoitetaan antamaan näiden tehtävien valvonta jäsenvaltioiden oikeusjärjestelmään kuuluvan riippumattoman elimen tehtäväksi. 13

Yhteistyö muiden sääntelyviranomaisten kanssa

Komissio tukee heinäkuussa 2019 antamansa tiedonannon mukaisesti vuorovaikutusta muiden sääntelyviranomaisten kanssa kunkin viranomaisen toimivaltuuksia täysin kunnioittaen. Kuluttajansuoja ja kilpailu kuuluvat lupaaviin yhteistyöaloihin. Euroopan tietosuojaneuvosto on ilmaissut olevansa halukas tekemään yhteistyötä muiden sääntelyviranomaisten kanssa digitaalimarkkinoiden keskittymien osalta. 14 Komissio on pannut merkille yksityisyyden suojan ja tietosuojan merkityksen yhtenä kilpailun laadullisista parametreista. 15 Euroopan tietosuojaneuvoston jäsenet ovat osallistuneet kuluttajansuoja-asioiden yhteistyöverkoston yhteisiin työpajoihin, joissa on käsitelty yhteistyötä EU:n kuluttajansuoja- ja tietosuojalainsäädännön täytäntöönpanon parantamiseksi. Tämän toimintamallin avulla edistetään yhteisymmärrystä ja kehitetään käytännön keinoja ratkaista kuluttajien konkreettisia ongelmia erityisesti digitaalitaloudessa.

Tiivis yhteistyö sähköisen viestinnän tietosuojadirektiivin 16 – sähköisen viestinnän alan erityissäädöksen – täytäntöönpanossa toimivaltaisten viranomaisten kanssa on välttämätöntä ennen sähköisen viestinnän tietosuoja-asetuksen hyväksymistä, jotta varmistetaan yhdenmukainen lähestymistapa yksityisyyden suojaan ja tietosuojaan. Tiiviimpi yhteistyö NIS-direktiivin 17 nojalla toimivaltaisten viranomaisten ja NIS-yhteistyöryhmän kanssa hyödyttäisi sekä kyseisiä viranomaisia että tietosuojaviranomaisia.

2.2Yhteistyö- ja yhdenmukaisuusmekanismit

Yleisellä tietosuoja-asetuksella luotiin yhteistyömekanismi (yhden luukun järjestelmä toimijoille, yhteisille operaatioille ja tietosuojaviranomaisten keskinäiselle avunannolle) ja yhdenmukaisuusmekanismi. Niillä edistetään tietosuojamääräysten yhdenmukaista soveltamista Euroopan tietosuojaneuvoston tarjoamien yhdenmukaisten tulkintojen ja ratkaisujen avulla mahdollisissa viranomaisten välisissä erimielisyyksissä.

Kaikki tietosuojaviranomaiset yhteen kokoava Euroopan tietosuojaneuvosto on perustettu EU:n elimeksi. Se on täysin toimintakykyinen oikeushenkilö, jolla on oma sihteeristönsä. 18 Sillä on ratkaisevan tärkeä asema kahden edellä mainitun mekanismin toiminnassa. Tietosuojaneuvosto oli antanut vuoden 2019 loppuun mennessä 67 asiakirjaa, mm. 10 uutta ohjetta 19 ja 43 lausuntoa 20 21 .

Euroopan tietosuojaneuvoston tärkeä rooli sai alkunsa tarpeesta saada nopeasti yhdenmukaisia tulkintoja yleisestä tietosuoja-asetuksesta ja löytää välittömästi EU:n tasolla sovellettavissa olevia ratkaisuja. Euroopan tietosuojaneuvosto antoi esimerkiksi covid-19-pandemian vuoksi maaliskuussa 2020 henkilötietojen käsittelystä lausunnon, jossa tarkastellaan muun muassa mobiilisijaintitietojen käsittelyn ja käytön lainmukaisuutta tähän pandemiaan liittyvässä tilanteessa 22 . Se antoi huhtikuussa 2020 myös ohjeet terveystietojen käsittelystä tieteellistä tutkimusta varten covid-19-pandemian yhteydessä 23 ja ohjeet sijaintitietojen ja kontaktien jäljitysvälineiden käytöstä covid-19-pandemian yhteydessä 24 . Euroopan tietosuojaneuvosto edisti myös merkittävästi komission ja jäsenvaltioiden tekemää työtä jäljityssovelluksia koskevan EU:n lähestymistavan suunnittelemisessa.

Tietosuojaviranomaisten jokapäiväinen yhteistyö – toimivatpa ne sitten omasta puolestaan tai Euroopan tietosuojaneuvoston jäseninä – perustuu tietojen ja ilmoitusten vaihtamiseen viranomaisten avaamista asioista. Komissio on helpottanut merkittävästi viranomaisten välistä viestintää tuomalla niiden käyttöön tiedonvaihtojärjestelmän. 25 Suurin osa viranomaisista pitää tätä järjestelmää yhteistyö- ja yhdenmukaisuusmekanismien tarpeisiin soveltuvana, vaikka sitä voitaisiin hienosäätää edelleen esimerkiksi käyttäjäystävällisyyttä parantamalla.

Vaikka asiasta on liian varhaista todeta mitään varmaa, havaittavissa on jo useita saavutuksia ja haasteita, jotka on esitelty jäljempänä. Ne osoittavat, että tietosuojaviranomaiset ovat käyttäneet tähän mennessä tehokkaasti yhteistyövälineitä, suosien erityisesti joustavampia ratkaisuja.

Yhden luukun järjestelmä

Yleisesti ottaen jäsenvaltion tietosuojaviranomainen voi osallistua rajatylittäviin tapauksiin joko i) johtavana viranomaisena, kun toimijan päätoimipaikka sijaitsee kyseisessä jäsenvaltiossa, tai ii) asianosaisena viranomaisena, kun toimija on sijoittautunut kyseisen jäsenvaltion alueelle, jos yksilöihin kohdistuu kyseisessä jäsenvaltiossa merkittäviä vaikutuksia tai jos heidän osaltaan on tehty valitus.

Tällaisesta tiiviistä yhteistyöstä on tullut arkipäivää: siitä lähtien, kun yleisen tietosuoja-asetuksen soveltaminen aloitettiin, kaikissa jäsenvaltioissa on jossain vaiheessa määritelty tietosuojaviranomaisia joko johtaviksi viranomaisiksi tai asianosaisiksi viranomaisiksi rajatylittävissä tapauksissa, joskin vaihtelevissa määrin.

Yhden luukun järjestelmässä käsiteltiin 25.5.2018–31.12.2019 yhteensä 141 päätösehdotusta, joista 79 johti lainvoimaiseen päätökseen. Useiden merkittävien päätösten, joilla on rajatylittävä ulottuvuus ja joihin sovelletaan yhden luukun järjestelmää, käsitteleminen oli kesken tämän kertomuksen julkistamishetkellä. Osa näistä päätöksistä koskee suuria monikansallisia teknologiayrityksiä. 27 Niiden odotetaan selventävän tilannetta ja edistävän yleisen tietosuoja-asetuksen tulkintojen yhdenmukaistamista.

Keskinäinen avunanto

Tietosuojaviranomaiset ovat hyödyntäneet laajasti keskinäisen avunannon välinettä.

Suurin osa viranomaisista pitää keskinäistä avunantoa erittäin hyödyllisenä yhteistyövälineenä, eivätkä ne ole myöskään kohdanneet mitään erityisiä esteitä keskinäisen avunantomenettelyn täytäntöönpanossa. Vapaaehtoiseen keskinäiseen avunantoon liittyvää tietojenvaihtoa, johon ei liity lakisääteistä määräaikaa tai ankaraa vastausvelvollisuutta, on käytetty useammin, yhteensä 2 427 menettelyssä. Irlannin tietosuojaviranomainen vastaanotti ja lähetti eniten keskinäistä avunantoa koskevia pyyntöjä (527 lähetettyä ja 359 vastaanotettua pyyntöä). Sen perässä tulivat Saksan viranomaiset (260 lähetettyä ja 356 vastaanotettua pyyntöä).

Toisaalta vielä ei ole suoritettu yhteisiä operaatioita 30 , joissa tietosuojaviranomaiset useista eri jäsenvaltioista voisivat osallistua jo tutkimusten tasolla rajatylittäviin tapauksiin. Euroopan tietosuojaneuvostossa pohditaan parhaillaan tämän välineen käytännön täytäntöönpanoa ja sitä, miten sen käyttöä voitaisiin edistää.

Yhdenmukaisuusmekanismi

Tähän mennessä on käytetty ainoastaan yhdenmukaisuusmekanismin ensimmäistä vaihetta eli Euroopan tietosuojaneuvoston antamia lausuntoja. 31 Sen sijaan tietosuojaneuvoston kiistanratkaisumenettelyä 32 tai kiireellistä menettelyä 33 ei ole vielä käytetty.

Ratkaistavat haasteet

Vaikka tietosuojaviranomaiset ovat tehneet hyvin aktiivisesti yhteistyötä Euroopan tietosuojaneuvoston kanssa ja käyttävät jo nykyisin intensiivisesti keskinäisen avunannon yhteistyövälinettä, aidosti yhteisen tietosuojakulttuurin rakentaminen on vielä kesken.

Erityisesti maiden rajat ylittävien tapausten käsittely edellyttää tehokkaampaa ja yhdenmukaisempaa lähestymistapaa ja kaikkien yleisessä tietosuoja-asetuksessa säädettyjen yhteistyövälineiden tehokasta käyttöä. Tästä asiasta ollaan hyvin laajasti yksimielisiä, sillä Euroopan parlamentti, neuvosto, Euroopan tietosuojavaltuutettu, sidosryhmät (monisidosryhmäisessä asiantuntijaryhmässä ja muualla) ja tietosuojaviranomaiset ovat ottaneet sen esille eri tavoin.

Tärkeimmät tähän liittyvät ratkaistavat ongelmat koskevat eroja

·kansallisissa hallinnollisissa menettelyissä, erityisesti valitusten käsittelymenettelyissä, valitusten tutkittaviksi ottamisen perusteissa, menettelyjen kestossa erilaisten aikataulujen tai määräaikojen puuttumisen vuoksi, menettelyn vaiheessa, jossa myönnetään oikeus tulla kuulluksi, sekä valituksen esittäjien tiedonsaannissa ja osallistumisessa menettelyn aikana

·yhteistyömekanismiin liittyvien seikkojen ja käsitteiden tulkinnassa; näitä ovat esimerkiksi asiaankuuluvat tiedot, käsitteet ’viipymättä’ ja ’valitus’, johtavan tietosuojaviranomaisen ’päätösehdotukseksi’ määritelty asiakirja ja sovintoratkaisu (erityisesti sovintoratkaisuun johtava menettely ja sovitteluratkaisun oikeudellinen muoto)

·toimintatavassa sen suhteen, milloin yhteistyömenettely aloitetaan, miten asianosaisia tietosuojaviranomaisia osallistetaan ja miten heille tiedotetaan. Valituksen tekijöille on myös epäselvää, miten heidän asiansa käsitellään maiden rajat ylittävissä tilanteissa. Tätä korostivat useat monisidosryhmäisen asiantuntijaryhmän jäsenet. Lisäksi yritykset mainitsivat, että kansalliset tietosuojaviranomaiset eivät tietyissä tapauksissa ohjaa asioita johtavalle tietosuojaviranomaisille vaan käsittelevät ne paikallisina asioina.

Komissio suhtautuu myönteisesti Euroopan tietosuojaneuvoston ilmoitukseen siitä, että se on alkanut pohtia, miten nämä huolenaiheet voitaisiin ratkaista. Euroopan tietosuojaneuvosto on erityisesti ilmoittanut, että se aikoo selventää johtavan tietosuojaviranomaisen ja asianosaisten tietosuojaviranomaisten väliseen yhteistyöhön kuuluvia menettelyvaiheita, analysoida kansalliset hallintomenettelylait, pyrkiä kohti keskeisten käsitteiden yhteistä tulkintaa ja vahvistaa viestintää ja yhteistyötä (myös yhteisiä operaatioita). Euroopan tietosuojaneuvoston pohdinnan ja analyysin odotetaan johtavan tehokkaampien työskentelyjärjestelyjen kehittämiseen rajatylittävissä tilanteissa 38 , muun muassa sen jäsenten asiantuntemuksen pohjalta ja vahvistamalla sen sihteeristön osallistumista. Lisäksi olisi pantava merkille, että Euroopan tietosuojaneuvostoa ei voida vapauttaa sen velvollisuudesta varmistaa yleisen tietosuoja-asetuksen yhdenmukainen täytäntöönpano pelkästään löytämällä pienin mahdollinen yhteinen nimittäjä.

Lisäksi Euroopan tietosuojaneuvoston on EU:n elimenä sovellettava EU:n hallintolainsäädäntöä ja varmistettava päätöksentekomenettelyn avoimuus.

2.3Neuvot ja ohjeet

Tiedon lisääminen ja tietosuojaviranomaisten tarjoama neuvonta

Useat tietosuojaviranomaiset ovat luoneet uusia välineitä, kuten yksilöille ja yrityksille tarkoitettuja auttavia puhelimia ja yrityksille tarkoitettuja välineistöjä. 39 Monet toimijat suhtautuvat myönteisesti siihen, että nämä viranomaiset ovat antaneet käytännönläheistä tukea yleisen tietosuoja-asetuksen soveltamisessa. Useat viranomaisista ovat tehneet aktiivista ja tiivistä yhteistyötä ja viestineet tietosuojavastaavien kanssa muun muassa tietosuojavastaavien yhdistysten välityksellä. Monet viranomaiset ovat myös antaneet ohjeita tietosuojavastaavien roolista ja velvollisuuksista tietosuojavastaavien tukemiseksi heidän päivittäisessä toiminnassaan ja järjestäneet erityisesti tietosuojavastaavia varten suunniteltuja seminaareja. Kaikki tietosuojaviranomaiset eivät ole kuitenkaan toimineet näin.

Sidosryhmiltä saadussa palautteessa huomautetaan toisaalta myös monista ohjeisiin ja neuvoihin liittyvistä ongelmista, kuten:

·yhdenmukaisen toimintatavan ja yhdenmukaisten ohjeiden puuttuminen tietyissä asioissa (esim. evästeiden 40 , oikeutetun edun käsitteen soveltamisen, tietoturvaloukkauksista ilmoittamisen tai tietosuojaa koskevien vaikutustenarviointien osalta) kansallisten tietosuojaviranomaisten välillä tai jopa saman jäsenvaltion tietosuojaviranomaisten kesken (esim. Saksassa rekisterinpitäjän ja henkilötietojen käsittelijän käsitteiden suhteen);

·kansallisella tasolla annettujen ohjeiden ja Euroopan tietosuojaneuvoston antamien ohjeiden väliset ristiriidat;

·julkisten kuulemisten järjestämättä jättäminen tiettyjen kansallisella tasolla annettujen ohjeiden osalta;

·tietosuojaviranomaisten vaihteleva vuorovaikutus sidosryhmien kanssa;

·tietopyyntöihin vastaamiseen liittyvät viiveet;

·vaikeudet saada käytännöllisiä ja arvokkaita neuvoja tietosuojaviranomaisilta;

·tarve lisätä joidenkin tietosuojaviranomaisten alakohtaista asiantuntemusta (esim. terveydenhuolto- ja lääkealalla).

Monet näistä kysymyksistä liittyvät myös useiden tietosuojaviranomaisten puutteellisiin resursseihin (ks. jäljempänä).

Euroopan tietosuojaneuvoston ohjeet

Euroopan tietosuojaneuvosto on antanut yli 20 ohjetta yleisen tietosuoja-asetuksen keskeisistä seikoista. 43 Nämä ohjeet ovat olennaisia välineitä yleisen tietosuoja-asetuksen yhdenmukaisen soveltamisen kannalta, minkä vuoksi sidosryhmät ovat suhtautuneet niihin enimmäkseen myönteisesti. Sidosryhmät ovat arvostaneet järjestelmällisiä (6–8 viikon) julkisia kuulemisia. Ne toivovat kuitenkin lisää vuoropuhelua tietosuojaneuvoston kanssa. Tässä yhteydessä olisi jatkettava ja laajennettava käytäntöä järjestää tietyistä aiheista työpajoja ennen ohjeiden laatimista. Näin varmistetaan Euroopan tietosuojaneuvoston työn läpinäkyvyys, osallistavuus ja merkityksellisyys. Sidosryhmät pyytävät myös, että kiistanalaisimpien asioiden tulkintaa käsiteltäisiin yleisen tietosuoja-asetuksen 64 artiklan 2 kohdan mukaisten lausuntojen sijaan ohjeissa, koska niistä on järjestettävä julkinen kuuleminen. Jotkin sidosryhmät ovat myös pyytäneet käytännönläheisempiä ohjeita, joissa kerrottaisiin yksityiskohtaisesti yleisen tietosuoja-asetuksen käsitteiden ja säännösten soveltamisesta. 44 Monisidosryhmäisen asiantuntijaryhmän jäsenet korostavat konkreettisempien esimerkkien tarvetta, jotta voidaan vähentää mahdollisimman paljon toisistaan poikkeavia tulkintoja eri tietosuojaviranomaisten välillä. Yleisen tietosuoja-asetuksen soveltamisen selventämistä ja oikeusvarmuuden varmistamista koskevien pyyntöjen ei pitäisi kuitenkaan johtaa lisävaatimuksiin tai heikentää riskiperusteisen lähestymistavan ja osoitusvelvollisuuden periaatteen tuomia etuja.

Sidosryhmät toivoisivat Euroopan tietosuojaneuvostolta lisäohjeita muun muassa seuraavista asioista: rekisteröityjen oikeuksien soveltamisala (myös työhön liittyen), oikeutettuun etuun perustuvasta käsittelystä annetun lausunnon saattaminen ajan tasalle, rekisterinpitäjää, yhteisrekisterinpitäjää ja henkilötietojen käsittelijää koskevat käsitteet ja tarvittavat osapuolten väliset järjestelyt 45 , yleisen tietosuoja-asetuksen soveltaminen uusiin teknologioihin (kuten lohkoketju ja tekoäly), tieteelliseen tutkimukseen liittyvä käsittely (myös kansainvälisessä yhteistyössä), lasten tietojen käsittely, pseudonymisoiminen ja anonymisoiminen ja terveystietojen käsittely.

Euroopan tietosuojaneuvosto on jo ilmoittanut, että se antaa ohjeet monista näistä aiheista ja että työ on jo aloitettu monen aiheen osalta (esim. oikeutetun edun soveltaminen käsittelyn laillisena perusteena).

Sidosryhmät pyytävät tietosuojaneuvostoa päivittämään ja tarkistamaan nykyisiä ohjeita tarpeen mukaan, ottamaan tässä huomioon niiden julkaisemisen jälkeen saadut kokemukset ja hyödyntämään tilaisuuden käsitellä asioita tarvittaessa yksityiskohtaisemmin.

2.4Tietosuojaviranomaisten resurssit

Kaikille tietosuojaviranomaisille on annettava tarvittavat inhimilliset, tekniset ja taloudelliset resurssit, toimitilat ja infrastruktuuri, jotta ne voivat hoitaa tehtävänsä tehokkaasti ja käyttää toimivaltaansa. Nämä resurssit ovat näin ollen välttämättömiä tietosuojaviranomaisten riippumattomuuden varmistamiseksi. 46  

Suurin osa tietosuojaviranomaisista on saanut lisää henkilöstöä ja resursseja yleisen tietosuoja-asetuksen tultua voimaan vuonna 2016. 47 Monet niistä katsovat kuitenkin yhä, ettei niillä ole riittäviä resursseja. 48

Liitteessä II olevassa taulukossa esitetään yleiskatsaus kansallisten tietosuojaviranomaisten inhimillisistä ja taloudellisista resursseista.

Sen lisäksi, että resurssien puute vaikuttaa tietosuojaviranomaisten valmiuksiin panna sääntöjä täytäntöön kansallisella tasolla, se rajoittaa myös tietosuojaviranomaisten valmiuksia osallistua yhteistyö- ja yhdenmukaisuusmekanismeihin ja Euroopan tietosuojaneuvoston työhön ja edistää niitä. Kuten tietosuojaneuvosto on korostanut, yhden luukun järjestelmän onnistuminen riippuu ajasta ja resursseista, jotka tietosuojaviranomaiset voivat osoittaa yksittäisten rajatylittävien asioiden käsittelemiselle ja niihin liittyvälle yhteistyölle. Resurssikysymystä vaikeuttaa viranomaisten entistä suurempi rooli kehitettävinä olevien laajamittaisten tietoteknisten järjestelmien valvonnassa. Lisäksi Irlannin ja Luxemburgin tietosuojaviranomaisilla on erityisiä resurssitarpeita, koska niillä on rooli yleisen tietosuoja-asetuksen täytäntöönpanosta vastaavina johtavina viranomaisina enimmäkseen näissä jäsenvaltioissa sijaitseviin suuriin teknologiayrityksiin nähden.

Neuvosto huomauttaa yhteistyömekanismin ja sen määräaikojen vaikutuksista tietosuojaviranomaisten työhön 50 , mutta jäsenvaltioiden on tarjottava yleisen tietosuoja-asetuksen mukaan kansallisille tietosuojaviranomaisilleen riittävät inhimilliset, taloudelliset ja tekniset resurssit 51 .

Euroopan tietosuojavaltuutetun järjestämä Euroopan tietosuojaneuvoston sihteeristö 52 koostuu tällä hetkellä 20 henkilöstä. Heidän joukossaan on lainsäädännön, tietotekniikan ja viestinnän asiantuntijoita. On arvioitava, onko sihteeristön henkilöstön määrää lisättävä tulevaisuudessa, jotta sihteeristö voi hoitaa tehokkaasti tehtävänsä, joka on analyyttisen, hallinnollisen ja logistisen tuen antaminen tietosuojaneuvostolle ja sen alaryhmille muun muassa hallinnoimalla tietojenvaihtojärjestelmää.

3Yhdenmukaistetuista säännöistä huolimatta edelleenkin hajanaisuutta ja erilaisia lähestymistapoja 

Yleinen tietosuoja-asetus tarjoaa koko EU:lle yhdenmukaisen lähestymistavan tietosuojasääntöihin. Sillä korvattiin erilaiset kansalliset järjestelyt, jotka olivat voimassa vuoden 1995 tietosuojadirektiivin nojalla.

