Henkilöiden suojelu EU:n toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä
TIIVISTELMÄ ASIAKIRJASTA:
Asetus (EU) 2018/1725 luonnollisten henkilöiden suojelusta EU:n toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta
ASETUKSEN TARKOITUS
Asetuksella
- vahvistetaan säännöt siitä, miten EU:n toimielinten, elinten ja laitosten pitäisi käsitellä henkilötietoja*, joita niillä on luonnollisista henkilöistä
- puolustetaan henkilöiden perusoikeuksia ja -vapauksia ja erityisesti heidän oikeuttaan henkilötietojen suojaan ja yksityisyyteen
- yhdenmukaistetaan EU:n toimielinten, elinten ja laitosten säännöt yleisen tietosuoja-asetuksen (GDPR) ja toukokuusta 2018 alkaen sovelletun lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta annetun direktiivin (EU) 2016/680 säännösten kanssa
- kumotaan asetus (EY) N:o 45/2001, johon EU:n toimielinten, elinten ja laitosten suorittamaa henkilötietojen käsittelyä koskevat säännöt aiemmin sisältyivät, ja varmistetaan, että säännöt ovat yleisessä tietosuoja-asetuksessa asetettujen tiukkojen standardien mukaisia
- kumotaan Euroopan tietosuojavaltuutettua (EDPS) koskeva päätös N:o 1247/2002/EY.
TÄRKEIMMÄT KOHDAT
Henkilötietojen osalta on noudatettava seuraavia vaatimuksia:
- niitä on käsiteltävä lainmukaisesti, asianmukaisesti ja läpinäkyvästi
- ne on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten
- niiden on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista
- niiden on oltava täsmällisiä ja tarvittaessa päivitettyjä
- ne on säilytettävä siten, että henkilö on tunnistettavissa ainoastaan niin kauan, kuin on tarpeen
- niitä on käsiteltävä asianmukaisella luottamuksellisuudella.
Rekisterinpitäjä* vastaa siitä, että edellä mainittuja tietojenkäsittelyn periaatteita on noudatettu, ja sen on pystyttävä osoittamaan se.
Lisäksi henkilötietoja:
- voidaan siirtää EU:ssa olevalle vastaanottajalle, joka ei ole EU:n toimielin, elin tai laitos, vain lisäsuojatoimia soveltamalla
- voidaan siirtää EU:n ulkopuolelle vain tiukkojen ehtojen mukaisesti
- jotka paljastavat henkilön rodun tai etnisen alkuperän, poliittiset mielipiteet, uskonnollisen tai filosofisen vakaumuksen, ammattiliiton jäsenyyden, terveyttä tai luonnollisen henkilön seksuaalista elämää tai seksuaalista suuntautumista koskevia tietoja tai geneettisiä tai biometrisiä tietoja luonnollisen henkilön yksilöllistä tunnistamista varten, ei saa käsitellä muutoin kuin erityisolosuhteissa
- on suojattava asianmukaisesti, jos ne arkistoidaan yleisen edun vuoksi tai tieteellisiä, historiallisia tai tilastollisia tarkoituksia varten.
Pyynnöt henkilön suostumuksesta heidän tietojensa käyttöön on esitettävä helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä. Suostumuksen on oltava henkilön tekemä selvästi suostumuksen ilmaiseva toimi.
Henkilöillä (joita kutsutaan säädöksessä ”rekisteröidyiksi”) on oikeus
- peruuttaa suostumuksensa milloin tahansa, ja sen on oltava yhtä helppoa kuin suostumuksen antaminen
- tietää, että heidän henkilötietojaan käsitellään tai että niitä ei käsitellä, ja saada pääsy henkilötietoihin
- saada epätarkkoihin ja virheellisiin henkilötietoihin korjaus
- poistaa henkilötiedot tai rajoittaa niiden käsittelyä, kun tietyt ehdot täyttyvät
- saada rekisterinpitäjälle annetut henkilötietonsa jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa ja välittää ne toiselle rekisterinpitäjälle
- vastustaa henkilötietojensa käyttöä yleisen edun mukaisiin tarkoituksiin erityisen tilanteensa perusteella
- olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn ja jolla on heitä koskevia oikeusvaikutuksia
- tehdä kantelu Euroopan tietosuojavaltuutetulle, jos he katsovat, että heitä koskevien henkilötietojen käsittelyssä rikotaan asetusta
- oikeus saada korvaus EU:n toimielimen, elimen tai laitoksen toiminnasta heille aiheutuneesta aineellisesta tai aineettomasta vahingosta
- valtuuttaa voittoa tavoittelematon elin tekemään kantelu Euroopan tietosuojavaltuutetulle.
