EUROOPAN KOMISSIO
Bryssel 29.5.2019
COM(2019) 250 final
KOMISSION TIEDONANTO EUROOPAN PARLAMENTILLE JA NEUVOSTOLLE EMPTY
Muiden kuin henkilötietojen vapaan liikkuvuuden kehyksestä Euroopan unionissa annettua asetusta koskevat ohjeet
EUROOPAN KOMISSIO
Bryssel 29.5.2019
COM(2019) 250 final
KOMISSION TIEDONANTO EUROOPAN PARLAMENTILLE JA NEUVOSTOLLE EMPTY
Muiden kuin henkilötietojen vapaan liikkuvuuden kehyksestä Euroopan unionissa annettua asetusta koskevat ohjeet
Sisällys
1 Johdanto
Ohjeiden tarkoitus
2 Muiden kuin henkilötietojen vapaata liikkuvuutta koskevan asetuksen ja yleisen tietosuoja-asetuksen keskinäinen vaikutus – yhdistelmätietojoukot
2.1 Muiden kuin henkilötietojen käsite muiden kuin henkilötietojen vapaata liikkuvuutta koskevassa asetuksessa
Henkilötiedot
Muut kuin henkilötiedot
2.2 Yhdistelmätietojoukot
3 Tietojen vapaa liikkuvuus ja tietojen sijaintia koskevien vaatimusten poistaminen
3.1 Muiden kuin henkilötietojen vapaa liikkuvuus
3.2 Henkilötietojen vapaa liikkuvuus
3.3 Muiden kuin henkilötietojen vapaata liikkuvuutta koskevan asetuksen soveltamisala
3.4 Jäsenvaltioiden sisäiseen organisaatioon liittyvät toimet
4 Tietojen vapaata liikkuvuutta tukevat itsesääntelyyn perustuvat lähestymistavat
4.1 Tietojen siirtäminen ja pilvipalveluntarjoajien vaihtaminen
Siirrettävyyden käsite ja keskinäinen vaikutus yleisen tietosuoja-asetuksen kanssa
4.2 Henkilötietojen suojaa koskevat käytännesäännöt ja sertifiointijärjestelmät
4.3 Luottamuksen lisääminen rajatylittävässä tietojenkäsittelyssä – turvallisuussertifiointi
Loppuhuomautukset
Tämä Euroopan komission laatima asiakirja on julkaistu ainoastaan tiedotustarkoituksessa. Siihen ei sisälly virallista tulkintaa muiden kuin henkilötietojen vapaan liikkuvuuden kehyksestä Euroopan unionissa 14 päivänä marraskuuta 2018 annetusta Euroopan parlamentin ja neuvoston asetuksesta (EU) 2018/1807. Kyseessä ei myöskään ole komission päätös tai kanta. Asiakirjalla ei rajoiteta asiaa koskevia komission päätöksiä tai kantoja eikä Euroopan unionin tuomioistuimen valtaa tulkita kyseistä asetusta EU:n perussopimusten mukaisesti.
1
Johdanto
Talouden muuttuessa yhä datavetoisemmaksi tietojen liikkuvuus kaikenkokoisten yritysten liiketoimintaprosessien ytimessä kaikilla aloilla. Uudet digitaaliset teknologiat tuovat uusia mahdollisuuksia suurelle yleisölle, yrityksille ja julkishallinnoille Euroopan unionissa, jäljempänä ’EU’.
Rajatylittävän tietojenvaihdon edistämiseksi ja datatalouden vauhdittamiseksi edelleen Euroopan parlamentti ja neuvosto antoivat Euroopan komission, jäljempänä ’komissio’, ehdotuksen perusteella marraskuussa 2018 asetuksen (EU) 2018/1807 muiden kuin henkilötietojen vapaan liikkuvuuden kehyksestä Euroopan unionissa 1 , jäljempänä ’muiden kuin henkilötietojen vapaata liikkuvuutta koskeva asetus’. Kyseistä asetusta sovelletaan 28. toukokuuta 2019 alkaen. Henkilötietojen vapaan liikkuvuuden periaatteesta säädetään jo luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2016/679 2 , jäljempänä ’yleinen tietosuoja-asetus’. Mainituilla säädöksillä on saatu aikaan kattava kehys yhteiselle eurooppalaiselle data-avaruudelle ja kaikkien tietojen vapaalle liikkuvuudelle Euroopan unionissa. 3
Muiden kuin henkilötietojen vapaata liikkuvuutta koskeva asetus luo oikeusvarmuutta sille, että yritykset voivat käsitellä tietojaan haluamassaan paikassa EU:ssa. Lisäksi asetuksella lisätään luottamusta tietojenkäsittelypalveluja kohtaan ja torjutaan käytänteitä, joissa on kyse riippuvuussuhteen syntymisestä tarjoajaan. Tämä lisää asiakkaiden valinnanvapautta, parantaa tehokkuutta ja vauhdittaa pilvipalvelujen käyttöönottoa, minkä ansiosta EU:n yritykset saavat huomattavia säästöjä. Yhden tutkimuksen mukaan 4 EU:n yritykset voivat säästää 20–50 prosenttia tietojenkäsittelykustannuksistaan siirtymällä pilvipalvelujen käyttöön.
Edellä mainittujen kahden asetuksen ansiosta tiedot voivat nyt liikkua vapaasti jäsenvaltioiden välillä ja tietojenkäsittelypalvelujen käyttäjät voivat käyttää EU:n eri markkinoilla kerättyjä tietoja tuottavuutensa ja kilpailukykynsä parantamiseksi. Käyttäjät voivat näin ollen hyödyntää täydessä laajuudessa suurten EU:n markkinoiden tarjoamia mittakaavaetuja, parantaa maailmanlaajuista kilpailukykyään ja lisätä eurooppalaisen datatalouden yhteenliitettävyyttä.
Muiden kuin henkilötietojen vapaata liikkuvuutta koskevassa asetuksessa on kolme merkittävää piirrettä:
·Siinä kielletään yleisesti jäsenvaltioita asettamasta vaatimuksia sille, missä tietojen pitäisi sijaita. Tästä kiellosta voidaan poiketa vain yleisen turvallisuuden perusteella suhteellisuusperiaatetta noudattaen.
·Siinä perustetaan yhteistyömekanismi, jolla varmistetaan, että toimivaltaiset viranomaiset pystyvät edelleen käyttämään kaikkia oikeuksia, joita niillä on toisessa jäsenvaltiossa käsiteltävien tietojen saamiseksi.
·Siinä esitetään toimialalle kannustimia kehittää komission tuella itsesääntelyyn perustuvia käytännesääntöjä palveluntarjoajien vaihtamisesta ja tietojen siirtämisestä.
Ohjeiden tarkoitus
Näillä ohjeilla täytetään muiden kuin henkilötietojen vapaata liikkuvuutta koskevan asetuksen 8 artiklan 3 kohdan vaatimus siitä, että komissio julkaisee ohjeet tämän asetuksen ja yleisen tietosuoja-asetuksen keskinäisestä vaikutuksesta ”erityisesti sekä henkilötietoja että muita kuin henkilötietoja sisältävien tietojoukkojen osalta”.
Ohjeiden tarkoituksena on auttaa käyttäjiä – erityisesti pieniä ja keskisuuria yrityksiä – ymmärtämään muiden kuin henkilötietojen vapaata liikkuvuutta koskevan asetuksen ja yleisen tietosuoja-asetuksen keskinäistä vaikutusta 5 . Näin ollen ohjeissa käsitellään erityisesti i) henkilötietojen ja muiden kuin henkilötietojen käsitteitä, ii) molemmissa asetuksissa tarkoitettuja tietojen vapaan liikkuvuuden ja tietojen sijaintia koskevien vaatimusten kiellon periaatteita ja iii) muiden kuin henkilötietojen vapaata liikkuvuutta koskevassa asetuksessa tarkoitettua tietojen siirrettävyyden käsitettä. Ohjeet koskevat myös itsesääntelyvaatimuksia, joista säädetään molemmissa asetuksissa.
Muiden kuin henkilötietojen vapaata liikkuvuutta koskeva asetus koskee vain ”muita kuin henkilötietoja” yleisen tietosuoja-asetuksen määritelmän mukaisesti. Yleisellä tietosuoja-asetuksella säännellään henkilötietojen käsittelyä, ja se on olennainen osa EU:n tietosuojakehystä 6 . Asetus tuli jäsenvaltioissa voimaan 25. toukokuuta 2018. Yleisessä tietosuoja-asetuksessa esitetään yhdenmukaistetut säännöt, joilla suojellaan ihmisiä EU-/ETA-alueella heidän henkilötietojensa käsittelyssä ja kyseisten tietojen vapaassa liikkuvuudessa. Siinä i) eritellään, mitkä tiedot ovat henkilötietoja, ii) vahvistetaan oikeusperusta niiden käsittelylle ja iii) määritetään oikeudet ja velvollisuudet, joita on noudatettava kyseisten tietojen käsittelyssä 7 , sekä muita säännöksiä. Yleisen tietosuoja-asetuksen henkilötietojen vapaan liikkuvuuden periaatetta koskevassa 1 artiklan 3 kohdassa säädetään, että ”henkilötietojen vapaata liikkuvuutta unionin sisällä ei saa rajoittaa eikä kieltää syistä, jotka liittyvät luonnollisten henkilöiden suojeluun henkilötietojen käsittelyssä”.
Valtaosassa tosielämän tilanteista tietojoukot koostuvat hyvin todennäköisesti sekä henkilötiedoista että muista kuin henkilötiedoista. Niihin voidaan viitata esim. ”yhdistelmätietojoukkoina” tai ”molempia tietotyyppejä sisältävinä tietojoukkoina” (englanniksi usein ”mixed datasets”). Jäljempänä kohdassa 2.2 selitetään tarkemmin muiden kuin henkilötietojen vapaata liikkuvuutta koskevan asetuksen ja yleisen tietosuoja-asetuksen keskinäistä vaikutusta yhdistelmätietojoukkojen osalta.
Selvyyden vuoksi todetaan, että yleisessä tietosuoja-asetuksessa ja muiden kuin henkilötietojen vapaata liikkuvuutta koskevassa asetuksessa ei ole keskenään ristiriitaisia velvollisuuksia.
2 Muiden kuin henkilötietojen vapaata liikkuvuutta koskevan asetuksen ja yleisen tietosuoja-asetuksen keskinäinen vaikutus – yhdistelmätietojoukot
2.1 Muiden kuin henkilötietojen käsite muiden kuin henkilötietojen vapaata liikkuvuutta koskevassa asetuksessa
Muiden kuin henkilötietojen vapaata liikkuvuutta koskevan asetuksen 8 tarkoituksena on varmistaa muiden kuin henkilötietojen vapaa liikkuvuus. Asetuksen tekstissä käytetään jatkuvasti käsitettä ”tiedot”, jolla tarkoitetaan ”muita tietoja kuin asetuksen (EU) 2016/679 [yleinen tietosuoja-asetus] 4 artiklan 1 alakohdassa määriteltyjä henkilötietoja” 9 . Tässä asiakirjassa kyseisiin tietoihin viitataan myös ”muina kuin henkilötietoina”, ja ne määritetään yleisessä tietosuoja-asetuksessa tarkoitettujen henkilötietojen vastakohdaksi.
