EUROOPAN KOMISSIO
Bryssel 24.6.2020
COM(2020) 264 final
KOMISSION TIEDONANTO EUROOPAN PARLAMENTILLE JA NEUVOSTOLLE
Tietosuojasäännöt kansalaisten vaikutusmahdollisuuksien ja EU:n digitaalisen muutoksen edistäjänä – yleistä tietosuoja-asetusta sovellettu kaksi vuotta
{SWD(2020) 115 final}
KOMISSION TIEDONANTO EUROOPAN PARLAMENTILLE JA NEUVOSTOLLE
Tietosuojasäännöt kansalaisten vaikutusmahdollisuuksien ja EU:n digitaalisen muutoksen edistäjänä – yleistä tietosuoja-asetusta sovellettu kaksi vuotta
1Tietosuojasäännöt kansalaisten vaikutusmahdollisuuksien ja EU:n digitaalisen muutoksen edistäjänä
Tämä on ensimmäinen kertomus yleisen tietosuoja-asetuksen 1 arvioinnista ja uudelleentarkastelusta. Asetuksen 97 artiklan nojalla siinä käsitellään erityisesti niiden sääntöjen soveltamista ja toimivuutta, jotka koskevat kolmansiin maihin ja kansainvälisiin järjestöihin tehtäviä henkilötietojen siirtoja sekä yhteistyötä ja yhdenmukaisuutta.
Yleistä tietosuoja-asetusta alettiin soveltaa 25. toukokuuta 2018. Se on keskeinen osa EU:n kehystä 2 , jonka avulla taataan tietosuojaa koskevan perusoikeuden toteutuminen sellaisena kuin se on vahvistettu Euroopan unionin perusoikeuskirjassa (8 artikla) ja perussopimuksissa (Euroopan unionin toiminnasta tehdyn sopimuksen (SEUT) 16 artikla). Yleisellä tietosuoja-asetuksella on vahvistettu tietosuojatakeita, annettu yksilöille uusia ja vahvempia oikeuksia, lisätty läpinäkyvyyttä ja varmistettu, että kaikilta asetuksen soveltamisalaan kuuluvia henkilötietoja käsitteleviltä tahoilta edellytetään vastuullisuutta ja osoitusvelvollisuutta. Asetuksella annetaan riippumattomille tietosuojaviranomaisille vahvemmat ja yhdenmukaistetut täytäntöönpanovaltuudet ja otetaan käyttöön uusi hallintojärjestelmä. Sillä myös luodaan tasapuoliset toimintaedellytykset kaikille EU:n markkinoilla toimiville yrityksille niiden sijoittautumispaikasta riippumatta ja varmistetaan henkilötietojen vapaa liikkuvuus, mikä vahvistaa EU:n sisämarkkinoita.
Yleinen tietosuoja-asetus on tärkeä osa EU:n päätöksenteolle ominaista ihmiskeskeistä tapaa suhtautua teknologiaan, ja se ohjaa teknologian käyttöä myös vihreän siirtymän ja digitaaliseen muutoksen edistämisessä. Tätä on korostettu äskettäin tekoälyä koskevassa valkoisessa kirjassa 3 ja helmikuussa 2020 annetussa Euroopan datastrategiaa koskevassa tiedonannossa 4 .
Kun talous perustuu enenevässä määrin tiedon, kuten henkilötietojen, käsittelyyn, yleinen tietosuoja-asetus on keskeinen väline sen varmistamisessa, että yksilöillä on suurempi määräysvalta henkilötietojensa suhteen ja että näitä tietoja käsitellään vain laillisia tarkoituksia varten lainmukaisesti, asianmukaisella tavalla ja läpinäkyvästi. Samalla yleinen tietosuoja-asetus osaltaan edistää luotettavaa innovointia erityisesti riskiperusteisen lähestymistavan ja sisäänrakennetun ja oletusarvoisen yksityisyyden suojan kaltaisten periaatteiden avulla. Komissio on ehdottanut tietosuojaa ja yksityisyyden suojaa koskevan lainsäädäntökehyksen 5 täydentämistä sähköisen viestinnän tietosuoja-asetuksella 6 , jolla on tarkoitus korvata nykyinen sähköisen viestinnän tietosuojadirektiivi 7 . Tätä koskeva ehdotus on parhaillaan lainsäädäntövallan käyttäjien tarkasteltavana, ja on erittäin tärkeää varmistaa sen nopea hyväksyminen.
Euroopan digitaalista valmiutta 8 ja Euroopan vihreän kehityksen ohjelmaa 9 koskevien komission keskeisten painopisteiden puitteissa voidaan laatia uusia aloitteita, joiden avulla kansalaisille voidaan antaa paremmat mahdollisuudet osallistua aktiivisemmin digitaaliseen muutokseen ja edistää ilmastoneutraalin yhteiskunnan luomista ja kestävämpää kehitystä digitaalisten välineiden avulla. Yleisellä tietosuoja-asetuksella luodaan puitteet tällaisille aloitteille ja varmistetaan, että niillä voidaan aidosti lisätä yksilöiden vaikutusmahdollisuuksia.
Datastrategian 10 tavoitteena on luoda yhteinen eurooppalainen data-avaruus eli aidot datan sisämarkkinat sekä kymmenen alakohtaista yhteistä eurooppalaista data-avaruutta 11 ja edistää siten vihreää siirtymää ja digitaalista muutosta. Kaikkien näiden painopisteiden kannalta on olennaisen tärkeää, että käytössä on selkeä ja toimiva kehys, joka mahdollistaa datan turvallisen yhteiskäytön ja niiden saatavuuden lisäämisen. Datastrategian mukaan komissio aikoo myös tutkia, miten tulevassa lainsäädännössä voitaisiin mahdollistaa julkisissa tietokannoissa olevan datan käyttö tutkimustarkoituksiin yleistä tietosuoja-asetusta noudattaen. Data-avaruuksien tukena olisi eurooppalainen pilviresurssien federaatio, joka tarjoaisi tietojenkäsittely- ja pilvi-infrastruktuuripalveluja yleisen tietosuoja-asetuksen edellyttämällä tavalla. Yleinen tietosuoja-asetus takaa henkilötietojen korkeatasoisen suojan ja yksilöiden keskeisen aseman kaikissa näissä data-avaruuksissa, samalla kun sen joustavuuden ansiosta voidaan ottaa huomioon erilaisia lähestymistapoja.
Luottamuksen varmistaminen ja henkilötietosuojan kysyntä eivät tietenkään rajoitu vain EU:hun. Ihmiset eri puolilla maailmaa arvostavat tietojensa yksityisyyttä ja turvallisuutta enenevässä määrin. Kuten tuore maailmanlaajuinen tutkimus 12 osoittaa, tietosuojaa pidetään tärkeänä tekijänä, joka vaikuttaa ostopäätöksiin ja verkkokäyttäytymiseen. Yhä useammat yritykset ovat vastanneet tähän yksityisyyden suojan kysyntään muun muassa ulottamalla joitakin yleiseen tietosuoja-asetukseen perustuvia oikeuksia ja suojatoimia vapaaehtoisesti myös EU:n ulkopuolisiin asiakkaisiin. Monet yritykset myös käyttävät tiukkaa henkilötietosuojan noudattamista keinona erottua kilpailussa ja edistää myyntiä maailmanlaajuisilla markkinoilla tarjoamalla innovatiivisia tuotteita ja palveluja, joihin sisältyy uusia yksityisyyden suojaa tai tietoturvaa koskevia ratkaisuja. Lisäksi sekä yksityisen että julkisen sektorin toimijoiden suurempi kyky kerätä ja käsitellä dataa suuressa mittakaavassa tuo esiin tärkeitä ja monimutkaisia kysymyksiä, joiden myötä yksityisyyden suoja nousee entistä useammin julkisen keskustelun keskiöön eri puolilla maailmaa.
Yleinen tietosuoja-asetus on kannustanut monia maita eri puolilla maailmaa harkitsemaan sen tarjoaman esimerkin noudattamista. Kyseessä on todella maailmanlaajuinen trendi, joka ulottuu Chilestä Etelä-Koreaan, Brasiliasta Japaniin, Keniasta Intiaan ja Kaliforniasta Indonesiaan. EU:n johtoasema tietosuojan alalla osoittaa, että se voi toimia digitaalitalouden sääntelyssä globaalina normien asettajana, ja EU onkin saanut tästä tunnustusta monilta merkittäviltä kansainvälisen yhteisön edustajilta. Muun muassa YK:n pääsihteeri António Guterres on todennut, että yleinen tietosuoja-asetus on esikuva, joka innoittaa toteuttamaan vastaavia toimenpiteitä myös muualla. Hän on kannustanut EU:ta ja sen jäsenvaltioita edelleen johtamaan digiajan muovaamista ja toimimaan teknologisen innovoinnin ja sääntelyn eturintamassa. 13
Tämänhetkinen covid-19-pandemiasta johtuva kriisi on osuva muistutus yksityisyyden suojaa koskevan keskustelun globaalista luonteesta sekä kriisin aikana että pyrittäessä ulos kriisistä. EU:ssa useat jäsenvaltiot ovat toteuttaneet poikkeustoimenpiteitä kansanterveyden suojelemiseksi. Yleisessä tietosuoja-asetuksessa säädetään selkeästi, että kaikissa rajoitustoimissa on noudatettava perusoikeuksien ja -vapauksien keskeistä sisältöä. Tällaisten toimenpiteiden on oltava välttämättömiä ja oikeasuhteisia ja demokraattisessa yhteiskunnassa välttämättömiä yleisen edun, kuten kansanterveyden, turvaamiseksi. Kun rajoittamistoimia asteittain puretaan, kansalaiset odottavat, että heille tarjotaan digitaalisia sovelluksia, jotka ovat luotettavia ja joissa kunnioitetaan oikeutta yksityisyyteen ja henkilötietojen suojaan. Päätöksentekijöiden on vastattava näihin odotuksiin.
