Bryssel 24.1.2018

COM(2018) 43 final

KOMISSION TIEDONANTO EUROOPAN PARLAMENTILLE JA NEUVOSTOLLE

FMT:BoldVahvempi suoja, uudet mahdollisuudet – komission ohjeet yleisen tietosuoja-asetuksen suorasta soveltamisesta 25. toukokuuta 2018 lähtien/FMT


Komission tiedonanto Euroopan parlamentille ja neuvostolle

Vahvempi suoja, uudet mahdollisuudet – komission ohjeet yleisen tietosuoja-asetuksen suorasta soveltamisesta 25. toukokuuta 2018 lähtien

Johdanto

EU hyväksyi 6. huhtikuuta 2016 tietossuojakehyksen merkittävän uudistuksen. Se antoi tietosuojan uudistuspaketin, joka koostui yleisestä tietosuoja-asetuksesta 1 , jäljempänä ’asetus’ sekä poliisidirektiivistä 2 . Asetus korvasi 20 vuotta vanhan direktiivin 95/46/EY 3 , jäljempänä ’tietosuojadirektiivi’. Asetusta, joka on uusi EU:n laajuinen tietosuojaväline, aletaan soveltaa sellaisenaan 25. toukokuuta 2018, jolloin on kulunut kaksi vuotta asetuksen hyväksymisestä ja voimaantulosta. 4

Uusi asetus vahvistaa luonnollisten henkilöiden oikeutta henkilötietojen suojaan, mikä kuvastaa tietosuojan luonnetta Euroopan unionin perusoikeutena 5 .

Asetuksessa vahvistetaan yksi ainoa kattava säännöstö, jota sovelletaan suoraan jäsenvaltioiden oikeusjärjestyksissä. Asetuksella taataan henkilötietojen vapaa liikkuvuus EU:n jäsenvaltioiden välillä sekä vahvistetaan todellisten digitaalisten sisämarkkinoiden kahta välttämätöntä osatekijää eli kuluttajien luottamusta ja turvallisuutta. Tällä tavoin yrityksille ja etenkin pienyrityksille tarjoutuu asetuksen myötä uusia mahdollisuuksia, myös kansainvälisiä tiedonsiirtoja koskevien sääntöjen selkeyttämisen ansiosta.

Vaikka uusi tietosuojakehys perustuu olemassa olevaan lainsäädäntöön, sillä tulee olemaan laajamittaiset vaikutukset. Eräiltä osin tarvitaan huomattavia mukautuksia. Asetuksessa säädettiinkin 25. toukokuuta 2018 saakka ulottuvasta kahden vuoden siirtymäajasta, jotta jäsenvaltiot ja sidosryhmät voivat valmistautua perusteellisesti uuteen oikeudelliseen kehykseen.

Kahden viime vuoden aikana kaikki sidosryhmät kansallisista hallinto- ja tietosuojaviranomaisista rekisterinpitäjiin ja henkilötietojen käsittelijöihin ovat osallistuneet moniin toimiin varmistaakseen, että uuden tietosuojan mukanaan tuomien muutosten tärkeys ja laajuus ymmärretään kyllin hyvin ja että kaikki toimijat ovat valmiita soveltamaan asetusta. Määräajan eli 25. toukokuuta 2018 lähestyessä komissio katsoo, että on tarpeen arvioida tätä työtä ja tarkastella, millaisia jatkotoimia mahdollisesti tarvitaan sen varmistamiseksi, että uuden kehyksen soveltaminen saadaan käyntiin menestyksellisesti. 6

Tässä tiedonannossa

·tehdään yhteenveto tärkeimmistä innovaatioista ja mahdollisuuksista, joita EU:n uusi tietosuojalainsäädäntö tarjoaa,

·tarkastellaan EU:n tasolla tähän mennessä tehtyjä valmisteluja,

·kerrotaan, mitä Euroopan komission sekä kansallisten hallinto- ja tietosuojaviranomaisten olisi vielä tehtävä, jotta valmistelut saataisiin menestyksekkäästi päätökseen, ja

·selostetaan toimenpiteitä, joita komissio aikoo toteuttaa tulevina kuukausina.

Tämän tiedonannon ohella komissio laatii verkko-oppaan, jolla autetaan sidosryhmiä valmistautumaan asetuksen soveltamiseen. Lisäksi komissio toteuttaa edustustojen tuella tiedotuskampanjan kaikissa jäsenvaltioissa.

1.EU:N UUSI TIETOSUOJAKEHYS – vahvempi SUOJA JA UUSIA MAHDOLLISUUKSIA

Asetuksen lähestymistapa noudattaa tietosuojadirektiivin linjaa. Vaikka asetus perustuu EU:ssa 20 vuoden aikana annettuun tietosuojalainsäädäntöön ja siihen liittyvään oikeuskäytäntöön, siinä kuitenkin selkeytetään ja uudistetaan tietosuojasääntöjä. Asetuksessa otetaan käyttöön monia uusia elementtejä, joilla vahvistetaan henkilöiden oikeuksia ja tarjotaan yrityksille uusia mahdollisuuksia. Uudistukset ovat seuraavat:

·Yhdenmukainen oikeudellinen kehys, joka johtaa sääntöjen yhdenmukaiseen soveltamiseen ja hyödyttää EU:n digitaalisia sisämarkkinoita. Tämä tarkoittaa, että kansalaisia ja yrityksiä varten on yksi ainoa säännöstö. Tällä puututaan nykyiseen tilanteeseen, jossa direktiivin sääntöjä pannaan täytäntöön eri tavalla eri EU:n jäsenvaltioissa. Asetuksen yhdenmukainen ja johdonmukainen soveltaminen kaikissa jäsenvaltioissa varmistetaan ottamalla käyttöön yhden luukun järjestelmä.

·Tasapuoliset toimintaedellytykset kaikille EU:n markkinoilla toimiville yrityksille. Asetuksen mukaan yritysten, joiden kotipaikka on EU:n ulkopuolella, on sovellettava samoja sääntöjä kuin yritysten, joiden kotipaikka on EU:ssa, jos ne markkinoivat henkilötietoihin liittyviä tuotteita tai palveluita tai seuraavat yksilöiden käyttäytymistä unionissa. EU:n ulkopuolelta käsin toimintaa harjoittavien, sisämarkkinoilla toimivien yritysten on tietyissä olosuhteissa nimettävä EU:ssa oleva edustaja, jonka puoleen kansalaiset ja viranomaiset voivat kääntyä ulkomaille sijoittautuneen yrityksen lisäksi tai sen sijasta.

·Sisäänrakennetun ja oletusarvoisen tietosuojan periaatteet. Nämä luovat kannustimia innovatiivisille ratkaisuille, joilla puututaan tietosuojaongelmiin heti kun niitä ilmenee.

·Entistä vahvemmat yksilöiden oikeudet: Asetuksella otetaan käyttöön uusia avoimuusvaatimuksia. Siinä vahvistetaan oikeuksia tiedon saamiseen, tietoihin pääsemiseen ja tietojen poistamiseen (”oikeus tulla unohdetuksi”). Vaikenemista tai jonkin toimen toteuttamatta jättämistä ei enää katsota päteväksi suostumukseksi vaan vaaditaan selkeästi suostumusta ilmaiseva toimi. Lapsia suojellaan internetissä.

·Yksilöiden entistä paremmat mahdollisuudet hallita omia henkilötietojaan. Asetuksella otetaan käyttöön tietojen siirtämistä järjestelmästä toiseen koskeva uusi oikeus. Tämä antaa kansalaisille mahdollisuuden pyytää yritykseltä tai organisaatiolta takaisin henkilötietoja, jotka kansalainen on antanut tälle yritykselle tai organisaatiolle suostumuksen tai sopimuksen perusteella; mainitun oikeuden ansiosta kyseiset henkilötiedot voidaan siirtää myös suoraan toiselle yritykselle tai organisaatiolle, jos se on teknisesti mahdollista. Koska tämä oikeus mahdollistaa henkilötietojen siirtämisen suoraan yhdeltä yritykseltä tai organisaatiolta toiselle, se myös tukee henkilötietojen vapaata liikkuvuutta EU:ssa, auttaa torjumaan henkilötietojen ns. lukkiutumista
(”lock-in”) ja edistää yritysten välistä kilpailua. Näin kansalaiset voivat vaihtaa palveluntarjoajaa helpommin, ja samalla edistetään uusien palvelujen kehittämistä digitaalisten sisämarkkinoiden strategian mukaisesti.

