Euroopan tietosuojaneuvosto julkaisi lopulliset versiot kolmesta ohjeesta – aiheina tiedonsiirrot ja sosiaalisen median käyttöliittymät
Euroopan tietosuojaneuvosto on hyväksynyt julkisen kuulemisen jälkeen lopulliset versiot kolmesta ohjeesta. Ohjeita täydennettiin ja päivitettiin saatujen kommenttien ja palautteen perusteella. Hyväksytyt ohjeet koskevat yleisen tietosuoja-asetuksen 3 artiklan soveltamisen ja kansainvälisiä siirtoja koskevien säännösten välistä suhdetta, sertifiointia tiedonsiirtojen välineenä sekä harhaanjohtavaa muotoilua sosiaalisen median alustojen käyttöliittymissä. Lisäksi tietosuojaneuvosto julkaisi työohjelmansa vuosille 2023–2024.
Ensimmäisessä hyväksytyssä ohjeessa selvennetään yleisen tietosuoja-asetuksen alueellisen soveltamisalan (3 artikla) ja V luvun kansainvälisiä siirtoja koskevien säännösten välistä vuorovaikutusta. Ohjeiden tarkoituksena on luoda yhteinen määrittely kansainvälisten siirtojen käsitteestä sekä auttaa rekisterinpitäjiä ja henkilötietojen käsittelijöitä tunnistamaan, onko käsittelytoimi kansainvälinen tiedonsiirto. Julkisen kuulemisen myötä ohjeeseen lisättiin erityisesti selvennys rekisterinpitäjän vastuualueisiin tilanteissa, joissa henkilötietojen käsittelijä on tietojen viejä. Esimerkeillä selvennettiin suoran tiedonkeruun näkökohtia sekä ilmaisua ”tietojen tuoja on kolmannessa maassa”. Ohjeeseen sisältyviä esimerkkejä täydennettiin tarkemmilla havainnollistuksilla liitteessä.
Ohjeet sertifioinnista siirtojen välineenä selventävät sertifioinnin käytännön soveltamista tiedonsiirtoihin. Ohjeet koostuvat neljästä osasta, joista kussakin keskitytään tiettyihin kokonaisuuksiin. Ohjeet täydentävät yleisempiä sertifiointia koskevia ohjeita 1/2018.
Ohjeissa harhaanjohtavasta muotoilusta sosiaalisen median käyttöliittymissä annetaan sosiaalisen median alustojen suunnittelijoille ja käyttäjille käytännön suosituksia siitä, miten yleisen tietosuoja-asetuksen vaatimuksia rikkovia käyttöliittymiä voidaan arvioida ja välttää. Ohjeissa muun muassa esitellään konkreettisia esimerkkejä harhaanjohtavan muotoilun tyypeistä ja annetaan käyttöliittymien suunnittelijoille suosituksia, jotka helpottavat tietosuoja-asetuksen noudattamista. Julkisen kuulemisen jälkeen lopulliseen versioon on sisällytetty selvennyksiä saadun palautteen pohjalta. Ohjeen ilmaisu ”pimeät mallit (engl. dark patterns)” on korvattu ilmaisulla ”harhaanjohtava muotoilu (engl. deceptive design patterns)”. Lisäksi selvennettiin esimerkiksi sitä, miten kyseiset ohjeet sisällytetään muotoiluajattelun prosessiin. Ohjeeseen lisätty liite tarjoaa nopean yleiskuvan parhaista käytännöistä.
Tietosuojaneuvoston työohjelmassa kuvataan tavoitteet vuosille 2023–2024
Tietosuojaneuvosto hyväksyi helmikuun täysistunnossa myös uuden työohjelmansa, jossa asetetaan painopisteet kuluvalle ja seuraavalle vuodelle. Toiminnan painopisteenä on edelleen tietosuoja-asetuksen täytäntöönpanon tehostaminen esimerkiksi yhteisten koordinoitujen toimenpiteiden ja strategisesti tärkeiden tapausten avulla. Lisäksi tietosuojaneuvosto kehittää edelleen ohjeita, joilla tuetaan ja kannustetaan tietosuojaviranomaisia käyttämään kaikkia yhteistyövälineitä, kuten velvollisuutta keskinäiseen avunantoon.
Tietosuojaneuvosto varmistaa jatkossakin kansallisten tietosuojaviranomaisten päätösten johdonmukaisuuden kiistanratkaisumenettelyssä tehtävillä sitovilla päätöksillä ja antaa EU:n lainsäätäjälle neuvoja tietosuojaan liittyvissä asioissa, kuten tietosuojan riittävyyttä koskevissa päätöksissä. Lisäksi tietosuojaneuvosto aikoo kehittää uusia ohjeita esimerkiksi tekoälyasetuksen ja tietosuoja-asetuksen välisestä suhteesta sekä sosiaalisen median käytöstä julkisissa organisaatioissa.
Tietosuojaneuvoston työohjelma 2023–2024 (englanniksi)
Lisätietoja:
Euroopan tietosuojaneuvoston tiedote neuvoston verkkosivuilla: EDPB publishes three guidelines following public consultation (24.2.2023)