Uusi Euroopan tietosuojaneuvosto lisäsi kansainvälistä yhteistyötä

Euroopan tietosuojaviranomaisten yhteistyö lisääntyi entisestään vuoden 2018 aikana. Tietosuojaviranomaiset valmistautuivat EU:n yleisen tietosuoja-asetuksen soveltamiseen laatimalla ohjeita sekä suunnittelemalla Euroopan tietosuojaneuvoston toimintaa.

Euroopan tietosuojaneuvoston perustamiskokous pidettiin 25. toukokuuta, kun EU:n yleistä tietosuoja-asetusta alettiin soveltaa. Samalla tietosuojaneuvostoa edeltänyt tietosuojaviranomaisten yhteistyöelin, WP29-työryhmä, päätti toimintansa. WP29-työryhmän puheenjohtaja Andrea Jelinek valittiin jatkamaan myös Euroopan tietosuojaneuvoston puheenjohtajana. Jelinekin toimikausi kestää viisi vuotta.

EU- ja ETA-maat jäseninä

Euroopan tietosuojaneuvosto on riippumaton EU:n elin, joka koostuu EU:n kansallisista tietosuojaviranomaisista ja Euroopan tietosuojavaltuutetun edustajista. Myös ETA-maat Islanti, Norja ja Liechtenstein ovat tietosuojaneuvoston jäseniä EFTA-sopimuksen perusteella. Komissiolla on oikeus osallistua tietosuojaneuvoston toimintaan ja kokouksiin ilman äänioikeutta.

Euroopan tietosuojaneuvosto vastaa EU:n yleisen tietosuoja-asetuksen ja poliisi- ja rikosoikeusviranomaisia koskevan tietosuojadirektiivin yhdenmukaisesta soveltamisesta. Se antaa tietosuojalainsäädäntöä selventäviä ohjeita ja päätöksiä. Tietosuojaneuvoston tärkeänä tehtävänä on edistää EU:n tietosuojaviranomaisten välistä yhteistyötä.

Euroopan tietosuojaneuvosto päätti ensimmäisessä täysistunnossaan tukea ohjeita, jotka WP29-työryhmä oli laatinut tietosuoja-asetuksen soveltamisesta. Tietosuojaneuvosto jatkoi ohjeiden valmistelua. Syyskaudella julkaistiin ohjeita muun muassa tietosuoja-asetuksen alueellisesta soveltamisalasta ja sertifioinneista.

WP29-työryhmä toimi EU:n tietosuojaviranomaisten yhteistyöelimenä ennen tietosuojaneuvoston perustamista.

Syyskuussa valmistuivat myös Euroopan tietosuojaneuvoston ensimmäiset yhdenmukaisuusmekanismin kautta tehdyt lausunnot. Tietosuojaneuvosto hyväksyi 22 lausuntoa, jotka koskivat tietosuojan vaikutustenarviointia koskevien luettelojen yhteisiä vaatimuksia. Lausuntojen pohjana olivat kansallisten tietosuojaviranomaisten laatimat luettelot käsittelytoimista, jotka aiheuttavat todennäköisesti korkean riskin ja edellyttävät tietosuojan vaikutustenarviointia. Yhteisten kriteerien sopiminen on tärkeää, jotta yleistä tietosuoja-asetusta sovelletaan johdonmukaisesti kaikkialla EU:ssa. Tietosuoja-asetuksen tarkoituksena onkin ollut yhtenäistää tietosuojasääntelyä, parantaa henkilötietojen suojaa ja tietosuojaoikeuksia, vastata uusiin digitalisaatioon ja globalisaatioon liittyviin tietosuojakysymyksiin sekä edistää digitaalisten sisämarkkinoiden kehittymistä.

Tietosuojavaltuutetun toimistosta WP29-työryhmän ja Euroopan tietosuojaneuvoston toimintaan osallistuivat pääasiassa tietosuojavaltuutettu Reijo Aarnio ja ylitarkastaja Anna Hänninen. Lisäksi tietosuojavaltuutetun toimiston muu henkilöstö osallistui alatyöryhmien toimintaan omien asiantuntemusalueidensa osalta. Vanhojen alatyöryhmien lisäksi WP29-työryhmä perusti keväällä 2018 uuden sosiaalisen median tietosuojaa käsittelevän työryhmän, jossa myös tietosuojavaltuutetun toimisto on edustettuna.

Yhteistyötä rajatylittävissä asioissa

EU:n yleisessä tietosuoja-asetuksessa on yksityiskohtaisia sääntöjä EU:n jäsenvaltioiden valvontaviranomaisten välisestä yhteistyöstä nk. rajatylittävissä asioissa. Yleistäen rajatylittävänä voidaan pitää asiaa, jolla on liittymäkohtia useampaan EU-maahan. Näiden asioiden käsittelyyn liittyy yhden luukun periaate. Tämä tarkoittaa sitä, että rekisterinpitäjät, joilla on toimintaa useammassa kuin yhdessä jäsenvaltiossa, voivat jatkossa hoitaa rajatylittäviä asioita ainoastaan yhden jäsenvaltion valvontaviranomaisen kanssa. Tämän johtavan valvontaviranomaisen tehtävänä on koordinoida asian käsittelyä ja valmistella päätösehdotus. Muut valvontaviranomaiset toimivat osallistuvina valvontaviranomaisina. EU-maiden viranomaisilla on yhteinen tietojenvaihtojärjestelmä IMI, jonka kautta ne vaihtavat tietoja rajatylittävistä asioista.

Rajatylittäviä asioita tuli vuoden 2018 aikana vireille yhteensä 591. Suomi toimi osallistuvana valvontaviranomaisena 106 asiassa ja johtavana valvontaviranomaisena viidessä asiassa.

Tietosuojavaltuutetun toimistossa rajatylittävien ja kansainvälisten asioiden koordinointi keskitettiin yhdelle ylitarkastajalle, jonka tukena työskentelee tarkastaja. He osallistuvat myös tietosuojaneuvoston työhön. Rajatylittävien asioihin liittyvien prosessien kuvaamista varten perustettiin myös keväällä 2018 prosessityöryhmä.