EUROOPAN KOMISSIO

Bryssel 25.7.2024

COM(2024) 357 final

KOMISSION TIEDONANTO EUROOPAN PARLAMENTILLE JA NEUVOSTOLLE

Toinen kertomus yleisen tietosuoja-asetuksen soveltamisesta

1Johdanto

Tämä on toinen yleisen tietosuoja-asetuksen 97 artiklan mukaisesti annettu komission kertomus yleisen tietosuoja-asetuksen soveltamisesta. Ensimmäinen kertomus ( 1 )), jäljempänä ’vuoden 2020 kertomus’, annettiin 24. kesäkuuta 2020.

Yleinen tietosuoja-asetus on yksi EU:n digitalisaatiota koskevan lähestymistavan kulmakivistä. Sen perusperiaatteet – henkilötietojen asianmukainen, turvallinen ja läpinäkyvä käsittely ja yksilöiden vaikutusmahdollisuuksien varmistaminen – muodostavat perustan kaikille EU:n politiikoille, joihin liittyy henkilötietojen käsittely.

Vuoden 2020 kertomuksen jälkeen EU on hyväksynyt useita aloitteita, joilla yksilöt tuodaan digitaalisen siirtymän keskiöön. Kullakin aloitteella on oma tavoitteensa: niillä pyritään esimerkiksi luomaan turvallisempi verkkoympäristö, lisäämään digitaalitalouden oikeudenmukaisuutta ja kilpailukykyä, edistämään uraauurtavaa tutkimusta, varmistamaan turvallisen ja luotettavan tekoälyn kehittäminen ja luomaan aidot datan sisämarkkinat. Aina kun aloitteet koskevat henkilötietoja, ne perustuvat yleiseen tietosuoja-asetukseen. Yleinen tietosuoja-asetus muodostaa perustan myös alakohtaisille aloitteille, jotka vaikuttavat henkilötietojen käsittelyyn esimerkiksi rahoituspalvelujen, terveydenhuollon, työllisyyden, liikkumisen ja lainvalvonnan aloilla.

Sidosryhmät, tietosuojaviranomaiset ja jäsenvaltiot ovat laajasti yksimielisiä siitä, että joistain haasteista huolimatta yleinen tietosuoja-asetus on tuottanut merkittäviä tuloksia yksityishenkilöiden ja yritysten kannalta. Riskiperusteinen, teknologianeutraali lähestymistapa takaa vahvan suojan rekisteröidyille ja oikeasuhteiset velvoitteet rekisterinpitäjille ja henkilötietojen käsittelijöille. Edistystä vaaditaan kuitenkin edelleen useilla osa-alueilla. Tulevina vuosina olisi erityisesti keskityttävä tukemaan sidosryhmiä – varsinkin pieniä ja keskisuuria yrityksiä (pk-yrityksiä), pieniä toimijoita sekä tutkijoita ja tutkimusorganisaatioita – sääntöjen noudattamisessa, huolehtimaan siitä, että tietosuojaviranomaiset antavat selkeämpiä ja toteuttamiskelpoisempia ohjeita, ja lisäämään yleisen tietosuoja-asetuksen tulkinnan ja täytäntöönpanon yhdenmukaisuutta koko EU:ssa.

Yleisen tietosuoja-asetuksen 97 artiklan mukaan komission olisi tarkasteltava erityisesti kolmansiin maihin (eli EU:n tai Euroopan talousalueen ulkopuolisiin maihin) tehtävien henkilötietojen siirtojen (yleisen tietosuoja-asetuksen V luku) ja kansallisten tietosuojaviranomaisten välisen yhteistyömenettelyn ja yhdenmukaisuusmekanismin (yleisen tietosuoja-asetuksen VII luku) soveltamista ja toimivuutta. Kuten vuoden 2020 kertomuksessa, tässäkin kertomuksessa arvioidaan näiden kahden osatekijän lisäksi yleisen tietosuoja-asetuksen soveltamista yleisesti. Lisäksi yksilöidään useita toimia, joita tarvitaan tukemaan yleisen tietosuoja-asetuksen tehokasta soveltamista keskeisillä painopistealoilla.

Kertomuksessa otetaan huomioon seuraavat lähteet: i) joulukuussa 2023 hyväksytty neuvoston kanta ja sitä koskevat havainnot ( 2 ), ii) sidosryhmiltä kerätty palaute, jota on saatu erityisesti yleisen tietosuoja-asetuksen sidosryhmien välisen asiantuntijaryhmän ( 3 ) ja julkisen kannanottopyynnön ( 4 ) kautta, ja iii) tietosuojaviranomaisilta saatu palaute (Euroopan tietosuojaneuvoston (tietosuojaneuvosto) kannanotossa ( 5 ) ja Euroopan unionin perusoikeusviraston (EU:n perusoikeusvirasto) raportissa ( 6 ), joka on laadittu yksittäisten tietosuojaviranomaisten haastattelujen perusteella). Kertomuksessa hyödynnetään myös komission jatkuvaa yleisen tietosuoja-asetuksen soveltamisen seurantaa, kuten jäsenvaltioiden kanssa käytyjä kahdenvälisiä vuoropuheluja kansallisen lainsäädännön vaatimustenmukaisuudesta, aktiivista osallistumista tietosuojaneuvoston työhön sekä tiiviitä yhteyksiä useisiin eri sidosryhmiin asetuksen käytännön soveltamisen suhteen.

2Yleisen tietosuoja-asetuksen täytäntöönpano ja yhteistyömenettelyn ja yhdenmukaisuusmekanismin toimivuus 

Yleisen tietosuoja-asetuksen keskitetyn täytäntöönpanojärjestelmän tavoitteena on varmistaa, että riippumattomat tietosuojaviranomaiset tulkitsevat ja noudattavat yleistä tietosuoja-asetusta yhdenmukaisesti. Tämä tarkoittaa, että tietosuojaviranomaisten on tehtävä yhteistyötä tietojen rajatylittävää käsittelyä koskevissa tapauksissa, joilla on merkittäviä vaikutuksia rekisteröityihin useissa jäsenvaltioissa. Tietosuojaneuvosto ratkaisee viranomaisten väliset kiistat yleisen tietosuoja-asetuksen yhdenmukaisuusmekanismin mukaisesti.

2.1Rajatylittävien tapausten käsittelyn tehostaminen: menettelysääntöjä koskeva ehdotus

Vuoden 2020 kertomuksessa todettiin, että rajatylittävien tapausten käsittelyä on tarpeen tehostaa ja yhdenmukaistaa kaikkialla EU:ssa, erityisesti kun otetaan huomioon suuret erot kansallisissa hallintomenettelyissä ja yleisen tietosuoja-asetuksen yhteistyömenettelyn käsitteiden tulkinnassa. Siksi komissio antoi heinäkuussa 2023 ehdotuksen menettelysääntöjä koskevaksi asetukseksi ( 7 ). Ehdotuksessa otettiin huomioon myös tietosuojaneuvoston komissiolle lokakuussa 2022 toimittama ongelmia koskeva luettelo ( 8 ) sekä sidosryhmiltä ( 9 ) ja jäsenvaltioilta ( 10 ) saatu palaute. Ehdotuksella täydennetään yleistä tietosuoja-asetusta vahvistamalla yksityiskohtaiset säännöt, jotka koskevat rajat ylittäviä valituksia, valituksen tekijän osallistamista, tutkinnan kohteena olevien (rekisterinpitäjien ja henkilötietojen käsittelijöiden) asianmukaisia prosessuaalisia oikeuksia ja tietosuojaviranomaisten välistä yhteistyötä. Yhdenmukaistamalla nämä menettelylliset näkökohdat nopeutetaan tutkintaa ja oikeussuojakeinoja. Ehdotuksesta neuvotellaan parhaillaan Euroopan parlamentissa ja neuvostossa.

2.2Tietosuojaviranomaisten yhteistyön lisääminen ja yhdenmukaisuusmekanismin käyttö

Rajatylittävien tapausten määrä on kasvanut merkittävästi viime vuosina. Tietosuojaviranomaiset ovat osoittaneet entistä enemmän halukkuutta käyttää yleisen tietosuoja-asetuksen tarjoamia yhteistyövälineitä. Kaikki tietosuojaviranomaiset käyttivät keskinäisen avunannon välinettä ( 11 ) ja epävirallisia pyyntöjä, joissa auttaminen perustuu vapaaehtoisuuteen. Tietosuojaviranomaiset suosivat epävirallisia pyyntöjä, joissa ei aseteta määräaikaa tai tiukkaa vastausvelvollisuutta. Tietosuojaneuvosto hyväksyi yhteisiä operaatioita koskevat suuntaviivat ( 12 ) vuonna 2021, mutta viranomaiset eivät vieläkään ole käyttäneet tätä välinettä ( 13 ) merkittävästi. Viranomaiset mainitsevat yhteisten operaatioiden vähäisen käytön tärkeimmiksi syiksi kansallisten menettelyjen erot ja menettelyn epäselvyyden.

Yleisessä tietosuoja-asetuksessa annetaan asianomaisille tietosuojaviranomaisille mahdollisuus esittää merkityksellinen ja perusteltu vastalause, jos ne ovat eri mieltä johtavan tietosuojaviranomaisen päätösehdotuksesta rajatylittävässä tapauksessa. Jos tietosuojaviranomaiset eivät pääse yksimielisyyteen merkityksellisestä ja perustellusta vastalauseesta, yleisessä tietosuoja-asetuksessa säädetään tietosuojaneuvoston kiistanratkaisumenettelystä ( 14 ). Merkityksellisissä ja perustelluissa vastalauseissa useimmin mainittuja aiheita olivat i) käsittelyn oikeusperuste, ii) tieto- ja avoimuusvelvoitteet, iii) tietoturvaloukkauksista ilmoittaminen, iv) rekisteröityjen oikeudet, v) kansainvälisiä siirtoja koskevat poikkeukset, vi) korjaavien toimenpiteiden käyttö ja vii) hallinnollisen seuraamusmaksun määrä.

Yleisen tietosuoja-asetuksen täytäntöönpanojärjestelmä perustuu tietosuojaviranomaisten väliseen vilpittömään ja tehokkaaseen yhteistyöhön. Kiistanratkaisumenettelyllä on tärkeä tehtävä tässä täytäntöönpanorakenteessa. Sitä olisi kuitenkin käytettävä siinä tarkoituksessa, johon se oli suunniteltu, eli ottaen huomioon tietosuojaviranomaisten välinen toimivallan jako sekä tarve noudattaa asianmukaisia prosessuaalisia oikeuksia ja saada rekisteröidyille nopea ratkaisu tapauksessa. Jokainen kiistanratkaisumenettely vie merkittävästi johtavan viranomaisen, asianomaisten viranomaisten ja tietosuojaneuvoston sihteeristön resursseja ja viivästyttää ratkaisun aikaansaamista rekisteröityjen kannalta.

Tietosuojaviranomaiset käyttävät yhä enemmän yleisen tietosuoja-asetuksen yhdenmukaisuusmekanismia. Se koostuu kolmesta osasta: i) tietosuojaneuvoston lausunnot, ii) tietosuojaneuvoston kiistanratkaisumenettely ja iii) kiireellinen menettely. ( 21 )

Lautakunta käsittelee lausunnoissaan yhä useammin tärkeitä yleisluonteisia asioita ( 22 ). Tietosuojaneuvoston olisi huolehdittava, että ennen tällaisten lausuntojen antamista toteutetaan oikea-aikainen ja tarkoituksenmukainen kuuleminen. Kiistanratkaisumenettelyyn toimitetuissa asioissa on käsitelty muun muassa oikeusperusteita silloin, kun tietoja käsitellään sosiaalisen median käyttötottumuksia seuraavaa mainontaa varten ja kun käsitellään verkossa olevia lasten tietoja. Useimmat menettelyn tuloksena annetuista sitovista päätöksistä on riitautettu unionin yleisessä tuomioistuimessa.

Tietosuojaneuvoston päätöksentekoprosessin avoimuus on keskeistä, jotta varmistetaan, että Euroopan unionin perusoikeuskirjan mukaista oikeutta hyvään hallintoon noudatetaan. Yleisen tietosuoja-asetuksen kiireellisessä menettelyssä tietosuojaviranomaiset voivat poiketa yhteistyömenettelystä ja yhdenmukaisuusmekanismista ja toteuttaa tarvittaessa kiireellisiä toimenpiteitä rekisteröidyille kuuluvien oikeuksien ja vapauksien suojaamiseksi. Yleisen tietosuoja-asetuksen tavanomaisesta yhteistyömenettelystä poiketen kiireellinen menettely on tarkoitettu käytettäväksi vain poikkeuksellisissa olosuhteissa ja kun tavanomaisella yhteistyömenettelyllä ei voida suojata rekisteröidyille kuuluvia oikeuksia ja vapauksia.

2.3Tehokkaampi noudattamisen valvonta

Tietosuojaviranomaiset ovat lisänneet merkittävästi valvontatoimia viime vuosina ja muun muassa määränneet huomattavia sakkoja merkittävissä suuria monikansallisia teknologiayrityksiä koskevissa tapauksissa. Sakkoja on määrätty esimerkiksi seuraavista syistä: i) käsittelyn laillisuuden ja turvallisuuden rikkominen, ii) erityisten henkilötietoryhmien käsittelyyn liittyvä rikkominen ja iii) yksilöiden oikeuksien noudattamatta jättäminen. ( 25 ) Tämä on saanut yksityiset yritykset ”ottamaan tietosuojan vakavasti” ( 26 ) ja auttanut juurruttamaan sääntöjen noudattamisen kulttuurin organisaatioihin. Tietosuojaviranomaiset tekevät yleisen tietosuoja-asetuksen rikkomisen toteavia päätöksiä valituksiin perustuvissa ja oma-aloitteisissa tapauksissa. Monet tietosuojaviranomaiset ovat käyttäneet tuloksellisesti sovintoratkaisuun tähtääviä menettelyjä, jotta ne ovat voineet ratkaista valitukseen perustuvat tapaukset nopeasti valituksen tekijää tyydyttävällä tavalla. Tällaisia menettelyjä ei ole kuitenkaan käytettävissä kaikissa jäsenvaltioissa. Menettelysääntöjä koskevassa ehdotuksessa otetaan huomioon mahdollisuus ratkaista valitukset sovintoratkaisulla. ( 27 )

Tietosuojaviranomaiset ovat hyödyntäneet korjaavia toimivaltuuksiaan hyvin, vaikkakin viranomaisten välillä on suuria eroja määrättyjen korjaavien toimenpiteiden määrässä. Seuraamusmaksujen lisäksi yleisimmin käytettyjä korjaavia toimenpiteitä olivat varoitukset, huomautukset ja määräykset noudattaa yleistä tietosuoja-asetusta. Rekisterinpitäjät ja henkilötietojen käsittelijät usein riitauttavat päätökset, joissa todetaan yleisen tietosuoja-asetuksen rikkominen, kansallisissa tuomioistuimissa. Yleisimmin perusteluna ovat menettelylliset syyt ( 28 ).

Useimmat tietosuojaviranomaiset pitävät käytössään olevia tutkintavälineitä riittävinä, mutta osa ilmoittaa tarvitsevansa lisää kansallisen tason välineitä, kuten asianmukaisia seuraamuksia tapauksissa, joissa rekisterinpitäjät eivät tee yhteistyötä tai toimita tarvittavia tietoja. ( 32 ) Tietosuojaviranomaisten mukaan niiden kykyyn valvoa sääntöjen noudattamista vaikuttavat pääasiassa riittämättömät resurssit ja tekniseen ja oikeudelliseen asiantuntemukseen liittyvät puutteet. ( 33 )

2.4Tietosuojaneuvosto

Tietosuojaneuvoston muodostavat yksi tietosuojaviranomaisen johtaja kustakin jäsenvaltiosta ja Euroopan tietosuojavaltuutettu. Komissio osallistuu ilman äänioikeutta. Tietosuojaneuvoston tehtävänä on varmistaa, että yleistä tietosuoja-asetusta sovelletaan yhdenmukaisesti ( 34 ), ja sen työtä tukee sen sihteeristö. Useimpien tietosuojaviranomaisten mukaan tietosuojaneuvosto on auttanut vahvistamaan viranomaisten keskinäistä yhteistyötä. ( 35 ) Monet tietosuojaviranomaiset osoittavat merkittäviä resursseja tietosuojaneuvoston toimintaan, mutta pienet viranomaiset ilmoittavat, etteivät ne kokonsa vuoksi pysty osallistumaan toimintaan kattavasti. ( 36 ) Osa viranomaisista katsoi, että tietosuojaneuvoston prosessien tehokkuutta olisi parannettava erityisesti vähentämällä kokousten määrää ja kiinnittämällä vähemmän huomiota vähäpätöisiin asioihin. ( 37 ) Menettelysääntöjä koskevan ehdotuksen tavoitteena on vähentää tietosuojaneuvoston kiistanratkaisumenettelyyn toimitettavien tapausten määrää. Ehdotusta koskevien neuvottelujen tuloksen perusteella voi olla tarpeen harkita, tarvitseeko tietosuojaneuvosto lisäresursseja.

Marraskuuhun 2023 mennessä tietosuojaneuvosto oli hyväksynyt 35 suuntaviivaa. Sidosryhmät ja tietosuojaviranomaiset ovat pitäneet suuntaviivoja hyödyllisinä, mutta molemmat katsovat, että ne olisi laadittava nopeammin ja niiden laatua olisi parannettava. ( 38 ) Sidosryhmien mukaan suuntaviivat ovat usein liian teoreettisia ja liian pitkiä, eivätkä ne ole yleisen tietosuoja-asetuksen riskiperusteisen lähestymistavan mukaisia. ( 39 ) Tietosuojaviranomaisten ja tietosuojaneuvoston olisi annettava ytimekkäitä ja käytännönläheisiä ohjeita, joissa annetaan vastauksia konkreettisiin ongelmiin ja otetaan huomioon tietosuojan ja muiden perusoikeuksien välinen tasapaino. Ohjeiden olisi oltava helposti ymmärrettäviä myös sellaisten henkilöiden kannalta, joilla ei ole oikeusalan koulutusta ja jotka toimivat esimerkiksi pk-yrityksissä ja vapaaehtoisjärjestöissä. ( 40 ) Tämä voitaisiin toteuttaa lisäämällä suuntaviivojen laatimisen avoimuutta ja toteuttamalla kuulemisia varhaisessa vaiheessa, jotta saadaan parempi käsitys markkinoiden dynamiikasta, liiketoimintakäytännöistä ja siitä, miten suuntaviivoja sovelletaan käytännössä. ( 41 ) Myönteisenä pidetään, että tietosuojaneuvosto on osana vuosien 2024–2027 strategiaansa korostanut, että sen tavoitteena on antaa käytännön ohjeita, jotka ovat asiaankuuluvan yleisön saatavilla. ( 42 )

Sidosryhmät korostavat, että lisää suuntaviivoja tarvitaan erityisesti anonymisoinnista ja pseudonymisoinnista ( 43 ), oikeutetusta edusta ja tieteellisestä tutkimuksesta ( 44 ). Komissio kehotti vuoden 2020 kertomuksessa tietosuojaneuvostoa antamaan suuntaviivoja tieteellisestä tutkimuksesta, mutta ne ovat vielä antamatta. Tieteellisellä tutkimuksella on tärkeä merkitys yhteiskunnassa erityisesti tautien seurannan ja hoitojen kehittämisen sekä innovoinnin edistämisen kannalta. Siksi on olennaisen tärkeää, että tietosuojaviranomaiset selventävät näitä kysymyksiä viipymättä. ( 45 ) Viranomaisille olisi hyötyä myös ohjeista, joissa käsitellään niihin kohdistuvia erityishaasteita. ( 46 )

2.5Tietosuojaviranomaiset

2.5.1Riippumattomuus ja resurssit

Tietosuojaviranomaisten riippumattomuus on vahvistettu EU:n perusoikeuskirjassa ja Euroopan unionin toiminnasta tehdyssä sopimuksessa. Yleisessä tietosuoja-asetuksessa säädetään vaatimuksista, joilla varmistetaan, että tietosuojaviranomaiset toimivat ”täysin riippumattomasti”. ( 47 ) EU:n perusoikeusviraston raportissa todettiin, että suurin osa tietosuojaviranomaisista on toiminnallisesti riippumattomia hallituksesta, parlamentista tai muista julkisista elimistä. ( 48 )

Tietosuojaviranomaiset tarvitsevat riittävät tekniset, taloudelliset ja henkilöresurssit, jotta ne voivat hoitaa yleisen tietosuoja-asetuksen mukaiset tehtävänsä tuloksellisesti ja riippumattomasti. Komissio totesi vuoden 2020 kertomuksessa, että tietosuojaviranomaisten resursseja koskeva tilanne ei ollut vielä tyydyttävä, ja se on ottanut tämän kysymyksen johdonmukaisesti esiin jäsenvaltioiden kanssa. Tilanne on tämän jälkeen parantunut.