3.1Yleisen tietosuoja-asetuksen täytäntöönpano jäsenvaltioissa

Yleinen tietosuoja-asetus on ollut suoraan sovellettavaa lainsäädäntöä kaikissa jäsenvaltioissa 25. toukokuuta 2018 alkaen. Se velvoittaa jäsenvaltiot antamaan lainsäädäntöä ja erityisesti määrittämään kansalliset tietosuojaviranomaiset ja niiden jäseniä koskevat yleiset edellytykset sen varmistamiseksi, että kukin viranomainen voi suorittaa tehtävänsä ja käyttää toimivaltuuksiaan täysin riippumattomasti yleisen tietosuoja-asetuksen mukaisesti. Lakisääteiset velvoitteet ja julkiset tehtävät voivat olla oikeusperusta henkilötietojen käsittelylle vain siinä tapauksessa, että niistä on säädetty (unionin tai) jäsenvaltion lainsäädännössä. Lisäksi jäsenvaltioiden on vahvistettava rangaistuksia koskevat säännöt erityisesti sellaisten rikkomusten osalta, joista ei määrätä hallinnollisia sakkoja, ja sovitettava yhteen oikeus henkilötietojen suojaan ja sananvapaus ja tiedonvälityksen vapaus. Kansallisessa lainsäädännössä voidaan myös säätää oikeusperustasta, joka mahdollistaa vapautuksen erityisten henkilötietojen ryhmien yleisestä käsittelykiellosta esimerkiksi kansanterveyteen liittyvän merkittävän yleisen edun vuoksi. Tällainen yleinen etu voi liittyä esimerkiksi vakavilta maiden rajat ylittäviltä terveysuhkilta suojelemiseen. Lisäksi jäsenvaltioiden on varmistettava sertifiointielinten akkreditointi.

Komissio seuraa yleisen tietosuoja-asetuksen saattamista osaksi kansallista lainsäädäntöä. Kaikki jäsenvaltiot Sloveniaa lukuun ottamatta ovat hyväksyneet tämän kertomuksen laatimishetkellä uutta tietosuojalainsäädäntöä tai mukauttaneet lainsäädäntöään tällä alalla. Komissio on pyytänyt Sloveniaa toimittamaan selvityksen maan tähän mennessä saavuttamasta edistyksestä ja kehottanut sitä saattamaan tämän prosessin päätökseen. 53

Lisäksi komission koordinoimassa Schengenin säännöstön arviointimekanismissa arvioidaan, onko kansallinen lainsäädäntö Schengenin säännöstöä koskevien tietosuojasääntöjen mukaista. Komissio ja jäsenvaltiot arvioivat yhdessä, miten maat panevat Schengenin säännöstön täytäntöön ja soveltavat sitä eri aloilla. Tietosuojan osalta tämä koskee suuria tietoteknisiä järjestelmiä, kuten Schengenin tietojärjestelmää ja Via-tietojärjestelmää, ja arviointi kattaa tietosuojaviranomaisten roolin näissä järjestelmissä tapahtuvan henkilötietojen käsittelyn valvonnassa.

Alakohtaisten lakien mukauttaminen on yhä kesken kansallisella tasolla. Sen jälkeen, kun yleinen tietosuoja-asetus sisällytettiin Euroopan talousalueesta tehtyyn sopimukseen, sitä alettiin soveltaa myös Norjassa, Islannissa ja Liechtensteinissa. Nämä maat ovat myös mukauttaneet kansallista tietosuojalainsäädäntöään.

Komissio aikoo hyödyntää kaikkia käytössään olevia välineitä, myös rikkomusmenettelyjä, varmistaakseen, että jäsenvaltiot noudattavat yleistä tietosuoja-asetusta.

Merkittävimmät kansalliseen täytäntöönpanoon liittyvät ongelmat

Meneillään on kansallisen lainsäädännön arviointi ja kahdenväliset keskustelut jäsenvaltioiden kanssa. Niiden yhteydessä on tähän mennessä havaittu erityisesti seuraavia ongelmia:

·yleisen tietosuoja-asetuksen soveltamiseen liittyvät rajoitukset: jotkin jäsenvaltiot ovat esimerkiksi sulkeneet kokonaan pois kansallisen parlamentin toimet;

·erot kansallisten täsmentävien säädösten sovellettavuudessa: jotkin jäsenvaltiot kytkevät kansallisen lainsäädäntönsä sovellettavuuden paikkaan, jossa tavaroita tai palveluja tarjotaan, kun taas toiset kytkevät sen rekisterinpitäjän tai henkilötietojen käsittelijän sijoittautumispaikkaan. Tämä on vastoin yleisen tietosuoja-asetuksen tavoitteena olevaa yhdenmukaistamista;

·kansalliset säädökset, jotka herättävät kysymyksiä tietosuojaa koskevaan oikeuteen puuttumisen oikeasuhtaisuudesta. Komissio on esimerkiksi käynnistänyt rikkomusmenettelyn tapauksessa, jossa jäsenvaltio on antanut lainsäädäntöä, jossa edellytetään tuomareiden antavan tarkkoja tietoja ammattinsa ulkopuolisesta toiminnastaan. Tämä on ristiriidassa yksityiselämän kunnioittamista koskevan oikeuden ja henkilötietojen suojaa koskevan oikeuden kanssa; 54

·tuomioistuinten lainkäyttötehtäviensä yhteydessä suorittaman tietojen käsittelyn valvonnasta vastaavan riippumattoman elimen puuttuminen; 55

·lainsäädännön antaminen aloilla, jotka kuuluvat täysin yleisen tietosuoja-asetuksen soveltamisalaan eivätkä sallittujen täsmennysten tai rajoitusten alaan. Tämä koskee erityisesti tilanteita, joissa kansallisissa säännöksissä määritellään ehtoja käsittelylle oikeutetun edun perusteella tasapainottamalla rekisterinpitäjän ja asianosaisten henkilöiden väliset edut, vaikka yleisessä tietosuoja-asetuksessa velvoitetaan kaikki rekisterinpitäjät huolehtimaan tästä tasapainottamisesta tapauskohtaisesti ja hyödyntämään sitä oikeusperustaa;

·täsmennykset ja lisävaatimukset, joissa on kyse käsittelystä, joka ulottuu lakisääteisen velvoitteen noudattamista tai julkisen tehtävän suorittamista pidemmälle (esim. videovalvonta yksityisellä sektorilla tai suoramarkkinointi), tai yleisessä tietosuoja-asetuksessa käytetyistä käsitteistä (esim. ’laajamittainen’ tai ’poistaminen’).

Unionin tuomioistuin saattaa selventää joitakin näistä kysymyksistä asioissa, joiden käsittely on vielä kesken. 56

Henkilötietojen suojaa koskevan oikeuden yhteensovittaminen sananvapauden ja tiedonvälityksen vapauden kanssa

Yksi erityinen kysymys liittyy jäsenvaltioiden velvollisuuteen sovittaa lainsäädännöllisesti yhteen henkilötietojen suojaa koskeva oikeus ja sananvapaus ja tiedonvälityksen vapaus. 57 Tämä on erittäin monimutkainen asia, koska arvioitaessa näiden perusoikeuksien tasapainotusta huomioon on otettava myös lehdistöä ja tiedotusvälineitä koskevan lainsäädännön säännökset ja suojatoimet.

Komissio jatkaa kansallisen lainsäädännön arviointia perusoikeuskirjan vaatimusten pohjalta. Eri oikeuksien ja vapauksien yhteensovittamisesta on säädettävä lailla näiden perusoikeuksien keskeistä sisältöä kunnioittaen, ja sen on oltava tavoitteen kannalta oikeasuhteista ja välttämätöntä (perusoikeuskirjan 52 artiklan 1 kohta). Tietosuojaa koskevat säännöt eivät saisi vaikuttaa sananvapauteen ja tiedonvälityksen vapauteen tukahduttavasti tai siten, että niitä tulkittaisiin keinona painostaa toimittajia paljastamaan lähteensä.

3.2Valinnaista täsmentämistä koskevat lausekkeet ja niiden rajoitukset

Yleisessä tietosuoja-asetuksessa annetaan jäsenvaltioille mahdollisuus täsmentää asetuksen soveltamista tietyillä aloilla. Tämä kansallisen lainsäädännön liikkumavara on erotettava velvollisuudesta panna täytäntöön tietyt muut yleisen tietosuoja-asetuksen säännökset, kuten edellä on mainittu. Valinnaista täsmentämistä koskevat lausekkeet on lueteltu liitteessä I.

Jäsenvaltioiden lainsäädännölliseen liikkumavaraan sovelletaan yleisessä tietosuoja-asetuksessa säädettyjä ehtoja ja rajoituksia. Liikkumavara ei mahdollista rinnakkaista kansallista tietosuojajärjestelmää. 58 Jäsenvaltioiden on muutettava kansallista tietosuojalainsäädäntöä tai kumottava se. Tämä koskee myös alakohtaista lainsäädäntöä, johon liittyy tietosuojaa koskevia näkökohtia.

Asiaa koskevassa jäsenvaltioiden lainsäädännössä ei myöskään saa olla säännöksiä, jotka voisivat aiheuttaa epäselvyyttä yleisen tietosuoja-asetuksen suorasta sovellettavuudesta. Näin ollen kun yleisessä tietosuoja-asetuksessa annetaan mahdollisuus sen sääntöjen täsmennyksiin tai rajoituksiin jäsenvaltioiden lainsäädännössä, jäsenvaltiot voivat sisällyttää osia asetuksesta kansalliseen lainsäädäntöönsä siinä määrin kuin on tarpeen, jotta voidaan varmistaa johdonmukaisuus ja kansallisten säännösten ymmärrettävyys niille, joihin niitä sovelletaan. 59

Sidosryhmät katsovat, että jäsenvaltioiden olisi vähennettävä valinnaista täsmentämistä koskevien lausekkeiden käyttöä tai pidättäydyttävä siitä kokonaan, koska ne eivät edistä yhdenmukaisuutta. Jäsenvaltioiden väliset erot sekä lainsäädännön täytäntöönpanossa että siinä, miten tietosuojaviranomaiset tulkitsevat niitä, lisäävät merkittävästi lainsäädännön noudattamisesta aiheutuvia kustannuksia EU:ssa.

Valinnaista täsmentämistä koskevien lausekkeiden käyttöön liittyvä hajanaisuus

·Tietoyhteiskunnan palveluihin liittyvä lapsen suostumuksen ikäraja

Useat jäsenvaltiot ovat käyttäneet mahdollisuuden säätää 16 vuoden ikää alhaisempi ikäraja tietoyhteiskunnan palveluihin liittyvää suostumusta varten (yleisen tietosuoja-asetuksen 8 artiklan 1 kohta). Yhdeksän jäsenvaltiota soveltaa 16 vuoden ikärajaa, kun taas kahdeksan jäsenvaltiota on valinnut ikärajaksi 13 vuotta, kuusi jäsenvaltiota 14 vuotta ja kolme jäsenvaltiota 15 vuotta. 60

Näin ollen yrityksen, joka tarjoaa tietoyhteiskunnan palveluja alaikäisille EU:n alueella, on erotettava toisistaan mahdolliset eri-ikäiset käyttäjät sen mukaan, missä jäsenvaltiossa he asuvat. Tämä on vastoin yleisen tietosuoja-asetuksen keskeistä tavoitetta eli yhdenvertaisen suojan tarjoamista yksilöille ja tasapuolisten liiketoimintamahdollisuuksien tarjoamista kaikissa jäsenvaltioissa.

Tällaiset erot aiheuttavat tilanteita, joissa jäsenvaltio, johon rekisterinpitäjä on sijoittautunut, säätää eri ikärajan kuin jäsenvaltiot, joissa rekisteröidyt asuvat.

·Terveys ja tutkimus

Kun jäsenvaltiot panevat lainsäädännössään täytäntöön erityisten henkilötietoryhmien yleistä käsittelykieltoa koskevia poikkeuksia 61 , niillä on erilaisia suhtautumistapoja täsmennysten ja suojatoimien tasoon, myös terveyteen ja tutkimukseen liittyvissä tarkoituksissa. Suurin osa jäsenvaltioista on ottanut käyttöön tai säilyttänyt lisäehtoja, jotka koskevat geneettisten, biometristen tai terveyttä koskevien tietojen käsittelyä. Tämä koskee myös rekisteröityjen oikeuksiin liittyviä poikkeuksia tutkimustarkoituksia varten 62 sekä poikkeusten laajuuden että niihin liittyvien suojatoimien osalta. 

Euroopan tietosuojaneuvoston tulevat ohjeet henkilötietojen käytöstä tieteellisessä tutkimuksessa edistävät yhdenmukaistettua lähestymistapaa tällä alalla. Komissio toimittaa tietosuojaneuvostolle panoksensa erityisesti terveystutkimuksen osalta, ja sisällyttää siihen myös tiedeyhteisöltä saamiaan konkreettisia kysymyksiä ja konkreettisista skenaarioista tehtyjä analyyseja. Olisi hyödyllistä, jos nämä ohjeet voitaisiin antaa ennen Horisontti Eurooppa ‑puiteohjelman käynnistämistä. Tämä olisi hyvä tietosuojakäytäntöjen yhdenmukaistamisen ja tutkimustyössä saavutettua edistystä koskevien tietojen jakamisen helpottamisen kannalta. Euroopan tietosuojaneuvoston ohjeet henkilötietojen käsittelystä terveyden alalla voisivat myös olla hyödyksi.

Yleinen tietosuoja-asetus muodostaa tukevat puitteet kansanterveyden alan kansalliselle lainsäädännölle, ja se nimenomaisesti sisältää maiden rajat ylittävät terveysuhat sekä epidemioiden ja niiden leviämisen seurannan 63 , millä on ollut merkitystä covid-19-pandemian torjunnassa.

EU:n tasolla komissio antoi 8. huhtikuuta 2020 suosituksen välineistöstä teknologian ja datan (myös mobiilisovellusten ja anonymisoidun liikkuvuusdatan) käyttöä varten tässä yhteydessä 64 ja 16. huhtikuuta 2020 covid-19-pandemian torjuntaa tukevien sovellusten tietosuojaa koskevat ohjeet 65 . Euroopan tietosuojaneuvosto julkaisi 19. maaliskuuta 2020 lausunnon tähän liittyvästä tietojen käsittelystä 66 ja sen jälkeen 21. huhtikuuta 2020 ohjeet tietojen käsittelystä tutkimukseen liittyviä tarkoituksia varten ja siihen liittyvästä sijaintitietojen ja kontaktien jäljitystyökalujen käytöstä 67 . Näissä suosituksissa ja ohjeissa selvennetään, miten henkilötietojen suojaa koskevia periaatteita ja sääntöjä sovelletaan pandemian torjunnan yhteydessä.

·Rekisteröityjen oikeuksia koskevat laajat rajoitukset

Suurimmassa osassa kansallisia tietosuojasäädöksiä, joilla rajoitetaan rekisteröidyn oikeuksia, ei täsmennetä näiden rajoitusten suojelemia yleisen edun tavoitteita ja/tai täytetä riittävällä tavalla yleisen tietosuoja-asetuksen 23 artiklan 2 kohdassa vaadittuja ehtoja ja suojatoimia. 68 Useat jäsenvaltiot eivät jätä mahdollisuutta suhteellisuustestille, tai ne ulottavat rajoitukset jopa yleisen tietosuoja-asetuksen 23 artiklan 1 kohdan soveltamisalaa laajemmalle. Esimerkiksi joissakin kansallisissa säädöksissä evätään oikeus saada pääsy säilyttämisvelvollisuuden nojalla säilytettyihin tai julkisten tehtävien suorittamiseen liittyviin henkilötietoihin sen perusteella, että se vaatisi rekisterinpitäjältä kohtuutonta vaivaa, rajaamatta tällaista rajoitusta yleisen edun mukaisiin tavoitteisiin.

·Yrityksiä koskevat lisävaatimukset

Vaikka pakollista tietosuojavastaavaa koskeva vaatimus perustuu riskipohjaiseen lähestymistapaan 69 , yksi jäsenvaltio 70 on ulottanut sen määrällisiin perusteisiin ja edellyttää, että yritysten, joissa vähintään 20 henkilöä työskentelee jatkuvasti automatisoidun henkilötietojen käsittelyn parissa, on nimettävä tietosuojavastaava käsittelytoimiin liittyvistä riskeistä riippumatta 71 . Tämä on aiheuttanut ylimääräistä rasitetta.

4Kansalaisille paremmat mahdollisuudet valvoa tietojaan

Yleinen tietosuoja-asetus tukee tehokkaasti perusoikeuksien toteutumista. Tämä koskee erityisesti oikeutta henkilötietojen suojaan mutta myös muita perusoikeuskirjassa tunnustettuja perusoikeuksia, kuten oikeutta yksityisyyden ja perhe-elämän kunnioitukseen, sananvapautta ja tiedonvälityksen vapautta, syrjintäkieltoa, ajatuksen-, omantunnon ja uskonnonvapautta, liiketoiminnan harjoittamisen vapautta ja oikeutta tehokkaaseen oikeussuojaan. Nämä oikeudet on tasapainotettava keskenään suhteellisuusperiaatteen mukaisesti. 72

Yleisessä tietosuoja-asetuksessa säädetään, että yksilöillä on täytäntöönpanokelpoisia oikeuksia, kuten oikeus saada pääsy tietoihin, oikeus oikaista tai poistaa tietoja, oikeus vastustaa tietojenkäsittelyä, oikeus siirtää tiedot ja oikeus suurempaan läpinäkyvyyteen. Lisäksi siinä annetaan yksilöille oikeus tehdä valitus tietosuojaviranomaiselle, myös edustajakanteina, sekä oikeus muutoksenhakuun tuomioistuimessa.

Yksilöt tuntevat entistä paremmin oikeutensa, kuten heinäkuun 2019 Eurobarometri-tutkimuksen 73 tulokset ja Euroopan unionin perusoikeusviraston raportti 74 osoittavat.

Yksilöt käyttävät entistä enemmän oikeuttaan tehdä valituksia tietosuojaviranomaisille joko yksilöinä tai edustajakanteina. 75 Vain harvat jäsenvaltiot ovat sallineet kansalaisjärjestöjen käynnistää toimia ilman valtuutusta yleisessä tietosuoja-asetuksessa säädetyn mahdollisuuden mukaisesti. Ehdotetun direktiivin kuluttajien yhteisten etujen suojaamiseksi nostettavista edustajakanteista 76 odotetaan vahvistavan edustajakanteita koskevaa lainsäädäntökehystä myös tietosuojan alalla, kunhan se on hyväksytty.

Monisidosryhmäiseltä asiantuntijaryhmältä saatu palaute osoittaa, että organisaatiot ovat ottaneet käyttöön erilaisia toimenpiteitä, joilla helpotetaan rekisteröityjen oikeuksien käyttöä. Ne ovat esimerkiksi ottaneet käyttöön prosesseja, joilla varmistetaan pyyntöjen yksilöllinen tarkastelu ja vastaus rekisterinpitäjältä, asettaneet tarjolle eri kanavia (posti, tarkoitukseen varattu sähköpostiosoite, verkkosivusto jne.), päivittäneet sisäisiä menettelyjä ja käytäntöjä pyyntöjen ripeää sisäistä käsittelyä varten ja kouluttaneet henkilöstöä. Jotkin yritykset ovat ottaneet käyttöön digitaalisia portaaleja, jotka ovat käytettävissä yritysten verkkosivustojen kautta (tai yritysten intranetsivujen kautta työntekijöille) helpottamaan rekisteröityjen oikeuksien käyttämistä.

Seuraavissa asioissa on kuitenkin edistyttävä edelleen:

·Kaikki rekisterinpitäjät eivät noudata velvollisuuttaan helpottaa rekisteröityjen oikeuksien käyttöä. 79 Niiden on varmistettava, että rekisteröidyillä on toimiva yhteyspiste, jonka kautta he voivat kertoa ongelmistaan. Yhteyspiste voi olla tietosuojavastaava, jonka yhteystiedot on ilmoitettava oma-aloitteisesti rekisteröidylle. 80 Yhteydenottomenetelmänä ei saa olla pelkkä sähköposti, vaan rekisteröidylle on tarjottava mahdollisuus olla yhteydessä rekisterinpitäjään myös muilla tavoin.

·Yksilöillä on yhä vaikeuksia, kun he pyytävät pääsyä tietoihinsa esimerkiksi verkkoalustoilta, datanvälittäjiltä ja digitaalisen markkinoinnin yrityksiltä.

·Oikeutta tietojen siirrettävyyteen ei hyödynnetä täysimääräisesti. Komission 19. helmikuuta 2020 hyväksymässä Euroopan datastrategiassa (jäljempänä ”datastrategia”) 81 korostetaan tarvetta helpottaa kaikkia mahdollisia tämän oikeuden käyttötarkoituksia (esim. ottamalla käyttöön teknisiä käyttöliittymiä ja koneellisesti luettavia formaatteja, jotka mahdollistavat tietojen (lähes) reaaliaikaisen siirrettävyyden). Toimijat huomauttavat, että tietoja on joskus vaikea toimittaa jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa (standardin puuttumisen vuoksi). Vain tietyillä aloilla, kuten pankkitoiminnassa, televiestinnässä tai vesi- ja lämpömittareiden alalla, toimivat organisaatiot raportoivat ottaneensa käyttöön tarvittavat käyttöliittymät. 82 Uusia teknisiä välineitä on kehitetty, jotta yksilöt voisivat käyttää helpommin heille yleisen tietosuoja-asetuksen nojalla kuuluvia oikeuksiaan. Tämä koskee myös muita kuin tietojen siirrettävyyteen liittyviä oikeuksia (esim. henkilökohtaisia datatiloja ja henkilökohtaisia tietojen hallintapalveluja).

·Lasten oikeudet: Monisidosryhmäisen asiantuntijaryhmän jäsenet korostavat tarvetta tarjota lapsille tietoa. Ne korostivat myös sitä, että monet organisaatiot eivät ota huomioon, että niiden suorittama tietojen käsittely voi koskea myös lapsia. Neuvosto on korostanut, että lasten suojeluun olisi kiinnitettävä erityistä huomiota käytännesääntöjä laadittaessa. Lasten suojelu on myös yksi tietosuojaviranomaisten painopisteistä. 83

·Oikeus saada tietoja: Jotkin yritykset toimivat hyvin legalistisesti ja pitävät tietosuojailmoituksia juridisena toimenpiteenä. Niiden antamat tiedot ovat tällöin melko monimutkaisia, vaikeatajuisia tai puutteellisia, vaikka yleisessä tietosuoja-asetuksessa edellytetään, että tiedot esitetään tiiviisti, selkeästi ja yksinkertaisesti. 84 Vaikuttaa siltä, että osa yrityksistä ei noudata Euroopan tietosuojaneuvoston suosituksia esimerkiksi niiden toimijoiden nimien ilmoittamisesta, joiden kanssa ne jakavat tietoja.

·Useat jäsenvaltiot rajoittavat laajasti rekisteröityjen oikeuksia kansallisessa lainsäädännössä – osa jopa yleisen tietosuoja-asetuksen 23 artiklassa sallittua liikkumavaraa enemmän.

·Yksilöiden oikeuksien käyttämistä vaikeuttavat toisinaan muutamien merkittävien digitaalialan toimijoiden käytännöt. Niiden vuoksi yksilöiden on vaikea valita asetuksia, jotka suojelisivat parhaiten heidän yksityisyyttään (mikä rikkoo vaatimusta siitä, että tietosuojan on oltava sisäänrakennettua ja oletusarvoista 85 ). 86

Sidosryhmät suuresti odottavat Euroopan tietosuojaneuvoston ohjeita rekisteröityjen oikeuksista.