Henkilötiedot
Yleisessä tietosuoja-asetuksessa tarkoitetaan ’henkilötiedoilla’ kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella”.
Tämä henkilötietojen laaja määritelmä on tarkoituksellinen, ja se on pysynyt yleisessä tietosuoja-asetuksessa olennaisilta osiltaan samana edelliseen lainsäädäntöön verrattuna 10 . Henkilötietojen määritelmän eri osia, kuten ilmaisuja ”kaikki tiedot”, ”liittyvä”, ”tunnistettu tai tunnistettavissa oleva”, käsiteltiin jo 29 artiklan mukaisen työryhmän 11 20 päivänä kesäkuuta 2007 henkilötietojen käsitteestä antamassa lausunnossa 4/2007, WP 136.
Tutkimuksen kaltaisilla aloilla on tavallista pseudonymisoida henkilötiedot henkilön henkilöllisyyden salaamiseksi. Pseudonymisoimisella tarkoitetaan henkilötietojen käsittelemistä siten, että henkilötietoja ei voida enää yhdistää tiettyyn rekisteröityyn käyttämättä lisätietoja. Tällaiset lisätiedot säilytetään erillään, ja ne turvataan teknisillä ja organisatorisilla toimenpiteillä (esim. salauksella) 12 13 . Pseudonymisoidut tiedot kuitenkin katsotaan edelleen tiedoiksi tunnistettavissa olevasta henkilöstä, jos ne voidaan yhdistää kyseiseen henkilöön käyttämällä lisätietoja. 14 Tällaiset tiedot ovat yleisen tietosuoja-asetuksen mukaan henkilötietoja.
Muut kuin henkilötiedot
Kun tiedot eivät ole yleisessä tietosuoja-asetuksessa määritettyjä ”henkilötietoja”, ne ovat muita kuin henkilötietoja. Muut kuin henkilötiedot voidaan luokitella alkuperän mukaan seuraavasti:
·Ensisijaisesti tiedot, jotka eivät alun perin ole liittyneet tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, kuten sääoloja koskevat tiedot, jotka on saatu tuuliturbiineihin asennetuista antureista, tai tiedot teollisuuden koneiden huoltotarpeista.
·Toissijaisesti tiedot, jotka ovat alun perin olleet henkilötietoja, mutta joista on myöhemmin tehty anonyymeja 15 . Henkilötietojen anonymisoiminen eroaa pseudonymisoimisesta (ks. edellä), koska asianmukaisesti anonymisoituja tietoja ei voida yhdistää tiettyyn henkilöön edes lisätietoja käyttämällä 16 . Siksi ne ovat muita kuin henkilötietoja.
Tietojen asianmukainen anonymisointi arvioidaan aina kunkin yksittäisen tapauksen erityisten ja ainutlaatuisten olosuhteiden perusteella 17 . Tällainen arviointi voi olla vaativaa. Sen osoittavat useat esimerkit, joissa on pystytty tunnistamaan uudelleen tietojoukkoja, jotka oli otaksuttavasti anonymisoitu 18 . Jotta voidaan määrittää, onko luonnollinen henkilö tunnistettavissa, olisi tarkasteltava kaikkia keinoja, joita joko rekisterinpitäjä tai muu henkilö voi kohtuullisen todennäköisesti käyttää mainitun luonnollisen henkilön tunnistamiseen suoraan tai välillisesti 19 .
Esimerkkejä muista kuin henkilötiedoista:
·Tietoja, jotka on koostettu siten, että yksittäisiä tapahtumia (kuten henkilön yksittäisiä matkoja ulkomaille tai matkustusmalleja, joita voitaisiin pitää henkilötietoina) ei voida enää tunnistaa. Tällaisia tietoja voidaan pitää anonyymeina tietoina. 20 Anonyymeja tietoja käytetään esimerkiksi tilastoissa tai myyntiraporteissa (esimerkiksi tuotteen ja sen ominaisuuksien suosion arvioimiseksi).
·Rahoitusalan suurissa jaksoissa esitettävät kaupankäyntitiedot tai täsmäviljelyä koskevat tiedot, jotka auttavat seuraamaan ja optimoimaan torjunta-aineiden, ravinteiden ja veden käyttöä.
Jos kuitenkin muut kuin henkilötiedot voidaan yhdistää luonnolliseen henkilöön jollakin tavalla siten, että henkilö voidaan tunnistaa suoraan tai välillisesti, tietoja on pidettävä henkilötietoina.
Jos esimerkiksi tuotantolinjan laadunvalvontaraportin tietoja voidaan yhdistää tiettyyn tehdastyöntekijään (esim. niihin, jotka asettavat tuotantoparametrit), tietoja pidettäisiin henkilötietoina ja yleistä tietosuoja-asetusta on sovellettava. Samoja sääntöjä sovelletaan, kun anonymisoidut tiedot voidaan muuntaa teknologian ja data-analytiikan kehityksen ansiosta henkilötiedoiksi. 21
Koska henkilötietojen määritelmässä viitataan ”luonnollisiin henkilöihin”, oikeushenkilöiden nimiä ja yhteystietoja sisältävät tietojoukot ovat periaatteessa muita kuin henkilötietoja. 22 Tietyissä tapauksissa ne kuitenkin voivat olla henkilötietoja 23 . Näin on esimerkiksi silloin, jos oikeushenkilön nimi on sama kuin sen omistavan luonnollisen henkilön tai jos tiedot voidaan yhdistää tunnistettuihin tai tunnistettavissa oleviin luonnollisiin henkilöihin. 24
2.2 Yhdistelmätietojoukot
Muiden kuin henkilötietojen vapaata liikkuvuutta koskevassa asetuksessa ja yleisessä tietosuoja-asetuksessa lähestytään tietojen vapaata liikkuvuutta EU:ssa kahdesta eri näkökulmasta.
Muiden kuin henkilötietojen vapaata liikkuvuutta koskevassa asetuksessa kielletään yleisesti muiden kuin henkilötietojen sijaintia koskevat vaatimukset. Asetuksen 4 artiklan 1 kohdassa tietojen sijaintia koskevat vaatimukset kielletään, elleivät ne ole suhteellisuusperiaatetta noudattaen perusteltuja yleistä turvallisuutta koskevien syiden vuoksi.
Yleisessä tietosuoja-asetuksessa varmistetaan henkilötietojen korkeatasoisen suojan lisäksi henkilötietojen vapaa liikkuvuus. Yleisen tietosuoja-asetuksen 1 artiklan 3 kohdan mukaan ”henkilötietojen vapaata liikkuvuutta unionin sisällä ei saa rajoittaa eikä kieltää syistä, jotka liittyvät luonnollisten henkilöiden suojeluun henkilötietojen käsittelyssä”. Yhdessä näillä kahdella asetuksella taataan ”kaikkien” tietojen vapaa liikkuvuus EU:ssa. Erityissäännöksiä käsitellään tarkemmin kohdissa 3.1 ja 3.2.
Yhdistelmätietojoukoissa on sekä henkilötietoja että muita kuin henkilötietoja. Valtaosa datataloudessa käytettävistä tietojoukoista on tietojoukkojen yhdistelmiä. Se on yleistä esineiden internetin (eli digitaalisesti yhdistettyjen esineiden), tekoälyn sekä massadatan analysoinnin mahdollistavien teknologioiden ja muun teknisen kehityksen ansiosta.
Esimerkkejä yhdistelmätietojoukoista:
·yrityksen verotiedot, joissa mainitaan yrityksen toimitusjohtajan nimi ja puhelinnumero
·pankin tietojoukot, erityisesti ne, joissa on asiakas- ja tapahtumatietoja, kuten maksupalvelut (luotto- ja maksukortit), osakkuussuhteiden hallintasovellukset ja lainasopimukset, sekä asiakirjat, joissa on sekä luonnollisia henkilöitä että oikeushenkilöitä koskevia tietoja
·tutkimuslaitosten anonymisoidut tilastotiedot ja alun perin kerätyt käsittelemättömät tiedot, kuten luonnollisten henkilöiden vastaukset tilastollisiin kyselytutkimuksiin
·yrityksen tietojenkäsittelyongelmia ja niiden ratkaisuja koskeva tietokanta, joka perustuu yksittäisiin ilmoituksiin tietojenkäsittelyä koskevista häiriötilanteista
·esineiden internetiin liittyvät tiedot, joissa voidaan joidenkin tietojen perusteella tehdä oletuksia tunnistettavissa olevista luonnollisista henkilöistä (esim. oleskelu tietyssä osoitteessa ja käyttömallit) ja
·valmistusteollisuudessa käytettävien valmistuslaitteiden toimintalokien sisältämien tietojen analyysit.
Esimerkki: asiakassuhteiden hallintapalvelut
Joissakin pankeissa käytetään kolmansien osapuolten toimittamia asiakassuhteiden hallintapalveluja (CRM), joissa edellytetään, että asiakkaan tiedot ovat käytettävissä asiakassuhteiden hallintaympäristössä. Asiakassuhteiden hallintapalvelussa oleviin tietoihin kuuluvat kaikki tiedot, joita tarvitaan asiakassuhteen tehokkaaseen hallintaan, kuten asiakkaiden posti- ja sähköpostiosoite, puhelinnumero, asiakkaiden ostamat tuotteet ja palvelut sekä myyntiraportit, joissa on koostetut tiedot. Tiedoissa voi näin ollen olla asiakkaista sekä henkilötietoja että muita kuin henkilötietoja.
Muiden kuin henkilötietojen vapaata liikkuvuutta koskevassa asetuksessa 25 säädetään ns. yhdistelmätietojoukoista seuraavasti:
”Jos tietojoukko sisältää sekä henkilötietoja että muita kuin henkilötietoja, tätä asetusta sovelletaan muita kuin henkilötietoja koskevaan tietojoukon osaan. Jos tietojoukossa olevat henkilötiedot ja muut kuin henkilötiedot liittyvät erottamattomasti toisiinsa, tämä asetus ei rajoita asetuksen (EU) 2016/679 soveltamista.”
Tämä tarkoittaa, että jos tietojoukossa on sekä henkilötietoja että muita kuin henkilötietoja,
·muiden kuin henkilötietojen vapaa liikkuvuutta koskevaa asetusta sovelletaan muita kuin henkilötietoja koskevaan tietojoukon osaan
·yleisen tietosuoja-asetuksen vapaata liikkuvuutta koskevaa säännöstä 26 sovelletaan henkilötietoja koskevaan tietojoukon osaan ja
·jos henkilötiedot ja muut kuin henkilötiedot ”liittyvät erottamattomasti toisiinsa”, yleisestä tietosuoja-asetuksesta johtuvia tietosuojaa koskevia oikeuksia ja velvollisuuksia sovelletaan täysimääräisesti koko yhdistelmätietojoukkoon, myös silloin, kun henkilötietoja on tietojoukosta vain pieni osuus 27 .