Näiden tilastojen perusteella tietosuojaviranomaisten resurssit ovat yleisesti ottaen kasvussa, mutta viranomaisten omasta mielestä niillä ei vieläkään ole riittäviä henkilöresursseja. ( 50 ) Viranomaiset korostavat, että ne tarvitsevat pitkälle erikoistunutta teknistä osaamista erityisesti uusien ja nousevien teknologioiden suhteen ( 51 ), koska tämän osaamisen puute vaikuttaa viranomaisten työn määrään ja laatuun, ja että niillä on vaikeuksia kilpailla henkilöresursseista yksityissektorin kanssa. Tietosuojaviranomaiset mainitsevat tuloksiinsa vaikuttaviksi tekijöiksi riittämättömän oikeudellisten tietojen tason ja kielitaidon puutteen. Viranomaisten kykyyn rekrytoida henkilöstöä ja pitää se palveluksessa vaikuttavat puolestaan erityisesti matala palkka, kyvyttömyys valita henkilöstöä itsenäisesti ja suuri työmäärä. ( 52 ) Tietosuojaviranomaiset korostavat myös tarvitsevansa taloudellisia resursseja, jotta ne voivat nykyaikaistaa ja digitalisoida prosessejaan ja hankkia teknisiä laitteita. ( 53 ) Kaikki tietosuojaviranomaiset hoitavat muitakin kuin yleisessä tietosuoja-asetuksessa ( 54 ) annettuja tehtäviä. Ne esimerkiksi toimivat lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta annetun direktiivin ja sähköisen viestinnän tietosuojadirektiivin valvontaviranomaisina. Monet myös ilmaisevat huolensa uusista vastuutehtävistä, joita uusi digitaalialan lainsäädäntö voi aiheuttaa niille. ( 55 )

2.5.2Ongelmat suurten valitusmäärien käsittelyssä

Useat tietosuojaviranomaiset katsovat, että liian paljon niiden resursseista kuluu siihen, että ne käsittelevät suuren määrän valituksia, joista useimmat ovat viranomaisten mukaan epäolennaisia ja perusteettomia. Tämä johtuu siitä, että jokaisen valituksen käsittely on yleisen tietosuoja-asetuksen mukainen velvoite, johon sovelletaan tuomioistuinvalvontaa. ( 56 ) Tämä tarkoittaa, että tietosuojaviranomaiset eivät voi osoittaa riittäviä resursseja muuhun toimintaan, kuten oma-aloitteisiin tutkimuksiin, tiedotuskampanjoihin ja rekisterinpitäjien kanssa tehtävään yhteistyöhön. ( 57 ) Viranomaisina tietosuojaviranomaisilla on harkintavalta kohdentaa resurssinsa parhaaksi katsomallaan tavalla, jotta ne voivat hoitaa kaikki (yleisen tietosuoja-asetuksen 57 artiklan 1 kohdassa luetellut) tehtävänsä yleisen edun mukaisesti. Monet tietosuojaviranomaiset ovat ottaneet käyttöön strategioita valitusten käsittelyn tehostamiseksi. Esimerkkejä näistä ovat automaatio ( 58 ), sovintoratkaisumenettelyjen käyttö ( 59 ) ja samankaltaisiin asioihin liittyvien valitusten ryhmittely ( 60 ).

2.5.3Miten kansalliset tietosuojaviranomaiset tulkitsevat yleistä tietosuoja-asetusta

Yleisen tietosuoja-asetuksen keskeisenä tavoitteena oli poistaa aiemman tietosuojadirektiivin (direktiivi 95/46/EY) aikana vallinnut hajanainen lähestymistapa tietosuojaan. ( 61 ) Tietosuojaviranomaiset antavat kuitenkin edelleen eriäviä tulkintoja tietosuojan keskeisistä käsitteistä. ( 62 ) Sidosryhmät pitävät tätä pääasiallisena esteenä yleisen tietosuoja-asetuksen yhdenmukaiselle soveltamiselle EU:ssa. Eriävät tulkinnat aiheuttavat oikeudellista epävarmuutta ja lisäävät yrityksille aiheutuvia kustannuksia (esimerkiksi koska useat jäsenvaltiot edellyttävät eri asiakirjoja), häiritsevät henkilötietojen vapaata liikkuvuutta EU:ssa, haittaavat rajatylittävää liiketoimintaa ja vaikeuttavat kiireellisiä yhteiskunnallisia haasteita koskevaa tutkimusta ja innovointia.

Sidosryhmät ovat tuoneet esiin muun muassa seuraavia ongelmia: i) kolmen jäsenvaltion tietosuojaviranomaiset ovat kaikki eri mieltä henkilötietojen käsittelyn asianmukaisesta oikeusperustasta kliinisen tutkimuksen suorittamisen yhteydessä, ii) siitä, onko toimija rekisterinpitäjä vai henkilötietojen käsittelijä, on usein eriäviä näkemyksiä ja iii) joissakin tapauksissa tietosuojaviranomaiset eivät noudata tietosuojaneuvoston suuntaviivoja tai julkaisevat kansallisen tason ohjeita, jotka ovat ristiriidassa tietosuojaneuvoston suuntaviivojen kanssa. ( 63 ) Nämä ongelmat pahenevat, kun useat tietosuojaviranomaiset samassa jäsenvaltiossa tekevät keskenään ristiriitaisia tulkintoja.

Jotkin sidosryhmät katsovat myös, että eräät tietosuojaviranomaiset ja tietosuojaneuvosto tekevät tulkintoja, jotka poikkeavat yleisen tietosuoja-asetuksen riskiperusteisesta lähestymistavasta. Tämä asettaa haasteita digitaalitalouden kehittämiselle ( 64 ) ja tiedotusvälineiden vapaudelle ja moniarvoisuudelle. Sidosryhmät pitävät huolenaiheina i) anonymisoinnin tulkintaa, ii) oikeutetun edun ja suostumuksen oikeusperustaa ( 65 ) ja iii) poikkeuksia automatisoitujen yksittäispäätösten kieltoon ( 66 ). On pidettävä mielessä, että tietosuojaviranomaisten ja tietosuojaneuvoston tehtävänä on varmistaa sekä luonnollisten henkilöiden suojelu henkilötietojen käsittelyn yhteydessä että henkilötietojen vapaa liikkuvuus EU:ssa. Kuten yleisessä tietosuoja-asetuksessa ( 67 ) vahvistetaan, oikeutta henkilötietojen suojaan on tarkasteltava suhteessa sen tehtävään yhteiskunnassa ja sen on suhteellisuusperiaatteen mukaisesti oltava oikeassa suhteessa muihin perusoikeuksiin.

2.5.4Yhteydenpito rekisterinpitäjien ja henkilötietojen käsittelijöiden kanssa

Sidosryhmät korostavat, että mahdollisuus käydä rakentavaa vuoropuhelua tietosuojaviranomaisten kanssa auttaa varmistamaan, että sidosryhmät noudattavat alusta alkaen yleistä tietosuoja-asetusta, erityisesti nousevien teknologioiden yhteydessä. Sidosryhmien mukaan toiset tietosuojaviranomaiset pitävät aktiivisesti yhteyttä rekisterinpitäjiin, kun taas toiset vastaavat hitaasti, antavat epämääräisiä vastauksia tai eivät vastaa lainkaan. ( 68 )

3Yleisen tietosuoja-asetuksen täytäntöönpano jäsenvaltioissa

3.1Kansallisen soveltamisen hajanaisuus

Yleinen tietosuoja-asetus on asetus, joten se on sellaisenaan sovellettavissa. Siinä kuitenkin edellytetään, että jäsenvaltiot antavat lainsäädäntöä tietyillä osa-alueilla, ja annetaan jäsenvaltioille mahdollisuus täsmentää sen soveltamista tietyillä osa-alueilla ( 69 ). Kun jäsenvaltiot antavat kansallisen tason lainsäädäntöä, niiden on toimittava yleisessä tietosuoja-asetuksessa säädettyjen edellytysten mukaisesti ja siinä säädettyjen rajoitusten puitteissa. Kuten vuonna 2020, sidosryhmät raportoivat ongelmista, jotka johtuvat kansallisten sääntöjen hajanaisuudesta tapauksissa, joissa jäsenvaltioilla on mahdollisuus täsmentää yleistä tietosuoja-asetusta. Tämä koskee erityisesti seuraavia asioita:

·lapsen suostumukseen sovellettava vähimmäisikä tietoyhteiskunnan palvelujen tarjoamiseksi kyseiselle lapselle ( 70 );

·jäsenvaltioiden käyttöönottamat lisäehdot, jotka koskevat geneettisten tietojen, biometristen tietojen tai terveystietojen käsittelyä ( 71 );

·rikostuomioihin ja rikoksiin liittyvien henkilötietojen käsittely ( 72 ), joka aiheuttaa ongelmia tietyillä säännellyillä aloilla.

On kuitenkin tärkeää huomata, että monien sidosryhmien mukaan hajanaisuuteen liittyvät ongelmat johtuvat pääasiassa siitä, että tietosuojaviranomaiset tulkitsevat yleistä tietosuoja-asetusta eri tavoin, eikä niinkään siitä, että jäsenvaltiot käyttävät valinnaisia täsmentäviä lausekkeita.

Jäsenvaltiot katsovat, että tietyssä määrin hajanaisuus voi olla hyväksyttävää ja että yleisessä tietosuoja-asetuksessa säädetyt täsmentävät lausekkeet ovat edelleen hyödyllisiä erityisesti viranomaisten suorittaman käsittelyn kannalta. ( 73 ) Yleisessä tietosuoja-asetuksessa edellytetään, että jäsenvaltiot kuulevat kansallista tietosuojaviranomaistaan valmistellessaan lainsäädäntöä, joka liittyy henkilötietojen käsittelyyn. ( 74 ) EU:n perusoikeusviraston raportissa todettiin, että jotkin hallitukset asettivat näille viranomaisille hyvin tiukat määräajat eivätkä joissakin tapauksissa kuulleet niitä lainkaan. ( 75 )

3.2Komission suorittama seuranta

Komissio seuraa jatkuvasti yleisen tietosuoja-asetuksen täytäntöönpanoa. Komissio on käynnistänyt jäsenvaltioita vastaan rikkomusmenettelyjä esimerkiksi tietosuojaviranomaisten riippumattomuudesta (muun muassa siitä, ettei viranomaisiin saa kohdistua ulkoista vaikutusta, ja oikeussuojakeinojen saatavuudesta irtisanomistilanteessa) ( 76 ) ja rekisteröityjen oikeudesta tehokkaisiin oikeussuojakeinoihin tilanteessa, jossa tietosuojaviranomainen ei ole käsitellyt valitusta ( 77 ). Osana toteuttamaansa seurantaa komissio pyytää myös, että tietosuojaviranomaiset toimittavat – ehdottoman luottamuksellisesti – säännöllisesti tietoa ( 78 ) meneillään olevista laajamittaisista rajatylittävistä tapauksista, erityisesti, kun ne koskevat suuria monikansallisia teknologiayrityksiä.

Komissio on säännöllisesti yhteydessä jäsenvaltioihin yleisen tietosuoja-asetuksen täytäntöönpanosta. Komissio on helpottanut edelleen keskusteluja ja kokemusten vaihtoa yleisen tietosuoja-asetuksen tehokkaasta täytäntöönpanosta yleistä tietosuoja-asetusta käsittelevän jäsenvaltioiden asiantuntijaryhmän ( 79 ) avulla vuoden 2020 kertomuksessa esitetyn mukaisesti. Asiantuntijaryhmä on käynyt keskusteluja i) tuomioistuinten lainkäyttötehtäviensä yhteydessä suorittaman käsittelyn valvonnasta (yleisen tietosuoja-asetuksen 55 artikla, perusoikeuskirjan 8 artikla), ii) henkilötietojen suojaa koskevan oikeuden ja sananvapautta koskevan oikeuden sovittamisesta yhteen (yleisen tietosuoja-asetuksen 85 artikla) ja iii) oikeudesta tehokkaisiin oikeussuojakeinoihin valvontaviranomaista vastaan (yleisen tietosuoja-asetuksen 78 artikla). Näiden keskustelujen tuloksena komissio on koonnut yleiskatsauksia toimintatavoista, joita jäsenvaltioissa noudatetaan kyseisten säännösten täytäntöönpanossa. ( 80 ) Komissio myös kävi ryhmän kautta vuoropuhelua jäsenvaltioiden kanssa valmistellessaan menettelysääntöjä koskevaa ehdotusta.

Sitä, täyttävätkö kansallinen lainsäädäntö ja toimintatapa Schengen-aluetta koskevassa EU:n lainsäädännössä vahvistettujen tietosuojasääntöjen vaatimukset, arvioidaan myös osana jäsenvaltioiden ja komission yhdessä toteuttamaa Schengen-arviointia. Vuosittain tehdään vähintään viisi paikalla toteutettavaa tietosuoja-arviointia, joissa keskitytään tällä hetkellä laaja-alaisiin tietojärjestelmiin, Schengenin tietojärjestelmään, viisumitietojärjestelmään sekä kansallisten tietosuojaviranomaisten näitä järjestelmiä koskevaan valvontatehtävään.

Komissio on aktiivisesti vaikuttanut siihen, että unionin tuomioistuimessa on käsiteltävänä paljon asioita (tuomioistuin on antanut viime vuosina noin 30 ennakkoratkaisua vuodessa). Unionin tuomioistuimella on keskeinen rooli yleisen tietosuoja-asetuksen keskeisten käsitteiden yhdenmukaisessa tulkitsemisessa. Sen kasvavassa oikeuskäytännössä on selvennetty esimerkiksi seuraavien käsitteiden määritelmiä: henkilötiedot ( 81 ), erityiset henkilötietoryhmät ( 82 ), rekisterinpitäjä ( 83 ), suostumus ( 84 ), oikeutettu etu ( 85 ), tiedonsaantioikeus ( 86 ), oikeus tietojen poistamiseen ( 87 ), oikeus korvauksen saamiseen ( 88 ), automatisoidut yksittäispäätökset ( 89 ), hallinnolliset seuraamusmaksut ( 90 ), tietosuojavastaavat ( 91 ), henkilötietojen julkaiseminen rekistereissä ( 92 ) ja yleisen tietosuoja-asetuksen soveltaminen parlamenttien toimintaan ( 93 ).

4Rekisteröityjen oikeudet

Yksilöt tuntevat yhä paremmin yleisen tietosuoja-asetuksen mukaiset oikeutensa ja käyttävät niitä aktiivisesti. ( 94 ) Tietosuojaviranomaiset osoittavat huomattavia resursseja siihen, että lisätään suuren yleisön tietoisuutta tietosuojaoikeuksista ja -velvoitteista, esimerkiksi toteuttamalla sosiaalisen median ja televisiokampanjoita, ylläpitämällä puhelinpalveluja, lähettämällä uutiskirjeitä ja pitämällä esityksiä oppilaitoksissa. ( 95 ) Moniin näistä aloitteista on saatu EU:n rahoitusta ( 96 ). EU:n perusoikeusvirasto toteaa, että suuren yleisön tietoisuus tietosuojasta on lisääntynyt, mutta tietosuojan ymmärtämisessä on edelleen puutteita, kuten suuri epäolennaisten tai perusteettomien valitusten määrä osoittaa. ( 97 ) Rekisteröidyn mahdollisuuksia käyttää oikeuksiaan on pyritty helpottamaan kehittämällä useita käyttäjäystävällisiä digitaalisia välineitä. ( 98 ) Säädösten, erityisesti datanhallinta-asetuksen ( 99 ), on tarkoitus luoda uusia tapoja, joilla rekisteröidyt voivat käyttää oikeuksiaan tulevaisuudessa. Yritysten mukaan poistamisoikeuden käyttö on lisääntynyt, kun taas oikaisuoikeutta ja vastustamisoikeutta käytetään harvoin.

4.1Tiedonsaantioikeus

Rekisterinpitäjien mukaan rekisteröityjen eniten käyttämä oikeus on oikeus saada tutustua tietoihin eli tiedonsaantioikeus (yleisen tietosuoja-asetuksen 15 artikla). Tietosuojaneuvosto antoi tätä oikeutta koskevat suuntaviivat vuonna 2022, mutta rekisterinpitäjät ovat edelleen ilmoittaneet haasteista esimerkiksi käsitteen ”perusteettomat ja kohtuuttomat pyynnöt” ( 100 ) tulkitsemisessa, kun vastataan suureen pyyntömäärään ja kun käsitellään pyyntöjä, jotka on tehty tietosuojaan liittymättömistä syistä, kuten todisteiden keräämiseksi oikeudenkäyntiä varten ( 101 ). Kansalaisjärjestöjen mukaan tiedonsaantipyyntöihin annetut vastaukset ovat usein myöhässä tai puutteellisia, eivätkä saadut tiedot ole aina luettavassa muodossa. ( 102 ) Viranomaiset toteavat, että tiedonsaantioikeuden ja asiakirjojen julkisuutta koskevien sääntöjen vuorovaikutukseen liittyy ongelmia. ( 103 ) Siksi on myönteistä, että tietosuojaneuvosto käynnisti helmikuussa 2024 koordinoidun valvontakehyksen yhteisen toimenpiteen tiedonsaantioikeudesta. ( 104 )

4.2Oikeus siirtää tiedot järjestelmästä toiseen

Komissio sitoutui vuoden 2020 kertomuksessa tutkimaan datastrategian mukaisesti käytännön keinoja helpottaa tietojen siirtämistä koskevan oikeuden käyttöä (yleisen tietosuoja-asetuksen 20 artikla). Komissio on sittemmin hyväksynyt useita aloitteita, joilla täydennetään tätä oikeutta. Aloitteilla helpotetaan palvelusta toiseen vaihtamista, mikä lisää yksilöiden valinnanvaraa, tukee kilpailua ja innovointia ja antaa yksilöille mahdollisuuden hyötyä omien tietojensa käytöstä. Datasäädöksessä säädetään älylaitteiden käyttäjien tehostetusta oikeudesta tällaisilla laitteilla tuotetun datan siirtämiseen järjestelmästä toiseen ja edellytetään, että tuotteen rakenne tai valmistajan tai datan haltijan taustajärjestelmä mahdollistaa tällaisen siirrettävyyden teknisesti. Digimarkkinasäädöksessä edellytetään, että portinvartijoiksi määritellyt ydinalustapalvelujen tarjoajat mahdollistavat käyttäjien tietojen tosiasiallisen siirrettävyyden, esimerkiksi tarjoamalla jatkuvan ja reaaliaikaisen pääsyn tällaisiin tietoihin. Useissa muissa komission aloitteissa, joista neuvotellaan parhaillaan tai joista on päästy poliittiseen yhteisymmärrykseen, parannetaan oikeutta tietojen siirtämiseen järjestelmästä toiseen tietyissä asiayhteyksissä. Tällaisia aloitteita ovat esimerkiksi alustatyödirektiivi ( 105 ), eurooppalainen terveysdata-avaruus ( 106 ) ja rahoitusdatan saatavuutta koskeva kehys ( 107 ).

