Tietosuojaviranomaisilla eriävät mielipiteet vaikutustenarviointien tarpeesta?
23 loka 2018

Tietosuojaviranomaisilla eriävät mielipiteet vaikutustenarviointien tarpeesta?

Kirjoittaja | Julkaistu Uncategorized | 0

Euroopan tietosuojaneuvosto (European Data Protection Board, EDPB) on julkaissut lausuntonsa 22 EU:n jäsenvaltion tietosuojaviranomaisen GDPR:n 35 (4) artiklan mukaisista luonnosluetteloista koskien käsittelytoimien tyyppejä, joiden yhteydessä tulee tehdä 35(1) artiklan mukainen tietosuojan vaikutustenarviointi.

 

EDPB:n lausunnon tarkoituksena on muodostaa harmonisoitu näkemys henkilötietojen käsittelylle, joka on rajat ylittävää tai voi vaikuttaa henkilötietojen tai luonnollisten henkilöiden vapaaseen liikkuvuuteen EU:ssa. EDPB tavoittelee yhdenmukaisuutta EU:ssa näillä arvioinneillaan joko pyytämällä jäsenvaltion tietosuojaviranomaista lisäämään jonkin käsittelytoimien tyypin luetteloon, poistamaan jonkin kriteerin tai käyttämään jotain kriteeriä harmonisoidulla tavalla.

 

Muutoksia tietosuojavaltuutetun toimiston luetteloon?

EDPB pyysi myös Suomen tietosuojavaltuutetun toimistoa (TSV) tekemään muutoksia luetteloonsa. Alla tiivistetysti kuusi kohtaa, joihin EDPB kiinnitti huomiota.

 

  1. Luettelo ei ole tyhjentävä

EDPB pyytää TSV:tä lisäämään selityksen, että luettelo ei ole tyhjentävä.

 

  1. Viittaus WP29:n -ohjeistukseen

EDPB:n mukaan WP29:n ohjeistus vaikutustenarvioinneista (WP 248) toimii ydinelementtinä yhdenmukaiselle soveltamiselle EU:ssa. Tämän vuoksi EDPB pyytää lisäämään asiakirjaan, että luettelot pohjautuvat WP29:n ohjeistukseen ja täten nämä luettelot täydentävät ja täsmentävät ohjeistusta.

 

  1. Biometrinen tieto

TSV:n luettelon mukaisesti biometrisen tiedon käsittely itsessään edellyttää vaikutustenarvioinnin tekemistä. EDPB:n mukaan pelkän biometrisen tiedon käsittely ei välttämättä aiheuta korkeaa riskiä. EDPB pyytää TSV:tä muokkaamaan luetteloa siten, että vaikutustenarviointi tulee tehdä, jos biometristä tietoa käsitellään yhdessä toisen kriteerin kanssa.

 

  1. Geneettinen tieto

Samoin kuin biometrisen tiedon osalta, EDPB:n mukaan pelkän geneettisen tiedon käsittely ei välttämättä aiheuta korkeaa riskiä. Mikäli geneettistä tietoa käsitellään yhdessä toisen kriteerin kanssa, tulee rekisterinpitäjän tehdä vaikutustenarviointi.

 

  1. Sijaintitieto

Monien muiden jäsenvaltioiden luetteloissa sijaintitiedot on mainittu vaikutustenarviointia edellyttävänä tekijänä. Suomella ei alun perin sijaintitietoa ollut luettelossaan. Tämän vuoksi EDPB suosittelee TSV:lle sijaintitiedon lisäämistä luetteloon siten, että vaikutustenarviointi tulee tehdä, jos sijaintitietoja käsitellään yhdessä toisen korkean riskin aiheuttavan kriteerin kanssa.

 

  1. Informoinnin toimittamista koskeva poikkeus

TSV:n luettelossa edellytetään vaikutustenarvioinnin tekemistä 14 (5b) artiklan rekisteröidyille informoinnin toimittamista koskevassa poikkeustilanteessa. EDPB:n mukaan tämä ei edellytä itsessään vaikutustenarvioinnin tekemistä. EDPB pyytää TSV:tä lisäämään luetteloon, että 14 artiklan 5b-d alakohtien osalta vaikutustenarviointi tulee tehdä, jos toinenkin kriteeri täyttyy.

 

Mitä vaikutuksia näillä on?

Kansallisten tietosuojaviranomaisten tulee ilmoittaa EDPB:lle muuttavatko vai säilyttävätkö ne luettelonsa. Mikäli kansallinen tietosuojaviranomainen ei noudata EDPB:n lausuntoa pätee 65 artiklan riidanratkaisumekanismi. Kansallisilla tietosuojaviranomaisilla on kuitenkin tiettyä liikkumavaraa, kun on kyseessä kansallisesta henkilötietojen käsittelystä. Luultavaa on kuitenkin, että kansalliset tietosuojaviranomaiset toteuttavat rajat ylittävien henkilötietojen käsittelyn osalta EDPB:n toivomukset luetteloihin, mutta mahdollisesti tämä lausunto tulee vaikuttamaan myös kansallisen henkilötietojen käsittelyn luetteloihin. Herää kysymys mitä kansallisella henkilötietojen käsittelyllä edes tarkoitetaan, koska henkilötietojen käsittely nykypäivänä on usein rajat ylittävää?

 

Monilta osin yllä mainitut muutospyynnöt ovat yhteneväisiä muiden tietosuojaviranomaisten kuten Iso-Britannian tietosuojaviranomaisen ICO:n vastaanottamien lausuntojen kanssa. Mielenkiintoista huomata, että kansalliset tietosuojaviranomaiset ovat laatineet tietyiltä osin tiukemmat linjaukset luetteloissaan kuin EDPB. EDPB muodostuu jäsenvaltioiden tietosuojaviranomaisista ja Euroopan tietosuojavaltuutetusta ja päätökset tehdään yksinkertaisella enemmistöllä. Olisi kiinnostavaa nähdä miten eriävät mielipiteet vaikutustenarviointien tarpeista ovat syntyneet ja ketkä edustavat niin sanottua liberaalia siipeä. Tiedossa on jo entuudestaan ollut, että EU:ssa on jäsenvaltioiden kesken tulkintaeroja, mutta ymmärtääkseni muun muassa pohjoismaat ja Iso-Britannia ovat edustaneet liberaalimpaa siipeä, joten sen vuoksi näistä lausunnoista tulkittavat näkökantaerot yllättävät.

 

Hieman haastavatulkintaisista asiakirjoista huolimatta EDPB:n ICO:lle antamasta lausunnosta nousi myös merkittävä havainto. Lausunnon mukaan sijaintitieto ja uusi ja innovatiivinen teknologia ei kumpikaan välttämättä itsessään aiheuta korkeaa riskiä ja täten ne eivät välttämättä edellytä tietosuojan vaikutustenarviointia. Kuitenkin yhdistäessä nämä kaksi, tai jos jommankumman lisäksi on olemassa toinen kriteeri, niin kriteeristö täyttyy ja vaikutustenarviointi tulee toteuttaa.

 Elisa Salmela, ASML, @ElisaSalmela