Euroopan tietosuojaneuvostolta lopulliset versiot kolmesta ohjeesta – aiheina rekisteröidyn tarkastusoikeus, johtavan valvontaviranomaisen määrittäminen ja tietoturvaloukkausilmoitukset
Euroopan tietosuojaneuvosto on julkaissut lopulliset versiot kolmesta ohjeesta julkisten kuulemiskierrosten jälkeen. Yksi ohjeista koskee rekisteröidyn oikeutta saada tutustua omiin tietoihinsa eli niin kutsuttua tarkastusoikeutta. Johtavan valvontaviranomaisen määräytymistä koskevaan ohjeeseen ja ohjeeseen tietoturvaloukkausten ilmoittamisesta on päivitetty toimivaltaisen valvontaviranomaisen määrittämiseen ja rekisterinpitäjän päätoimipaikkaan liittyviä seikkoja.
Tarkastusoikeutta koskevassa ohjeessa käydään läpi tarkastusoikeuden toteuttamiseen liittyviä käytännön kysymyksiä ja ohjeistetaan, miten rekisteröidyn oikeus saada tutustua tietoihinsa on toteutettava eri tilanteissa. Ohjeessa käsitellään muun muassa sitä, miten ja missä muodossa tiedot tulee antaa rekisteröidylle, milloin rekisterinpitäjä voi pyytää rekisteröityä täsmentämään pyyntöään, milloin pyynnön voidaan katsoa olevan ilmeisen perusteeton tai kohtuuton ja missä tilanteissa tarkastusoikeutta voidaan rajoittaa.
Julkisessa kuulemisessa saadun palautteen perusteella ohjeeseen on muun muassa selkeytetty rekisteröidyn tunnistamisen ja henkilöllisyyden vahvistamisen käsitteitä. Lisäksi selvennettiin ohjeistusta toimitettavien tietojen muodosta sekä tietojen toimittamisesta tilanteessa, joissa tietojen säilytysaika on hyvin lyhyt. Ohjeeseen on myös lisätty viittauksia Euroopan unionin tuomioistuimessa hiljattain tehtyihin päätöksiin tai tuomioistuimessa vireillä oleviin asioihin.
Ohje tietosuojaneuvoston verkkosivuilla englanniksi: Guidelines on data subject rights - right of access
Valvontaviranomaisen määräytymistä koskevia päivityksiä ohjeistuksiin
Tietosuojaneuvosto on hyväksynyt lopulliset versiot myös rekisterinpitäjän tai henkilötietojen käsittelijän johtavan valvontaviranomaisen määräytymistä koskevasta ohjeesta sekä tietoturvaloukkausilmoituksia koskevasta ohjeesta. Molemmissa ohjeissa on kyse tietosuojatyöryhmä WP29:n aikaisemman ohjeistuksen päivittämisestä. Julkinen kuuleminen koski ainoastaan ohjeiden päivitettyjä kohtia.
Johtavan valvontaviranomaisen määräytymistä koskevaan ohjeeseen on selvennetty päätoimipaikan käsitettä yhteisrekisterinpitäjyyden yhteydessä.
Henkilötietojen tietoturvaloukkausten ilmoittamista koskevassa ohjeessa puolestaan selvennetään erityisesti rekisterinpitäjän vastuuta tietoturvaloukkauksesta ilmoittamisesta. Julkisessa kuulemisessa nousi esiin käytännön kysymyksiä tilanteista, joissa tietoturvaloukkauksesta on ilmoitettava useiden maiden tietosuojaviranomaisille. Tietosuoja-asetuksessa ei säädetä keskitetystä yhteyspisteestä rekisterinpitäjille, jotka eivät ole sijoittautuneet ETA-alueelle. Jos rekisterinpitäjän päätoimipaikka ei sijaitse ETA-maassa, rekisterinpitäjän on ilmoitettava tietoturvaloukkauksesta kaikkien niiden jäsenvaltioiden tietosuojaviranomaisille, joissa tietoturvaloukkauksen kohteeksi joutuneet rekisteröidyt asuvat.
Tietosuojaneuvosto muistuttaa, että päivitetyllä kohdalla ainoastaan mukautetaan ohje vastaamaan yleisen tietosuoja-asetuksen sisältöä. Tietosuojaneuvosto aikoo julkaista rekisterinpitäjien tueksi yhteystietoluettelon tietoturvaloukkausten ilmoittamista varten verkkosivuillaan.
Ohjeet tietosuojaneuvoston verkkosivuilla englanniksi:
Lähde: Tietosuojavaltuutetun toimiston tiedote
Kirjoittaja Juridiikan ja talouden uutiskirjeen toimitus
Juridiikan ja talouden uutiskirje
Juridiikan ja talouden uutiskirje kokoaa uutiset ja ajankohtaiset sisällöt talouden, verotuksen ja juridiikan eri osa-alueista yhteen kirjeeseen. Voit räätälöidä kirjeen sisällön sinua kiinnostavista aihealueista. Uutiskirje ilmestyy joka arkipäivä.