4.3Oikeus tehdä valitus

Kuten valitusten suuri määrä osoittaa, oikeus tehdä valitus tietosuojaviranomaiselle on laajasti tiedossa. Kansalaisjärjestöt korostavat, että valitusten käsittelyä koskevissa kansallisissa käytännöissä on perusteettomia eroja. Komissio on puuttunut tähän ongelmaan menettelysääntöjä koskevassa ehdotuksessa. Harva jäsenvaltio on käyttänyt yleisen tietosuoja-asetuksen mukaista mahdollisuutta säätää, että voittoa tavoittelemattomalla järjestöllä on oikeus ryhtyä toimenpiteisiin rekisteröidyn valtuutuksesta riippumatta (80 artiklan 2 kohta). Vuonna 2020 annetulla edustajakanteita koskevalla direktiivillä ( 108 ) kuitenkin yhdenmukaistetaan tilannetta helpottamalla yksilöiden mahdollisuuksia nostaa ryhmäkanteita tapauksissa, joissa yleistä tietosuoja-asetusta rikotaan. Kansallisia toimenpiteitä direktiivin täytäntöönpanemiseksi alettiin soveltaa kesäkuussa 2023.

4.4Lasten henkilötietojen suojelu

Lasten henkilötietojen käsittelyyn on sovellettava erityistä suojaa. ( 109 ) Yleinen tietosuoja-asetus on osa kattavaa oikeudellista kehystä, jolla varmistetaan, että lapsia suojellaan sekä verkossa että sen ulkopuolella. ( 110 ) Lapset toimivat yhä enemmän verkkomaailmassa, minkä vuoksi EU:n ja kansallisella tasolla on viime vuosina toteutettu useita toimia, joilla tuetaan lasten suojelemista verkossa. Tietosuojaviranomaiset ovat määränneet sosiaalisen median yrityksille merkittäviä sakkoja yleisen tietosuoja-asetuksen rikkomisesta lasten tietojen käsittelyssä. Ne myös tekevät yhteistyötä muiden viranomaisten kanssa vaatiakseen lasten parempaa suojelua mainonnan alalla. Komissio kehotti vuoden 2020 kertomuksessa tietosuojaneuvostoa antamaan suuntaviivoja lasten henkilötietojen käsittelystä. Tämä työ on parhaillaan meneillään. ( 111 ) Digipalvelusäädös sisältää nimenomaisia säännöksiä, joilla varmistetaan verkkoalustoja käyttävien lasten korkea yksityisyyden suojan ja turvallisuuden taso.

Jotkin sidosryhmät ovat ilmoittaneet, että rekisteröityjen oikeuksien käyttöön liittyy haasteita, kun rekisteröidyt ovat lapsia. Sidosryhmät toteavat erityisesti, että lapset eivät täysin ymmärrä oikeuksiaan, heidän digitaalisessa lukutaidossaan on puutteita ja heihin voi kohdistua epäasianmukaista vaikuttamista. ( 112 ) Komissio on rahoittanut useita kansallisen tason aloitteita, jotka koskevat lasten tietojen suojaa ja joilla lisätään lasten tietoisuutta tietosuojasta. ( 113 ) Komissio tarjoaa Parempi internet lapsille -strategian (BIK+) puitteissa lapsille tietoisuuden lisäämiseen tarkoitettuja resursseja ja koulutuksia heidän digitaalisista oikeuksistaan, tietosuoja mukaan luettuna (esimerkiksi digitaalinen suostumus). ( 114 ) On myös pantu merkille, että iän todentamiseen tarvitaan toimivia ja yksityisyydensuojaa noudattavia välineitä. Komissio perusti vuoden 2024 alkupuolella jäsenvaltioiden, tietosuojaneuvoston ja audiovisuaalisten mediapalvelujen eurooppalaisten sääntelyviranomaisten ryhmän kanssa iän todentamista käsittelevän työryhmän, jossa on tarkoitus keskustella EU:n laajuisista iän todentamista koskevista toimintatavoista ja tukea niiden kehittämistä. Tätä työtä jatketaan nyt digipalvelusäädöksellä perustetun lautakunnan puitteissa alaikäisten suojelua käsittelevässä työryhmässä. Komissio pyrkii varmistamaan toukokuussa 2024 voimaan tulleen eurooppalaista digitaalista identiteettiä koskevan asetuksen ( 115 ) myötä, että kaikille EU:n kansalaisille ja asukkaille tarjotaan vuonna 2026 eurooppalainen digitaalisen identiteetin lompakko, jota voidaan käyttää myös iän todentamiseen. Tällä välin, kunnes lompakon edellyttämä ekosysteemi on täysin toimintavalmis, iän todentamista varten kehitetään lyhyen aikavälin ratkaisu, joka tulee saataville kaikkialla EU:ssa.

5Organisaatioiden, erityisesti pk-yritysten, mahdollisuudet ja haasteet

Yleisellä tietosuoja-asetuksella on luotu tasapuoliset toimintaedellytykset sisämarkkinoilla toimiville yrityksille, ja sen teknologianeutraali ja innovaatiomyönteinen lähestymistapa auttaa yrityksiä vähentämään byrokratiaa ja hyödyntämään lisääntyvää kuluttajien luottamusta. ( 116 ) Monet yritykset ovat kehittäneet yrityksen sisäisen tietosuojakulttuurin ja pitävät yksityisyyttä ja tietosuojaa keskeisinä kilpailutekijöinä. Yritykset arvostavat yleisen tietosuoja-asetuksen riskiperusteista lähestymistapaa ohjaavana periaatteena, joka mahdollistaa niihin kohdistuvien velvoitteiden joustavuuden ja skaalautuvuuden. ( 117 )

5.1Yrityksille tarkoitettu välineistö

Yleinen tietosuoja-asetus tarjoaa useita välineitä, kuten käytännesääntöjä, sertifiointimekanismeja ja vakiosopimuslausekkeita, joiden avulla organisaatiot voivat joustavasti hallita tietosuojasääntöjen noudattamista ja osoittaa sen. Kuten vuoden 2020 kertomuksessa ilmoitettiin, komissio hyväksyi vuonna 2021 vakiosopimuslausekkeet rekisterinpitäjän ja tietojen käsittelijän välistä suhdetta varten ( 118 ). Nämä vakiosopimuslausekkeet tarjoavat valmiin ja helppokäyttöisen vapaaehtoisen välineen, jolla yritykset voivat osoittaa noudattavansa sääntöjä. Se on erityisen hyödyllinen pk-yrityksille tai organisaatioille, joilla ei välttämättä ole resursseja neuvotella erillisiä sopimuksia kaupallisten kumppaneidensa kanssa. Yritysten antama palaute vakiosopimuslausekkeiden käytöstä on vaihtelevaa: osa yrityksistä (pääosin pk-yrityksiä) käyttää niitä kokonaan tai osittain, kun taas osa (pääosin suuria yrityksiä) ei yleensä käytä niitä, koska ne käyttävät mieluummin omia lausekkeitaan.

Yritykset korostavat, että käytännesäännöillä on paljon potentiaalia toimia alakohtaisena ja kustannustehokkaana sääntöjen noudattamisen välineenä. ( 119 ) Käytännesääntöjä on kuitenkin laadittu vähän. ( 120 ) Tähän mennessä saatavilla olevien tietojen mukaan käytännesääntöjä on hyväksytty EU:n tasolla vain kaksi (molemmat pilvipalvelualalla) ja kansallisella tasolla kuusi ( 121 ). Sidosryhmien mukaan käytännesääntöjen käyttöönottoa rajoittavat pääasiassa työläät vaatimukset (kuten tarve perustaa akkreditoitu valvontaelin), tietosuojaviranomaisten osallistumisen puute ja pitkä hyväksymisprosessi. ( 122 )

On tarpeen lisätä prosessin avoimuutta ja määrittää selkeät hyväksymistä koskevat määräajat. Tietosuojaviranomaisten – ja EU:n laajuisten käytännesääntöjen osalta tietosuojaneuvoston – olisi edistettävä aktiivisemmin käytännesääntöjen laatimista tekemällä yhteistyötä niitä laativien järjestöjen kanssa. Tämä auttaa poistamaan tulkintaeroja ja nopeuttamaan hyväksymisprosessia. Sidosryhmät pitävät valitettavana käytännesääntöjen hyväksymisen pitkiä viipeitä, jotka johtuvat siitä, että asioista keskustellaan samanaikaisesti suuntaviivoja koskevan työn yhteydessä. Vastaavasti yritykset ilmoittavat, että sertifiointia ei käytetä laajasti, koska sen kehittämiseen liittyvä prosessi on hidas ja monimutkainen. Kuten käytännesääntöjen tapauksessa, tietosuojaviranomaisten olisi määritettävä selkeämmät määräajat myös sertifiointien tarkastelulle ja hyväksymiselle.

Tietosuojaneuvosto on vuosien 2024–2027 strategiassaan sitoutunut tukemaan edelleen sääntöjen noudattamista edistäviä toimenpiteitä, kuten sertifiointia ja käytännesääntöjä, muun muassa selittämällä keskeisille sidosryhmille, miten näitä välineitä voidaan käyttää. ( 123 )

5.2Pk-yritysten ja pienten toimijoiden erityishaasteet

Komissio kehotti vuoden 2020 kertomuksessa tehostamaan toimia, joilla helpotetaan yleisen tietosuoja-asetuksen noudattamista pk-yrityksissä. Tietosuojaviranomaiset ja tietosuojaneuvosto ovat viime vuosina edelleen kehittäneet pk-yrityksille suunnattuja välineitä, joilla ne voivat osoittaa noudattavansa vaatimuksia, osittain komission rahoituksen ( 124 ) tuella. Tietosuojaneuvosto julkaisi huhtikuussa 2023 tietosuojaoppaan pienyrityksille ( 125 ). Siinä annetaan pk-yrityksille käytännön tietoa helposti saatavilla olevassa ja ymmärrettävässä muodossa.

Monissa jäsenvaltioissa pk-yritykset korostavat hyötyvänsä paikallisten tietosuojaviranomaisten räätälöidystä tuesta. Tietosuojaviranomaisten vaihtelevat tietoisuuden lisäämistä ja ohjeita koskevat toimintatavat kuitenkin tarkoittavat, että tietyissä jäsenvaltioissa pk-yritykset pitävät sääntöjen noudattamista monimutkaisena ja pelkäävät noudattamisen valvontaa. ( 126 ) Tietosuojaviranomaisten olisi tehostettava toimiaan näihin haasteisiin vastaamiseksi muun muassa olemalla pk-yrityksiin yhteydessä ennakoivasti, jotta voidaan vähentää perusteettomia sääntöjen noudattamiseen liittyviä huolenaiheita. Tietosuojaviranomaisten olisi keskityttävä tarjoamaan räätälöityä tukea ja käytännön välineitä, kuten malleja (esimerkiksi tietosuojaa koskevien vaikutustenarviointien suorittamista varten), puhelinpalveluja, havainnollistavia esimerkkejä, tarkistuslistoja sekä ohjeita, jotka koskevat tiettyjä käsittelytoimia (esimerkiksi laskutusta tai uutiskirjeitä) ja teknisiä ja organisatorisia toimenpiteitä. Useimmilla pk-yrityksillä ei ole yrityksen sisäistä tietosuoja-asiantuntemusta, joten pk-yrityksille suunnattujen ohjeiden olisi oltava myös sellaisten henkilöiden helposti ymmärrettävissä, joilla ei ole oikeusalan koulutusta. ( 127 )

Yleisen tietosuoja-asetuksen riskiperusteisen lähestymistavan mukaisesti niille pk-yrityksille, joiden käsittelytoimet ovat vähäriskisiä, ei aiheudu asetuksen noudattamisesta merkittävää rasitetta. Selosteen ylläpitämistä käsittelytoimista koskevaa poikkeusta ( 128 ) sovelletaan rajatuissa olosuhteissa ( 129 ), ja pk-yritykset, joiden käsittelytoimet ovat vähäriskisiä, voivat täyttää yleisen tietosuoja-asetuksen vaatimukset ylläpitämällä yksinkertaistettua selostetta, joka perustuu tietosuojaviranomaisten antamiin malleihin. Lisäksi tällaiset selosteet tarjoavat pk-yrityksille hyödyllisen välineen käsittelytoimiensa arvioimiseen.

5.3Tietosuojavastaavat

Tietosuojavastaavilla on tärkeä tehtävä sen varmistamisessa, että heidän organisaatioissaan noudatetaan yleistä tietosuoja-asetusta. Yleisesti ottaen EU:ssa toimivilla tietosuojavastaavilla on yleisen tietosuoja-asetuksen mukaisten tehtäviensä hoitamiseen tarvittavat tiedot ja taidot, ja heidän riippumattomuuttaan kunnioitetaan. ( 130 ) Tietosuojavastaavien toimintaan liittyy kuitenkin edelleen muun muassa seuraavia haasteita: i) vaikeudet sellaisten tietosuojavastaavien nimittämisessä, joilla on vaadittu asiantuntemus, ii) EU:n laajuisten koulutusta koskevien normien puuttuminen, iii) tietosuojavastaavien riittämätön integrointi organisaation prosesseihin, iv) resurssien puute, v) tietosuojaan liittymättömät lisätehtävät ja vi) riittämätön kokemus. ( 131 ) Tietosuojaneuvosto totesi, että tietosuojaviranomaisten on tehostettava tiedotustoimia ja täytäntöönpanotoimia sen varmistamiseksi, että tietosuojavastaavat kykenevät hoitamaan yleisen tietosuoja-asetuksen mukaiset tehtävänsä. ( 132 )

6Yleinen tietosuoja-asetus EU:n digitaalista ympäristöä koskevan politiikan kulmakivenä

6.1Yleiseen tietosuoja-asetukseen perustuva digitaalipolitiikka

Komissio sitoutui vuoden 2020 kertomuksessa tukemaan tietosuojakehyksen yhdenmukaista soveltamista uusiin teknologioihin innovoinnin ja teknologisen kehityksen edistämiseksi. EU on sittemmin hyväksynyt useita aloitteita, joilla täydennetään yleistä tietosuoja-asetusta tai täsmennetään, miten sitä olisi sovellettava tietyillä aloilla, tiettyjen tavoitteiden saavuttamiseksi. Näitä aloitteita kuvataan seuraavaksi.

·Digipalvelusäädöksen ( 133 ) tavoitteena on tarjota turvallinen verkkoympäristö yksilöille ja yrityksille. Siinä kielletään verkkoalustoja esittämästä mainoksia sellaisen profiloinnin perusteella, jossa käytetään yleisessä tietosuoja-asetuksessa määriteltyjä erityisiä henkilötietoryhmiä.

·Digimarkkinasäädöksen ( 134 ) tavoitteena on lisätä digitaalisten markkinoiden oikeudenmukaisuutta ja kilpailullisuutta. Siinä kielletään portinvartijoiksi nimettyjä toimijoita yhdistämästä ja käyttämästä ristiin henkilötietoja ydinalustapalvelujen ja muiden palvelujen välillä, jollei käyttäjä ole antanut suostumustaan yleisessä tietosuoja-asetuksessa tarkoitetulla tavalla.

·Tekoälysäädöksessä ( 135 ) täsmennetään EU:n tietosuojasääntöjä tietyillä aloilla, joilla käytetään tekoälyä. Tällaisia ovat esimerkiksi biometriset etätunnistusjärjestelmät, erityisten henkilötietoryhmien käsittely vinoutumien havaitsemiseksi ja henkilötietojen jatkokäsittely sääntelyn testiympäristöissä.

·Alustatyödirektiivillä ( 136 ) täydennetään yleistä tietosuoja-asetusta työllisyysasioissa. Siinä vahvistetaan säännöt, joita sovelletaan työtä välittävien digitaalisten alustojen käyttämiin automatisoituihin seuranta- ja päätöksentekojärjestelmiin ja erityisesti henkilötietojen käsittelyä koskeviin rajoituksiin, läpinäkyvyyteen, ihmisten suorittamaan seurantaan ja tarkistamiseen ja siirrettävyyteen.

·Poliittista mainontaa koskevalla asetuksella ( 137 ) kielletään erityisten henkilötietoryhmien käyttö poliittisessa mainonnassa ja edellytetään, että käytettyjen vaikutuksen voimistamiseen tähtäävien ja kohdentamistekniikoiden avoimuutta lisätään.

·Eurooppalaista digitaalista identiteettiä koskeva asetus mahdollistaa yleisen, luotettavan ja turvallisen eurooppalaisen digitaalisen identiteetin lompakon käyttöönoton. Sen avulla yksilöt voivat todentaa henkilöllisyyteensä liittyviä attribuutteja, kuten ikä, ajokortit, luvat, todistukset ja pankkitilit, niin, että heillä on täysi määräysvalta tietoihinsa ja ilman että tietoja jaetaan tarpeettomasti.

Ehdotuksesta sähköisen viestinnän tietosuoja-asetukseksi ( 138 ) on neuvoteltu useita vuosia. Asetuksella on tarkoitus korvata nykyinen sähköisen viestinnän tietosuojadirektiivi ( 139 ) ja täydentää yksityisyyden suojaa ja tietosuojaa koskevaa lainsäädäntökehystä. On syytä pohtia tämän aloitteen seuraavia vaiheita, myös sen suhdetta yleiseen tietosuoja-asetukseen.

Yhteentoimiva Eurooppa -säädöksen ( 140 ) tavoitteena on tehdä digitaalisista julkisista palveluista yhteentoimivia koko EU:ssa. Sillä tuetaan tietosuojaviranomaisten välistä yhteistyötä erityisesti yhteentoimivuuden sääntelyn testiympäristöjen avulla.