Sisäänrakennettua yksityisyyden suojaa, kuten käyttäjien vapaaehtoista rekisteröitymistä, kerättävien tietojen minimointia ja tietoturvaa sekä geopaikannuksen poissulkemista, pidetään monissa maissa olennaisena edellytyksenä sille, että ne datavetoiset sovellukset, joiden avulla on tarkoitus seurata ja hillitä viruksen leviämistä, mitoittaa julkiset torjuntatoimet oikein, auttaa potilaita tai toteuttaa ulospääsystrategioita, ovat luotettavia ja yhteiskunnallisesti hyväksyttäviä. EU:ssa tietosuojaa ja yksityisyyden suojaa koskeva lainsäädäntökehys 14 on osoittautunut riittävän joustavaksi välineeksi, niin että sen avulla voidaan kehittää käytännön ratkaisuja (kuten jäljityssovelluksia) ja varmistaa samalla korkeatasoinen henkilötietojen suoja. Komissio on tähän liittyen julkaissut 16. huhtikuuta 2020 Covid-19-pandemian torjuntaa tukevien sovellusten tietosuojaa koskevat ohjeet 15 .
Henkilötietojen suojaaminen on olennaisen tärkeää myös, jotta voidaan estää kansalaisten äänestyskäyttäytymisen manipulointi (erityisesti henkilötietojen lainvastaiseen käsittelyyn perustuva viestinnän mikrokohdentaminen äänestäjille), välttää sekaantuminen demokraattisiin prosesseihin ja turvata demokratian edellyttämä avoin keskustelu, oikeudenmukaisuus ja läpinäkyvyys. Tästä syystä komissio julkaisi syyskuussa 2018 ohjeet unionin tietosuojalainsäädännön soveltamisesta vaalien yhteydessä. 16
Tämän yleistä tietosuoja-asetusta koskevan arvioinnin ja uudelleentarkastelun yhteydessä komissio on ottanut huomioon neuvoston 17 , Euroopan parlamentin 18 , Euroopan tietosuojaneuvoston 19 sekä yksittäisten tietosuojaviranomaisten 20 , monisidosryhmäisen asiantuntijaryhmän 21 ja muiden sidosryhmien kannanotot, etenemissuunnitelmaan 22 annettu palaute mukaan lukien
Yleinen näkemys on, että yleisen tietosuoja-asetuksen kahden ensimmäisen soveltamisvuoden aikana on onnistuttu sen tavoitteiden mukaisesti vahvistamaan yksilöiden oikeutta henkilötietojen suojaan ja takaamaan henkilötietojen vapaa liikkuvuus EU:ssa. 23 Toisaalta on havaittu myös joitakin parannuskohteita. Useimpien sidosryhmien ja tietosuojaviranomaisten tavoin komissio katsoo, että tässä vaiheessa olisi ennenaikaista tehdä lopullisia päätelmiä yleisen tietosuoja-asetuksen soveltamisesta. Useimmat jäsenvaltioiden ja sidosryhmien havaitsemista ongelmista todennäköisesti ratkeavat, kun yleisen tietosuoja-asetuksen soveltamisesta kertyy enemmän kokemusta. Tässä kertomuksessa tarkastellaan kuitenkin yleisen tietosuoja-asetuksen soveltamisessa tähän mennessä esiin tulleita haasteita ja esitetään mahdollisia keinoja niiden ratkaisemiseksi.
Tässä arvioinnissa ja uudelleentarkastelussa keskitytään kahteen yleisen tietosuoja-asetuksen 97 artiklan 2 kohdassa käsiteltyyn seikkaan, eli henkilötietojen kansainvälisiin siirtoihin sekä yhteistyömenettelyyn ja yhdenmukaisuusmekanismiin. Lisäksi tarkastellaan laajemmin eräitä kysymyksiä, joita eri toimijat ovat nostaneet esiin kuluneiden kahden vuoden aikana.
2Tärkeimmät havainnot
Yleisen tietosuoja-asetuksen täytäntöönpano ja yhteistyömenettelyn ja yhdenmukaisuusmekanismin toimivuus
Yleisellä tietosuoja-asetuksella käyttöön otettu innovatiivinen hallintojärjestelmä perustuu jäsenvaltioiden riippumattomiin tietosuojaviranomaisiin ja niiden keskinäiseen yhteistyöhön rajatylittävissä tapauksissa ja Euroopan tietosuojaneuvoston puitteissa. Yleisesti ollaan sitä mieltä, että tietosuojaviranomaiset ovat käyttäneet tasapainoisesti vahvistettuja korjaavia toimivaltuuksiaan, joiden nojalla ne voivat antaa varoituksia ja huomautuksia sekä määrätä sakkoja tai rajoittaa käsittelyä joko väliaikaisesti tai pysyvästi. 24 Komissio toteaa, että viranomaiset ovat määränneet hallinnollisia sakkoja, joiden suuruus on vaihdellut tietosuojasääntöjen rikkomisen vakavuuden mukaan muutamasta tuhannesta eurosta useisiin miljooniin euroihin. Muilla seuraamuksilla, kuten käsittelykielloilla, voi olla yhtä suuri tai jopa suurempi pelotevaikutus kuin sakoilla. Yleisen tietosuoja-asetuksen perimmäisenä tavoitteena on vaikuttaa kaikkien asianomaisten toimijoiden menettelytapoihin ja käyttäytymiseen yksilöiden eduksi. Tarkempia tietoja siitä, miten tietosuojaviranomaiset ovat käyttäneet korjaavia toimivaltuuksiaan, on tähän tiedonantoon liittyvässä komission yksiköiden valmisteluasiakirjassa.
Vaikka uuden yhteistyömenettelyn ja yhdenmukaisuusmekanismin toimivuutta on vielä liian varhaista arvioida kattavasti, tietosuojaviranomaiset ovat kehittäneet yhteistyötään ns. yhden luukun järjestelmän 25 kautta ja hyödyntämällä laajasti keskinäistä avunantoa 26 . Yhden luukun järjestelmä on sisämarkkinoiden keskeinen voimavara, jota käytetään monien rajatylittävien tapausten ratkaisemiseen. 27 Sen puitteissa on vireillä merkittäviä päätöksiä, joilla on rajatylittäviä ulottuvuuksia. Tällaiset päätökset koskevat usein suuria monikansallisia teknologiayrityksiä, ja ne vaikuttavat merkittävästi yksilöiden oikeuksiin monissa jäsenvaltioissa.
Aidosti yhteisen eurooppalaisen tietosuojakulttuurin kehittäminen tietosuojaviranomaisten kesken on kuitenkin edelleen jatkuva prosessi. Tietosuojaviranomaiset eivät ole vielä kaikilta osin hyödyntäneet kaikkia yleisen tietosuoja-asetuksen tarjoamia välineitä, kuten yhteisiä operaatioita, jotka voisivat johtaa yhteisiin tutkimuksiin. Aika ajoin yhteinen lähestymistapa on löytynyt vain pienimmän yhteisen nimittäjän pohjalta, jolloin on menetetty mahdollisuuksia edistää laajempaa yhdenmukaistamista. 28
Tarvitaan lisätoimia, jotta rajatylittävien tapausten käsittelyä voidaan tehostaa ja yhdenmukaistaa kaikkialla EU:ssa, myös menettelyjen kannalta. Tämä koskee esimerkiksi valitusten käsittelyä, valitusten käsiteltäväksi ottamisen perusteita, menettelyjen kestoa erilaisten määräaikojen vuoksi tai siksi, että kansallisessa hallintomenettelylainsäädännössä ei ole asetettu määräaikoja, sekä sen menettelyvaiheen määrittämistä, jossa oikeus tulla kuulluksi myönnetään, tai valituksen tekijöiden oikeutta saada tietoja ja osallistua menettelyyn. Tietosuojaneuvoston käynnistämä pohdinta näistä seikoista on tervetullut, ja komissio osallistuu asiasta käytäviin keskusteluihin. 29
Tietosuojaneuvoston toiminta ja sen antama ohjeistus ovat tietosuojaneuvoston ja sidosryhmien 30 välisen yhteydenpidon johdonmukaisen kehittämisen kannalta keskeisen tärkeitä. Tietosuojaneuvosto oli hyväksynyt vuoden 2019 loppuun mennessä 67 asiakirjaa, mm. 10 uutta ohjetta 31 ja 43 lausuntoa 32 . Sidosryhmät suhtautuvat tietosuojaneuvoston ohjeisiin yleisesti ottaen myönteisesti ja pyytävät lisäohjeita yleisen tietosuoja-asetuksen kannalta keskeisistä aiheista. Sidosryhmät huomauttavat myös kansallisten ohjeiden ja tietosuojaneuvoston antamien ohjeiden välisistä epäjohdonmukaisuuksista. Sidosryhmät korostavat, että tarvitaan enemmän käytännön neuvoja, erityisesti konkreettisempia esimerkkejä. Lisäksi tietosuojaviranomaisille olisi annettava tarvittavat taloudelliset, tekniset ja henkilöstöresurssit, jotta ne voivat hoitaa tehtävänsä tuloksellisesti.
