Euroopan tietosuojaneuvosto otti kantaa Schrems II -päätökseen ja käsitteli PSD2-maksupalveludirektiiviä koskevaa ohjetta

22.7.2020 15.37
Uutinen

Euroopan tietosuojaneuvosto on julkaissut kannanoton EU:n tuomioistuimen ratkaisuun C-311/18 niin sanotussa Schrems II -tapauksessa, joka kumosi EU:n ja Yhdysvaltojen välisen Privacy Shield -järjestelyn. Kannanotossaan neuvosto esittää ensiarvionsa tuomioistuimen Schrems II -päätöksestä. Lisäksi neuvosto on hyväksynyt ohjeluonnoksen PSD2-maksupalveludirektiivin ja tietosuoja-asetuksen keskinäisestä suhteesta.

Tietosuojaneuvosto korostaa täysistunnossaan 17.7. hyväksytyssä kannanotossa, että EU:n ja Yhdysvaltojen tulee luoda tiedonsiirtoja varten tehokkaat ja aukottomat raamit, joilla henkilötiedoille taataan Yhdysvalloissa EU:n tietosuojaa olennaisesti vastaava taso. Neuvosto ilmoittaa olevansa valmis tarjoamaan Euroopan komissiolle tukea uuden lainsäädäntökehyksen rakentamiseen yhdessä Yhdysvaltojen kanssa.

Tietosuojaneuvosto kertoo vielä arvioivansa tuomioistuimen ratkaisua yksityiskohtaisemmin ja selventävänsä sen merkitystä sidosryhmille. Se aikoo myös antaa ohjeita keinoista, jotka mahdollistavat tiedonsiirron kolmansiin maihin ratkaisun mukaisesti. Neuvosto ja kansalliset tietosuojaviranomaiset ovat myös valmiita huolehtimaan tulkinnan yhdenmukaisuudesta ETA-alueella.

Mallisopimuslausekkeiden käyttö edellyttää tietosuojan arviointia

Kannanotossaan tietosuojaneuvosto käsittelee myös mallisopimuslausekkeiden käyttöä tiedonsiirron perusteena. Neuvosto toteaa, että tietojen viejä ja tietojen tuoja ovat ensisijaisesti vastuussa tietosuojan tason varmistamisesta, kun mallisopimuslausekkeiden käyttöä harkitaan.

Ennen mallisopimuslausekkeiden käyttöä tietojen viejän on tehtävä tietosuojan tasosta arviointi, jossa huomioidaan mallisopimuslausekkeiden sisältö, erityiset siirtoon liittyvät olosuhteet sekä tietojen tuojan maan oikeudellinen järjestelmä. Tietojen tuoja voi tarvittaessa avustaa arvioinnissa. Tietojen viejän saattaa myös olla tarpeen harkita lisätoimenpiteitä mallisopimuslausekkeiden lisäksi. Neuvosto kertoo tutkivansa tarkemmin, mitä nämä lisätoimenpiteet voisivat sisältää.    

Viranomaisilla velvollisuus kieltää tiedonsiirto, jos tietosuojaa ei voida varmistaa

Neuvosto viittaa myös kansallisten tietosuojaviranomaisten velvollisuuteen kieltää tai keskeyttää mallisopimuslausekkeiden perusteella tehtävä henkilötietojen siirto kolmanteen maahan, jos lausekkeita ei voida noudattaa kyseisessä maassa ja siirrettyjen henkilötietojen suojaa ei pystytä varmistamaan muilla tavoilla. Viranomaisten velvollisuus koskee erityisesti tilanteita, joissa henkilötietojen käsittelijä tai rekisterinpitäjä ei itse ole keskeyttänyt tai estänyt siirtoa.

Neuvosto muistuttaa, että se on laatinut ohjeistuksen tietosuoja-asetuksen 49 artiklan erityistilanteita koskevista poikkeuksista ja näitä poikkeuksia on sovellettava tapauskohtaisesti.

Ohje tietosuoja-asetuksen soveltamisesta maksupalveludirektiiviin kuulemiskierrokselle

Tietosuojaneuvosto hyväksyi täysistunnossa ohjeluonnoksen PSD2-maksupalveludirektiivin ja EU:n yleisen tietosuoja-asetuksen keskinäisestä vuorovaikutuksesta. Direktiivi uudisti maksupalvelumarkkinoiden oikeudellisia puitteita ja mahdollisti uusien maksutoimeksiantopalvelujen ja tilitietopalvelujen tarjoajien toiminnan. Pankin asiakas voi antaa näille niin sanotuille kolmansille palveluntarjoajille suostumukseen perustuvan pääsyn pankkitililleen. Ohjeistus koskee tietosuoja-asetuksen soveltamisesta kyseisiin palveluihin.

Ohjeessa käsitellään myös ehtoja, joiden perusteella maksutiliä pitävät palveluntarjoajat voivat myöntää kolmansille palveluntarjoajille pääsyn tilin tietoihin. Ohjeluonnos on nyt julkisessa kuulemisessa, ja kommentteja ohjeeseen voi esittää tietosuojaneuvoston verkkosivuilla 16.9. saakka.

Lisäksi tietosuojaneuvosto on antanut vastauksen parlamentin jäsenelle Ďuriš Nicholsonoválle koronaviruspandemian vastaisen taistelun tietosuojaa koskevassa kysymyksessä. Vastaus käsittelee kontaktinjäljityssovellusten harmonisointia ja yhteentoimivuutta, kerättyjen henkilötietojen käsittelyn vaikutustenarvioinnin vaatimuksia sekä käsittelyn kestoa.

Lisätietoja:

Euroopan tietosuojaneuvoston tiedote: European Data Protection Board - Thirty-fourth Plenary session: Schrems II, Interplay PSD2 and GDPR and letter to MEP Ďuriš Nicholsonová on contact tracing, interoperability of apps and DPIAs (20.7.2020)

Tietosuojaneuvoston kannanotto Schrems II -päätökseen: Statement on the Court of Justice of the European Union Judgment in Case C-311/18 - Data Protection Commissioner v Facebook Ireland and Maximillian Schrems  

Ohjeluonnos maksupalveludirektiivistä: Guidelines 06/2020 on the interplay of the Second Payment Services Directive and the GDPR