Useissa EU:n aloitteissa tarjotaan oikeusperusta yksityisten elinten suorittamalle henkilötietojen käsittelylle rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten. Tällaisen lainsäädännön on oltava huolellisesti kohdennettua, jotta minimoidaan puuttuminen henkilötietojen suojaa koskevaan oikeuteen, ja oikeassa suhteessa tavoitteeseen nähden. ( 141 ) EU:n perusoikeuskirja, yleinen tietosuoja-asetus ja unionin tuomioistuimen oikeuskäytäntö muodostavat kehyksen, jota vastaan näitä aloitteita olisi arvioitava. Ehdotettu rahanpesun torjuntaa koskeva paketti ( 142 ) sisältää merkittäviä henkilötietojen suojaa koskevia suojatoimia, mutta niillä ei vaaranneta tavoitetta vähentää rahanpesuun ja terrorismin rahoitukseen liittyviä riskejä ja havaita tehokkaasti rikokset, joissa yritetään käyttää väärin EU:n rahoitusjärjestelmää.

Neuvosto on tässä yhteydessä korostanut, että mahdollisen uuden EU:n lainsäädännön, joka sisältää henkilötietojen käsittelyä koskevia säännöksiä, olisi oltava yhdenmukainen yleisen tietosuoja-asetuksen ja unionin tuomioistuimen oikeuskäytännön kanssa.

6.2Oikeudellinen kehys datan jakamisen lisäämiseksi

Datastrategian tavoitteena on luoda datan sisämarkkinat, joilla tiedot liikkuvat vapaasti EU:ssa ja eri aloilla yritysten, tutkijoiden ja julkishallintojen hyödyksi. Datastrategian keskeisenä tavoitteena on luoda yhteisiä eurooppalaisia data-avaruuksia, jotka helpottavat datan käyttöä, yhdistämistä ja jakamista. Yleinen tietosuoja-asetus tarjoaa henkilötietojen osalta kehyksen kaikille aloitteille, joilla pyritään parantamaan tietojen vapaata liikkuvuutta EU:ssa – joka on itsessään yleisen tietosuoja-asetuksen tavoite. Yleisen tietosuoja-asetuksen tarjoamaan suojaan ei henkilötietojen osalta puututa.

Datastrategian pilareita ovat datanhallinta-asetus ( 143 ) ja datasäädös ( 144 ). Datanhallinta-asetuksessa määritetään konkreettiset säännöt henkilötietoja sisältävien julkisen sektorin tietojen uudelleenkäytölle ja vahvistetaan datan välityspalveluja koskeva oikeudellinen kehys. Datan välityspalveluihin sisältyvät myös henkilötietojen hallintajärjestelmät (PIMS) tai omat datapilvet, joiden tarkoituksena on lisätä rekisteröityjen vaikutusmahdollisuuksia yleisen tietosuoja-asetuksen mukaisten oikeuksien käytössä. Lisäksi datanhallinta-asetuksessa vahvistetaan edellytykset datan käytölle altruistisiin tarkoituksiin. Datasäädöksellä vahvistetaan rekisteröityjen määräysvaltaa dataan, jota he tuottavat käyttämällä omistamiaan, vuokraamiaan tai liisaamiaan älyesineitä, säätämällä dataan pääsyä ja siirrettävyyttä koskevista teknisistä vaatimuksista.

Eurooppalaisessa terveysdata-avaruudessa ( 145 ) otetaan huomioon terveystietojen käsittelyyn liittyvät tunnistetut erityistarpeet, minkä lisäksi se perustuu yleiseen tietosuoja-asetukseen. Eurooppalaisen terveysdata-avaruuden avulla yksilöt voivat helposti tarkastella terveystietojaan sähköisessä muodossa ja jakaa ne terveydenhuollon ammattihenkilöille, myös muissa jäsenvaltioissa. Tämä parantaa terveydenhuollon toteuttamista ja potilaiden mahdollisuuksia hallita tietojaan. Lisäksi säädöksessä otetaan käyttöön yhteinen oikeudellinen kehys terveystietojen uudelleenkäytölle tutkimusta, innovointia ja kansanterveyttä varten terveystietoihin pääsystä vastaavan elimen myöntämän luvan perusteella. Henkilötietojen suojan varmistamiseksi eurooppalaisessa terveysdata-avaruudessa luodaan luotettava ympäristö turvatulle pääsylle terveystietoihin ja niiden käsittelylle. Komissio tukee edelleen yhteisten eurooppalaisten data-avaruuksien kehittämistä 14 alalla panemalla täytäntöön uuden lainsäädäntökehyksen ja rahoittamalla alakohtaisia aloitteita.

6.3Uusien digitaalialan sääntöjen hallinnointi

Digitaalialan säädösten laatiminen lisää tarvetta sääntelyn eri alojen väliseen tiiviiseen yhteistyöhön. ( 146 ) Tällainen yhteistyö on sitäkin välttämättömämpää, koska tietosuoja-asiat ovat yhä useammin vuorovaikutuksessa esimerkiksi kilpailulainsäädäntöön, kuluttajaoikeuteen, digitaalisia markkinoita koskeviin sääntöihin, sähköisen viestinnän sääntelyyn ja kyberturvallisuuteen liittyvien kysymysten kanssa. Näin on esimerkiksi arvioitaessa maksamista tai suostumuksen antamista koskevien ”pay or OK” -mallien yhteensopivuutta EU:n lainsäädännön kanssa.

Joissakin tapauksissa tietosuojaviranomaisten tehtävänä on valvoa uuden EU:n digitaalialan lainsäädännön tiettyjen säännösten noudattamista. ( 147 ) Uusilla digitaalialan säädöksillä luodaan myös yksilöllisiä rakenteita, joissa kootaan yhteen toimivaltaisia sääntelyviranomaisia johdonmukaisen täytäntöönpanon valvonnan varmistamiseksi. Tällaisia rakenteita ovat esimerkiksi digimarkkinasäädöksen korkean tason ryhmä, Euroopan datainnovaatiolautakunta (joka on perustettu datanhallinta-asetuksella) ja Euroopan digitaalisten palvelujen lautakunta (joka on perustettu digipalvelusäädöksellä). NIS 2 -direktiivissä ( 148 ) vahvistetaan yksityiskohtaisemmat säännöt sääntelyviranomaisten ja tietosuojaviranomaisten yhteistyölle henkilötietojen tietoturvaloukkauksiin johtaneiden turvallisuuspoikkeamien käsittelyssä.

Näiden virallisten rakenteiden ulkopuolella tietosuojaviranomaiset pyrkivät varmistamaan, että niiden toimet täydentävät muita sääntelyaloja ja ovat johdonmukaisia niiden kanssa. Kuluttaja- ja tietosuojaviranomaiset perustivat heinäkuussa 2020 vapaaehtoisista koostuvan ryhmän määrittämään parhaita käytäntöjä ja vaihtamaan kokemuksia noudattamisen valvonnasta. Tietosuojaviranomaiset osallistuvat edelleen yhteisiin työpajoihin kuluttajansuojan yhteistyöverkoston kanssa. Vuonna 2023 tietosuojaneuvosto perusti työryhmän, joka käsittelee tietosuojan, kilpailun ja kuluttajansuojan vuorovaikutusta.

Vaikka tämä kehitys on myönteistä, tarvitaan jäsennellympiä ja tehokkaampia keinoja tehdä yhteistyötä erityisesti sellaisiin tilanteisiin puuttumiseksi, jotka vaikuttavat suureen määrään yksilöitä EU:ssa ja koskettavat useita sääntelyviranomaisia. ( 149 ) Kaikissa tällaisissa rakenteissa olisi varmistettava, että viranomaiset ovat edelleen aina vastuussa kaikista kysymyksistä, jotka koskevat sääntöjen noudattamista niiden toimivaltaan kuuluvilla aloilla. Jäsenvaltioiden olisi myös varmistettava, että kansallisella tasolla tehdään asianmukaista yhteistyötä. ( 150 )

7Kansainväliset siirrot ja maailmanlaajuinen yhteistyö

7.1Yleisen tietosuoja-asetuksen tiedonsiirtoa koskeva välineistö

Tietovirroista on tullut olennainen osa yhteiskunnan digitalisaatiota ja talouden globalisaatiota. Yksityisyyden suojan noudattaminen on entistä tärkeämpää ja vakaiden, turvallisten ja kilpailukykyisten kauppavirtojen edellytys. Se myös mahdollistaa monenlaisen kansainvälisen yhteistyön. Yleisen tietosuoja-asetuksen tiedonsiirtoa koskeva V luku sisältää useita välineitä, joita voidaan käyttää eri siirtoskenaarioissa ja joilla varmistetaan, että tietosuojan taso säilyy korkeana, kun tiedot siirretään pois EU:sta. 

Vuoden 2020 kertomuksen jälkeen EU:n tietosuojalainsäädännössä säädettyjä tiedonsiirtoihin sovellettavia vaatimuksia on selvennetty ja välineistöä on kehitetty edelleen. Tärkeä selvennys on tehty kansainvälisten siirtojen käsitteeseen. Tietosuojaneuvoston määritelmän ( 151 ) mukaan käsite kattaa kaiken henkilötietojen luovutuksen, jossa rekisterinpitäjä tai henkilötietojen käsittelijä, jonka suorittamaan käsittelyyn sovelletaan yleistä tietosuoja-asetusta, luovuttaa tiedot kolmannessa maassa sijaitsevalle rekisterinpitäjälle tai henkilötietojen käsittelijälle riippumatta siitä, sovelletaanko jälkimmäisten suorittamaan käsittelyyn yleistä tietosuoja-asetusta. ( 152 ) Nämä tietosuojaneuvoston ohjeet olivat erityisen tärkeitä, jotta eurooppalaisille rekisterinpitäjille ja henkilötietojen käsittelijöille voitiin antaa oikeusvarmuus skenaarioissa, joissa tiedonsiirtoon on sovellettava jotain yleisen tietosuoja-asetuksen V luvun mukaista välinettä.

Unionin tuomioistuin on myös asiassa Schrems II antamassaan tuomiossa ( 153 ) selventänyt suojaa, joka tiedonsiirtoon sovellettavien eri välineiden on tarjottava, jotta varmistetaan, ettei yleisen tietosuoja-asetuksen takaamaa suojan tasoa heikennetä ( 154 ). Välineillä on erityisesti varmistettava, että henkilöille, joiden tietoja siirretään EU:n ulkopuolelle, tarjotaan olennaisilta osin unionissa taattua tasoa vastaava henkilötietojen suoja. ( 155 ) EU:hun sijoittautuneen tietojen viejän vastuulla on arvioida, toteutuuko tämä, kun otetaan huomioon sen suorittamien tiedonsiirtojen ominaispiirteet. ( 156 )

Suojan tasoa arvioidessaan tietojen viejän on otettava huomioon sekä EU:n ulkopuolelle sijoittautuneen tietojen tuojan kanssa sovitussa tiedonsiirtoon sovellettavassa välineessä (esimerkiksi sopimuksessa) määritetyt tietosuojaa koskevat suojatoimet että tietojen tuojan sijoittautumisvaltion oikeusjärjestelmän merkitykselliset osat, jotka koskevat erityisesti kyseisen maan viranomaisten mahdollisuuksia päästä tietoihin. ( 157 ) Jälkimmäistä asiaa on arvioitava yleisen tietosuoja-asetuksen 45 artiklassa säädettyjen tietosuojan riittävyyden arviointia koskevien kriteerien perusteella. Unionin tuomioistuin on myös tarkentanut näitä kriteereitä, erityisesti sääntöjä, jotka koskevat viranomaisten oikeutta saada henkilötietoja lainvalvontaan ja kansalliseen turvallisuuteen liittyvissä tapauksissa.

Tämä tulkinta on otettu huomioon myös tietosuojaneuvoston ohjeissa, ja tietosuojaneuvosto on päivittänyt tietosuojan riittävyyden viitearvojaan ( 158 ) (ohjeita tekijöistä, jotka komission on otettava huomioon tehdessään tietosuojan riittävyyttä koskevia arviointeja). Tietosuojaneuvosto on myös antanut uusia ohjeita, joissa selvennetään seuraavia seikkoja: i) tekijät, jotka tietojen viejien on otettava huomioon arvioidessaan suojan tasoa, ii) yleiskatsaus mahdollisista lähteistä, joita voidaan käyttää, ja iii) esimerkkejä mahdollisista lisätoimenpiteistä (esimerkiksi sopimusperusteiset tai tekniset suojatoimet). ( 159 ) Ohjeissa korostetaan erityisesti, että kukin tietojen viejien tekemä arviointi on yksilöllinen ja että viejien on näin ollen otettava huomioon kunkin tiedonsiirron erityispiirteet, joissa voi olla eroja muun muassa sen mukaan, mitä tarkoitusta varten tietoja siirretään, minkä tyyppisiä tahoja siihen osallistuu, millä sektorilla siirto tehdään ja mitä henkilötietoryhmiä siirretään. ( 160 )

Kun otetaan huomioon nämä kansainvälisiä tiedonsiirtoja koskeviin vaatimuksiin tehdyt erilaiset selvennykset, yleisen tietosuoja-asetuksen tiedonsiirtoon sovellettavien välineiden kehittämisessä ja käyttöönottamisessa on edistytty viime vuosina merkittävästi.

7.1.1Tietosuojan riittävyyttä koskevat päätökset

Kuten myös sidosryhmiltä saadusta palautteesta käy ilmi, tietosuojan riittävyyttä koskevat päätökset ovat edelleen keskeisiä tiedonsiirtoon sovellettavia välineitä ( 161 ) yleisen tietosuoja-asetuksen puitteissa, koska ne tarjoavat selkeän ja kattavan tiedonsiirtoja koskevan ratkaisun, jossa tietojen viejältä ei edellytetä ylimääräisiä suojatoimia tai luvan hakemista. Mahdollistamalla henkilötietojen vapaan liikkuvuuden nämä päätökset ovat avanneet kaupallisia kanavia EU:n toimijoille muun muassa täydentämällä ja vahvistamalla kauppasopimusten tuomia etuja. Lisäksi ne ovat helpottaneet yhteistyötä ulkomaisten kumppaneiden kanssa monilla aloilla sääntely-yhteistyöstä tutkimukseen.

Vuoden 2020 kertomuksen jälkeen yhä useampi maa on ottanut käyttöön uudenaikaisia tietosuojalakeja, joissa säädetään muun muassa keskeisistä tietosuojaperiaatteista, yksilön oikeuksista ja riippumattomien sääntelyviranomaisten tehokkaasta täytäntöönpanon valvonnasta. Tämä suuntaus ( 162 ) on myös antanut komissiolle mahdollisuuden tehostaa tietosuojan riittävyyttä koskevaa työtään. Komissio on muun muassa antanut Yhdistyneen kuningaskunnan tietosuojan riittävyyttä koskevan päätöksen ( 163 ), joka on keskeinen sen varmistamiseksi, että useat Yhdistyneen kuningaskunnan kanssa brexitin jälkeen tehdyt sopimukset toimivat moitteettomasti. Jotta tietosuojan riittävyyttä koskeva päätös täyttää tulevaisuuden vaatimukset, se sisältää päättymis- tai tarkistuslausekkeen, jossa säädetään, että päätöksen voimassaolo päättyy vuonna 2025. Päätöksen voimassaoloa voidaan tämän jälkeen jatkaa, jos suojan taso on edelleen riittävä. Komissio antoi myös Korean tasavallan tietosuojan riittävyyttä koskevan päätöksen ( 164 ), jolla täydennetään EU:n ja Korean vapaakauppasopimusta henkilötietojen siirtämisen osalta ja helpotetaan sääntely-yhteistyötä. Tietosuojan riittävyyttä koskevan päätöksen ensimmäinen tarkastelu on määrä toteuttaa vuoden 2024 loppupuolella.

Sen jälkeen, kun EU:n ja Yhdysvaltojen välisestä Privacy Shield -järjestelystä annettu tietosuojan riittävyyttä koskeva päätös mitätöitiin, komissio myös aloitti neuvottelut Yhdysvaltojen hallituksen kanssa uudesta järjestelystä, joka olisi unionin tuomioistuimen selventämien vaatimusten mukainen. ( 165 ) Yhdysvaltain presidentti hyväksyi uuden presidentin asetuksen ”Enhancing Safeguards for United States Signals Intelligence Activities”, jolla otettiin käyttöön uusia sitovia ja täytäntöönpanokelpoisia suojatoimia sen varmistamiseksi, että tietoja voidaan käyttää kansalliseen turvallisuuteen liittyviä tarkoituksia varten vain siinä määrin kuin se on välttämätöntä ja oikeasuhteista ja että eurooppalaisten saatavilla on tehokkaita oikeussuojakeinoja. Tämän perusteella komissio antoi EU:n ja Yhdysvaltojen tietosuojakehyksestä tietosuojan riittävyyttä koskevan päätöksen ( 166 ), jolla sallitaan henkilötietojen vapaa siirtäminen EU:sta yhdysvaltalaisille yrityksille, jotka liittyvät tietosuojakehykseen. Yhdysvaltojen hallituksen käyttöönottamia kansallista turvallisuutta koskevia suojatoimia sovelletaan kaikkiin tiedonsiirtoihin Yhdysvalloissa sijaitseville yrityksille riippumatta siitä, mitä tiedonsiirtoon sovellettavaa yleisen tietosuoja-asetuksen mekanismia käytetään. Tämä tarkoittaa, että muiden välineiden, kuten vakiosopimuslausekkeiden ja yrityksiä koskevien sitovien sääntöjen, käyttö on nyt paljon helpompaa. Ensimmäinen EU:n ja Yhdysvaltojen tietosuojakehyksen toimintaa koskeva tarkastelu toteutetaan kesällä 2024. Sen tavoitteena on varmistaa, että kaikki asiaankuuluvat osatekijät on sisällytetty kaikilta osin Yhdysvaltojen oikeudelliseen kehykseen ja että ne toimivat tehokkaasti käytännössä.

Tietosuojan riittävyydestä käydään parhaillaan neuvotteluja Brasilian ja Kenian kanssa sekä ensimmäistä kertaa useiden kansainvälisten organisaatioiden kanssa (neuvottelut ovat esimerkiksi edenneet pitkälle Euroopan patenttijärjestön ( 167 ) kanssa). Komissio on käynyt aktiivisesti alustavia neuvotteluja eri puolilta maailmaa olevien maiden kanssa, mitä myös useat sidosryhmät ovat pyytäneet ( 168 ).

Komissio myös seuraa jatkuvasti kehitystä niissä maissa, joiden osalta on jo tehty tietosuojan riittävyyttä koskeva päätös, ja tarkastelee olemassa olevia päätöksiä säännöllisesti yleisen tietosuoja-asetuksen mukaisten asiaa koskevien velvoitteidensa ( 169 ) mukaisesti. Komissio antoi huhtikuussa 2023 kertomuksen ( 170 ) Japanin tietosuojan riittävyyttä koskevan päätöksen ( 171 ) ensimmäisestä tarkastelusta. Kertomuksessa todetaan, että Japani varmistaa edelleen riittävän suojan tason. Ensimmäinen tarkastelu osoitti, että EU:n ja Japanin tietosuojakehykset ovat lähentyneet entisestään vastavuoroisten tietosuojan riittävyyttä koskevien päätösten tekemisen jälkeen.