·Entistä vahvempi suoja tietoturvaloukkauksia vastaan. Asetuksessa vahvistetaan kattava säännöstö, joka koskee tietoturvaloukkauksia. Siinä määritellään selkeästi, mitä ”henkilötietojen tietoturvaloukkauksella” tarkoitetaan, ja otetaan käyttöön velvoite, jonka mukaan valvontaviranomaiselle on ilmoitettava 72 tunnin kuluessa loukkauksen ilmitulosta, jos loukkauksesta todennäköisesti aiheutuu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuva riski. Siinä velvoitetaan myös ilmoittamaan tietyissä tilanteissa loukkauksesta henkilölle, jonka tietoja loukkaus koskee. Tämä vahvistaa merkittävästi suojaa verrattuna EU:n nykytilanteeseen, jossa vain sähköisten viestintäpalvelujen tarjoajilla, keskeisten palvelujen tarjoajilla ja digitaalisen palvelun tarjoajilla on velvollisuus ilmoittaa tietoturvaloukkauksista yksityisyyden suojasta sähköisen viestinnän alalla annetun direktiivin, jäljempänä ’sähköisen viestinnän tietosuojadirektiivi’ 7 , ja verkko- ja tietojärjestelmien turvallisuudesta annetun direktiivin, jäljempänä ’verkko- ja tietoturvadirektiivi’ 8 , nojalla.

·Asetus antaa kaikille tietosuojaviranomaiselle valtuudet määrätä sakkoja rekisterinpitäjille ja henkilötietojen käsittelijöille. Näitä valtuuksia ei nykyään ole kaikilla tietosuojaviranomaisilla. Niiden antaminen edistää sääntöjen täytäntöönpanoa. Sakko voi olla enintään 20 miljoonaa euroa tai, jos kyseessä on yritys, 4 prosenttia maailmanlaajuisesta kokonaisliikevaihdosta.

·Enemmän joustovaraa henkilötietoja käsitteleville rekisterinpitäjille ja henkilötietojen käsittelijöille yksiselitteisten vastuusäännösten ansiosta (tilivelvollisuusperiaate). Asetuksessa siirrytään ilmoitusjärjestelmästä tilivelvollisuusperiaatteen suuntaan. Viimeksi mainittu toteutetaan siten, että riskin lisääntyessä velvoitteet lisääntyvät (esim. tietosuojavastaavan nimeäminen tai tietosuojaa koskevien vaikutustenarviointien toteuttamisvelvoite). Tietosuojaa koskeva vaikutustenarviointi on uusi työkalu, joka otetaan käyttöön tukemaan riskien arviointia ennen tietojenkäsittelyn aloittamista. Se vaaditaan aina, jos käsittelyyn todennäköisesti liittyy yksilöiden oikeuksien ja vapauksien kannalta korkea riski. Asetuksessa mainitaan erikseen kolme tällaista tapausta: kun yritys arvioi järjestelmällisesti ja kattavasti luonnollisen henkilön henkilökohtaisia ominaisuuksia (mukaan lukien profilointi), kun se käsittelee arkaluontoisia tietoja laajamittaisesti tai valvoo yleisölle avoimia alueita järjestelmällisesti ja laajamittaisesti. Kansallisten tietosuojaviranomaisten on julkaistava luettelot tapauksista, joiden yhteydessä vaaditaan tietosuojaa koskeva vaikutustenarviointi 9 .

·Henkilötietojen käsittelijöitä koskevat selkeämmät velvoitteet ja rekisterinpitäjien selkeämpi vastuu henkilötietojen käsittelijän valinnan yhteydessä.

·Nykyaikainen hallintajärjestelmä, jolla varmistetaan, että säännöt pannaan täytäntöön entistä johdonmukaisemmin ja tehokkaammin. Järjestelmä käsittää yhdenmukaiset valtuudet tietosuojaviranomaisille myös sakkojen osalta ja uudet mekanismit tietosuojaviranomaisten verkostoyhteistyötä varten.

·Asetuksen takaama henkilötietojen suoja seuraa mukana, mikä varmistaa, että suoja pysyy korkeatasoisena siirrettäessä tietoja EU:n ulkopuolelle 10 . Kansainvälisiä henkilötietojen siirtoja koskevien sääntöjen rakenne asetuksessa vastaa pääosin vuoden 1995 direktiivissä olevaa rakennetta. Uudistuksella kuitenkin selkeytetään ja yksinkertaistetaan sääntöjen käyttöä ja otetaan käyttöön uusia työkaluja siirtoja varten. Tietosuojan tason riittävyyttä koskevien päätösten osalta asetuksessa otetaan käyttöön tarkka ja yksityiskohtainen luettelo tekijöistä, jotka komission on otettava huomioon arvioidessaan ulkomaisen järjestelmän tarjoaman henkilötietojen suojan riittävyyttä. Asetuksessa myös virallistetaan vaihtoehtoisia siirtovälineitä ja lisätään niiden määrää. Tällaisia ovat esimerkiksi vakiosopimuslausekkeet ja yritystä koskevat sitovat säännöt.

Unionin toimielimiä, elimiä ja laitoksia koskeva tarkistettu asetus 11 ja yksityisyyttä sähköisessä viestinnässä koskeva asetus, jäljempänä ’sähköisen viestinnän tietosuoja-asetus’ 12 , ovat parhaillaan käsiteltävinä. Kun ne on hyväksytty, niillä varmistetaan EU:n tietosuojasäännöstön tehokkuus ja kattavuus. 13

2.EU-tason valmistelu tähän mennessä

Asetuksen tuloksellinen soveltaminen edellyttää yhteistyötä kaikilta tietosuojan alalla toimivilta tahoilta. Näitä ovat jäsenvaltiot ja niiden kansalliset hallinto- ja tietosuojaviranomaiset, yritykset, henkilötietoja käsittelevät organisaatiot ja luonnolliset henkilöt sekä komissio.

2.1 Euroopan komission toimet

Komissio on pian asetuksen voimaantulon jälkeen vuoden 2016 puolivälissä ollut yhteydessä jäsenvaltioiden viranomaisiin, tietosuojaviranomaisiin ja sidosryhmiin asetuksen soveltamisen valmistelemiseksi sekä tuen ja neuvonnan antamiseksi.

a) Jäsenvaltioiden ja niiden viranomaisten tukeminen

Komissio on tehnyt varsin tiivistä yhteistyötä jäsenvaltioiden kanssa tukeakseen niiden työtä siirtymäkauden aikana ja varmistaakseen mahdollisimman hyvän yhdenmukaisuuden tason. Tätä tarkoitusta varten komissio on perustanut asiantuntijaryhmän, joka tukee jäsenvaltioita niiden valmistautuessa asetuksen soveltamiseen. Asiantuntijaryhmä on kokoontunut jo 13 kertaa. Se toimii foorumina, jolla jäsenvaltiot voivat jakaa kokemuksiaan ja asiantuntemusta. 14 Komissio on lisäksi pitänyt jäsenvaltioiden kanssa kahdenvälisiä kokouksia, joissa on käsitelty kansallisella tasolla esiin tulleita kysymyksiä.

b) Yksittäisten tietosuojaviranomaisten tukeminen ja Euroopan tietosuojaneuvoston luominen

Komissio on tukenut aktiivisesti tietosuojatyöryhmän työtä myös varmistaakseen kitkattoman siirtymisen Euroopan tietosuojaneuvostoon. 15

c) Kansainvälinen toiminta

Asetus parantaa entisestään EU:n valmiuksia levittää aktiivisesti omia tietosuoja-arvojaan laajemmalle ja edistää rajat ylittäviä tietovirtoja maailmanlaajuisesti kannustamalla maita lähentämään lainsäädäntöjärjestelmiään. 16 Kansainvälisellä tasolla ollaan yhä paremmin tietoisia siitä, että EU:n tietosuojasäännöissä asetetaan vaatimuksia, jotka vastaavat maailman korkeatasoisimpia tietosuojanormeja. Parhaillaan uudistetaan myös Euroopan neuvoston yleissopimusta N:o 108, joka on ainoa oikeudellisesti sitova monenvälinen väline henkilötietojen suojan alalla. Komission tavoitteena on, että yleissopimus noudattaisi EU:n tietosuojasääntöjen mukaisia periaatteita. Näin saataisiin käyttöön yhtenäiset, korkeatasoiset tietosuojanormit. Komissio aikoo aktiivisesti edistää uudistetun sopimustekstin ripeää hyväksymistä ottaen huomioon, että EU:sta on tulossa sopimuksen osapuoli. 17 Komissio kehottaa EU:n ulkopuolisia maita ratifioimaan Euroopan neuvoston yleissopimuksen N:o 108 ja sen lisäpöytäkirjan.

