EUROOPAN KOMISSIO
Bryssel 24.1.2018
COM(2018) 43 final
KOMISSION TIEDONANTO EUROOPAN PARLAMENTILLE JA NEUVOSTOLLE
FMT:BoldVahvempi suoja, uudet mahdollisuudet – komission ohjeet yleisen tietosuoja-asetuksen suorasta soveltamisesta 25. toukokuuta 2018 lähtien/FMT
Komission tiedonanto Euroopan parlamentille ja neuvostolle
Vahvempi suoja, uudet mahdollisuudet – komission ohjeet yleisen tietosuoja-asetuksen suorasta soveltamisesta 25. toukokuuta 2018 lähtien
Johdanto
EU hyväksyi 6. huhtikuuta 2016 tietossuojakehyksen merkittävän uudistuksen. Se antoi tietosuojan uudistuspaketin, joka koostui yleisestä tietosuoja-asetuksesta jäljempänä ’asetus’ sekä poliisidirektiivistä. Asetus korvasi 20 vuotta vanhan direktiivin 95/46/EY, jäljempänä ’tietosuojadirektiivi’. Asetusta, joka on uusi EU:n laajuinen tietosuojaväline, aletaan soveltaa sellaisenaan 25. toukokuuta 2018, jolloin on kulunut kaksi vuotta asetuksen hyväksymisestä ja voimaantulosta.
Uusi asetus vahvistaa luonnollisten henkilöiden oikeutta henkilötietojen suojaan, mikä kuvastaa tietosuojan luonnetta Euroopan unionin perusoikeutena.
Asetuksessa vahvistetaan yksi ainoa kattava säännöstö, jota sovelletaan suoraan jäsenvaltioiden oikeusjärjestyksissä. Asetuksella taataan henkilötietojen vapaa liikkuvuus EU:n jäsenvaltioiden välillä sekä vahvistetaan todellisten digitaalisten sisämarkkinoiden kahta välttämätöntä osatekijää eli kuluttajien luottamusta ja turvallisuutta. Tällä tavoin yrityksille ja etenkin pienyrityksille tarjoutuu asetuksen myötä uusia mahdollisuuksia, myös kansainvälisiä tiedonsiirtoja koskevien sääntöjen selkeyttämisen ansiosta.
Vaikka uusi tietosuojakehys perustuu olemassa olevaan lainsäädäntöön, sillä tulee olemaan laajamittaiset vaikutukset. Eräiltä osin tarvitaan huomattavia mukautuksia. Asetuksessa säädettiinkin 25. toukokuuta 2018 saakka ulottuvasta kahden vuoden siirtymäajasta, jotta jäsenvaltiot ja sidosryhmät voivat valmistautua perusteellisesti uuteen oikeudelliseen kehykseen.
Kahden viime vuoden aikana kaikki sidosryhmät kansallisista hallinto- ja tietosuojaviranomaisista rekisterinpitäjiin ja henkilötietojen käsittelijöihin ovat osallistuneet moniin toimiin varmistaakseen, että uuden tietosuojan mukanaan tuomien muutosten tärkeys ja laajuus ymmärretään kyllin hyvin ja että kaikki toimijat ovat valmiita soveltamaan asetusta. Määräajan eli 25. toukokuuta 2018 lähestyessä komissio katsoo, että on tarpeen arvioida tätä työtä ja tarkastella, millaisia jatkotoimia mahdollisesti tarvitaan sen varmistamiseksi, että uuden kehyksen soveltaminen saadaan käyntiin menestyksellisesti.
Tässä tiedonannossa
·tehdään yhteenveto tärkeimmistä innovaatioista ja mahdollisuuksista, joita EU:n uusi tietosuojalainsäädäntö tarjoaa,
·tarkastellaan EU:n tasolla tähän mennessä tehtyjä valmisteluja,
·kerrotaan, mitä Euroopan komission sekä kansallisten hallinto- ja tietosuojaviranomaisten olisi vielä tehtävä, jotta valmistelut saataisiin menestyksekkäästi päätökseen, ja
·selostetaan toimenpiteitä, joita komissio aikoo toteuttaa tulevina kuukausina.
Tämän tiedonannon ohella komissio laatii verkko-oppaan, jolla autetaan sidosryhmiä valmistautumaan asetuksen soveltamiseen. Lisäksi komissio toteuttaa edustustojen tuella tiedotuskampanjan kaikissa jäsenvaltioissa.
1.EU:N UUSI TIETOSUOJAKEHYS – vahvempi SUOJA JA UUSIA MAHDOLLISUUKSIA
Asetuksen lähestymistapa noudattaa tietosuojadirektiivin linjaa. Vaikka asetus perustuu EU:ssa 20 vuoden aikana annettuun tietosuojalainsäädäntöön ja siihen liittyvään oikeuskäytäntöön, siinä kuitenkin selkeytetään ja uudistetaan tietosuojasääntöjä. Asetuksessa otetaan käyttöön monia uusia elementtejä, joilla vahvistetaan henkilöiden oikeuksia ja tarjotaan yrityksille uusia mahdollisuuksia. Uudistukset ovat seuraavat:
·Yhdenmukainen oikeudellinen kehys, joka johtaa sääntöjen yhdenmukaiseen soveltamiseen ja hyödyttää EU:n digitaalisia sisämarkkinoita. Tämä tarkoittaa, että kansalaisia ja yrityksiä varten on yksi ainoa säännöstö. Tällä puututaan nykyiseen tilanteeseen, jossa direktiivin sääntöjä pannaan täytäntöön eri tavalla eri EU:n jäsenvaltioissa. Asetuksen yhdenmukainen ja johdonmukainen soveltaminen kaikissa jäsenvaltioissa varmistetaan ottamalla käyttöön yhden luukun järjestelmä.
·Tasapuoliset toimintaedellytykset kaikille EU:n markkinoilla toimiville yrityksille. Asetuksen mukaan yritysten, joiden kotipaikka on EU:n ulkopuolella, on sovellettava samoja sääntöjä kuin yritysten, joiden kotipaikka on EU:ssa, jos ne markkinoivat henkilötietoihin liittyviä tuotteita tai palveluita tai seuraavat yksilöiden käyttäytymistä unionissa. EU:n ulkopuolelta käsin toimintaa harjoittavien, sisämarkkinoilla toimivien yritysten on tietyissä olosuhteissa nimettävä EU:ssa oleva edustaja, jonka puoleen kansalaiset ja viranomaiset voivat kääntyä ulkomaille sijoittautuneen yrityksen lisäksi tai sen sijasta.
·Sisäänrakennetun ja oletusarvoisen tietosuojan periaatteet. Nämä luovat kannustimia innovatiivisille ratkaisuille, joilla puututaan tietosuojaongelmiin heti kun niitä ilmenee.
·Entistä vahvemmat yksilöiden oikeudet: Asetuksella otetaan käyttöön uusia avoimuusvaatimuksia. Siinä vahvistetaan oikeuksia tiedon saamiseen, tietoihin pääsemiseen ja tietojen poistamiseen (”oikeus tulla unohdetuksi”). Vaikenemista tai jonkin toimen toteuttamatta jättämistä ei enää katsota päteväksi suostumukseksi vaan vaaditaan selkeästi suostumusta ilmaiseva toimi. Lapsia suojellaan internetissä.
