Euroopan tietosuojaneuvosto hyväksyi ensimmäiset ylikansalliset käytännesäännöt

31.5.2021

Tietosuojaneuvosto hyväksyi täysistunnossaan 19.5. Ranskan ja Belgian tietosuojaviranomaisten päätösluonnokset ylikansallisista käytännesäännöistä, jotka koskevat henkilötietojen käsittelyä pilvipalvelualalla. Kyseessä olivat ensimmäiset ylikansalliset käytännesäännöt ja ne on tarkoitettu sovellettavaksi koko ETA-alueella.

Tietosuoja-asioiden käytännesäännöissä on yleisesti kyse yksityisten tahojen laatimasta tietosuojaa koskevasta pehmeästä sääntelystä, joiden laatimiseen yleinen tietosuoja-asetus (GDPR) kannustaa ja joiden laatimista sääntelee yksityiskohtaisesti GDPR:n 40 artikla. 40 Artiklan mukaan tietosuojaviranomaisten on edistettävä sellaisten käytännesääntöjen laatimista, joiden avulla tuetaan tämän tietosuoja-asetuksen asianmukaista soveltamista, ottaen huomioon muun muassa käsittelyn eri sektorien erityispiirteet. Yhdistykset ja muut elimet, jotka edustavat rekisterinpitäjien tai henkilötietojen käsittelijöiden eri ryhmiä, voivat laatia käytännesääntöjä, mutta ne tulee  hyväksyttää toimivaltaisella valvontaviranomaisella GDPR:n mukaisesti. Käytännesäännöt ovat vastuullisuutta korostavia välineitä, joiden noudattamiseen alan yritykset voivat vapaaehtoisesti sitoutua. Ne auttavat yrityksiä osoittamaan tietosuojatoimiensa yhdenmukaisuuden GDPR:n vaatimusten kanssa, vaikkakaan eivät automaattisesti tarkoita, että GDPR:n vaatimuksia olisi noudatettu. Euroopan tietosuojaneuvoston on GDPR:n edellyttämällä tavalla arvioitava käytännesääntöjen yhdenmukaisuus GDRP:n kanssa silloin, kun käytännesääntöjen soveltamisala on ylikansallinen.

Belgian valvontaviranomaisen päätösluonnos koskee “EU Data Protection Code of Conduct for Cloud Service Providers” -käytännesääntöjä, jotka on kohdistettu kaikenlaisiin pilvipalvelujen tarjoajiin ja jotka laati monia pilvipalvelualan organisaatioita edustava SCOPE Europe. Käytännesääntöjen tarkoituksena on antaa käytännöllistä ohjausta GDPR:n soveltamiseen ja määritellä pilvipalvelujen tarjoajille erityisvaatimuksia. Käytännesäännöissä tarkennetaan erityisesti GDPR 28 artiklaa, jossa säännellään henkilötietojen käsittelyä käsittelijän toimesta rekisterinpitäjän lukuun.

Ranskan valvontaviranomaisen päätösluonnos koskee ”CISPE”-käytännesääntöjä, jotka on laatinut The Cloud Infrastructure Service Providers. CISPE-käytännesäännöt on osoitettu rajoitetummin vain pilvi-infrastruktuuripalvelujen tarjoajille (Infrastructure as a Service Cloud, IaaS-palveluntarjoajat). Käytännesäännöillä pyritään tuomaan selkeyttä siihen, mitä GDPR tarkoittaa käytännössä, kun sitä sovelletaan IaaS-palveluntarjoajiin, ja mitä käytännän toimenpiteitä kyseisten toimijoiden tulisi tehdä GDPR:n noudattamisen varmistamiseksi.

Molempia käytännesääntöja sovelletaan vain B2B-suhteessa tapahtuvaan henkilötietojen käsittelyyn, kun IaaS-palveluntarjoajat toimivat käsittelijöinä, mutta eivät rekisterinpitäjinä. Kuitenkin käytännesäännöt saattavat tarjota lisäsuojaa myös kuluttajille, jotka luovuttavat henkilötietoja yritykselle, joka käyttää henkilötietojen käsittelijänä käytännesääntöjen soveltamisalaan kuuluvaa pilivipalvelualan toimijaa.

Euroopan tietosuojaneuvosto hyväksyi molemmat käytännesäännöt todeten, että ne täyttävät käytännesäännöiltä edellytettävät vaatimukset. Vaatimukset koskevat muun muassa käytännesääntöjen laatineen tahon edustettavuutta kyseisellä toimialalla, riittäviä suojatoimia (esim. valitusmekanismien käyttöön ottaminen) ja käytännesääntöjen noudattamisen valvontamekanismeja.

Euroopan tietosuojaneuvoston lausunnot ovat luettavissa täällä ja täällä.

(HL)