Monet EU:n ulkopuoliset maat ja alueelliset järjestöt sekä unionin lähialueilla että Aasiassa, Latinalaisessa Amerikassa ja Afrikassa säätävät uutta ja päivittävät voimassa olevaa tietosuojalainsäädäntöä. Näin ne pyrkivät hyödyntämään maailmanlaajuisen digitaalitalouden mahdollisuuksia ja vastaamaan vahvemman tietosuojan ja yksityisyyden suojan kasvavaan tarpeeseen. Vaikka eri mailla on erilaisia lähestymistapoja ja niiden lainsäädännöt ovat eri kehitysvaiheissa, on merkkejä siitä, että asetusta käytetään yhä useammin ohjenuorana ja inspiraation lähteenä 18 .

Tässä yhteydessä komissio pyrkii laajentamaan kansainvälistä toimintaansa tammikuussa 2017 antamansa tiedonannon 19 mukaisesti olemalla aktiivisesti yhteydessä keskeisiin kauppakumppaneihin varsinkin Itä- ja Kaakkois-Aasiassa ja Latinalaisessa Amerikassa. Tavoitteena on selvittää, voitaisiinko näiden alueiden maiden osalta antaa tietosuojan riittävyyttä koskevia päätöksiä. 20

Komissio tekee yhteistyötä erityisesti Japanin kanssa, jotta kumpikin osapuoli saavuttaisi samanaikaisesti tietosuojan riittävän tason vuoden 2018 alussa. Tästä kertoivat komission puheenjohtaja Juncker ja pääministeri Abe 6. heinäkuuta 2017 antamassaan yhteisessä julkilausumassa 21 . Myös Etelä-Korean kanssa on aloitettu keskustelut mahdollisen tietosuojan riittävyyttä koskevan päätöksen tekemiseksi. Riittävyyspäätöksellä varmistettaisiin tietojen vapaa liikkuvuus kyseisten kolmansien maiden kanssa samalla kun taattaisiin, että EU:sta näihin maihin siirrettävien henkilötietojen suoja on korkeatasoinen.

Samaan aikaan komissio työskentelee sidosryhmien kanssa, jotta kansainvälisissä tiedonsiirroissa voitaisiin hyödyntää asetuksen työkaluja täysimääräisesti. Tavoitteeseen pyritään kehittämällä vaihtoehtoisia siirtomekanismeja tiettyjen alojen ja/tai tiettyjen toimijoiden erityistarpeisiin. 22

d) Vuorovaikutus sidosryhmien kanssa

Komissio on järjestänyt monia tapahtumia, joilla pyritään tavoittamaan sidosryhmiä 23 . Kuluttajille tarkoitettu uusi työpaja on määrä pitää vuoden 2018 ensimmäisellä neljänneksellä. Myös erityisiä alakohtaisia keskusteluja on käyty esimerkiksi tutkimuksen ja rahoituspalvelujen alalla.

Komissio on myös perustanut asetusta käsittelevän eri sidosryhmistä koostuvan ryhmän, johon kuuluu kansalaisyhteiskunnan ja yritysten edustajia, tutkijoita ja käytännön toimijoita. Ryhmä antaa komissiolle neuvoja erityisesti siitä, miten asetusta koskeva sidosryhmien tietämys saataisiin riittävälle tasolle. 24

Lisäksi Euroopan komissio on rahoittanut tutkimuksen ja innovoinnin
Horisontti 2020 -puiteohjelmasta 25 toimia, joiden tavoitteena on kehittää työkaluja asetuksen tehokasta soveltamista varten. Työkalut koskevat suostumusta ja data-analytiikassa käytettäviä yksityisyyden turvaavia menetelmiä, kuten monenvälistä tietojenkäsittelyä (multi-party computing) ja homomorfista salausta.

2.2 Tietosuojatyöryhmän / Euroopan tietosuojaneuvoston toimet

Tietosuojatyöryhmään kokoontuvat kaikki kansalliset tietosuojaviranomaiset sekä Euroopan tietosuojavaltuutettu. Se antaa ohjeita yrityksille ja muille sidosryhmille, joten sillä on keskeinen asema valmisteltaessa asetuksen soveltamista. Koska kansalliset tietosuojaviranomaiset panevat asetuksen täytäntöön ja ovat suoraan yhteydessä sidosryhmiin, niillä on parhaat mahdollisuudet tarjota lisää oikeusvarmuutta asetuksen tulkinnassa.

Tietosuojatyöryhmän laatimat ohjeet/valmisteluasiakirjat asetuksen soveltamiseen valmistautumista varten 26

Oikeus siirtää tiedot järjestelmästä toiseen

annettu 4.–5. huhtikuuta 2017

Tietosuojavastaavat

Johtavan valvontaviranomaisen nimeäminen

Tietosuojaa koskeva vaikutustenarviointi

annettu 3.–4. lokakuuta 2017

Hallinnolliset sakot

annettu 3.–4. lokakuuta 2017

Profilointi

työ käynnissä

Tietoturvaloukkaus

työ käynnissä

Suostumus

työ käynnissä

Avoimuus

työ käynnissä

Sertifiointi ja akkreditointi

työ käynnissä

Riittävyyden viitearvot

työ käynnissä

Yritystä koskevat sitovat säännöt rekisterinpitäjille

työ käynnissä

Yritystä koskevat sitovat säännöt henkilötietojen käsittelijöille

työ käynnissä

Tietosuojatyöryhmä ajantasaistaa olemassa olevia lausuntoja, esimerkiksi välineistä, joilla siirretään tietoja EU:n ulkopuolisiin maihin.

Koska toimijat tarvitsevat yhden johdonmukaisen ohjeiston, nykyiset kansallisen tason ohjeet on joko kumottava tai saatettava tietosuojatyöryhmän / Euroopan tietosuojaneuvoston samasta aiheesta antamien ohjeiden mukaisiksi.

Komissio pitää erityisen tärkeänä, että kyseisistä ohjeista järjestetään julkinen kuuleminen ennen niiden viimeistelyä. Sidosryhmien tähän prosessiin antamien tietojen on oltava mahdollisimman täsmällisiä ja konkreettisia, koska niiden avulla tunnistetaan parhaita käytäntöjä ja tuodaan tietosuojaryhmän tietoon eri toimialojen erityispiirteitä. Lopullinen vastuu mainituista ohjeista jää edelleen tietosuojatyöryhmälle ja tulevalle Euroopan tietosuojaneuvostolle. Tietosuojaviranomaiset tukeutuvat niihin pannessaan täytäntöön asetusta.

Ohjeita olisi voitava muuttaa tapahtuneen kehityksen ja toteutuneiden käytäntöjen perusteella. Tämän vuoksi tietosuojaviranomaisten olisi edistettävä kaikkien sidosryhmien, myös yritysten, kanssa käytävää tiivistä vuoropuhelua.

On tärkeää muistaa, että asetuksen lopullisesta tulkinnasta ja soveltamisesta määräävät kansallisen ja EU-tason tuomioistuimet.

3.Tuloksellisen valmistelun edellyttämät, jäljellä olevat toimet

3.1 Jäsenvaltioiden on saatava valmiiksi oikeudellisen kehyksen luominen kansallisella tasolla

Asetusta sovelletaan sellaisenaan kaikissa jäsenvaltioissa. 27 Tämä tarkoittaa, että se tulee voimaan ja sitä sovelletaan kansallisista säädöksistä riippumatta. Kansalaiset, yritykset, viranomaiset ja muut henkilötietoja käsittelevät organisaatiot voivatkin yleensä vedota suoraan asetuksen säännöksiin. Jäsenvaltioiden on asetuksen mukaan kuitenkin toteutettava tarvittavat toimenpiteet kansallisen lainsäädännön mukauttamiseksi. Niiden on kumottava ja muutettava voimassa olevia säädöksiä, perustettava kansallisia tietosuojaviranomaisia 28 , valittava akkreditointielin 29 ja vahvistettava säännöt, jotka koskevat sananvapauden ja tietosuojan yhteensovittamista 30 .

Asetuksessa annetaan jäsenvaltioille myös mahdollisuus määrittää täsmällisemmin tietosuojasääntöjen soveltamista seuraavilla aloilla: julkinen sektori 31 , työllisyys ja sosiaaliturva 32 , ennalta ehkäisevä ja työterveyshuolto sekä kansanterveys 33 , yleisen edun mukaiset arkistointitarkoitukset taikka tieteelliset ja historialliset tutkimustarkoitukset tai tilastolliset tarkoitukset 34 , kansallinen henkilötunnus 35 , virallisten asiakirjojen julkisuus 36 ja salassapitovelvollisuus 37 . Asetuksessa annetaan jäsenvaltioille lisäksi geneettisten tietojen, biometristen tietojen tai terveystietojen osalta mahdollisuus pitää voimassa tai ottaa käyttöön lisäehtoja, myös rajoituksia 38 .