·Yksilöiden entistä paremmat mahdollisuudet hallita omia henkilötietojaan. Asetuksella otetaan käyttöön tietojen siirtämistä järjestelmästä toiseen koskeva uusi oikeus. Tämä antaa kansalaisille mahdollisuuden pyytää yritykseltä tai organisaatiolta takaisin henkilötietoja, jotka kansalainen on antanut tälle yritykselle tai organisaatiolle suostumuksen tai sopimuksen perusteella; mainitun oikeuden ansiosta kyseiset henkilötiedot voidaan siirtää myös suoraan toiselle yritykselle tai organisaatiolle, jos se on teknisesti mahdollista. Koska tämä oikeus mahdollistaa henkilötietojen siirtämisen suoraan yhdeltä yritykseltä tai organisaatiolta toiselle, se myös tukee henkilötietojen vapaata liikkuvuutta EU:ssa, auttaa torjumaan henkilötietojen ns. lukkiutumista
(”lock-in”) ja edistää yritysten välistä kilpailua. Näin kansalaiset voivat vaihtaa palveluntarjoajaa helpommin, ja samalla edistetään uusien palvelujen kehittämistä digitaalisten sisämarkkinoiden strategian mukaisesti.
·Entistä vahvempi suoja tietoturvaloukkauksia vastaan. Asetuksessa vahvistetaan kattava säännöstö, joka koskee tietoturvaloukkauksia. Siinä määritellään selkeästi, mitä ”henkilötietojen tietoturvaloukkauksella” tarkoitetaan, ja otetaan käyttöön velvoite, jonka mukaan valvontaviranomaiselle on ilmoitettava 72 tunnin kuluessa loukkauksen ilmitulosta, jos loukkauksesta todennäköisesti aiheutuu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuva riski. Siinä velvoitetaan myös ilmoittamaan tietyissä tilanteissa loukkauksesta henkilölle, jonka tietoja loukkaus koskee. Tämä vahvistaa merkittävästi suojaa verrattuna EU:n nykytilanteeseen, jossa vain sähköisten viestintäpalvelujen tarjoajilla, keskeisten palvelujen tarjoajilla ja digitaalisen palvelun tarjoajilla on velvollisuus ilmoittaa tietoturvaloukkauksista yksityisyyden suojasta sähköisen viestinnän alalla annetun direktiivin, jäljempänä ’sähköisen viestinnän tietosuojadirektiivi’
, ja verkko- ja tietojärjestelmien turvallisuudesta annetun direktiivin, jäljempänä ’verkko- ja tietoturvadirektiivi’
, nojalla.
·Asetus antaa kaikille tietosuojaviranomaiselle valtuudet määrätä sakkoja rekisterinpitäjille ja henkilötietojen käsittelijöille. Näitä valtuuksia ei nykyään ole kaikilla tietosuojaviranomaisilla. Niiden antaminen edistää sääntöjen täytäntöönpanoa. Sakko voi olla enintään 20 miljoonaa euroa tai, jos kyseessä on yritys, 4 prosenttia maailmanlaajuisesta kokonaisliikevaihdosta.
·Enemmän joustovaraa henkilötietoja käsitteleville rekisterinpitäjille ja henkilötietojen käsittelijöille yksiselitteisten vastuusäännösten ansiosta (tilivelvollisuusperiaate). Asetuksessa siirrytään ilmoitusjärjestelmästä tilivelvollisuusperiaatteen suuntaan. Viimeksi mainittu toteutetaan siten, että riskin lisääntyessä velvoitteet lisääntyvät (esim. tietosuojavastaavan nimeäminen tai tietosuojaa koskevien vaikutustenarviointien toteuttamisvelvoite). Tietosuojaa koskeva vaikutustenarviointi on uusi työkalu, joka otetaan käyttöön tukemaan riskien arviointia ennen tietojenkäsittelyn aloittamista. Se vaaditaan aina, jos käsittelyyn todennäköisesti liittyy yksilöiden oikeuksien ja vapauksien kannalta korkea riski. Asetuksessa mainitaan erikseen kolme tällaista tapausta: kun yritys arvioi järjestelmällisesti ja kattavasti luonnollisen henkilön henkilökohtaisia ominaisuuksia (mukaan lukien profilointi), kun se käsittelee arkaluontoisia tietoja laajamittaisesti tai valvoo yleisölle avoimia alueita järjestelmällisesti ja laajamittaisesti. Kansallisten tietosuojaviranomaisten on julkaistava luettelot tapauksista, joiden yhteydessä vaaditaan tietosuojaa koskeva vaikutustenarviointi.
·Henkilötietojen käsittelijöitä koskevat selkeämmät velvoitteet ja rekisterinpitäjien selkeämpi vastuu henkilötietojen käsittelijän valinnan yhteydessä.
·Nykyaikainen hallintajärjestelmä, jolla varmistetaan, että säännöt pannaan täytäntöön entistä johdonmukaisemmin ja tehokkaammin. Järjestelmä käsittää yhdenmukaiset valtuudet tietosuojaviranomaisille myös sakkojen osalta ja uudet mekanismit tietosuojaviranomaisten verkostoyhteistyötä varten.
·Asetuksen takaama henkilötietojen suoja seuraa mukana, mikä varmistaa, että suoja pysyy korkeatasoisena siirrettäessä tietoja EU:n ulkopuolelle. Kansainvälisiä henkilötietojen siirtoja koskevien sääntöjen rakenne asetuksessa vastaa pääosin vuoden 1995 direktiivissä olevaa rakennetta. Uudistuksella kuitenkin selkeytetään ja yksinkertaistetaan sääntöjen käyttöä ja otetaan käyttöön uusia työkaluja siirtoja varten. Tietosuojan tason riittävyyttä koskevien päätösten osalta asetuksessa otetaan käyttöön tarkka ja yksityiskohtainen luettelo tekijöistä, jotka komission on otettava huomioon arvioidessaan ulkomaisen järjestelmän tarjoaman henkilötietojen suojan riittävyyttä. Asetuksessa myös virallistetaan vaihtoehtoisia siirtovälineitä ja lisätään niiden määrää. Tällaisia ovat esimerkiksi vakiosopimuslausekkeet ja yritystä koskevat sitovat säännöt.
Unionin toimielimiä, elimiä ja laitoksia koskeva tarkistettu asetus ja yksityisyyttä sähköisessä viestinnässä koskeva asetus, jäljempänä ’sähköisen viestinnän tietosuoja-asetus’, ovat parhaillaan käsiteltävinä. Kun ne on hyväksytty, niillä varmistetaan EU:n tietosuojasäännöstön tehokkuus ja kattavuus.
2.EU-tason valmistelu tähän mennessä
Asetuksen tuloksellinen soveltaminen edellyttää yhteistyötä kaikilta tietosuojan alalla toimivilta tahoilta. Näitä ovat jäsenvaltiot ja niiden kansalliset hallinto- ja tietosuojaviranomaiset, yritykset, henkilötietoja käsittelevät organisaatiot ja luonnolliset henkilöt sekä komissio.