Tämä tulkinta vastaa Euroopan unionin perusoikeuskirjassa taattua oikeutta henkilötietojen suojaan 28 sekä muiden kuin henkilötietojen vapaata liikkuvuutta koskevan asetuksen johdanto-osan 8 kappaletta 29 . Kyseisessä johdanto-osan 8 kappaleessa säädetään, että ”tämä asetus ei vaikuta luonnollisten henkilöiden suojelua henkilötietojen käsittelyssä (...) koskeviin oikeudellisiin puitteisiin, erityisesti [yleiseen tietosuoja-asetukseen] sekä (...) direktiiveihin (EU) 2016/680 ja 2002/58/EY”.
Käytännön esimerkki:
EU:ssa toimiva yhtiö tarjoaa palveluitaan jonkin alustan kautta. Asiakasyritykset lataavat alustalle yhdistelmätietojoukkoja sisältäviä asiakirjojaan. Asiakirjoja portaaliin lataava yritys on ”rekisterinpitäjä”, ja sen on varmistettava, että tietojen käsittelyssä noudatetaan yleistä tietosuoja-asetusta. Kun palveluja tarjoava yhtiö (”henkilötietojen käsittelijä”) käsittelee tietojoukkoa rekisterinpitäjän puolesta, sen on tallennettava tiedot ja käsiteltävä niitä yleisen tietosuoja-asetuksen mukaisesti. Sen on esimerkiksi varmistettava, että tiedoille taataan asianmukaisen suojan taso, muun muassa salauksen avulla.
Käsitettä ”liittyvät erottamattomasti toisiinsa” ei määritellä kummassakaan asetuksessa 30 . Käytännössä sillä voidaan viitata tilanteeseen, jossa tietojoukko sisältää henkilötietoja sekä muita kuin henkilötietoja ja näiden kahden erottaminen joko olisi mahdotonta tai rekisterinpitäjä katsoisi sen olevan taloudellisesti tehotonta tai teknisesti toteuttamiskelvotonta. Kun yhtiö esimerkiksi ostaa asiakassuhteiden hallintajärjestelmiä tai myynnin raportointijärjestelmiä, sen ohjelmistokustannukset kaksinkertaistuisivat, jos se ostaisi erillisen ohjelmiston asiakassuhteiden hallintajärjestelmää (henkilötiedot) ja asiakassuhteiden hallintatietoihin perustuvaa myynnin raportointijärjestelmää (koostetut tiedot / muut kuin henkilötiedot) varten.
Tietojoukon erottaminen todennäköisesti vähentää myös tietojoukon arvoa huomattavasti. Lisäksi tietojen luonteen muuttumisen vuoksi (ks. kohta 2.1) on vaikeampaa eritellä eri tietoluokkia selkeästi ja siten erottaa niitä toisistaan.
On tärkeää panna merkille, että kummassakaan asetuksessa yrityksiä ei velvoiteta erottamaan tietojoukkoja, joista ne pitävät rekisteriä tai joita ne käsittelevät.
Siksi yhdistelmätietojoukkoihin sovelletaan tavallisesti rekisterinpitäjien ja henkilötietojen käsittelijöiden velvollisuuksia, ja niiden osalta noudatetaan yleisessä tietosuoja-asetuksessa vahvistettuja rekisteröidyn oikeuksia.
Terveystietojen käsittely
Yhdistelmätietojoukkoon voi kuulua terveystietoja. Näitä ovat muun muassa sähköisen terveydenhuollon rekisterit, kliinisiä kokeita koskevat tiedot tai erilaisilla terveys- ja hyvinvointisovelluksilla kerätyt tietoaineistot (esim. sovellukset, joilla mitataan terveydentilaa, muistutetaan lääkkeiden ottamisesta tai seurataan kunnon edistymistä). 31 Teknisen kehityksen myötä henkilötietojen ja muiden kuin henkilötietojen välinen ero muuttuu näissä tietojoukoissa yhä epäselvemmäksi. Siksi niiden käsittelyssä on noudatettava yleistä tietosuoja-asetusta ja (koska terveystiedot ovat kyseisen asetuksen mukaan erityinen tietoryhmä) erityisesti sen 9 artiklaa, jossa kielletään yleisesti erityisten tietoryhmien käsittely ja esitetään poikkeukset tästä kiellosta.
Terveystietoja sisältävien yhdistelmätietojoukkojen tiedot voivat olla arvokas tietolähde esimerkiksi lääketieteellisissä lisätutkimuksissa, määrätyn lääkkeen sivuvaikutusten mittaamisessa, sairauksia koskevissa tilastoissa tai uusien terveydenhuoltopalvelujen tai hoitojen kehittämisessä. Yleistä tietosuoja-asetusta on kuitenkin noudatettava kyseisten tietojen alustavissa käsittelytoimissa sekä niiden myöhempää käsittelyä koskevissa toimissa. Kaikelle tällaiselle terveystietojen käsittelylle on siksi oltava voimassa oleva oikeusperusta 32 ja asianmukaiset perustelut. Käsittelyn on myös oltava turvallista, ja sitä varten on oltava olemassa asianmukaiset suojatoimet.
Lisäksi on olennaisen tärkeää, että luonnollisilla henkilöillä ja yrityksillä on oikeusvarmuus ja luottamus tietojen käsittelyyn. Tämä on ratkaisevan tärkeää myös datataloudelle. Näiden seikkojen toteutuminen varmistetaan näillä kahdella asetuksella, ja niissä molemmissa pyritään olemaan muuttamatta tietojen vapaata liikkuvuutta.
3 Tietojen vapaa liikkuvuus ja tietojen sijaintia koskevien vaatimusten poistaminen
Tässä jaksossa selitetään muiden kuin henkilötietojen vapaasta liikkuvuudesta annetussa asetuksessa määriteltyä ’tietojen sijaintia koskevan vaatimuksen’ käsitettä sekä yleisen tietosuoja-asetuksen mukaista vapaan liikkuvuuden periaatetta. Vaikka asetusten säännökset koskevat nimenomaan jäsenvaltioita, myös yrityksille voi olla hyödyllistä saada tarkempi kuva siitä, miten näillä kahdella asetuksella edistetään kaikkien tietojen vapaata liikkuvuutta EU:ssa.
3.1 Muiden kuin henkilötietojen vapaa liikkuvuus
Muiden kuin henkilötietojen vapaata liikkuvuutta koskevassa asetuksessa 33 säädetään, että ”tietojen sijaintia koskevat vaatimukset kielletään, elleivät ne ole suhteellisuusperiaatetta noudattaen perusteltuja yleistä turvallisuutta koskevien syiden vuoksi”.
Tietojen sijaintia koskevalla vaatimuksella 34 tarkoitetaan ”velvoitetta, kieltoa, ehtoa, rajoitusta tai muuta vaatimusta, josta säädetään jäsenvaltion laeissa, asetuksissa tai hallinnollisissa määräyksissä tai joka on seurausta jäsenvaltiossa ja julkisoikeudellisissa laitoksissa, myös julkisiin hankintoihin liittyvissä elimissä – tämän kuitenkaan vaikuttamatta direktiivin 2014/24/EU soveltamiseen – sovelletuista yleisistä ja johdonmukaisista hallinnollisista käytännöistä ja jonka mukaan tietojenkäsittelyn on tapahduttava tietyn jäsenvaltion alueella tai joka muodostaa esteen tietojenkäsittelylle jossain muussa jäsenvaltiossa” 35 .
Määritelmä tuo esiin, että tietojen vapaata liikkuvuutta EU:ssa rajoittavat toimenpiteet voivat olla erimuotoisia. Niitä voidaan asettaa laeissa tai hallinnollisissa asetuksissa ja määräyksissä tai ne voivat jopa olla seurausta yleisistä ja yhdenmukaisista hallinnollisista käytännöistä. Tietojen sijaintia koskevan vaatimuksen kieltäminen koskee lisäksi sekä suoria että välillisiä toimenpiteitä, joilla rajoitettaisiin muiden kuin henkilötietojen vapaata liikkuvuutta.
Suorat tietojen sijaintia koskevat vaatimukset voivat koostua esimerkiksi velvollisuudesta tallentaa tietoja tiettyyn maantieteelliseen paikkaan (palvelinten on esimerkiksi sijaittava tietyssä jäsenvaltiossa) tai velvollisuudesta noudattaa yksilöllisiä kansallisia teknisiä vaatimuksia (tiedoissa on esimerkiksi noudatettava tiettyjä kansallisia muotoja).
Välillisillä tietojen sijaintia koskevilla vaatimuksilla, jotka muodostaisivat esteen muiden kuin henkilötietojen käsittelylle muissa jäsenvaltioissa, voi olla eri muotoja. Niihin voi kuulua vaatimuksia käyttää teknisiä välineitä, jotka ovat sertifioituja tai hyväksyttyjä tietyssä jäsenvaltiossa, tai muita vaatimuksia, joiden seurauksena tietojenkäsittely tietyn maantieteellisen alueen ulkopuolella unionissa vaikeutuu 36 37 .
Kun arvioidaan, onko tietty toimenpide välillinen tietojen sijaintia koskeva vaatimus, on otettava huomioon kunkin tapauksen erityisolosuhteet.
Muiden kuin henkilötietojen vapaata liikkuvuutta koskevassa asetuksessa 38 viitataan yleisen turvallisuuden käsitteeseen sellaisena kuin Euroopan unionin tuomioistuin sitä tulkitsee. Yleisen turvallisuuden käsite ”kattaa sekä jäsenvaltion sisäisen että sen ulkoisen turvallisuuden 39 samoin kuin yleiseen turvallisuuteen liittyvät kysymykset erityisesti rikosten tutkimisen, selvittämisen ja syytteeseen asettamisen helpottamiseksi. Sillä viitataan yhteiskunnan perustavanlaatuista etua uhkaavaan todelliseen ja riittävän vakavaan vaaraan 40 , kuten valtion elinten ja keskeisten julkisten palvelujen toimintaan ja väestön eloonjäämiseen kohdistuvaan uhkaan, sekä ulkosuhteiden tai kansojen rauhanomaisen rinnakkaiselon vakavan häiriintymisen vaaraan tai sotilaallisiin etuihin kohdistuvaan uhkaan.”
Kaikkien yleisellä turvallisuudella perusteltujen tietojen sijaintia koskevien vaatimusten on myös oltava oikeasuhteisia. Euroopan unionin tuomioistuimen oikeuskäytännön mukaisesti suhteellisuusperiaatteen mukaan hyväksytyillä toimenpiteillä ei saada ylittää rajoja, jotka johtuvat siitä, mikä on tarpeellista niillä tavoiteltujen päämäärien toteuttamiseksi ja tähän soveltuvaa 41 .
