Euroopan tietosuojaneuvosto julkaisi suosituksia julkisen sektorin pilvipalvelujen käytöstä
Euroopan tietosuojaneuvosto on hyväksynyt tammikuun täysistunnossaan raportin ensimmäisestä yhteisestä koordinoidusta toimenpiteestään, jossa keskityttiin pilvipalvelujen käyttöön julkisella sektorilla. Raportissa tietosuojaneuvosto antaa muun muassa suosituksia julkisen sektorin organisaatioille pilvipohjaisten tuotteiden ja palvelujen käyttöön. Raportin liitteessä kuvaillaan myös toimia, joita tietosuojaviranomaiset ovat tähän mennessä toteuttaneet pilvipalveluja koskien.
Vuoden 2022 aikana 22 Euroopan talousalueella toimivaa tietosuojaviranomaista ja Euroopan tietosuojavaltuutettu käynnistivät koordinoidut selvitykset julkisen sektorin pilvipalvelujen käytöstä. Euroopan talousalueella ja EU:n toimielimissä selvitettiin yhteensä noin sadan julkisen organisaation toimintaa muun muassa terveydenhuollon, rahoituksen, verotuksen, koulutuksen ja IT-palvelujen toimialoilla. Osana toimenpidettä tietosuojavaltuutetun toimisto selvitti kolmen julkisen sektorin toimijan pilvipalvelujen käyttöä Suomessa. Asioiden käsittely on vielä kesken.
Tietosuojaneuvosto korostaa, että julkisten elinten on toimittava täysin EU:n yleisen tietosuoja-asetuksen mukaisesti. ”Kaikkialla Euroopassa julkisen sektorin toimijat ovat siirtymässä pilvipalveluihin, ja niiden on vaikea ottaa käyttöön tietosuoja-asetuksen mukaisia palveluja ja tuotteita. Julkisissa palveluissa henkilötietoja on käsiteltävä erittäin huolellisesti erityisesti silloin, kun niitä käsittelee kolmas osapuoli. Tietosuojaneuvoston koordinoidun toimenpiteen raportti on hyödyllinen mittapuu tähän, ja uskon, että siitä tulee tärkeä vertailukohta julkisille elimille, jotka suunnittelevat tietosuoja-asetuksen mukaisten pilvipalvelujen hankintaa”, Euroopan tietosuojaneuvoston puheenjohtaja Andrea Jelinek toteaa.
Koordinoiduilla toimenpiteillä toteutetaan tietosuojaneuvoston strategisia tavoitteita valvontaviranomaisten yhteistyön ja tietosuoja-asetuksen täytäntöönpanon virtaviivaistamisesta.Vuonna 2023 tietosuojaneuvoston yhteisen koordinoidun toimenpiteen aiheena on tietosuojavastaavan rooli ja nimeäminen.
Koordinoidun toimenpiteen raportti tietosuojaneuvoston verkkosivuilla (englanniksi)
Yhdysvaltojen riittävyyspäätöstä koskeva lausunto valmistelussa
Oikeusasioista vastaava komissaari Didier Reynders esitteli tietosuojaneuvostolle täysistunnossa EU:n ja Yhdysvaltojen tietosuojakehyksen tietosuojan riittävyyttä koskevan päätösluonnoksen. Tietosuojaneuvosto valmistelee parhaillaan päätösluonnosta koskevaa lausuntoaan, joka viimeistellään tulevien viikkojen kuluessa.
Evästebannerityöryhmä julkaisi raporttinsa
Tietosuojaneuvosto hyväksyi täysistunnossaan lisäksi evästebannerityöryhmän raportin (Cookie Banner Task Force). Työryhmä perustettiin syksyllä 2021 koordinoimaan vastausta kansalaisjärjestö NOYB:n useisiin tietosuojaviranomaisille jättämiin valituksiin. Työryhmän tavoitteena oli varmistaa johdonmukainen lähestymistapa evästebannereihin kaikkialla Euroopan talousalueella.
Tietosuojaviranomaiset sopivat raportissa yhteisestä tulkinnasta sähköisen viestinnän tietosuojadirektiivin ja yleisen tietosuoja-asetuksen sovellettavista säännöksistä esimerkiksi hylkäämispainikkeiden, valmiiksi rastitettujen laatikoiden, bannerisuunnittelun ja peruuttamiskuvakkeiden osalta. Enemmistö tietosuojaviranomaisista katsoo muun muassa, että kieltäytymis- tai hylkäysvaihtoehtojen puuttuminen suostumusvaihtoehdon yhteydessä ei ole pätevää suostumusta koskevien vaatimusten mukaista.
Evästebannerityöryhmän raportti tietosuojaneuvoston verkkosivuilla (englanniksi)
Lisätietoja:
Euroopan tietosuojaneuvoston tiedote neuvoston verkkosivuilla: EDPB determines privacy recommendations for use of cloud services by public sector & adopts report on Cookie Banner Task Force (18.1.2023)
Tiedote 15.2.2022: Tietosuojavaltuutetun toimisto käynnistää selvityksen julkisen sektorin pilvipalvelujen käytöstä osana Euroopan valvontaviranomaisten yhteistä toimenpidettä