Jäsenvaltioiden toiminnan kehyksen muodostaa tässä yhteydessä kaksi tekijää:

1.Euroopan unionin perusoikeuskirjan 8 artikla, mikä tarkoittaa, että kansallisten täsmentävien säädösten on oltava perusoikeuskirjan 8 artiklan (ja perusoikeuskirjan 8 artiklaan perustuvan asetuksen) mukaisia.

2.SEUT-sopimuksen 16 artiklan 2 kohta, jonka mukaan kansallinen lainsäädäntö ei saa heikentää henkilötietojen vapaata liikkuvuutta EU:ssa.

Asetus antaa mahdollisuuden yksinkertaistaa lainsäädäntöä ja sen myötä vähentää kansallisten sääntöjen määrää sekä selkeyttää sääntelyä toimijoiden kannalta.

Jäsenvaltioiden on kansallista lainsäädäntöään mukauttaessaan otettava huomioon, että kansalliset toimenpiteet, joilla luodaan esteitä asetuksen soveltamiselle sellaisenaan ja vaarannetaan sen yhtäaikainen ja yhdenmukainen soveltaminen koko EU:ssa, ovat perussopimusten vastaisia 39 .

Myös asetusten tekstin (esim. määritelmien tai henkilöiden oikeuksien) sisällyttäminen kansalliseen lainsäädäntöön kielletään, paitsi tapauksissa, joissa se on välttämätöntä johdonmukaisuuden vuoksi ja kansallisten säännösten tekemiseksi ymmärrettäväksi niille, joihin asetuksia sovelletaan. 40 Asetuksen tekstin saa jäljentää sanatarkasti kansallisessa täsmentävässä säädöksessä vain poikkeuksellisissa ja perustelluissa tapauksissa, eikä jäljentämistä voida käyttää lisäehtojen tai -tulkintojen lisäämiseen asetuksen tekstiin.

Asetuksen tulkinta jää eurooppalaisten tuomioistuinten (kansallisten tuomioistuinten ja viime kädessä Euroopan unionin tuomioistuimen), ei jäsenvaltioiden lainsäätäjien tehtäväksi. Kansallinen lainsäätäjä ei sen vuoksi voi jäljentää asetuksen tekstiä, jollei se ole tarpeen oikeuskäytännössä vahvistettujen kriteerien perusteella, eikä tulkita sitä tai lisätä uusia edellytyksiä asetuksen nojalla suoraan sovellettaviin sääntöihin. Jos lainsäätäjä tekisi niin, toimijat kaikkialla unionissa joutuisivat uudelleen kärsimään säännösten hajanaisuudesta eivätkä tietäisi, mitä sääntöjä niiden on noudatettava.

Vain kaksi jäsenvaltiota on tässä vaiheessa jo antanut asiaan liittyvää kansallista lainsäädäntöä 41 . Muut jäsenvaltiot ovat eri vaiheissa lainsäädäntömenettelyjään 42 , ja niiden on hyväksyttävä kyseinen lainsäädäntö 25. toukokuuta 2018 mennessä. On tärkeää antaa toimijoille riittävästi aikaa valmistautua niitä koskevien säännösten soveltamiseen.

Jos jäsenvaltiot eivät toteuta asetuksen nojalla vaadittavia tarpeellisia toimia tai jos ne toteuttavat ne liian myöhään tai soveltavat asetuksessa säädettyjä täsmennyslausekkeita asetuksen vastaisesti, komissio käyttää kaikkia käytettävissään olevia työkaluja, myös rikkomusmenettelyjä.

3.2 Tietosuojaviranomaisten on varmistettava, että uusi, riippumaton Euroopan tietosuojaneuvosto on täysin toimintakykyinen

On olennaisen tärkeää, että asetuksella perustettu uusi elin, Euroopan tietosuojatyöryhmän seuraajana toimiva Euroopan tietosuojaneuvosto 43 , on täysin toimintakykyinen 25. toukokuuta 2018 alkaen.

Euroopan tietosuojavaltuutettu, joka on EU:n toimielinten ja elinten valvonnasta vastaava tietosuojaviranomainen, huolehtii Euroopan tietosuojaneuvoston sihteeristön tehtävistä. Tällä pyritään parantamaan synergioita ja tehokkuutta. Euroopan tietosuojavaltuutettu on viime kuukausina aloittanut tältä osin tarpeelliset valmistelut.

Euroopan tietosuojaneuvosto tulee olemaan keskeinen tietosuoja-alan toimija Euroopassa. Se edistää tietosuojalainsäädännön yhdenmukaista soveltamista ja tarjoaa vahvan perustan yhteistyölle, jota tietosuojaviranomaiset, mukaan lukien Euroopan tietosuojavaltuutettu, tekevät. Euroopan tietosuojaneuvosto ei pelkästään anna ohjeita asetuksen keskeisten käsitteiden tulkinnasta vaan antaa myös sitovia päätöksiä rajat ylittävää tietojenkäsittelyä koskevista kiistoista. Näin taataan EU:n sääntöjen yhdenmukainen soveltaminen ja varmistetaan, että samanlaisia tilanteita käsitellään samalla tavalla eri jäsenvaltioissa.

Koko järjestelmän toimivuus edellyttää siis Euroopan tietosuojaneuvoston kitkatonta ja tehokasta toimintaa. Kaikille kansallisille tietosuojaviranomaisille yhteisen tietosuojakulttuurin tarve on ennennäkemättömän suuri, joten Euroopan tietosuojaneuvoston on huolehdittava sen luomisesta, jotta varmistetaan asetuksen sääntöjen yhdenmukainen tulkinta. Asetuksella edistetään tietosuojaviranomaisten välistä tehokasta ja tuloksellista yhteistyötä antamalla niille siinä tarvittavia työkaluja. Tämän ansiosta ne pystyvät erityisesti toteuttamaan yhteisiä operaatioita, tekemään päätöksiä yhteisymmärryksessä sekä ratkaisemaan lausuntojen ja sitovien päätösten avulla asetuksen tulkintaa koskevia erimielisyyksiä, joita saattaa tulla esiin tietosuojaneuvostossa. Komissio kehottaa tietosuojaviranomaisia suhtautumaan suopeasti näihin muutoksiin ja mukauttamaan toimintaansa, rahoitustaan ja työkulttuuriaan, jotta tietosuojaviranomaiset kykenevät varmistamaan, että uudet oikeudet ja velvollisuudet toteutuvat.

3.3 Jäsenvaltioiden on annettava tarvittavat taloudelliset ja henkilöresurssit kansallisille tietosuojaviranomaisille

Kuhunkin jäsenvaltioon on perustettava täysin riippumattomat valvontaviranomaiset, jotta voidaan varmistaa luonnollisten henkilöiden suojelu, kun näiden henkilötietoja käsitellään EU:ssa. 44 Jos valvontaviranomaiset eivät toimi täysin riippumattomasti, ne eivät voi suojata tehokkaasti yksilöiden oikeuksia ja vapauksia. Jos niiden riippumattomuutta ja toimivaltuuksien tehokasta käyttöä ei varmisteta, tietosuojalainsäädännön soveltamisen valvonta vaarantuu vakavasti 45 .

Asetuksessa esitetään vaatimus, jonka mukaan kaikkien tietosuojaviranomaisten on toimittava täysin riippumattomasti 46 . Asetus vahvistaa kansallisten tietosuojaviranomaisten riippumattomuutta ja antaa niille koko EU:n kattavat yhdenmukaiset valtuudet siten, että niillä on asianmukaiset valmiudet käsitellä tehokkaasti valituksia, toteuttaa tehokkaita tutkimuksia, tehdä sitovia päätöksiä ja määrätä tehokkaita ja varoittavia seuraamuksia. Asetus antaa näille viranomaisille myös valtuudet määrätä rekisterinpitäjille tai henkilötietojen käsittelijöille hallinnollinen sakko, joka on enintään 20 miljoonaa euroa tai, jos kyseessä on yritys, enintään neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.