Komissio on toistuvasti korostanut, että jäsenvaltioiden on osoitettava kansallisille tietosuojaviranomaisille tarvittavat taloudelliset, tekniset ja henkilöstöresurssit. 33 Useimmat tietosuojaviranomaiset saivatkin vuosina 2016–2019 sekä lisää henkilöstöä että enemmän määrärahoja 34 . Suhteellisesti eniten lisähenkilöstöä saivat Irlannin, Alankomaiden, Islannin, Luxemburgin ja Suomen tietosuojaviranomaiset. Koska suurimmat isoista monikansallisista teknologiayrityksistä ovat sijoittautuneet Irlantiin ja Luxemburgiin, näiden maiden tietosuojaviranomaiset toimivat johtavina viranomaisina monissa rajatylittävissä tapauksissa ja saattavat siksi tarvita enemmän resursseja kuin maan asukasluvun perusteella voisi odottaa. Tilanne jäsenvaltioiden välillä kuitenkin vaihtelee edelleen eikä ole vielä kokonaisuutena tyydyttävä. Tietosuojaviranomaisilla on keskeinen tehtävä sen varmistamisessa, että yleistä tietosuoja-asetusta noudatetaan kansallisella tasolla ja että yhteistyömenettely ja yhdenmukaisuusmekanismi ja erityisesti yhden luukun järjestelmä rajatylittävissä tapauksissa toimivat tietosuojaneuvoston puitteissa tuloksellisesti. Siksi jäsenvaltioita kehotetaan osoittamaan viranomaisille riittävät resurssit, kuten yleisessä tietosuoja-asetuksessa edellytetään. 35
Yhdenmukaistetuista säännöistä huolimatta hajanaisuutta ja eriäviä toimintatapoja esiintyy yhä
Komissio seuraa yleisen tietosuoja-asetuksen saattamista osaksi kansallista lainsäädäntöä. Tätä kertomusta laadittaessa jäsenvaltiot ovat Sloveniaa lukuun ottamatta hyväksyneet yleisen tietosuoja-asetuksen täytäntöönpanoa varten uutta lainsäädäntöä tai muuttaneet kansallista tietosuojalainsäädäntöään. Sloveniaa 36 on pyydetty toimittamaan komissiolle selvitys tämän prosessin päätökseen saattamisesta. 37
Yleisessä tietosuoja-asetuksessa vahvistetaan koko EU:ssa noudatettava yhdenmukainen lähestymistapa tietosuojasääntöihin. Siinä kuitenkin edellytetään, että jäsenvaltiot antavat lainsäädäntöä tietyillä aloilla 38 , ja annetaan niille mahdollisuus täsmentää yleistä tietosuoja-asetusta eräillä muilla aloilla 39 . Tästä syystä asetuksen kansallisessa täytäntöönpanossa on edelleen havaittavissa jonkin verran hajanaisuutta, mikä johtuu erityisesti valinnaista täsmentämistä koskevien lausekkeiden laajasta käytöstä. Jäsenvaltioissa on eroja esimerkiksi siltä osin, missä iässä lapset voivat itse antaa suostumuksen henkilötietojensa käsittelyyn tietoyhteiskunnan palvelujen käyttämisen yhteydessä. Tämä aiheuttaa lapsille ja heidän vanhemmilleen epävarmuutta sen suhteen, miten heidän tietosuojaoikeuksiaan sovelletaan sisämarkkinoilla. Tällainen hajanaisuus aiheuttaa haasteita myös rajatylittävälle liiketoiminnalle ja innovoinnille erityisesti uuden teknologisen kehityksen ja kyberturvallisuusratkaisujen yhteydessä. Jotta voitaisiin varmistaa sisämarkkinoiden tehokas toiminta ja välttää tarpeettoman rasituksen aiheuttaminen yrityksille, on myös tärkeää, että kansallisessa lainsäädännössä ei ylitetä yleisessä tietosuoja-asetuksessa sallittua liikkumavaraa eikä oteta käyttöön lisävaatimuksia silloin kun liikkumavaraa ei ole.
Kansallisen lainsäädännön erityisenä haasteena on henkilötietojen suojaa koskevan oikeuden sekä sananvapauden ja tiedonvälityksen vapauden yhteensovittaminen ja näiden oikeuksien tasapainottaminen oikeasuhteisella tavalla. Joidenkin jäsenvaltioiden lainsäädännössä on vahvistettu sananvapauden ensisijaisuuden periaate, toisissa taas säädetään henkilötietojen suojan ensisijaisuudesta ja myönnetään vapautus tietosuojasääntöjen soveltamisesta vain tietyissä tilanteissa, esimerkiksi jos on kyse julkisuuden henkilöstä. Joissakin jäsenvaltioissa on myös säädetty lainsäätäjän suorittamasta eri oikeuksien tasapainottamisesta ja/tai tapauskohtaisesta arvioinnista, kun on kyse eräiden yleisen tietosuoja-asetuksen säännösten soveltamista koskevista poikkeuksista.
Komissio jatkaa jäsenvaltioiden lainsäädännön arviointia. Eri oikeuksien ja vapauksien yhteensovittamisesta on säädettävä lailla näiden perusoikeuksien keskeistä sisältöä kunnioittaen, ja sen on oltava tavoitteen kannalta oikeasuhteista ja välttämätöntä. 40 Tietosuojasäännöt (sekä niiden tulkinta ja soveltaminen) eivät saa vaikuttaa sananvapauden ja tiedonvälityksen vapauden harjoittamiseen esimerkiksi niin, että niillä luodaan tukahduttava vaikutus tai painostetaan toimittajia paljastamaan lähteensä. Näiden kahden oikeuden tasapainottaminen kansallisessa lainsäädännössä olisi perusteltava Euroopan unionin tuomioistuimen ja Euroopan ihmisoikeustuomioistuimen oikeuskäytännön avulla. 41
Erityisten henkilötietoryhmien yleistä käsittelykieltoa koskevien poikkeusten saattamisessa osaksi kansallista lainsäädäntöä on noudatettu eri jäsenvaltioissa eri lähestymistapoja siltä osin kuin on kyse esimerkiksi terveyttä koskevien ja tieteellistä tutkimusta varten käsiteltävien tietojen yksityiskohtaisuudesta ja sovellettavista suojatoimista. Komissio pyrkii ratkaisemaan tämän ongelman kartoittamalla ensin jäsenvaltioiden erilaiset lähestymistavat 42 ja sen jälkeen kannustamalla niitä laatimaan käytännesääntöjä, joiden avulla voitaisiin edistää yhdenmukaisempaa lähestymistapaa tällä osa-alueella ja helpottaa näin henkilötietojen rajatylittävää käsittelyä. 43 Myös tietosuojaneuvoston tulevat ohjeet henkilötietojen käytöstä tieteellisessä tutkimuksessa edistävät yhdenmukaistettua lähestymistapaa. Komissio toimittaa tietosuojaneuvostolle panoksensa erityisesti terveystutkimuksen osalta, muun muassa tiedeyhteisöltä saamiensa konkreettisten kysymysten ja tietyistä skenaarioista tehtyjen analyysien muodossa.
Kansalaisille paremmat mahdollisuudet valvoa tietojaan
EU:n perusoikeusviraston selvityksen 44 mukaan 69 prosenttia 16 vuotta täyttäneistä EU:n asukkaista on kuullut yleisestä tietosuoja-asetuksesta ja 71 prosenttia on kuullut kotimaansa tietosuojaviranomaisesta.
Ihmiset tuntevat entistä paremmin tietosuojaa koskevat oikeutensa, eli he ovat tietoisia siitä, että heillä on oikeus saada pääsy tietoihinsa, oikaista niitä ja poistaa ne, siirtää tiedot järjestelmästä toiseen ja vastustaa niiden käsittelyä sekä oikeus tietojenkäsittelyn parempaan läpinäkyvyyteen. Yleisellä tietosuoja-asetuksella on vahvistettu menettelyllisiä oikeuksia lisäämällä niihin oikeus tehdä valitus tietosuojaviranomaiselle, myös edustajakanteiden välityksellä, sekä oikeus muutoksenhakuun tuomioistuimessa. Ihmiset myös käyttävät oikeuksiaan entistä useammin, mutta oikeuksien käyttöä on silti helpotettava ja varmistettava, että niitä noudatetaan kaikilta osin. Tietosuojaneuvoston johdolla tapahtuvan pohdinnan tavoitteena on selkeyttää ja edelleen helpottaa yksilön oikeuksien toteutumista. Lisäksi edustajakanteita koskevan ehdotuksen 45 odotetaan hyväksymisensä jälkeen antavan rekisteröidyille mahdollisuuden nostaa edustajakanteita kaikissa jäsenvaltioissa ja alentavan rajatylittävien kanteiden kustannuksia.
Oikeus siirtää tiedot järjestelmästä toiseen sisältää (toistaiseksi riittämättömästi hyödynnetyn) mahdollisuuden asettaa yksilöt datatalouden keskiöön, sillä sen myötä he voivat vaihtaa palveluntarjoajaa, yhdistää eri palveluja, käyttää muita innovatiivisia palveluja ja valita tietosuojan kannalta turvallisimmat palvelut. Tämä edistää välillisesti kilpailua ja tukee innovointia. Tämän mahdollisuuden hyödyntäminen on yksi komission keskeisiä tavoitteita, etenkin sen jälkeen kun esineiden internetin käytön lisääntyessä kuluttajat tuottavat yhä enemmän dataa, mikä vuoksi heillä on riski kohdata hyvän kauppatavan vastaisia käytäntöjä ja joutua riippuvuussuhteeseen yhdestä palveluntarjoajasta. Tietojen siirrettävyys voisi edistää merkittävästi terveyttä ja hyvinvointia, pienentää ympäristöjalanjälkeä ja julkisten ja yksityisten palvelujen saatavuutta ja parantaa valmistusteollisuuden tuottavuutta sekä tuotteiden laatua ja turvallisuutta.
Datastrategiassa korostetaan tarvetta puuttua vaikeuksiin, jotka johtuvat muun muassa siitä, ettei ole olemassa normeja, joiden nojalla tiedot voitaisiin toimittaa koneellisesti luettavassa muodossa. Lisäksi oikeutta tietojen siirtämiseen olisi käytettävä enemmän, sillä se koskee nykyään vain muutamia aloja (mm. pankki- ja televiestintäalaa). Tämä voitaisiin toteuttaa erityisesti suunnittelemalla soveltuvia välineitä, vakioformaatteja ja käyttöliittymiä. 46 Tietojen siirtämistä koskevan oikeuden käyttöä voitaisiin lisätä myös ottamalla käyttöön teknisiä käyttöliittymiä ja koneellisesti luettavia formaatteja, joiden avulla tiedot voitaisiin siirtää reaaliajassa. Jos tietojen siirtämistä koskevaa oikeutta käytettäisiin enemmän, ihmisten olisi muun muassa helpompi sallia halutessaan tietojensa käyttö yleisen edun mukaisiin tarkoituksiin (esimerkiksi lääketieteellisiin tutkimuksiin). Tästä käytetään nimitystä data-altruismi. Komissio aikoo tutkia datan ja dataan liittyvien käytäntöjen merkitystä alustaekosysteemissä laajemmin digitaalisia palveluja koskevan säädöspaketin 47 valmistelun yhteydessä.