2.1 Euroopan komission toimet
Komissio on pian asetuksen voimaantulon jälkeen vuoden 2016 puolivälissä ollut yhteydessä jäsenvaltioiden viranomaisiin, tietosuojaviranomaisiin ja sidosryhmiin asetuksen soveltamisen valmistelemiseksi sekä tuen ja neuvonnan antamiseksi.
a) Jäsenvaltioiden ja niiden viranomaisten tukeminen
Komissio on tehnyt varsin tiivistä yhteistyötä jäsenvaltioiden kanssa tukeakseen niiden työtä siirtymäkauden aikana ja varmistaakseen mahdollisimman hyvän yhdenmukaisuuden tason. Tätä tarkoitusta varten komissio on perustanut asiantuntijaryhmän, joka tukee jäsenvaltioita niiden valmistautuessa asetuksen soveltamiseen. Asiantuntijaryhmä on kokoontunut jo 13 kertaa. Se toimii foorumina, jolla jäsenvaltiot voivat jakaa kokemuksiaan ja asiantuntemusta. Komissio on lisäksi pitänyt jäsenvaltioiden kanssa kahdenvälisiä kokouksia, joissa on käsitelty kansallisella tasolla esiin tulleita kysymyksiä.
b) Yksittäisten tietosuojaviranomaisten tukeminen ja Euroopan tietosuojaneuvoston luominen
Komissio on tukenut aktiivisesti tietosuojatyöryhmän työtä myös varmistaakseen kitkattoman siirtymisen Euroopan tietosuojaneuvostoon.
c) Kansainvälinen toiminta
Asetus parantaa entisestään EU:n valmiuksia levittää aktiivisesti omia tietosuoja-arvojaan laajemmalle ja edistää rajat ylittäviä tietovirtoja maailmanlaajuisesti kannustamalla maita lähentämään lainsäädäntöjärjestelmiään. Kansainvälisellä tasolla ollaan yhä paremmin tietoisia siitä, että EU:n tietosuojasäännöissä asetetaan vaatimuksia, jotka vastaavat maailman korkeatasoisimpia tietosuojanormeja. Parhaillaan uudistetaan myös Euroopan neuvoston yleissopimusta N:o 108, joka on ainoa oikeudellisesti sitova monenvälinen väline henkilötietojen suojan alalla. Komission tavoitteena on, että yleissopimus noudattaisi EU:n tietosuojasääntöjen mukaisia periaatteita. Näin saataisiin käyttöön yhtenäiset, korkeatasoiset tietosuojanormit. Komissio aikoo aktiivisesti edistää uudistetun sopimustekstin ripeää hyväksymistä ottaen huomioon, että EU:sta on tulossa sopimuksen osapuoli. Komissio kehottaa EU:n ulkopuolisia maita ratifioimaan Euroopan neuvoston yleissopimuksen N:o 108 ja sen lisäpöytäkirjan.
Monet EU:n ulkopuoliset maat ja alueelliset järjestöt sekä unionin lähialueilla että Aasiassa, Latinalaisessa Amerikassa ja Afrikassa säätävät uutta ja päivittävät voimassa olevaa tietosuojalainsäädäntöä. Näin ne pyrkivät hyödyntämään maailmanlaajuisen digitaalitalouden mahdollisuuksia ja vastaamaan vahvemman tietosuojan ja yksityisyyden suojan kasvavaan tarpeeseen. Vaikka eri mailla on erilaisia lähestymistapoja ja niiden lainsäädännöt ovat eri kehitysvaiheissa, on merkkejä siitä, että asetusta käytetään yhä useammin ohjenuorana ja inspiraation lähteenä.
Tässä yhteydessä komissio pyrkii laajentamaan kansainvälistä toimintaansa tammikuussa 2017 antamansa tiedonannon mukaisesti olemalla aktiivisesti yhteydessä keskeisiin kauppakumppaneihin varsinkin Itä- ja Kaakkois-Aasiassa ja Latinalaisessa Amerikassa. Tavoitteena on selvittää, voitaisiinko näiden alueiden maiden osalta antaa tietosuojan riittävyyttä koskevia päätöksiä.
Komissio tekee yhteistyötä erityisesti Japanin kanssa, jotta kumpikin osapuoli saavuttaisi samanaikaisesti tietosuojan riittävän tason vuoden 2018 alussa. Tästä kertoivat komission puheenjohtaja Juncker ja pääministeri Abe 6. heinäkuuta 2017 antamassaan yhteisessä julkilausumassa. Myös Etelä-Korean kanssa on aloitettu keskustelut mahdollisen tietosuojan riittävyyttä koskevan päätöksen tekemiseksi. Riittävyyspäätöksellä varmistettaisiin tietojen vapaa liikkuvuus kyseisten kolmansien maiden kanssa samalla kun taattaisiin, että EU:sta näihin maihin siirrettävien henkilötietojen suoja on korkeatasoinen.
Samaan aikaan komissio työskentelee sidosryhmien kanssa, jotta kansainvälisissä tiedonsiirroissa voitaisiin hyödyntää asetuksen työkaluja täysimääräisesti. Tavoitteeseen pyritään kehittämällä vaihtoehtoisia siirtomekanismeja tiettyjen alojen ja/tai tiettyjen toimijoiden erityistarpeisiin.
d) Vuorovaikutus sidosryhmien kanssa
Komissio on järjestänyt monia tapahtumia, joilla pyritään tavoittamaan sidosryhmiä. Kuluttajille tarkoitettu uusi työpaja on määrä pitää vuoden 2018 ensimmäisellä neljänneksellä. Myös erityisiä alakohtaisia keskusteluja on käyty esimerkiksi tutkimuksen ja rahoituspalvelujen alalla.
Komissio on myös perustanut asetusta käsittelevän eri sidosryhmistä koostuvan ryhmän, johon kuuluu kansalaisyhteiskunnan ja yritysten edustajia, tutkijoita ja käytännön toimijoita. Ryhmä antaa komissiolle neuvoja erityisesti siitä, miten asetusta koskeva sidosryhmien tietämys saataisiin riittävälle tasolle.
Lisäksi Euroopan komissio on rahoittanut tutkimuksen ja innovoinnin
Horisontti 2020 -puiteohjelmasta
toimia, joiden tavoitteena on kehittää työkaluja asetuksen tehokasta soveltamista varten. Työkalut koskevat suostumusta ja data-analytiikassa käytettäviä yksityisyyden turvaavia menetelmiä, kuten monenvälistä tietojenkäsittelyä (multi-party computing) ja homomorfista salausta.
2.2 Tietosuojatyöryhmän / Euroopan tietosuojaneuvoston toimet
Tietosuojatyöryhmään kokoontuvat kaikki kansalliset tietosuojaviranomaiset sekä Euroopan tietosuojavaltuutettu. Se antaa ohjeita yrityksille ja muille sidosryhmille, joten sillä on keskeinen asema valmisteltaessa asetuksen soveltamista. Koska kansalliset tietosuojaviranomaiset panevat asetuksen täytäntöön ja ovat suoraan yhteydessä sidosryhmiin, niillä on parhaat mahdollisuudet tarjota lisää oikeusvarmuutta asetuksen tulkinnassa.