Rekisterinpitäjien on
- ilmoitettava rekisteröidyille yksinkertaisella kielellä ja tosiasiallisesti esimerkiksi tiedot rekisterinpitäjästä ja henkilötietojen käsittelyn tarkoituksesta, kun tällaisia tietoja kerätään
- vastattava rekisteröityjen pyyntöihin, esim. henkilötietoihin pääsyä tai niiden korjaamista koskeviin pyyntöihin, mahdollisimman nopeasti ja viimeistään kuukauden kuluessa
- toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten tietojen pseudonymisointi*, sen varmistamiseksi, että henkilötietojen käsittely on asetuksen mukaista
- käytettävä ainoastaan EU:n vaatimusten mukaisia henkilötietojen käsittelijöitä
- pidettävä yksityiskohtaisesti kirjaa vastuullaan olevasta henkilötietojen käsittelystä
- tehtävä yhteistyötä Euroopan tietosuojavaltuutetun kanssa
- ilmoitettava Euroopan tietosuojavaltuutetulle ja joissain tapauksissa myös asiaankuuluvalle henkilölle mahdollisimman pian mahdollisesta henkilötietojen tietoturvaloukkauksesta
- suoritettava tietosuojaa koskeva vaikutustenarviointi tietyn suuren riskin henkilötietojen käsittelyn osalta
- varmistettava sähköisten viestintäverkkojensa luottamuksellisuus ja turvallisuus
- ilmoitettava Euroopan tietosuojavaltuutetulle, kun ne laativat henkilötietojen käsittelyä koskevia hallinnollisia toimenpiteitä tai sisäisiä sääntöjä.
Säädöksellä perustetaan Euroopan tietosuojavaltuutettu (EDPS), joka nimitetään viiden vuoden toimikaudeksi. Toimikausi voidaan uusia kerran. Toimeen valittavan henkilön toimipaikka on Brysselissä, ja hän
- toimii täysin riippumattomasti
- pitää salassa kaikki luottamukselliset tiedot
- valvoo säädöksen soveltamista EU:n toimielimissä, elimissä ja laitoksissa
- edistää yleistä tietoisuutta ja ymmärrystä henkilötietojen käsittelystä
- käsittelee kanteluja ja suorittaa tutkimuksia
- varoittaa rekisterinpitäjiä ja määrää niille seuraamuksia
- saattaa asioita unionin tuomioistuimen käsiteltäväksi; unionin tuomioistuin käsittelee kaikki säädöstä koskevat riidat
- toimittaa vuosikertomuksen Euroopan parlamentille, neuvostolle ja Euroopan komissiolle
- tekee yhteistyötä kansallisten tietosuojavalvontaviranomaisten kanssa.
Euroopan tietosuojavaltuutetun työjärjestys
Euroopan tietosuojavaltuutetun työjärjestys hyväksytään 15. toukokuuta 2020 annetulla päätöksellä. Siinä säädetään yksityiskohtaisesti
- Euroopan tietosuojavaltuutetun tehtävä, ohjaavat periaatteet ja työskentelyn järjestäminen
- asetuksen soveltamisen seurannan ja varmistamisen toteuttaminen
- lainsäädäntöä koskevasta kuulemisesta, teknologian seurannasta, tutkimushankkeista ja oikeuskäsittelyistä
- yhteistyömenettelyistä kansallisten valvontaviranomaisten kanssa sekä kansainvälisestä yhteistyöstä.
EU:n toimielimiä, elimiä ja laitoksia koskevat erityissäännöt
Erityisiä sääntöjä sovelletaan EU:n elimiin ja laitoksiin, jotka käsittelevät operatiivisia henkilötietoja* lainvalvontatarkoituksessa (esim. Eurojust). Niitä käsitellään asetuksen erityisessä luvussa. Kyseisen luvun säännökset ovat lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta annetun direktiivin mukaisia. Kyseisten elinten ja laitosten perussäädöksissä voidaan lisäksi määrätä niiden erityispiirteiden huomioon ottamisesta.