Mahdollisuudet ja haasteet organisaatioille ja erityisesti pienille ja keskisuurille yrityksille
Yleinen tietosuoja-asetus tarjoaa, yhdessä muiden kuin henkilötietojen vapaata liikkuvuutta koskevan asetuksen 48 kanssa, EU:n yrityksille mahdollisuuksia, sillä se edistää kilpailua ja innovointia, takaa datan vapaan liikkuvuuden EU:ssa ja turvaa tasapuoliset toimintaedellytykset EU:n ulkopuolelle sijoittautuneiden yritysten kanssa. 49 Oikeus tietojen siirtämiseen ja se, että yhä useammat ihmiset haluavat yksityisyyttä paremmin suojaavia ratkaisuja, voi vähentää yritysten markkinoillepääsyn esteitä ja avata luottamukseen ja innovointiin perustuvia kasvumahdollisuuksia. Joidenkin sidosryhmien mukaan yleisen tietosuoja-asetuksen soveltaminen on haastavaa erityisesti pienille ja keskisuurille yrityksille (pk-yritykset). Riskiperusteisen lähestymistavan mukaan ei olisi tarkoituksenmukaista säätää poikkeuksista toimijoiden koon perusteella, sillä yritysten koko ei itsessään ilmennä riskejä, joita niiden suorittama henkilötietojen käsittely voi yksittäisille henkilöille aiheuttaa. Useat tietosuojaviranomaiset ovat ottaneet käyttöön käytännön välineitä helpottaakseen tietosuoja-asetuksen täytäntöönpanoa pk-yrityksissä, joiden käsittelytoimiin ei liity suuria riskejä. Tällaisia toimia olisi tehostettava ja laajennettava, mieluiten yhteisen eurooppalaisen lähestymistavan puitteissa, jottei toimilla luoda esteitä sisämarkkinoille.
Tietosuojaviranomaiset ovat kehittäneet erilaisia toimia auttaakseen pk-yrityksiä noudattamaan yleistä tietosuoja-asetusta. Tarjolla on esimerkiksi malleja henkilötietojen käsittelyä koskevien sopimusten ja käsittelytoimista pidettävien rekisteriselosteiden laatimista varten, sekä seminaareja ja neuvontapuhelimia. Monet näistä aloitteista ovat saaneet EU:n rahoitusta. 50 Olisi harkittava lisätoimia, joilla voitaisiin helpottaa yleisen tietosuoja-asetuksen soveltamista pk-yrityksissä.
Yleinen tietosuoja-asetus tarjoaa useita välineitä, kuten käytännesääntöjä, sertifiointimekanismeja ja vakiosopimuslausekkeita, joiden avulla kaikenlaisten yritysten ja organisaatioiden on helpompi osoittaa noudattavansa tietosuojasääntöjä. Näitä välineitä olisi hyödynnettävä kaikilta osin. Pk-yritykset pitävät tärkeinä ja hyödyllisinä erityisesti omaan tilanteeseensa räätälöityjä käytännesääntöjä, joista ei aiheudu kohtuuttomia kustannuksia. Sertifiointimekanismeissa yleisen tietosuoja-asetuksen kannalta olennaisia tekijöitä ovat turvallisuus (myös kyberturvallisuus) ja sisäänrakennettu tietosuoja, ja niitä varten olisi hyvä saada aikaan yhteinen, kunnianhimoinen lähestymistapa kaikkialla EU:ssa. Komissio laatii parhaillaan rekisterinpitäjien ja henkilötietojen käsittelijöiden välisiä vakiosopimuslausekkeita 51 kansainvälisiä tiedonsiirtoja koskevien vakiosopimuslausekkeiden 52 modernisointia koskevan työn pohjalta.
Yleisen tietosuoja-asetuksen soveltaminen uusiin teknologioihin
Yleinen tietosuoja-asetus on laadittu teknologianeutraalisti tiettyjen periaatteiden pohjalta, minkä vuoksi sitä voidaan soveltaa myös uusiin teknologioihin sitä mukaa kuin niitä kehitetään.
Yleistä tietosuoja-asetusta pidetään olennaisena ja joustavana välineenä sen varmistamisessa, että uusien teknologioiden kehittämisessä noudatetaan perusoikeuksia. Tietosuojaa ja yksityisyyden suojaa koskeva lainsäädäntökehys on osoittanut merkityksensä ja joustavuutensa covid-19-kriisin aikana erityisesti jäljityssovellusten ja muiden epidemian torjunnassa käytettävien teknisten ratkaisujen suunnittelun yhteydessä. Tulevaisuuden haasteet liittyvät muun muassa sen selvittämiseen, miten hyviksi havaittuja periaatteita voidaan soveltaa yksittäisiin teknologioihin, kuten tekoälyyn, lohkoketjuteknologiaan, esineiden internetiin tai kasvojentunnistukseen, jotka edellyttävät jatkuvaa seurantaa. Esimerkiksi tekoälyä koskevassa komission valkoisessa kirjassa 53 avattiin julkinen keskustelu siitä, olisiko joissain olosuhteissa mahdollisesti oikeutettua käyttää tekoälyä biometriseen etätunnistukseen (kuten kasvojentunnistukseen) julkisilla paikoilla, ja siitä, mitä yhteisiä suojatoimia tämä edellyttäisi. Tietosuojaviranomaisten olisi oltava tältä osin valmiit osallistumaan teknisiin suunnitteluprosesseihin jo varhaisessa vaiheessa.
Yksilöiden suojelemiseksi on myös olennaisen tärkeää, että yleisen tietosuoja-asetuksen noudattamista digitaalisilla alustoilla ja integroiduissa yrityksissä valvotaan tiukasti ja tuloksellisesti, myös verkkomainonnan ja mikrokohdentamisen osalta.
Modernien kansainvälisten tiedonsiirtovälineiden kehittäminen
Yleinen tietosuoja-asetus tarjoaa modernit välineet, joiden avulla voidaan helpottaa henkilötietojen siirtoa EU:sta kolmanteen maahan ja kansainvälisiin järjestöihin ja varmistaa samalla tietosuojan korkea taso. Kuluneiden kahden vuoden aikana komissio on lisännyt panostustaan työhön, jonka tavoitteena on hyödyntää yleisen tietosuoja-asetuksen tarjoamien välineiden koko potentiaali.
Tätä varten on muun muassa pidetty aktiivisesti yhteyttä keskeisiin kumppaneihin tietosuojan tason riittävyyden varmistamiseksi. Kun tietosuojan taso on todettu riittäväksi, tätä koskeva päätös mahdollistaa henkilötietojen vapaan ja turvallisen siirtämisen kyseiseen kolmanteen maahan ilman, että tietojen viejän tarvitsee toteuttaa muita suojatoimia tai hakea siirtoon erillistä lupaa. Hyvä esimerkki tästä ovat helmikuussa 2019 voimaan tulleet EU:n ja Japanin tietosuojan tason riittävyyttä koskevat vastavuoroiset päätökset, joilla on luotu maailman suurin vapaan ja turvallisen tiedonsiirron alue. Tietosuojan tason riittävyyttä koskeva prosessi on pitkällä myös Korean tasavallan kanssa, ja alustavia keskusteluja käydään myös muiden tärkeiden Aasian ja Latinalaisen Amerikan kumppaneiden kanssa.
Tietosuojan tason riittävyyttä koskevalla päätöksellä on keskeinen merkitys myös Yhdistyneen kuningaskunnan kanssa solmittavan tulevan suhteen kannalta, jos edellytykset tällaisen päätöksen tekemiselle täyttyvät. Päätös on tärkeä kaupankäynnin, myös sähköisen kaupankäynnin, mahdollistava tekijä ja välttämätön edellytys tiiviille ja kunnianhimoiselle yhteistyölle lainvalvonnan ja turvallisuuden alalla. Korkea lähentymisaste tietosuojan alalla on tärkeää myös tasapuolisten toimintaedellytysten varmistamiseksi kahden näin pitkälle yhdentyneen talouden välillä. Kuten Euroopan unionin ja Yhdistyneen kuningaskunnan tulevaa suhdetta koskevasta kehyksestä annetussa poliittisessa julistuksessa edellytetään, komissio laatii parhaillaan riittävyysarviointia sekä yleisen tietosuoja-asetuksen että lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta annetun direktiivin 54 nojalla.
Tämän yleistä tietosuoja-asetusta koskevan ensimmäisen arvioinnin osana komission on tarkasteltava myös aiempien sääntöjen 55 nojalla tehtyjä tietosuojan tason riittävyyttä koskevia päätöksiä. Komission yksiköt ovat käyneet tiivistä vuoropuhelua asianomaisten 11 kolmannen maan ja alueen 56 kanssa sen arvioimiseksi, miten niiden tietosuojajärjestelmät ovat kehittyneet tietosuojan tason riittävyyttä koskevan päätöksen tekemisen jälkeen ja täyttävätkö ne yleisessä tietosuoja-asetuksessa asetetut vaatimukset. Koska nämä päätökset ovat keskeinen kaupan ja kansainvälisen yhteistyön väline, tarve varmistaa niiden voimassaolon jatkuminen on yksi tekijä, joka on kannustanut monia näistä maista ja alueista uudistamaan ja vahvistamaan yksityisyyden suojaa koskevaa lainsäädäntöään. Joidenkin maiden ja alueiden kanssa keskustellaan täydentävistä suojatoimista tietosuojan tasossa havaittujen erojen korjaamiseksi. Koska unionin tuomioistuin saattaa 16. heinäkuuta annettavassa tuomiossaan tarkentaa joitakin tietosuojan tason riittävyyteen liittyviä tekijöitä, komissio raportoi voimassa olevien päätösten arvioinnista erikseen sen jälkeen kun tuomioistuin on antanut tuomionsa kyseisessä asiassa 57 .