Tietosuojatyöryhmän laatimat ohjeet/valmisteluasiakirjat asetuksen soveltamiseen valmistautumista varten
|
Oikeus siirtää tiedot järjestelmästä toiseen
|
annettu 4.–5. huhtikuuta 2017
|
Tietosuojavastaavat
|
|
Johtavan valvontaviranomaisen nimeäminen
|
|
Tietosuojaa koskeva vaikutustenarviointi
|
annettu 3.–4. lokakuuta 2017
|
Hallinnolliset sakot
|
annettu 3.–4. lokakuuta 2017
|
Profilointi
|
työ käynnissä
|
Tietoturvaloukkaus
|
työ käynnissä
|
Suostumus
|
työ käynnissä
|
Avoimuus
|
työ käynnissä
|
Sertifiointi ja akkreditointi
|
työ käynnissä
|
Riittävyyden viitearvot
|
työ käynnissä
|
Yritystä koskevat sitovat säännöt rekisterinpitäjille
|
työ käynnissä
|
Yritystä koskevat sitovat säännöt henkilötietojen käsittelijöille
|
työ käynnissä
|
Tietosuojatyöryhmä ajantasaistaa olemassa olevia lausuntoja, esimerkiksi välineistä, joilla siirretään tietoja EU:n ulkopuolisiin maihin.
Koska toimijat tarvitsevat yhden johdonmukaisen ohjeiston, nykyiset kansallisen tason ohjeet on joko kumottava tai saatettava tietosuojatyöryhmän / Euroopan tietosuojaneuvoston samasta aiheesta antamien ohjeiden mukaisiksi.
Komissio pitää erityisen tärkeänä, että kyseisistä ohjeista järjestetään julkinen kuuleminen ennen niiden viimeistelyä. Sidosryhmien tähän prosessiin antamien tietojen on oltava mahdollisimman täsmällisiä ja konkreettisia, koska niiden avulla tunnistetaan parhaita käytäntöjä ja tuodaan tietosuojaryhmän tietoon eri toimialojen erityispiirteitä. Lopullinen vastuu mainituista ohjeista jää edelleen tietosuojatyöryhmälle ja tulevalle Euroopan tietosuojaneuvostolle. Tietosuojaviranomaiset tukeutuvat niihin pannessaan täytäntöön asetusta.
Ohjeita olisi voitava muuttaa tapahtuneen kehityksen ja toteutuneiden käytäntöjen perusteella. Tämän vuoksi tietosuojaviranomaisten olisi edistettävä kaikkien sidosryhmien, myös yritysten, kanssa käytävää tiivistä vuoropuhelua.
On tärkeää muistaa, että asetuksen lopullisesta tulkinnasta ja soveltamisesta määräävät kansallisen ja EU-tason tuomioistuimet.
3.Tuloksellisen valmistelun edellyttämät, jäljellä olevat toimet
3.1 Jäsenvaltioiden on saatava valmiiksi oikeudellisen kehyksen luominen kansallisella tasolla
Asetusta sovelletaan sellaisenaan kaikissa jäsenvaltioissa. Tämä tarkoittaa, että se tulee voimaan ja sitä sovelletaan kansallisista säädöksistä riippumatta. Kansalaiset, yritykset, viranomaiset ja muut henkilötietoja käsittelevät organisaatiot voivatkin yleensä vedota suoraan asetuksen säännöksiin. Jäsenvaltioiden on asetuksen mukaan kuitenkin toteutettava tarvittavat toimenpiteet kansallisen lainsäädännön mukauttamiseksi. Niiden on kumottava ja muutettava voimassa olevia säädöksiä, perustettava kansallisia tietosuojaviranomaisia, valittava akkreditointielin ja vahvistettava säännöt, jotka koskevat sananvapauden ja tietosuojan yhteensovittamista.
Asetuksessa annetaan jäsenvaltioille myös mahdollisuus määrittää täsmällisemmin tietosuojasääntöjen soveltamista seuraavilla aloilla: julkinen sektori, työllisyys ja sosiaaliturva, ennalta ehkäisevä ja työterveyshuolto sekä kansanterveys, yleisen edun mukaiset arkistointitarkoitukset taikka tieteelliset ja historialliset tutkimustarkoitukset tai tilastolliset tarkoitukset, kansallinen henkilötunnus, virallisten asiakirjojen julkisuus ja salassapitovelvollisuus. Asetuksessa annetaan jäsenvaltioille lisäksi geneettisten tietojen, biometristen tietojen tai terveystietojen osalta mahdollisuus pitää voimassa tai ottaa käyttöön lisäehtoja, myös rajoituksia.
Jäsenvaltioiden toiminnan kehyksen muodostaa tässä yhteydessä kaksi tekijää:
1.Euroopan unionin perusoikeuskirjan 8 artikla, mikä tarkoittaa, että kansallisten täsmentävien säädösten on oltava perusoikeuskirjan 8 artiklan (ja perusoikeuskirjan 8 artiklaan perustuvan asetuksen) mukaisia.
2.SEUT-sopimuksen 16 artiklan 2 kohta, jonka mukaan kansallinen lainsäädäntö ei saa heikentää henkilötietojen vapaata liikkuvuutta EU:ssa.
Asetus antaa mahdollisuuden yksinkertaistaa lainsäädäntöä ja sen myötä vähentää kansallisten sääntöjen määrää sekä selkeyttää sääntelyä toimijoiden kannalta.
Jäsenvaltioiden on kansallista lainsäädäntöään mukauttaessaan otettava huomioon, että kansalliset toimenpiteet, joilla luodaan esteitä asetuksen soveltamiselle sellaisenaan ja vaarannetaan sen yhtäaikainen ja yhdenmukainen soveltaminen koko EU:ssa, ovat perussopimusten vastaisia.
Myös asetusten tekstin (esim. määritelmien tai henkilöiden oikeuksien) sisällyttäminen kansalliseen lainsäädäntöön kielletään, paitsi tapauksissa, joissa se on välttämätöntä johdonmukaisuuden vuoksi ja kansallisten säännösten tekemiseksi ymmärrettäväksi niille, joihin asetuksia sovelletaan. Asetuksen tekstin saa jäljentää sanatarkasti kansallisessa täsmentävässä säädöksessä vain poikkeuksellisissa ja perustelluissa tapauksissa, eikä jäljentämistä voida käyttää lisäehtojen tai -tulkintojen lisäämiseen asetuksen tekstiin.
Asetuksen tulkinta jää eurooppalaisten tuomioistuinten (kansallisten tuomioistuinten ja viime kädessä Euroopan unionin tuomioistuimen), ei jäsenvaltioiden lainsäätäjien tehtäväksi. Kansallinen lainsäätäjä ei sen vuoksi voi jäljentää asetuksen tekstiä, jollei se ole tarpeen oikeuskäytännössä vahvistettujen kriteerien perusteella, eikä tulkita sitä tai lisätä uusia edellytyksiä asetuksen nojalla suoraan sovellettaviin sääntöihin. Jos lainsäätäjä tekisi niin, toimijat kaikkialla unionissa joutuisivat uudelleen kärsimään säännösten hajanaisuudesta eivätkä tietäisi, mitä sääntöjä niiden on noudatettava.