5Mahdollisuudet ja haasteet organisaatioille ja erityisesti pienille ja keskisuurille yrityksille

Mahdollisuudet organisaatioille

Yleinen tietosuoja-asetus edistää kilpailua ja innovointia. Yhdessä muiden kuin henkilötietojen vapaata liikkuvuutta koskevan asetuksen 87 kanssa se takaa datan vapaan liikkuvuuden EU:ssa ja turvaa tasapuoliset toimintaedellytykset EU:n ulkopuolelle sijoittautuneiden yritysten kanssa. Luomalla yhdenmukaistettu kehys henkilötietojen suojelemiselle yleisen tietosuoja-asetuksen avulla varmistetaan, että kaikkia sisämarkkinoiden toimijoita sitovat samat säännöt ja että niillä kaikilla on samat mahdollisuudet, sijainnistaan ja tietojen käsittelypaikasta riippumatta. Koska yleinen tietosuoja-asetus on teknologianeutraali, se tarjoaa tietosuojakehyksen myös teknologian kehittyessä. Sisäänrakennetun ja oletusarvoisen tietosuojan periaatteet kannustavat innovatiivisiin ratkaisuihin, joissa tietosuojaa koskevat näkökohdat on huomioitu alusta alkaen ja joiden avulla voidaan vähentää tietosuojaa koskevien sääntöjen noudattamisesta aiheutuvia kustannuksia.

Lisäksi yksityisyydestä tulee tärkeä kilpailun osatekijä, jonka kuluttajat ottavat yhä useammin huomioon palvelujaan valitessaan. Ihmiset, jotka ovat tietoisempia tietosuojaa koskevista näkökohdista ja pitävät niitä tärkeämpinä, etsivät tuotteita ja palveluja, joissa on varmistettu tehokas henkilötietojen suoja. Toteuttamalla tietojen siirrettävyyttä koskeva oikeus voidaan madaltaa innovatiivisia, tietosuojamyönteisiä palveluja tarjoavien yritysten markkinoillepääsyn esteitä. Tämän oikeuden mahdollisesti laajemman käytön vaikutuksia markkinoiden eri aloihin olisi seurattava. Tietosuojasääntöjen noudattaminen ja läpinäkyvä täytäntöönpano luo luottamusta ihmisten henkilötietojen käyttöä kohtaan ja siten uusia mahdollisuuksia yrityksille.

Kuten kaikki sääntely, myös tietosuojasäännöt aiheuttavat luontaisesti yrityksille kustannuksia niiden noudattamisesta. Digitaalialan innovaatioita koskevan luottamuksen kasvusta seuraavat mahdollisuudet ja hyödyt sekä muut yhteiskunnalliset hyödyt ovat kuitenkin näitä kustannuksia suuremmat. Varmistamalla tasapuoliset toimintaedellytykset ja antamalla tietosuojaviranomaisille valmiudet sääntöjen tehokkaaseen täytäntöönpanoon yleisellä tietosuoja-asetuksella estetään sääntöjä rikkovia yrityksiä hyväksikäyttämästä sitä luottamusta, jonka sääntöjä noudattaneet toimijat ovat rakentaneet.

Pk-yritysten erityiset haasteet

Sidosryhmät ovat yleisesti ottaen sitä mieltä ja myös Euroopan parlamentti ja neuvosto sekä tietosuojaviranomaiset katsovat, että yleisen tietosuoja-asetuksen soveltaminen on erityisen haastavaa mikroyrityksille, pienille ja keskisuurille yrityksille sekä pienille vapaaehtois- ja hyväntekeväisyysjärjestöille.

Riskiperusteisen lähestymistavan mukaan ei olisi tarkoituksenmukaista säätää poikkeuksista toimijoiden koon perusteella, sillä yritysten koko ei itsessään ilmennä riskejä, joita niiden suorittama henkilötietojen käsittely voi yksittäisille henkilöille aiheuttaa. Riskiperusteisessa lähestymistavassa yhdistyvät joustavuus ja tehokas suojelu. Siinä otetaan huomioon sellaisten pk-yritysten tarpeet, joiden ydintoimintaan ei kuulu tietojen käsittely, ja mukautetaan niitä koskevat velvollisuudet erityisesti niiden suorittamiin käsittelytoimiin liittyvien riskien todennäköisyyden ja vakavuuden pohjalta. 88  

Käsittelyä, jonka riskit ovat pieniä ja joka on vähäistä, ei pitäisi kohdella samalla tavoin kuin käsittelyä, jonka riskit ovat suuria ja joka on yleistä – käsittelyn suorittavan yrityksen koosta riippumatta. Euroopan tietosuojaneuvosto on todennut siksi, että ”lainsäätäjän tekstissä edistämän riskiperusteisen lähestymistavan noudattamista olisi jatkettava, sillä rekisteröityjä koskevat riskit eivät riipu rekisterinpitäjien koosta”. 89 Tietosuojaviranomaisten olisi noudatettava tätä periaatetta täysimääräisesti, kun ne panevat yleisen tietosuoja-asetuksen täytäntöön, mieluiten yhteisen eurooppalaisen lähestymistavan puitteissa, jottei toimilla luoda esteitä sisämarkkinoille.

Tietosuojaviranomaiset ovat kehittäneet useita työkaluja ja korostaneet aikovansa jatkaa niiden kehittämistä. Jotkin viranomaiset ovat käynnistäneet tiedotuskampanjoita ja aikovat jopa järjestää maksutonta koulutusta yleisestä tietosuoja-asetuksesta pk-yrityksille.

Useat nimenomaan pk-yrityksille suunnatut tukitoimet ovat saaneet EU:n rahoitusta. Komissio on myöntänyt kolmella jakokierroksella avustuksina yhteensä viisi miljoonaa euroa. Kaksi viimeisintä jakokierrosta oli suunnattu erityisesti kansallisille tietosuojaviranomaisille, jotta ne voivat tukea yksityishenkilöitä ja pk-yrityksiä. Tämän johdosta vuonna 2018 osoitettiin kaksi miljoonaa euroa yhdeksälle tietosuojaviranomaiselle vuosina 2018–2019 toteutettavia toimia varten (Belgia, Bulgaria, Tanska, Unkari, Liettua, Latvia, Alankomaat, Slovenia ja Islanti) 91 ja vuonna 2019 miljoona euroa neljälle tietosuojaviranomaiselle vuonna 2020 toteutettavia toimia varten (Belgia, Malta, Slovenia ja Kroatia yhdessä Irlannin kanssa) 92 . Vuonna 2020 tukea on tarkoitus myöntää vielä miljoona euroa.

Näistä aloitteista huolimatta pk-yritykset ja startup-yritykset raportoivat usein vaikeuksista yleisessä tietosuoja-asetuksessa säädetyn osoitusvelvollisuuden täyttämisessä. 93 Ne raportoivat erityisesti, että ne eivät saa aina tarpeeksi ohjeita ja käytännön neuvoja kansallisilta tietosuojaviranomaisilta tai että ohjeiden ja neuvojen saaminen kestää liian pitkään. Joissakin tapauksissa viranomaiset ovat myös olleet haluttomia ottamaan kantaa oikeudellisiin kysymyksiin. Tällaisissa tilanteissa pk-yritykset kääntyvät usein ulkopuolisten neuvonantajien ja juristien puoleen saadakseen apua osoitusvelvollisuuden ja riskiperusteisen lähestymistavan noudattamisessa (mukaan lukien läpinäkyvyysvaatimukset, selosteet käsittelytoimista ja tietoturvaloukkauksista ilmoittaminen). Tästä voi aiheutua niille myös lisäkustannuksia.

Pk-yritysten ja pienten järjestöjen mukaan erityisesti selosteiden laatiminen käsittelytoimista on suuri hallinnollinen rasite. Yleisen tietosuoja-asetuksen 30 artiklan 5 kohdassa säädetty vapautus tästä velvollisuudesta on määritelty hyvin kapeasti. Tämän velvollisuuden noudattamisen työläyttä ei kuitenkaan pitäisi yliarvioida. Jos pk-yritykset eivät käsittele henkilötietoja osana ydinliiketoimintaansa, ne voivat laatia yksinkertaisen selosteen vähällä vaivalla. Sama koskee vapaaehtois- ja muita järjestöjä. Selostemallit helpottaisivat tällaisten yksinkertaistettujen selosteiden laatimista. Osa tietosuojaviranomaisista onkin ottanut tällaisia malleja jo käyttöön. Joka tapauksessa kaikilla henkilötietojen käsittelijöillä olisi oltava yleiskuva tietojen käsittelystään, mikä on osoitusvelvollisuuden perusvaatimus.

Euroopan tietosuojaneuvoston EU:n tasolla kehittämät käytännön työkalut, kuten tietoturvaloukkauksia koskevat yhdenmukaistetut lomakkeet ja yksinkertaistetut selosteet käsittelytoimista, voisivat auttaa sellaisia pk-yrityksiä ja pieniä järjestöjä 94  täyttämään velvollisuutensa, jotka eivät keskity päätoiminnassaan henkilötietojen käsittelyyn.

Monet eri toimialajärjestöt ovat pyrkineet lisäämään jäsentensä tietoisuutta ja jakamaan tietoa esimerkiksi konferenssien ja seminaarien avulla. Ne ovat myös tarjonneet yrityksille tietoa saatavilla olevista ohjeista tai kehittäneet yksityisyydensuojaa koskevan tukipalvelun jäsenilleen. Ne ovat myös raportoineet, että ajatushautomot ja pk-yritysjärjestöt ovat järjestäneet entistä enemmän yleiseen tietosuoja-asetukseen liittyviä kysymyksiä käsitteleviä seminaareja, kokouksia ja tapahtumia.

Jotta kaikkien tietojen vapaa liikkuvuus tehostuisi EU:ssa ja jotta yleistä tietosuoja-asetusta ja muiden kuin henkilötietojen vapaata liikkuvuutta koskevaa asetusta sovellettaisiin yhdenmukaisesti, komissio on lisäksi antanut erityisesti pk-yrityksiä silmällä pitäen käytännön ohjeet sekä henkilötietoja että muita tietotyyppejä yhdistelevien tietokokonaisuuksien (mixed datasets) käsittelyä koskevista säännöistä. 95

Yrityksille tarkoitettu välineistö

Yleinen tietosuoja-asetus tuo käyttöön välineitä, kuten käytännesääntöjä, sertifiointimekanismeja ja vakiosopimuslausekkeita, joiden avulla on helpompi osoittaa tietosuojasääntöjen noudattaminen.

·Käytännesäännöt

Euroopan tietosuojaneuvosto on antanut ohjeet 96 , jotka tukevat käytännesääntöjen ylläpitäjiä käytännesääntöjen laatimisessa, muuttamisessa tai laajentamisessa ja jotka tarjoavat käytännön opastusta ja tulkinta-apua. Näissä ohjeissa selvennetään myös käytännesääntöjen toimittamista, hyväksymistä ja julkaisemista koskevia menettelyjä sekä jäsenvaltioiden että EU:n tasolla esittämällä vaadittavat vähimmäisvaatimukset.

Sidosryhmät pitävät käytännesääntöjä erittäin hyödyllisinä välineinä. Vaikka monia käytännesääntöjä sovelletaan kansallisella tasolla, useita koko EU:n laajuisia käytännesääntöjä on valmisteilla (esimerkiksi terveysalan mobiilisovelluksista, perimätieteeseen liittyvästä terveystutkimuksesta, pilvipalveluista, suoramarkkinoinnista, vakuutuksista ja tietojenkäsittelystä lapsia koskevissa suojelu- ja neuvontapalveluissa). 97 Toimijat uskovat, että EU:n laajuisia käytännesääntöjä olisi tuotava esiin näkyvämmin, koska ne edistävät yleisen tietosuoja-asetuksen yhdenmukaisempaa täytäntöönpanoa kaikissa jäsenvaltioissa.

Käytännesäännöt edellyttävät kuitenkin toimijoilta aikaa ja investointeja, kun niitä kehitetään ja tarvittavia riippumattomia valvontaelimiä perustetaan. Pk-yritysten edustajat korostavat sellaisten niiden tilanteeseen räätälöityjen käytännesääntöjen merkitystä ja hyödyllisyyttä, joista ei aiheudu kohtuuttomia kustannuksia.

Näin ollen liike-elämän järjestöt monilla aloilla ovat ottaneet käyttöön muunlaisia itsesääntelyvälineitä, kuten hyvän käytännön säännöstöjä tai ohjeita. Vaikka tällaiset välineet voivat tuottaa hyödyllistä tietoa, ne eivät ole kuitenkaan tietosuojaviranomaisten hyväksymiä eikä niillä voi siten osoittaa, että yleistä tietosuoja-asetusta noudatetaan.

Neuvosto korostaa, että käytännesäännöissä on kiinnitettävä erityistä huomiota lasten tietojen ja terveystietojen käsittelyyn. Komissio kannattaa sellaisia käytännesääntöjä, joilla yhdenmukaistetaan terveyttä ja tutkimusta koskeva lähestymistapa ja helpotetaan henkilötietojen rajatylittävää käsittelyä. 98 Euroopan tietosuojaneuvosto on parhaillaan hyväksymässä useiden tietosuojaviranomaisten esittämää luonnosta käytännesääntöjen valvontaelinten akkreditointia koskevista vaatimuksista. 99 Kun monikansalliset tai EU:n käytännesäännöt ovat valmiita toimitettaviksi tietosuojaviranomaisille hyväksyntää varten, tietosuojaneuvostoa kuullaan niistä. Monikansallisten käytännesääntöjen nopea käyttöönotto on erityisen tärkeää aloilla, joilla käsitellään huomattavia datamääriä (esim. pilvipalvelut) tai arkaluonteisia tietoja (esim. terveys/tutkimus).

·Sertifiointi

Sertifiointi voi olla hyödyllinen väline yleisen tietosuoja-asetuksen erityisvaatimusten noudattamisen osoittamisessa. Se voi parantaa yritysten oikeusvarmuutta ja tuoda yleiselle tietosuoja-asetukselle maailmanlaajuista näkyvyyttä.

Kuten huhtikuussa 2019 julkaistussa sertifiointia koskevassa selvityksessä 100 todetaan, tavoitteena olisi oltava asiaankuuluvien järjestelmien käyttöönoton helpottaminen. EU:n sertifiointijärjestelmien kehittämistä tukevat Euroopan tietosuojaneuvoston ohjeet sertifiointikriteereistä 101 ja sertifiointielinten akkreditoinnista 102 .

Yleisen tietosuoja-asetuksen mukaisissa sertifiointijärjestelmissä olennaisia tekijöitä ovat turvallisuus ja sisäänrakennettu tietosuoja, ja niitä varten olisi hyvä saada aikaan yhteinen ja kunnianhimoinen lähestymistapa kaikkialla EU:ssa. Komissio tukee myös jatkossa EU:n kyberturvallisuusviraston (ENISA), tietosuojaviranomaisten ja Euroopan tietosuojaneuvoston yhteydenpitoa.

Kyberturvallisuuden osalta komissio pyysi kyberturvallisuusasetuksen hyväksymisen jälkeen ENISAa valmistelemaan kaksi sertifiointijärjestelmää, joista toinen koskisi pilvipalveluja. 103 Kuluttajille tarkoitettujen palvelujen ja tuotteiden kyberturvallisuutta koskevia lisäjärjestelmiä harkitaan parhaillaan. Vaikka näissä kyberturvallisuusasetuksen nojalla perustetuissa sertifiointijärjestelmissä ei nimenomaisesti käsitellä tietosuojaa ja yksityisyyttä, ne auttavat lisäämään kuluttajien luottamusta digitaalisiin palveluihin ja tuotteisiin. Tällaiset järjestelmät voivat toimia näyttönä sisäänrakennetun turvallisuuden periaatteiden noudattamisesta ja henkilötietojen turvalliseen käsittelyyn liittyvien asianmukaisten teknisten ja organisatoristen toimenpiteiden täytäntöönpanosta.

·Vakiosopimuslausekkeet

Komissio laatii rekisterinpitäjien ja henkilötietojen käsittelijöiden välisiä vakiosopimuslausekkeita 104 ja ottaa tässä yhteydessä huomioon myös kansainvälisiä siirtoja koskevien vakiosopimuslausekkeiden modernisoinnin (ks. 7.2 kohta). Komission hyväksymä unionin säädös sitoo EU:n laajuisesti, mikä varmistaa täyden yhdenmukaisuuden ja oikeusvarmuuden.

6Yleisen tietosuoja-asetuksen soveltaminen uusiin teknologioihin

Uusille teknologioille avoin teknologianeutraali kehys

Yleinen tietosuoja-asetus on teknologianeutraali, luottamusta lisäävä ja periaatteisiin perustuva. 105 Nämä periaatteet, joihin sisältyvät lainmukainen ja läpinäkyvä käsittely, käyttötarkoitussidonnaisuus ja tietojen minimointi, antavat vankan pohjan henkilötietojen suojalle sovelletuista käsittelytoimista ja ‑tekniikoista riippumatta.

Monisidosryhmäisen asiantuntijaryhmän jäsenet raportoivat, että yleisellä tietosuoja-asetuksella on ollut yleisesti ottaen myönteinen vaikutus uusien teknologioiden kehittämiseen ja että se antaa hyvän perustan innovoinnille. Yleistä tietosuoja-asetusta pidetään olennaisena ja joustavana välineenä sen varmistamiseen, että uusien teknologioiden kehittämisessä noudatetaan perusoikeuksia. Sen keskeisten periaatteiden noudattaminen on ratkaisevan tärkeää dataintensiivisen käsittelyn kannalta. Yleisen tietosuoja-asetuksen riskiperusteinen ja teknologianeutraali lähestymistapa tuottaa tietosuojan tason, joka on riittävä käsittelyyn liittyvien riskien torjumiseksi myös uusien teknologioiden osalta.

Sidosryhmät ovat erityisesti maininneet, että tekoälyn käyttöön liittyvien huolenaiheiden ratkaisemisessa ovat avuksi yleisen tietosuoja-asetuksen periaatteet käyttötarkoitussidonnaisuudesta, jatkokäsittelyn yhteensopivuudesta alkuperäisten tarkoitusten kanssa, tietojen minimoinnista, säilytyksen rajoittamisesta, läpinäkyvyydestä, osoitusvelvollisuudesta ja ehdoista, joiden nojalla automaattisen päätöksenteon prosesseja 106 voidaan ottaa laajamittaisesti käyttöön laillisesti.

Yleisen tietosuoja-asetuksen aikaa kestävää ja riskiperusteista lähestymistapaa sovelletaan myös mahdollisessa tulevassa tekoälyä koskevassa kehyksessä ja datastrategian täytäntöönpanossa. Datastrategian tavoitteena on edistää datan saatavuutta ja luoda yhteisiä eurooppalaisia data-avaruuksia, joita tukevat yhteen liitetyt pilvi-infrastruktuuripalvelut. Henkilötietojen osalta yleinen tietosuoja-asetus tarjoaa pääasiallisen oikeudellisen kehyksen, jonka puitteissa toimivia ratkaisuja voidaan suunnitella tapauskohtaisesti kunkin data-avaruuden luonteen ja sisällön mukaisesti.

Yleinen tietosuoja-asetus on lisännyt tietoisuutta henkilötietojen suojasta sekä EU:ssa että sen ulkopuolella ja saanut yritykset mukauttamaan käytäntöjään, jotta tietosuojaa koskevat periaatteet otetaan huomioon innovoinnin yhteydessä. Kansalaisjärjestöt huomauttavat kuitenkin, että vaikka yleisen tietosuoja-asetuksen vaikutus uusien teknologioiden kehittämiseen vaikuttaa myönteiseltä, suurimpien digitaalialan toimijoiden käytännöt eivät ole vielä muuttuneet oleellisesti yksityisyydelle suotuisamman käsittelyn suuntaan. Yksilöiden suojelemiseksi on olennaisen tärkeää, että yleisen tietosuoja-asetuksen noudattamista digitaalisilla alustoilla ja integroiduissa yrityksissä valvotaan tiukasti ja tuloksellisesti, myös verkkomainonnan ja mikrokohdentamisen osalta.

Komissio analysoi parhaillaan suurten digialan toimijoiden käyttäytymiseen markkinoilla liittyviä laajempia kysymyksiä digitaalisia palveluja koskevan säädöspaketin yhteydessä. 107 Komissio palauttaa sosiaalisen median alalla tehtävän tutkimuksen osalta mieliin, että sosiaalisen median alustat eivät voi käyttää yleistä tietosuoja-asetusta tekosyynä rajoittaakseen tutkijoiden ja faktantarkistajien pääsyä muihin kuin henkilötietoihin. Näitä ovat esimerkiksi tilastotiedot siitä, millaisia kohdennettuja mainoksia on lähetetty eri ihmisryhmille ja mitä perusteita tässä kohdentamisessa on käytetty, valetilejä koskevat tiedot jne.

Yleisen tietosuoja-asetuksen teknologianeutraali ja aikaa kestävä lähestymistapa joutui covid-19-pandemian aikana koetukselle ja osoittautui toimivaksi. Sen periaatteisiin perustuvat säännöt tukivat välineiden kehittämistä viruksen leviämisen torjumiseen ja valvomiseen.

Ratkaistavat haasteet

Uusien teknologioiden kehittäminen ja soveltaminen ei aseta edellä mainittuja periaatteita kyseenalaisiksi. Haasteet liittyvät sen selventämiseen, miten hyviksi havaittuja periaatteita voidaan soveltaa tiettyjen teknologioiden, kuten tekoälyn, lohkoketjun, esineiden internetin, kasvojentunnistuksen tai kvanttilaskennan, käyttöön.

Euroopan parlamentti ja neuvosto ovat korostaneet tässä yhteydessä jatkuvan seurannan tarvetta sen selvittämiseksi, miten yleistä tietosuoja-asetusta sovelletaan uusiin teknologioihin ja suuriin teknologiayrityksiin. Lisäksi sidosryhmät varoittavat, että myös sen arviointi, säilyykö yleinen tietosuoja-asetus tarkoituksenmukaisena, edellyttää jatkuvaa seurantaa.

Toimialan sidosryhmät korostavat innovoinnin edellyttävän, että yleistä tietosuoja-asetusta ei sovelleta jäykästi ja muodollisesti vaan sen periaatteisiin pohjautuvalla tavalla, kuten oli tarkoitus. Sidosryhmät katsovat, että Euroopan tietosuojaneuvoston ohjeet yleisen tietosuoja-asetuksen periaatteiden, käsitteiden ja sääntöjen soveltamisesta tekoälyn, lohkoketjun tai esineiden internetin kaltaisiin uusiin teknologioihin riskiperusteisen lähestymistavan mukaisesti auttaisivat selventämään asiaa ja lisäisivät oikeusvarmuutta. Tällaiset ”pehmeät” oikeuslähteet ovat välineitä, jotka sopivat hyvin yleisen tietosuoja-asetuksen soveltamiseen uusiin teknologioihin, sillä ne lisäävät oikeusvarmuutta ja niitä voidaan tarkistaa teknologian kehityksen mukaisesti. Jotkin sidosryhmät ovat myös tuoneet esiin, että alakohtaiset ohjeet yleisen tietosuoja-asetuksen soveltamisesta uusiin teknologioihin voisivat olla hyödyllisiä.