Selvyyden vuoksi todetaan, että tietojen sijaintia koskevien vaatimusten kielto ei vaikuta EU:n lainsäädännössä jo voimassa oleviin rajoituksiin 42 .
Muiden kuin henkilötietojen vapaata liikkuvuutta koskevassa asetuksessa ei myöskään määrätä yrityksille velvollisuuksia eikä rajoiteta niiden sopimusvapautta päättää, missä niiden tietoja on käsiteltävä.
Jäsenvaltioiden on asetettava yksityiskohtaiset tiedot kaikista alueellaan sovellettavista tietojen sijaintia koskevista vaatimuksista julkisesti saataville kansallisen keskitetyn verkkotietopisteen (kansallisten verkkosivustojen) kautta. Niiden on pidettävä nämä tiedot ajan tasalla tai toimitettava ajan tasalle saatetut tiedot näistä vaatimuksista jollakin toisella unionin säädöksellä perustetulle yhteiselle tietopisteelle. 43 Komissio julkaisee linkit näihin tietopisteisiin Sinun Eurooppasi ‑portaalissa 44 , jotta yritykset saavat helposti tarvittavat tiedot koko EU:sta.
3.2 Henkilötietojen vapaa liikkuvuus
Yleisessä tietosuoja-asetuksessa 45 säädetään, että ”henkilötietojen vapaata liikkuvuutta unionin sisällä ei saa rajoittaa eikä kieltää syistä, jotka liittyvät luonnollisten henkilöiden suojeluun henkilötietojen käsittelyssä”.
Jos jäsenvaltio määrää henkilötietojen sijaintia koskevia vaatimuksia muista syistä kuin henkilötietojen suojelemiseksi, ne on arvioitava Euroopan unionin toiminnasta tehdyssä sopimuksessa 46 ’ 47 ja asiaankuuluvassa EU:n lainsäädännössä, kuten palveludirektiivissä 48 ja sähköistä kaupankäyntiä koskevassa direktiivissä 49 , esitettyjen perusvapauksia ja hyväksyttyjä syitä niistä poikkeamiselle koskevien määräysten ja säännösten perusteella.
Esimerkki:
Kansallisessa lainsäädännössä vaaditaan, että palkanmaksutilit sijaitsevat tietyssä jäsenvaltiossa esimerkiksi kansallisen veroviranomaisen lakisääteiseen valvontaan liittyvistä syistä. Tällainen kansallinen säännös olisi yleisen tietosuoja-asetuksen 1 artiklan 3 kohdan soveltamisalan ulkopuolella, koska syyt eivät liity henkilötietojen suojaan. Sen sijaan tämä vaatimus olisi arvioitava Euroopan unionin toiminnasta tehdyssä sopimuksessa vahvistettujen perusvapauksia ja hyväksyttyjä syitä niistä poikkeamiselle koskevien määräysten perusteella.
Yleisessä tietosuoja-asetuksessa 50 tunnustetaan, että jäsenvaltiot voivat määrätä ehtoja, mukaan lukien rajoituksia, jotka koskevat geneettisten tietojen, biometristen tietojen tai terveystietojen käsittelyä. Kuten johdanto-osan 53 kappaleessa todetaan, tällaisten kansallisten rajoitusten ei pitäisi vaikeuttaa henkilötietojen vapaata kulkua unionissa niissä tapauksissa, joissa näitä ehtoja sovelletaan kyseisten henkilötietojen rajatylittävään käsittelyyn. Tämä on Euroopan unionin toiminnasta tehdyn sopimuksen 16 artiklan mukaista. Siinä säädetään oikeusperustasta sellaisten sääntöjen antamiselle, jotka koskevat henkilötietojen suojaa koskevaa oikeutta ja näiden tietojen vapaata liikkuvuutta.
3.3 Muiden kuin henkilötietojen vapaata liikkuvuutta koskevan asetuksen soveltamisala
Kuten edellä on jo todettu, muiden kuin henkilötietojen vapaata liikkuvuutta koskevan asetuksen tavoitteena on varmistaa muiden kuin henkilötietojen vapaa liikkuvuus ”unionissa” 51 . Sitä ei siksi sovelleta unionin ulkopuolella tehtäviin tietojenkäsittelytoimiin eikä näiden tietojen käsittelyyn liittyviin tietojen sijaintia koskeviin vaatimuksiin 52 ’ 53 .
Asetuksen soveltamisala rajoitetaan siten 2 artiklan 1 kohdan mukaisesti sellaiseen muiden sähköisten tietojen kuin henkilötietojen käsittelyyn unionissa,
(a)joka tarjotaan palveluna käyttäjille, jotka oleskelevat EU:ssa tai ovat sijoittautuneet unioniin, riippumatta siitä, onko palveluntarjoaja sijoittautunut EU:hun vai ei; tai
(b)jonka luonnollinen henkilö tai oikeushenkilö, joka oleskelee EU:ssa tai on sijoittautunut EU:hun, toteuttaa omiin tarpeisiinsa.
Esimerkkejä:
Muiden kuin henkilötietojen vapaata liikkuvuutta koskevan asetuksen 2 artiklan 1 kohdan a alakohta:
·Yhdysvaltoihin sijoittautunut pilvipalvelun tarjoaja tarjoaa käsittelypalvelujaan asiakkaille, jotka oleskelevat EU:ssa tai ovat sijoittautuneet EU:hun. Pilvipalvelun tarjoaja hallinnoi toimintojaan EU:n alueella sijaitsevilla palvelimilla, joihin sen eurooppalaisten asiakkaiden tiedot on tallennettu tai joissa niitä muuten käsitellään. Pilvipalvelun tarjoajan ei tarvitse omistaa omaa EU:ssa sijaitsevaa infrastruktuuria, vaan se voi esimerkiksi vuokrata palvelimen EU:ssa. Muiden kuin henkilötietojen vapaata liikkuvuutta koskevaa asetusta sovelletaan tällaiseen tietojenkäsittelyyn.
·Japaniin sijoittautunut pilvipalvelun tarjoaja tarjoaa palveluitaan eurooppalaisille asiakkaille. Palveluntarjoajan käsittelykapasiteetti sijaitsee Japanissa ja kaikki käsittely tehdään siellä. Tässä tapauksessa muiden kuin henkilötietojen vapaata liikkuvuutta koskevaa asetusta ei sovelleta, jos kaikki käsittely tehdään EU:n ulkopuolella 54 .
Muiden kuin henkilötietojen vapaata liikkuvuutta koskevan asetuksen 2 artiklan 1 kohdan b alakohta:
·Pieni eurooppalainen start up ‑yritys jäsenvaltiosta A päättää laajentaa liiketoimintaansa avaamalla liikkeen jäsenvaltiossa B. Kustannusten minimoimiseksi tämä start up ‑yritys päättää keskittää uuden liikkeen tietojen tallentamisen ja käsittelyn jäsenvaltiossa A sijaitsevalle palvelimelleen. Jäsenvaltiot eivät saa kieltää tällaista tietojenkäsittelyn keskittämistä, ellei sitä voida oikeuttaa yleisen turvallisuuden perusteella suhteellisuusperiaatetta noudattaen.
Vaikka muiden kuin henkilötietojen vapaata liikkuvuutta koskevaa asetusta ei sovelleta, jos kaikki muiden kuin henkilötietojen käsittely tehdään EU:n ulkopuolella, yleistä tietosuoja-asetusta on noudatettava, kun tietojoukkoon kuuluu henkilötietoja. Kaikissa tapauksissa on erityisesti noudatettava henkilötietojen siirtämistä kolmansiin maihin tai kansainvälisille järjestöille yleisen tietosuoja-asetuksen mukaisesti koskevia sääntöjä 55 .
3.4 Jäsenvaltioiden sisäiseen organisaatioon liittyvät toimet
Muiden kuin henkilötietojen vapaata liikkuvuutta koskevassa asetuksessa ei velvoiteta jäsenvaltioita ulkoistamaan sellaisten muihin kuin henkilötietoihin liittyvien palvelujen tarjoamista, jotka ne haluavat tarjota itse tai järjestää muuten kuin hankintasopimuksilla 56 .
Muiden kuin henkilötietojen vapaata liikkuvuutta koskevan asetuksen 2 artiklan 3 kohdan toisessa alakohdassa todetaan seuraavaa:
”Tämä asetus ei rajoita niiden lakien, asetusten ja hallinnollisten määräysten soveltamista, jotka liittyvät jäsenvaltioiden sisäiseen organisaatioon ja jotka koskevat tietojenkäsittelyä, johon ei liity yksityisille osapuolille maksettavia sopimukseen perustuvia korvauksia, koskevan toimivallan ja velvollisuuksien jakoa viranomaisten ja direktiivin 2014/24/EU 57 2 artiklan 1 kohdan 4 alakohdassa määriteltyjen julkisoikeudellisten laitosten välillä, eikä jäsenvaltioiden niiden lakien, asetusten ja hallinnollisten määräysten soveltamista, joissa säädetään kyseisen toimivallan ja kyseisten velvollisuuksien täytäntöönpanosta.” 58
Tällaiseen tietojenkäsittelypalvelujen tarjoamiseen itse voi olla perusteltuja syitä, kuten sisäinen hankinta tai viranomaisten väliset keskinäiset järjestelyt. Tyypillisiä esimerkkejä ovat muun muassa valtion pilvipalvelujen käyttö tai se, että hallitus käyttää keskitettyä tietotekniikkayksikköä tarjoamaan tietojenkäsittelypalveluja julkisille laitoksille ja elimille.
Muiden kuin henkilötietojen vapaata liikkuvuutta koskevassa asetuksessa kuitenkin kannustetaan jäsenvaltioita arvioimaan ulkopuolisille palveluntarjoajille ulkoistamisesta saatavia taloudellisia ja muita hyötyjä 59 ’ 60 . Kun kansalliset viranomaiset alkavat ulkoistaa tietojenkäsittelyä yksityisille osapuolille maksettavien sopimukseen perustuvien korvausten nojalla ja käsittely tapahtuu EU:ssa, kyseiseen käsittelyyn sovelletaan muiden kuin henkilötietojen vapaata liikkuvuutta koskevaa asetusta. Se tarkoittaa, että muiden kuin henkilötietojen vapaan liikkuvuuden periaatetta sovelletaan kansallisten viranomaisten yleisiin ja hallinnollisiin käytäntöihin. Niiden on erityisesti pidättäydyttävä asettamasta tietojen sijaintia koskevia rajoituksia esimerkiksi julkisten hankintojen tarjouspyynnöissä 61 .