Vain kaksi jäsenvaltiota on tässä vaiheessa jo antanut asiaan liittyvää kansallista lainsäädäntöä. Muut jäsenvaltiot ovat eri vaiheissa lainsäädäntömenettelyjään, ja niiden on hyväksyttävä kyseinen lainsäädäntö 25. toukokuuta 2018 mennessä. On tärkeää antaa toimijoille riittävästi aikaa valmistautua niitä koskevien säännösten soveltamiseen.
Jos jäsenvaltiot eivät toteuta asetuksen nojalla vaadittavia tarpeellisia toimia tai jos ne toteuttavat ne liian myöhään tai soveltavat asetuksessa säädettyjä täsmennyslausekkeita asetuksen vastaisesti, komissio käyttää kaikkia käytettävissään olevia työkaluja, myös rikkomusmenettelyjä.
3.2 Tietosuojaviranomaisten on varmistettava, että uusi, riippumaton Euroopan tietosuojaneuvosto on täysin toimintakykyinen
On olennaisen tärkeää, että asetuksella perustettu uusi elin, Euroopan tietosuojatyöryhmän seuraajana toimiva Euroopan tietosuojaneuvosto, on täysin toimintakykyinen 25. toukokuuta 2018 alkaen.
Euroopan tietosuojavaltuutettu, joka on EU:n toimielinten ja elinten valvonnasta vastaava tietosuojaviranomainen, huolehtii Euroopan tietosuojaneuvoston sihteeristön tehtävistä. Tällä pyritään parantamaan synergioita ja tehokkuutta. Euroopan tietosuojavaltuutettu on viime kuukausina aloittanut tältä osin tarpeelliset valmistelut.
Euroopan tietosuojaneuvosto tulee olemaan keskeinen tietosuoja-alan toimija Euroopassa. Se edistää tietosuojalainsäädännön yhdenmukaista soveltamista ja tarjoaa vahvan perustan yhteistyölle, jota tietosuojaviranomaiset, mukaan lukien Euroopan tietosuojavaltuutettu, tekevät. Euroopan tietosuojaneuvosto ei pelkästään anna ohjeita asetuksen keskeisten käsitteiden tulkinnasta vaan antaa myös sitovia päätöksiä rajat ylittävää tietojenkäsittelyä koskevista kiistoista. Näin taataan EU:n sääntöjen yhdenmukainen soveltaminen ja varmistetaan, että samanlaisia tilanteita käsitellään samalla tavalla eri jäsenvaltioissa.
Koko järjestelmän toimivuus edellyttää siis Euroopan tietosuojaneuvoston kitkatonta ja tehokasta toimintaa. Kaikille kansallisille tietosuojaviranomaisille yhteisen tietosuojakulttuurin tarve on ennennäkemättömän suuri, joten Euroopan tietosuojaneuvoston on huolehdittava sen luomisesta, jotta varmistetaan asetuksen sääntöjen yhdenmukainen tulkinta. Asetuksella edistetään tietosuojaviranomaisten välistä tehokasta ja tuloksellista yhteistyötä antamalla niille siinä tarvittavia työkaluja. Tämän ansiosta ne pystyvät erityisesti toteuttamaan yhteisiä operaatioita, tekemään päätöksiä yhteisymmärryksessä sekä ratkaisemaan lausuntojen ja sitovien päätösten avulla asetuksen tulkintaa koskevia erimielisyyksiä, joita saattaa tulla esiin tietosuojaneuvostossa. Komissio kehottaa tietosuojaviranomaisia suhtautumaan suopeasti näihin muutoksiin ja mukauttamaan toimintaansa, rahoitustaan ja työkulttuuriaan, jotta tietosuojaviranomaiset kykenevät varmistamaan, että uudet oikeudet ja velvollisuudet toteutuvat.
3.3 Jäsenvaltioiden on annettava tarvittavat taloudelliset ja henkilöresurssit kansallisille tietosuojaviranomaisille
Kuhunkin jäsenvaltioon on perustettava täysin riippumattomat valvontaviranomaiset, jotta voidaan varmistaa luonnollisten henkilöiden suojelu, kun näiden henkilötietoja käsitellään EU:ssa. Jos valvontaviranomaiset eivät toimi täysin riippumattomasti, ne eivät voi suojata tehokkaasti yksilöiden oikeuksia ja vapauksia. Jos niiden riippumattomuutta ja toimivaltuuksien tehokasta käyttöä ei varmisteta, tietosuojalainsäädännön soveltamisen valvonta vaarantuu vakavasti.
Asetuksessa esitetään vaatimus, jonka mukaan kaikkien tietosuojaviranomaisten on toimittava täysin riippumattomasti. Asetus vahvistaa kansallisten tietosuojaviranomaisten riippumattomuutta ja antaa niille koko EU:n kattavat yhdenmukaiset valtuudet siten, että niillä on asianmukaiset valmiudet käsitellä tehokkaasti valituksia, toteuttaa tehokkaita tutkimuksia, tehdä sitovia päätöksiä ja määrätä tehokkaita ja varoittavia seuraamuksia. Asetus antaa näille viranomaisille myös valtuudet määrätä rekisterinpitäjille tai henkilötietojen käsittelijöille hallinnollinen sakko, joka on enintään 20 miljoonaa euroa tai, jos kyseessä on yritys, enintään neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.
Tietosuojaviranomaiset toimivat luonnollisina keskustelukumppaneina ja ensimmäisinä yhteyspisteinä suurelle yleisölle, yrityksille ja viranomaisille asetusta koskevissa kysymyksissä. Tietosuojaviranomaisten tehtäviin kuuluu tiedottaminen rekisterinpitäjille ja henkilötietojen käsittelijöille näiden velvoitteista. Lisäksi niiden tehtävänä on suuren yleisön tietoisuuden ja ymmärryksen parantaminen tietojen käsittelyyn liittyvistä riskeistä, säännöistä, suojatoimista ja oikeuksista. Tämä ei kuitenkaan tarkoita, että rekisterinpitäjien ja henkilötietojen käsittelijöiden pitäisi odottaa saavansa tietosuojaviranomaisilta sellaista räätälöityä ja yksilöllistä oikeudellista neuvontaa, jota vain lakimiehet tai tietosuojavastaavat voivat tarjota.
Kansallisilla tietosuojaviranomaisilla on näin ollen keskeinen rooli. Henkilöstö- ja taloudelliset resurssit, joita niille myönnetään eri jäsenvaltioissa, ovat kuitenkin erilaiset, ja tämä epätasapaino voi heikentää tietosuojaviranomaisten tehokkuutta ja viime kädessä asetuksen niiltä edellyttämää ehdotonta riippumattomuutta. Resurssipuute voi myös heikentää tietosuojaviranomaisten mahdollisuuksia käyttää valtuuksiaan, esimerkiksi tutkintavaltuuksia. Jäsenvaltion on lain mukaan osoitettava kansalliselle tietosuojaviranomaiselle tekniset, taloudelliset ja henkilöresurssit, tilat ja infrastruktuuri, jotka ovat tarpeen, jotta viranomainen voi suorittaa tehtävänsä ja käyttää valtuuksiaan tehokkaasti. Jäsenvaltioita kehotetaan täyttämään tämä laissa säädetty velvoitteensa.