Euroopan tietosuojaneuvosto on ilmoittanut jatkavansa uusien teknologioiden henkilötietojen suojaan kohdistuvien vaikutusten arvioimista.

Sidosryhmät korostavat myös, että sääntelijöiden on tärkeää ymmärtää hyvin, miten teknologiaa käytetään, ja osallistua uusien teknologioiden kehittämisestä toimialan kanssa käytävään vuoropuheluun. Sidosryhmät katsovat, että sääntelyn virtuaaliseen testauspaikkaan liittyvä lähestymistapa – jonka avulla saadaan käsitystä sääntöjen soveltamisesta – voisi olla mielenkiintoinen vaihtoehto, jolla uusia teknologioita voidaan testata ja yrityksiä auttaa sisäänrakennettua ja oletusarvoista tietosuojaa koskevan periaatteen soveltamisessa uusissa teknologioissa.

Tulevien politiikkatoimien osalta sidosryhmät suosittelevat, että mahdollisissa tulevissa tekoälyä koskevissa poliittisissa ehdotuksissa olisi otettava huomioon nykyiset oikeudelliset kehykset ja sovitettava ne yhteen yleisen tietosuoja-asetuksen kanssa. Mahdolliset ongelmakohdat olisi arvioitava huolellisesti sopivan näytön perusteella ennen uusien normatiivisten sääntöjen ehdottamista.

Tekoälyä koskevassa komission valkoisessa kirjassa esitetään useita politiikkavaihtoehtoja, joista pyydettiin sidosryhmien näkemyksiä 14. kesäkuuta 2020 saakka. Kasvojentunnistuksen – mahdollisesti merkittävästi yksilöiden oikeuksiin vaikuttavan teknologian – osalta valkoisessa kirjassa palautettiin mieliin nykyinen lainsäädäntökehys. Siinä myös käynnistettiin julkinen keskustelu siitä, mitkä erityiset olosuhteet – jos mitkään – voisivat oikeuttaa tekoälyn käytön kasvojentunnistusta ja muuta biometristä tunnistusta varten julkisissa paikoissa ja mitä yleisiä suojatoimia voitaisiin ottaa käyttöön.

7Kansainväliset siirrot ja maailmanlaajuinen yhteistyö

7.1Yksityisyys: maailmanlaajuinen kysymys

Henkilötietojen suojan tarve ei tunne rajoja, ja yksilöt ympäri maailman vaalivat ja arvostavat entistä enemmän yksityisyyttä ja tietojensa turvallisuutta.

Samaan aikaan tietovirtojen merkitys yksilöille, viranomaisille, yrityksille ja yleensäkin koko yhteiskunnalle on väistämätön tosiasia verkottuneessa maailmassa. Tietovirrat ovat erottamaton osa kaupankäyntiä, viranomaisten välistä yhteistyötä ja sosiaalista vuorovaikutusta. Vallitseva covid-19-pandemia on nostanut tältä osin esille myös sen, miten elintärkeää henkilötietojen siirtäminen ja vaihtaminen ovat monien keskeisten toimintojen kannalta. Tällaisia toimintoja ovat olleet muun muassa viranomaisten ja yritysten toiminnan jatkuvuuden varmistaminen (mahdollistamalla etätyö ja muut ratkaisut, jotka riippuvat pitkälti tieto- ja viestintätekniikasta) sekä diagnostiikkaa, hoitoa ja rokotteita koskevan tieteellisen yhteistyön kehittäminen. Niihin lukeutuu myös uusien kyberrikollisuuden muotojen (esimerkiksi verkkopetosten, joissa markkinoidaan väärennettyjä lääkkeitä väitteillä covid-19-taudin ehkäisemisestä tai parantamisesta) torjuminen.

Tämän vuoksi ja enemmän kuin koskaan aiemmin on tärkeää, että yksityisyyden suojeleminen sovitetaan yhteen tietovirtojen helpottamisen kanssa. EU tietosuojajärjestelmineen, jossa avoimuus kansainvälisille siirroille on yhdistetty yksilöiden korkeatasoiseen suojaan, soveltuu hyvin turvallisten ja luotettavien tietovirtojen edistämiseen. Yleisestä tietosuoja-asetuksesta on jo tullut vertailukohta kansainvälisellä tasolla, ja se on kannustanut monia maita eri puolilla maailmaa harkitsemaan nykyaikaisten tietosuojasääntöjen käyttöönottoa.

Kyseessä on todella maailmanlaajuinen trendi, joka ulottuu esimerkiksi Chilestä Etelä-Koreaan, Brasiliasta Japaniin, Keniasta Intiaan, Tunisiasta Indonesiaan ja Kaliforniasta Taiwaniin. Nämä kehityssuuntaukset ovat merkittäviä paitsi määrällisesti myös laadullisesti: monet äskettäin hyväksytyistä tai parhaillaan hyväksyttävinä olevista yksityisyyttä koskevista säädöksistä perustuvat EU:lle yhteisiin tärkeimpiin suojatoimiin, oikeuksiin ja täytäntöönpanomekanismeihin. Tämä kehitys kohti maailmanlaajuista lähentymistä on erittäin myönteinen suuntaus maailmassa, jossa sovelletaan liian usein erilaisia tai jopa poikkeavia sääntelyä koskevia lähestymistapoja. Se tarjoaa uusia mahdollisuuksia parantaa yksilöiden suojelua Euroopassa samalla, kun sen avulla helpotetaan tietovirtoja ja vähennetään liiketoiminnan harjoittajille aiheutuvia tapahtumakustannuksia.

7.2Yleisen tietosuoja-asetuksen tiedonsiirtovälineistö 

Kun entistä useampi yksityinen ja julkinen toimija käyttää tavallisessa toiminnassaan kansainvälisiä tietovirtoja, tarvitaan entistä enemmän joustavia välineitä, jotka voidaan mukauttaa eri aloille, liiketoimintamalleihin ja siirtämiseen liittyviin tilanteisiin. Yleinen tietosuoja-asetus tarjoaa näitä tarpeita varten modernin välineistön, jonka avulla helpotetaan henkilötietojen siirtoa EU:sta kolmanteen maahan tai kansainväliselle järjestölle ja varmistetaan samalla tietosuojan jatkuva korkea taso. Suojan jatkuvuus on tärkeää, koska nykymaailmassa tiedot liikkuvat helposti yli rajojen ja yleisen tietosuoja-asetuksen takaama suoja ei olisi täydellinen, jos se rajoittuisi ainoastaan EU:n sisällä tapahtuvaan käsittelyyn.

Lainsäätäjä on vahvistanut yleisen tietosuoja-asetuksen V luvussa tietojen siirtämistä koskevien sääntöjen rakenteen, joka oli jo olemassa direktiivin 95/46/EY nojalla: tietoja voidaan siirtää, jos komissio on todennut kolmannen maan tai kansainvälisen järjestön tietosuojan tason riittäväksi tai jos – tällaisen toteamuksen puuttuessa – EU:ssa sijaitseva rekisterinpitäjä tai henkilötietojen käsittelijä (’tietojen viejä’) on ryhtynyt asianmukaisiin suojatoimiin esimerkiksi tekemällä sopimuksen tietojen vastaanottajan (’tietojen tuoja’) kanssa. Lisäksi siirtojen lailliset perusteet (niin sanotut poikkeukset) ovat yhä käytettävissä tietyissä tilanteissa, joiden osalta lainsäätäjä katsoo, että etujen tasapaino mahdollistaa tiedonsiirron tiettyjen edellytysten täyttyessä. Samaan aikaan uudistuksessa on selvennetty ja yksinkertaistettu sääntöjä esimerkiksi säätämällä yksityiskohtaisesti ehdoista tietosuojan tason riittäväksi toteamista tai yrityksiä sitovia sääntöjä varten. Lupavaatimukset on rajattu tiettyihin harvoihin tapauksiin ja ilmoittamista koskevat vaatimukset on poistettu kokonaan. Lisäksi käyttöön on otettu uusia tietojen siirtoon liittyviä välineitä, kuten käytännesääntöjä tai sertifiointijärjestelmiä, ja olemassa olevien välineiden (esim. vakiosopimuslausekkeiden) käyttömahdollisuuksia on laajennettu.

Nykyinen digitaalitalous mahdollistaa sen, että ulkomaiset toimijat voivat osallistua (etänä mutta) suoraan EU:n sisämarkkinoille ja kilpailla eurooppalaisista asiakkaista ja heidän henkilötiedoistaan. Jos nämä toimijat kohdistavat tavaroiden tai palvelujen tarjonnan tai käyttäytymisen tarkkailun erityisesti eurooppalaisiin, niiden tulee noudattaa EU:n lainsäädäntöä samalla tavoin kuin EU:n toimijoiden. Tämä on otettu huomioon yleisen tietosuoja-asetuksen 3 artiklassa, jossa EU:n tietosuojasääntöjen suora soveltamisala ulotetaan tiettyihin EU:n ulkopuolisten rekisterinpitäjien ja henkilötietojen käsittelijöiden käsittelytoimiin. Tämä takaa tarvittavat suojatoimet ja lisäksi tasapuoliset toimintaedellytykset kaikille EU:n markkinoilla toimiville yrityksille.

Laaja kattavuus on yksi niistä syistä, joiden takia yleisen tietosuoja-asetuksen vaikutukset ovat ulottuneet myös muualle maailmassa. Euroopan tietosuojaneuvosto on antanut kattavan julkisen kuulemisen perusteella yksityiskohtaiset ohjeet alueellisesta soveltamisalasta 109 . Ne ovat tärkeitä, koska ne auttavat ulkomaisia toimijoita arvioimaan, mihin niiden suorittamiin käsittelytoimiin sovelletaan suoraan yleisen tietosuoja-asetuksen suojatoimia. Niissä annetaan myös konkreettisia esimerkkejä.

EU:n tietosuojalainsäädännön soveltamisalan laajentaminen ei kuitenkaan itsessään riitä takaamaan sen noudattamista käytännössä. Kuten myös neuvosto on korostanut 110 , on ratkaisevan tärkeää varmistaa, että ulkomaiset toimijat noudattavat tätä lainsäädäntöä, ja valvoa sitä tehokkaasti. Tässä yhteydessä keskeinen rooli olisi oltava EU:n aluetta varten nimettävällä edustajalla (yleisen tietosuoja-asetuksen 27 artiklan 1 ja 2 kohta), jonka puoleen yksilöt ja valvontaviranomaiset voivat kääntyä ulkomailta toimivan vastuussa olevan yrityksen 111 lisäksi tai sen sijaan. Tällaista lähestymistapaa, jota noudatetaan yhä enemmän myös muissa yhteyksissä 112 , olisi noudatettava vielä tiukemmin, jotta voidaan antaa selkeä viesti siitä, että ulkomainen toimija ei voi vapautua yleisen tietosuoja-asetuksen mukaisista velvollisuuksista sillä perusteella, että se ei ole sijoittautunut EU:n alueelle. Jos nämä toimijat eivät noudata velvollisuuttaan nimetä edustaja 113 , valvontaviranomaisten olisi hyödynnettävä kaikkia yleisen tietosuoja-asetuksen 58 artiklassa säädettyjä täytäntöönpanovälineitä (esim. julkiset varoitukset, tietojen käsittelyn tilapäinen tai lopullinen kieltäminen EU:ssa, täytäntöönpanotoimet EU:hun sijoittautuneita yhteisrekisterinpitäjiä vastaan).

Lisäksi on erittäin tärkeää, että Euroopan tietosuojaneuvosto saattaa päätökseen työnsä, jolla selvennetään edelleen yleisen tietosuoja-asetuksen suoraa sovellettavuutta koskevan 3 artiklan ja V luvun kansainvälisiä siirtoja koskevien sääntöjen välistä suhdetta. 114  

Tietosuojan tason riittävyyttä koskevat päätökset

Sidosryhmiltä saatu palaute vahvistaa, että tietosuojan tason riittävyyttä koskevat päätökset ovat edelleen keskeinen väline, jonka perusteella EU:n toimijat voivat siirtää turvallisesti henkilötietoja kolmansiin maihin. 115 Tällaiset päätökset ovat kattavin, selkein ja kustannustehokkain ratkaisu kansainvälisiä tiedonsiirtoja varten, sillä siirrot rinnastuvat tällöin EU:n sisäisiin tiedonsiirtoihin, millä varmistetaan henkilötietojen turvallinen ja vapaa liikkuvuus ilman lisäehtoja tai lupien tarvetta. Tietosuojan tason riittävyyttä koskevat päätökset avaavat näin ollen EU:n toimijoille kaupallisia kanavia ja helpottavat viranomaisten välistä yhteistyötä samalla, kun ne tarjoavat etuoikeutetun pääsyn EU:n sisämarkkinoille. Vuoden 1995 direktiivin soveltamiskäytännön pohjalta yleisessä tietosuoja-asetuksessa on nimenomaisesti sallittu tietosuojan riittävyyden määrittäminen kolmannen maan tietyn maantieteellisen alueen, sektorin tai toimialan osalta (ns. osittainen riittävyyspäätös).

Yleinen tietosuoja-asetus perustuu aiempina vuosina saatuihin kokemuksiin ja selvennyksiin, jotka unionin tuomioistuin on antanut laatimalla yksityiskohtaisen luettelon tekijöistä, jotka komission on otettava arvioinnissaan huomioon. Tietosuojan tason riittävyyttä koskeva vaatimus edellyttää tietosuojan tasoa, joka on vertailukelpoinen (tai ”olennaisilta osin vastaava”) EU tason kanssa. 116 Tämä edellyttää kattava arviointia kolmannen maan koko järjestelmästä, myös yksityisyyttä koskevien suojatoimien sisällöstä, niiden tosiasiallisesta täytäntöönpanosta ja täytäntöönpanon valvonnasta. Arvioiti kattaa myös säännöt, joiden nojalla viranomaiset voivat saada henkilötietoja erityisesti lainvalvontaan ja kansalliseen turvallisuuteen liittyviä tarkoituksia varten. 117  

Tämä käy myös ilmi entisen artiklan 29 mukaisen tietosuojatyöryhmän antamista (ja Euroopan tietosuojaneuvoston hyväksymistä) ohjeista, erityisesti niin sanotuista ”tietosuojan riittävyyden viitearvoista”. Ne selventävät edelleen tekijöitä, jotka komission on otettava huomioon tietosuojan tason riittävyyttä koskevassa arvioinnissaan, muun muassa esittämällä yleiskatsauksen ”olennaisiin takeisiin”, jotka liittyvät viranomaisten mahdollisuuksiin saada henkilötietoja. 118 Viimeksi mainittu perustuu erityisesti Euroopan ihmisoikeustuomioistuimen oikeuskäytäntöön. Vaikka vastaavuutta olennaisilta osin koskevaan vaatimukseen ei sisälly EU:n sääntöjen kohta kohdalta toisintamista, koska tietosuojan vertailukelpoisen tason varmistamisen keinot voivat vaihdella erilaisten ja usein erilaisia oikeudellisia perinteitä kuvastavien yksityisyyden suojaa koskevien järjestelmien välillä, siinä edellytetään kuitenkin vahvaa tietosuojan tasoa.

Tämän vaatimus perustuu siihen, että tietosuojan tason riittävyyttä koskeva päätös käytännössä ulottaa sisämarkkinoiden edut tietojen vapaan liikkuvuuden osalta kolmanteen maahan. Tämä tarkoittaa kuitenkin myös sitä, että kyseessä olevassa kolmannessa maassa taatussa suojelun tasossa on joskus yleiseen tietosuoja-asetukseen verrattuna merkityksellisiä eroja, jotka on poistettava esimerkiksi neuvottelemalla täydentävistä suojatoimista. Tällaisiin suojatoimiin olisi suhtauduttava myönteisesti, sillä ne vahvistavat edelleen yksilöiden käytettävissä olevia suojatoimia EU:ssa. Samaan aikaan komissio on yhtä mieltä Euroopan tietosuojaneuvoston kanssa siitä, että on tärkeää seurata jatkuvasti näiden suojatoimien soveltamista käytännössä, myös kyseisen kolmannen maan tietosuojaviranomaisen tosiasiallisia lainvalvontatoimia. 119

Yleisessä tietosuoja-asetuksessa selvennetään, että tietosuojan tason riittävyyttä koskevat päätökset ovat luonteeltaan muuttuvia, ja ne edellyttävät jatkuvaa seurantaa ja säännöllistä arviointia. 120 Komissio vaihtaa näiden vaatimusten mukaisesti säännöllisesti tietoja asiaankuuluvien viranomaisten kanssa seuratakseen uusia kehityssuuntauksia ennakoivasti. Esimerkiksi EU:n ja Yhdysvaltojen välistä Privacy Shield ‑järjestelyä koskevan vuoden 2016 päätöksen 121 jälkeen komissio on suorittanut yhdessä Euroopan tietosuojaneuvoston edustajien kanssa kolme vuotuista tarkastelua, joissa on arvioitu kaikkia kehyksen toimintaan liittyviä tekijöitä 122 . Nämä tarkastelut perustuivat tietojenvaihtoon Yhdysvaltojen viranomaisten kanssa ja muilta sidosryhmiltä, kuten EU:n tietosuojaviranomaisilta, kansalaisyhteiskunnalta ja toimialajärjestöiltä, saatuihin tietoihin. Niiden myötä on voitu parantaa kehyksen eri tekijöiden käytännön toimivuutta. Yleensäkin vuotuiset tarkastelut ovat edistäneet laajemman vuoropuhelun vakiinnuttamista Yhdysvaltojen viranomaisten kanssa. Vuoropuhelua käydään yleisesti ottaen yksityisyydestä ja erityisesti kansalliseen turvallisuuteen liittyvistä rajoituksista ja suojatoimista.

Ensimmäisessä yleisen tietosuoja-asetuksen arvioinnissaan komission on tarkasteltava myös vuoden 1995 direktiivin nojalla tehtyjä tietosuojan tason riittävyyttä koskevia päätöksiä 123 . Komission yksiköt ovat käyneet tiivistä vuoropuhelua asianomaisten 11 maan ja alueen kanssa sen arvioimiseksi, miten niiden henkilötietoja suojelevat järjestelmät ovat kehittyneet tietosuojan tason riittävyyttä koskevan päätöksen tekemisen jälkeen ja täyttävätkö ne yleisessä tietosuoja-asetuksessa asetetut vaatimukset. Koska nämä päätökset ovat keskeinen kaupan ja kansainvälisen yhteistyön väline, tarve varmistaa niiden voimassaolon jatkuminen on yksi tekijä, joka on kannustanut monia näistä maista ja alueista uudistamaan ja vahvistamaan yksityisyyden suojaa koskevaa lainsäädäntöään. Nämä ovat todellakin myönteisiä kehitysaskeleita. Joidenkin maiden ja alueiden kanssa keskustellaan täydentävistä suojatoimista tietosuojan tasossa havaittujen erojen korjaamiseksi.

Koska unionin tuomioistuin saattaa 16. heinäkuuta annettavassa tuomiossaan tarkentaa joitakin tietosuojan tason riittävyyteen liittyviä tekijöitä, komissio aikoo raportoida mainittujen 11 tietosuojan tason riittävyyttä koskevan päätöksen arvioinnista erikseen sen jälkeen, kun tuomioistuin on antanut tuomionsa kyseisessä asiassa 124 .

Komissio on täysin yhtä mieltä sidosryhmien toiveesta voimistaa vuoropuhelua tiettyjen kolmansien maiden kanssa mahdollisia uusia tietosuojan riittävyyttä koskevia toteamuksia silmällä pitäen. 127 Komissio selvittää aktiivisesti vuoropuhelun mahdollisuutta muiden tärkeiden Aasiassa, Latinalaisessa Amerikassa ja naapurialueilla sijaitsevien kumppaneiden kanssa tietosuojavaatimusten nykyisen maailmanlaajuisen noususuuntaisen lähentymisen pohjalta. Kattavaa yksityisyyttä koskevaa lainsäädäntöä on annettu tai sen säätämisessä on päästy pitkälle esimerkiksi Latinalaisessa Amerikassa (Brasilia ja Chile). Lisäksi lupaavaa kehitystä on havaittavissa Aasiassa (esim. Intia, Indonesia, Malesia, Sri Lanka, Taiwan ja Thaimaa), Afrikassa (esim. Etiopia ja Kenia) sekä Euroopan itäisissä ja eteläisissä naapurimaissa (esim. Georgia ja Tunisia). Komissio edistää mahdollisuuksien mukaan kokonaisvaltaisia tietosuojan tason riittävyyttä koskevia päätöksiä, jotka kattavat sekä yksityisen että julkisen sektorin. 128  

Lisäksi yleisessä tietosuoja-asetuksessa on säädetty komission mahdollisuudesta todeta kansainvälisten järjestöjen tietosuojan taso riittäväksi. Tätä mahdollisuutta voitaisiin hyödyntää nyt ensimmäistä kertaa, kun jotkin kansainvälisiset järjestöt ovat nykyaikaistamassa tietosuojajärjestelmiään ottamalla käyttöön kattavia sääntöjä ja mekanismeja, jotka mahdollistavat riippumattoman valvonnan ja oikeussuojan.

Lisäksi komissio suhtautuu myönteisesti siihen, että muut maat ovat ottamassa käyttöön tiedonsiirtoa koskevia mekanismeja, jotka vastaavat tietosuojan tason riittävyyden toteamista. Näin tehdessään ne usein tunnustavat EU:n ja sellaiset maat turvallisiksi siirtojen kohteiksi, joiden tietosuojan tason komissio on todennut riittäväksi. 131 Kun tulee yhä enemmän maita, jotka hyötyvät yhtäältä EU:n tekemistä tietosuojan tason riittävyyttä koskevista päätöksistä ja toisaalta tällaisesta muiden maiden myöntämästä tunnustuksesta, se voi auttaa luomaan sellaisten maiden verkoston, joiden välillä tiedot voivat liikkua vapaasti ja turvallisesti. Komissio pitää tätä myönteisenä kehityksenä, joka lisää edelleen tietosuojan tason riittävyyttä koskevan päätöksen hyötyjä kolmansille maille ja edistää maailmanlaajuista lähentymistä. Tällaiset synergiat voivat myös edistää kehysten laatimista tietojen turvallista ja vapaata liikkumista varten, esimerkiksi Data Free Flow with Trust ‑aloitteen (ks. jäljempänä) yhteydessä.

Asianmukaiset suojatoimet

Yleisessä tietosuoja-asetuksessa säädetään useista muista siirtovälineistä sen kattavan ratkaisun lisäksi, jonka tarjoaa tietosuojan tason toteaminen riittäväksi. Tämän välineistön joustavuus käy ilmi yleisen tietosuoja-asetuksen 46 artiklasta, jolla säännellään tiedonsiirtoja asianmukaisia suojatoimia soveltaen. Niitä ovat muun muassa rekisteröityjen täytäntöönpanokelpoiset oikeudet ja tehokkaat oikeussuojakeinot. Asianmukaisten suojatoimien takaamista varten käytettävissä on erilaisia välineitä, jotka palvelevat sekä kaupallisten toimijoiden että julkisten elinten siirtotarpeita.