Tietosuojaviranomaiset toimivat luonnollisina keskustelukumppaneina ja ensimmäisinä yhteyspisteinä suurelle yleisölle, yrityksille ja viranomaisille asetusta koskevissa kysymyksissä. Tietosuojaviranomaisten tehtäviin kuuluu tiedottaminen rekisterinpitäjille ja henkilötietojen käsittelijöille näiden velvoitteista. Lisäksi niiden tehtävänä on suuren yleisön tietoisuuden ja ymmärryksen parantaminen tietojen käsittelyyn liittyvistä riskeistä, säännöistä, suojatoimista ja oikeuksista. Tämä ei kuitenkaan tarkoita, että rekisterinpitäjien ja henkilötietojen käsittelijöiden pitäisi odottaa saavansa tietosuojaviranomaisilta sellaista räätälöityä ja yksilöllistä oikeudellista neuvontaa, jota vain lakimiehet tai tietosuojavastaavat voivat tarjota.

Kansallisilla tietosuojaviranomaisilla on näin ollen keskeinen rooli. Henkilöstö- ja taloudelliset resurssit, joita niille myönnetään eri jäsenvaltioissa, ovat kuitenkin erilaiset, ja tämä epätasapaino voi heikentää tietosuojaviranomaisten tehokkuutta ja viime kädessä asetuksen niiltä edellyttämää ehdotonta riippumattomuutta. Resurssipuute voi myös heikentää tietosuojaviranomaisten mahdollisuuksia käyttää valtuuksiaan, esimerkiksi tutkintavaltuuksia. Jäsenvaltion on lain mukaan osoitettava kansalliselle tietosuojaviranomaiselle tekniset, taloudelliset ja henkilöresurssit, tilat ja infrastruktuuri, jotka ovat tarpeen, jotta viranomainen voi suorittaa tehtävänsä ja käyttää valtuuksiaan tehokkaasti 47 . Jäsenvaltioita kehotetaan täyttämään tämä laissa säädetty velvoitteensa.

3.4 Yritysten, viranomaisten ja muiden tietoja käsittelevien organisaatioiden on valmistauduttava uusien sääntöjen soveltamiseen

Asetuksella ei ole olennaisesti muutettu vuonna 1995 käyttöön otetun tietosuojalainsäädännön ydinajatusta eikä keskeisiä periaatteita. Tämän pitäisi merkitä sitä, että valtaosalla rekisterinpitäjistä ja henkilötietojen käsittelijöistä – jos ne jo nyt noudattavat nykyisiä tietosuojalakeja – ei ole tarvetta olennaisesti muuttaa tietojenkäsittelytoimiaan saattaakseen ne asetuksen mukaisiksi.

Asetus vaikuttaa eniten toimijoihin, joiden pääasiallisena toimintana on tietojenkäsittely ja/tai arkaluontoisten tietojen käsittely. Se vaikuttaa myös toimijoihin, jotka seuraavat säännöllisesti, järjestelmällisesti ja laajamittaisesti luonnollisia henkilöitä. Näiden toimijoiden on hyvin todennäköisesti nimitettävä tietosuojavastaava, toteutettava tietosuojaa koskeva vaikutustenarviointi ja ilmoitettava tietoturvaloukkauksista, jos henkilöiden oikeuksiin ja vapauksiin kohdistuu riski. Näitä asetuksenmukaisia erityisvelvoitteita ei sitä vastoin yleensä sovelleta sellaisiin toimijoihin, eikä etenkään pk-yrityksiin, jotka eivät harjoita korkean riskin aiheuttavaa käsittelyä.

On tärkeää, että rekisterinpitäjät ja henkilötietojen käsittelijät tarkastelevat perusteellisesti tietojenkäsittelyprosessiaan selvittääkseen, mitä tietoja heidän hallussaan on, mitä tarkoitusta varten tiedot on kerätty ja mikä on tietojen hallussa pitämisen oikeudellinen perusta (esim. pilvipalveluympäristö, rahoitusalan toimijat). Niiden on arvioitava myös käytössä olevia sopimuksia ja erityisesti rekisterinpitäjien ja henkilötietojen käsittelijöiden välisiä sopimuksia, kansainvälisten siirtojen toteuttamistapoja ja yleistä hallinnointia (mitä tietoteknisiä ja organisatorisia toimenpiteitä on käytössä) sekä tietosuojavastaavan nimittämistä. Olennainen osa tätä prosessia on varmistaa, että ylin johto osallistuu tällaisiin tarkasteluihin ja antaa niihin oman panoksensa ja että ylimmälle johdolle annetaan säännöllisesti ajantasaista tietoa ja sitä kuullaan yrityksen tietopolitiikan muutosten yhteydessä.

Osa toimijoista käyttää tähän tarkoitukseen (sisäisiä tai ulkoisia) vaatimustenmukaisuuden tarkistuslistoja, pyytää neuvoa konsultti- tai asianajotoimistoilta sekä etsii tuotteita, joiden avulla voidaan täyttää sisäänrakennetun ja oletusarvoisen tietosuojan vaatimukset. Kaikkien alojen on kehitettävä omaan erityisluonteeseensa soveltuvia järjestelyjä, jotka on mukautettu alan liiketoimintamalleihin.

Yritykset ja muut tietoja käsittelevät organisaatiot voivat myös hyödyntää asetuksessa säädettyjä uusia välineitä ja käyttää niitä vaatimustenmukaisuuden osoittamiseen. Tällaisia ovat esimerkiksi käytännesäännöt ja sertifiointimekanismit. Ne ovat
alhaalta ylös -lähestymistapoja ja tulevat yritysmaailmasta, yhdistyksiltä tai muilta organisaatioilta, jotka edustavat rekisterinpitäjien tai henkilötietojen käsittelijöiden ryhmiä. Niissä otetaan huomioon parhaat käytännöt ja tietyllä alalla tapahtunut merkittävä kehitys, ja niistä voi saada tietoa tiettyjen tuotteiden ja palvelujen edellyttämän tietosuojan tasosta. Asetuksessa säädetään tehokkaasta säännöstöstä tällaisia mekanismeja varten ja otetaan huomioon markkinoiden todelliset olosuhteet (esim. sertifiointielimen tai tietosuojaviranomaisen antama sertifiointi).

Suuret yritykset valmistautuvat aktiivisesti uusien sääntöjen soveltamiseen, mutta monet
pk-yritykset eivät vielä ole täysin tietoisia tulevista tietosuojasäännöistä.

Lyhyesti sanottuna toimijoiden olisi tehtävä valmisteluja ja mukauduttava uusiin sääntöihin sekä oivallettava, että asetus merkitsee niille

·mahdollisuutta panna omat toimintonsa kuntoon sen suhteen, mitä henkilötietoja toimijat käsittelevät ja miten tietoja hallinnoidaan,

·velvoitetta kehittää yksityisyyden suojan ja tietosuojan kannalta tehokkaita tuotteita ja luoda asiakkaisiin uudet suhteet, jotka perustuvat avoimuuteen ja luottamukseen, sekä

·mahdollisuutta määritellä uudelleen suhteet tietosuojaviranomaisiin tilivelvollisuuden ja ennakoivan vaatimustenmukaisuuden avulla.

3.5 Sidosryhmille, etenkin kansalaisille sekä pienille ja keskisuurille yrityksille suunnattava tiedottaminen

Asetuksen menestys riippuu siitä, miten hyvin kaikki tahot, joita uudet säännöt koskevat (yritysmaailma ja muut tietoja käsittelevät organisaatiot, julkinen sektori ja kansalaiset), ovat perehtyneet asetukseen. Tietoisuuden lisääminen sekä ensimmäisenä yhteyspisteenä toimiminen rekisterinpitäjille, henkilötietojen käsittelijöille ja yksityishenkilöille on kansallisella tasolla ensisijaisesti tietosuojaviranomaisten tehtävänä. Koska tietosuojaviranomaiset panevat tietosuojasäännöt täytäntöön omalla alueellaan, niillä on myös parhaat mahdollisuudet selittää yrityksille ja julkiselle sektorille asetuksen mukanaan tuomia muutoksia sekä perehdyttää kansalaiset näiden oikeuksiin.

Tietosuojaviranomaiset ovat aloittaneet sidosryhmille suunnatun tiedotuksen vallitsevien kansallisten käytäntöjen mukaisesti. Jotkut niistä järjestävät seminaareja viranomaisille, myös alueellisella ja paikallisella tasolla, ja pitävät työpajoja, joissa tiedotetaan asetuksen tärkeimmistä säännöksistä eri toimialoille. Jotkut taas järjestävät erityisiä koulutusohjelmia tietosuojavastaaville. Useimmat niistä tarjoavat verkkosivuillaan erimuotoisia tiedotusmateriaaleja (tarkistuslistoja, videoita jne.).