Tietosuojan tason riittävyyttä koskevan työnsä lisäksi komissio valmistelee vakiosopimuslausekkeiden kattavaa uudistamista, jotta ne voidaan päivittää yleisellä tietosuoja-asetuksella käyttöön otettujen uusien vaatimusten mukaisesti. Tarkoituksena on ottaa paremmin huomioon käsittelytoimien todellisuus modernissa digitaalitaloudessa ja pohtia mahdollisia tarpeita muun muassa unionin tuomioistuimen tulevan oikeuskäytännön 58 valossa, jotta tiettyjä suojatoimia voidaan edelleen tarkentaa. Kyseiset lausekkeet ovat ylivoimaisesti eniten käytetty tiedonsiirtomekanismi, sillä tuhannet EU:n yritykset käyttävät niitä tarjotakseen erilaisia palveluja asiakkailleen, tavarantoimittajilleen, kumppaneilleen ja työntekijöilleen.
Myös tietosuojaneuvosto on osallistunut aktiivisesti yleisen tietosuoja-asetuksen kansainvälisten näkökohtien kehittämiseen. Tämä tarkoittaa muun muassa nykyisiä siirtomekanismeja koskevien ohjeiden, kuten yrityksiä koskevien sitovien sääntöjen ja nk. poikkeusten, päivittämistä sekä lainsäädäntökehyksen laatimista yleisellä tietosuoja-asetuksella perustettujen uusien välineiden, eli käytännesääntöjen ja sertifioinnin, käyttöä varten.
Jotta sidosryhmät voisivat hyödyntää yleisen tietosuoja-asetuksen tarjoamia tiedonsiirtovälineitä kaikilta osin, tietosuojaneuvoston on tärkeää lisätä panostusta erilaisiin siirtomekanismeihin liittyviin meneillään oleviin toimiin. Tätä varten olisi esimerkiksi edelleen virtaviivaistettava yrityksiä koskevien sitovien sääntöjen hyväksymisprosessia, viimeisteltävä käytännesääntöjen ja sertifioinnin käyttöä tiedonsiirroissa koskevat ohjeet ja selvennettävä kansainvälisiä tiedonsiirtoja koskevien sääntöjen (V luku) ja yleisen tietosuoja-asetuksen alueellista soveltamisalaa koskevien sääntöjen (3 artikla) keskinäistä vuorovaikutusta.
Toinen EU:n tietosuojasääntöjen kansainvälistä ulottuvuutta koskeva tärkeä näkökohta on asetuksen laajennettu alueellinen soveltamisala, joka kattaa myös EU:n markkinoilla toimivien ulkomaisten toimijoiden käsittelytoimet. Yleisen tietosuoja-asetuksen tosiasiallisen noudattamisen ja aidosti tasapuolisten toimintaedellytysten varmistamiseksi on olennaisen tärkeää, että tietosuojaviranomaiset ottavat tämän soveltamisalan laajennuksen asianmukaisesti huomioon täytäntöönpanotoimissa. Toimissa olisi mahdollisuuksien mukaan oltava mukana rekisterinpitäjän tai henkilötietojen käsittelijän edustaja EU:ssa, jotta tähän voidaan ottaa yhteyttä EU:n ulkopuolelle sijoittautuneen yrityksen lisäksi tai sen sijasta. Tällaista lähestymistapaa olisi noudatettava tiukemmin, jotta voidaan antaa selkeä viesti siitä, että ulkomainen toimija ei voi vapautua yleisen tietosuoja-asetuksen mukaisista velvollisuuksista sillä perusteella, että se ei ole sijoittautunut EU:n alueelle.
Lähentymisen ja kansainvälisen yhteistyön edistäminen tietosuojan alalla
Yleisestä tietosuoja-asetuksesta on jo tullut keskeinen vertailukohta kansainvälisellä tasolla, ja se on kannustanut monia maita eri puolilla maailmaa harkitsemaan nykyaikaisten tietosuojasääntöjen käyttöönottoa. Tällainen maailmanlaajuinen lähentyminen on erittäin myönteinen kehityssuuntaus. Se tarjoaa uusia mahdollisuuksia suojella yksilöitä paremmin myös EU:ssa, kun heidän tietojaan siirretään ulkomaille, ja helpottaa samalla tietovirtoja.
Tämän suuntauksen pohjalta komissio on tiivistänyt vuoropuheluaan useilla kahden- ja monenvälisillä sekä alueellisilla foorumeilla edistääkseen yksityisyyden suojan kunnioittamisen kulttuuria maailmanlaajuisesti ja kehittääkseen erilaisten yksityisyyden suojajärjestelmien lähentymiseen vaikuttavia tekijöitä. Näissä toimissa komissio on tukeutunut Euroopan ulkosuhdehallinnon ja kolmansissa maissa ja kansainvälisissä järjestöissä toimivien EU:n edustustojen verkoston aktiiviseen tukeen ja luottaa siihen myös jatkossa. Tämän ansiosta on myös voitu varmistaa paremmin EU:n toimenpiteiden ulkoisten näkökohtien yhdenmukaisuus ja keskinäinen täydentävyys – olipa kyseessä kauppa tai EU:n ja Afrikan välinen uusi kumppanuus. Myös G20- ja G7-ryhmät ovat äskettäin tunnustaneet, että tietosuoja edistää luottamusta digitaalitalouteen ja tiedonsiirtoihin, erityisesti ”Data Free Flow with Trust” -aloitteen myötä, jonka Japani alun perin esitti G20-ryhmän puheenjohtajuuskaudellaan. 59 Datastrategian mukaan komissio aikoo jatkaa tietojen yhteiskäyttöä luotettavien kumppanien kanssa samalla kun torjutaan tietojen väärinkäyttöä, kuten (ulkomaisten) viranomaisten kohtuutonta pääsyä henkilötietoihin.
Samalla kun komissio edistää tietosuojavaatimusten lähentämistä kansainvälisellä tasolla keinona helpottaa tietovirtoja ja sitä kautta kauppaa, se torjuu määrätietoisesti digitaalista protektionismia, kuten datastrategiassa hiljattain todettiin. 60 Siksi komissio on laatinut kauppasopimuksia varten erityisiä määräyksiä tietovirroista ja tietosuojasta 61 ja sisällyttää ne järjestelmällisesti kahdenvälisiin neuvotteluihin – joita on käyty viimeksi Australian, Uuden-Seelannin ja Yhdistyneen kuningaskunnan kanssa – ja myös monenvälisiin neuvotteluihin, kuten parhaillaan käynnissä oleviin sähköistä kaupankäyntiä koskeviin WTO:n keskusteluihin. 62 Tällaisilla horisontaalisilla määräyksillä suljetaan pois perusteettomat rajoitukset, kuten tietojen sijaintia koskevat pakottavat vaatimukset, mutta säilytetään osapuolten vapaus sääntelyn keinoin suojella tietosuojaa perusoikeutena.
Kauppaa ja tietosuojaa koskevien välineiden keskinäistä synergiaa olisi siksi tutkittava edelleen, jotta voidaan varmistaa tietovirtojen vapaa ja turvallinen kansainvälinen liikkuvuus, koska ne ovat olennaisen tärkeitä eurooppalaisten yritysten, mm. pk-yritysten, liiketoiminnan, kilpailukyvyn ja kasvun edistämiseksi yhä digitalisoituneemmassa taloudessa.
Vastaavasti on tärkeää varmistaa, että kun Euroopan markkinoilla toimiville yrityksille esitetään oikeutettu pyyntö sallia tietojen yhteiskäyttö lainvalvontatarkoituksia varten, ne voivat tehdä niin joutumatta kohtaamaan lainvalintaan liittyviä ongelmia ja EU:n perusoikeuksia noudatetaan kaikilta osin. Tällaisten siirtojen parantamiseksi komissio on sitoutunut kehittämään kansainvälisten kumppaniensa kanssa asianmukaisen lainsäädäntökehyksen, jonka avulla voidaan välttää lainvalintaan liittyvät ongelmat ja tukea tuloksellisia yhteistyömuotoja, erityisesti tarjoamalla tarvittavat tietosuojatakeet ja lisäämällä siten rikoksentorjunnan vaikuttavuutta.
Aikana, jolloin yksityisyyden suojaa koskevien sääntöjen noudattamiseen liittyvät ongelmat tai tietoturvaloukkaukset voivat vaikuttaa suureen määrään ihmisiä samanaikaisesti useilla lainkäyttöalueilla, käytännön yhteistyötä eurooppalaisten ja kansainvälisten sääntelyviranomaisten kesken olisi lujitettava entisestään. Tämä edellyttää erityisesti sellaisten oikeudellisten välineiden kehittämistä, joilla luodaan puitteet tiiviimmälle yhteistyölle ja keskinäiselle avunannolle esimerkiksi mahdollistamalla tarvittava tietojenvaihto tutkintatoimien yhteydessä. Tätä silmällä pitäen komissio aikookin perustaa ns. tietosuoja-akatemian eli alustan, jossa EU:n ja ulkomaiset tietosuojaviranomaiset voivat jakaa tietämystä, kokemuksia ja parhaita käytäntöjä helpottaakseen ja tukeakseen yhteistyötä yksityisyyden suojan noudattamisen valvonnasta vastaavien tahojen välillä.
3Tulevat toimet
Jotta yleisen tietosuoja-asetuksen koko potentiaali saataisiin käyttöön, on tärkeää luoda yhdenmukainen lähestymistapa ja yhteinen eurooppalainen tietosuojakulttuuri sekä edistää rajatylittävien tapausten tehokkaampaa ja yhdenmukaisempaa käsittelyä. Tätä odottavat sekä kansalaiset että yritykset, ja se onkin EU:n tietosuojasääntöjen uudistamisessa keskeinen tavoite. On myös tärkeää huolehtia siitä, että kaikkia yleisen tietosuoja-asetuksen tarjoamia välineitä hyödynnetään kaikilta osin sen varmistamiseksi, että asetusta sovelletaan tehokkaasti sekä yksilöiden että yritysten kannalta.