·Vakiosopimuslausekkeet

Näiden välineiden ensimmäinen ryhmä sisältää sopimusvälineitä, jotka voivat olla joko EU:n tietojen viejän ja EU:n ulkopuolisen tietojen tuojan välillä toimivaltaisen viranomaisen luvalla sovittuja mukautettuja tilapäisiä tietosuojalausekkeita (yleisen tietosuoja-asetuksen 46 artiklan 3 kohdan a alakohta) tai komission etukäteen hyväksymiä mallilausekkeita (yleisen tietosuoja-asetuksen 46 artiklan 2 kohdan c ja d alakohta 132 ). Näistä välineistä tärkeimpiä ovat niin sanotut vakiosopimuslausekkeet eli tietosuojaa koskevat mallilausekkeet, joita tietojen viejä ja tietojen tuoja voivat sisällyttää sopimusjärjestelyihinsä (esim. palvelusopimus, joka edellyttää henkilötietojen siirtoa) vapaaehtoisesti ja joissa määritellään asianmukaisiin suojatoimiin liittyvät vaatimukset.

Vakiosopimuslausekkeet ovat selvästi eniten käytetty tiedonsiirtomekanismi. 133 Tuhannet EU:n yritykset käyttävät vakiosopimuslausekkeita, jotta ne voivat tarjota monia erilaisia palveluja asiakkailleen, tavarantoimittajilleen, kumppaneilleen ja työntekijöilleen. Niihin kuuluu myös talouden toimivuuden kannalta välttämättömiä palveluja. Näiden lausekkeiden laajamittainen käyttö viittaa siihen, että ne ovat yrityksille erittäin hyödyllisiä niiden pyrkiessä noudattamaan sääntöjä. Ne myös hyödyttävät erityisesti yrityksiä, joilla ei ole resursseja neuvotella yksittäisiä sopimuksia jokaisen liikekumppaninsa kanssa. Standardoidut ja etukäteen hyväksytyt vakiosopimuslausekkeet ovat yrityksille helppokäyttöinen väline, jonka avulla ne voivat täyttää tietosuojavaatimukset siirtojen yhteydessä.

Nykyiset vakiosopimuslausekkeet 134 on laadittu ja hyväksytty vuoden 1995 direktiivin pohjalta. Nämä vakiosopimuslausekkeet ovat voimassa siihen saakka, kunnes niitä muutetaan tai ne korvataan tai kumotaan tarpeen mukaan komission päätöksellä (yleisen tietosuoja-asetuksen 46 artiklan 5 kohta). Yleinen tietosuoja-asetus laajentaa vakiosopimuslausekkeiden käyttömahdollisuuksia sekä EU:ssa että kansainvälisissä tiedonsiirroissa. Komissio tekee yhteistyötä sidosryhmien kanssa, jotta näitä mahdollisuuksia voitaisiin hyödyntää ja nykyisiä lausekkeita voitaisiin päivittää. 135 Jotta tulevaisuudessa muotoiltavat vakiosopimuslausekkeet olisivat varmasti tarkoituksenmukaisia, komissio on kerännyt palautetta sidosryhmien vakiosopimuslausekkeita koskevista kokemuksista. Sitä on kerätty yleisen tietosuoja-asetuksen monisidosryhmäisen asiantuntijaryhmän ja syyskuussa 2019 järjestetyn asiaa käsitelleen työpajan välityksellä mutta myös olemalla yhteydessä moniin vakiosopimuslausekkeita käyttäviin yrityksiin ja kansalaisjärjestöihin. Euroopan tietosuojaneuvosto on myös saattamassa ajan tasalle useita ohjeita, jotka voisivat olla hyödyllisiä vakiosopimuslausekkeiden uudelleenarvioinnissa esimerkiksi rekisterinpitäjän ja henkilötietojen käsittelijän käsitteiden osalta.

Komissio harkitsee näiden seikkojen vuoksi myös tapoja, joilla nykyisestä vakiosopimuslausekkeiden järjestelmästä voitaisiin tehdä käyttäjäystävällisempi esimerkiksi korvaamalla eri vakiosopimuslausekkeiden sarjat yhdellä asiakirjalla, joka kokoaa ne yhteen. Haasteena on löytää hyvä tasapaino yhtäältä tarvittavan selkeyden ja tietynasteisen standardoinnin ja toisaalta sellaisen tarvittavan joustavuuden välillä, jonka ansiosta eri toimijat, joilla on erilaisia vaatimuksia, voivat käyttää lausekkeita erilaisissa tilanteissa ja erilaisia siirtoja varten.

Toinen tärkeä huomioon otettava näkökohta on se, että unionin tuomioistuimessa tällä hetkellä käsiteltävänä olevan riita-asian 137 perusteella vaikuttaa siltä, että suojatoimia on mahdollisesti selvennettävä edelleen sen osalta, miten ulkomaiden viranomaiset voivat saada vakiosopimuslausekkeiden perusteella siirrettyjä tietoja erityisesti kansalliseen turvallisuuteen liittyviä tarkoituksia varten. Tämä saattaa edellyttää, että tietojen tuojan tai viejän tai molempien on ryhdyttävä toimenpiteisiin ja että tietosuojaviranomaisten roolia selvennetään tältä osin. Vaikka vakiosopimuslausekkeiden tarkistamisessa on edetty jo pitkälle, on vielä odotettava unionin tuomioistuimen tuomiota, jotta tarkistetuissa lausekkeissa voidaan ottaa huomioon mahdolliset lisävaatimukset ennen kuin luonnos päätökseksi uusista vakiosopimuslausekkeista voidaan toimittaa Euroopan tietosuojaneuvostolle lausuntoa varten ja ennen kuin niitä voidaan ehdottaa sen jälkeen hyväksyttäviksi komiteamenettelyssä. 138  

Komissio on tämän lisäksi yhteydessä kansainvälisiin kumppaneihin, jotka kehittävät samanlaisia välineitä. 139 Tämä kokemusten ja parhaiden käytäntöjen vaihdon mahdollistava vuoropuhelu saattaa edistää merkittävästi käytännön lähentymistä ja siten auttaa eri puolilla maailmaa toimivia yrityksiä noudattamaan maiden rajat ylittäviä siirtoja koskevia sääntöjä.

·Yritystä koskevat sitovat säännöt

Toinen tärkeä väline ovat niin sanotut yritystä koskevat sitovat säännöt. Ne ovat oikeudellisesti sitovia käytäntöjä ja järjestelyjä, joita sovelletaan yritysryhmän jäseniin ja myös näiden yritysten työntekijöihin (yleisen tietosuoja-asetuksen 46 artiklan 2 kohdan b alakohta ja 47 artikla). Yritystä koskevilla sitovilla säännöillä henkilötiedot voivat liikkua vapaasti koko maailmassa ryhmän eri jäsenten kesken, jolloin ei tarvita sopimusjärjestelyjä jokaisen yrityksen välillä. Samalla niiden avulla varmistetaan, että koko ryhmässä noudatetaan samaa tietosuojan korkeaa tasoa. Nämä säännöt soveltuvat erityisen hyvin monimutkaisille ja suurille yritysryhmille ja tietoja useiden eri lainkäyttöalueiden välillä vaihtavien yritysten tiiviiseen yhteistyöhön. Toisin kuin vuoden 1995 direktiivin nojalla, yleisen tietosuoja-asetuksen mukaan yritystä koskevia sitovia sääntöjä voi käyttää ryhmä yrityksiä, jotka osallistuvat yhteiseen taloudelliseen toimintaan mutta jotka eivät ole kuitenkaan kuulu samaan konserniin.

Menettelyllisesti toimivaltaisten tietosuojaviranomaisten on hyväksyttävä yritystä koskevat sitovat säännöt Euroopan tietosuojaneuvoston ei-sitovan lausunnon perusteella. 140 Tämän prosessin ohjaamiseksi Euroopan tietosuojaneuvosto on tarkistanut yritystä koskevien sitovien sääntöjen viitearvoja (joissa vahvistetaan aineelliset vaatimukset) rekisterinpitäjien 141 ja henkilötietojen käsittelijöiden 142 osalta yleisen tietosuoja-asetuksen pohjalta. Se myös päivittää näitä asiakirjoja jatkossa valvontaviranomaisten saamien käytännön kokemusten perusteella. Tietosuojaneuvosto on myös antanut hakijoiden avuksi erilaisia ohjeasiakirjoja ja virtaviivaistanut haku- ja hyväksyntäprosessia yritystä koskevien sitovien sääntöjen osalta. 143 Tietosuojaneuvoston mukaan hyväksymistä odottaa tällä hetkellä yli 40 yritystä koskevaa sitovaa sääntöä, joista puolet on määrä hyväksyä vuoden 2020 loppuun mennessä. 144 On tärkeää, että tietosuojaviranomaiset jatkavat työtä, jolla pyritään virtaviivaistamaan edelleen hyväksymisprosessia, sillä sidosryhmät mainitsevat usein, että tällaisten menettelyjen pituus on käytännön este yritystä koskevien sitovien sääntöjen laajemmalle käytölle.

Lisäksi yritykset voivat jatkaa Yhdistyneen kuningaskunnan tietosuojaviranomaisen (Information Commissioner Office) hyväksymien yritystä koskevien sitovien sääntöjen käyttöä yleisen tietosuoja-asetuksen mukaisena hyväksyttävänä siirtomekanismina EU:n ja Yhdistyneen kuningaskunnan välisen erosopimuksen siirtymäkauden päätyttyä, mutta ainoastaan sillä ehdolla, että näitä sääntöjä muutetaan siten, että kaikki yhteydet Yhdistyneen kuningaskunnan oikeusjärjestykseen korvataan asianmukaisilla viittauksilla yrityksiin ja toimivaltaisiin viranomaisiin EU:n alueella. Mahdollisten uusien yritystä koskevien sitovien sääntöjen hyväksyntää olisi haettava joltakin EU:ssa sijaitsevalta valvontaviranomaiselta.

·Sertifiointimekanismit ja käytännesäännöt

Jo olemassa olevien siirtovälineiden nykyaikaistamisen ja soveltamisalan laajentamisen lisäksi yleisellä tietosuoja-asetuksella otettiin käyttöön myös uusia välineitä ja laajennettiin siten kansainvälisten tiedonsiirtojen mahdollisuuksia. Näihin sisältyvät, tietyin ehdoin, hyväksytyt käytännesäännöt ja sertifiointimekanismit (kuten tietosuojasinetit tai -merkit) asianmukaisten suojatoimien varmistamiseksi. Nämä ovat alhaalta ylöspäin suuntautuvia välineitä, joilla saadaan käyttöön räätälöityjä ratkaisuja yleisenä osoituksena sääntöjen noudattamisesta (ks. yleisen tietosuoja-asetuksen 40–42 artikla) erityisesti kansainvälisten tiedonsiirtojen yhteydessä. Niissä otetaan huomioon esimerkiksi tietyn alan ominaispiirteet ja tarpeet tai tyypilliset tietovirrat. Käytännesäännöillä velvoitteet voidaan mukauttaa riskeihin. Tämän vuoksi ne voivat olla pienille ja keskisuurille yrityksille myös erittäin hyödyllinen ja kustannustehokas tapa täyttää yleisestä tietosuoja-asetuksesta johtuvat velvoitteet.

Euroopan tietosuojaneuvosto on jo antanut ohjeet, joiden tarkoituksena on edistää sertifiointimekanismien käyttöä EU:ssa, mutta se ei ole vielä saanut valmiiksi perusteita, joiden nojalla sertifiointimekanismeja voidaan hyväksyä kansainvälisiksi siirtovälineiksi. Sama pätee myös käytännesääntöihin, joiden osalta Euroopan tietosuojaneuvosto laatii parhaillaan ohjeita siitä, miten niitä voidaan käyttää siirtovälineinä.

Komissio kehottaa Euroopan tietosuojaneuvostoa viimeistelemään nämä ohjeet mahdollisimman pian, koska on tärkeää tarjota toimijoille laaja valikoima heidän tarpeisiinsa soveltuvia siirtovälineitä ja sertifiointimekanismeilla voidaan edistää tiedonsiirtoja ja varmistaa tietosuojan korkea taso. Tämä koskee sekä aineellisia (perusteet) että menettelyllisiä (hyväksyntä, seuranta jne.) näkökohtia. Sidosryhmät ovat olleet hyvin kiinnostuneita näistä siirtomekanismeista. Sidosryhmien olisikin voitava hyödyntää täysimääräisesti yleisen tietosuoja-asetuksen tarjoamia välineitä. Euroopan tietosuojaneuvoston ohjeet edistäisivät myös EU:n tietosuojamallia maailmanlaajuisella tasolla ja lähentäisivät maailman maita toisiinsa, sillä muissa yksityisyyden suojaa koskevissa järjestelmissä käytetään samanlaisia välineitä.

Arvokkaita kokemuksia voidaan saada nykyisistä standardointitoimista, joita on toteutettu yksityisyyden suojan alalla sekä eurooppalaisella että kansainvälisellä tasolla. Yksi mielenkiintoinen esimerkki on äskettäin julkaistu kansainvälinen ISO 27701 ‑standardi 145 . Sen tavoitteena on auttaa yrityksiä täyttämään yksityisyyden suojaa koskevat vaatimukset ja hallitsemaan henkilötietojen käsittelyyn liittyviä riskejä yksityisyyden suojaan liittyvien tietojen hallintajärjestelmien avulla. Vaikka standardin mukainen sertifiointi ei sinällään täytä yleisen tietosuoja-asetuksen 42 ja 43 artiklan vaatimuksia, yksityisyyden suojaan liittyvien tietojen hallintajärjestelmien käyttö voi edistää osoitusvelvollisuuden täyttämistä, myös kansainvälisissä tiedonsiirroissa.

·Kansainväliset sopimukset ja hallinnolliset järjestelyt

Yleisen tietosuoja-asetuksen ansiosta voidaan myös varmistaa asianmukaiset suojatoimet kansainvälisten sopimusten nojalla (46 artiklan 2 kohdan a alakohta) tai hallinnollisten järjestelyjen (46 artiklan 3 alakohdan b alakohta) perusteella tehtävissä viranomaisten tai julkisten elinten välisissä tiedonsiirroissa. Molempien välineiden on taattava sama tulos suojatoimien ja myös rekisteröityjen täytäntöönpanokelpoisten oikeuksien ja tehokkaiden oikeussuojakeinojen osalta, mutta ne eroavat toisistaan oikeudellisen luonteensa ja hyväksymismenettelynsä osalta.

Toisin kuin kansainväliset sopimukset, jotka luovat sitovia kansainväliseen oikeuteen perustuvia velvoitteita, hallinnolliset järjestelyt (esim. yhteisymmärryspöytäkirjat) eivät yleensä ole sitovia vaan ne edellyttävät toimivaltaisen tietosuojaviranomaisen ennakkohyväksyntää (ks. myös yleisen tietosuoja-asetuksen johdanto-osan 108 kappale). Yksi varhainen esimerkki koskee hallinnollista järjestelyä henkilötietojen siirtämiseksi sellaisten ETA-alueen sisäisten ja ulkopuolisten finanssivalvojien välillä, jotka tekevät yhteistyötä kansainvälisessä arvopaperimarkkinavalvojien yhteisössä (IOSCO). Euroopan tietosuojaneuvosto antoi tästä aiheesta lausunnon 146 vuoden 2019 alussa. Sittemmin Euroopan tietosuojaneuvosto on kehittänyt edelleen tulkintaansa vähimmäissuojatoimista, jotka on taattava viranomaisten tai julkisten elinten (myös kansainvälisten järjestöjen) välisissä kansainvälisissä (yhteistyö)sopimuksissa ja hallinnollisissa järjestelyissä yleisen tietosuoja-asetuksen 46 artiklan vaatimusten noudattamiseksi. Euroopan tietosuojaneuvosto antoi 18. tammikuuta 2020 lausunnon 147 , joka vastaa jäsenvaltioiden pyyntöön saada selvennystä ja ohjeita siitä, mitä voidaan pitää asianmukaisina suojatoimina viranomaisten välisissä siirroissa 148 . Euroopan tietosuojaneuvosto suosittelee painokkaasti, että viranomaiset käyttäisivät näitä ohjeita vertailukohtana kolmansien osapuolten kanssa käymissään neuvotteluissa. 149  

Nämä ohjeet osoittavat tällaisten välineiden suunnitteluun liittyvän joustavuuden, joka koskee myös valvonnan 150 ja oikeussuojakeinojen 151 kaltaisia tärkeitä näkökohtia. Viranomaisten pitäisi selviytyä tämän avulla vaikeuksista, joita liittyy esimerkiksi rekisteröityjen täytäntöönpanokelpoisten oikeuksien varmistamiseen sitomattomien järjestelyjen avulla. Tällaisten järjestelyjen osalta on tärkeää, että toimivaltainen tietosuojaviranomainen seuraa niitä jatkuvasti – tietoja ja tietojen säilyttämistä koskevien vaatimusten mukaisesti – ja että tietojen siirto keskeytetään, jos asianmukaisia suojatoimia ei voida enää taata käytännössä.

Poikkeukset

Yleisessä tietosuoja-asetuksessa selvennetään myös niin sanottujen poikkeusten käyttöä. Ne ovat tiedonsiirtoja koskevia erityisiä perusteita (esim. nimenomainen suostumus 152 , sopimuksen täytäntöönpano tai yleisen edun mukaiset tärkeät syyt), jotka on tunnustettu lainsäädännössä ja joihin toimijat voivat turvautua tietyin ehdoin, jos käytettävissä ei ole muita siirtovälineitä.

Euroopan tietosuojaneuvosto on antanut tällaisten laillisten perusteiden käytön selventämiseksi ohjeet 153 ja tulkinnut 49 artiklaa useissa tapauksissa, jotka liittyvät tiettyihin siirtoskenaarioihin 154 . Poikkeusten poikkeusluonteen vuoksi tietosuojaneuvosto katsoo, että niitä on tulkittava suppeasti ja tapauskohtaisesti. Suppeasta tulkinnasta huolimatta nämä perusteet koskevat monenlaisia siirtoskenaarioita. Niitä ovat erityisesti sekä viranomaisten että yksityisten toimijoiden tekemät tiedonsiirrot ”yleistä etua koskevien tärkeiden syiden vuoksi”, esimerkiksi kilpailu-, finanssi-, vero- tai tulliviranomaisten tai sosiaaliturvasta tai kansanterveydestä vastaavien viranomaisten välillä (esimerkiksi silloin, kun jäljitetään tartuntatauteja tai torjutaan dopingin käyttöä urheilussa). 155 Toinen alue on rajatylittävä lainvalvontayhteistyö rikosasioissa, erityisesti vakavien rikosten osalta. 156  

Tietosuojaneuvosto on selventänyt, että vaikka asiaan liittyvä yleinen etu on tunnustettava EU:n tai jäsenvaltioiden lainsäädännössä, se voidaan todeta myös sellaisen kansainvälisen sopimuksen tai yleissopimuksen perusteella, jossa tunnustetaan tietty tavoite ja määrätään kansainvälisestä yhteistyöstä tämän tavoitteen edistämiseksi. Tällaisen sopimuksen olemassaololla voi olla merkitystä arvioitaessa 49 artiklan 1 kohdan d alakohdan mukaisen yleisen edun olemassaoloa, kunhan EU tai jäsenvaltiot ovat kyseisen sopimuksen tai yleissopimuksen osapuolia. 157

Ulkomaisten tuomioistuinten tai viranomaisten päätökset eivät ole peruste siirroille

Yleisen tietosuoja-asetuksen V luvussa vahvistetaan selvästi tiedonsiirtojen perusteet. Sen lisäksi 48 artiklassa selvennetään myös, että EU:n ulkopuolisten tuomioistuinten määräykset ja hallintoviranomaisten päätökset eivät ole itsessään tällaisia perusteita, jollei niitä ole tunnustettu tai tehty täytäntöönpanokelpoisiksi kansainvälisen sopimuksen (esim. vastavuoroista oikeusapua koskevan sopimuksen) perusteella. Jos pyynnön vastaanottanut toimija EU:ssa luovuttaa tietoja ulkomaiselle tuomioistuimelle tai viranomaiselle tällaisen määräyksen tai päätöksen nojalla, kyseessä on kansainvälinen tiedonsiirto, jonka on perustuttava johonkin edellä mainituista siirtovälineistä. 158  

Yleinen tietosuoja-asetus ei ole ”ulkomaisen lainsäädännön vaikutukset estävä säädös”, vaan siinä sallitaan tietyin ehdoin tietojen siirtäminen kolmannen maan lainvalvontaviranomaisten esittämän asianmukaisen pyynnön perusteella. Tärkeää on, että EU:n lainsäädäntö määrittää sellaiset tilanteet sekä suojatoimet, joiden perusteella tällaisia siirtoja voidaan tehdä.

Kohteliaisuusperiaatteen varmistaminen on tärkeää, koska lainvalvonta on – rikollisuuden ja erityisesti kyberrikollisuuden tavoin – entistä useammin luonteeltaan rajatylittävää ja aiheuttaa siten usein oikeudenkäyttöön liittyviä kysymyksiä ja mahdollisesti lainvalintatilanteita. 164 Ei ole yllätys, että nämä ongelmat voi parhaiten ratkaista solmimalla kansainvälisiä sopimuksia, joissa määrätään tarvittavista rajoituksista ja suojatoimista henkilötietojen rajatylittävän saatavuuden osalta, muun muassa varmistamalla tietosuojan korkea taso tietoja pyytävän viranomaisen puolelta.

Komissio osallistuu EU:n puolesta tietoverkkorikollisuutta koskevan Euroopan neuvoston yleissopimuksen (Budapestin yleissopimus) toisesta lisäpöytäkirjasta parhaillaan käytäviin monenvälisiin neuvotteluihin 165 . Toisen lisäpöytäkirjan tavoitteena on parantaa nykyisiä sääntöjä, jotka koskevat sähköisen todistusaineiston rajatylittävää saatavuutta rikosoikeudellisissa tutkimuksissa samalla, kun osana pöytäkirjaa varmistetaan asianmukaiset tietosuojatoimet. Lisäksi on aloitettu kahdenväliset neuvottelut sopimuksen tekemiseksi Euroopan unionin ja Yhdysvaltojen välillä oikeudelliseen yhteistyöhön rikosasioissa liittyvästä rajatylittävästä pääsystä sähköiseen todistusaineistoon. 166 Komissio luottaa Euroopan parlamentin ja neuvoston tukeen ja Euroopan tietosuojaneuvoston ohjeisiin näissä neuvotteluissa.

Yleisemminkin on tärkeää varmistaa, että kun Euroopan markkinoilla toimiville yrityksille esitetään oikeutettu pyyntö jakaa tietoja lainvalvontatarkoituksia varten, ne voivat tehdä niin joutumatta kohtaamaan lainvalintaan liittyviä ongelmia ja EU:n perusoikeuksia kaikilta osin noudattaen. Tällaisten siirtojen parantamiseksi komissio on sitoutunut kehittämään kansainvälisten kumppaniensa kanssa asianmukaisia lainsäädäntökehyksiä, joiden avulla voidaan välttää lainvalintaan liittyviä ongelmia ja tukea tuloksellisia yhteistyömuotoja, erityisesti tarjoamalla tarvittavat tietosuojatakeet. Tällä lisätään rikosten vastaisten toimien tuloksellisuutta.

