Eurooppalainen yhteistyö
Tietosuojavaltuutetun toimisto toimii aktiivisesti Euroopan tietosuojaneuvostossa. Tietosuojaneuvosto edistää eurooppalaisten tietosuojaviranomaisten yhteistyötä ja tietosuojalainsäädännön yhdenmukaista soveltamista kaikkialla EU:ssa. Tietosuojaviranomaiset valvovat yhdessä henkilötietojen käsittelyä, joka koskee ihmisiä useassa Euroopan maassa.
Euroopan tietosuojaneuvosto (EDPB) on itsenäinen EU-elin, joka koostuu EU- ja ETA-maiden kansallisista tietosuojaviranomaisista ja Euroopan tietosuojavaltuutetun (EDPS) edustajista. Suomen tietosuojavaltuutettu Anu Talus on tietosuojaneuvoston puheenjohtaja vuosina 2023–2028.
Tietosuojaneuvoston tehtävänä on varmistaa, että tietosuojalainsäädäntöä sovelletaan ja tulkitaan samalla tavalla kaikissa EU-maissa. Tätä varten tietosuojaneuvosto muun muassa
- antaa tietosuojalainsäädäntöä selventäviä ohjeita ja suosituksia
- antaa lausuntoja ja päätöksiä, jotka sitovat kaikkia kansallisia tietosuojaviranomaisia
- laatii mallipohjia, tarkistuslistoja ja muuta materiaalia organisaatioiden tueksi
- edistää tiedonvaihtoa tietosuojaviranomaisten välillä.
Euroopan tietosuojaneuvoston verkkosivut (edpb.europa.eu)
Euroopan tietosuojaneuvoston ohjeet (edpb.europa.eu)
Tietosuojaviranomaiset valvovat henkilötietojen käsittelyä yhdessä
Tietosuojaviranomaiset valvovat yhteistyössä organisaatioita, jotka toimivat useassa EU- ja ETA-maassa. Valvonnasta vastaa ensisijaisesti se maa, jossa organisaation päätoimipaikka sijaitsee. Tätä viranomaista kutsutaan johtavaksi valvontaviranomaiseksi.
Johtava valvontaviranomainen tekee tiivistä yhteistyötä niiden maiden tietosuojaviranomaisten kanssa, joiden asukkaita asia koskee tai johon organisaatio on sijoittautunut. Yhteisellä päätöksenteolla varmistetaan, että EU:n tietosuojasääntöjä sovelletaan kaikenkokoisiin toimijoihin koko Euroopassa.
Tietosuojavaltuutetun toimisto osallistuu vuosittain noin tuhannen rajat ylittävän asian käsittelyyn.
Yhden luukun periaate
Tietosuojaviranomaisilla on käytössä niin sanottu yhden luukun mekanismi. Sen ansiosta yksityishenkilö voi tehdä kansainvälisesti toimivan organisaation toiminnasta valituksen oman kotimaansa tietosuojaviranomaiselle, eli Suomessa tietosuojavaltuutetun toimistolle.
Myös organisaatio voi asioida yhden tietosuojaviranomaisen kanssa, eli pääasiassa sen maan viranomaisen kanssa, jossa sen päätoimipaikka EU:ssa sijaitsee.
Lisätietoa organisaatioille useita EU-maita koskevasta henkilötietojen käsittelystä
- Kun tietosuojavaltuutetun toimisto saa yhteydenoton, se arvioi, minkä maan tietosuojaviranomainen johtaa asian käsittelyä. Tarvittaessa asia välitetään oikeaan maahan.
- Jos organisaation päätoimipaikka on toisessa EU-maassa, päävastuu asian selvittämisestä on sen maan tietosuojaviranomaisella. Tietosuojavaltuutettu osallistuu päätöksentekoon yhdessä muiden tietosuojaviranomaisten kanssa. Tietosuojavaltuutettu varmistaa, että suomalaisten oikeudet toteutuvat ja voi tarvittaessa vaikuttaa päätöksen sisältöön.
- Jos yritys toimii useassa EU-maassa ja sen päätoimipaikka on Suomessa, tietosuojavaltuutetun toimisto johtaa asian selvittämistä. Muiden maiden tietosuojaviranomaiset osallistuvat päätöksentekoon.
- Jos organisaatiolla ei ole toimipaikkaa EU- tai ETA-alueella, kukin kansallinen tietosuojaviranomainen valvoo henkilötietojen käsittelyä omassa maassaan. EU-maat voivat tällöinkin tehdä yhteistyötä.
Euroopan tietosuojaneuvosto varmistaa yhdenmukaisuuden
Kiistanratkaisu
Tietosuojaviranomaisten tavoitteena on saada aikaan yhteinen ratkaisu. Jos ne eivät pääse yksimielisyyteen päätöksen lopputuloksesta, Euroopan tietosuojaneuvosto ratkaisee asian niin sanotussa kiistanratkaisumenettelyssä. Tällä varmistetaan, että tietosuojalainsäädäntöä tulkitaan yhtenäisesti.
Tietosuojaneuvoston kiistanratkaisupäätös sitoo kaikkia tietosuojaviranomaisia, jotka ovat mukana asian käsittelyssä. Johtavan valvontaviranomaisen on annettava asiassa lopullinen päätös tietosuojaneuvoston ratkaisun mukaisesti.
Kiireelliset toimenpiteet
Tietosuojavaltuutetun toimisto voi poikkeustilanteissa puuttua nopeasti toisessa maassa sijaitsevan yrityksen toimintaan, jos suomalaisten yksityisyys ja oikeudet ovat uhattuna. Tällöin tietosuojavaltuutettu voi esimerkiksi määrätä yrityksen keskeyttämään tietojen käsittelyn Suomessa määräajaksi. Kiireelliset toimenpiteet voivat olla voimassa enintään kolme kuukautta.
Kansallinen tietosuojaviranomainen voi vaatia toimien ulottamista koko EU-alueelle. Tällöin se voi pyytää joko johtavaa valvontaviranomaista tai Euroopan tietosuojaneuvostoa tekemään päätöksen, jolla tietty toiminta kielletään pysyvästi kaikissa jäsenmaissa.