Lisäksi käynnistettiin EU:n aiemman tietosuojakehyksen (tietosuojadirektiivin) nojalla tehtyjen yhdentoista tietosuojan riittävyyttä koskevan päätöksen ( 172 ) ensimmäinen uudelleentarkastelu yleisen tietosuoja-asetuksen 97 artiklan mukaisesti osana vuonna 2020 toteutettua yleisen tietosuoja-asetuksen soveltamisen ja toiminnan laajempaa arviointia. Tämän uudelleentarkastelun valmiiksi saattamista lykättiin erityisesti sen vuoksi, että voitiin ottaa huomioon unionin tuomioistuimen asiassa Schrems II antama tuomio ja se, miten tietosuojaneuvosto sitä tulkitsee. Edellä mainitut unionin tuomioistuimen selvennykset tietosuojan riittävyyttä koskevien vaatimusten keskeisistä osatekijöistä toimivat pohjana asianomaisten maiden ja alueiden kanssa käydyille yksityiskohtaisille keskusteluille, jotka koskivat niiden oikeudelliseen kehyksen asiaankuuluvia osia sekä valvonta- ja täytäntöönpanomekanismeja.

Komissio julkaisi 15. tammikuuta 2024 näitä 11 päätöstä koskevan kertomuksen ( 173 ) ja yksityiskohtaiset maakohtaiset raportit, joissa kuvaillaan kunkin maan ja alueen kehitystä tietosuojan riittävyyttä koskevien päätösten antamisen jälkeen sekä sääntöjä, jotka koskevat viranomaisten pääsyä tietoihin erityisesti lainvalvontaa ja kansallista turvallisuutta koskevissa tapauksissa. Kertomuksessa todetaan, että kaikki 11 maata ja aluetta tarjoavat edelleen riittävän tietosuojan EU:sta siirretyille henkilötiedoille. Siinä kuvaillaan, että kaikki näistä maista ja alueista ovat eri tavoin uudistaneet ja vahvistaneet yksityisyyden suojaa koskevaa oikeudellista kehystään. Tietosuojan tasoerojen korjaamiseksi joidenkin asianomaisten maiden ja alueiden kanssa on lisäksi neuvoteltu ja sovittu Euroopasta siirrettyjä henkilötietoja koskevasta lisäsuojasta, jotta tietosuojan riittävyyttä koskeva päätös on voitu säilyttää.

Nämä uudelleentarkastelut osoittavat myös, että tietosuojan riittävyyttä koskevat päätökset eivät ole päätepisteitä, vaan ne pikemminkin luovat perustan EU:n ja sen samanmielisten kumppaneiden väliselle tiiviimmälle yhteistyölle ja sääntelyn lähentymiselle. Esimerkiksi Japanin tietosuojan riittävyyttä koskevan päätöksen toimivuuden ensimmäisestä tarkastelusta annetussa kertomuksessa todetaan, että Japanin tietosuojakehyksen vahvistaminen edelleen voi tasoittaa tietä tietosuojan riittävyyttä koskevan päätöksen laajentamiselle kaupallisten tietojen vaihtoa pidemmälle siten, että se kattaisi nykyisin päätöksen soveltamisalan ulkopuolelle jäävät siirrot esimerkiksi sääntely-yhteistyön ja tutkimuksen alalla. Keskusteluja tällaisesta soveltamisalan mahdollisesta laajentamisesta käydään parhaillaan. Yleisesti ottaen tietosuojan riittävyyttä koskevista päätöksistä on tullut strateginen osa EU:n ja näiden ulkomaisten kumppaneiden välistä suhdetta, ja ne nähdään merkittävänä mahdollisuutena syventää yhteistyötä monilla eri aloilla.

Niiden maiden ja alueiden määrä, joista EU on antanut tietosuojan riittävyyttä koskevan päätöksen, kasvaa. Nämä päätökset tarjoavat vahvan perustan tiiviimmälle kahdenväliselle yhteistyölle, mutta samalla tällaisten maiden kasvava verkosto tarjoaa myös uusia mahdollisuuksia maksimoida turvallisten ja vapaiden tietovirtojen edut ja tehdä tiiviimpää yhteistyötä samanmielisten kumppaneiden kanssa tietosuojasääntöjen noudattamisen valvonnassa. Tämän vuoksi komissio isännöi maaliskuussa 2024 ensimmäistä korkean tason kokousta turvallisista tiedonsiirroista. Kokoukseen osallistui asiasta vastaavia ministereitä ja tietosuojaviranomaisia 15 maasta ja alueelta, joista EU on antanut tietosuojan riittävyyttä koskevan päätöksen, sekä tietosuojaneuvoston puheenjohtaja. ( 174 ) Kokouksessa määritettiin useita konkreettisia toiminnan kohteita, joihin liittyviä jatkotoimia toteutetaan kyseisessä ryhmässä.

Yleisemmin tarkasteltuna komission tekemät tietosuojan riittävyyttä koskevat päätökset ovat verkostovaikutuksensa ansiosta yhä tärkeämpiä myös EU:n ulkopuolella. Euroopan talousalueen 30 talouden lisäksi ne mahdollistavat vapaan tiedonkulun ympäri maailmaa myös monien muiden sellaisten lainkäyttöalueiden ( 175 ) välillä, joiden tietosuojasäännöissä EU:n tietosuojan riittävyyttä koskevan päätöksen saaneet maat määritetään turvallisiksi kohteiksi.

7.1.2Välineet, joilla taataan asianmukaiset suojatoimet

Vuoden 2020 kertomuksen jälkeen on kehitetty uusia välineitä, joilla taataan asianmukaiset suojatoimet, ja annettu käytännön ohjeita niiden käytön helpottamiseksi.

Kuten vuoden 2020 kertomuksessa ilmoitettiin, komissio on hyväksynyt uudistettuja vakiosopimuslausekkeita ( 176 ), joiden laatimisessa on hyödynnetty eri sidosryhmien antamaa palautetta ( 177 ). Uudet vakiosopimuslausekkeet ovat korvanneet kolme tietosuojadirektiivin nojalla annettua vakiosopimuslausekkeiden joukkoa. Tärkeimpiä innovaatioita ovat i) yleisen tietosuoja-asetuksen mukaiset päivitetyt suojatoimet, ii) modulaarinen lähestymistapa, jolla voidaan ottaa keskitetysti huomioon monenlaiset siirtoskenaariot, iii) suurempi joustavuus siinä, miten useat osapuolet voivat käyttää vakiosopimuslausekkeita, ja iv) käytännön välineistö Schrems II -tuomion noudattamista varten.

Sidosryhmät ovat suhtautuneet uudistettuihin vakiosopimuslausekkeisiin myönteisesti, ja saadun palautteen mukaan vakiosopimuslausekkeet ovat edelleen EU:hun sijoittautuneiden tietojen viejien tiedonsiirtojen yhteydessä selvästi eniten käyttämä väline. ( 178 ) Tukeakseen tietojen viejiä sääntöjen noudattamisessa komissio on laatinut kysymyksiä ja vastauksia -verkkosivun ( 179 ), jossa annetaan lisäohjeita lausekkeiden käytöstä. Verkkosivua päivitetään, jos asiasta herää uusia kysymyksiä, esimerkiksi osana tätä arviointia saadun palautteen perusteella.

Monet tietojen viejät ilmoittavat, että niillä on vaikeuksia tehdä Schrems II -tuomiossa edellytettyjä tiedonsiirtojen vaikutustenarviointeja, ja mainitsevat syiksi erityisesti vaikutustenarviointien monimutkaisuuden sekä kustannukset ja ajan, jonka niiden tekeminen vie. ( 180 ) Tietojen viejät suhtautuvat myönteisesti tietosuojaneuvoston ohjeisiin ja vakiosopimuslausekkeisiin, mutta pyytävät lisäohjeita (esimerkiksi osapuolten vastuista ja tiedonsiirtojen vaikutustenarvioinneissa edellytetystä yksityiskohtaisuudesta) ja välineitä, jotka auttavat tällaisten arviointien tekemisessä (esimerkiksi malleja, yleisiä maakohtaisia arviointeja tai luetteloja riskeistä). Vaikka tämä sidosryhmien antama palaute koski pääosin vakiosopimuslausekkeita, samoja arviointeja edellytetään myös muiden tiedonsiirtoon sovellettavien välineiden (kuten yrityksiä koskevien sitovien sääntöjen) yhteydessä. Siksi on tärkeää, että tietosuojaneuvosto harkitsee tapoja tai välineitä, joilla tietojen viejiä voidaan paremmin auttaa noudattamaan sääntöjä tässä yhteydessä, ja käyttää tässä pohjana Schrems II -tuomion vaatimusten soveltamisesta muun muassa kansallisten tietosuojaviranomaisten valvontatoimien yhteydessä viime vuosina saatuja kokemuksia.

Komissio aikoo täydentää nykyisiä vakiosopimuslausekkeita laatimalla uusia lausekkeita, jotta EU:hun sijoittautuneille tietojen viejille voidaan tarjota kattava ja johdonmukainen paketti. Tällaisia ovat asetuksen (EU) 2018/1725 mukaiset vakiosopimuslausekkeet ( 181 ), jotka koskevat EU:n toimielinten ja elinten tiedonsiirtoja kaupallisille toimijoille kolmansissa maissa, ja vakiosopimuslausekkeet, jotka koskevat tiedonsiirtoja kolmansiin maihin sijoittautuneille tietojen tuojille, joiden käsittelytoimiin yleistä tietosuoja-asetusta sovelletaan suoraan. Näistä jälkimmäisellä vastataan sidosryhmien pyyntöön lausekkeista, jotka kattavat nimenomaisesti skenaariot, joissa tietojen tuoja kuuluu yleisen tietosuoja-asetuksen alueelliseen soveltamisalaan (esimerkiksi sen vuoksi, että kyseinen käsittely kohdistuu EU:n markkinoihin yleisen tietosuoja-asetuksen 3 artiklan 2 kohdan mukaisesti). ( 182 ) Kuten tietosuojaneuvosto on selventänyt, myös tässä tapauksessa edellytetään yleisen tietosuoja-asetuksen V luvun mukaisen välineen soveltamista tiedonsiirtoon, koska henkilötietojen käsittelyyn EU:n ulkopuolella liittyy suurempia riskejä esimerkiksi sen vuoksi, että kansalliset lait voivat olla ristiriidassa EU:n lainsäädännön kanssa, tai sen vuoksi, että kolmannen maan viranomaisilla on suhteettoman laaja pääsy tietoihin. ( 183 ) Komission laatimilla uusilla vakiosopimuslausekkeilla puututaan nimenomaisesti tähän skenaarioon, ja niissä otetaan kattavasti huomioon vaatimukset, joita jo sovelletaan suoraan kyseisiin rekisterinpitäjiin ja henkilötietojen käsittelijöihin yleisen tietosuoja-asetuksen nojalla. ( 184 )

Vakiolausekkeilla on yhä keskeisempi tehtävä tiedonsiirtojen edistämisessä kaikkialla maailmassa, kuten myös erityyppiset sidosryhmät ovat todenneet ( 185 ). Useat lainkäyttöalueet ovat hyväksyneet EU:n vakiosopimuslausekkeet tiedonsiirtoihin sovellettavana mekanismina oman tietosuojalainsäädäntönsä nojalla siten, että niiden kansalliseen oikeusjärjestykseen on tehty vain vähäisiä muodollisia mukautuksia. ( 186 ) Jotkin muut maat ovat ottaneet käyttöön omia vakiolausekkeitaan, joilla on tärkeitä yhteisiä piirteitä EU:n vakiosopimuslausekkeiden kanssa. ( 187 ) Erityisen relevanttina esimerkkinä toimivat muissa kansainvälisissä tai alueellisissa järjestöissä tai verkostoissa, kuten Euroopan neuvoston yleissopimuksen nro 108 neuvoa-antavassa komiteassa, iberoamerikkalaisessa tietosuojaverkostossa ja Kaakkois-Aasian maiden liitossa (ASEAN), laaditut vakiolausekkeet. ( 188 ) Tämä avaa uusia mahdollisuuksia helpottaa tiedonkulkua maailman eri alueiden välillä vakiolausekkeiden pohjalta. Yksi konkreettinen esimerkki on EU:n vakiosopimuslausekkeita ja ASEANin vakiolausekkeita koskeva EU:n ja ASEANin opas ( 189 ), joka on laadittu yrityksiltä saadun palautteen pohjalta tukemaan yrityksiä kummankin tahon lausekkeiden noudattamisessa.

Vakiosopimuslausekkeiden lisäksi yrityksiä koskevia sitovia sääntöjä käytetään edelleen laajasti tiedonsiirroissa konsernin jäsenten tai yhteistä taloudellista toimintaa harjoittavien yritysten välillä. Sen jälkeen, kun yleistä tietosuoja-asetusta on alettu soveltaa, tietosuojaneuvosto on antanut 80 myönteistä lausuntoa kansallisista päätöksistä, joilla hyväksytään yrityksiä koskevia sitovia sääntöjä. ( 190 ) Tietosuojaneuvosto on myös antanut ohjeita elementeistä, jotka on sisällytettävä rekisterinpitäjille tarkoitettuihin yritystä koskeviin sitoviin sääntöihin (ja tiedoista, jotka on esitettävä osana yritystä koskevista sitovista säännöistä tehtävää hakemusta). Ohjeita on päivitetty yleisen tietosuoja-asetuksen vaatimusten ja Schrems II -tuomion huomioon ottamiseksi. ( 191 ) Parhaillaan laaditaan myös päivitettyjä ohjeita yrityksiä koskevista sitovista säännöistä henkilötietojen käsittelijöille. ( 192 ) Yrityksiä koskevien sitovien sääntöjen tavoitteena on, että yrityksissä otetaan käyttöön sitovia tietosuojakäytäntöjä tai -ohjelmia. Tämän vuoksi monet sidosryhmät pitävät niitä erityisen hyödyllisenä sääntöjen noudattamista edistävänä välineenä sekä luotettavana välineenä tiedonsiirron kannalta. ( 193 ) Sidosryhmät raportoivat kuitenkin edelleen, että kansallisten tietosuojaviranomaisten toteuttaman hyväksymisprosessin kesto ja monimutkaisuus estävät yrityksiä koskevien sitovien sääntöjen laajemman käyttöönoton. Siksi on tärkeää, että viranomaiset jatkavat työtä hyväksymisprosessin yksinkertaistamiseksi ja lyhentämiseksi.

Vuoden 2020 kertomuksen jälkeen on myös toteutettu toimia, joilla helpotetaan sertifioinnin ja käytännesääntöjen käyttöä tiedonsiirtoon sovellettavina välineinä. Tietosuojaneuvosto on esimerkiksi antanut molempia välineitä koskevia suuntaviivoja. ( 194 ) Sidosryhmät raportoivat kuitenkin samoista hyväksymisprosessin aikatauluihin ja monimutkaisuuteen liittyvistä ongelmista kuin edellä todettiin sertifioinnin ja käytännesääntöjen soveltamisesta vastuuvelvollisuuden takaamiseen.

Yleisessä tietosuoja-asetuksessa säädetään myös erityisistä välineistä – kansainvälisistä sopimuksista ja tietosuojaviranomaisten hyväksymistä hallinnollisista järjestelyistä – joita viranomaisten on tarkoitus käyttää henkilötietojen siirtämisessä kolmansissa maissa toimiville viranomaisille tai kansainvälisille järjestöille. Tietosuojaneuvosto on antanut suuntaviivoja ( 195 ) suojatoimista, joita tällaisiin välineisiin olisi sisällytettävä. Suuntaviivat voivat toimia tukena neuvoteltaessa tällaisista sopimuksista ja järjestelyistä.

7.1.3Täydentävyys muiden politiikkojen kanssa

Koska tiedonsiirroista on tullut välttämättömiä monessa toiminnassa, on tärkeää varmistaa, että tietosuojapolitiikat ja muut politiikat täydentävät toisiaan. Tietosuojaa koskevien suojatoimien sisällyttäminen kansainvälisiin välineisiin on usein tiedonsiirtojen ennakkoedellytys, mutta myös tärkeä vakaan ja luotettavan yhteistyön mahdollistava tekijä.

Tässä yhteydessä olennaisen tärkeitä ovat esimerkiksi kansainväliset sopimukset, joissa määrätään tarvittavista tietosuojaa koskevista suojatoimista, muun muassa varmistamalla suojan jatkuvuus pyynnön esittäneen viranomaisen puolella. Sopimusten avulla voidaan varmistaa kansainvälinen kohteliaisuus (comity) ja helpottaa lainvalvontaviranomaisten pääsyä muissa maissa sijaitsevien yritysten hallussa oleviin sähköisiin todisteisiin, mikä auttaa torjumaan tehokkaammin rikollisuutta. Tätä lähestymistapaa noudatetaan tietoverkkorikollisuutta koskevan yleissopimuksen toisessa lisäpöytäkirjassa ( 196 ), jolla tehostetaan nykyisiä sääntöjä sähköisten todisteiden rajatylittävästä saatavuudesta rikostutkintojen yhteydessä ja varmistetaan samalla asianmukaiset tietosuojaa koskevat suojatoimet. Useat EU:n jäsenvaltiot ovat allekirjoittaneet pöytäkirjan. EU ja Yhdysvallat ovat myös edistyneet kahdenvälisissä neuvotteluissa sopimuksesta, joka koskee oikeudelliseen yhteistyöhön rikosasioissa liittyvää rajatylittävää pääsyä sähköiseen todistusaineistoon. ( 197 )

Matkustajarekisteritietojen (PNR-tiedot) siirtäminen on toinen EU:n turvallisuuspolitiikan osa-alue, jolle vankkojen tietosuojaa koskevien suojatoimien kehittämisestä on ollut hyötyä. EU ja Kanada saattoivat vuonna 2023 päätökseen neuvottelut uudesta PNR-sopimuksesta, jossa noudatetaan unionin tuomioistuimen lausunnossa 1/15 vahvistettuja vaatimuksia. ( 198 ) Vastaavia suojatoimia on sisällytetty myös EU:n ja Yhdistyneen kuningaskunnan kauppa- ja yhteistyösopimuksen matkustajarekisteritietoja koskevaan lukuun. Näihin sopimuksiin sisällytetyt tiukemmat yksityisyyden suojaa koskevat määräykset voivat toimia mallina muiden kumppaneiden kanssa jatkossa tehtäville sopimuksille. Ne tarjoavat lentoliikenteenharjoittajille oikeusvarmuutta, samalla kun varmistetaan terrorismin ja muun vakavan kansainvälisen rikollisuuden torjumisen kannalta tärkeän tiedonvaihdon vakaus.

Komissio kannattaa myös vahvoja määräyksiä, joilla suojellaan yksityisyyttä ja edistetään digitaalista kaupankäyntiä, Maailman kauppajärjestössä meneillään olevissa neuvotteluissa aloitteesta, joka koskee yhteistä julkilausumaa sähköisestä kaupankäynnistä. EU on johdonmukaisesti sisällyttänyt vastaavia määräyksiä, joilla torjutaan digitaalisen kaupankäynnin perusteettomia esteitä ja suojataan osapuolten tarpeellista poliittista liikkumavaraa tietosuoja-asioissa, yleisen tietosuoja-asetuksen soveltamisen alkamisen jälkeen tehtyihin vapaakauppasopimuksiin. Esimerkkejä ovat erityisesti EU:n ja Yhdistyneen kuningaskunnan kauppa- ja yhteistyösopimus sekä Chilen, Japanin ja Uuden-Seelannin kanssa tehdyt sopimukset. Yksityisyyden suojaa ja tiedonsiirtoja koskevista määräyksistä keskustellaan myös meneillään olevissa digitaalista kauppaa koskevissa neuvotteluissa Singaporen ja Etelä-Korean kanssa.