7.3Kansainvälisen yhteistyö tietosuojan alalla

Erilaisten yksityisyydensuojajärjestelmien lähentymisen edistäminen tarkoittaa myös toisilta oppimista vaihtamalla tietoja, kokemuksia ja parhaita käytäntöjä. Tällainen vaihto on välttämätöntä, jotta voidaan ratkaista luonteeltaan ja ulottuvuudeltaan yhä useammin maailmanlaajuisia uusia haasteita. Komissio on tehostanut tämän vuoksi tietosuojaa ja tiedonsiirtoa koskevaa vuoropuheluaan monien erilaisten toimijoiden kanssa ja erilaisilla foorumeilla kahdenvälisellä, alueellisella ja monenvälisellä tasolla.

Kahdenvälinen ulottuvuus

Kiinnostus EU:n modernien yksityisyydensuojaa koskevien sääntöjen suunnittelusta, neuvottelemisesta ja täytäntöönpanosta saamia kokemuksia kohtaan on lisääntynyt yleisen tietosuoja-asetuksen hyväksymisen jälkeen. Vuoropuhelua vastaavia prosesseja läpi käyvien maiden kanssa on käyty eri muodoissa.

Komission yksiköt ovat vastanneet useisiin ulkomaiden, esimerkiksi Yhdysvaltojen 167 , Intian 168 , Malesian ja Etiopian, järjestämiin julkisiin kuulemisiin niiden harkitessa yksityisyyden suojaa koskevaa lainsäädäntöä. Joissakin kolmansissa maissa, kuten Brasiliassa 169 , Chilessä 170 , Ecuadorissa ja Tunisiassa 171 , komission yksiköillä on ollut kunnia antaa lausuntoja toimivaltaisille parlamentaarisille toimielimille.

Tietosuojalainsäädännön osalta meneillään olevien uudistusten yhteydessä on lisäksi järjestetty asiaa käsitelleitä kokouksia useiden eri puolilla maailmaa sijaitsevien valtioiden (esim. Georgia, Kenia, Taiwan, Thaimaa ja Marokko) edustajien tai parlamentaaristen valtuuskuntien kanssa. Tähän on sisältynyt seminaarien ja opintomatkojen järjestämistä esimerkiksi Indonesian hallituksen edustajien ja Yhdysvaltain kongressin henkilöstön valtuuskunnan kanssa. Tämä on tarjonnut tilaisuuksia selventää yleisen tietosuoja-asetuksen keskeisiä käsitteitä, lisätä yhteisymmärrystä yksityisyyteen liittyvistä kysymyksistä ja tuoda esiin lähentymisen etuja yksilöiden oikeuksien korkeatasoisen suojan varmistamisen, kaupankäynnin ja yhteistyön kannalta. Joissakin tapauksissa tässä yhteydessä on voitu myös varoittaa tietyistä tietosuojaa koskevista väärinkäsityksistä, jotka voivat johtaa protektionististen toimenpiteiden, kuten tietojen sijaintia koskevien pakottavien vaatimusten, käyttöönottoon.

Komissio on yleisen tietosuoja-asetuksen hyväksymisen jälkeen käynyt keskusteluja myös useiden kansainvälisten järjestöjen kanssa muun muassa siksi, että monilla politiikanaloilla tapahtuu merkittävää tietojenvaihtoa tällaisten järjestöjen kanssa. Erityisesti Yhdistyneiden kansakuntien kanssa käydään yksityiskohtaista vuoropuhelua. Sen tarkoituksena on helpottaa keskusteluja kaikkien asianosaisten sidosryhmien kanssa, jotta voidaan varmistaa sujuvat tiedonsiirrot ja edistää tietosuojajärjestelmien lähentymistä. Osana tätä vuoropuhelua komissio tekee tiivistä yhteistyötä Euroopan tietosuojaneuvoston kanssa, jotta voidaan entisestään selkiyttää, miten EU:n julkiset ja yksityiset toimijat voivat noudattaa yleisestä tietosuoja-asetuksesta johtuvia velvollisuuksiaan, kun ne vaihtavat tietoja YK:n kaltaisten kansainvälisten järjestöjen kanssa.

Komissio on valmis jakamaan uudistusprosessista saamaansa kokemusta siitä kiinnostuneiden maiden ja kansainvälisten järjestöjen kanssa samassa hengessä kuin se itse otti oppia muista järjestelmistä laatiessaan ehdotusta uusista EU:n tietosuojasäännöistä. Tällainen vuoropuhelu hyödyttää sekä EU:ta että sen kumppaneita, sillä sen avulla voidaan saada parempi käsitys nopeasti muuttuvasta yksityisyyden suojan tilanteesta ja vaihtaa näkemyksiä uusista lainsäädännöllisistä ja teknologisista ratkaisuista.

Monenvälinen ulottuvuus

Kahdenvälisten keskustelujen lisäksi komissio osallistuu aktiivisesti myös useisiin monenvälisiin foorumeihin ja edistää niillä yhteisiä arvoja ja lähentymistä alueellisella ja maailmanlaajuisella tasolla.

Ainoa oikeudellisesti sitova monenvälinen väline henkilötietojen suojelun alalla on Euroopan neuvoston yleissopimus yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä 172 . Siihen on liittynyt entistä enemmän osapuolia kaikkialta maailmasta, mikä on selvä merkki tästä (ylöspäin suuntautuvasta) lähentymiskehityksestä. Tämän yleissopimuksen, johon voivat liittyä myös Euroopan neuvoston jäsenistön ulkopuoliset maat, on ratifioinut jo 55 maata, joiden joukossa on muun muassa useita Afrikan ja Latinalaisen Amerikan maita. 173 Komissio vaikutti merkittävästi yleissopimuksen nykyaikaistamisesta käytyjen neuvottelujen onnistumiseen 174 , ja se varmisti, että yleissopimus kuvastaa samoja periaatteita kuin EU:n tietosuojasäännöt. Suurin osa EU:n jäsenvaltioista on nyt allekirjoittanut muutospöytäkirjan. Se on vielä tekemättä Tanskalta, Maltalta ja Romanialta. Vain neljä jäsenvaltiota (Bulgaria, Kroatia, Liettua ja Puola) on tähän mennessä ratifioinut muutospöytäkirjan. Komissio kehottaa kolmea jäljellä olevaa jäsenvaltiota allekirjoittamaan nykyaikaistetun yleissopimuksen ja kaikkia jäsenvaltioita ratifioimaan sen pikaisesti, jotta se voi tulla voimaan lähitulevaisuudessa. 175 Komissio kannustaa edelleen aktiivisesti myös kolmansia maita liittymään tähän yleissopimukseen.

Tiedonsiirtoa ja tietosuojaa on käsitelty äskettäin myös G20- ja G7-maiden kesken. Maailman johtajat kannattivat vuonna 2019 ensimmäisen kerran ajatusta siitä, että tietosuoja auttaa luomaan luottamusta digitaalitaloutta kohtaan ja helpottaa tiedonsiirtoa. Johtajat hyväksyivät komission aktiivisella tuella 176 Data Free Flow with Trust ‑aloitteen, jota Japani ehdotti alun perin G20-maiden Osakan julkilausumassa 177 ja G7-huippukokouksessa Biarritzissa 178 . Tämä lähestymistapa käy ilmi myös komission vuonna 2020 Euroopan datastrategiasta antamasta tiedonannosta 179 . Siinä korostetaan, että komissio aikoo edelleenkin edistää tietojen jakamista luotettavien kumppanien kanssa samalla, kun torjutaan tiedonsiirron väärinkäyttöä, kuten (ulkomaisten) viranomaisten liiallista pääsyä henkilötietoihin.

Toimiessaan näin EU voi myös käyttää eri politiikanaloilla useita välineitä, joissa otetaan entistä enemmän huomioon yksityisyyden suojaan kohdistuvat vaikutukset: esimerkiksi ensimmäiset ulkomaisten sijoitusten seurantaan tarkoitetut EU:n puitteet, joita aletaan soveltaa kaikilta osin lokakuussa 2020, antavat EU:lle ja sen jäsenvaltioille mahdollisuuden seurata sijoitustoimia, joilla on vaikutusta pääsyyn arkaluonteisiin tietoihin, myös henkilötietoihin, tai kykyyn hallita tällaisia tietoja, jos ne vaikuttavat turvallisuuteen tai yleiseen järjestykseen 180 .

Komissio tekee yhteistyötä samanmielisten maiden kanssa useilla muilla monenvälisillä foorumeilla edistääkseen aktiivisesti arvojaan ja normejaan. Yksi tärkeä foorumi on OECD:n äskettäin perustama datanhallintaa ja yksityisyydensuojaa käsittelevä työryhmä, joka työstää useita tärkeitä tietosuojaan, tietojen jakamiseen ja tiedonsiirtoihin liittyviä aloitteita. Niihin sisältyy OECD:n vuonna 2013 yksityisyydensuojasta antamien suuntaviivojen arviointi. Komissio on myös osallistunut aktiivisesti tekoälyä koskevan OECD:n neuvoston suosituksen 181 laatimiseen ja varmistanut, että sen lopullinen teksti vastaa EU:n ihmiskeskeistä lähestymistapaa. Sillä tarkoitetaan sitä, että tekoälysovelluksissa on noudatettava perusoikeuksia ja erityisesti tietosuojaa. Tärkeää on, että tekoälyä koskevassa suosituksessa viitataan avoimuutta ja selitettävyyttä koskeviin periaatteisiin, jotta tekoälyjärjestelmän haitallisista vaikutuksista kärsivät voivat valittaa sen tuottamista tuloksista niitä tekijöitä ja sitä logiikkaa koskevien selkeiden ja ymmärrettävien tietojen pohjalta, joiden perusteella ennuste, suositus tai päätös on tehty. Tämä vastaa läheisesti yleisen tietosuoja-asetuksen periaatteita automatisoidusta päätöksenteosta 182 . Suositus sisällytettiin myöhemmin G20-johtajien Osakan julkilausumaan liitettyihin G20-maiden tekoälyä koskeviin periaatteisiin 183 .

Komissio tehostaa myös vuoropuheluaan sellaisten alueellisten järjestöjen ja verkostojen kanssa, joilla on yhä keskeisempi rooli yhteisten tietosuojastandardien laatimisessa 184 , parhaiden käytäntöjen jakamisen edistämisessä ja sääntöjen noudattamisen valvonnasta vastaavien tahojen välisen yhteistyön lisäämisessä. Tämä koskee erityisesti Kaakkois-Aasian maiden liittoa (ASEAN), myös sen tiedonsiirtovälineiden osalta tekemän työn yhteydessä, Afrikan unionia, yksityisyyden suojaa käsittelevää Aasian ja Tyynenmeren foorumia (APPA) ja iberoamerikkalaista tietosuojaverkostoa. Ne kaikki ovat käynnistäneet tärkeitä aloitteita tällä alalla ja tarjoavat foorumin hedelmälliselle vuoropuhelulle yksityisyydensuojaa sääntelevien tahojen ja muiden sidosryhmien välillä.

Liite I – Valinnaista täsmentämistä koskevat kansallisen lainsäädännön lausekkeet

Liite II – Yleiskatsaus tietosuojaviranomaisten resursseihin

Jäljempänä olevassa taulukossa esitetään yleiskatsaus tietosuojaviranomaisten resursseihin (henkilöstö ja talousarvio) EU:n/ETA-alueen jäsenvaltioissa 191 .

Vertailtaessa jäsenvaltioiden välisiä lukuja on tärkeää muistaa, että viranomaisilla saattaa olla muitakin kuin yleisestä tietosuoja-asetuksesta johtuvia tehtäviä ja että nämä tehtävät voivat vaihdella eri jäsenvaltioissa. Viranomaisten työllistämän henkilöstön suhde miljoonaa asukasta kohti ja talousarvion suhde miljoonaan euroon BKT:stä ovat mukana ainoastaan lisätekijöinä vertailtaessa samankokoisia jäsenvaltioita eikä niitä pitäisi tarkastella yksinään. Viime vuosien absoluuttisia lukuja, suhdelukuja ja kehitystä olisi tarkasteltava kokonaisuutena, kun arvioidaan kunkin viranomaisen resursseja. 

Muokkaamattomien lukujen lähde: Euroopan tietosuojaneuvoston kannanotto. Laskelmat: komissio. 

(1)

 Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta, EUVL L 119, 4.5.2016, s. 1–88. 

(2)

Komission tiedonanto Euroopan parlamentille ja neuvostolle – Tietosuojasäännöt luottamuksen rakentajana EU:ssa ja sen ulkopuolella – tilannekatsaus. COM(2019) 374 final, 24.7.2019.

(3)

 Komission tiedonanto Euroopan parlamentille ja neuvostolle: Vahvempi suoja, uudet mahdollisuudet – komission ohjeet yleisen tietosuoja-asetuksen soveltamisesta sellaisenaan 25. toukokuuta 2018 lähtien (COM/2018/43 final). 

(4)

   Ks. neuvoston kanta yleisen tietosuoja-asetuksen soveltamiseen ja sitä koskevat havainnot, 14994/2/19 Rev2, 15.1.2020.

https://data.consilium.europa.eu/doc/document/ST-14994-2019-REV-2/fi/pdf

(5)

Euroopan parlamentin kansalaisvapauksien sekä oikeus- ja sisäasioiden valiokunnan kirje komissaari Reyndersille, 21. helmikuuta 2020, viite: IPOL-COM-LIBE D (2020)6525.

(6)

     Tietosuojaneuvoston 18. helmikuuta 2020 hyväksymä kannanotto tietosuoja-asetuksen 97 artiklan nojalla laadittavaa arviointia varten: https://edpb.europa.eu/our-work-tools/our-documents/other/contribution-edpb-evaluation-gdpr-under-article-97_en

(7)

      https://edpb.europa.eu/individual-replies-data-protection-supervisory-authorities_en

(8)

     Komission perustama yleisen tietosuoja-asetuksen monisidosryhmäinen asiantuntijaryhmä koostuu kansalaisyhteiskunnan ja yritysten edustajista, tutkijoista ja käytännön toimijoista:

https://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3537

Ks. monisidosryhmäisen asiantuntijaryhmän raportti:

https://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupMeeting&meetingId=21356

(9)

     Tätä asiaa ovat korostaneet lisäksi varsinkin neuvosto yleisen tietosuoja-asetuksen soveltamisesta antamassaan kannassa ja tekemissään havainnoissa ja Euroopan tietosuojaneuvosto arviointia varten antamissaan tiedoissa.

(10)

     Sulkeissa olevat luvut osoittavat, kuinka moni EU:n / ETA-alueen tietosuojaviranomainen on käyttänyt mainittuja valtuuksia toukokuun 2018 ja marraskuun lopun 2019 välisenä aikana. Ks. Euroopan tietosuojaneuvoston kannanotto, s. 32–33.

(11)

     Muutoksenhaku on vielä kesken useiden sakkomääräysten osalta.

(12)

     Yleisen tietosuoja-asetuksen 83 artiklan 7 kohta.

(13)

     Perusoikeuskirjan 8 artiklan 3 kohta, SEUT-sopimuksen 16 artiklan 2 kohta, yleisen tietosuoja-asetuksen johdanto-osan 20 kappale.

(14)

     Ks. Euroopan tietosuojaneuvoston lausunto tietosuojan vaikutuksista taloudellisiin keskittymiin, https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_statement_economic_concentration_fi.pdf.

(15)

     Ks. asia COMP M. 8124 Microsoft/LinkedIn.

(16)

     Euroopan parlamentin ja neuvoston direktiivi 2002/58/EY, annettu 12 päivänä heinäkuuta 2002, henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla (sähköisen viestinnän tietosuojadirektiivi), EYVL L 201, 31.7.2002, s. 37–47.

(17)

     Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/1148, annettu 6 päivänä heinäkuuta 2016, toimenpiteistä yhteisen korkeatasoisen verkko- ja tietojärjestelmien turvallisuuden varmistamiseksi koko unionissa, EUVL L 194, 19.7.2016, s. 1–30.

(18)

     Lisätietoja sihteeristön toiminnasta, ks. Euroopan tietosuojaneuvoston kannanotto, s. 24–26.

(19)

     Nämä ohjeet täydentävät kymmentä ohjetta, jotka 29 artiklan mukainen tietosuojatyöryhmä antoi ennen yleisen tietosuoja-asetuksen soveltamisen alkamista ja jotka tietosuojaneuvosto on hyväksynyt. Lisäksi tietosuojaneuvosto antoi tammikuun ja toukokuun lopun 2020 välisenä aikana neljä uutta ohjetta ja päivitti yhtä aiempaa ohjetta.

(20)

     Näistä lausunnoista 42 annettiin yleisen tietosuoja-asetuksen 64 artiklan nojalla. Yksi lausunto, joka koski Japanin tietosuojan tason riittävyyttä, annettiin yleisen tietosuoja-asetuksen 70 artiklan 1 kohdan s alakohdan nojalla.

(21)

     Laajempi selostus tietosuojaneuvoston toiminnasta, ks. Euroopan tietosuojaneuvoston kannanotto, s. 18–23.

(22)

     https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_statement_2020_

processingpersonaldataandcovid-19_en.pdf

(23)

     https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-032020-processing-data-concerning-health-purpose_fi.

(24)

https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_20200420_contact_tracing_covid_

with_annex_fi.pdf

(25)

     Sisämarkkinoiden tietojenvaihtojärjestelmä (IMI).

(26)

     Ks. Euroopan tietosuojaneuvoston kannanotto, s. 8.

(27)

     Esimerkiksi 22. toukokuuta 2020 Irlannin tietosuojaviranomainen toimitti muille asianosaisille viranomaisille asetuksen 60 artiklan mukaisesti päätösehdotuksen, joka koskee Twitter International Companyyn liittyvää tutkimusta tietoturvaloukkausta koskevasta ilmoituksesta. Irlannin tietosuojaviranomainen ilmoitti samana päivänä myös, että valmisteilla oli 60 artiklan nojalla toimitettava WhatApp Ireland Limitediä koskeva päätösehdotus, joka liittyy avoimuuteen muun muassa Facebookissa jaettujen tietojen suhteen.

(28)

     Yleisen tietosuoja-asetuksen 61 artikla.

(29)

     Ks. Euroopan tietosuojaneuvoston kannanotto, s. 12–14.

(30)

     Yleisen tietosuoja-asetuksen 62 artikla.

(31)

     Yleisen tietosuoja-asetuksen 64 artiklan nojalla.

(32)

     Yleisen tietosuoja-asetuksen 65 artikla.

(33)

     Yleisen tietosuoja-asetuksen 66 artikla.

(34)

     Yleisen tietosuoja-asetuksen 64 artiklan 1 kohdan nojalla.

(35)

     Yleisen tietosuoja-asetuksen 28 artiklan 8 kohta.

(36)

     Yleisen tietosuoja-asetuksen 64 artiklan 2 kohdan nojalla.

(37)

     Ks. Euroopan tietosuojaneuvoston kannanotto, s. 15.

(38)

     Kuten on huomautettu myös neuvoston kannassa ja havainnoissa.

(39)

     Ks. jäljempänä kohta 7.

(40)

     Ennen sähköisen viestinnän tietosuoja-asetuksen hyväksymistä tarvitaan sähköisen viestinnän tietosuojadirektiivin täytäntöönpanosta jäsenvaltioissa vastaavien toimivaltaisten viranomaisten välistä tiivistä yhteistyötä. Joissakin jäsenvaltioissa sähköisen viestinnän tietosuojadirektiivin 5 artiklan 3 kohdan (jossa säädetään evästeiden asettamista ja niiden käyttöä käyttäjän päätelaitteella koskevista ehdoista) täytäntöönpanosta vastaavat direktiivin mukaisesti muut kuin yleisen tietosuoja-asetuksen valvontaviranomaiset.

(41)

     Yleisen tietosuoja-asetuksen 33 artikla.

(42)

     Ks. Euroopan tietosuojaneuvoston kannanotto, s. 35.

(43)

     Ohjeita koskeva työ aloitettiin asetuksen 29 artiklan mukaisessa tietosuojatyöryhmässä jo ennen kuin yleistä tietosuoja-asetusta alettiin soveltaa 25. toukokuuta 2018. Ks. täydellinen luettelo ohjeista osoitteessa https://edpb.europa.eu/our-work-tools/general-guidance/gdpr-guidelines-recommendations-best-practices_fi

(44)

     Tätä ovat korostaneet myös Euroopan parlamentti ja neuvosto.

(45)

     Rekisterinpitäjiä ja käsittelijöitä koskevat ohjeet ovat valmisteltavina.

(46)

     Ks. yleisen tietosuoja-asetuksen 52 artiklan 4 kohta.

(47)

     Asetus tuli voimaan toukokuussa 2016, ja sen soveltaminen aloitettiin toukokuussa 2018 kahden vuoden siirtymäkauden jälkeen.

(48)

     Ks. Euroopan tietosuojaneuvoston kannanotto, s. 26–30.

(49)

     Saksassa on 18 viranomaista, joista yksi on liittovaltion viranomainen ja 17 on alueellisia viranomaisia (mukaan lukien kaksi Baijerin viranomaista).

(50)

     Yleisen tietosuoja-asetuksen 60 artikla.

(51)

     Yleisen tietosuoja-asetuksen 52 artiklan 4 kohta.

(52)

     Yleisen tietosuoja-asetuksen 75 artikla.

(53)

     Mainittakoon, että Slovenian kansallinen tietosuojaviranomainen on perustettu nykyisen kansallisen tietosuojalain nojalla ja että se valvoo yleisen tietosuoja-asetuksen soveltamista Sloveniassa.

(54)

     Tämä rikkomusmenettely koskee Puolan 20. joulukuuta 2019 antamaa lakia oikeuslaitoksesta. Laki vaikuttaa tuomareiden riippumattomuuteen ja koskee muun muassa ilmoittamista tuomareiden ammatin ulkopuolisesta toiminnasta.

https://ec.europa.eu/commission/presscorner/detail/en/ip_20_772.

(55)

     Ks. perusoikeuskirjan 8 artiklan 3 kohta, SEUT-sopimuksen 16 artikla, yleisen tietosuoja-asetuksen johdanto-osan 20 kappale.

(56)

     Esimerkiksi parlamentin valiokunnan vapauttaminen yleisen tietosuoja-asetuksen soveltamisesta odottaa tuomioistuimen ennakkoratkaisua (asia C-272/19).

(57)

     Yleisen tietosuoja-asetuksen 85 artikla.

(58)

     Täsmentämistä koskevista lausekkeista laajasti käytetty ilmaisu ’opening clause’ (avaava lauseke) on harhaanjohtava, koska se voi antaa vaikutelman, että jäsenvaltioiden liikkumavara ulottuisi asetuksen säännöksiä laajemmalle.

