Euroopan tietosuojaneuvosto selkeytti vaatimuksia henkilötietojen käsittelijöiden käytössä ja lausui rajat ylittäviä asioita koskevasta asetusehdotuksesta

Euroopan tietosuojaneuvosto on lokakuun täysistunnossaan antanut lausunnon, jossa se selkeyttää vaatimuksia, jotka rekisterinpitäjän on huomioitava, kun se käyttää henkilötietojen käsittelijöitä. Tietosuojaneuvosto lausui lisäksi Euroopan parlamentin ja neuvoston lisäyksistä komission asetusehdotukseen, jolla on tarkoitus sujuvoittaa eurooppalaisten tietosuojaviranomaisten yhteistyötä rajat ylittävien asioiden käsittelyssä.

Selvennyksiä rekisterinpitäjän vastuiden ja käsittelysopimuksen tulkintaan

Lausunnossa käsitellään tilanteita, joissa rekisterinpitäjä käyttää yhtä tai useampaa henkilötietojen käsittelijää tai alikäsittelijää. Henkilötietojen käsittelijä on taho, joka käsittelee henkilötietoja rekisterinpitäjän lukuun. Se voi olla esimerkiksi yritys, jolle organisaatio on ulkoistanut tietyn toimintonsa.

Tietosuojaneuvosto vastasi lausunnossa kahdeksaan Tanskan tietosuojaviranomaisen esittämään kysymykseen. Vastauksissa selvennetään, kuinka tiettyjä tietosuoja-asetuksessa määriteltyjä rekisterinpitäjän vastuita ja rekisterinpitäjän ja henkilötietojen käsittelijän välisen sopimuksen muotoiluja tulisi tulkita.

Tietosuojaneuvosto toteaa muun muassa, että vaikka alkuperäisen henkilötietojen käsittelijän on varmistettava, että sen alikäsittelijä täyttää kelpoisuusvaatimukset, jää lopullinen päätös ja vastuu tietyn alikäsittelijän käyttämisestä rekisterinpitäjälle.

Lausunto tietosuojaneuvoston verkkosivuilla englanniksi: Opinion 22/2024 on certain obligations following from the reliance on processor(s) and sub-processor(s)

Tietosuojaneuvostolta suosituksia kolmikantaneuvotteluihin asetusehdotuksesta

Tietosuojaneuvosto antoi näkemyksensä muutoksista, joita Euroopan parlamentti ja neuvosto ovat tehneet tietosuoja-asetuksen yhteistyömenettelyä täydentävään komission asetusehdotukseen. Uuden asetuksen tarkoituksena on tehostaa eurooppalaisten tietosuojaviranomaisten yhteistyötä tapauksissa, jotka koskevat ihmisiä useassa EU-maassa.

Tietosuojaneuvosto suhtautuu muutoksiin myönteisesti ja suosittelee tiettyjen osioiden kehittämistä edelleen, jotta asetuksen tavoitteet saavutetaan. Lausumassa annetaan käytännön suosituksia, joita voidaan käyttää tulevissa kolmikantaneuvotteluissa. Suositukset koskevat esimerkiksi sovintoratkaisuja, kanteluja, määräaikoja ja yhteistä asiakirjatietokantaa. 

”Asetusehdotuksella voidaan sujuvoittaa huomattavasti tietosuoja-asetuksen täytäntöönpanoa, kun tapausten käsittely tehostuu. Yhdenmukaisuutta on edelleen lisättävä EU:n tasolla, jotta viranomaisten yhteistyö olisi mahdollisimman tehokasta”, Euroopan tietosuojaneuvoston puheenjohtaja Anu Talus toteaa.

Lausuma tietosuojaneuvoston verkkosivuilla englanniksi: Statement 4/2024 on the recent legislative developments on the Draft Regulation laying down additional procedural rules for the enforcement of the GDPR

Lisätietoja:

​​​​​​​Euroopan tietosuojaneuvoston tiedote neuvoston verkkosivuilla englanniksi: EDPB adopts Opinion on processors, Guidelines on legitimate interest, Statement on draft regulation for GDPR enforcement, and work programme 2024-2025 (9.10.2024)