7.2Kansainvälinen tietosuojayhteistyö

7.2.1Kahdenvälinen ulottuvuus

Komissio on jatkanut vuoropuhelua eri maiden ja kansainvälisten järjestöjen kanssa yksityisyyden suojaa koskevien sääntöjen laatimisesta, uudistamisesta ja täytäntöönpanosta. Se on muun muassa esittänyt huomautuksia julkisiin kuulemisiin yksityisyyden suojaa koskevista lainsäädäntöehdotuksista tai sääntelytoimenpiteistä ( 199 ), antanut lausuntoja toimivaltaisissa parlamentaarisissa elimissä ( 200 ) ja osallistunut asiaa koskeviin kokouksiin eri puolilta maailmaa tulevien hallitusten edustajien, parlamenttivaltuuskuntien ja sääntelyviranomaisten kanssa ( 201 ). Useat näistä toimista on toteutettu EU:n rahoittaman tietosuojahankkeen ”Enhanced Data Protection and Data Flows” puitteissa. Hankkeella tuetaan maita, jotka aikovat laatia uudenaikaisia tietosuojakehyksiä tai lisätä sääntelyviranomaisten valmiuksia koulutuksen, tietämyksen jakamisen, valmiuksien kehittämisen ja parhaiden käytäntöjen vaihdon avulla. Komissio on myös edistänyt muita aloitteita, kuten EU:n, Latinalaisen Amerikan ja Karibian digitaalista allianssia.

Tietosuojalla on myös edelleen keskeinen asema komission laajentumiseen liittyvässä työssä. EU:n tietosuojalainsäädäntö on tärkeä osa laajentumisprosessissa mukana olevien maiden yleistä toimintaa oikeudellisten kehystensä yhdenmukaistamiseksi EU:n oikeudellisen kehyksen kanssa (erityisesti siksi, että henkilötietojen käsittely ja siirtäminen ovat keskeisiä monien politiikkojen kannalta). Lisäksi tietosuojaviranomaisen riippumattomuus ja asianmukainen toiminta ovat keskeinen osa yleistä hallitusjärjestelmän osien keskinäistä valvontaa ja oikeusvaltioperiaatetta. Niiden merkitys kasvaa entisestään, kun EU integroi laajentumismaat asteittain sisämarkkinoille (kuten esimerkiksi Länsi-Balkanin kasvusuunnitelmassa suunnitellaan).

EU:n ja kolmansien maiden välisessä vuoropuhelussa on yhä tärkeämmässä roolissa sääntelyviranomaisten välinen tiedonvaihto. Kuten vuoden 2020 kertomuksessa ennakoitiin, komissio on perustanut tietosuoja-akatemian, jonka tavoitteena on edistää EU:n ja kolmansien maiden tietosuojaviranomaisten välistä tietojen vaihtoa ja siten edistää valmiuksien kehittämistä ja parantaa yhteistyötä paikan päällä. Tietosuoja-akatemia tarjoaa räätälöityjä koulutuksia kolmannen maan viranomaisten pyynnöstä ja kokoaa yhteen täytäntöönpanoa valvovan yhteisön, tiedeyhteisön yksityisen sektorin ja EU:n toimielinten edustajien asiantuntemuksen. Koulutusten lisäarvo saadaan aikaan räätälöimällä eri osat pyynnön esittävän viranomaisen kiinnostuksenkohteiden ja tarpeiden mukaisesti. Lisäksi näiden koulutusten avulla EU:n ja kolmansien maiden tietosuojaviranomaiset voivat luoda yhteyksiä, jakaa tietoa, vaihtaa kokemuksia ja parhaita käytäntöjä sekä tunnistaa mahdollisia yhteistyöaloja. Tietosuoja-akatemia on tähän mennessä tarjonnut koulutusta Brasilian, Indonesian, Kenian, Nigerian ja Ruandan tietosuojaviranomaisille ja valmistelee parhaillaan koulutuksia useille muille maille.

Sen lisäksi, että on tärkeää ylläpitää sääntelyviranomaisten välistä vuoropuhelua, on yhä suurempi tarve sille, että tiiviimpiä yhteistyön ja keskinäisen avunannon muotoja varten kehitetään asianmukaisia oikeudellisia välineitä muun muassa mahdollistamalla tarvittava tiedonvaihto tutkimusten yhteydessä. Tämä tarve on pantu merkille myös neuvostolta ja tietosuojaneuvostolta saadussa palautteessa ( 202 ). Yksityisyyden loukkaamisella on yhä useammin rajatylittäviä vaikutuksia, minkä vuoksi sitä voidaan usein tutkia ja siihen voidaan puuttua tehokkaasti vain EU:n sääntelyviranomaisten ja EU:n ulkopuolisten sääntelyviranomaisten yhteistyön avulla. Komissio pyytää siksi lupaa aloittaa neuvottelut lainvalvontayhteistyösopimusten tekemiseksi asianomaisten kolmansien maiden kanssa (mistä säädetään myös yleisen tietosuoja-asetuksen 50 artiklassa). Tältä osin komissio panee merkille, että tietosuojaneuvosto on pyytänyt ottamaan mahdollisina vastapuolina huomioon erityisesti maat, joissa on eniten suoraan yleisen tietosuoja-asetuksen soveltamisalaan kuuluvia toimijoita, varsinkin G7-maat ja/tai tietosuojan riittävyyttä koskevan päätöksen saaneet maat. ( 203 )

Tällaisten lainvalvontayhteistyötä ja keskinäistä avunantoa koskevien sopimusten käyttöönotto auttaisi myös yleisen tietosuoja-asetuksen noudattamisen ja noudattamisen valvonnan varmistamisessa sellaisten ulkomaisten toimijoiden osalta, joihin yleistä tietosuoja-asetusta sovelletaan esimerkiksi sen vuoksi, että niiden toiminta kohdistuu nimenomaisesti EU:n markkinoille tarjoamalla kyseisille markkinoille tavaroita tai palveluja. Neuvosto pitää tärkeänä, että yleisen tietosuoja-asetuksen täytäntöönpanoa valvotaan tällaisissa tapauksissa, ja pitää huolenaiheina tasapuolisia toimintaedellytyksiä EU:hun sijoittautuneiden toimijoiden kanssa ja yksilöiden oikeuksien tehokkaan suojelun takaamista. ( 204 ) Komissio on samaa mieltä neuvoston pyynnöstä tutkia mahdollisuuksia helpottaa täytäntöönpanon valvontaa tässä skenaariossa. Virallisemmat yhteistyömuodot kolmansien maiden sääntelyviranomaisten kanssa voisivat epäilemättä olla tärkeässä roolissa, mutta muitakin – jo käytössä olevia – toimintatapoja olisi edistettävä voimakkaammin. Tämä tarkoittaa muun muassa yleisen tietosuoja-asetuksen 58 artiklan valvontavälineiden kattavaa hyödyntämistä ja sellaisten edustajien osallistamista, jotka edustavat ulkomaisia yrityksiä EU:ssa (ja jotka on nimetty yleisen tietosuoja-asetuksen 27 artiklan mukaisesti).

7.2.2Monenvälinen ulottuvuus

Komissio osallistuu myös edelleen aktiivisesti useisiin kansainvälisiin foorumeihin edistääkseen yhteisiä arvoja ja lisätäkseen lähentymistä alueellisesti ja maailmanlaajuisesti.

Tämä tarkoittaa esimerkiksi aktiivista osallistumista yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä tehdyn yleissopimuksen (yleissopimus nro 108) neuvoa-antavan komitean työhön. Yleissopimus on ainoa henkilötietojen suojaa koskeva oikeudellisesti sitova monenvälinen väline. Pöytäkirjan yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä tehdyn yleissopimuksen muuttamisesta ( 205 ) on tähän mennessä ratifioinut 31 maata, joihin lukeutuu useita EU:n jäsenvaltioita ja joitakin maita, jotka eivät ole Euroopan neuvoston jäseniä (Argentiina, Mauritius ja Uruguay). EU:n jäsenvaltioista vain yksi jäsenvaltio ( 206 ) ei ole allekirjoittanut uudistettua yleissopimusta. Lisäksi kahdeksan jäsenvaltiota ( 207 ) on allekirjoittanut uudistetun yleissopimuksen, muttei ole vielä ratifioinut sitä. Komissio kehottaa yhtä jäljellä olevaa jäsenvaltiota allekirjoittamaan uudistetun yleissopimuksen ja muita jäsenvaltioita ratifioimaan sen pikaisesti, jotta se voi tulla voimaan lähitulevaisuudessa. Komissio kannustaa edelleen aktiivisesti myös kolmansia maita liittymään tähän yleissopimukseen.

G20- ja G7-maiden tasolla yksityisyyden suojaa ja tiedonsiirtoja koskevissa keskusteluissa on keskitytty Japanin alun perin ehdottaman Data Free Flow with Trust -käsitteen käytännön soveltamiseen. Käsitteen taustalla on ajatus, että tietosuoja ja tietoturva voivat edistää luottamusta digitaalitalouteen ja helpottaa tiedonsiirtoa. ( 208 ) OECD:llä on tässä yhteydessä erityisen tärkeä rooli, sillä se tarjoaa foorumin Data Free Flow with Trust -asiantuntijayhteisölle. Asiantuntijayhteisö kokoaa yhteen monia sidosryhmiä (hallituksia, sääntelyviranomaisia ja toimialan, kansalaisyhteiskunnan ja tiedeyhteisön edustajia) keskustelemaan Data Free Flow with Trust -hankkeista ja tähän käsitteeseen liittyvistä kysymyksistä. Lisäksi yksi Data Free Flow with Trust -aloitteen merkittävistä tuloksista, johon komissio on vaikuttanut merkittävästi, on se, että OECD on antanut julistuksen viranomaisten pääsystä yksityisen sektorin toimijoiden hallussa oleviin henkilötietoihin. Kyseessä on ensimmäinen tähän aihepiiriin liittyvä kansainvälinen väline. Julistus sisältää yhteisiä vaatimuksia, joilla suojataan yksityisyyttä, kun henkilötietoja käytetään kansalliseen turvallisuuteen ja lainvalvontaan liittyviin tarkoituksiin. Maailmanlaajuisesti ollaan yhä laajemmin tietoisia siitä, että viranomaisten suhteettoman laaja pääsy tietoihin vaikuttaa kielteisesti tiedonsiirtoja koskevaan luottamukseen. Tätä taustaa vasten tämä julistus on tärkeä keino, jolla edistetään luotettavia tiedonsiirtoja. Komissio kannustaa edelleen maita liittymään julistukseen, joka on avoin myös muille kuin OECD:n jäsenille.

Komissio tekee yhteistyötä myös erilaisten yhteisiin tietosuojaa koskeviin suojatoimiin vaikuttavien alueellisten järjestöjen ja verkostojen kanssa. Esimerkkejä tällaisista järjestöistä ja verkostoista ovat ASEAN, Afrikan unioni, yksityisyyden suojaa koskeva Aasian ja Tyynenmeren foorumi, iberoamerikkalainen tietosuojaverkosto ja Afrikan tietosuojaviranomaisten verkosto (NADPA-RAPDP). Edellä mainitun EU:n vakiosopimuslausekkeita ja ASEANin vakiolausekkeita koskevan EU:n ja ASEANin oppaan laatiminen on konkreettinen esimerkki tästä hedelmällisestä yhteistyöstä.

Komissio käy myös edelleen vuoropuhelua eri kansainvälisten järjestöjen kanssa muun muassa tutkiakseen keinoja helpottaa edelleen EU:n ja tällaisten järjestöjen välisiä tiedonsiirtoja. Monet organisaatiot ovat uudistaneet tietosuojakehyksiään viime vuosina tai ovat parhaillaan uudistamassa niitä, joten kokemusten ja parhaiden käytäntöjen vaihtoon avautuu myös uusia mahdollisuuksia. Tässä yhteydessä Euroopan tietosuojavaltuutetun järjestämät vuosittaiset työpajat kansainvälisten järjestöjen kanssa ja kansainvälisiä tiedonsiirtoja käsittelevä työryhmä ovat osoittautuneet erityisen hyödyllisiksi foorumeiksi vaihtaa tietoa ja tarkastella konkreettisia yhteistyön, myös henkilötietojen vaihdon, välineitä. ( 209 )

8Päätelmät

Yleistä tietosuoja-asetusta on sovellettu kuusi vuotta. Tänä aikana se on lisännyt ihmisten vaikutusmahdollisuuksia antamalla heille mahdollisuuden hallita tietojaan. Se on myös auttanut luomaan tasapuoliset toimintaedellytykset yrityksille ja tarjonnut perustan lukuisille aloitteille, joilla digitaalista siirtymää edistetään EU:ssa.

Jotta yleisen tietosuoja-asetuksen kaksi tavoitetta, eli yksilöiden vahva suoja sekä henkilötietojen vapaa liikkuvuus EU:ssa ja turvalliset tiedonsiirrot EU:n ulkopuolelle, voidaan saavuttaa kokonaisuudessaan, on keskityttävä seuraaviin seikkoihin:

·perusteellinen yleisen tietosuoja-asetuksen täytäntöönpanon valvonta alkaen siitä, että menettelysääntöjä koskeva komission ehdotus hyväksytään nopeasti, jotta saadaan nopeita ratkaisuja ja oikeusvarmuutta tapauksiin, jotka vaikuttavat ihmisiin koko EU:ssa;

·tietosuojaviranomaisten proaktiivinen tuki sidosryhmille, erityisesti pk-yrityksille ja pienille toimijoille, lainsäädännön noudattamisessa;

·yleisen tietosuoja-asetuksen yhdenmukainen tulkinta ja soveltaminen kaikkialla EU:ssa;

·kansallisten ja EU:n tason sääntelyviranomaisten toimiva yhteistyö, jotta voidaan varmistaa EU:n digitaalialan kasvavan säännöstön yhdenmukainen ja yhtenäinen soveltaminen;

·komission kansainvälisen tietosuojastrategian edistäminen.

Yleisen tietosuoja-asetuksen tehokkaan soveltamisen tukemiseksi ja tietosuojaa koskevien pohdintojen jatkamiseksi tarvitaan useita tässä lueteltuja toimia. Komissio tukee ja seuraa näiden toimien toteuttamista myös seuraavaa, vuonna 2028 annettavaa kertomusta silmällä pitäen. 

Tehokkaiden yhteistyörakenteiden kehittäminen

Euroopan parlamenttia ja neuvostoa kehotetaan hyväksymään nopeasti yleisen tietosuoja-asetuksen menettelysääntöjä koskeva ehdotus.

Tietosuojaneuvostoa ja tietosuojaviranomaisia kehotetaan

-aloittamaan säännöllinen yhteistyö muiden alakohtaisten sääntelyviranomaisten (erityisesti EU:n uuden digitaalialan lainsäädännön nojalla perustettujen sääntelyviranomaisten) kanssa tietosuojaan vaikuttavissa asioissa ja osallistumaan aktiivisesti EU:n tason rakenteisiin, joiden tarkoituksena on helpottaa monialaista sääntely-yhteistyötä;

-hyödyntämään laajemmin yleisen tietosuoja-asetuksen tarjoamia yhteistyövälineitä siten, että kiistanratkaisua käytetään vasta viimeisenä keinona;

-ottamaan käyttöön tehokkaampia ja kohdennetumpia työjärjestelyjä suuntaviivojen, lausuntojen ja päätösten antamisessa ja asettamaan etusijalle keskeiset kysymykset, jotta voidaan vähentää tietosuojaviranomaisiin kohdistuvaa rasitetta ja vastata nopeammin markkinoiden kehitykseen.

Jäsenvaltioiden on

-varmistettava, että kansalliset tietosuojaviranomaiset toimivat tuloksellisesti ja täysin riippumattomasti;

-osoitettava tietosuojaviranomaisille riittävästi resursseja, jotta ne kykenevät hoitamaan tehtävänsä, erityisesti antamalla niiden käyttöön tarvittavat tekniset resurssit ja asiantuntemusta nouseviin teknologioihin liittyvien kysymysten käsittelemiseksi ja digitaalialan lainsäädännön mukaisten uusien vastuiden täyttämiseksi;

-annettava tietosuojaviranomaisille tarvittavat tutkintavälineet, jotta ne voivat tosiasiassa käyttää yleisessä tietosuoja-asetuksessa säädettyjä valvontavaltuuksia;

-tuettava tietosuojaviranomaisten ja muiden kansallisten sääntelyviranomaisten (erityisesti uuden digitaalialan lainsäädännön nojalla perustettujen sääntelyviranomaisten) välistä vuoropuhelua.

Komissio aikoo

-tukea aktiivisesti sitä, että lainsäätäjät hyväksyvät yleisen tietosuoja-asetuksen menettelysääntöjä koskevan ehdotuksen nopeasti;

-seurata myös jatkossa tiiviisti, että kansalliset tietosuojaviranomaiset toimivat tuloksellisesti ja täysin riippumattomasti;

-luoda synergiaa ja lisätä johdonmukaisuutta yleisen tietosuoja-asetuksen ja kaiken henkilötietojen käsittelyä koskevan lainsäädännön välillä saatujen kokemusten perusteella ja tarvittaessa ryhtyä asianmukaisiin toimiin oikeusvarmuuden takaamiseksi;

-pohtia, miten voitaisiin paremmin huomioida jäsennellyn ja tehokkaan monialaisen sääntely-yhteistyön tarve, jotta voidaan taata EU:n digitaalialan sääntöjen tehokas, yhdenmukainen ja johdonmukainen soveltaminen ja kunnioittaa samalla tietosuojaviranomaisten toimivaltaa kaikissa henkilötietojen käsittelyä koskevissa kysymyksissä.

Lainsäädäntökehyksen täytäntöönpano ja täydentäminen

Jäsenvaltioiden on

-varmistettava, että tietosuojaviranomaisia kuullaan hyvissä ajoin ennen henkilötietojen käsittelyä koskevan lainsäädännön antamista.

Komissio aikoo

-hyödyntää jatkossakin kaikkia käytössään olevia välineitä, myös rikkomusmenettelyjä, varmistaakseen, että jäsenvaltiot noudattavat yleistä tietosuoja-asetusta;

-tukea edelleen jäsenvaltioiden välistä näkemysten ja kansallisten käytäntöjen vaihtamista muun muassa yleistä tietosuoja-asetusta käsittelevän jäsenvaltioiden asiantuntijaryhmän kautta;

-toteuttaa toimia sen varmistamiseksi, että lapsilla on parempi suoja ja paremmat mahdollisuudet vaikuttaa ja tulla kunnioitetuksi verkossa;

-pohtia sähköisen viestinnän tietosuoja-asetusta koskevan ehdotuksen mahdollisia seuraavia vaiheita, myös sen suhdetta yleiseen tietosuoja-asetukseen.