3.4 Yritysten, viranomaisten ja muiden tietoja käsittelevien organisaatioiden on valmistauduttava uusien sääntöjen soveltamiseen
Asetuksella ei ole olennaisesti muutettu vuonna 1995 käyttöön otetun tietosuojalainsäädännön ydinajatusta eikä keskeisiä periaatteita. Tämän pitäisi merkitä sitä, että valtaosalla rekisterinpitäjistä ja henkilötietojen käsittelijöistä – jos ne jo nyt noudattavat nykyisiä tietosuojalakeja – ei ole tarvetta olennaisesti muuttaa tietojenkäsittelytoimiaan saattaakseen ne asetuksen mukaisiksi.
Asetus vaikuttaa eniten toimijoihin, joiden pääasiallisena toimintana on tietojenkäsittely ja/tai arkaluontoisten tietojen käsittely. Se vaikuttaa myös toimijoihin, jotka seuraavat säännöllisesti, järjestelmällisesti ja laajamittaisesti luonnollisia henkilöitä. Näiden toimijoiden on hyvin todennäköisesti nimitettävä tietosuojavastaava, toteutettava tietosuojaa koskeva vaikutustenarviointi ja ilmoitettava tietoturvaloukkauksista, jos henkilöiden oikeuksiin ja vapauksiin kohdistuu riski.asetuksen
On tärkeää, että rekisterinpitäjät ja henkilötietojen käsittelijät tarkastelevat perusteellisesti tietojenkäsittelyprosessiaan selvittääkseen, mitä tietoja heidän hallussaan on, mitä tarkoitusta varten tiedot on kerätty ja mikä on tietojen hallussa pitämisen oikeudellinen perusta (esim. pilvipalveluympäristö, rahoitusalan toimijat). Niiden on arvioitava myös käytössä olevia sopimuksia ja erityisesti rekisterinpitäjien ja henkilötietojen käsittelijöiden välisiä sopimuksia, kansainvälisten siirtojen toteuttamistapoja ja yleistä hallinnointia (mitä tietoteknisiä ja organisatorisia toimenpiteitä on käytössä) sekä tietosuojavastaavan nimittämistä. Olennainen osa tätä prosessia on varmistaa, että ylin johto osallistuu tällaisiin tarkasteluihin ja antaa niihin oman panoksensa ja että ylimmälle johdolle annetaan säännöllisesti ajantasaista tietoa ja sitä kuullaan yrityksen tietopolitiikan muutosten yhteydessä.
Osa toimijoista käyttää tähän tarkoitukseen (sisäisiä tai ulkoisia) vaatimustenmukaisuuden tarkistuslistoja, pyytää neuvoa konsultti- tai asianajotoimistoilta sekä etsii tuotteita, joiden avulla voidaan täyttää sisäänrakennetun ja oletusarvoisen tietosuojan vaatimukset. Kaikkien alojen on kehitettävä omaan erityisluonteeseensa soveltuvia järjestelyjä, jotka on mukautettu alan liiketoimintamalleihin.
Yritykset ja muut tietoja käsittelevät organisaatiot voivat myös hyödyntää asetuksessa säädettyjä uusia välineitä ja käyttää niitä vaatimustenmukaisuuden osoittamiseen. Tällaisia ovat esimerkiksi käytännesäännöt ja sertifiointimekanismit. Ne ovat
alhaalta ylös -lähestymistapoja ja tulevat yritysmaailmasta, yhdistyksiltä tai muilta organisaatioilta, jotka edustavat rekisterinpitäjien tai henkilötietojen käsittelijöiden ryhmiä. Niissä otetaan huomioon parhaat käytännöt ja tietyllä alalla tapahtunut merkittävä kehitys, ja niistä voi saada tietoa tiettyjen tuotteiden ja palvelujen edellyttämän tietosuojan tasosta. Asetuksessa säädetään tehokkaasta säännöstöstä tällaisia mekanismeja varten ja otetaan huomioon markkinoiden todelliset olosuhteet (esim. sertifiointielimen tai tietosuojaviranomaisen antama sertifiointi).
Suuret yritykset valmistautuvat aktiivisesti uusien sääntöjen soveltamiseen, mutta monet
pk-yritykset eivät vielä ole täysin tietoisia tulevista tietosuojasäännöistä.
Lyhyesti sanottuna toimijoiden olisi tehtävä valmisteluja ja mukauduttava uusiin sääntöihin sekä oivallettava, että asetus merkitsee niille
·mahdollisuutta panna omat toimintonsa kuntoon sen suhteen, mitä henkilötietoja toimijat käsittelevät ja miten tietoja hallinnoidaan,
·velvoitetta kehittää yksityisyyden suojan ja tietosuojan kannalta tehokkaita tuotteita ja luoda asiakkaisiin uudet suhteet, jotka perustuvat avoimuuteen ja luottamukseen, sekä
·mahdollisuutta määritellä uudelleen suhteet tietosuojaviranomaisiin tilivelvollisuuden ja ennakoivan vaatimustenmukaisuuden avulla.
3.5 Sidosryhmille, etenkin kansalaisille sekä pienille ja keskisuurille yrityksille suunnattava tiedottaminen
Asetuksen menestys riippuu siitä, miten hyvin kaikki tahot, joita uudet säännöt koskevat (yritysmaailma ja muut tietoja käsittelevät organisaatiot, julkinen sektori ja kansalaiset), ovat perehtyneet asetukseen. Tietoisuuden lisääminen sekä ensimmäisenä yhteyspisteenä toimiminen rekisterinpitäjille, henkilötietojen käsittelijöille ja yksityishenkilöille on kansallisella tasolla ensisijaisesti tietosuojaviranomaisten tehtävänä. Koska tietosuojaviranomaiset panevat tietosuojasäännöt täytäntöön omalla alueellaan, niillä on myös parhaat mahdollisuudet selittää yrityksille ja julkiselle sektorille asetuksen mukanaan tuomia muutoksia sekä perehdyttää kansalaiset näiden oikeuksiin.
Tietosuojaviranomaiset ovat aloittaneet sidosryhmille suunnatun tiedotuksen vallitsevien kansallisten käytäntöjen mukaisesti. Jotkut niistä järjestävät seminaareja viranomaisille, myös alueellisella ja paikallisella tasolla, ja pitävät työpajoja, joissa tiedotetaan asetuksen tärkeimmistä säännöksistä eri toimialoille. Jotkut taas järjestävät erityisiä koulutusohjelmia tietosuojavastaaville. Useimmat niistä tarjoavat verkkosivuillaan erimuotoisia tiedotusmateriaaleja (tarkistuslistoja, videoita jne.).
