Uusi asetus voimaan – tietosuojaviranomaisten yhteistyö useita maita koskevissa asioissa tehostuu

EU:ssa astui 1. tammikuuta voimaan uusi asetus, joka täydentää yleistä tietosuoja-asetusta eli GDPR:ää. Asetuksella nopeutetaan tietosuojaviranomaisten toimintaa asioissa, joilla on kytkös useampaan maahan EU:ssa ja Euroopan talousalueella. Kun asia koskee ihmisiä useassa maassa, tietosuojaviranomaiset käsittelevät asiaa yhteistyössä. Asetuksen soveltaminen alkaa huhtikuussa 2027.

Uusi asetus sujuvoittaa tietosuojan valvontaviranomaisten menettelyjä ja yhteistyötä, kun ne käsittelevät useita maita koskevia, eli niin sanotusti rajat ylittäviä asioita. Asetuksessa säädetään muun muassa määräajoista, tutkinnan vaiheista, viranomaisten välisestä tiedonvaihdosta ja asianosaisten oikeuksista. Siinä täsmennetään, mitä vaatimuksia kantelun on täytettävä, jotta se voidaan ottaa käsiteltäväksi, sekä milloin ja miten tutkinnan kohteena olevaa organisaatiota ja kantelun tekijää on kuultava.

Jatkossa tietosuojaviranomaisten on annettava ratkaisuehdotus rajat ylittävästä asiasta pääsääntöisesti 15 kuukaudessa. Monimutkaisimmissa tapauksissa määräaikaa voidaan pidentää 12 kuukaudella. Asetuksessa säädetään myös menettelystä, jossa yksinkertaisemmat asiat ratkaistaan 12 kuukauden kuluessa. Kantelu voidaan ratkaista kevyemmin varhaisessa vaiheessa, jos kantelija ja kantelun kohteena oleva organisaatio pääsevät asiasta sopuun, eikä mahdollinen rikkomus enää jatku. 

Asetuksen soveltaminen alkaa 15 kuukauden kuluttua voimaatulosta eli 2. huhtikuuta 2027. Uusien yhteisten menettelyjen rinnalla sovelletaan edelleen myös kansallisia hallinnollisia prosesseja.

Uuden asetuksen taustalla on Euroopan tietosuojaneuvoston vuonna 2023 tekemä aloite, jossa se pyysi komissiota selkeyttämään viranomaisten yhteistyömenettelyä. Yhteistyön tarkoituksena on löytää kaikkia sitova yhteinen ratkaisu ja varmistaa, että tietosuojasäännöksiä sovelletaan yhdenmukaisesti kaikkialla ETA-alueella.

Lisätietoja: 

Säädösteksti EUR-lex-palvelussa: Euroopan parlamentin ja neuvoston asetus (EU) 2025/2518 asetuksen (EU) 2016/679 täytäntöönpanoa koskevista täydentävistä menettelysäännöistä

Tiedote 3.7.2025: EU:n neuvosto ja Euroopan parlamentti alustavaan sopimukseen uudesta asetuksesta – tavoitteena nopeuttaa tietosuojaviranomaisten työtä useita maita koskevissa asioissa

Tiedote 16.10.2024: Euroopan tietosuojaneuvosto selkeytti vaatimuksia henkilötietojen käsittelijöiden käytössä ja lausui rajat ylittäviä asioita koskevasta asetusehdotuksesta

Tiedote 29.9.2023: Euroopan tietosuojavaltuutettu ja tietosuojaneuvosto toivovat rajat ylittävien asioiden käsittelyä sujuvoittavan asetuksen nopeaa hyväksymistä

Asiaa kutsutaan rajat ylittäväksi, kun tutkinnan kohteena oleva organisaatio toimii useassa EU-maassa tai asia vaikuttaa ihmisiin useammassa kuin yhdessä jäsenvaltiossa. Kun henkilötietojen käsittely on rajat ylittävää, Euroopan talousalueen (ETA) tietosuojaviranomaiset valvovat henkilötietojen käsittelyä yhteistyössä. Käsiteltävälle asialle määritellään johtava valvontaviranomainen, joka tekee yhteistyötä muiden asian käsittelyyn osallistuvien valvontaviranomaisten kanssa.