Sidosryhmien tukeminen

Tietosuojaneuvostoa ja tietosuojaviranomaisia kehotetaan

-käymään rakentavaa vuoropuhelua rekisterinpitäjien ja henkilötietojen käsittelijöiden kanssa yleisen tietosuoja-asetuksen noudattamisesta;

-lisäämään edelleen toimia, joilla tuetaan pk-yrityksiä sääntöjen noudattamisessa, tarjoamalla räätälöityjä ohjeita ja välineitä, hälventämällä sellaisten pk-yritysten perusteettomia sääntöjen noudattamiseen liittyviä huolenaiheita, jotka eivät käsittele henkilötietoja ydintehtävänään, ja auttamalla niitä sääntöjen noudattamisessa;

-tukemaan sääntöjen noudattamista edistävien tehokkaiden toimenpiteiden, kuten sertifioinnin ja käytännesääntöjen (myös tiedonsiirtoon sovellettavina välineinä), toteuttamista yrityksissä olemalla yhteydessä sidosryhmiin hyväksymisprosessin aikana, antamalla selkeät hyväksymistä koskevat aikataulut ja, kuten tietosuojaneuvoston vuosien 2024–2027 strategiassa luvattiin, selittämällä keskeisille sidosryhmäryhmille, miten näitä välineitä voidaan käyttää;

-varmistamaan, että kansalliset ohjeet ja yleisen tietosuoja-asetuksen soveltaminen kansallisella tasolla ovat yhdenmukaisia tietosuojaneuvoston suuntaviivojen ja unionin tuomioistuimen oikeuskäytännön kanssa;

-ratkaisemaan tietosuojaviranomaisten yleistä tietosuoja-asetusta koskevat eriävät tulkinnat, myös silloin, kun kyseessä ovat saman jäsenvaltion viranomaiset;

-antamaan tiiviitä, käytännöllisiä ja asiaankuuluvan yleisön saatavilla olevia suuntaviivoja, kuten tietosuojaneuvoston vuosien 2024–2027 strategiassa on sitouduttu toimimaan;

-järjestämään suuntaviivoista ja lausunnoista kuulemisia varhaisemmassa vaiheessa ja tarkoituksenmukaisemmin, jotta saadaan parempi käsitys markkinoiden dynamiikasta ja liiketoimintakäytännöistä, ehditään ottaa saatu palaute asianmukaisesti huomioon ja arvioida, miten annettuja tulkintoja sovelletaan käytännössä;

-saattamaan ensisijaisesti päätökseen käynnissä oleva suuntaviivojen laatiminen lasten tiedoista, tieteellisestä tutkimuksesta, anonymisoinnista, pseudonymisoinnista ja oikeutetusta edusta;

-tehostamaan tiedotustoimia ja täytäntöönpanotoimia sen varmistamiseksi, että tietosuojavastaavat kykenevät hoitamaan yleisen tietosuoja-asetuksen mukaiset tehtävänsä.

Komissio aikoo

-tukea edelleen taloudellisesti sellaista tietosuojaviranomaisten toimintaa, jolla edistetään yleisen tietosuoja-asetuksen velvoitteiden noudattamista pk-yrityksissä;

-käyttää kaikkia saatavilla olevia keinoja antaakseen tarkoituksenmukaisia selvennyksiä sidosryhmille, myös pk-yrityksille, tärkeistä asioista, erityisesti pyytämällä tietosuojaneuvostolta lausuntoja.

Tiedonsiirtoja ja kansainvälistä yhteistyötä koskevien välineiden jatkokehittäminen

Tietosuojaneuvostoa ja tietosuojaviranomaisia kehotetaan

-saattamaan päätökseen yrityksiä koskevien sitovien sääntöjen hyväksymisprosessin yksinkertaistaminen ja lyhentäminen sekä henkilötietojen käsittelijöille tarkoitettujen yrityksiä koskevien sitovien sääntöjen elementtejä koskevien ohjeiden päivittäminen;

-tutkimaan tapoja ja välineitä, joilla tietojen viejiä voidaan tukea Schrems II -tuomion vaatimusten täyttämisessä;

-tutkimaan uusia keinoja valvoa tehokkaasti sääntöjen noudattamista sellaisten kolmansiin maihin sijoittautuneiden toimijoiden osalta, jotka kuuluvat yleisen tietosuoja-asetuksen alueelliseen soveltamisalaan.

Jäsenvaltioiden on

-varmistettava, että uudistetun yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä tehdyn yleissopimuksen puuttuva allekirjoitus ja ratifioinnit toteutetaan mahdollisimman nopeasti, jotta se voi tulla voimaan.

Komissio aikoo

-edelleen edistyä käynnissä olevissa tietosuojan riittävyyttä koskevissa keskusteluissa, tutkia voimassa olevien tietosuojan riittävyyttä koskevien päätösten jatkokehittämistä ja aloittaa uusia tietosuojan riittävyyttä koskevia vuoropuheluja asiasta kiinnostuneiden kumppaneiden kanssa;

-tukea tiiviimpää yhteistyötä tietosuojan riittävyyttä koskevan päätöksen saaneiden maiden kesken;

-saattaa päätökseen uusia vakiosopimuslausekkeita koskevan työn erityisesti siltä osin kuin ne koskevat tietojen tuojia, joiden käsittelyyn yleistä tietosuoja-asetusta sovelletaan suoraan, ja asetuksen (EU) 2018/1725 mukaisia EU:n toimielinten ja elinten toteuttamia tiedonsiirtoja;

-tehdä yhteistyötä kansainvälisten kumppaneiden kanssa tiedonsiirtojen helpottamiseksi vakiosopimuslausekkeiden perusteella;

-tukea kolmansissa maissa käynnissä olevia uudistusprosesseja, jotka koskevat uusia tai päivitettäviä tietosuojasääntöjä, jakamalla kokemuksia ja parhaita käytäntöjä;

-tehdä yhteistyötä kansainvälisten ja alueellisten järjestöjen, kuten OECD:n ja G7-ryhmän, kanssa luotettavien tiedonsiirtojen edistämiseksi korkeatasoisten tietosuojanormien pohjalta, myös Data Free Flow with Trust ‑aloitteen puitteissa;

-helpottaa ja tukea eurooppalaisten ja kansainvälisten sääntelyviranomaisten välistä tiedonvaihtoa muun muassa tietosuoja-akatemian kautta;

-auttaa edistämään kansainvälistä lainvalvontayhteistyötä valvontaviranomaisten välillä, muun muassa neuvottelemalla yhteistyötä ja keskinäistä avunantoa koskevia sopimuksia.

(1) ()    Tietosuojasäännöt kansalaisten vaikutusmahdollisuuksien ja EU:n digitaalisen muutoksen edistäjänä – yleistä tietosuoja-asetusta sovellettu kaksi vuotta (COM(2020) 264 final, 24.6.2020).

(2) ()     https://data.consilium.europa.eu/doc/document/ST-15507-2023-INIT/fi/pdf  

(3) ()    Tiivistelmä yleisen tietosuoja-asetuksen sidosryhmien välisen asiantuntijaryhmän raportista: Report from Multistakeholder Expert group on GDPR application – kesäkuu 2024 . Palaute, jota on saatu vastauksena julkiseen kannanottopyyntöön ja sidosryhmien kanssa toteutettujen kahdenvälisten tapaamisten kautta, vastaa suurelta osin yleisen tietosuoja-asetuksen sidosryhmien välisen asiantuntijaryhmän jäsenten ilmaisemia näkemyksiä.

(4) ()     https://ec.europa.eu/info/law/better-regulation/  

(5) ()     Contribution of the EDPB to the evaluation of the GDPR under Article 97 | Euroopan tietosuojaneuvosto (europa.eu) .

(6) ()     GDPR in practice – Experiences of data protection authorities | Euroopan unionin perusoikeusvirasto (europa.eu) .

(7) ()    Ehdotus Euroopan parlamentin ja neuvoston asetukseksi asetuksen (EU) 2016/679 täytäntöönpanoa koskevista täydentävistä menettelysäännöistä (COM(2023) 348 final).

(8) ()     https://edpb.europa.eu/our-work-tools/our-documents/letters/edpb-letter-eu-commission-procedural-aspects-could-be_fi  

(9) ()    Yleisen tietosuoja-asetuksen sidosryhmien välisen asiantuntijaryhmän ja helmikuussa 2023 käynnistetyn kannanottopyynnön kautta.

(10) ()    Erityisesti yleistä tietosuoja-asetusta käsittelevän jäsenvaltioiden asiantuntijaryhmän kautta: https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=fi&do=groupDetail.groupDetail&groupID=3461  

(11) ()    Yleisen tietosuoja-asetuksen 61 artikla.

(12) ()     internal_edpb_document_1_2021_on_art_62_joint_operations_en.pdf (europa.eu)  

(13) ()    Yleisen tietosuoja-asetuksen 62 artikla.

(14) ()    Yleisen tietosuoja-asetuksen 65 artikla.

(15) ()    Tilanne 3. marraskuuta 2023 (tietosuojaneuvoston kannanotto).

(16) ()    Yleisen tietosuoja-asetuksen 60 artiklan 3 kohdan mukaisesti.

(17) ()    Tilanne 3. marraskuuta 2023.

(18) ()    Eniten virallisia pyyntöjä esitti Irlannin viranomainen (246 pyyntöä), ja eniten pyyntöjä vastaanottivat Saksan viranomaiset (516 pyyntöä).

(19) ()    Eniten epävirallisia pyyntöjä esitti Irlannin viranomainen (4 245 pyyntöä) ja toiseksi eniten Saksan viranomaiset (2 036 pyyntöä).

(20) ()    Viranomaisten ilmoittamista 289 merkityksellisestä ja perustellusta vastalauseesta 101 (35 %) oli Saksan viranomaisten esittämiä. Merkityksellisiä ja perusteltuja vastalauseita koskevan yksimielisyyden saavuttamisprosentti vaihtelee 15 prosentista (Saksan viranomaisten esittämistä vastalauseista) 100 prosenttiin (Puolan viranomaisen esittämistä vastalauseista).

(21)

()    Yleisen tietosuoja-asetuksen 64, 65 ja 66 artikla.

(22) ()    Yleisen tietosuoja-asetuksen 64 artiklan 2 kohdan mukaiset lausunnot.

(23)

()    Yleisen tietosuoja-asetuksen 65 artiklan 1 kohdan a alakohdan mukaisesti.

(24) ()    Yleisen tietosuoja-asetuksen 66 artiklan 2 kohdan mukaisesti.

(25) ()    Ks. tietosuojaneuvoston kannanotto, 5.3.4 kohta.

(26) ()    EU:n perusoikeusviraston raportti, s. 36.

(27) ()    Menettelysääntöjä koskevan ehdotuksen 5 artikla.

(28) ()    Romaniassa kaikki 26 rikkomisen toteavaa päätöstä riitautettiin tuomioistuimessa. Alankomaissa puolestaan riitautettiin 23 prosenttia päätöksistä. Päätösten riitauttaminen tuotti useimmin tuloksen Belgiassa (39 %).

(29) ()    Oma-aloitteisia tutkimuksia käynnistivät eniten Saksan tietosuojaviranomaiset (7 647 tutkimusta) ja seuraavaksi eniten Unkari (3 332), Itävalta (1 681) ja Ranska (1 571).

(30) ()    Vuonna 2022 yhdeksän tietosuojaviranomaista vastaanotti yli 2 000 valitusta. Eniten valituksia kirjattiin Saksassa (32 300), Italiassa (30 880), Espanjassa (15 128), Alankomaissa (13 133) ja Ranskassa (12 193) ja vähiten Liechtensteinissa (40), Islannissa (140) ja Kroatiassa (271).

(31) ()    Kaikki viranomaiset määräsivät hallinnollisia seuraamusmaksuja, paitsi Tanska, jossa ei ole säädetty hallinnollisista seuraamusmaksuista. Lukumäärältään eniten sakkoja määräsivät Saksa (2 106 kappaletta) ja Espanja (1 596) ja vähiten Liechtenstein (3), Islanti (15) ja Suomi (20).

(32) ()    EU:n perusoikeusviraston raportti, s. 38.

(33) ()    EU:n perusoikeusviraston raportti, s. 20 ja 23. Ks. myös neuvoston kanta ja havainnot, 17 kohta.

(34) ()    Yleisen tietosuoja-asetuksen 70 artiklan 1 kohta.

(35) ()    EU:n perusoikeusviraston raportti, s. 64.

(36) ()    EU:n perusoikeusviraston raportti, s. 67. Vuonna 2023 eniten resursseja tietosuojaneuvoston toimintaan osoittivat Saksan tietosuojaviranomaiset (26 kokoaikavastaavaa) ja seuraavaksi eniten Irlannin (16) ja Ranskan (12) tietosuojaviranomaiset (tietosuojaneuvoston kannanotto).

(37) ()    EU:n perusoikeusviraston raportti, s. 67.

(38) ()    EU:n perusoikeusviraston raportti, s. 67; tiivistelmä yleisen tietosuoja-asetuksen sidosryhmien välisen asiantuntijaryhmän palautteesta.

(39) ()    Tiivistelmä yleisen tietosuoja-asetuksen sidosryhmien välisen asiantuntijaryhmän palautteesta.

(40) ()    Ks. myös neuvoston kanta ja havainnot, 45 kohta.

(41) ()    Ks. myös neuvoston kanta ja havainnot, 34 kohta.

(42) ()     https://www.edpb.europa.eu/system/files/2024-04/edpb_strategy_2024-2027_en.pdf  

(43) ()    Ks. myös neuvoston kanta ja havainnot, 31 kohdan d alakohta.

(44) ()    Sidosryhmät kaipaavat selkeyttä erityisesti käsitteen ”tieteellinen tutkimus” merkitykseen, suostumuksen rooliin henkilötietojen käsittelyssä tutkimustarkoitukseen, asiaankuuluvaan oikeusperusteeseen sekä käsittelyyn osallistuvien toimijoiden tehtäviin ja vastuisiin.

(45) ()    Ks. myös neuvoston kanta ja havainnot, 31 kohdan b alakohta.

(46) ()    Neuvoston kanta ja havainnot, 27 ja 28 kohta.

(47) ()    Yleisen tietosuoja-asetuksen 52 artikla.

(48) ()    EU:n perusoikeusviraston raportti, s. 31.

(49) ()    Ks. tietosuojaneuvoston kannanotto, 4.4.1 kohta, myös absoluuttisten lukujen osalta.

(50) ()    Vain viisi tietosuojaviranomaista katsoo, että niillä on riittävästi henkilöresursseja (tietosuojaneuvoston kannanotto, s. 33).

(51) ()    EU:n perusoikeusviraston raportti, s. 20. Jotkin tietosuojaviranomaiset ulkoistavat ulkopuolisille toimeksisaajille tiettyjä tehtäviä, kuten valitusten käsittelyn, oikeudellisen analyysin ja rikosteknisen analyysin.

(52) ()    EU:n perusoikeusviraston raportti, s. 24.

(53) ()    EU:n perusoikeusviraston raportti, s. 22.

(54) ()    Ks. tietosuojaneuvoston kannanotto, 4.4.5 kohta.

(55) ()    Tietosuojaneuvoston kannanotto, s. 32.

(56) ()    EU:n perusoikeusviraston raportti, s. 48.

(57) ()    EU:n perusoikeusviraston raportti, s. 45. Tietosuojaviranomaiset pitävät oma-aloitteisia tutkimuksia erityisen tärkeinä, koska valituksen tekijät eivät välttämättä ole tietoisia monista yleisen tietosuoja-asetuksen rikkomisista.

(58) ()    EU:n perusoikeusviraston raportti, s. 8.

(59) ()    EU:n perusoikeusviraston raportti, s. 39.

(60) ()    EU:n perusoikeusviraston raportti, s. 41.

(61) ()    Yleisen tietosuoja-asetuksen johdanto-osan 9 kappale.

(62) ()    Tiivistelmä yleisen tietosuoja-asetuksen sidosryhmien välisen asiantuntijaryhmän palautteesta.

(63) ()    Tiivistelmä yleisen tietosuoja-asetuksen sidosryhmien välisen asiantuntijaryhmän palautteesta.

(64) ()    Tiivistelmä yleisen tietosuoja-asetuksen sidosryhmien välisen asiantuntijaryhmän palautteesta.

(65) ()    Yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan f alakohta ja 6 artiklan 1 kohdan a alakohta.

(66) ()    Yleisen tietosuoja-asetuksen 22 artiklan 2 kohta.

(67) ()    Johdanto-osan 4 kappale.

(68) ()    Tiivistelmä yleisen tietosuoja-asetuksen sidosryhmien välisen asiantuntijaryhmän palautteesta. 

(69) ()    Esimerkiksi tietoyhteiskunnan palveluihin liittyvään lapsen suostumukseen sovellettava vähimmäisikä (yleisen tietosuoja-asetuksen 8 artiklan 1 kohta).

(70) ()    Yleisen tietosuoja-asetuksen 8 artiklan 1 kohta.

(71) ()    Yleisen tietosuoja-asetuksen 9 artiklan 4 kohdassa säädetty mahdollisuus.

(72) ()    Yleisen tietosuoja-asetuksen 10 artikla.

(73) ()    Neuvoston kanta ja havainnot, 30 kohta.

(74) ()    Yleisen tietosuoja-asetuksen 36 artikla.

(75) ()    EU:n perusoikeusviraston raportti, s. 11.

(76) ()    Belgia (2021/4045) ja Belgia (2022/2160).

(77) ()    Suomi (2022/4010) ja Ruotsi (2022/2022).

(78) ()    Tapauksen viitetiedot, tutkimuksen tyyppi (oma-aloitteinen tai valitukseen perustuva), tiivistelmä tutkimuksen laajuudesta, asianomaiset tietosuojaviranomaiset, toteutetut keskeiset menettelyvaiheet ja päivämäärät, toteutetut tutkimukseen liittyvät tai muut toimenpiteet ja päivämäärät.

(79) ()     https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=fi&do=groupDetail.groupDetail&groupID=3461  

(80) ()     https://ec.europa.eu/transparency/expert-groups-register/screen/meetings/consult?lang=fi&meetingId=31754&fromExpertGroups=3461  

(81) ()    Asia C-319/22, ECLI:EU:C:2023:837.

(82) ()    Asia C-184/20, ECLI:EU:C:2022:601, ja asia C-252/21, EU:C:2023:537.

(83) ()    Asia C-683/21, ECLI:EU:C:2023:949, asia C-604/22, ECLI:EU:C:2024:214, ja asia C-231/22, EU:C:2024:7.

(84) ()    Asia C-61/19, ECLI:EU:C:2020:901.

(85) ()    Asia C-597/19, ECLI:EU:C:2021:492, ja asia C-252/21, EU:C:2023:537.

(86) ()    Asia C-307/22, ECLI:EU:C:2023:811, ja asia C-154/21, EU:C:2023:3.

(87) ()    Asia C-460/20, ECLI:EU:C:2022:962.

(88) ()    Asia C-300/21, ECLI:EU:C:2023:370, asia C-687/21, ECLI:EU:C:2024:72, ja asia C-667/21, ECLI:EU:C:2023:1022.

(89) ()    Yhdistetyt asiat C‑26/22 ja C‑64/22, ECLI:EU:C:2023:958.

(90) ()    Asia C-807/21, ECLI:EU:C:2023:950, ja asia C-683/21, ECLI:EU:C:2023:949

(91) ()    Asia C-453/21, ECLI:EU:C:2023:79.

(92) ()    Asia C-439/19, ECLI:EU:C:2021:504, ja asia C-184/20, EU:C:2022:601.

(93) ()    Asia C-33/22, ECLI:EU:C:2024:46, ja asia C-272/19, ECLI:EU:C:2020:535.

(94) ()    Neuvoston kanta ja havainnot, 13 kohta.

(95) ()    Tietosuojaneuvoston kannanotto, 6 kohta.

(96) ()     https://commission.europa.eu/law/law-topic/data-protection/eu-funding-supporting-implementation-general-data-protection-regulation-gdpr_fi  

(97) ()    EU:n perusoikeusviraston raportti, s. 9 ja 48.