Kansalaiset tietävät kuitenkin edelleen liian vähän niistä muutoksista ja aiempaa paremmista oikeuksista, joita uudet tietosuojasäännöt tuovat mukanaan. Tietosuojaviranomaisten käynnistämää koulutus- ja tiedotusaloitetta olisi jatkettava ja tehostettava, ja se olisi suunnattava erityisesti pk-yrityksille. Tämän lisäksi kansalliset viranomaiset voisivat omilla aloillaan tukea tietosuojaviranomaisten toimia ja toteuttaa näiden avustamina eri sidosryhmille suunnattavia omia tiedotustoimia.
4.Lähiajan toimet
Komissio jatkaa tulevina kuukausina kaikkien toimijoiden aktiivista tukemista näiden valmistautuessa asetuksen soveltamiseen.
a) Yhteistyö jäsenvaltioiden kanssa
Komissio jatkaa yhteistyötä jäsenvaltioiden kanssa lähestyttäessä toukokuuta 2018. Toukokuusta 2018 eteenpäin komissio aikoo seurata, miten jäsenvaltiot soveltavat uusia sääntöjä, ja ryhtyy tarvittaessa tilanteen vaatimiin toimiin.
b) Uusi verkko-opas kaikilla EU:n kielillä ja tiedotustoimet
Komissio tarjoaa käytännönläheisiä ohjeita, joilla autetaan yrityksiä (erityisesti pk-yrityksiä), viranomaisia ja suurta yleisöä noudattamaan ja hyödyntämään uusia tietosuojasääntöjä.
Ohjeet ovat saatavilla verkossa käytännönläheisenä verkkotyökaluna kaikilla EU:n kielillä. Verkkotyökalua päivitetään säännöllisesti, ja se on suunnattu kolmelle pääasialliselle kohdeyleisölle: kansalaisille, yrityksille (erityisesti pk-yrityksille) ja muille organisaatioille sekä viranomaisille. Se koostuu sidosryhmiltä saadun palautteen perusteella valituista kysymyksistä ja vastauksista sekä käytännön esimerkeistä ja linkeistä moniin eri tietolähteisiin (esim. asetuksen artiklat, tietosuojatyöryhmän / Euroopan tietosuojaneuvoston ohjeet ja kansallisella tasolla laaditut aineistot).
Komissio päivittää verkkotyökalua säännöllisesti. Se ottaa huomioon saamansa palautteen ja uudet seikat, joita täytäntöönpanon yhteydessä on tullut esiin, ja lisää ohjeeseen kysymyksiä ja täydentää vastauksia.
Jotta sekä yritykset että yleisö tulisivat tuntemaan komission ohjeet, järjestetään kaikissa jäsenvaltioissa tiedotuskampanjoita.
Koska asetuksella lujitetaan yksilöiden oikeuksia, komissio pyrkii antamaan kansalaisille tietoa asetuksen hyödyistä ja vaikutuksesta. Siksi komissio osallistuu tiedotustoimiin ja tapahtumiin eri jäsenvaltioissa.
c) Taloudellinen tuki kansallisille kampanjoille ja tiedotustoiminnalle
Komissio tukee kansallisia toimia, joilla pyritään lisäämään tietosuojasääntöjä koskevaa tietoisuutta ja varmistamaan sääntöjen noudattaminen. Se myöntää tähän tarkoitukseen avustuksia, joiden avulla kansallisille hallinto- ja tietosuojaviranomaisille, oikeusalan ammattilaisille ja tietosuojavastaaville voidaan järjestää sisäistä koulutusta sekä asetusta koskevaa perehdytystä.
Noin 1,7 miljoonaa euroa osoitetaan kuudelle edunsaajalle, joiden toiminta kattaa yli puolet EU:n jäsenvaltioista. Rahoitettavien toimien kohteena ovat paikallisviranomaiset ja paikallisviranomaisten, viranomaisten ja yksityisen sektorin tietosuojavastaavat sekä tuomarit ja lakimiehet. Avustukset käytetään koulutusmateriaalin laatimiseen tietosuojaviranomaisille, tietosuojavastaaville ja muille ammattihenkilöille sekä kouluttajien koulutukseen tarkoitetuille ohjelmille.
Komissio on myös julkaissut erityisesti tietosuojaviranomaisille suunnatun ehdotuspyynnön. Sen kokonaisbudjetti on enintään 2 miljoonaa euroa, ja sillä tuetaan tietosuojaviranomaisten tiedottamista sidosryhmille. Tavoitteena on tarjota 80 prosentin yhteisrahoitusosuus toimenpiteille, joita tietosuojaviranomaiset toteuttavat vuosina 2018–2019 tiedottaakseen tietoturvasta yrityksille ja etenkin pk-yrityksille sekä vastatakseen näiden tiedusteluihin. Rahoitusta voidaan käyttää myös suurelle yleisölle tiedottamiseen.
d) Komission valtuuksien käyttötarpeen arviointi
Asetuksessa annetaan komissiolle valtuudet antaa täytäntöönpanosäädöksiä tai delegoituja säädöksiä, joilla tuetaan uusien sääntöjen täytäntöönpanoa. Komissio käyttää näitä valtuuksia sidosryhmien kuulemisesta saadun palautteen perusteella vain, jos niiden käyttämisestä aiheutuva lisäarvo on selvästi osoitettavissa. Komissio aikoo erityisesti tarkastella sertifioinnin myöntämistä. Tähän se saa materiaalia ulkopuolisilta asiantuntijoilta tilaamastaan selvityksestä sekä tiedoista ja neuvoista, joita saadaan asetusta käsittelevältä vuoden 2017 lopussa perustetulta eri sidosryhmistä koostuvalta ryhmältä. Myös Euroopan unionin verkko- ja tietoturvaviraston (ENISA) kyberturvallisuuden alalla tekemä työ on tärkeä tässä yhteydessä.
e) Asetuksen sisällyttäminen ETA-sopimukseen
Komissio jatkaa yhteistyötä kolmen Euroopan talousalueeseen (ETA) kuuluvan EFTA-valtion (Islanti, Liechtenstein ja Norja) kanssa asetuksen sisällyttämiseksi ETA-sopimukseen. Henkilötietojen vapaa liikkuvuus EU:n ja ETA-maiden välillä samalla tavalla kuin EU:n jäsenvaltioiden välillä on mahdollista vasta, kun asetus on sisällytetty ETA-sopimukseen.
f) Yhdistyneen kuningaskunnan eroaminen EU:sta
Komissio pyrkii varmistamaan Euroopan unionista tehdyn sopimuksen 50 artiklan perusteella erosopimuksesta käytävissä EU:n ja Yhdistyneen kuningaskunnan välisissä neuvotteluissa, että henkilötietojen suojaa koskevia unionin lainsäädännön säännöksiä. joita sovelletaan eropäivää edeltävänä päivänä, tullaan edelleen soveltamaan ennen eroamispäivää käsiteltyihin henkilötietoihin Yhdistyneessä kuningaskunnassa. Henkilöillä, joita tiedot koskevat, olisi eroamispäivänä sovellettavan unionin lainsäädännön säännösten perusteella esimerkiksi edelleen oltava oikeus saada tietoa ja päästä tietoihin, oikeus tietojen oikaisuun, poistamiseen ja käsittelyn rajoittamiseen, oikeus tietojen siirtämiseen järjestelmästä toiseen sekä oikeus vastustaa käsittelyä ja oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka olisi tehty yksinomaan tietojen automaattisen käsittelyn perusteella. Edellä tarkoitetut henkilötiedot tulisi säilyttää vain niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten.