4 Tietojen vapaata liikkuvuutta tukevat itsesääntelyyn perustuvat lähestymistavat
Itsesääntelyllä edistetään innovointia ja luottamusta markkinatoimijoiden keskuudessa, ja sen ansioista markkinoiden muutoksiin voidaan reagoida paremmin. Tässä jaksossa tehdään katsaus sekä henkilötietojen että muiden kuin henkilötietojen käsittelyä koskeviin itsesääntelyyn perustuviin aloitteisiin.
4.1 Tietojen siirtäminen ja pilvipalveluntarjoajien vaihtaminen
Yksi muiden kuin henkilötietojen vapaata liikkuvuutta koskevan asetuksen tavoite on välttää käytänteitä, joissa on kyse riippuvuussuhteen syntymisestä tarjoajaan. Tällaisia käytäntöjä syntyy, kun käyttäjät eivät voi vaihtaa palveluntarjoajaa, koska heidän tietonsa on ”lukittu” palveluntarjoajan järjestelmään, esimerkiksi tietyn tietomuodon tai sopimusjärjestelyjen vuoksi, eikä niitä voida siirtää pois tarjoajan tietoteknisestä järjestelmästä. Tietojen siirtäminen esteettä on tärkeää, jotta käyttäjät voivat valita vapaasti tietojenkäsittelypalvelujen tarjoajien välillä ja jotta markkinoilla varmistetaan tosiasiallinen kilpailu.
Tietojen siirrettävyys yritysten välillä on yhä tärkeämpää monilla digitaalialoilla, muun muassa pilvipalveluissa.
Muiden kuin henkilötietojen vapaata liikkuvuutta koskevan asetuksen 6 artiklan mukaan komissio edesauttaa ja helpottaa itsesääntelyyn perustuvien käytännesääntöjen, jäljempänä ’käytännesäännöt’, kehittämistä EU:n tasolla kilpailukykyisen datatalouden edistämiseksi. Siinä esitetään toimialalle perusta kehittää itsesääntelyyn perustuvia käytännesääntöjä palveluntarjoajien vaihtamisesta ja tietojen siirtämisestä eri tietojenkäsittelyjärjestelmien välillä.
Tällaisten tietojen siirtämistä koskevien käytännesääntöjen laatimisessa olisi otettava huomioon useita näkökohtia, erityisesti seuraavat:
·parhaat käytännöt, jotka koskevat palveluntarjoajien vaihtamisen ja tietojen siirtämisen helpottamista jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa
·vähimmäistietovaatimukset, joilla varmistetaan, että ammattimaiset käyttäjät saavat ennen tietojenkäsittelyä koskevan sopimuksen tekemistä riittävän yksityiskohtaiset, selkeät ja avoimet tiedot prosesseista, teknisistä vaatimuksista, määräajoista ja maksuista, joita sovelletaan, jos ammattimainen käyttäjä haluaa siirtyä käyttämään toista palveluntarjoajaa tai siirtää tietoja takaisin omiin tietoteknisiin järjestelmiinsä
·pilvipalvelujen vertailua helpottaviin sertifiointijärjestelmiin liittyvät lähestymistavat ja
·viestintäsuunnitelmat käytännesääntöjen tekemiseksi tunnetuiksi.
Komissio on alkanut tukea pilvipalvelujen markkinoilla digitaalisten sisämarkkinoiden pilvipalvelualan sidosryhmien työryhmiä. Ne tuovat yhteen pilvipalvelujen asiantuntijoita ja ammattimaisia käyttäjiä, muun muassa pieniä ja keskisuuria yrityksiä. Tässä vaiheessa yksi alaryhmä laatii itsesääntelyyn perustuvia käytännesääntöjä tietojen siirtämisestä ja pilvipalveluntarjoajien vaihtamisesta (SWIPO-työryhmä) 62 ja toinen alaryhmä on kehittämässä pilvipalvelujen turvallisuustodistusta (CSPCERT-työryhmä) 63 .
SWIPO-työryhmän kehittämät käytännesäännöt kattavat pilvipalvelujen koko kirjon: infrastruktuuripalvelun (IaaS), alustapalvelun (PaaS) ja verkkosovelluspalvelun (SaaS).
Komissio odottaa, että eri käytännesääntöjä täydennetään mallisopimuslausekkeilla 64 . Näin käytännesääntöjen täytäntöönpanosta ja soveltamisesta saadaan teknisesti ja oikeudellisesti riittävän täsmällistä, mikä on erityisen tärkeää pienille ja keskisuurille yrityksille. Mallisopimuslausekkeet luonnostellaan suunnitelman mukaan käytännesääntöjen laatimisen jälkeen (käytännesäännöt on määrä laatia 29 päivään marraskuuta 2019 mennessä).
Muiden kuin henkilötietojen vapaata liikkuvuutta koskevan asetuksen 8 artiklan mukaisesti komissio arvioi asetuksen täytäntöönpanon viimeistään 29 päivänä marraskuuta 2022. Arvioinnissa voidaan tarkastella i) tietojen vapaan liikkuvuuden vaikutusta Euroopassa, ii) asetuksen soveltamista, erityisesti yhdistelmätietojoukkoihin, iii) sitä, missä määrin jäsenvaltiot ovat tosiasiallisesti kumonneet voimassa olevat perusteettomat tietojen sijaintia koskevat vaatimukset, ja iv) käytännesääntöjen markkinatehokkuutta tietojen siirtämisen ja pilvipalveluntarjoajien vaihtamisen alalla.
Siirrettävyyden käsite ja keskinäinen vaikutus yleisen tietosuoja-asetuksen kanssa
Molemmissa asetuksissa 65 viitataan tietojen siirrettävyyteen ja tavoitteeseen helpottaa tietojen siirtämistä yhdestä tietojenkäsittely-ympäristöstä toiseen eli joko toisen palveluntarjoajan järjestelmään tai omiin järjestelmiin. Näin estetään riippuvuus tarjoajasta ja edistetään palveluntarjoajien välistä kilpailua. Asetusten siirrettävyyttä koskevat lähestymistavat ovat kuitenkin erilaisia, kun kyse on kohteena olevien eturyhmien välisestä suhteesta ja säännösten oikeudellisesta luonteesta.
Yleisen tietosuoja-asetuksen henkilötietojen siirtämisoikeutta koskevassa 20 artiklassa keskitytään rekisteröidyn ja rekisterinpitäjän väliseen suhteeseen. Se koskee rekisteröidyn oikeutta saada henkilötiedot, jotka hän on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa, ja oikeutta siirtää kyseiset tiedot toiselle rekisterinpitäjälle tai omaan tallennuspaikkaansa sen rekisterinpitäjän estämättä, jolle henkilötiedot on toimitettu 66 . Tällaisessa suhteessa rekisteröidyt ovat tavallisesti eri verkkopalvelujen kuluttajia, jotka haluavat vaihtaa kyseisten palveluntarjoajien välillä.
Muiden kuin henkilötietojen vapaata liikkuvuutta koskevan asetuksen 6 artiklassa ei säädetä ammattimaisten käyttäjien oikeudesta siirtää tietoja, mutta siinä käsitellään itsesääntelyyn perustuvaa lähestymistapaa, joka sisältää toimialan vapaaehtoiset käytännesäännöt. Siinä käsitellään kuitenkin myös tilannetta, jossa ammattimainen käyttäjä on ulkoistanut tietojensa käsittelyn tietojenkäsittelypalvelua tarjoavalle kolmannelle osapuolelle 67 . Muiden kuin henkilötietojen vapaata liikkuvuutta koskevan asetuksen 3 artiklan 8 kohdan mukaan ”ammattimaisella käyttäjällä” voidaan tarkoittaa ”luonnollista henkilöä tai oikeushenkilöä, myös viranomaista tai julkisyhteisöä, joka käyttää tai pyytää tietojenkäsittelypalvelua tarkoituksiin, jotka liittyvät sen elinkeino-, liike- tai ammattitoimintaan tai tehtävään”.
Käytännössä muiden kuin henkilötietojen vapaata liikkuvuutta koskevan asetuksen 6 artiklan mukainen tietojen siirrettävyys koskee yritysten välistä vuorovaikutusta ammattimaisen käyttäjän (jota voidaan henkilötietojen käsittelyä sisältävissä tapauksissa pitää ”rekisterinpitäjänä” yleisen tietosuoja-asetuksen mukaisesti) ja palveluntarjoajan (jota vastaavasti voidaan pitää tietyissä tapauksissa ”henkilötietojen käsittelijänä”) välillä.
Eroista huolimatta voi esiintyä tilanteita, joissa tietojen siirtämiseen sovelletaan sekä muiden kuin henkilötietojen vapaata liikkuvuutta koskevaa asetusta että yleistä tietosuoja-asetusta yhdistelmätietojoukkojen osalta.
Esimerkki:
Pilvipalvelua käyttävä yritys päättää vaihtaa pilvipalvelunsa tarjoajaa ja siirtää kaikki tiedot uudelle tarjoajalle. Palveluntarjoajan vaihtamista ja tietojen siirtämistä käsitellään asiakkaan ja pilvipalvelun tarjoajan välisessä sopimuksessa. Jos vanha pilvipalvelun tarjoaja noudattaa muiden kuin henkilötietojen vapaata liikkuvuutta koskevan asetuksen mukaisesti laadittuja käytännesääntöjä, tietojen siirtäminen on tehtävä käytännesäännöissä täsmennettyjen vaatimusten mukaisesti.
Jos siirrettäviin tietojoukkoihin kuuluu myös henkilötietoja, siirtämisessä on noudatettava kaikkia yleisen tietosuoja-asetuksen asiaankuuluvia säännöksiä ja varmistettava erityisesti, että uusi pilvipalvelun tarjoaja noudattaa sovellettavia vaatimuksia, kuten turvallisuutta koskevia vaatimuksia 68 .
Esimerkki:
Jos pankki päättää vaihtaa asiakassuhteiden hallintapalvelun tarjoajaa, jotkin vanhoista tiedoista (henkilötiedoista ja muista kuin henkilötiedoista) on ehkä siirrettävä vanhalta tarjoajalta uudelle. Sen jälkeen näihin tietoihin sovelletaan erilaisia sääntelyvaatimuksia, joista jotkin johtuvat yleisestä tietosuoja-asetuksesta ja jotkin muiden kuin henkilötietojen vapaata liikkuvuutta koskevasta asetuksesta.
4.2 Henkilötietojen suojaa koskevat käytännesäännöt ja sertifiointijärjestelmät
Käytännesääntöjä tai sertifiointijärjestelmiä voidaan käyttää osoittamaan, että yleisen tietosuoja-asetuksen mukaisia velvollisuuksia noudatetaan (ks. 24 artiklan 3 kohta ja 28 artiklan 5 kohta).
Yleisen tietosuoja-asetuksen 40 artiklan 1 kohdan ja 42 artiklan 1 kohdan mukaisesti jäsenvaltioiden, valvontaviranomaisten, tietosuojaneuvoston ja komission olisi edistettävä toimialan käytännesääntöjen laatimista ja tietosuojaa koskevien sertifiointimekanismien käyttöönottoa.