Kansalaiset tietävät kuitenkin edelleen liian vähän niistä muutoksista ja aiempaa paremmista oikeuksista, joita uudet tietosuojasäännöt tuovat mukanaan. Tietosuojaviranomaisten käynnistämää koulutus- ja tiedotusaloitetta olisi jatkettava ja tehostettava, ja se olisi suunnattava erityisesti pk-yrityksille. Tämän lisäksi kansalliset viranomaiset voisivat omilla aloillaan tukea tietosuojaviranomaisten toimia ja toteuttaa näiden avustamina eri sidosryhmille suunnattavia omia tiedotustoimia.

4.Lähiajan toimet

Komissio jatkaa tulevina kuukausina kaikkien toimijoiden aktiivista tukemista näiden valmistautuessa asetuksen soveltamiseen.

a) Yhteistyö jäsenvaltioiden kanssa

Komissio jatkaa yhteistyötä jäsenvaltioiden kanssa lähestyttäessä toukokuuta 2018. Toukokuusta 2018 eteenpäin komissio aikoo seurata, miten jäsenvaltiot soveltavat uusia sääntöjä, ja ryhtyy tarvittaessa tilanteen vaatimiin toimiin.

b) Uusi verkko-opas kaikilla EU:n kielillä ja tiedotustoimet

Komissio tarjoaa käytännönläheisiä ohjeita 48 , joilla autetaan yrityksiä (erityisesti pk-yrityksiä), viranomaisia ja suurta yleisöä noudattamaan ja hyödyntämään uusia tietosuojasääntöjä.

Ohjeet ovat saatavilla verkossa käytännönläheisenä verkkotyökaluna kaikilla EU:n kielillä. Verkkotyökalua päivitetään säännöllisesti, ja se on suunnattu kolmelle pääasialliselle kohdeyleisölle: kansalaisille, yrityksille (erityisesti pk-yrityksille) ja muille organisaatioille sekä viranomaisille. Se koostuu sidosryhmiltä saadun palautteen perusteella valituista kysymyksistä ja vastauksista sekä käytännön esimerkeistä ja linkeistä moniin eri tietolähteisiin (esim. asetuksen artiklat, tietosuojatyöryhmän / Euroopan tietosuojaneuvoston ohjeet ja kansallisella tasolla laaditut aineistot).

Komissio päivittää verkkotyökalua säännöllisesti. Se ottaa huomioon saamansa palautteen ja uudet seikat, joita täytäntöönpanon yhteydessä on tullut esiin, ja lisää ohjeeseen kysymyksiä ja täydentää vastauksia.

Jotta sekä yritykset että yleisö tulisivat tuntemaan komission ohjeet, järjestetään kaikissa jäsenvaltioissa tiedotuskampanjoita.

Koska asetuksella lujitetaan yksilöiden oikeuksia, komissio pyrkii antamaan kansalaisille tietoa asetuksen hyödyistä ja vaikutuksesta. Siksi komissio osallistuu tiedotustoimiin ja tapahtumiin eri jäsenvaltioissa.

c) Taloudellinen tuki kansallisille kampanjoille ja tiedotustoiminnalle

Komissio tukee kansallisia toimia, joilla pyritään lisäämään tietosuojasääntöjä koskevaa tietoisuutta ja varmistamaan sääntöjen noudattaminen. Se myöntää tähän tarkoitukseen avustuksia, joiden avulla kansallisille hallinto- ja tietosuojaviranomaisille, oikeusalan ammattilaisille ja tietosuojavastaaville voidaan järjestää sisäistä koulutusta 49 sekä asetusta koskevaa perehdytystä.

Noin 1,7 miljoonaa euroa osoitetaan kuudelle edunsaajalle, joiden toiminta kattaa yli puolet EU:n jäsenvaltioista. Rahoitettavien toimien kohteena ovat paikallisviranomaiset ja paikallisviranomaisten, viranomaisten ja yksityisen sektorin tietosuojavastaavat sekä tuomarit ja lakimiehet. Avustukset käytetään koulutusmateriaalin laatimiseen tietosuojaviranomaisille, tietosuojavastaaville ja muille ammattihenkilöille sekä kouluttajien koulutukseen tarkoitetuille ohjelmille.

Komissio on myös julkaissut erityisesti tietosuojaviranomaisille suunnatun ehdotuspyynnön. Sen kokonaisbudjetti on enintään 2 miljoonaa euroa, ja sillä tuetaan tietosuojaviranomaisten tiedottamista sidosryhmille 50 . Tavoitteena on tarjota 80 prosentin yhteisrahoitusosuus toimenpiteille, joita tietosuojaviranomaiset toteuttavat vuosina 2018–2019 tiedottaakseen tietoturvasta yrityksille ja etenkin pk-yrityksille sekä vastatakseen näiden tiedusteluihin. Rahoitusta voidaan käyttää myös suurelle yleisölle tiedottamiseen.

d) Komission valtuuksien käyttötarpeen arviointi

Asetuksessa 51 annetaan komissiolle valtuudet antaa täytäntöönpanosäädöksiä tai delegoituja säädöksiä, joilla tuetaan uusien sääntöjen täytäntöönpanoa. Komissio käyttää näitä valtuuksia sidosryhmien kuulemisesta saadun palautteen perusteella vain, jos niiden käyttämisestä aiheutuva lisäarvo on selvästi osoitettavissa. Komissio aikoo erityisesti tarkastella sertifioinnin myöntämistä. Tähän se saa materiaalia ulkopuolisilta asiantuntijoilta tilaamastaan selvityksestä sekä tiedoista ja neuvoista, joita saadaan asetusta käsittelevältä vuoden 2017 lopussa perustetulta eri sidosryhmistä koostuvalta ryhmältä. Myös Euroopan unionin verkko- ja tietoturvaviraston (ENISA) kyberturvallisuuden alalla tekemä työ on tärkeä tässä yhteydessä.

e) Asetuksen sisällyttäminen ETA-sopimukseen

Komissio jatkaa yhteistyötä kolmen Euroopan talousalueeseen (ETA) kuuluvan EFTA-valtion (Islanti, Liechtenstein ja Norja) kanssa asetuksen sisällyttämiseksi ETA-sopimukseen 52 . Henkilötietojen vapaa liikkuvuus EU:n ja ETA-maiden välillä samalla tavalla kuin EU:n jäsenvaltioiden välillä on mahdollista vasta, kun asetus on sisällytetty ETA-sopimukseen.

f) Yhdistyneen kuningaskunnan eroaminen EU:sta

Komissio pyrkii varmistamaan Euroopan unionista tehdyn sopimuksen 50 artiklan perusteella erosopimuksesta käytävissä EU:n ja Yhdistyneen kuningaskunnan välisissä neuvotteluissa, että henkilötietojen suojaa koskevia unionin lainsäädännön säännöksiä. joita sovelletaan eropäivää edeltävänä päivänä, tullaan edelleen soveltamaan ennen eroamispäivää käsiteltyihin henkilötietoihin Yhdistyneessä kuningaskunnassa. 53 Henkilöillä, joita tiedot koskevat, olisi eroamispäivänä sovellettavan unionin lainsäädännön säännösten perusteella esimerkiksi edelleen oltava oikeus saada tietoa ja päästä tietoihin, oikeus tietojen oikaisuun, poistamiseen ja käsittelyn rajoittamiseen, oikeus tietojen siirtämiseen järjestelmästä toiseen sekä oikeus vastustaa käsittelyä ja oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka olisi tehty yksinomaan tietojen automaattisen käsittelyn perusteella. Edellä tarkoitetut henkilötiedot tulisi säilyttää vain niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten.

Eroamispäivästä alkaen Yhdistyneeseen kuningaskuntaan sovelletaan, jollei mahdolliseen erosopimukseen sisältyvästä siirtymäjärjestelystä muuta johdu, asetuksen sääntöjä, jotka koskevat henkilötietojen siirtämistä kolmansiin maihin. 54  

g) Toukokuussa 2019 tehtävä tilannekatsaus

Komissio aikoo 25. toukokuuta 2018 jälkeen valvoa tiiviisti uusien sääntöjen soveltamista ja olla valmiina toteuttamaan toimenpiteitä, jos ilmenee merkittäviä ongelmia. Komissio aikoo vuoden kuluttua asetuksen soveltamisen alkamisesta (vuonna 2019) tarkastella eri sidosryhmien kokemuksia asetuksen täytäntöönpanosta. Tästä saadaan aineistoa myös asetuksen arviointia ja tarkistamista koskevaan kertomukseen, joka komission on annettava toukokuuhun 2020 mennessä. Kertomuksessa keskitytään erityisesti kansainvälisiin henkilötietojen siirtoihin sekä yhteistyötä ja yhdenmukaisuutta koskeviin säännöksiin, joita tietosuojaviranomaisten on noudatettava työssään.