(59)

     Yleisen tietosuoja-asetuksen johdanto-osan 8 kappale.

(60)

   13 vuotta Belgiassa, Latviassa, Maltassa, Portugalissa, Ruotsissa, Suomessa, Tanskassa ja Virossa; 14 vuotta Bulgariassa, Espanjassa, Italiassa, Itävallassa, Kyproksessa ja Liettuassa; 15 vuotta Kreikassa, Ranskassa ja Tšekissä; 16 vuotta Alankomaissa, Irlannissa, Kroatiassa, Luxemburgissa, Puolassa, Romaniassa, Saksassa, Slovakiassa ja Unkarissa.

(61)

     Yleisen tietosuoja-asetuksen 9 artikla.

(62)

     Yleisen tietosuoja-asetuksen 89 artiklan 2 kohta.

(63)

     Ks. yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan i alakohta ja johdanto-osan 46 kappale.

(64)

     https://ec.europa.eu/info/sites/info/files/recommendation_on_apps_for_contact_tracing_4.pdf.

(65)

https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52020XC0417 (08) & from = EN.

(66)

https://edpb.europa.eu/news/news/2020/statement-processing-personal-data-context-covid-19-outbreak_en.

(67)

     https://edpb.europa.eu/our-work-tools/general-guidance/gdpr-guidelines-recommendations-best-practices_fi.

(68)

     Esimerkiksi siksi, että niissä vain toistetaan yleisen tietosuoja-asetuksen 23 artiklan 1 kohdan sanamuoto.

(69)

     Yleisen tietosuoja-asetuksen 37 artiklan 1 kohta.

(70)

     Saksa.

(71)

     Yleisen tietosuoja-asetuksen 37 artiklan 4 kohtaan sisältyvän täsmentämistä koskevan lausekkeen perusteella.

(72)

     Yleisen tietosuoja-asetuksen johdanto-osan 4 kappale.

(73)

     https://ec.europa.eu/commission/presscorner/detail/fi/IP_19_2956

(74)

     Euroopan unionin perusoikeusvirasto (2020): Perusoikeusraportti 2019. Tietosuoja ja teknologia: https://fra.europa.eu/en/publication/2020/fundamental-rights-survey-data-protection

(75)

     Yleisen tietosuoja-asetuksen 80 artikla.

(76)

     COM(2018) 184 final - 2018/089(COD)

(77)

     Yleisen tietosuoja-asetuksen 77 ja 80 artiklan mukaiset valitukset.

(78)

     Ks. Euroopan tietosuojaneuvoston kannanotto, s. 31–32.

(79)

     Yleisen tietosuoja-asetuksen 12 artiklan 2 kohta. 

(80)

     Yleisen tietosuoja-asetuksen 13 artiklan 1 kohdan b alakohta ja 14 artiklan 1 kohdan b alakohta.

(81)

     https://eur-lex.europa.eu/legal-content/FI/TXT/PDF/?uri=CELEX:52020DC0066&from=EN

(82)

     Ks. monisidosryhmäisen asiantuntijaryhmän raportti.

(83)

     Ks. Irlannin tietosuojaviranomaisen lasten tietosuojaa koskevista oikeuksista järjestämän julkisen kuulemisen tulokset: https://www.dataprotection.ie/sites/default/files/uploads/2019-09/Whose%20Rights%20Are%20They%20Anyway_Trends%20and%20Hightlights%20from%20Stream%201.pdf . Myös Ranskan tietosuojaviranomainen käynnisti julkisen kuulemisen huhtikuussa 2020: https://www.cnil.fr/fr/la-cnil-lance-une-consultation-publique-sur-les-droits-des-mineurs-dans-lenvironnement-numerique

(84)

     Yleisen tietosuoja-asetuksen 12 artiklan 1 kohta.

(85)

     Yleisen tietosuoja-asetuksen 25 artikla.

(86)

     Ks. Norjan kuluttajaneuvoston raportti ”Deceived by Design”, jossa korostetaan harhauttavia käytäntöjä (”dark patterns”), oletusasetuksia ja muita ominaisuuksia ja tekniikoita, joilla yritykset ohjaavat käyttäjiä valintoihin, jotka loukkaavat enemmän yksityisyyttä:

https://www.forbrukerradet.no/undersokelse/no-undersokelsekategori/deceived-by-design/

Ks. myös Transatlantic Consumer Dialogue ‑foorumin ja Heinrich Böll ‑säätiön Brysselissä sijaitsevan Euroopan unionin toimiston joulukuussa 2019 julkaisema tutkimus, jossa analysoidaan kolmen merkittävän maailmanlaajuisen alustan käytäntöjä:

https://eu.boell.org/en/2019/12/11/privacy-eu-and-us-consumer-experiences-across-three-global-platforms

(87)

     Euroopan parlamentin ja neuvoston asetus (EU) 2018/1807, annettu 14 päivänä marraskuuta 2018, muiden kuin henkilötietojen vapaan liikkuvuuden kehyksestä Euroopan unionissa, EUVL L 303, 28.11.2018, s. 59–68.

(88)

     Yleisen tietosuoja-asetuksen 24 artiklan 1 kohta.

(89)

     Ks. Euroopan tietosuojaneuvoston kannanotto, s. 35.

(90)

     Ks. Euroopan tietosuojaneuvoston kannanotto, s. 35-45.

(91)

     https://ec.europa.eu/info/funding-tenders/opportunities/portal/screen/opportunities/topic-details/rec-rdat-trai- ag-2017.

(92)

      https://ec.europa.eu/info/law/law-topic/data-protection/eu-data-protection-rules/eu-funding-supporting-implementation-gdpr_en

(93)

     Ks. monisidosryhmäisen asiantuntijaryhmän raportti.

(94)

     Ks. neuvoston kannanotto.

(95)

     Komission tiedonanto Euroopan parlamentille ja neuvostolle – Muiden kuin henkilötietojen vapaan liikkuvuuden kehyksestä Euroopan unionissa annettua asetusta koskevat ohjeet, COM(2019) 250 final.

(96)

  https://edpb.europa.eu/our-work-tools/our-documents/wytyczne/guidelines-12019-codes-conduct-and-monitoring-bodies-under_en .

(97)

     Ks. monisidosryhmäisen asiantuntijaryhmän raportti.

(98)

     Ks. datastrategiassa mainitut toimet, s. 30.

(99)

     Yleisen tietosuoja-asetuksen 41 artiklan 3 kohdan mukaisesti. Ks. Euroopan tietosuojaneuvoston lausunnot: https://edpb.europa.eu/our-work-tools/consistency-findings/opinions_fi

(100)

  https://ec.europa.eu/info/study-data-protection-certification-mechanisms_en

(101)

  https://edpb.europa.eu/our-work-tools/our-documents/smjernice/guidelines-12018-certification-and-identifying-certification_en .

(102)

  https://edpb.europa.eu/our-work-tools/our-documents/retningslinjer/guidelines-42018-accreditation-certification-bodies_en . Useat valvontaviranomaiset ovat jo toimittaneet akkreditointivaatimuksensa Euroopan tietosuojaneuvostolle sekä käytännesääntöjen valvontaelinten että sertifiointielinten osalta. Ks. yleiskatsaus osoitteessa https://edpb.europa.eu/our-work-tools/consistency-findings/opinions_fi .

(103)

  https://ec.europa.eu/digital-single-market/en/news/towards-more-secure-and-trusted-cloud-europe

(104)

     Yleisen tietosuoja-asetuksen 28 artiklan 7 kohta.

(105)

     Kuten neuvosto, Euroopan parlamentti ja Euroopan tietosuojaneuvosto ovat muistuttaneet arviointia koskevissa kannanotoissaan.

(106)

     Sidosryhmät huomauttavat kuitenkin, etteivät kaikki tekoälyyn liittyvät automatisoidun päätöksenteon prosessit kuulu yleisen tietosuoja-asetuksen 22 artiklan soveltamisalaan.

(107)

      https://ec.europa.eu/commission/presscorner/detail/fi/ip_20_962  

(108)

     Komission tiedonanto Euroopan parlamentille ja neuvostolle ”Henkilötietojen vaihtaminen ja suojaaminen globalisoituneessa maailmassa” (COM(2017) 7 final, 10.1.2017).

(109)

     Euroopan tietosuojaneuvoston 12. marraskuuta 2019 antamat ohjeet 2/2018 yleisen tietosuoja-asetuksen alueellisesta soveltamisalasta. Ohjeissa käsitellään useita julkisen kuulemisen aikana esille nostettuja seikkoja, kuten kohdistus- ja seurantaperusteiden tulkintaa.

(110)

   Ks. neuvoston kanta ja havainnot, 34, 35 ja 38 kohta.

(111)

     Ks. yleisen tietosuoja-asetuksen 27 artiklan 4 kohta ja johdanto-osan 80 kappale (”nimettyyn edustajaan olisi sovellettava täytäntöönpanotoimia, jos rekisterinpitäjä tai henkilötietojen käsittelijä ei noudata asetuksen säännöksiä”).

(112)

   Ehdotus Euroopan parlamentin ja neuvoston direktiiviksi yhdenmukaisista säännöistä laillisten edustajien nimeämiseksi todistusaineiston keräämistä varten rikosoikeudellisissa menettelyissä (COM(2018) 226 final), 3 artikla; ehdotus Euroopan parlamentin ja neuvoston asetukseksi verkossa tapahtuvan terroristisen sisällön levittämisen estämisestä (COM(2018) 640 final), 16 artiklan 2 ja 3 kohta.

(113)

     Yhden julkiseen kuulemiseen annetun vastauksen mukaan yksi keskeisistä ratkaistavista kysymyksistä on ”tehokas täytäntöönpano ja todelliset seuraukset niille, jotka päättävät olla noudattamatta tätä vaatimusta [...] Erityisesti olisi pidettävä mielessä, että tämä myös asettaa unioniin sijoittautuneet yritykset kilpailussa epäsuotuisaan asemaan verrattuna unionin ulkopuolelle sijoittautuneisiin mutta unionissa kauppaa käyviin, sääntöjä noudattamatta jättäviin yrityksiin”. Ks. EU Business Partnersin kannanotto 29. huhtikuuta 2020.

(114)

     Tämä asia on mainittu useissa julkiseen kuulemiseen annetuissa vastauksissa esimerkiksi EU:n ulkopuolella sijaitseville mutta yleisen tietosuoja-asetuksen soveltamisalaan kuuluville vastaanottajille siirrettävien henkilötietojen osalta.

(115)

   Neuvoston kanta ja havainnot, 17 kohta; Euroopan tietosuojaneuvoston kannanotto, s. 5–6. Useissa julkiseen kuulemiseen annetuissa vastauksissa on kehotettu tehostamaan tietosuojan tason riittävyyden toteamiseen liittyvää työtä erityisesti tärkeiden kauppakumppaneiden kanssa. Tällaisia näkemyksiä ovat esittäneet muun muassa useat liike-elämän järjestöt (kuten Ranskan suuryrityksiä edustava järjestö, Digital Europe, Global Data Alliance/BSA ja Computer & Communication Industry Association (CCIA) sekä Yhdysvaltain kauppakamari).

(116)

     Euroopan unionin tuomioistuimen tuomio 6.10.2015, Maximillian Schrems v. Data Protection Commissioner (”Schrems”), C-362/14, 73, 74 ja 96 kohta. Ks. myös yleisen tietosuoja-asetuksen johdanto-osan 104 kappale, jossa viitataan vastaavuutta olennaisilta osin koskevaan vaatimukseen.

(117)

     Yleisen tietosuoja-asetuksen 45 artiklan 2 kohta ja johdanto-osan 104 kappale. Ks. myös Schrems, 75 ja 91–91 kohta.

(118)

     Adequacy Referential, WP 254 rev. 01, 6. helmikuuta 2018 (saatavilla osoitteessa https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614108 ).

(119)

   Euroopan tietosuojaneuvoston kannanotto, s. 5–6.

(120)

     Yleisen tietosuoja-asetuksen 45 artiklan 4 ja 5 kohdassa edellytetään, että komission on seurattava jatkuvasti kolmansien maiden kehitystä ja arvioitava tietosuojan tason riittävyys uudelleen säännöllisesti – vähintään neljän vuoden välein. Siinä myös annetaan komissiolle valtuudet kumota tietosuojan tason riittävyyttä koskeva päätös, muuttaa sitä tai lykätä sen voimaantuloa, jos komissio katsoo, että kyseinen maa tai kansainvälinen järjestö ei enää kykene takaamaan riittävää tietosuojan tasoa. Yleisen tietosuoja-asetuksen 97 artiklan 2 kohdan a alakohdassa edellytetään myös, että komissio antaa arviointikertomuksen Euroopan parlamentille ja neuvostolle viimeistään vuonna 2020. Ks. myös Euroopan unionin tuomioistuimen tuomio 6.10.2015, Maximillian Schrems v. Data Protection Commissioner, C-362/14, 76 kohta.

(121)

     Komission täytäntöönpanopäätös (EU) 2016/1250, annettu 12 päivänä heinäkuuta 2016, Euroopan parlamentin ja neuvoston direktiivin 95/46/EY nojalla EU:n ja Yhdysvaltojen välisen Privacy Shield ‑järjestelyn tarjoaman tietosuojan tason riittävyydestä. Tämä tietosuojan tason riittävyyttä koskeva päätös on erityistapaus, joka perustuu Yhdysvaltojen yleisen tietosuojalainsäädännön puuttumisen vuoksi osallistuvien yritysten tekemiin sitoumuksiin (jotka ovat täytäntöönpanokelpoisia Yhdysvaltojen lainsäädännön nojalla) soveltaa järjestelyssä sovittuja tietosuojavaatimuksia. Lisäksi Privacy Shield ‑järjestely perustuu erityisiin lausumiin ja vakuutuksiin, joita Yhdysvaltojen viranomaiset ovat antaneet ja jotka koskevat pääsyä henkilötietoihin kansallisen turvallisuuden nimissä ja tukevat päätelmää tietosuojan tason riittävyydestä.

(122)

     Tarkastelut tehtiin vuonna 2017 (komission kertomus Euroopan parlamentille ja neuvostolle EU:n ja Yhdysvaltojen välisen Privacy Shield ‑järjestelyn toiminnan ensimmäisestä vuosittaisesta tarkastelusta, COM(2017) 611 final), vuonna 2018 (komission kertomus Euroopan parlamentille ja neuvostolle EU:n ja Yhdysvaltojen välisen Privacy Shield ‑järjestelyn toiminnan toisesta vuosittaisesta tarkastelusta, COM(2018) 860 final) ja vuonna 2019 (komission kertomus Euroopan parlamentille ja neuvostolle EU:n ja Yhdysvaltojen välisen Privacy Shield ‑järjestelyn toiminnan kolmannesta vuosittaisesta tarkastelusta, COM(2019) 495 final).

(123)

Nämä tietosuojan riittävyyttä koskevat päätökset koskevat maita, jotka ovat läheisesti yhteydessä Euroopan unioniin ja sen jäsenvaltioihin (Sveitsi, Andorra, Färsaaret, Guernsey, Jersey, Mansaari), tärkeitä kauppakumppaneita (esim. Argentiina, Kanada, Israel) ja maita, joilla on ollut edelläkävijän rooli alueensa tietosuojalainsäädännön kehittämisessä (Uusi-Seelanti, Uruguay).

(124)

Asia C-311/18, Data Protection Commissioner v. Facebook Ireland Limited ja Maximillian Schrems (Schrems II) koskee nk. vakiosopimuslausekkeisiin liittyvää ennakkoratkaisupyyntöä. Tuomioistuin saattaa kuitenkin selventää myös tiettyjä tietosuojan tason riittävyyttä koskevia vaatimuksia. Istunto asianosaisten kuulemiseksi järjestettiin 9. heinäkuuta 2019, ja tuomio on määrä antaa 16. heinäkuuta 2020.

(125)

     Ks. edellä alaviite 109. Komissio on selittänyt, että seuraavat perusteet otetaan huomioon arvioitaessa, minkä kolmansien maiden kanssa tietosuojan tason riittävyyttä koskevaa vuoropuhelua olisi käytävä: i) EU:n (nykyisten tai mahdollisten) kauppasuhteiden laajuus kyseessä olevan kolmannen maan kanssa, mukaan lukien vapaakauppasopimuksen olemassaolo tai käynnissä olevat neuvottelut; ii) EU:sta siirrettävien henkilötietojen määrä, joka kuvastaa maantieteellisiä ja/tai kulttuurisia siteitä; iii) maan rooli mahdollisena yksityisyyden ja tietosuojan alan edelläkävijänä, joka voisi toimia mallina muille alueen maille; ja iv) yleinen poliittinen suhde maahan, erityisesti yhteisten arvojen edistämisen ja kansainvälisellä tasolla jaettujen tavoitteiden osalta.

(126)

   Euroopan parlamentin päätöslauselma Japanin tarjoaman henkilötietojen suojan riittävyydestä (2018/2979(RSP)), 13.12.2018, 27 kohta; Euroopan tietosuojaneuvoston kannanotto, s. 5–6.

(127)

     Ks. esim. Euroopan parlamentin päätöslauselma 12. joulukuuta 2017 aiheesta ”Kohti sähköisen kaupankäynnin strategiaa” (2017/2065(INI)), 8 ja 9 kohta; neuvoston kanta yleisen tietosuoja-asetuksen soveltamiseen ja sitä koskevat havainnot, 19. joulukuuta 2019 (14994/1/19), 17 kohta; Euroopan tietosuojaneuvoston kannanotto, s. 5.

(128)

     Kuten myös neuvosto on pyytänyt, ks. neuvoston kanta yleisen tietosuoja-asetuksen soveltamiseen ja sitä koskevat havainnot, 19. joulukuuta 2019 (14994/1/19), 17 ja 40 kohta. Tämän edellytyksenä on kuitenkin se, että viranomaisille tehtäviin tiedonsiirtoihin liittyvän tietosuojan tason riittävyyttä koskevat ehdot täyttyvät, myös riippumattoman valvonnan osalta.

(129)

     Ks. neuvotteluohjeet, jotka on liitetty neuvoston päätökseen luvan antamisesta aloittaa neuvottelut
Ison-Britannian ja Pohjois-Irlannin yhdistyneen kuningaskunnan kanssa
uuden kumppanuussopimuksen tekemiseksi (ST 5870/20 ADD 1 REV 3), 13 ja 118 kohta.

(130)

Ks. Poliittinen julistus kehyksestä Euroopan unionin ja Yhdistyneen kuningaskunnan tulevalle suhteelle: tarkistettu teksti sellaisena kuin siitä on sovittu neuvottelijoiden tasolla 17. lokakuuta 2019, 8–10 kohta (saatavilla osoitteessa https://ec.europa.eu/commission/sites/beta-political/files/revised_political_declaration.pdf ).

(131)

     Näin ovat tehneet esimerkiksi Argentiina, Kolumbia, Israel, Sveitsi ja Uruguay.

(132)

     Kansainvälisiä siirtoja koskevat vakiosopimuslausekkeet edellyttävät aina komission hyväksyntää, mutta niitä voivat laatia joko komissio itse tai kansallinen tietosuojaviranomainen. Kaikki nykyiset vakiosopimuslausekkeet kuuluvat ensiksi mainittujen joukkoon.

(133)

     IAPP-EY:n yksityisyyden hallintaa koskevan vuoden 2019 vuosikertomuksen mukaan vakiosopimuslausekkeet ovat – vuodesta toiseen – ylivoimaisesti suosituimpia näistä [siirto]välineistä: Kyseisen vuoden kyselyyn vastanneista 88 prosenttia ilmoitti vakiosopimuslausekkeiden olevan heidän yleisin menetelmänsä kansainvälisissä tiedonsiirroissa. Seuraavaksi yleisin menetelmä on EU:n ja Yhdysvaltojen välinen Privacy Shield ‑järjestely. EU:sta Yhdistyneeseen kuningaskuntaan tietoja siirtävistä vastaajista (52 prosenttia) 91 prosenttia ilmoitti aikovansa käyttää vakiosopimuslausekkeita tiedonsiirtoja koskevien sääntöjen noudattamiseksi brexitin jälkeen.

(134)

   Tällä hetkellä on olemassa kolmenlaisia komission hyväksymiä mallisopimuslausekkeita henkilötietojen siirtämiseksi kolmansiin maihin: kaksi siirroille ETA-alueen rekisterinpitäjältä ETA-alueen ulkopuoliselle rekisterinpitäjälle ja yksi siirroille ETA-alueen rekisterinpitäjältä ETA-alueen ulkopuoliselle käsittelijälle. Niitä tarkistettiin vuonna 2016 Euroopan unionin tuomioistuimen asiassa Schrems I (C-362/14) antaman tuomion perusteella sellaisten rajoitusten poistamiseksi, jotka olisivat estäneet toimivaltaisia valvontaviranomaisia käyttämästä tiedonsiirtojen valvontaan liittyvää toimivaltaansa. Ks. https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en .

(135)

     Ks. myös Euroopan tietosuojaneuvoston kannanotto, s. 6–7. Neuvosto on myös kehottanut komissiota arvioimaan ja tarkistamaan vakiosopimuslausekkeita lähitulevaisuudessa rekisterinpitäjien ja henkilötietojen käsittelijöiden tarpeiden huomioon ottamiseksi. Ks. neuvoston kanta ja havainnot.

(136)

     Useissa julkiseen kuulemiseen annetuissa vastauksissa kommentoitiin viimeiseksi mainittua skenaariota ja oltiin usein huolissaan siitä, että EU:ssa sijaitsevat henkilötietojen käsittelijät joutuvat kilpailullisesti epäsuotuisaan asemaan samankaltaisia palveluja tarjoaviin ulkomaisiin henkilötietojen käsittelijöihin nähden, jos EU:ssa sijaitsevien henkilötietojen käsittelijöiden on varmistettava asianmukaiset suojatoimet suhteissaan EU:n ulkopuolisiin rekisterinpitäjiin.

(137)

   Ks. asia Schrems II.

(138)

Yleisen tietosuoja-asetuksen 46 artiklan 2 kohdan c alakohdan mukaan vakiosopimuslausekkeet on hyväksyttävä yleisistä säännöistä ja periaatteista, joiden mukaisesti jäsenvaltiot valvovat komission täytäntöönpanovallan käyttöä, 16 päivänä helmikuuta 2011 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 182/2011 (EUVL L 55, 28.2.2011, s. 13–18) 5 artiklassa tarkoitettua tarkastelumenettelyä noudattaen. Tämä edellyttää erityisesti myönteistä päätöstä jäsenvaltioiden edustajista koostuvalta komitealta.

(139)

     Tähän kuuluu esimerkiksi ASEANin jäsenvaltioiden parhaillaan tekemä työ ASEANin mallisopimuslausekkeiden laatimiseksi. Ks. ASEAN, Key Approaches for ASEAN Cross Border Data Flows Mechanism (saatavilla osoitteessa https://asean.org/storage/2012/05/Key-Approaches-for-ASEAN-Cross-Border-Data-Flows-Mechanism.pdf ).