Yhdistykset tai muut tiettyä rekisterinpitäjien tai henkilötietojen käsittelijöiden ryhmää edustavat elimet voivat laatia tietyn sektorin käytännesäännöt. Käytännesääntöjen luonnos on toimitettava hyväksyttäväksi asiaankuuluvalle toimivaltaiselle valvontaviranomaiselle 69 . Jos käytännesääntöjen luonnos liittyy käsittelytoimiin useassa jäsenvaltiossa, valvontaviranomaisen on toimitettava se Euroopan tietosuojaneuvostolle ennen sen hyväksymistä. Tietosuojaneuvosto antaa sitten lausuntonsa siitä, noudatetaanko sääntöjen luonnoksessa yleistä tietosuoja-asetusta.
Euroopan tietosuojaneuvosto julkaisi ohjeensa 1/2019 yleisen tietosuoja-asetuksen mukaisista käytännesäännöistä ja valvontaelimistä 70 . Ohjeissa on tietoa käytännesääntöjen laatimisesta, niiden hyväksymiskriteereistä sekä muuta hyödyllistä tietoa. Myös Euroopan tietosuojaneuvoston ohjeissa sertifioinnista ja sertifiointikriteerien määrittelemisestä yleisen tietosuoja-asetuksen 42 ja 43 artiklan mukaisesti annetaan tietoa tämän asetuksen mukaisesta sertifioinnista ja sertifiointikriteerien laatimisesta ja hyväksymisestä 71 .
Esimerkkejä pilvipalvelualalla laadituista käytännesäännöistä:
EU:n pilvipalvelujen käytännesäännöt (”The EU Cloud Code of Conduct”), joiden kehittämistä komissio tuki. Ne on laadittu yhdessä C-SIG-ryhmän (Cloud Select Industry Group) kanssa tietosuojadirektiivin 72 ja sitä seuranneen yleisen tietosuoja-asetuksen perusteella. EU:n pilvipalvelujen käytännesäännöissä käsitellään koko pilvipalvelujen kirjoa – verkkosovelluspalvelua (SaaS), alustapalvelua (PaaS) ja infrastruktuuripalvelua (IaaS) 73 .
Euroopan pilvi-infrastruktuurin palveluntarjoajien (CISPE) käytännesäännöt 74 , joissa keskitytään infrastruktuuripalvelujen tarjoajiin. CISPE:n käytännesäännöissä on vaatimuksia, jotka koskevat infrastruktuuripalvelujen tarjoajia, jotka toimivat yleisessä tietosuoja-asetuksessa tarkoitettuina henkilötietojen käsittelijöinä. Niissä annetaan myös määräyksiä sääntöjen täytäntöönpanoa ja soveltamista koskevasta hallintorakenteesta.
Cloud Security Alliance ‑järjestön yleisen tietosuoja-asetuksen noudattamista koskevat käytännesäännöt, jotka on tarkoitettu kaikille pilvipalvelualan asianomaisille sidosryhmille, joita EU:n henkilötietolainsäädäntö koskee, kuten pilvipalvelujen tarjoajille, pilvipalvelujen asiakkaille ja mahdollisille asiakkaille sekä pilvipalvelujen tarkastajille ja välittäjille. Käytännesäännöt kattavat pilvipalvelujen tarjoajien koko kirjon 75 .
4.3 Luottamuksen lisääminen rajatylittävässä tietojenkäsittelyssä – turvallisuussertifiointi
Kuten muiden kuin henkilötietojen vapaata liikkuvuutta koskevan asetuksen johdanto-osan 33 kappaleessa todetaan, rajatylittävän tietojenkäsittelyn turvallisuutta kohtaan tunnetun luottamuksen lisääntymisen pitäisi vähentää markkinatoimijoiden ja julkisen sektorin taipumusta käyttää tietojen sijaintia tietoturvallisuuden mittarina. Komission vuonna 2017 ehdottaman kyberturvallisuuspaketin 76 ohella CSPCERT-työryhmä laatii komissiolle esitettäviä suosituksia Euroopan pilvipalvelujen sertifiointijärjestelmän perustamiseksi. Tällaisella järjestelmällä voidaan helpottaa tietojen vapaata liikkuvuutta, parantaa pilvipalvelujen vertailtavuutta ja edistää pilvipalvelujen käyttöönottoa. Komissio voi pyytää Euroopan unionin kyberturvallisuusvirastoa (ENISA) valmistelemaan ehdolla olevan järjestelmän kyberturvallisuusasetuksen 77 asiaankuuluvien säännösten mukaisesti. Tällaisessa järjestelmässä voidaan käsitellä sekä henkilötietoja että muita kuin henkilötietoja. Kuten kohdassa 4.2 korostetaan, kyberturvallisuusasetuksen lisäksi myös yleistä tietosuoja-asetusta voidaan käyttää osoittamaan tietoturvaa koskevien asianmukaisten suojatoimien olemassaolo 78 .
Loppuhuomautukset
Tietojenkäsittelyn oikeusvarmuus ja sitä kohtaan tunnettu luottamus ovat olennaisen tärkeitä, jotta EU pystyy käyttämään tietoja mahdollisimman kattavasti, kun arvoketjuja luodaan yli alojen ja maiden rajojen. Tämä varmistetaan muiden kuin henkilötietojen vapaata liikkuvuutta koskevalla asetuksella ja yleisellä tietosuoja-asetuksella, joiden molempien tavoitteena on tietojen vapaa liikkuvuus. Yhdessä nämä kaksi asetusta luovat perustan kaikkien tietojen vapaalle liikkuvuudelle Euroopan unionissa sekä erittäin kilpailukykyiselle eurooppalaiselle datataloudelle.
Euroopan parlamentin ja neuvoston asetus (EU) 2018/1807, annettu 14 päivänä marraskuuta 2018, muiden kuin henkilötietojen vapaan liikkuvuuden kehyksestä Euroopan unionissa (EUVL L 303, 28.11.2018, s. 59).
Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (EUVL L 119, 4.5.2016, s. 1).
Yleinen tietosuoja-asetus kattaa myös Euroopan talousalueen (ETA), johon kuuluvat Islanti, Liechtenstein ja Norja. Lisäksi muiden kuin henkilötietojen vapaata liikkuvuutta koskeva asetus on merkitty ETA:n kannalta merkitykselliseksi tekstiksi.
Deloitte: Measuring the economic impact of cloud computing in Europe, SMART 2014/0031, 2016. Saatavilla verkossa osoitteessa http://ec.europa.eu/newsroom/document.cfm?doc_id=41184
Muiden kuin henkilötietojen vapaan liikkuvuuden kehyksestä Euroopan unionissa 14 päivänä marraskuuta 2018 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1807 johdanto-osan 37 kappale.
-Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (EUVL L 119, 4.5.2016, s. 1).
-Euroopan parlamentin ja neuvoston asetus (EU) 2018/1725, annettu 23 päivänä lokakuuta 2018, luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta (EUVL L 295, 21.11.2018, s. 39).
-Direktiivi (EU) 2016/680 luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta (EUVL L 119, 4.5.2016, s. 89).
-Euroopan parlamentin ja neuvoston direktiivi 2002/58/EY, annettu 12 päivänä heinäkuuta 2002, henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla (sähköisen viestinnän tietosuojadirektiivi) (EYVL L 201, 31.7.2002, s. 37) (parhaillaan tarkistettavana).
Euroopan tietosuojaneuvosto on antanut useita ohjeita yleisen tietosuoja-asetuksen 70 artiklan mukaisesti, ja luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) 27 päivänä huhtikuuta 2016 annetusta Euroopan parlamentin ja neuvoston asetuksesta (EU) 2016/679 ja EU:n tietosuojalainsäädännöstä on lisätietoa Euroopan tietosuojaneuvoston verkkosivustolla osoitteessa https://edpb.europa.eu/our-work-tools/general-guidance/gdpr-guidelines-recommendations-best-practices_fi . Verkkosivustolla on myös viittauksia Euroopan tietosuojaneuvoston edeltäjän, 29 artiklan mukaisen työryhmän, antamiin ohjeisiin, suosituksiin ja muihin asiakirjoihin. Komissio on antanut myös ohjeet yleisen tietosuoja-asetuksen suorasta soveltamisesta, jotta kansalaisten ja yritysten tietämystä luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27 päivänä huhtikuuta 2016 annetusta Euroopan parlamentin ja neuvoston asetuksesta (EU) 2016/679 (mainittu yleinen tietosuoja-asetus) voidaan lisätä. Tämä tietosuojaa koskeva tiedonanto (COM/2018/043 final) on saatavilla osoitteessa https://eur-lex.europa.eu/legal-content/FI/TXT/?qid=1517578296944&uri=CELEX%3A52018DC0043
Muiden kuin henkilötietojen vapaan liikkuvuuden kehyksestä Euroopan unionissa 14 päivänä marraskuuta 2018 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1807 1 artikla.
Ks. muiden kuin henkilötietojen vapaan liikkuvuuden kehyksestä Euroopan unionissa 14 päivänä marraskuuta 2018 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1807 3 artiklan 1 kohta.
Ks. yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24 päivänä lokakuuta 1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY (voimassaolon päättymispäivä: 24.5.2018, kumottu yleisellä tietosuoja-asetuksella) 2 artiklan a alakohta. Ks. myös unionin tuomioistuimen henkilötietojen määritelmää koskeva oikeuskäytäntö, jossa tunnustetaan kyseisen käsitteen laaja tulkinta, esimerkiksi unionin tuomioistuimen tuomio 29.1.2009, Productores de Música de España (Promusicae) v. Telefónica de España SAU, C-275/06, ECLI:EU:C:2008:54; unionin tuomioistuimen tuomio 24.11.2011, Scarlet Extended SA v. Société belge des auteurs, compositeurs et éditeurs SCRL (SABAM), C-70/10, ECLI:EU:C:2011:771; unionin tuomioistuimen tuomio, 19.10.2016, Patrick Breyer v. Saksan liittotasavalta, C-582/14, ECLI:EU:C:2016:779.
29 artiklan mukainen työryhmä oli neuvoa-antava elin, joka antoi komissiolle neuvontaa tietosuoja-asioissa ja auttoi kehittämään yhdenmukaistettuja tietosuojakäytäntöjä EU:ssa. Kun yleinen tietosuoja-asetus tuli voimaan 25. toukokuuta 2018, 29 artiklan mukainen työryhmä korvattiin Euroopan tietosuojaneuvostolla.
Ks. luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27 päivänä huhtikuuta 2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) 4 artiklan 5 kohta, jossa määritetään ’pseudonymisoiminen’.
