Euroopan tietosuojaneuvostolta ohje sertifioinnista henkilötietojen siirron välineenä ja Accoria koskeva kiistanratkaisupäätös

Euroopan tietosuojaneuvosto on laatinut uuden ohjeen sertifioinnista kansainvälisten tiedonsiirtojen välineenä. Ohjeluonnos on avoinna sidosryhmien kommenteille syyskuun loppuun saakka. Lisäksi tietosuojaneuvosto on tehnyt ranskalaista hotelliyhtiö Accor SA:ta koskevan sitovan kiistanratkaisupäätöksen.

Hyväksytyt sertifiointimekanismit otettiin yleisessä tietosuoja-asetuksessa käyttöön uutena välineenä henkilötietojen siirtämiseksi kolmansiin maihin. Sertifiointia tiedonsiirtojen välineenä koskeva ohje koostuu neljästä osasta, joissa keskitytään tiettyyn siirtovälinettä koskevaan näkökohtaan, kuten soveltamisalaan ja eri toimijoihin, sertifiointielinten akkreditointivaatimuksia koskevien ohjeiden täytäntöönpanoon sekä täytäntöönpantaviin sitoumuksiin.

”Nämä ohjeet ovat uraauurtavia, sillä niissä annetaan ensimmäiset käytännön ohjeet sertifioinnista tiedonsiirtojen välineenä”, Euroopan tietosuojaneuvoston varapuheenjohtaja Ventsislav Karadjov sanoo.

Ohje täydentää tietosuojaneuvoston aiempaa ohjeistusta, jossa annetaan yleisempiä ohjeita sertifioinnista. Uusi ohje on julkisessa kuulemisessa 30. syyskuuta saakka.

Ohjeluonnos tietosuojaneuvoston verkkosivuilla: Guidelines 07/2022 on certification as a tool for transfers   

Sertifiointia ja sertifiointikriteerien määrittelemistä asetuksen 42 ja 43 artiklan mukaisesti koskevat ohjeet 1/2018 tietosuojaneuvoston vekkosivuilla

Sitova kiistanratkaisupäätös Accor SA:ta koskevasta päätösluonnoksesta

Ranskan valvontaviranomainen antoi johtavana valvontaviranomaisena Accoria koskevan päätösluonnoksen, johon yksi osallistuva valvontaviranomainen esitti vastalauseita muun muassa sakon määrästä. Valvontaviranomaiset eivät päässeet yhteisymmärrykseen yhdestä vastalauseesta, minkä vuoksi Ranskan valvontaviranomainen siirsi asian tietosuojaneuvoston ratkaistavaksi.  

Ranskan valvontaviranomainen selvitti Accor SA:n toimintaa kantelun perusteella, jonka mukaan oikeutta vastustaa markkinointiviestien vastaanottamista postitse ei ollut huomioitu asianmukaisesti. Vaikeuksia oli havaittu myös rekisteröidyn tarkastusoikeuden käyttämisessä.

Tietosuojaneuvosto julkaisee kiistanratkaisupäätöksen sen jälkeen, kun Ranskan valvontaviranomainen on ilmoittanut kansallisesta päätöksestään yhtiölle.

Lisätietoja:

Tiedote tietosuojaneuvoston verkkosivuilla: EDPB adopts guidelines on certification as a tool for transfers and an Art. 65 dispute resolution binding decision regarding Accor (16.6.2022)