(140)

Ks. yleiskatsaus tähän mennessä annetuista Euroopan tietosuojaneuvoston lausunnoista osoitteesta https://edpb.europa.eu/our-work-tools/consistency-findings/opinions_fi .

(141)

      https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614109 . 

(142)

      https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614110 .

(143)

     Nämä asiakirjat on hyväksytty yleisen tietosuoja-asetuksen voimaantulon jälkeen mutta ennen siirtymäkauden päättymistä (hyväksyjänä on entinen 29 artiklan mukainen tietosuojatyöryhmä). Ks. WP263 ( https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623056 ); WP264 ( https://edpb.europa.eu/sites/edpb/files/files/file2/wp264_art29_wp_bcr-c_application_form.pdf ); WP265 ( https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623848 ).

(144)

   Euroopan tietosuojaneuvoston kannanotto, s. 7.

(145)

Luettelo tämän ISO-standardin erityisistä vaatimuksista on saatavilla osoitteessa https://www.iso.org/standard/71670.html .

(146)

     Euroopan tietosuojaneuvosto, lausunto 4/2019, ehdotuksesta hallinnolliseksi järjestelyksi henkilötietojen siirtämiseksi Euroopan talousalueen (ETA) finanssivalvontaviranomaisten ja ETA:n ulkopuolisten finanssivalvontaviranomaisten välillä, annettu 12. helmikuuta 2019.

(147)

     Euroopan tietosuojaneuvoston ohjeet 2/2020 asetuksen (EU) 2016/679 46 artiklan 2 kohdan a alakohdasta ja 46 artiklan 3 kohdan b alakohdasta henkilötietojen siirtämiseksi ETA-alueen ja sen ulkopuolisten viranomaisten ja julkisten elinten välillä (saatavilla osoitteessa https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/guidelines-22020-articles-46-2-and-46-3-b_en ). Euroopan tietosuojaneuvoston mukaan toimivaltainen valvontaviranomainen perustaa tutkintansa näissä ohjeissa annettuihin yleisiin suosituksiin, mutta se voi myös pyytää lisätakeita tapauksen mukaan. Se järjesti ohjeluonnoksesta julkisen kuulemisen, joka päättyi 18. toukokuuta 2020.

(148)

   Neuvoston kanta ja havainnot, 20 kohta.

(149)

     Euroopan tietosuojaneuvosto kuitenkin selventää, että viranomaiset voivat yhä käyttää vapaasti muita asiaankuuluvia työkaluja, jotka tarjoavat asianmukaiset suojatoimet yleisen tietosuoja-asetuksen 46 artiklan mukaisesti. Välineen valinnan osalta Euroopan tietosuojaneuvosto korostaa, että oikeudellisesti sitomattomien hallinnollisten järjestelyjen käyttöä suojatoimien järjestämiseksi julkisella sektorilla olisi harkittava huolellisesti ottaen huomioon käsittelyn tarkoitus ja kyseessä olevien tietojen luonne. Jos kolmannen maan lainsäädännössä ei ole säädetty tietosuojaa koskevista oikeuksista ja oikeussuojakeinoista ETA-alueella sijaitsevia yksilöitä varten, etusijalle olisi asetettava oikeudellisesti sitovan sopimuksen tekeminen. Hyväksytyn välineen tyypistä riippumatta käytössä olevien toimenpiteiden on autettava tehokkaasti varmistamaan asianmukainen soveltaminen, täytäntöönpano ja valvonta (67 kohta).

(150)

     Tähän voi sisältyä esimerkiksi sisäisten tarkastusten (joihin sisältyy sitoumus ilmoittaa toiselle osapuolelle mahdollisesta noudattamatta jättämisestä) yhdistäminen ulkoisten tai vähintään toiminnallisesti itsenäisten mekanismien avulla tapahtuvaan riippumattomaan valvontaan sekä tietoja siirtävän julkisen elimen mahdollisuus keskeyttää tai lopettaa siirtäminen.

(151)

     Tähän voi sisältyä esimerkiksi tuomioistuintyyppisiä sitovia mekanismeja (esim. sovittelu) tai vaihtoehtoisia riidanratkaisumenetelmiä yhdistettyinä siirtävän viranomaisen mahdollisuuteen keskeyttää tai lopettaa henkilötietojen siirtäminen, jos osapuolet eivät onnistu ratkaisemaan riitaa sovintoteitse, sekä vastaanottavan julkisen elimen sitoumus palauttaa tai poistaa henkilötiedot. Euroopan tietosuojaneuvosto suosittelee kysymään neuvoa toimivaltaiselta valvontaviranomaiselta ennen välineiden valitsemista, kun valitaan sitovien ja täytäntöönpanokelpoisten välineiden vaihtoehtoisia oikeussuojamekanismeja, koska niillä ei voida varmistaa tehokkaita oikeussuojakeinoja.

(152)

     Tämä on muuttunut direktiivistä 95/46, jossa edellytettiin ainoastaan ”yksiselitteistä” suostumusta. Lisäksi sovelletaan yleisen tietosuoja-asetuksen 4 artiklan 11 kohdan mukaisia suostumusta koskevia yleisiä vaatimuksia.

(153)

     Euroopan tietosuojaneuvoston ohjeet 2/2018, asetuksen (EU) 2016/679 49 artiklan mukaisia poikkeuksia koskevat suuntaviivat (saatavilla osoitteessa https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_fi.pdf )

(154)

     Tähän sisältyvät esimerkiksi terveystietojen kansainväliset siirrot tutkimustarkoituksiin covid-19-pandemian yhteydessä. Ks. Euroopan tietosuojaneuvoston ohjeet 3/2020 terveystietojen käsittelyyn tieteellisiä tutkimustarkoituksia varten covid-19-pandemian yhteydessä, 21. huhtikuuta 2020 (saatavilla osoitteessa https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202003_healthdatascientificresearchcovid19_fi.pdf ).

(155)

     Ks. johdanto-osan 112 kappale.

(156)

     Ks. Euroopan komission Euroopan unionin puolesta Amicus Curiae ‑ominaisuudessa kumpaakaan osapuolta tukematta antama selvitys asiassa US v. Microsoft, s. 15: ”Yleisesti ottaen Euroopan unionin ja jäsenvaltioiden lainsäädännössä tunnustetaan vakavan rikollisuuden torjunnan – ja siten rikosasioissa tapahtuvan lainvalvontayhteistyön ja kansainvälisen yhteistyön – merkitys yleisen edun mukaisena tavoitteena. [...] SEUT-sopimuksen 83 artiklassa määritellään useita rikollisuuden aloja, jotka ovat erityisen vakavia ja joilla on rajatylittäviä ulottuvuuksia, kuten huumausaineiden laiton kauppa.” (Saatavilla osoitteessa https://www.supremecourt.gov/DocketPDF/17/17-2/23655/20171213123137791_17-2%20ac%20European%20Commission%20for%20filing.pdf .)

(157)

     Euroopan tietosuojaneuvoston poikkeuksia koskevat suuntaviivat (ks. alaviite 153), s. 10. Euroopan tietosuojaneuvosto on selventänyt lisäksi, että vaikka yleiseen etuun liittyvän poikkeuksen nojalla tehtävät tiedonsiirrot eivät saa olla ”laajamittaisia” tai ”järjestelmällisiä” vaan ”niitä on sovellettava vain tiettyihin tilanteisiin ja [...] niiden on täytettävä tiukat välttämättömyyskriteerit”, tällaisten tiedonsiirtojen ei tarvitse olla ”satunnaisia”.

(158)

     Tämä käy selvästi ilmi yleisen tietosuoja-asetuksen 48 artiklan sanamuodosta (”sanotun kuitenkaan rajoittamatta tämän luvun mukaisten muiden siirtoa koskevien perusteiden soveltamista”) ja siihen liittyvästä johdanto-osan 115 kappaleesta. (”Tiedonsiirrot olisi sallittava vain, jos tässä asetuksessa vahvistetut edellytykset tietojen siirtämiseksi kolmansiin maihin täyttyvät. Näin voi olla esimerkiksi silloin, kun tietojen luovuttaminen on tarpeen unionin oikeudessa tai rekisterinpitäjään sovellettavassa jäsenvaltion lainsäädännössä tunnustetun tärkeän yleistä etua koskevan syyn vuoksi.”) Myös Euroopan tietosuojaneuvosto on tunnustanut tämän, ks. poikkeuksia koskevat suuntaviivat (alaviite 153), s. 5. Kuten kaikissa käsittelytoimissa, myös muita asetuksen suojatoimia on noudatettava (esimerkiksi että tietoja siirretään erityistä tarkoitusta varten, tiedot ovat olennaisia ja rajoittuvat siihen, mikä on tarpeen pyynnön tarkoituksen täyttämiseksi, jne.).

(159)

     Microsoftia koskeva lausunto (ks. edellä alaviite 156). Kuten komissio selitti, keskinäiset oikeusapusopimukset ovat siten yleisen tietosuoja-asetuksen mukaan parhaaksi katsottuja vaihtoehtoja siirtoja varten, sillä tällaiset sopimukset mahdollistavat näytön keräämisen suostumuksen perusteella ja ilmentävät eri valtioiden välisten etujen huolellisesti neuvoteltua tasapainoa, jonka tarkoitus on lievittää sellaisia tuomiovaltaa koskevia ristiriitoja, joita voisi muussa tapauksessa syntyä. Ks. myös Euroopan tietosuojaneuvoston poikkeuksia koskevat suuntaviivat (edellä alaviite 153), s. 5. (”Kun olemassa on kansainvälinen sopimus, kuten keskinäinen oikeusapusopimus, EU:ssa toimivien yritysten olisi yleensä evättävä suorat pyynnöt ja ohjattava pyynnön esittävä kolmas maa tarkastelemaan voimassa olevaa keskinäistä oikeusapusopimusta tai muuta sopimusta”.)

(160)

     Microsoftia koskeva lausunto (ks. edellä alaviite 156), s. 4.

(161)

     Microsoftia koskeva lausunto (ks. edellä alaviite 156), s. 6.

(162)

     Euroopan komission ehdotus Euroopan parlamentin ja neuvoston asetukseksi sähköistä todistusaineistoa rikosoikeudellisissa asioissa koskevista eurooppalaisista esittämis- ja säilyttämismääräyksistä (COM(2018) 225 final, 17.4.2018). Neuvosto hyväksyi yleisnäkemyksen asetusehdotuksesta 7. joulukuuta 2018 (saatavilla osoitteessa https://www.consilium.europa.eu/en/press/press-releases/2018/12/07/regulation-on-cross-border-access-to-eevidence-council-agrees-its-position/# ). Ks. myös Euroopan tietosuojaneuvoston lausunto 7/19 sähköistä todistusaineistoa rikosoikeudellisissa asioissa koskevista eurooppalaisista esittämis- ja säilyttämismääräyksistä (saatavilla osoitteessa https://edps.europa.eu/data-protection/ourwork/publications/opinions/electronic-evidence-criminal-matters_en ).

(163)

     Perusteluissa sivulla 21 todetaan selvästi, että sen lisäksi, että kohteliaisuuslausekkeen avulla varmistetaan kohteliaisuus kolmansien maiden suvereniteettiin kuuluvien etujen osalta, suojellaan asianomaista henkilöä ja estetään palveluntarjoajien joutuminen lainvalintatilanteisiin, yksi tärkeä syy tälle lausekkeelle on vastavuoroisuus eli EU:n sääntöjen, myös tietosuojasääntöjen, kunnioittamisen varmistaminen (yleisen tietosuoja-asetuksen 48 artikla). Ks. myös 29 artiklan mukaisen tietosuojatyöryhmän 29. marraskuuta 2017 antama lausunto sähköisen todistusaineiston rajatylittävään saatavuuteen liittyvistä tietosuojaa ja yksityisyyttä koskevista näkökohdista (29 artiklan mukaisen tietosuojatyöryhmän lausunto) (saatavilla osoitteessa file:///C:/Users/ralfs/AppData/Local/Packages/Microsoft.MicrosoftEdge_8wekyb3d8bbwe/TempState/Downloads/20171207_e-Evidence_Statement_FINALpdf%20(1).pdf ), s. 9.

(164)

     Ks. 29 artiklan mukaisen tietosuojatyöryhmän lausunto (edellä alaviite 163), s. 6.

(165)

     Ks. suositus neuvoston päätökseksi luvan antamisesta tietoverkkorikollisuutta koskevan Euroopan neuvoston yleissopimuksen (CETS N:o 185) toisesta lisäpöytäkirjasta käytäviin neuvotteluihin osallistumiseen (COM(2019) 71 final, 5.2.2019). Ks. myös Euroopan tietosuojaneuvoston lausunto 3/2019 osallistumisesta neuvotteluihin tietoverkkorikollisuutta koskevan Budapestin yleissopimuksen toista lisäpöytäkirjaa varten, 2. huhtikuuta 2019 (saatavilla osoitteessa https://edps.europa.eu/sites/edp/files/publication/19-04-02_edps_opinion_budapest_convention_en.pdf ); Euroopan tietosuojaneuvoston kannanotto kuulemiseen tietoverkkorikollisuutta koskevan yleissopimuksen (Budapestin yleissopimuksen) toisen lisäpöytäkirjan luonnoksesta, 13. marraskuuta 2019 (saatavilla osoitteessa https://edpb.europa.eu/sites/edpb/files/files/file1/edpbcontributionbudapestconvention_en.pdf ).

(166)

     Ks. suositus neuvoston päätökseksi luvan antamisesta aloittaa neuvottelut sopimuksen tekemiseksi Euroopan unionin ja Amerikan yhdysvaltojen välillä oikeudelliseen yhteistyöhön rikosasioissa liittyvästä rajat ylittävästä pääsystä sähköiseen todistusaineistoon (COM(2019) 70 final, 5.2.2019). Ks. myös Euroopan tietosuojaneuvoston lausunto 2/2019 sähköisen todistusaineiston rajatylittävää saatavuutta koskevaan EU:n ja Yhdysvaltojen väliseen sopimukseen liittyvistä neuvotteluvaltuuksista (saatavilla osoitteessa https://edps.europa.eu/sites/edp/files/publication/19-04-02_edps_opinion_on_eu_us_agreement_on_e-evidence_en.pdf ).

(167)

Ks. oikeus- ja kuluttaja-asioiden pääosaston vastaus 9. marraskuuta 2018 Yhdysvaltojen National Telecommunications and Information Administration ‑viranomaisen julkiseen kommenttipyyntöön, joka koskee ehdotettua lähestymistapaa kuluttajien yksityisyyden suojaan [asia nro 180821780-8780-01] (saatavilla osoitteessa https://ec.europa.eu/info/sites/info/files/european_commission_submission_on_a_proposed_approach_to_consumer_privacy.pdf )

(168)

Ks. oikeus- ja kuluttaja-asioiden pääosaston vastaus 19. marraskuuta 2018 Intian elektroniikka- ja tietotekniikkaministeriön kuulemispyyntöön ehdotuksesta Intian tietosuojalaiksi (saatavilla osoitteessa https://eeas.europa.eu/delegations/india/53963/submission-draft-personal-data-protection-bill-india-2018-directorate-general-justice_en).

(169)

Ks. Brasilian senaatin täysistunto 17. huhtikuuta 2018 (https://www25.senado.leg.br/web/atividade/sessao-plenaria/-/pauta/23384), Brasilian kongressin sekakomitean kokous 10. huhtikuuta 2019 asiasta MP 869/2018 ( https://www12.senado.leg.br/ecidadania/visualizacaoaudiencia?id=15392 ) ja Brasilian edustajainhuoneen erityiskomitean kokous 26. marraskuuta 2019 (https://www.camara.leg.br/noticias/616579-comissao-discutira-protecao-de-dados-no-ambito-das-constituicoes-de-outros-paises/).

(170)

Ks. Chilen senaatin perustuslaki-, lainsäädäntö- ja oikeusasioiden valiokunnan kokoukset 29. toukokuuta 2018 ( https://senado.cl/appsenado/index.php?mo=comisiones&ac=asistencia_sesion&idcomision=186&idsesion=12513&idpunto=15909&sesion=29/05/2018&listado=1 ) ja 24. huhtikuuta 2019 (https://www.senado.cl/appsenado/index.php?mo=comisiones&ac=sesiones_celebradas&idcomision=186&tipo=3&legi=485&ano=2019&desde=0&hasta=0&idsesion=13603&idpunto=17283&listado=2).

(171)

Ks. Tunisian edustajainhuoneen oikeuksista, vapauksista ja ulkosuhteista vastaavan valiokunnan kokous 2. marraskuuta 2018 ( https://www.facebook.com/1515094915436499/posts/2264094487203201/ ).

(172)

     On tärkeää, että nykyaikaistetussa yleissopimuksessa ei ainoastaan vahvisteta tehokkaita tietosuojaa koskevia suojatoimia, vaan sillä luodaan myös valvontaviranomaisten verkosto ja välineet lainvalvontayhteistyötä varten. Lisäksi sillä mahdollistetaan keskustelufoorumina toimivan yleissopimuksen komitean välityksellä se, että parhaita käytäntöjä voidaan jakaa ja kansainvälisiä standardeja kehittää.

(173)

Ks. täydellinen jäsenluettelo: https://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/108/signatures . Afrikan maiden joukossa ovat Kap Verde, Mauritius, Marokko, Senegal ja Tunisia, ja Latinalaisen Amerikan maista mukana ovat Argentiina, Meksiko ja Uruguay. Burkina Fasoa on pyydetty liittymään yleissopimukseen.

(174)

Ks. nykyaikaistetun yleissopimuksen teksti osoitteessa https://search.coe.int/cm/Pages/result_details.aspx?ObjectId=09000016807c65bf .

(175)

     Ministerikomitea kehotti muutospöytäkirjasta 18. toukokuuta 2018 tekemässään päätöksessä jäsenvaltioita ja yleissopimuksen muita osapuolia ryhtymään viipymättä tarvittaviin toimenpiteisiin pöytäkirjan voimaantulon mahdollistamiseksi kolmen vuoden kuluessa sen avaamisesta allekirjoittamista varten ja käynnistämään välittömästi tai joka tapauksessa vähintään vuoden kuluessa pöytäkirjan avaamisesta allekirjoittamista varten kansallisen lainsäädäntönsä mukaisesti menettelyn, joka johtaa ratifiointiin. Ministerikomitea myös ohjeisti pysyviä edustajia tarkastelemaan ratifioinnin etenemistä kahdesti vuodessa ja ensimmäisen kerran vuoden kuluttua pöytäkirjan avaamisesta allekirjoittamista varten kunkin jäsenvaltion ja yleissopimuksen muiden osapuolten pääsihteerille vähintään kuukausi ennen tällaista tarkastelua toimittamien tietojen perusteella. Ks. https://search.coe.int/cm/pages/result_details.aspx?objectid=09000016808a3c9f .

(176)

     Puheenjohtaja Juncker ilmaisi huhtikuussa 2019 järjestetyn EU:n ja Japanin huippukokouksen yhteydessä tukevansa Japanin Data Free Flow with Trust ‑aloitetta ja ns. Osakan prosessin käynnistämistä ja lupasi komission toimivan aktiivisesti molemmissa aloitteissa.

(177)

     Ks. G20-johtajien Osakan julkilausuma: https://www.consilium.europa.eu/media/40124/final_g20_osaka_leaders_declaration.pdf  

(178)

     Ks. G7-maiden Biarritzin strategia avoimesta, maksuttomasta ja turvallisesta digitaalisesta siirtymästä: https://www.elysee.fr/admin/upload/default/0001/05/62a9221e66987d4e0d6ffcb058f3d2c649fc6d9d.pdf  

(179)

     Komission tiedonanto Euroopan parlamentille, neuvostolle, Euroopan talous- ja sosiaalikomitealle ja alueiden komitealle – Euroopan datastrategia (COM(2020) 66 final, 19.2.2020) ( https://eur-lex.europa.eu/legal-content/FI/TXT/PDF/?uri=CELEX:52020DC0066&from=EN ), s. 23–24.

(180)

 Euroopan parlamentin ja neuvoston asetus (EU) 2019/452, annettu 19 päivänä maaliskuuta 2019, unioniin tulevien ulkomaisten suorien sijoitusten seurantaan tarkoitettujen puitteiden perustamisesta (EUVL L 79I, 21.3.2019), 4 artiklan 1 kohdan d alakohta.

(181)

      https://legalinstruments.oecd.org/en/instruments/OECD-LEGAL-0449

(182)

     Ks. yleisen tietosuoja-asetuksen 13 artiklan 2 kohdan f alakohta, 14 artiklan 2 kohdan g alakohta ja 22 artikla.

(183)

   G20-ministerien lausuma kaupasta ja digitaalitaloudesta: https://g20trade-digital.go.jp/dl/Ministerial_Statement_on_Trade_and_Digital_Economy.pdf  

(184)

     Ks. esimerkiksi Afrikan unionin kyberturvallisuutta ja henkilötietojen suojaa koskeva yleissopimus (Malabon yleissopimus) ja iberoamerikkalaisen tietosuojaverkoston laatimat tietosuojavaatimukset iberoamerikkalaisille valtioille.

(185)

 Euroopan neuvoston yleissopimus yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä  https://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/108/signatures?p_auth=DW5jevqD .

(186)

 Afrikan unionin yleissopimus kyberturvallisuudesta ja henkilötietojen suojasta  https://au.int/en/treaties/african-union-convention-cyber-security-and-personal-data-protection . Lisäksi useat alueelliset talousyhteisöt, kuten Länsi-Afrikan valtioiden talousyhteisö (ECOWAS) ja eteläisen Afrikan kehitysyhteisö (SADC), ovat kehittäneet tietosuojaa koskevia sääntöjä. Ks. http://www.tit.comm.ecowas.int/wp-content/uploads/2015/11/SIGNED-Data-Protection-Act.pdf ja http://www.itu.int/ITU-D/projects/ITU_EC_ACP/hipssa/docs/SA4docs/data%20protection.pdf .

(187)

 

(188)

Muun muassa digitaalista Afrikkaa koskevan politiikka- ja sääntelyaloitteen (PRIDA) avulla, ks. lisätietoja osoitteesta https://www.africa-eu-partnership.org/en/projects/policy-and-regulation-initiative-digital-africa-prida .

(189)

189 Ks. Euroopan komission ja unionin ulkoasioiden ja turvallisuuspolitiikan korkean edustajan yhteinen tiedonanto ”Tavoitteena kokonaisvaltainen EU–Afrikka-strategia” (saatavilla osoitteessa https://eur-lex.europa.eu/legal-content/FI/TXT/PDF/?uri=CELEX:52020JC0004&from=EN ); digitaalitalouden työryhmä, uusi Afrikan ja Euroopan välinen digitaalitalouskumppanuus:: Accelerating the Achievement of the Sustainable Development Goals (saatavilla osoitteessa https://www.africa-eu-partnership.org/sites/default/files/documents/finaldetfreportpdf.pdf ).

(190)

  https://eur-lex.europa.eu/legal-content/FI/TXT/PDF/?uri=CELEX:52020DC0066&from=EN , s. 23.

(191)

Lukuun ottamatta Liechtensteinia.