Komissio jatkaa kahdenvälistä yhteydenpitoa jäsenvaltioiden kanssa yleisen tietosuoja-asetuksen täytäntöönpanoon liittyvissä asioissa ja soveltaa tarvittaessa edelleen kaikkia käytettävissään olevia välineitä edistääkseen asetukseen perustuvien velvoitteiden noudattamista jäsenvaltioissa.
Koska kansallisen lainsäädännön arviointi komissiossa on vielä kesken ja yleisen tietosuoja-asetuksen soveltamisesta on saatu vasta vähän kokemusta ja alakohtaisen lainsäädännön tarkistaminen jatkuu yhä monissa jäsenvaltioissa, on vielä liian aikaista tehdä lopullisia päätelmiä soveltamisen hajanaisuudesta. Täsmentämistä koskevien lausekkeiden täytäntöönpanosta jäsenvaltioissa johtuvien mahdollisten lainvalintaongelmien tarkastelua varten on saatava ensin parempi käsitys siitä, mitä seurauksia niistä aiheutuu rekisterinpitäjille ja tietojen käsittelijöille. 63
Näihin kysymyksiin liittyvien jatkotoimien osalta kansallisten tuomioistuinten ja Euroopan unionin tuomioistuimen asiaa koskeva oikeuskäytäntö edistää osaltaan tietosuojasääntöjen yhtenäisen tulkinnan muodostamista. Kansalliset tuomioistuimet ovat hiljattain antaneet tuomioita, joilla mitätöidään yleisestä tietosuoja-asetuksesta poikkeavat kansalliset säädökset. 64
Kansainvälisen ulottuvuuden osalta komissio keskittyy jatkossakin edistämään tietosuojasääntöjen lähentämistä keinona varmistaa tietovirtojen turvallisuus. Nämä toimet liittyvät toimintaketjun alkupäähän, kuten parhaillaan tehtävään tietosuojalainsäädäntöjen uudistamiseen joko uusien säädösten tai päivitysten muodossa, sekä ”Data Free Flow with Trust” -aloitteen edistämiseen monenvälisillä foorumeilla. Toiminta käsittää myös useita tietosuojan tason riittävyyttä koskevia vuoropuheluja sekä siirtovälineistön modernisoinnin ja laajentamisen vakiosopimuslausekkeita päivittämällä ja luomalla perusta sertifiointimekanismeille. Lisäksi käydään kansainvälisiä neuvotteluja esimerkiksi rajatylittävästä sähköisestä todistusaineistosta sen varmistamiseksi, että siihen liittyvät tiedonsiirrot toteutetaan asianmukaisia tietosuojatakeita noudattaen. Komissio pyrkii edistämään lähentymistä käytännön tasolla osallistumalla tietosuojan noudattamisen valvonnasta vastaavien tahojen välillä käytäviin kansainvälistä yhteistyötä ja vastavuoroista avunantoa koskeviin neuvotteluihin.
Jäljempänä luetellut toimet perustuvat arvioon yleisen tietosuoja-asetuksen soveltamisesta toukokuusta 2018 lähtien. Toimet katsotaan tarpeellisiksi asetuksen soveltamisen tukemista varten. Komissio seuraa toimien täytäntöönpanoa myös vuonna 2024 laadittavaa seuraavaa arviointikertomusta silmällä pitäen.
Lainsäädäntökehyksen täytäntöönpano ja täydentäminen
Jäsenvaltioiden olisi
-saatettava päätökseen alakohtaisen lainsäädäntönsä yhdenmukaistaminen yleisen tietosuoja-asetuksen kanssa;
-harkittava sellaisten täsmennyslausekkeiden käytön rajoittamista, jotka voivat aiheuttaa hajanaisuutta ja vaarantaa henkilötietojen vapaan liikkuvuuden EU:ssa;
-arvioitava, pysyykö niiden kansallinen täytäntöönpanolainsäädäntö kaikissa olosuhteissa jäsenvaltioiden lainsäädännölle sallitun liikkumavaran puitteissa.
Komissio aikoo
-jatkaa jäsenvaltioiden kanssa kahdenvälistä yhteydenpitoa, jossa tarkastellaan kansallisten lainsäädäntöjen yhdenmukaisuutta yleisen tietosuoja-asetuksen kanssa sekä jäsenvaltioiden tietosuojaviranomaisten riippumattomuutta ja niiden resursseja; hyödyntää jatkossakin kaikkia käytössään olevia välineitä, myös rikkomusmenettelyjä, varmistaakseen, että jäsenvaltiot noudattavat yleistä tietosuoja-asetusta;
-tukea myös jatkossa näkemysten ja kansallisten käytäntöjen vaihtoa jäsenvaltioiden välillä seikoista, joita jäsenvaltiot voivat täsmentää kansallisella tasolla, vähentääkseen hajanaisuutta sisämarkkinoilla esimerkiksi terveyteen ja tutkimukseen liittyvien henkilötietojen käsittelyssä, ja seikoista, joiden yhteydessä on otettava huomioon myös muita oikeuksia, kuten sananvapaus;
-tukea tietosuojakehyksen yhdenmukaista soveltamista uusiin teknologioihin innovoinnin ja teknologisen kehityksen edistämiseksi;
-helpottaa jäsenvaltioiden ja komission välisiä keskusteluja ja kokemusten vaihtoa yleistä tietosuoja-asetusta käsittelevän jäsenvaltioiden asiantuntijaryhmän avulla (ryhmä perustettiin siirtymävaiheessa ennen kuin yleisen tietosuoja-asetuksen soveltaminen alkoi);
-selvittää, olisiko yleisen tietosuoja-asetuksen soveltamisesta saatavan kokemuksen ja asiaa koskevan oikeuskäytännön perusteella aiheellista ehdottaa tulevaisuudessa joidenkin asetuksen säännösten kohdennettua tarkistamista; tämä koskee erityisesti henkilötietojen käsittelytoimista laadittavia selosteita pk-yrityksissä, joissa henkilötietojen käsittely ei ole osa ydinliiketoimintaa (vähäinen riski) 65 , ja olisiko tietoyhteiskunnan palveluihin liittyvää lapsen suostumusta koskeva ikäraja mahdollisesti yhdenmukaistettava.
Uuden hallintojärjestelmän koko potentiaali käyttöön
Tietosuojaneuvostoa ja tietosuojaviranomaisia kehotetaan
-kehittämään tietosuojaviranomaisten kesken yhteistyö- ja yhdenmukaisuusmekanismien toimintaa koskevia tehokkaita järjestelyjä, joissa otetaan huomioon myös menettelyihin liittyvät näkökohdat, jäsentensä asiantuntemuksen pohjalta ja sihteeristön osallistumista vahvistamalla;
-tukemaan yleisen tietosuoja-asetuksen soveltamisen ja täytäntöönpanon yhdenmukaistamista hyödyntäen kaikkia niiden käytettävissä olevia keinoja, muun muassa selventämällä edelleen asetuksen keskeisiä käsitteitä ja varmistamalla, että kansalliset ohjeet ovat täysin tietosuojaneuvoston antamien ohjeiden mukaisia;
-edistämään kaikkien yleisessä tietosuoja-asetuksessa säädettyjen välineiden käyttöä sen varmistamiseksi, että sitä sovelletaan yhdenmukaisesti;
-panostamaan enemmän tietosuojaviranomaisten väliseen yhteistyöhön esimerkiksi suorittamalla yhteisiä tutkintatoimia.
Komissio aikoo
-seurata myös jatkossa tiiviisti, että kansalliset tietosuojaviranomaiset toimivat tuloksellisesti ja täysin riippumattomasti;
-kannustaa lainsäätäjiä tekemään yhteistyötä (erityisesti kilpailun, sähköisen viestinnän, verkko- ja tietojärjestelmien turvallisuuden ja kuluttajapolitiikan aloilla);
-tukea tietosuojaneuvostossa käytävää keskustelua kansallisten tietosuojaviranomaisten soveltamista menettelyistä rajatylittävissä tapauksissa tehtävän yhteistyön kehittämiseksi.
Jäsenvaltioiden on
-osoitettava tietosuojaviranomaisille resurssit, jotka ne tarvitsevat tehtäviensä hoitamiseen.
Sidosryhmien tukeminen
Tietosuojaneuvostoa ja tietosuojaviranomaisia kehotetaan
-laatimaan sidosryhmiä kuullen lisää käytännöllisiä ja helposti ymmärrettäviä ohjeita, joissa annetaan selkeitä vastauksia ja vältetään monitulkintaisuutta yleisen tietosuoja-asetuksen soveltamiseen liittyvissä kysymyksissä, kuten lasten henkilötietojen käsittely ja yksilön oikeuksien käyttäminen (muun muassa oikeus tutustua omiin tietoihin ja poistaa niitä);
-tarkistamaan ohjeita, jos lisäselvennykset ovat tarpeen saatujen kokemusten ja esimerkiksi unionin tuomioistuimen oikeuskäytännön kehityksen perusteella;
-kehittämään käytännön välineitä, kuten yhdenmukaistettuja lomakkeita tietoturvaloukkauksista ilmoittamista varten ja yksinkertaistettuja selosteita käsittelytoimista, jotta vähäriskisten pk-yritysten on helpompi täyttää velvollisuutensa.