Päätelmät

Uutta tietosuojasäännöstöä aletaan soveltaa 25. toukokuuta koko EU:ssa. Uusi lainsäädäntö tuo tullessaan merkittäviä etuja luonnollisille henkilöille, yrityksille, viranomaisille ja muille organisaatioille. Lisäksi se merkitsee EU:lle tilaisuutta saavuttaa maailmanlaajuinen johtoasema henkilötietojen suojan alalla. Uudistuksen menestys edellyttää kuitenkin, että kaikki asianosaiset ottavat velvollisuutensa ja oikeutensa omikseen.

Komissio on siitä lähtien, kun asetus hyväksyttiin toukokuussa 2016, ollut aktiivisesti yhteydessä kaikkiin asianomaisiin toimijoihin – hallituksiin, kansallisiin viranomaisiin, yrityksiin ja kansalaisyhteiskuntaan – uusien sääntöjen soveltamista koskevissa asioissa. Asetuksen laajan tuntemuksen ja asetuksen soveltamisen valmistelujen eteen on tehty paljon työtä, mutta se ei vielä riitä. Eri jäsenvaltioiden ja eri toimijoiden valmistelut edistyvät eri tahtia. Tietämys uusien sääntöjen mukanaan tuomista eduista ja mahdollisuuksista ei myöskään ole jakautunut tasaisesti. Erityisesti pk-yritysten tietämystä on parannettava ja niiden pyrkimyksiä sääntöjen noudattamiseen tuettava.

Komissio kehottaa sen vuoksi kaikkia alan toimijoita tehostamaan käynnissä olevaa työtä uusien sääntöjen yhdenmukaisen soveltamisen ja tulkinnan varmistamiseksi koko EU:ssa ja jakamaan sääntöjä koskevaa tietoa niin yrityksille kuin kansalaisille. Komissio tukee näitä pyrkimyksiä ja auttaa parantamaan yleistä tietämystä erityisesti laatimalla verkko-oppaan.

Tieto on erittäin tärkeää nykypäivän talouselämässä. Se on olennaisen tärkeää myös kansalaisten arkielämässä. Uudet säännöt tarjoavat ainutlaatuisen mahdollisuuden niin yrityksille kuin suurelle yleisölle. Yritykset ja etenkin pienet yritykset voivat hyötyä innovoinnille suotuisasta säännöstöstä ja saada henkilötietojen käsittelynsä kuntoon. Näin ne voivat palauttaa kuluttajien luottamuksen ja käyttää sitä kilpailuetunaan koko EU:ssa. Kansalaiset voivat hyötyä henkilötietojen vahvemmasta suojasta ja pystyvät entistä paremmin valvomaan tietojen käsittelyä yrityksissä.

Digitaalitalouden vallatessa alaa nykymaailmassa Euroopan unionin, sen kansalaisten ja yritysten on valmistauduttava perusteellisesti hyötymään datavetoisen talouden eduista ja ymmärtämään sen vaikutukset. Uusi asetus tarjoaa tarpeelliset työkalut, jotta Eurooppa menestyy 2000-luvun digitaalisessa maailmassa.

Komissio aikoo toteuttaa seuraavat toimet:

jäsenvaltioiden osalta

·Komissio jatkaa yhteistyötä jäsenvaltioiden kanssa ja pitää tavoitteenaan sitä, että asetusta sovelletaan yhdenmukaisesti ja tulkinnan hajanaisuutta torjutaan. Komissio ottaa huomioon jäsenvaltioille uuden lainsäädännön nojalla annetut mahdollisuudet tehdä täsmennyksiä sääntöihin.

·Toukokuun 2018 jälkeen komissio aikoo valvoa tiiviisti asetuksen soveltamista jäsenvaltioissa ja toteuttaa tarvittavia toimia, mukaan lukien rikkomusmenettelyt.

tietosuojaviranomaisten osalta

·Komissio aikoo toukokuuhun 2018 saakka tukea tietosuojaviranomaisten työtä tietosuojatyöryhmän puitteissa sekä siirtymisessä tulevaan Euroopan tietosuojaneuvostoon. Toukokuun 2018 jälkeen se aikoo osallistua Euroopan tietosuojaneuvoston työhön.

·Vuosina 2018–2019 komissio aikoo yhteisrahoittaa tietosuojaviranomaisten kansallisella tasolla toteuttamia tiedotustoimia (yhteisrahoituksen kokonaisbudjetti on enintään 2 miljoonaa euroa, ja hankkeet toteutetaan vuoden 2018 puolivälistä alkaen).

sidosryhmien osalta

·Komissio aikoo ottaa käyttöön kansalaisille, yrityksille ja viranomaisille tarkoitetun käytännönläheisen verkko-oppaan, jossa on kysymyksiä ja vastauksia. Komissio aikoo toukokuun 2018 kynnyksellä ja sen jälkeen tehdä ohjeistusta tutuksi kohdeyleisöille ja tätä varten toteuttaa yrityksille ja suurelle yleisölle suunnatun tiedotuskampanjan.

·Vuonna 2018 ja sen jälkeen komissio aikoo jatkaa aktiivista yhteydenpitoa sidosryhmiin etenkin eri sidosryhmistä koostuvan ryhmän avulla asioissa, jotka koskevat tietosuoja-asetuksen täytäntöönpanoa ja uusia sääntöjä koskevan tietämyksen tasoa.

kaikkien toimijoiden osalta

·Vuosina 2018–2019 komissio aikoo arvioida, onko sen tarpeellista käyttää delegoitujen tai täytäntöönpanosäädösten hyväksymistä koskevia valtuuksiaan.

·Komissio aikoo toukokuussa 2019 arvioida asetuksen täytäntöönpanoa ja vuonna 2020 raportoida uusien sääntöjen soveltamisesta.