Eroamispäivästä alkaen Yhdistyneeseen kuningaskuntaan sovelletaan, jollei mahdolliseen erosopimukseen sisältyvästä siirtymäjärjestelystä muuta johdu, asetuksen sääntöjä, jotka koskevat henkilötietojen siirtämistä kolmansiin maihin.
g) Toukokuussa 2019 tehtävä tilannekatsaus
Komissio aikoo 25. toukokuuta 2018 jälkeen valvoa tiiviisti uusien sääntöjen soveltamista ja olla valmiina toteuttamaan toimenpiteitä, jos ilmenee merkittäviä ongelmia. Komissio aikoo vuoden kuluttua asetuksen soveltamisen alkamisesta (vuonna 2019) tarkastella eri sidosryhmien kokemuksia asetuksen täytäntöönpanosta. Tästä saadaan aineistoa myös asetuksen arviointia ja tarkistamista koskevaan kertomukseen, joka komission on annettava toukokuuhun 2020 mennessä. Kertomuksessa keskitytään erityisesti kansainvälisiin henkilötietojen siirtoihin sekä yhteistyötä ja yhdenmukaisuutta koskeviin säännöksiin, joita tietosuojaviranomaisten on noudatettava työssään.
Päätelmät
Uutta tietosuojasäännöstöä aletaan soveltaa 25. toukokuuta koko EU:ssa. Uusi lainsäädäntö tuo tullessaan merkittäviä etuja luonnollisille henkilöille, yrityksille, viranomaisille ja muille organisaatioille. Lisäksi se merkitsee EU:lle tilaisuutta saavuttaa maailmanlaajuinen johtoasema henkilötietojen suojan alalla. Uudistuksen menestys edellyttää kuitenkin, että kaikki asianosaiset ottavat velvollisuutensa ja oikeutensa omikseen.
Komissio on siitä lähtien, kun asetus hyväksyttiin toukokuussa 2016, ollut aktiivisesti yhteydessä kaikkiin asianomaisiin toimijoihin – hallituksiin, kansallisiin viranomaisiin, yrityksiin ja kansalaisyhteiskuntaan – uusien sääntöjen soveltamista koskevissa asioissa. Asetuksen laajan tuntemuksen ja asetuksen soveltamisen valmistelujen eteen on tehty paljon työtä, mutta se ei vielä riitä. Eri jäsenvaltioiden ja eri toimijoiden valmistelut edistyvät eri tahtia. Tietämys uusien sääntöjen mukanaan tuomista eduista ja mahdollisuuksista ei myöskään ole jakautunut tasaisesti. Erityisesti pk-yritysten tietämystä on parannettava ja niiden pyrkimyksiä sääntöjen noudattamiseen tuettava.
Komissio kehottaa sen vuoksi kaikkia alan toimijoita tehostamaan käynnissä olevaa työtä uusien sääntöjen yhdenmukaisen soveltamisen ja tulkinnan varmistamiseksi koko EU:ssa ja jakamaan sääntöjä koskevaa tietoa niin yrityksille kuin kansalaisille. Komissio tukee näitä pyrkimyksiä ja auttaa parantamaan yleistä tietämystä erityisesti laatimalla verkko-oppaan.
Tieto on erittäin tärkeää nykypäivän talouselämässä. Se on olennaisen tärkeää myös kansalaisten arkielämässä. Uudet säännöt tarjoavat ainutlaatuisen mahdollisuuden niin yrityksille kuin suurelle yleisölle. Yritykset ja etenkin pienet yritykset voivat hyötyä innovoinnille suotuisasta säännöstöstä ja saada henkilötietojen käsittelynsä kuntoon. Näin ne voivat palauttaa kuluttajien luottamuksen ja käyttää sitä kilpailuetunaan koko EU:ssa. Kansalaiset voivat hyötyä henkilötietojen vahvemmasta suojasta ja pystyvät entistä paremmin valvomaan tietojen käsittelyä yrityksissä.
Digitaalitalouden vallatessa alaa nykymaailmassa Euroopan unionin, sen kansalaisten ja yritysten on valmistauduttava perusteellisesti hyötymään datavetoisen talouden eduista ja ymmärtämään sen vaikutukset. Uusi asetus tarjoaa tarpeelliset työkalut, jotta Eurooppa menestyy 2000-luvun digitaalisessa maailmassa.
Komissio aikoo toteuttaa seuraavat toimet:
jäsenvaltioiden osalta
·Komissio jatkaa yhteistyötä jäsenvaltioiden kanssa ja pitää tavoitteenaan sitä, että asetusta sovelletaan yhdenmukaisesti ja tulkinnan hajanaisuutta torjutaan. Komissio ottaa huomioon jäsenvaltioille uuden lainsäädännön nojalla annetut mahdollisuudet tehdä täsmennyksiä sääntöihin.
·Toukokuun 2018 jälkeen komissio aikoo valvoa tiiviisti asetuksen soveltamista jäsenvaltioissa ja toteuttaa tarvittavia toimia, mukaan lukien rikkomusmenettelyt.
tietosuojaviranomaisten osalta
·Komissio aikoo toukokuuhun 2018 saakka tukea tietosuojaviranomaisten työtä tietosuojatyöryhmän puitteissa sekä siirtymisessä tulevaan Euroopan tietosuojaneuvostoon. Toukokuun 2018 jälkeen se aikoo osallistua Euroopan tietosuojaneuvoston työhön.
·Vuosina 2018–2019 komissio aikoo yhteisrahoittaa tietosuojaviranomaisten kansallisella tasolla toteuttamia tiedotustoimia (yhteisrahoituksen kokonaisbudjetti on enintään 2 miljoonaa euroa, ja hankkeet toteutetaan vuoden 2018 puolivälistä alkaen).
sidosryhmien osalta
·Komissio aikoo ottaa käyttöön kansalaisille, yrityksille ja viranomaisille tarkoitetun käytännönläheisen verkko-oppaan, jossa on kysymyksiä ja vastauksia. Komissio aikoo toukokuun 2018 kynnyksellä ja sen jälkeen tehdä ohjeistusta tutuksi kohdeyleisöille ja tätä varten toteuttaa yrityksille ja suurelle yleisölle suunnatun tiedotuskampanjan.
·Vuonna 2018 ja sen jälkeen komissio aikoo jatkaa aktiivista yhteydenpitoa sidosryhmiin etenkin eri sidosryhmistä koostuvan ryhmän avulla asioissa, jotka koskevat tietosuoja-asetuksen täytäntöönpanoa ja uusia sääntöjä koskevan tietämyksen tasoa.
kaikkien toimijoiden osalta
·Vuosina 2018–2019 komissio aikoo arvioida, onko sen tarpeellista käyttää delegoitujen tai täytäntöönpanosäädösten hyväksymistä koskevia valtuuksiaan.
·Komissio aikoo toukokuussa 2019 arvioida asetuksen täytäntöönpanoa ja vuonna 2020 raportoida uusien sääntöjen soveltamisesta.
|