Komissio aikoo
-laatia vakiosopimuslausekkeet sekä kansainvälisiä tiedonsiirtoja että rekisterinpitäjän ja tietojen käsittelijän välistä suhdetta varten;
-tarjota välineitä, joilla voidaan selventää/tukea tietosuojasääntöjen soveltamista lapsiin; 66
-tutkia datastrategian mukaisesti käytännön keinoja helpottaa tietojen siirtämistä koskevan oikeuden käyttöä esimerkiksi antamalla yksilölle laajempi määräysvalta sen suhteen, kenellä on pääsy koneellisesti tuotettuihin tietoihin ja oikeus käyttää niitä;
-tukea standardointia/sertifiointia erityisesti kyberturvallisuusnäkökohtien osalta yhteistyössä EU:n kyberturvallisuusviraston (ENISA), tietosuojaviranomaisten ja tietosuojaneuvoston kanssa;
-käyttää tarvittaessa oikeuttaan pyytää tietosuojaneuvostoa laatimaan ohjeita ja lausuntoja sidosryhmien kannalta erityisen merkittävistä kysymyksistä;
-antaa tarvittaessa ohjeita, tietosuojaneuvoston asemaa kaikilta osin kunnioittaen;
-tukea tietosuojaviranomaisten toimintaa, jonka tarkoituksena on helpottaa yleiseen tietosuoja-asetukseen perustuvien velvollisuuksien noudattamista pk-yrityksissä, antamalla niille rahoitustukea erityisesti sellaisten käytännön ohjeiden ja digitaalisten välineiden laatimiseen, joita voidaan levittää myös muissa jäsenvaltioissa.
Innovoinnin edistäminen
Komissio aikoo
-seurata yleisen tietosuoja-asetuksen soveltamista uusiin teknologioihin, ottaen huomioon myös mahdolliset tekoälyä koskevat ja datastrategiaan liittyvät uudet aloitteet;
-kannustaa laatimaan EU:n käytännesääntöjä terveyden ja tutkimuksen alalla, myös myöntämällä rahoitustukea;
-seurata tiiviisti covid-19-pandemiaan liittyvien sovellusten kehittämistä ja käyttöä.
Tietosuojaneuvostoa kehotetaan
-antamaan ohjeita yleisen tietosuoja-asetuksen soveltamisesta tieteellisen tutkimuksen, tekoälyn, lohkoketjuteknologian ja mahdollisesti myös muun teknologian kehityksen alalla;
-tarkistamaan ohjeita, jos lisäselvennykset ovat tarpeen teknologian kehityksen perusteella.
Tiedonsiirtovälineiden jatkokehittäminen
Komissio aikoo
-jatkaa tietosuojan tason riittävyyttä koskevia vuoropuheluja asiasta kiinnostuneiden kolmansien maiden kanssa vuonna 2017 antamansa tiedonannon Henkilötietojen vaihtaminen ja suojaaminen globalisoituneessa maailmassa mukaisesti; mahdollisuuksien mukaan tässä yhteydessä käsitellään myös tietojen siirtämistä rikosoikeuden täytäntöönpanosta vastaaville viranomaisille (lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta annetun direktiivin nojalla) ja muille viranomaisille; tähän sisältyy tietosuojan tason riittävyyttä koskevan prosessin saattaminen päätökseen Korean tasavallan kanssa mahdollisimman pian;
-saattaa päätökseen voimassa olevien tietosuojan tason riittävyyttä koskevien päätösten arvioinnin ja raportoida siitä Euroopan parlamentille ja neuvostolle;
-saattaa päätökseen vakiosopimuslausekkeiden uudistamisen, jonka yhteydessä ne on tarkoitus päivittää yleisen tietosuoja-asetuksen mukaisesti, ottaen huomioon kaikki asiaankuuluvat siirtotilanteet ja erityisesti uudenaikaiset liiketoimintakäytännöt.
Tietosuojaneuvostoa kehotetaan
-selventämään lähemmin tiedonsiirtoja koskevien sääntöjen (V luku) ja yleisen tietosuoja-asetuksen alueellista soveltamisalaa koskevien sääntöjen (3 artikla) keskinäistä vuorovaikutusta;
-varmistamaan, että sääntöjen noudattamista valvotaan tehokkaasti myös niiden toimijoiden osalta, jotka ovat sijoittautuneet yleisen tietosuoja-asetuksen alueelliseen soveltamisalaan kuuluviin kolmansiin maihin, tarvittaessa myös edustajan nimeämisen osalta (27 artikla);
-nopeuttamaan yrityksiä koskevien sitovien sääntöjen arviointi- ja hyväksymisprosessia;
-saattamaan päätökseen tiedonsiirtovälineitä koskevien käytännesääntöjen ja sertifiointimekanismien suunnitteluun, menettelyihin ja arviointiperusteisiin liittyvä työ.
Lähentymisen edistäminen ja kansainvälisen yhteistyön kehittäminen
Komissio aikoo
-tukea kolmansissa maissa käynnissä olevia uudistusprosesseja, jotka koskevat uusia tai päivitettäviä tietosuojasääntöjä, jakamalla kokemuksia ja parhaita käytäntöjä;
-edistää yhdessä afrikkalaisten kumppanien kanssa sääntelyn lähentämistä ja tukea valvontaviranomaisten valmiuksien kehittämistä osana EU:n ja Afrikan uuden kumppanuuden digitaalista osiota;
-selvittää, miten yhteistyötä yksityisten toimijoiden ja lainvalvontaviranomaisten välillä voitaisiin helpottaa, muun muassa neuvottelemalla kahden- ja monenvälisistä tiedonsiirtokehyksistä, joissa säädettäisiin rikoslain täytäntöönpanosta vastaavien ulkomaiden viranomaisten pääsystä sähköiseen todistusaineistoon, niin että voidaan välttää lainvalintaan liittyvät ongelmat ja varmistaa samalla asianmukaiset tietosuojatakeet;
-tehdä yhteistyötä kansainvälisten ja alueellisten järjestöjen, mm. OECD:n, ASEANin ja G20-ryhmän, kanssa luotettavien tietovirtojen edistämiseksi korkeatasoisten tietosuojanormien pohjalta, myös Data Free Flow with Trust ‑aloitteen puitteissa;
-perustaa ”tietosuoja-akatemian” helpottamaan ja tukemaan yhteydenpitoa eurooppalaisten ja kansainvälisten sääntelyviranomaisten välillä;
-edistää kansainvälistä lainvalvontayhteistyötä valvontaviranomaisten välillä, muun muassa neuvottelemalla yhteistyötä ja keskinäistä avunantoa koskevia sopimuksia.
Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta, EUVL L 119, 4.5.2016, s. 1–88.
Sen jälkeen kun asetus sisällytettiin Euroopan talousalueesta (ETA) tehtyyn sopimukseen, sitä alettiin soveltaa myös Norjaan, Islantiin ja Liechtensteiniin.
Tähän lainsäädäntökehykseen kuuluvat myös lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojaa koskeva direktiivi (direktiivi 2016/680) ja unionin toimielinten, elinten ja laitosten tietosuoja-asetus (asetus 2018/1725).
Ehdotus Euroopan parlamentin ja neuvoston asetukseksi yksityiselämän kunnioittamisesta ja henkilötietojen suojasta sähköisessä viestinnässä ja direktiivin 2002/58/EY kumoamisesta (sähköisen viestinnän tietosuoja-asetus), COM(2017) 010 final – 2017/03 (COD).
Euroopan parlamentin ja neuvoston direktiivi 2002/58/EY, annettu 12 päivänä heinäkuuta 2002, henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla (sähköisen viestinnän tietosuojadirektiivi), EYVL L 201, 31.7.2002, s. 37–47.
https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age_fi
Komission tiedonanto Euroopan parlamentille, Eurooppa-neuvostolle, neuvostolle, Euroopan talous- ja sosiaalikomitealle ja alueiden komitealle – Euroopan vihreän kehityksen ohjelma, COM(2019) 640 final.
Komission tiedonanto Euroopan parlamentille, neuvostolle, Euroopan talous- ja sosiaalikomitealle ja alueiden komitealle – Euroopan datastrategia – COM(2020) 66 final.
Nämä kymmenen alakohtaista yhteistä eurooppalaista data-avaruutta koskevat seuraavia aloja: terveys, valmistusteollisuus, energia, liikkuvuus, maatalous, rahoitusdata, julkishallinto, osaaminen, vihreä kehitys sekä eurooppalaiset avoimen tieteen pilvipalvelut.
Ks. mm. Cisco’s Consumer Privacy Study 2019 ( https://www.cisco.com/c/dam/en/us/products/collateral/security/cybersecurity-series-2019-cps.pdf ). Tutkimukseen osallistui 2 600 kuluttajaa eri puolilla maailmaa. Sen mukaan huomattava osa kuluttajista on jo toteuttanut toimia yksityisyytensä suojelemiseksi esimerkiksi vaihtamalla yritystä tai palveluntarjoajaa tai tiedonjakokäytäntöjään.
YK:n pääsihteerin puhe Italian senaatissa 18. joulukuuta 2019 (saatavilla osoitteessa https://www.un.org/press/en/2019/sgsm19916.doc.htm ).
Yleisen tietosuoja-asetuksen lisäksi tähän lainsäädäntökehykseen kuuluu sähköisen viestinnän tietosuojadirektiivi (direktiivi 2002/58/EY), jossa säädetään muun muassa tietojen tallentamisesta käyttäjän laitteelle ja tällaisten tietojen käytöstä.
Komission tiedonanto Covid-19-pandemian torjuntaa tukevien sovellusten tietosuojaa koskevat ohjeet – 2020/C 124 I/01 – C/2020/2523 – EUVL C 124I, 17.4.2020, s. 1–9. EU:n jäsenvaltiot hyväksyivät koronaviruspandemian torjumiseksi 16. huhtikuuta 2020 komission tukemana EU:n periaatteet, joiden pohjalta mobiilisovelluksia voidaan käyttää lähikontaktien jäljittämiseen ja varoitusten antamiseen . Tämä on osa yhteistä koordinoitua lähestymistapaa, joka tukee rajoittamistoimenpiteiden asteittaista purkamista. https://ec.europa.eu/health/sites/health/files/ehealth/docs/covid-19_apps_en.pdf .
