Euroopan tietosuojaneuvostolta lopulliset versiot kolmesta ohjeesta – aiheina rekisteröidyn tarkastusoikeus, johtavan valvontaviranomaisen määrittäminen ja tietoturvaloukkausilmoitukset
Euroopan tietosuojaneuvosto on julkaissut lopulliset versiot kolmesta ohjeesta julkisten kuulemiskierrosten jälkeen. Yksi ohjeista koskee rekisteröidyn oikeutta saada tutustua omiin tietoihinsa eli niin kutsuttua tarkastusoikeutta. Johtavan valvontaviranomaisen määräytymistä koskevaan ohjeeseen ja ohjeeseen tietoturvaloukkausten ilmoittamisesta on päivitetty toimivaltaisen valvontaviranomaisen määrittämiseen ja rekisterinpitäjän päätoimipaikkaan liittyviä seikkoja.
Tarkastusoikeutta koskevassa ohjeessa käydään läpi tarkastusoikeuden toteuttamiseen liittyviä käytännön kysymyksiä ja ohjeistetaan, miten rekisteröidyn oikeus saada tutustua tietoihinsa on toteutettava eri tilanteissa. Ohjeessa käsitellään muun muassa sitä, miten ja missä muodossa tiedot tulee antaa rekisteröidylle, milloin rekisterinpitäjä voi pyytää rekisteröityä täsmentämään pyyntöään, milloin pyynnön voidaan katsoa olevan ilmeisen perusteeton tai kohtuuton ja missä tilanteissa tarkastusoikeutta voidaan rajoittaa.
Julkisessa kuulemisessa saadun palautteen perusteella ohjeeseen on muun muassa selkeytetty rekisteröidyn tunnistamisen ja henkilöllisyyden vahvistamisen käsitteitä. Lisäksi selvennettiin ohjeistusta toimitettavien tietojen muodosta sekä tietojen toimittamisesta tilanteessa, joissa tietojen säilytysaika on hyvin lyhyt. Ohjeeseen on myös lisätty viittauksia Euroopan unionin tuomioistuimessa hiljattain tehtyihin päätöksiin tai tuomioistuimessa vireillä oleviin asioihin.
Ohje tietosuojaneuvoston verkkosivuilla englanniksi: Guidelines on data subject rights - right of access
Valvontaviranomaisen määräytymistä koskevia päivityksiä ohjeistuksiin
Tietosuojaneuvosto on hyväksynyt lopulliset versiot myös rekisterinpitäjän tai henkilötietojen käsittelijän johtavan valvontaviranomaisen määräytymistä koskevasta ohjeesta sekä tietoturvaloukkausilmoituksia koskevasta ohjeesta. Molemmissa ohjeissa on kyse tietosuojatyöryhmä WP29:n aikaisemman ohjeistuksen päivittämisestä. Julkinen kuuleminen koski ainoastaan ohjeiden päivitettyjä kohtia.
Johtavan valvontaviranomaisen määräytymistä koskevaan ohjeeseen on selvennetty päätoimipaikan käsitettä yhteisrekisterinpitäjyyden yhteydessä.
Henkilötietojen tietoturvaloukkausten ilmoittamista koskevassa ohjeessa puolestaan selvennetään erityisesti rekisterinpitäjän vastuuta tietoturvaloukkauksesta ilmoittamisesta. Julkisessa kuulemisessa nousi esiin käytännön kysymyksiä tilanteista, joissa tietoturvaloukkauksesta on ilmoitettava useiden maiden tietosuojaviranomaisille. Tietosuoja-asetuksessa ei säädetä keskitetystä yhteyspisteestä rekisterinpitäjille, jotka eivät ole sijoittautuneet ETA-alueelle. Jos rekisterinpitäjän päätoimipaikka ei sijaitse ETA-maassa, rekisterinpitäjän on ilmoitettava tietoturvaloukkauksesta kaikkien niiden jäsenvaltioiden tietosuojaviranomaisille, joissa tietoturvaloukkauksen kohteeksi joutuneet rekisteröidyt asuvat.
Tietosuojaneuvosto muistuttaa, että päivitetyllä kohdalla ainoastaan mukautetaan ohje vastaamaan yleisen tietosuoja-asetuksen sisältöä. Tietosuojaneuvosto aikoo julkaista rekisterinpitäjien tueksi yhteystietoluettelon tietoturvaloukkausten ilmoittamista varten verkkosivuillaan.
Ohjeet tietosuojaneuvoston verkkosivuilla englanniksi:
- Guidelines 8/2022 on identifying a controller or processor’s lead supervisory authority
- Guidelines 9/2022 on personal data breach notification under GDPR
Lisätietoja:
Euroopan tietosuojaneuvoston tiedote neuvoston verkkosivuilla: EDPB adopts final version of Guidelines on data subject rights - right of access (17.4.2023)