Esimerkiksi uuden lääkkeen vaikutuksia koskeva tutkimus katsottaisiin pseudonymisoimiseksi, jos tutkimukseen osallistujien henkilötiedot korvattaisiin tutkimusasiakirjoissa yksilöllisillä tunnisteilla (esim. numerolla tai koodilla) ja heidän henkilötietonsa pidettäisiin erillään heille annetuista yksilöllisistä tunnisteista suojatussa asiakirjassa (esim. salasanalla suojatussa tietokannassa).
Ks. luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27 päivänä huhtikuuta 2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) johdanto-osan 26 kappale.
Ks. luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27 päivänä huhtikuuta 2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) johdanto-osan 26 kappale, jossa säädetään, että ”tietosuojaperiaatteita ei tämän vuoksi pitäisi soveltaa anonyymeihin tietoihin eli tietoihin, jotka eivät liity tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, tai henkilötietoihin, joiden tunnistettavuus on poistettu siten, ettei rekisteröidyn tunnistaminen ole tai ei ole enää mahdollista”.
Ks. unionin tuomioistuimen tuomio 19.10.2016, Patrick Breyer v. Saksan liittotasavalta, C-582/14, ECLI:EU:C:2016:779. Unionin tuomioistuin katsoi, että dynaamista internetprotokollaosoitetta (IP-osoite) voidaan pitää henkilötietona, jos kolmannella osapuolella (esim. verkkopalveluntarjoajalla) on hallussaan lisätietoja, joiden perusteella henkilö voidaan tunnistaa. Henkilön tunnistamismahdollisuuden on oltava keino, jota voidaan kohtuullisen todennäköisesti käyttää henkilön suoraan tai välilliseen tunnistamiseen.
Tiedot olisi aina anonymisoitava käyttämällä uusinta tekniikkaa edustavia anonymisointitekniikoita.
Esimerkkejä otaksuttavasti anonymisoitujen tietojen uudelleen tunnistamisesta on Euroopan parlamentin ITRE-valiokunnalle tietojen tulevasta liikkuvuudesta tehdyssä tutkimuksessa: Blackman, C., Forge, S.: Data Flows — Future Scenarios: In-Depth Analysis for the ITRE Committee, 2017, s. 22, laatikko 2. Saatavilla verkossa osoitteessa http://www.europarl.europa.eu/RegData/etudes/IDAN/2017/607362/IPOL_IDA(2017)607362_EN.pdf
Ks. asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) johdanto-osan 26 kappale, jonka mukaan ”jotta voidaan varmistaa, voidaanko keinoja kohtuullisen todennäköisesti käyttää luonnollisen henkilön tunnistamiseen, olisi otettava huomioon kaikki objektiiviset tekijät, kuten tunnistamisesta aiheutuvat kulut ja tunnistamiseen tarvittava aika sekä käsittelyajankohtana käytettävissä oleva teknologia ja tekninen kehitys”.
Ks. 29 artiklan mukainen työryhmä: lausunto 05/2014 anonymisointitekniikoista, annettu 10 päivänä huhtikuuta 2014, WP216, s. 9: ”Ainoastaan, jos rekisterinpitäjä aggregoi tiedot tasolle, jossa yksittäisiä tapahtumia ei ole mahdollista tunnistaa, tuloksena saatavaa tietoaineistoa voidaan pitää anonyymina. Jos organisaatio esimerkiksi kerää tietoja yksittäisistä matkoista, yksittäiset matkustusmallit ovat edelleen minkä tahansa osapuolen kannalta henkilötietoja niin kauan kuin rekisterinpitäjällä (tai jollakulla muulla) on pääsy alkuperäisiin käsittelemättömiin tietoihin, vaikka suorat tunnisteet olisikin poistettu kolmansille osapuolille toimitetusta aineistosta. Jos rekisterinpitäjä sen sijaan poistaa käsittelemättömät tiedot ja luovuttaa kolmansille osapuolille vain korkealla tasolla aggregoidut tiedot, kuten ’maanantaisin reitillä X on 160 prosenttia enemmän matkustajia kuin tiistaisin’, tietoja voidaan pitää anonyymeina.”
Jos henkilötietoja käsitellään lainvastaisesti tai käsittelyssä muuten rikotaan yleistä tietosuoja-asetusta, rekisteröidyillä (luonnollisilla henkilöillä) on yleisen tietosuoja-asetuksen nojalla oikeus tehdä valitus kansalliselle valvontaviranomaiselle (tietosuojaviranomaiselle) EU:ssa tai oikeus tehokkaaseen oikeussuojakeinoon kansallisessa tuomioistuimessa. Kansallisten valvontaviranomaisten toimivaltaa, tehtäviä ja valtuuksia säännellään yleisen tietosuoja-asetuksen VI luvun 2 jaksossa.
Luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27 päivänä huhtikuuta 2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) johdanto-osan 14 kappaleessa todetaan, että ”tämä asetus ei koske oikeushenkilöiden ja erityisesti oikeushenkilön muodossa perustettujen yritysten henkilötietojen käsittelyä, kuten oikeushenkilön nimeä, oikeudellista muotoa ja yhteystietoja”. Tätä on kuitenkin tulkittava yleisen tietosuoja-asetuksen 4 artiklan 1 kohdassa annetun henkilötietojen määritelmän perusteella.
Ks. unionin tuomioistuimen tuomio 9.11.2010, Volker und Markus Schecke GbR, C-92/09 ja Hartmut Eifert, C-93/09 v. Land Hessen, ECLI:EU:C:2010:662, 52 kohta.
Asetuksen 2 artiklan 2 kohta.
Ks. luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27 päivänä huhtikuuta 2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) 1 artiklan 3 kohta. Ks. myös näiden ohjeiden kohta 3.2.
Vaikutustenarviointia koskevassa komission yksiköiden valmisteluasiakirjassa, joka oli liitteenä asiakirjassa Ehdotus Euroopan parlamentin ja neuvoston asetukseksi muiden kuin henkilötietojen vapaan liikkuvuuden kehyksestä (SWD(2017) 304 final), osa 1/2, s. 3, muistutettiin, että riippumatta siitä, miten paljon yhdistelmätietojoukkoihin kuuluu henkilötietoja, yleistä tietosuoja-asetusta on noudatettava täysimääräisesti tietojoukon henkilötietojen osalta.
Euroopan unionin perusoikeuskirja, EUVL C 362, 26.10.2012, s. 391.
Asetuksen johdanto-osan 8 kappale.
Muiden kuin henkilötietojen vapaata liikkuvuutta koskeva asetus ja yleinen tietosuoja-asetus.
Terveysalan mobiilisovellusten kehittämisessä ja käytössä on noudatettava tiukasti yleisen tietosuoja-asetuksen sääntöjä. Näitä vaatimuksia täsmennetään edelleen terveysalan mobiilisovelluksia koskevissa käytännesäännöissä, joita ollaan parhaillaan laatimassa. Niiden laadinnan etenemisestä on lisätietoa osoitteessa https://ec.europa.eu/digital-single-market/en/privacy-code-conduct-mobile-health-apps
Ks. luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27 päivänä huhtikuuta 2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) 6 artiklan 1 kohta.
Asetuksen 4 artiklan 1 kohta.
Muiden kuin henkilötietojen vapaan liikkuvuuden kehyksestä Euroopan unionissa 14 päivänä marraskuuta 2018 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1807 3 artiklan 5 kohta.
On pantava merkille, että oikeudellinen epävarmuus tietojen sijaintia koskevien laillisten ja laittomien vaatimusten laajuudesta rajoittaa vielä lisää markkinatoimijoiden ja julkisen sektorin valinnanvaraa tietojenkäsittelyn sijaintipaikan suhteen (ks. muiden kuin henkilötietojen vapaan liikkuvuuden kehyksestä Euroopan unionissa 14 päivänä marraskuuta 2018 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1807 johdanto-osan 4 kappale).
Muiden kuin henkilötietojen vapaan liikkuvuuden kehyksestä Euroopan unionissa 14 päivänä marraskuuta 2018 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1807 johdanto-osan 4 kappale.
Ks. seuraavat kaksi tutkimusta, joiden aiheena ovat tietojen sijaintia koskevat vaatimukset (tutkimukset tehtiin ennen muiden kuin henkilötietojen vapaata liikkuvuutta koskevan asetuksen antamista): 1) Godel, M. et al.: Facilitating cross border data flows in the Digital Single Market, SMART-numero 2015/2016. Saatavilla verkossa osoitteessa http://ec.europa.eu/newsroom/document.cfm?doc_id=41185 ja 2) Time.lex, Spark Legal Network ja Tech4i2: Cross-border data flow in the digital single market: study on data localisation restrictions. SMART-numero 2015/0054. Saatavilla verkossa osoitteessa http://ec.europa.eu/newsroom/dae/document.cfm?doc_id=46695
Asetuksen johdanto-osan 19 kappale.
Ks. esimerkiksi unionin tuomioistuimen tuomio, 23.11.2010, Land Baden-Württemberg v. Tsakouridis, C-145/09, ECLI:EU:C:2010:708, 43 kohta ja unionin tuomioistuimen tuomio 4.4.2017, Sahar Fahimian v. Saksan valtio, C-544/15, ECLI:EU:C:2017:225, 39 kohta.
Ks. esimerkiksi unionin tuomioistuimen tuomio 22.12.2008, Euroopan yhteisöjen komissio v. Itävallan tasavalta, C-161/07, ECLI:EU:C:2008:759, 35 kohta ja siinä viitattu oikeuskäytäntö sekä unionin tuomioistuimen tuomio 26.3.2009, Euroopan yhteisöjen komissio v. Italian tasavalta, C-326/07, ECLI:EC:C:2009:193, 70 kohta ja siinä viitattu oikeuskäytäntö.
Ks. esimerkiksi unionin tuomioistuimen tuomio 8.7.2010, Afton Chemical Limited v. Secretary of State for Transport, C-343/09, ECLI:EU:C:2010:419, 45 kohta ja siinä viitattu oikeuskäytäntö.
Ks. esimerkiksi yhteisestä arvonlisäverojärjestelmästä 28 päivänä marraskuuta 2006 annetun direktiivin 2006/112/EY 245 artiklan 2 kohta, jossa säädetään, että ”jäsenvaltiot voivat vaatia alueelleen sijoittautuneita verovelvollisia ilmoittamaan niille tietojen tallennuspaikan, jos tämä sijaitsee niiden alueen ulkopuolella”. Tätä vaatimusta on kuitenkin tulkittava 249 artiklan mukaisesti. Siinä todetaan seuraavaa: ”Kun verovelvollinen tallentaa laatimansa tai vastaanottamansa laskut online-yhteyden tietoihin takaavin sähköisin keinoin ja kun tallennuspaikka on muussa jäsenvaltiossa kuin siinä, johon verovelvollinen on sijoittautunut, sen jäsenvaltion toimivaltaisilla viranomaisilla, johon verovelvollinen on sijoittautunut, on tätä direktiiviä sovellettaessa oikeus saada sähköisesti tutustua laskuihin, kopioida ne ja käyttää niitä verovelvollisen sijoittautumisjäsenvaltion lainsäädännössä vahvistetuin edellytyksin ja sikäli kuin se on tarpeen valvontaa varten.”