Europolin ja Euroopan syyttäjänviraston suorittama operatiivisten henkilötietojen käsittely ei kuulu asetuksen soveltamisalaan, vaan siihen sovelletaan erityisiä säännöksiä, jotka sisältyvät kyseisiä elimiä koskeviin säädöksiin. Niiden henkilötietojen hallinnolliseen käsittelyyn (esimerkiksi henkilöstöhallinnon tarkoituksissa) sovelletaan kuitenkin tätä asetusta.
Tietosuojavastaavat
Reksiterinpitäjien on myös nimitettävä tietosuojavastaava toimikaudeksi, jonka pituus on kolmesta viiteen vuotta. Tietosuojavastaava
- antamaan henkilötietojen käsittelyä koskevia riippumattomia neuvoja
- seuraamaan tietosuojasäännösten noudattamista.
Raportointi
Euroopan komission on annettava ensimmäinen kertomuksensa asetuksen soveltamisesta viimeistään 30. huhtikuuta 2022.
MISTÄ ALKAEN ASETUSTA SOVELLETAAN?
Sitä on sovellettu 11. joulukuuta 2018 alkaen, lukuun ottamatta Eurojustin suorittamaa henkilötietojen käsittelyä, johon sitä on sovellettu 12. joulukuuta 2019 alkaen.
TAUSTAA
Euroopan unionin perusoikeuskirjan 8 artiklassa todetaan, että jokaisella on oikeus henkilötietojensa suojaan. Oikeutta kehitetään edelleen EU:n toiminnasta tehdyn sopimuksen 16 artiklassa. Kyseinen artikla on oikeusperusta tietosuojaa koskevalle EU:n lainsäädännölle.
Ks. lisätietoja:
KESKEISET TERMIT
Henkilötiedot. Kaikki tunnistettuun tai tunnistettavissa olevaan henkilöön liittyvät tiedot.
Rekisterinpitäjä. Mikä tahansa EU:n toimielin, elin tai laitos tai sen organisatorinen kokonaisuus, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.
Pseudonymisointi. Henkilötietojen käsittely siten, että henkilöä ei voida tunnistaa käyttämättä lisätietoja, jotka säilytetään erillään.
Operatiiviset henkilötiedot. Kaikki henkilötiedot, joita käsitellään lainvalvontatarkoituksessa.
ASIAKIRJA
Euroopan parlamentin ja neuvoston asetus (EU) N:o 2018/1725, annettu 23 päivänä lokakuuta 2018, luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta (EUVL L 295, 21.11.2018, s. 39–98)
MUUT ASIAAN LIITTYVÄT ASIAKIRJAT
Komission päätös (EU) 2020/969, annettu 3 päivänä heinäkuuta 2020, tietosuojavastaavaa, rekisteröityjen oikeuksia koskevia rajoituksia ja Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1725 soveltamista koskevista täytäntöönpanosäännöistä sekä komission päätöksen 2008/597/EY kumoamisesta (EUVL L 213, 6.7.2020, s. 12–22)
Euroopan tietosuojavaltuutetun päätös, 15 päivänä toukokuuta 2020, Euroopan tietosuojavaltuutetun työjärjestyksen vahvistamisesta (EUVL L 204, 26.6.2020, s. 49–59)
Euroopan tietosuojavaltuutetun päätös, 2 päivänä huhtikuuta 2019, sisäisistä säännöistä Euroopan tietosuojavaltuutetun toteuttaman toiminnan puitteissa tapahtuvaan henkilötietojen käsittelyyn liittyville rekisteröityjen tiettyjen oikeuksien rajoituksille (EUVL L 99I, 10.4.2019, s. 1–7)
Euroopan parlamentin ja neuvoston asetus (EU) N:o 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (EUVL L 119, 4.5.2016, s. 1–88)
Asetukseen (EU) 2016/679 tehdyt peräkkäiset muutokset on sisällytetty alkuperäiseen säädökseen. Konsolidoitu toisinto on tarkoitettu ainoastaan dokumentointitarkoituksiin.
Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680, annettu 27 päivänä huhtikuuta 2016 luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta (EUVL L 119, 4.5.2016, s. 89–131)
Ks. konsolidoitu toisinto.
Viimeisin päivitys: 14.01.2022