Komission ohjeet unionin tietosuojalainsäädännön soveltamisesta vaalien yhteydessä – Euroopan komission panos Salzburgissa 19.–20. syyskuuta 2018 pidettyyn johtajien kokoukseen, COM(2018) 638 final.
Neuvoston kanta yleisen tietosuoja-asetuksen soveltamiseen ja sitä koskevat havainnot:
https://data.consilium.europa.eu/doc/document/ST-14994-2019-REV-2/fi/pdf
Euroopan parlamentin kansalaisvapauksien sekä oikeus- ja sisäasioiden valiokunnan kirje komissaari Reyndersille, 21. helmikuuta 2020, viite: IPOL-COM-LIBE D (2020)6525.
Tietosuojaneuvoston 18. helmikuuta 2020 hyväksymä kannanotto tietosuoja-asetuksen 97 artiklan nojalla laadittavaa arviointia varten: https://edpb.europa.eu/our-work-tools/our-documents/other/contribution-edpb-evaluation-gdpr-under-article-97_en
https://edpb.europa.eu/individual-replies-data-protection-supervisory-authorities_en
Komission perustama monisidosryhmäinen asiantuntijaryhmä koostuu kansalaisyhteiskunnan ja yritysten edustajista, tutkijoista ja käytännön toimijoista:
https://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3537
Ks. esimerkiksi neuvoston kanta ja havainnot sekä tietosuojaneuvoston kannanotto.
Ks. komission yksiköiden valmisteluasiakirja, 2.1 kohta.
Jos jokin yritys käsittelee tietoja yli rajojen, toimivaltainen tietosuojaviranomainen on sen jäsenvaltion tietosuojaviranomainen, jossa yrityksen päätoimipaikka sijaitsee.
Ks. komission yksiköiden valmisteluasiakirja, 2.2 kohta.
Yhden luukun järjestelmässä käsiteltiin 25.5.2018 – 31.12.2019 yhteensä 141 päätösluonnosta, joista 79 johti lainvoimaiseen päätökseen.
Esimerkiksi kansalliset luettelot niistä käsittelytoimien tyypeistä, joiden yhteydessä vaaditaan asetuksen 35 artiklan nojalla tietosuojaa koskeva vaikutustenarviointi, olisi voitu yhdenmukaistaa paremmin.
Ks. komission yksiköiden valmisteluasiakirja, 2.2 kohta.
Erityisesti yritysmaailman ja kansalaisyhteiskunnan edustajia. Ks. komission yksiköiden valmisteluasiakirja, 2.3 kohta.
Nämä ohjeet täydentävät niitä kymmentä ohjetta, jotka 29 artiklan mukainen tietosuojatyöryhmä hyväksyi ennen yleisen tietosuoja-asetuksen voimaantuloa ja jotka tietosuojaneuvosto on vahvistanut. Tietosuojaneuvosto on myös hyväksynyt tammi–maaliskuussa 2020 neljä uutta ohjetta ja päivittänyt yhtä aiempaa ohjetta.
Lausunnoista 42 on annettu yleisen tietosuoja-asetuksen 64 artiklan nojalla. Yksi lausunto, joka koski Japanin tietosuojan tason riittävyyttä, on annettu yleisen tietosuoja-asetuksen 70 artiklan 1 kohdan nojalla.
Komission tiedonanto Euroopan parlamentille ja neuvostolle: Tietosuojasäännöt luottamuksen rakentajana EU:ssa ja sen ulkopuolella – tilannekatsaus, COM(2019) 374 final, 24.7.2019.
ETA-alueen tietosuojaviranomaisten henkilöstömäärä lisääntyi vuosina 2016–2019 kaikkiaan 42 % ja määrärahat 49 %.
Ks. komission yksiköiden valmisteluasiakirja, 2.4 kohta.
Viimeksi maaliskuussa 2020 päivätyllä komissaari Reyndersin kirjeellä.
Mainittakoon, että Slovenian kansallinen tietosuojaviranomainen on perustettu nykyisen kansallisen tietosuojalain nojalla ja että se valvoo yleisen tietosuoja-asetuksen soveltamista Sloveniassa.
Ks. komission yksiköiden valmisteluasiakirja, 3.1 kohta.
Ks. komission yksiköiden valmisteluasiakirja, 3.2 kohta.
Perusoikeuskirjan 52 artiklan 1 kohta.
Ks. komission yksiköiden valmisteluasiakirja, 3.1 kohta: Henkilötietojen suojaa koskevan oikeuden yhteensovittaminen sananvapauden ja tiedonvälityksen vapauden kanssa.
Komissio on tilannut selvityksen ”Assessment of the Member States’ rules on health data in the light of GDPR”, jossa tarkastellaan terveystietoja koskevia jäsenvaltioiden sääntöjä yleisen tietosuoja-asetuksen valossa (Chafea/2018/Health/03, yksittäinen hankintasopimus N:o 2019 70 01).
Ks. datastrategiassa mainitut toimet, s. 30.
EU:n perusoikeusvirasto (2020): Perusoikeusraportti 2019. Tietosuoja ja teknologia: https://fra.europa.eu/fi/publication/2020/fundamental-rights-survey-data-protection
Kun ehdotus direktiiviksi kuluttajien yhteisten etujen suojaamiseksi nostettavista edustajakanteista (COM(2018) 184 final – 2018/089 (COD)) hyväksytään, sen odotetaan vahvistavan edustajakanteita koskevaa lainsäädäntökehystä myös tietosuojan alalla.
Tällaisia välineitä voivat olla esimerkiksi suostumuksenhallinnan välineet ja henkilötietojen hallintasovellukset.
https://ec.europa.eu/commission/presscorner/detail/fi/ip_20_962
Euroopan parlamentin ja neuvoston asetus (EU) 2018/1807, annettu 14 päivänä marraskuuta 2018, muiden kuin henkilötietojen vapaan liikkuvuuden kehyksestä Euroopan unionissa, EUVL L 303, 28.11.2018, s. 59–68.
Ks. komission yksiköiden valmisteluasiakirja, 5 kohta. Ks. myös komission tiedonanto Muiden kuin henkilötietojen vapaan liikkuvuuden kehyksestä Euroopan unionissa annettua asetusta koskevat ohjeet (COM(2019) 250 final), jossa selvennetään sekä henkilötietoja että muita tietotyyppejä yhdistelevien tietokokonaisuuksien (mixed datasets) käsittelyä koskevia sääntöjä yritysten ja etenkin pk-yritysten kannalta käytännönläheisellä tavalla.
Komissio on myöntänyt kolmen jakokierroksen puitteissa avustuksina yli 5 miljoonaa euroa. Kaksi viimeisintä jakokierrosta oli suunnattu erityisesti kansallisille tietosuojaviranomaisille, jotta ne voivat tukea yksilöitä ja pk-yrityksiä: https://ec.europa.eu/info/law/law-topic/data-protection/eu-data-protection-rules/eu-funding-supporting-implementation-gdpr_en . Vuonna 2020 tukea on tarkoitus myöntää vielä miljoona euroa.
Yleisen tietosuoja-asetuksen 28 artiklan nojalla.
Yleisen tietosuoja-asetuksen 46 artiklan nojalla.
Valkoinen kirja Tekoäly – Eurooppalainen lähestymistapa huippuosaamiseen ja luottamukseen, COM(2020) 65 final.
Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta, EUVL L 119, 4.5.2016, s. 89–131.
Euroopan parlamentin ja neuvoston direktiivi 95/46/EY, annettu 24 päivänä lokakuuta 1995, yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta, EYVL L 281, 23.11.1995, s. 31–50.
Kyseiset maat ja alueet ovat: Andorra, Argentiina, Färsaaret, Guernsey, Israel, Jersey, Kanada, Mansaari, Sveitsi, Uruguay ja Uusi-Seelanti.
Ks. asia C-311/18, Data Protection Commissioner v. Facebook Ireland Limited ja Maximillian Schrems (Schrems II), joka koskee nk. vakiosopimuslausekkeisiin liittyvää ennakkoratkaisupyyntöä. Tuomioistuin saattaa kuitenkin selventää myös tiettyjä tietosuojan tason riittävyyttä koskevia vaatimuksia.
Ks. asia Schrems II.
Ks. esim. G20-johtajien Osakan julkilausuma: https://www.consilium.europa.eu/media/40124/final_g20_osaka_leaders_declaration.pdf
Datastrategia, s. 23.
Ks. rajatylittäviä tietovirtoja ja henkilötietojen suojaa koskevien horisontaalisten määräysten teksti (EU:n kauppa- ja investointisopimuksissa): https://trade.ec.europa.eu/doclib/docs/2018/may/tradoc_156884.pdf
Sähköistä kaupankäyntiä koskeviin monenvälisiin neuvotteluihin osallistuu 84 WTO:n jäsentä, kuten Davosissa 25. tammikuuta 2019 annetussa ministerien yhteisessä julkilausumassa todetaan. Tämän prosessin yhteydessä EU esitti 3. toukokuuta 2019 ehdotuksensa sähköistä kaupankäyntiä koskeviksi säännöiksi ja velvoitteiksi. Ehdotus sisältää horisontaalisia määräyksiä tietovirroista ja henkilötietojen suojasta: https://trade.ec.europa.eu/doclib/docs/2019/may/tradoc_157880.pdf .
Ks. neuvoston kanta yleisen tietosuoja-asetuksen soveltamiseen ja sitä koskevat havainnot.
Tällaisia tuomioita on annettu Saksassa ja Espanjassa, kuten myös Itävallassa kansallisessa lainsäädännössä olevan puutteen korjaamiseksi.
Yleisen tietosuoja-asetuksen 30 artiklan 5 kohta.
Iän määrittelyssä käytettäviä välineitä koskeva komission hanke – pilottihankkeessa testataan yhteensopivaa teknistä infrastruktuuria lasten suojelemiseksi (mm. iän tarkistaminen ja vanhempien suostumus). Tavoitteena on tukea lasten suojelemiseen tähtäävien mekanismien toteuttamista lasten suojelua verkossa koskevan nykyisen EU:n lainsäädännön pohjalta.