Euroopan tietosuojaneuvosto selventää sääntöjä tietojen antamiseen EU:n ulkopuolisten maiden viranomaisille
Euroopan tietosuojaneuvosto on julkaissut ohjeluonnoksen, joka koskee henkilötietojen siirtämistä EU:n ulkopuolisten eli niin kutsuttujen kolmansien maiden viranomaisille. Ohjetta voi kommentoida tietosuojaneuvoston verkkosivuilla 27. tammikuuta 2025 saakka. Lisäksi tietosuojaneuvosto hyväksyi täysistunnossaan uuden eurooppalaisen tietosuojasertifioinnin.
Ohje auttaa organisaatioita arvioimaan EU:n ulkopuolisten viranomaisten tietopyyntöjä
EU:n ulkopuolisten maiden, eli niin sanottujen kolmansien maiden viranomaiset voivat joissakin tilanteissa pyytää EU:ssa toimivia organisaatioita antamaan niiden hallussa olevia henkilötietoja. Tietoja voidaan tarvita esimerkiksi rikollisten pidättämiseksi, hyökkäysten estämiseksi, rahaliikenteen valvontaan tai uusien lääkkeiden hyväksymisessä.
Tietosuojaneuvosto selventää uudessa ohjeessa, millä edellytyksillä organisaatiot voivat laillisesti vastata tällaisiin pyyntöihin ja miten ne voivat pyydettäessä siirtää henkilötietoja turvallisesti.
Ohjeessa tarkennetaan yleisen tietosuoja-asetuksen 48 artiklan tulkintaa. Siinä selvennetään, miten EU-alueen organisaatiot voivat suojata henkilötiedot tarvittavilla varotoimilla, kun tietojen siirtoa pyydetään kolmannen maan tuomioistuimen tuomion tai hallintoviranomaisen päätöksen perusteella. EU:n ulkopuolisten maiden viranomaisten tuomioita tai päätöksiä ei automaattisesti tunnusteta EU:ssa.
Jos organisaatio vastaa kolmannen maan viranomaisen pyyntöön antaa tietoja, kyseessä on henkilötietojen siirto, johon sovelletaan tietosuoja-asetuksen sääntöjä. Joissakin tilanteissa siirron edellytyksistä voidaan määrätä kansainvälisellä sopimuksella. Jos tällaista sopimusta ei ole, organisaation on arvioitava, mikä on sopiva peruste tietojen siirtämiseen.
Ohje on julkisella kuulemiskierroksella 27. tammikuuta 2025 saakka tietosuojaneuvoston verkkosivuilla (englanniksi): Guidelines 02/2024 on Article 48 GDPR
Tietosuojasertifioinnin kriteerit hyväksyttiin
Tietosuojaneuvosto hyväksyi täysistunnossaan Brand Compliance -sertifiointikriteerit, joilla organisaatiot voivat osoittaa, että niiden henkilötietojen käsittely on lainmukaista. Kriteerejä sovelletaan kaikkialla Euroopassa. Kyseessä on niin kutsuttu eurooppalainen tietosuojasinetti.
Tietosuojasertifiointi edistää läpinäkyvyyttä organisaatioiden toiminnassa ja lisää ihmisten luottamusta tuotteeseen, palveluun tai järjestelmään, jossa organisaatio käsittelee heidän henkilötietojaan.
Lisätietoja:
Tietosuojaneuvoston tiedote neuvoston verkkosivuilla englanniksi: EDPB clarifies rules for data sharing with third country authorities and approves EU Data Protection Seal certification (3.12.2024)