(98) ()    Tiivistelmä yleisen tietosuoja-asetuksen sidosryhmien välisen asiantuntijaryhmän palautteesta.

(99) ()    10 artikla, asetus (EU) 2022/868 (datanhallinta-asetus) (EUVL L 152, 3.6.2022, s. 1–44).

(100) ()    Yleisen tietosuoja-asetuksen 12 artiklan 5 kohta.

(101) ()    Unionin tuomioistuin on kuitenkin selventänyt, että rekisteröidyn ei tarvitse perustella esittämäänsä tiedonsaantipyyntöä: asia C-307/22, ECLI:EU:C:2023:811, 38 kohta.

(102) ()    Tiivistelmä yleisen tietosuoja-asetuksen sidosryhmien välisen asiantuntijaryhmän palautteesta. 

(103) ()    Neuvoston kanta ja havainnot, 27 ja 28 kohta.

(104) ()     https://www.edpb.europa.eu/news/news/2024/cef-2024-launch-coordinated-enforcement-right-access_fi

(105) ()     Alustatyö: neuvostolta vahvistus uusille säännöille alustatyöntekijöiden työolojen parantamisesta – neuvosto (europa.eu) .

(106) ()    Ehdotus asetukseksi eurooppalaisesta terveysdata-avaruudesta (COM(2022) 197 final).

(107) ()    Ehdotus Euroopan parlamentin ja neuvoston asetukseksi rahoitusdatan saatavuutta koskevasta kehyksestä ja asetusten (EU) N:o 1093/2010, (EU) N:o 1094/2010, (EU) N:o 1095/2010 ja (EU) 2022/2554 muuttamisesta (COM(2023) 360 final).

(108) ()    Direktiivi (EU) 2020/1828, annettu 25 päivänä marraskuuta 2020, kuluttajien yhteisten etujen suojaamiseksi nostettavista edustajakanteista ja direktiivin 2009/22/EY kumoamisesta (EUVL L 409, 4.12.2020, s. 1–27).

(109) ()    Yleisen tietosuoja-asetuksen johdanto-osan 38 kappale.

(110) ()    Suositus yhdennettyjen lastensuojelujärjestelmien kehittämisestä ja vahvistamisesta lapsen edun mukaisesti: https://commission.europa.eu/strategy-and-policy/policies/justice-and-fundamental-rights/rights-child/combating-violence-against-children-and-ensuring-child-protection_fi .

(111) ()    Ks. myös neuvoston kanta ja havainnot, 31 kohdan a alakohta.

(112) ()    Tiivistelmä yleisen tietosuoja-asetuksen sidosryhmien välisen asiantuntijaryhmän palautteesta. 

(113) ()     https://commission.europa.eu/law/law-topic/data-protection/eu-funding-supporting-implementation-general-data-protection-regulation-gdpr_fi  

(114) ()     https://digital-strategy.ec.europa.eu/en/policies/strategy-better-internet-kids

(115) ()    Asetus (EU) 2024/1183 asetuksen (EU) N:o 910/2014 muuttamisesta eurooppalaisen digitaalisen identiteetin kehyksen vahvistamisen osalta (EUVL L, 2024/1183, 30.4.2024).

(116) ()    Kuten todetaan Fit for Future -foorumin (komission avuksi EU:n säädösten yksinkertaistamisessa ja niihin liittyvien tarpeettomien kustannusten vähentämisessä perustettu korkean tason asiantuntijaryhmä) raportissa: https://commission.europa.eu/law/law-making-process/evaluating-and-improving-existing-laws/refit-making-eu-law-simpler-less-costly-and-future-proof/fit-future-platform-f4f_fi Ks. myös tiivistelmä yleisen tietosuoja-asetuksen sidosryhmien välisen asiantuntijaryhmän palautteesta ja neuvoston kanta ja havainnot, 12 kohta.

(117) ()    Tiivistelmä yleisen tietosuoja-asetuksen sidosryhmien välisen asiantuntijaryhmän palautteesta.

(118) ()    Komission täytäntöönpanopäätös (EU) 2021/915, annettu 4 päivänä kesäkuuta 2021, Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 28 artiklan 7 kohdan ja Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1725 29 artiklan 7 kohdan mukaisista rekisterinpitäjien ja henkilötietojen käsittelijöiden välisistä vakiosopimuslausekkeista (C/2021/3701) (EUVL L 199, 7.6.2021, s. 18–30).

(119) ()    Tiivistelmä yleisen tietosuoja-asetuksen sidosryhmien välisen asiantuntijaryhmän palautteesta.

(120) ()    Neuvoston kanta ja havainnot, 25 kohta.

(121) ()     https://www.edpb.europa.eu/our-work-tools/accountability-tools/register-codes-conduct-amendments-and-extensions-art-4011_fi?f%5B0%5D=coc_scope%3Anational  

(122) ()    Tiivistelmä yleisen tietosuoja-asetuksen sidosryhmien välisen asiantuntijaryhmän palautteesta.

(123) ()     https://www.edpb.europa.eu/system/files/2024-04/edpb_strategy_2024-2027_en.pdf  

(124) ()     https://commission.europa.eu/law/law-topic/data-protection/eu-funding-supporting-implementation-general-data-protection-regulation-gdpr_fi  

(125) ()     https://edpb.europa.eu/sme-data-protection-guide/home_fi  

(126) ()    Tiivistelmä yleisen tietosuoja-asetuksen sidosryhmien välisen asiantuntijaryhmän palautteesta.

(127) ()    Ks. neuvoston kanta ja havainnot, 24 kohta; tiivistelmä yleisen tietosuoja-asetuksen sidosryhmien välisen asiantuntijaryhmän palautteesta.

(128) ()    Yleisen tietosuoja-asetuksen 30 artiklan 5 kohta.

(129) ()    Kun järjestössä on alle 250 työntekijää, paitsi jos sen suorittama käsittely todennäköisesti aiheuttaa riskin rekisteröidyn oikeuksille ja vapauksille, käsittely ei ole satunnaista tai käsittely kohdistuu yleisen tietosuoja-asetuksen 9 artiklan 1 kohdassa tarkoitettuihin erityisiin tietoryhmiin tai yleisen tietosuoja-asetuksen 10 artiklassa tarkoitettuihin rikostuomioita tai rikkomuksia koskeviin henkilötietoihin.

(130) ()    Neuvoston kanta ja havainnot, 26 kohta; tietosuojaneuvosto, 2023 Coordinated Enforcement Action – Designation and Position of Data Protection Officers: https://www.edpb.europa.eu/system/files/2024-01/edpb_report_20240116_cef_dpo_en.pdf  

(131) ()    Tiivistelmä yleisen tietosuoja-asetuksen sidosryhmien välisen asiantuntijaryhmän palautteesta. 

(132) ()    Ks. tietosuojaneuvoston julkaisussa ”2023 Coordinated Enforcement Action” annetut suositukset.

(133) ()    Euroopan parlamentin ja neuvoston asetus (EU) 2022/2065, annettu 19 päivänä lokakuuta 2022, digitaalisten palvelujen sisämarkkinoista ja direktiivin 2000/31/EY muuttamisesta (digipalvelusäädös) (EUVL L 277, 27.10.2022, s. 1–102).

(134) ()    Asetus (EU) 2022/1925 (digimarkkinasäädös) (EUVL L 265, 12.10.2022, s. 1–66).

(135) ()    Asetus (EU) 2024/1689 (tekoälysäädös) (EUVL L, 2024/1689, 12.7.2024).

(136) ()     Alustatyö: neuvostolta vahvistus uusille säännöille alustatyöntekijöiden työolojen parantamisesta – neuvosto (europa.eu) .

(137) ()    Asetus (EU) 2024/900 poliittisen mainonnan avoimuudesta ja kohdentamisesta (EUVL L, 2024/900, 20.3.2024).

(138) ()    Ehdotus sähköisen viestinnän tietosuoja-asetukseksi (COM(2017) 10 final).

(139) ()    Direktiivi 2002/58/EY (sähköisen viestinnän tietosuojadirektiivi) (EYVL L 201, 31.7.2002, s. 37–47).

(140)

()    Asetus (EU) 2024/903 (Yhteentoimiva Eurooppa -säädös) (EUVL L, 2024/903, 22.3.2024).

(141) ()    Ks. neuvoston kanta ja havainnot, 31 kohdan f alakohta.

(142) ()     https://finance.ec.europa.eu/publications/anti-money-laundering-and-countering-financing-terrorism-legislative-package_fi  

(143) ()    Asetus (EU) 2022/868 (datanhallinta-asetus) (EUVL L 152, 3.6.2022, s. 1–44).

(144) ()    Asetus (EU) 2023/2854 (datasäädös) (EUVL L, 2023/2854, 22.12.2023).

(145) ()     https://www.europarl.europa.eu/doceo/document/TA-9-2024-0331_FI.html .

(146) ()    Ks. neuvoston kanta ja havainnot, 40 ja 41 kohta; Tiivistelmä yleisen tietosuoja-asetuksen sidosryhmien välisen asiantuntijaryhmän palautteesta.

(147) ()    Ks. esimerkiksi datasäädöksen 37 artiklan 3 kohta.

(148) ()    Direktiivi (EU) 2022/2555 (NIS 2 -direktiivi) (EUVL L 333, 27.12.2022, s. 80–152).

(149) ()    Ks. neuvoston kanta ja havainnot, 18, 40 ja 41 kohta, ja tiivistelmä yleisen tietosuoja-asetuksen sidosryhmien välisen asiantuntijaryhmän palautteesta.

(150) ()     Saksa on perustanut ”digitaalisen klusterin”, johon kuuluu eri alojen sääntelyviranomaisia ja jonka tavoitteena on laajentaa viranomaisten yhteistyötä digitalisaation kaikkiin osa-alueisiin sekä vaihtaa tietoa ja parhaita käytäntöjä: https://www.dataguidance.com/news/germany-bsi-announces-formation-digital-cluster-bonn  

(151) ()     Euroopan tietosuojaneuvoston suuntaviivat 5/2021.

(152) ()     Euroopan tietosuojaneuvoston suuntaviivat 5/2021, 2 jakso.

(153) ()     Asia C-311/18, ECLI:EU:C:2020:559 (Schrems II).

(154) ()    Schrems II, 93 kohta.

(155) ()    Schrems II, 96 ja 105 kohta.

(156) ()    Schrems II, 131 kohta.

(157) ()    Schrems II, 105 kohta.

(158) ()     Tietosuojaneuvoston suositukset 2/2020 ja tietosuojan riittävyyden viitearvot, WP 254 rev.01.

(159) ()     Tietosuojaneuvoston suositukset 1/2020, joita suositukset 2/2020 täydentävät.

(160) ()     Ks. esimerkiksi tietosuojaneuvoston suositukset 1/2020, kohdat 8–13, 32 ja 33.

(161) ()     Ks. esimerkiksi tietosuojaneuvoston kannanotto, s. 7 ja 8; neuvoston kanta ja havainnot, 36 kohta; tiivistelmä yleisen tietosuoja-asetuksen sidosryhmien välisen asiantuntijaryhmän palautteesta.

(162) ()    Komission tiedonannon Henkilötietojen vaihtaminen ja suojaaminen globalisoituneessa maailmassa (COM(2017) 7 final, 10.1.2017) täytäntöönpano.

(163) ()     Komission täytäntöönpanopäätös (EU) 2021/1772 (EUVL L 360, 11.10.2021, s. 1–68).

(164) ()    Komission täytäntöönpanopäätös (EU) 2022/254 (EUVL L 44, 24.2.2022, s. 1–90).

(165) ()     https://commission.europa.eu/news/joint-press-statement-european-commissioner-justice-didier-reynders-and-us-secretary-commerce-wilbur-2020-08-10_fi  

(166) ()    Komission täytäntöönpanopäätös (EU) 2023/1795 (EUVL L 231, 20.9.2023, s. 118–229).

(167) ()     Euroopan patenttijärjestö on hallitustenvälinen järjestö, joka on perustettu Euroopan patenttisopimuksella. Sen päätehtävänä on eurooppapatenttien myöntäminen, ja se tekee siinä yhteydessä tiivistä yhteistyötä EU:n jäsenvaltioissa toimivien yritysten ja EU:n jäsenvaltioiden viranomaisten sekä EU:n eri toimielinten ja elinten kanssa.

(168) ()     Tietosuojaneuvoston kannanotto, s. 7 ja 8.

(169) ()    Yleisen tietosuoja-asetuksen 45 artiklan 4 ja 5 kohta. Ks. myös Schrems I, 76 kohta.

(170) ()     Komission kertomus – Japanin tietosuojan riittävyyttä koskevan päätöksen toimivuuden ensimmäinen tarkastelu (COM(2023) 275 final, 3.4.2023, ja SWD(2023) 75 final).

(171) ()     Komission täytäntöönpanopäätös (EU) 2019/419 (EUVL L 76, 19.3.2019, s. 1–58). Ks. myös https://ec.europa.eu/commission/presscorner/detail/fi/IP_19_421 . Kyseinen päätös oli ensimmäinen yleisen tietosuoja-asetuksen mukaisesti annettu tietosuojan riittävyyttä koskeva päätös ja ensimmäinen vastavuoroinen tietosuojan riittävyyttä koskeva järjestely.

(172) ()     Andorra, Argentiina, Färsaaret, Guernsey, Israel, Jersey, Kanada (kaupallisille toimijoille), Mansaari, Sveitsi, Uruguay ja Uusi-Seelanti.

(173) ()     Komission kertomus direktiivin 95/46/EY 25 artiklan 6 kohdan nojalla tehtyjen tietosuojan riittävyyttä koskevien päätösten toimivuuden ensimmäisestä uudelleentarkastelusta (COM(2024) 7 final, 15.1.2024, ja SWD(2024) 3 final).

(174) ()     https://ec.europa.eu/commission/presscorner/detail/fi/mex_24_1307#11  

(175) ()     Esimerkiksi Argentiina, Israel, Kolumbia, Marokko, Sveitsi ja Uruguay.

(176) ()     Komission täytäntöönpanopäätös (EU) 2021/914 (EUVL L 199, 7.6.2021, s. 31–61).

(177) ()     Esimerkiksi tietosuojaneuvoston ja tietosuojavaltuutetun yhteinen lausunto 2/2021 osana vakiosopimuslausekkeiden hyväksymismenettelyä.

(178) ()     Neuvoston kanta ja havainnot, 37 kohta, tietosuojaneuvoston kannanotto, s. 9, ja tiivistelmä yleisen tietosuoja-asetuksen sidosryhmien välisen asiantuntijaryhmän palautteesta.

(179) ()     https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/new-standard-contractual-clauses-questions-and-answers-overview_fi

(180) ()     Ks. esimerkiksi tiivistelmä yleisen tietosuoja-asetuksen sidosryhmien välisen asiantuntijaryhmän palautteesta.

(181) ()     Asetuksen (EU) 2018/1725 48 artiklan 2 kohdan b alakohdan mukaisesti.

(182) ()     Neuvoston kanta ja havainnot, 37 kohta, tietosuojaneuvoston kannanotto, s. 9, ja tiivistelmä yleisen tietosuoja-asetuksen sidosryhmien välisen asiantuntijaryhmän palautteesta.

(183) () Tietosuojaneuvoston suuntaviivat 5/2021, s. 3.

(184) ()     Kuten todetaan myös tietosuojaneuvoston suuntaviivojen 5/2021 4 jaksossa.

(185) ()     Tietosuojaneuvoston kannanotto, s. 9, ja tiivistelmä yleisen tietosuoja-asetuksen sidosryhmien välisen asiantuntijaryhmän palautteesta.

(186) ()     Esimerkiksi Yhdistynyt kuningaskunta ( https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf ) ja Sveitsi ( https://www.edoeb.admin.ch/edoeb/en/home/datenschutz/arbeit_wirtschaft/datenuebermittlung_ausland.html ).

(187) ()     Esimerkiksi Uusi-Seelanti ( https://privacy.org.nz/responsibilities/your-obligations/disclosing-personal-information-outside-new-zealand/ ) ja Argentiina ( https://servicios.infoleg.gob.ar/infolegInternet/anexos/265000-269999/267922/norma.htm ).

(188) ()     Ks. https://rm.coe.int/t-pd-2022-1rev10-en-final/1680abc6b4 , https://www.redipd.org/sites/default/files/2023-02/anexo-modelos-clausulas-contractuales-en.pdf ja https://asean.org/wp-content/uploads/3-ASEAN-Model-Contractual-Clauses-for-Cross-Border-Data-Flows_Final.pdf .

(189) ()     https://commission.europa.eu/document/download/df5cd5a0-7387-4a2a-8058-8d2ccfec3062_en?filename=%28Final%29%20Joint_Guide_to_ASEAN_MCC_and_EU_SCC.pdf

(190) ()     Tietosuojaneuvoston kannanotto, s. 9.

(191) ()     Tietosuojaneuvoston suositukset 1/2022.

(192) ()     Tietosuojaneuvoston kannanotto, s. 9.

(193) ()     Tiivistelmä yleisen tietosuoja-asetuksen sidosryhmien välisen asiantuntijaryhmän palautteesta.

(194) ()    Tietosuojaneuvoston suuntaviivat 7/2022 ja ohjeet 4/2021.

(195) ()     Tietosuojaneuvoston suuntaviivat 2/2020.

(196) ()     Tietoverkkorikollisuutta koskevan yleissopimuksen toinen lisäpöytäkirja, joka koskee yhteistyön tiivistämistä ja sähköisten todisteiden luovuttamista (CETS 224).

(197) ()     https://commission.europa.eu/news/eu-us-announcement-resumption-negotiations-eu-us-agreement-facilitate-access-electronic-evidence-2023-03-02_fi  

(198) ()     Komission ehdotus neuvoston päätökseksi matkustajarekisteritietojen siirtämistä ja käsittelyä koskevan Kanadan ja Euroopan unionin välisen sopimuksen allekirjoittamisesta Euroopan unionin puolesta (COM(2024) 94 final).

(199) ()     Esimerkiksi Argentiinan, Australian, Brasilian, Etiopian, Indonesian, Kiinan, Malesian, Perun Ruandan ja Thaimaan järjestämiin kuulemisiin.

(200) ()     Esimerkiksi Chilen, Ecuadorin ja Paraguayn parlamentaarisissa elimissä.

(201) () Tähän sisältyi myös seminaarien ja opintovierailujen järjestäminen esimerkiksi Kenian, Indonesian ja Singaporen kanssa.

(202) ()     Tietosuojaneuvoston kannanotto, s. 8; neuvoston kanta ja havainnot, 38 kohta.

(203) ()     Tietosuojaneuvoston kannanotto, s. 8.

(204) ()     Neuvoston kanta ja havainnot, 39 kohta.

(205) ()     Pöytäkirja yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä tehdyn yleissopimuksen muuttamisesta (CETS 223).

(206) ()    Tanska.

(207) ()    Alankomaat, Belgia, Kreikka, Irlanti, Latvia, Luxemburg, Ruotsi ja Tšekki.

(208) ()     Ks. esimerkiksi https://www.g7germany.de/resource/blob/974430/2062292/fbdb2c7e996205aee402386aae057c5e/2022-07-14-leaders-communique-data.pdf?download=1  

(209) ()     https://www.edps.europa.eu/data-protection/our-work/edps-worldwide/data-protection-and-international-organisations_en