Euroopan tietosuojaneuvosto hyväksyi rekisterinpitäjiä ja henkilötietojen käsittelijöitä koskevan ohjeluonnoksen ja perusti työryhmän Schrems II:n mukaisille lisäsuojatoimenpiteille

8.9.2020 9.22
Uutinen

Euroopan tietosuojaneuvosto on hyväksynyt täysistunnossaan 3.9. kaksi ohjeluonnosta koskien rekisterinpitäjän ja henkilötietojen käsittelijän määritelmiä yleisessä tietosuoja-asetuksessa sekä kohdennusta sosiaalisessa mediassa. Lisäksi neuvosto perusti työryhmän laatimaan rekisterinpitäjille suosituksia Schrems II -ratkaisun edellyttämistä lisäsuojatoimenpiteistä tiedonsiirroille kolmansiin maihin. Toinen työryhmä perustettiin käsittelemään Schrems II -ratkaisuun liittyviä kanteluita.

Uudella ohjeistuksella selvennetään rekisterinpitäjän ja henkilötietojen käsittelijän käsitteiden määritelmiä EU:n yleisessä tietosuoja-asetuksessa. Ohjeessa tarkennetaan esimerkiksi, missä määrin yleinen tietosuoja-asetus on voimaan astuttuaan muuttanut näitä käsitteitä.

Selvennykset koskevat erityisesti yhteisrekisterinpitäjyyttä sekä henkilötietojen käsittelijöitä koskevia velvoitteita. Ohje sisältää muun muassa yksityiskohtaiset ohjeet kyseisten käsitteiden tärkeimmistä seurauksista rekisterinpitäjille, henkilötietojen käsittelijöille ja yhteisrekisterinpitäjille.

Tietosuojaneuvostolta käytännön ohjeita kohdentamiskäytäntöihin sosiaalisessa mediassa

Toinen neuvoston hyväksymä ohjeluonnos koskee käyttäjiin suunnattua kohdennusta sosiaalisen median palveluissa. Ohjeistuksen tarkoituksena on antaa sidosryhmien tueksi käytännön ohjeita ja esimerkkejä erilaisiin kohdentamiskäytäntöihin. Ohjeen päätavoitteena on selventää sosiaalisen median palvelujen tarjoajan ja kohdennuksen kohteena olevan henkilön rooleja ja vastuita.

Ohjeistuksessa määritellään muun muassa mahdolliset riskit yksilön vapauksille, keskeiset toimijat ja niiden roolit sekä keskeiset tietosuojavaatimukset. Lisäksi ohjeen aiheina ovat erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely sekä yhteisrekisterinpitäjien velvollisuudet.

Ohjetta rekisterinpitäjistä ja henkilötietojen käsittelijöistä (7/2020) sekä kohdentamista koskevaa ohjetta (8/2020) voi kommentoida 19.10. saakka tietosuojaneuvoston verkkosivuilla.

Työryhmä alkaa käsitellä kanteluita henkilötietojen siirrosta Yhdysvaltoihin

ETA-maiden tietosuojaviranomaisille on tehty yhteensä 101 samanlaista kantelua useista rekisterinpitäjistä alueen jäsenvaltioissa. Kantelut koskevat rekisterinpitäjien Googlen ja Facebookin palvelujen käyttöä, johon liittyy henkilötietojen siirtoa. Kantelijoita edustaa kansalaisjärjestö NOYB.

Kanteluissa väitetään, että Google ja Facebook siirtävät henkilötietoja Yhdysvaltoihin EU:n ja Yhdysvaltojen Privacy Shield -järjestelyn tai mallisopimuslausekkeiden perusteella, ja että unionin tuomioistuimen asiassa C-311/18 äskettäin antaman tuomion mukaan rekisterinpitäjä ei pysty varmistamaan kantelijoiden henkilötietojen riittävää suojaa. Työryhmä analysoi asiaa ja varmistaa neuvoston jäsenten tiiviin yhteistyön.

Uusi työryhmä laatimaan suosituksia lisäsuojatoimenpiteistä siirrettäessä tietoja kolmansiin maihin

Tietosuojaneuvosto on perustanut työryhmän laatimaan suosituksia, joilla autetaan rekisterinpitäjiä ja henkilötietojen käsittelijöitä ottamaan käyttöön asianmukaisia lisäsuojatoimenpiteitä riittävän tietosuojan varmistamiseksi, kun henkilötietoja siirretään kolmansiin maihin.

Euroopan tietosuojaneuvoston puheenjohtaja Andrea Jelinek toteaa neuvoston olevan hyvin tietoinen siitä, että Schrems II -päätös antaa rekisterinpitäjille merkittävän vastuun. Jelinekin mukaan tietosuojaneuvosto aikoo laatia suosituksia, joilla tuetaan rekisterinpitäjiä ja henkilötietojen käsittelijöitä heidän velvollisuudessaan yksilöidä ja panna täytäntöön oikeudellisia, teknisiä ja organisatorisia lisäsuojatoimenpiteitä, jotta ”olennainen vastaavuusstandardi” täyttyy tiedonsiirroissa.

Jelinek myös muistuttaa, että ei ole olemassa yhtä kaikille sopivaa nopeaa ratkaisua. Jokaisen organisaation on arvioitava omat tietojenkäsittelytoimensa sekä toteutettava tarvittavat toimenpiteet.

Lisätietoja:

Euroopan tietosuojaneuvoston tiedote: European Data Protection Board - Thirty-seventh Plenary session: Guidelines controller-processor, Guidelines targeting social media users, taskforce complaints CJEU Schrems II judgement, taskforce supplementary measures (4.9.2020)

Vastauksia yleisimpiin kysymyksiin Schrems II -tuomiosta rekisterinpitäjille (englanniksi)