Muiden kuin henkilötietojen vapaan liikkuvuuden kehyksestä Euroopan unionissa 14 päivänä marraskuuta 2018 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1807 4 artiklan 4 kohta.
Ks. luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27 päivänä huhtikuuta 2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) 1 artiklan 3 kohta.
Euroopan unionin toiminnasta tehty sopimus (konsolidoitu toisinto) EUVL C 326, 26.10.2012, s. 47–390.
Ks. myös unionin tuomioistuimen tuomio 19.6.2008, Euroopan yhteisöjen komissio v. Luxemburgin suurherttuakunta, C-319/06, ECLI:EU:C:2008:350, 90–91 kohta: Unionin tuomioistuin katsoi, että velvollisuus säilyttää työntekijöitä koskevia asiakirjoja tietyssä jäsenvaltiossa rajoittaa palvelujen tarjoamisen vapautta. Perustelu, jonka mukaan se on ”omiaan helpottamaan yleensä ottaen tämän valtion viranomaisten valvontatehtävien suorittamista” ei riitä.
Euroopan parlamentin ja neuvoston direktiivi 2006/123/EY, annettu 12 päivänä joulukuuta 2006, palveluista sisämarkkinoilla (EUVL L 376, 27.12.2006, s. 36–68).
Euroopan parlamentin ja neuvoston direktiivi 2000/31/EY, annettu 8 päivänä kesäkuuta 2000, tietoyhteiskunnan palveluja, erityisesti sähköistä kaupankäyntiä, sisämarkkinoilla koskevista tietyistä oikeudellisista näkökohdista (direktiivi sähköisestä kaupankäynnistä) (EYVL L 178, 17.7.2000, s. 1–16).
Ks. luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27 päivänä huhtikuuta 2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) 9 artiklan 4 kohta.
Ks. muiden kuin henkilötietojen vapaan liikkuvuuden kehyksestä Euroopan unionissa 14 päivänä marraskuuta 2018 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1807 1 artikla.
Ks. muiden kuin henkilötietojen vapaan liikkuvuuden kehyksestä Euroopan unionissa 14 päivänä marraskuuta 2018 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1807 johdanto-osan 15 kappale.
Käsite ”käsittely” määritetään laajasti muiden kuin henkilötietojen vapaan liikkuvuuden kehyksestä Euroopan unionissa 14 päivänä marraskuuta 2018 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1807 3 artiklan 2 kohta), ja kuten johdanto-osan 17 kappaleessa korostetaan, asetusta olisi sovellettava tietojenkäsittelyyn laajimmassa merkityksessä, johon kuuluu kaikentyyppisten tietoteknisten järjestelmien käyttö.
Kannattaa panna merkille, että muiden kuin henkilötietojen vapaan liikkuvuuden kehyksestä Euroopan unionissa 14 päivänä marraskuuta 2018 annettu Euroopan parlamentin ja neuvoston asetus (EU) 2018/1807 ei koske tietojen sijaintia koskevia vaatimuksia, joita jäsenvaltiot ovat määränneet muiden kuin henkilötietojen säilyttämisestä kolmansissa maissa ja joita voi olla kansallisissa lakisääteisissä määräyksissä. Selvyyden vuoksi todetaan, että yleistä tietosuoja-asetusta sovelletaan EU:ssa olevia rekisteröityjä koskevien henkilötietojen käsittelyyn, jota suorittava rekisterinpitäjä tai henkilötietojen käsittelijä ei ole sijoittautunut EU:hun, jos käsittely liittyy a) tavaroiden tai palvelujen tarjoamiseen näille rekisteröidyille unionissa riippumatta siitä, edellytetäänkö rekisteröidyltä maksua; tai b) näiden rekisteröityjen käyttäytymisen seurantaan siltä osin kuin heidän käyttäytymisensä tapahtuu unionissa (ks. yleisen tietosuoja-asetuksen 3 artiklan 2 kohta).
Lisätietoa henkilötietojen siirtämisestä kolmansiin maihin on komission verkkosivustolla osoitteessa Https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/what-rules-apply-if-my-organisation-transfers-data-outside-eu_fi ja komission tiedonannossa Euroopan parlamentille ja neuvostolle – Henkilötietojen vaihtaminen ja suojaaminen globalisoituneessa maailmassa, COM(2017) 7 final, saatavilla osoitteessa https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=COM%3A2017 %3A7 %3AFIN . Japanin osalta komissio on antanut 23. tammikuuta 2019 tietosuojan riittävyyttä koskevan päätöksen, joka mahdollistaa henkilötietojen vapaat siirrot näiden kahden talouden välillä vahvojen tietosuojatakuiden perusteella.
Muiden kuin henkilötietojen vapaan liikkuvuuden kehyksestä Euroopan unionissa 14 päivänä marraskuuta 2018 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1807 johdanto-osan 14 kappale.
Julkisista hankinnoista ja direktiivin 2004/18/EY kumoamisesta 26 päivänä helmikuuta 2014 annetun Euroopan parlamentin ja neuvoston direktiivin 2014/24/EU (EUVL L 94 28.3.2014, s. 65–242) 2 artiklan 1 kohdan 4 alakohdassa säädetään, että ”’julkisoikeudellisilla laitoksilla’ tarkoitetaan laitoksia, joilla on kaikki seuraavat ominaisuudet: a) ne on nimenomaisesti perustettu tyydyttämään yleisen edun mukaisia tarpeita, eikä niillä ole teollista tai kaupallista luonnetta; b) ne ovat oikeushenkilöitä; ja c) niitä rahoittavat pääosin valtion viranomaiset, alue- tai paikallisviranomaiset tai muut julkisoikeudelliset laitokset; tai niiden johto on näiden viranomaisten tai laitosten valvonnan alainen; tai valtion viranomaiset, alue- tai paikallisviranomaiset tai muut julkisoikeudelliset laitokset nimittävät yli puolet niiden hallinto-, johto- tai valvontaelimen jäsenistä”.
Muiden kuin henkilötietojen vapaan liikkuvuuden kehyksestä Euroopan unionissa 14 päivänä marraskuuta 2018 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1807 johdanto-osan 13 kappaleessa huomautetaan, että asetus ei rajoita direktiivin 2014/24/EU soveltamista.
Muiden kuin henkilötietojen vapaan liikkuvuuden kehyksestä Euroopan unionissa 14 päivänä marraskuuta 2018 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1807 johdanto-osan 14 kappale.
Ulkopuolinen palveluntarjoaja on mikä tahansa elin, joka ei ole julkisista hankinnoista ja direktiivin 2004/18/EY kumoamisesta 26 päivänä helmikuuta 2014 annetun Euroopan parlamentin ja neuvoston direktiivin 2014/24/EU (EUVL L 94, 28.3.2014, s. 65–242) 2 artiklan 1 kohdan 4 alakohdassa tarkoitettu ”julkisoikeudellinen laitos”.
Muiden kuin henkilötietojen vapaan liikkuvuuden kehyksestä Euroopan unionissa 14 päivänä marraskuuta 2018 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1807 johdanto-osan 13 kappale.
Pilvipalvelujen vaihtamista ja tietojen siirtämistä käsittelevä työryhmä.
Eurooppalaisten pilvipalvelun tarjoajien sertifiointia käsittelevä työryhmä. Ks. myös kohta 4.3.
Ks. muiden kuin henkilötietojen vapaan liikkuvuuden kehyksestä Euroopan unionissa 14 päivänä marraskuuta 2018 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1807 johdanto-osan 30 kappale.
Muiden kuin henkilötietojen vapaan liikkuvuuden kehyksestä Euroopan unionissa 14 päivänä marraskuuta 2018 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1807 6 artikla ja luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27 päivänä huhtikuuta 2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) 20 artikla.
Ks. 29 artiklan mukainen työryhmä: Oikeutta tietojen siirtämiseen järjestelmästä toiseen koskevat ohjeet. WP 242 rev.01, hyväksytty 13. joulukuuta 2016, sellaisena kuin ne ovat viimeksi tarkistettuna ja hyväksyttynä 5. huhtikuuta 2017.
Muiden kuin henkilötietojen vapaan liikkuvuuden kehyksestä Euroopan unionissa 14 päivänä marraskuuta 2018 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1807 johdanto-osan 29 kappaleessa todetaan seuraavaa: ”Voimassa oleva unionin oikeus [eli yleinen tietosuoja-asetus] suojaa yksittäisiä kuluttajia, mutta mahdollisuus vaihtaa palveluntarjoajaa ei ulotu liike- tai ammattitoimintaa harjoittaviin käyttäjiin.”
Ks. 29 artiklan mukainen työryhmä: Lausunto 05/2012 pilvipalveluista, annettu 1 päivänä heinäkuuta 2012, WP196, jossa tarkennetaan pilvipalvelujen käyttäjien ja pilvipalvelun tarjoajien asemaa ja velvollisuuksia henkilötietojen käsittelyn osalta.
Ks. luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27 päivänä huhtikuuta 2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) 40 artiklan 5 kohta ja 55 artikla.
Euroopan tietosuojaneuvosto: Guidelines 1/2019 on Codes of Conduct and Monitoring Bodies under Regulation 2016/679, hyväksytty 12 päivänä helmikuuta 2019, versio julkista kuulemista varten, saatavilla verkossa osoitteessa https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-12019-codes-conduct-and-monitoring-bodies-under_fi
Euroopan tietosuojaneuvosto: Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation 2016/679, hyväksytty 23 päivänä tammikuuta 2019, saatavilla verkossa osoitteessa https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-12018-certification-and-identifying-certification_fi
Euroopan parlamentin ja neuvoston direktiivi 95/46/EY, annettu 24 päivänä lokakuuta 1995, yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (viimeinen voimassaolopäivä: 24. toukokuuta 2018).
EU:n pilvipalvelujen käytännesäännöistä on lisätietoa osoitteessa https://eucoc.cloud/en/home.html
CISPE:n käytännesäännöistä on lisätietoa osoitteessa https://cispe.cloud/code-of-conduct/
Cloud Security Alliance-järjestön käytännesäännöistä on lisätietoa osoitteessa https://gdpr.cloudsecurityalliance.org/
Lisätietoja on osoitteessa https://ec.europa.eu/digital-single-market/en/cyber-security
Euroopan parlamentin ja neuvoston asetus, annettu 17 päivänä huhtikuuta 2019, EU:n kyberturvallisuusvirastosta ENISAsta ja tieto- ja viestintätekniikan kyberturvallisuussertifioinnista sekä asetuksen (EU) N:o 526/2013 kumoamisesta (kyberturvallisuusasetus).
Ks. kyberturvallisuusasetuksen johdanto-osan 74 kappale.