(1) Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (EUVL L 119, 4.5.2016).
(2) Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta (EUVL L 119, 4.5.2016).
(3) Euroopan parlamentin ja neuvoston direktiivi 95/46/EY, annettu 24 päivänä lokakuuta 1995, yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (EYVL L 281, 23.11.1995).
(4) Asetus on ollut voimassa 24. toukokuuta 2016 lähtien, ja sitä aletaan soveltaa 25. toukokuuta 2018.
(5) Euroopan unionin perusoikeuskirjan 8 artikla ja Euroopan unionin toiminnasta tehdyn sopimuksen, jäljempänä ’SEUT-sopimus’, 16 artikla.
(6)   https://ec.europa.eu/commission/sites/beta-political/files/letter-of-intent-2017_fi.pdf .
(7) Euroopan parlamentin ja neuvoston direktiivi 2002/58/EY, annettu 12 päivänä heinäkuuta 2002, henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla (sähköisen viestinnän tietosuojadirektiivi) (EYVL L 201, 31.7.2002, s. 37–47). Asetuksen 95 artiklan mukaan asetuksella ei aseteta lisävelvoitteita luonnollisille ja oikeushenkilöille sellaisissa asioissa, joiden osalta sähköisen viestinnän tietosuojadirektiivissä säädetään erityisistä velvoitteista samankaltaisen tavoitteen saavuttamiseksi. Näin ollen jos direktiivin alaisen toimijan on mainitun direktiivin mukaan esimerkiksi ilmoitettava henkilötietojen tietoturvaloukkauksesta ja tämä loukkaus koskee direktiivin alaan asiallisesti kuuluvaa palvelua, asetuksessa ei tältä osin aseteta toimijalle lisävelvoitteita.
(8) Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/1148, annettu 6 päivänä heinäkuuta 2016, toimenpiteistä yhteisen korkeatasoisen verkko- ja tietojärjestelmien turvallisuuden varmistamiseksi koko unionissa (EUVL L 194, 19.7.2016, s. 1–30). Tämän verkko- ja tietoturvadirektiivin soveltamisalaan kuuluvien yhteisöjen olisi ilmoitettava poikkeamista, joilla on merkittävä tai huomattava vaikutus joihinkin niiden tarjoamiin palveluihin. Verkko- ja tietoturvadirektiivin mukainen poikkeamista ilmoittaminen ei rajoita asetuksen mukaista tietoturvaloukkauksista ilmoittamista.
(9) Asetuksen 35 artikla.
(10) Komission tiedonanto Henkilötietojen vaihtaminen ja suojaaminen globalisoituneessa maailmassa, COM(2017) 7 final.
(11) Ehdotus Euroopan parlamentin ja neuvoston asetukseksi yksilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta, COM(2017) 8 final.
(12) Ehdotus Euroopan parlamentin ja neuvoston asetukseksi yksityiselämän kunnioittamisesta ja henkilötietojen suojasta sähköisessä viestinnässä ja direktiivin 2002/58/EY kumoamisesta (sähköisen viestinnän tietosuoja-asetus), COM(2017) 10 final.
(13) Direktiiviä 2002/58/EY sovelletaan erityissäädöksenä (lex specialis) suhteessa asetukseen, kunnes sähköisen viestinnän tietosuoja-asetus hyväksytään ja sitä aletaan soveltaa.
(14) Täydellinen luettelo kokouksista, esityslistat, yhteenveto keskusteluista ja yleiskatsaus lainsäädännön tilanteeseen eri jäsenvaltioissa on osoitteessa http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3461 .
(15) Komissio esimerkiksi tarjoaa Euroopan tietosuojaneuvostolle mahdollisuuden käyttää sisämarkkinoiden tietojenvaihtojärjestelmää (IMI) neuvoston jäsenten väliseen viestintään.
(16) Globalisaation hallintaa koskeva pohdinta-asiakirja, COM(2017) 240.
(17) Euroopan neuvoston yleissopimus, tehty 28 päivänä tammikuuta 1981, yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä (ETS 108) ja vuonna 2001 tehty yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä tehdyn yleissopimuksen valvontaviranomaisia ja rajat ylittäviä tietovirtoja koskeva lisäpöytäkirja (ETS 181). Yleissopimus on avoinna myös muille kuin Euroopan neuvoston jäsenmaille. Sen on ratifioinut 51 maata (joihin lukeutuvat myös Uruguay, Mauritius, Senegal ja Tunisia).
(18) Katso esim. Ibero-Amerikan valtioiden tietosuojanormit, http://www.redipd.es/documentacion/common/Estandares_eng_Con_logo_RIPD.pdf
(19) COM(2017) 7.
(20) COM(2017) 7, s. 10–11.
(21)   http://europa.eu/rapid/press-release_STATEMENT-17-1917_en.htm .
(22) COM(2017) 7, s. 10–11
(23) Kaksi työpajaa teollisuuden edustajien kanssa heinäkuussa 2016 ja huhtikuussa 2017, kaksi yritysten edustajien pyöreän pöydän kokousta joulukuussa 2016 ja toukokuussa 2017, terveystietoja koskeva työpaja lokakuussa 2017 ja työpaja pk-yritysten edustajien kanssa marraskuussa 2017.
(24)   http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3537 .
(25) https://ec.europa.eu/programmes/horizon2020/h2020-sections
(26) Kaikki annetut ohjeet ovat saatavilla osoitteessa: http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083.
(27) SEUT-sopimuksen 288 artikla.
(28) Asetuksen 54 artiklan 1 kohta.
(29) Asetuksen 43 artiklan 1 kohdassa säädetään, että jäsenvaltioiden on tarjottava sertifiointielimille kaksi vaihtoehtoista akkreditointimenetelmää: tietosuojalainsäädännön mukaisesti perustetun kansallisen tietosuojaviranomaisen toteuttama akkreditointi ja/tai akkreditoinnista ja markkinavalvonnasta annetun asetuksen (EY) N:o 765/2008 mukaisesti perustetun kansallisen akkreditointielimen toteuttama akkreditointi. Tämä edellyttää tiivistä yhteistyötä kansallisten akkreditointielinten kattojärjestönä toimivan Euroopan akkreditointielinten yhteistyöjärjestön (EA, hyväksytty asetuksen (EY) N:o 765/2008 nojalla) ja asetuksen mukaisten valvontaviranomaisten välillä.
(30) Asetuksen 85 artiklan 1 kohta.
(31) Asetuksen 6 artiklan 2 kohta.
(32) Asetuksen 88 artikla ja 9 artiklan 2 kohdan b alakohta. Euroopan sosiaalisten oikeuksien pilarissa todetaan myös, että ”Työntekijöillä on oikeus saada henkilötietonsa suojatuiksi työsuhteen yhteydessä”. (2017/C 428/09, EUVL C 428, 13.12.2017, s. 10–15)
(33) Asetuksen 9 artiklan 2 kohdan h ja i alakohta.
(34) Asetuksen 9 artiklan 2 kohdan j alakohta.
(35) Asetuksen 87 artikla.
(36) Asetuksen 86 artikla.
(37) Asetuksen 90 artikla.
(38) Asetuksen 9 artiklan 4 kohta.
(39) Asia 94/77, Fratelli Zerbone Snc v. Amministrazione delle finanze dello Stato, ECLI:EU:C:1978:17 ja 101.
(40) Asetuksen johdanto-osan 8 kappale.
(41) Itävalta ( http://www.ris.bka.gv.at/Dokumente/BgblAuth/BGBLA_2017_I_120/BGBLA_2017_I_120.pdf ); Saksa ( https://www.bgbl.de/xaver/bgbl/start.xav?start=%2F%2F*%5B%40attr_id%3D%27bgbl117s2097.pdf%27 %5D#__bgbl__%2F%2F*%5B%40attr_id%3D%27bgbl117s2097.pdf%27 %5D__1513091793362 ).
(42) Yleiskatsaus eri jäsenvaltioiden lainsäädäntöprosessien tilanteeseen on osoitteessa http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3461
(43) Euroopan tietosuojaneuvosto tulee olemaan EU:n elin, ja sillä on oikeushenkilöllisyys. Se vastaa asetuksen yhdenmukaisen soveltamisen varmistamisesta. Tietosuojaneuvoston muodostavat kaikkien tietosuojaviranomaisten johtajat sekä Euroopan tietosuojavaltuutettu (tai näiden edustajat).
(44) Johdanto-osan 117 kappale. Sama todetaan aiemmin jo direktiivin 95/46 johdanto-osan 62 kappaleessa.
(45) Komission tiedonanto Euroopan parlamentille ja neuvostolle – Tietosuojadirektiivin tehokkaampaa soveltamista koskevan työohjelman seurannasta KOM(2007) 87 lopullinen, 7.3.2007.
(46) Asetuksen 52 artikla.
(47) Asetuksen 52 artiklan 4 kohta.
(48) Ohjeiden avulla edistetään EU:n tietosuojasääntöjen tuntemusta, mutta vain asetuksen tekstillä on oikeudellista merkitystä. Näin ollen vain asetuksella voidaan luoda oikeuksia ja määrätä velvollisuuksia luonnollisille henkilöille.
(49)  Vuoden 2016 perusoikeus- ja kansalaisuusohjelmasta annetut avustukset ( https://ec.europa.eu/research/participants/portal/desktop/en/opportunities/rec/calls/rec-data-2016.html#c,topics=callIdentifier/t/REC-DATA-2016/1/1/1/default-group&callStatus/t/Forthcoming/1/1/0/default-group&callStatus/t/Open/1/1/0/default-group&callStatus/t/Closed/1/1/0/default-group&+identifier/desc ).
(50) http://ec.europa.eu/research/participants/portal/desktop/en/opportunities/rec/topics/rec-rdat-trai-ag-2017.html
(51) Delegoitu säädös, joka koskee kuvakkeilla annettavia tietoja ja menettelyjä, joilla standardoituja kuvakkeita tarjotaan käyttöön (asetuksen 12 artiklan 8 kohta); delegoitu säädös, jossa täsmennetään sertifiointimekanismien osalta huomioon otettavat vaatimukset (asetuksen 43 artiklan 8 kohta); täytäntöönpanosäädös, jolla vahvistetaan tekniset standardit sertifiointimekanismeja sekä tietosuojasinettejä ja -merkkejä varten ja menettelyt näiden sertifiointimekanismien edistämiseksi ja tunnustamiseksi (asetuksen 43 artiklan 9 kohta); täytäntöönpanosäädös, jolla vahvistetaan muoto ja menettelyt sitä tietojenvaihtoa varten, jota käydään rekisterinpitäjien, henkilötietojen käsittelijöiden ja valvontaviranomaisten välillä yritystä koskevista sitovista säännöistä (asetuksen 47 artiklan 3 kohta); täytäntöönpanosäädökset, joilla vahvistetaan keskinäistä avunantoa sekä valvontaviranomaisten kesken sähköisin keinoin toteutettavaa tietojenvaihtoa koskevat muodot ja menettelyt (asetuksen 61 artiklan 9 kohta ja 67 artikla).
(52) Tilannetta koskevia tietoja on osoitteessa http://www.efta.int/eea-lex/32016R0679
(53) https://ec.europa.eu/commission/publications/position-paper-use-data-and-protection-information-obtained-or-processed-withdrawal-date_en
(54) Katso komission tiedonanto sidosryhmille: Yhdistyneen kuningaskunnan eroaminen ja EU:n säännöt henkilötietojen suojan alalla (http://ec.europa.eu/newsroom/just/document.cfm?action=display&doc_id=49245).