[pic] | EUROOPAN YHTEISÖJEN KOMISSIO |

Bryssel 2.5.2007

KOM(2007) 228 lopullinen

KOMISSION TIEDONANTO EUROOPAN PARLAMENTILLE JA NEUVOSTOLLE

tietosuojan vahvistamisesta yksityisyyden suojaa parantavilla tekniikoilla

KOMISSION TIEDONANTO EUROOPAN PARLAMENTILLE JA NEUVOSTOLLE

tietosuojan vahvistamisesta yksityisyyden suojaa parantavilla tekniikoilla (ETA:n kannalta merkityksellinen teksti)

1. JOHDANTO

Tieto- ja viestintätekniikan jatkuva intensiivinen kehitys on johtanut siihen, että tarjolla on alati uusia palveluja, jotka parantavat ihmisten elämää. Verkkoavaruudessa tapahtuva kanssakäyminen perustuu paljolti niiden ihmisten henkilötietoihin, jotka ostavat sieltä tavaroita ja palveluita, luovat yhteyksiä tai pitävät yhteyttä toisiinsa taikka julkistavat ajatuksiaan verkkosivuilla. Tästä kehityksestä saatavien etujen lisäksi se tuo tullessaan myös uusia riskejä, kuten väärän henkilöllisyyden käyttö, syrjivä profilointi, jatkuva seuranta tai petokset.

Euroopan unionin perusoikeuskirjan 8 artiklaan on kirjattu oikeus henkilötietojen suojaan. Tämä perusoikeus vahvistetaan henkilötietojen suojaa koskevassa yhteisön lainsäädännössä, joka sisältää erityisesti tietosuojadirektiivin 95/46/EY[1], sähköisen viestinnän tietosuojadirektiivin 2002/58/EY[2] ja tietosuoja-asetuksen (EY) N:o 45/2001[3], joka kattaa henkilötietojen käsittelyn yhteisön toimielimissä ja elimissä. Tämä lainsäädäntö sisältää useita aineellisia säännöksiä, joilla asetetaan velvoitteita rekisterinpitäjille ja tunnustetaan rekisteröidyn oikeudet. Siinä säädetään myös säännösten rikkomisesta määrättävistä seuraamuksista ja tarkoituksenmukaisista korjaustoimenpiteistä sekä säännösten tehokkaan soveltamisen takaavien valvontajärjestelyiden käyttöönotosta.

Tämä järjestelmä voi kuitenkin osoittautua riittämättömäksi, kun henkilötietoja levitetään maailmanlaajuisesti tieto- ja viestintäverkoissa ja kun tietojen käsittelyssä on mukana lukuisia lainkäyttöalueita, jotka sijaitsevat usein EU:n ulkopuolella. Tällaisissa tilanteissa nykyiset säännöt saattavat osoittautua käyttökelpoisiksi ja niiden perusteella voidaan kartoittaa selkeät oikeudelliset ratkaisut. Lisäksi ne saattavat mahdollistaa niiden soveltamista valvovan toimivaltaisen viranomaisen yksilöinnin. Käytössä olevaan tekniikkaan liittyvien vaikeuksien tuloksena voi kuitenkin ilmetä huomattavia käytännön ongelmia, sillä tietojen käsittelyyn osallistuu eri paikoissa toimivia henkilöitä ja kansallisella tasolla annettujen hallinnollisten ja oikeudellisten päätösten noudattamisen valvonta muilla lainkäyttöalueilla, erityisesti EU:n ulkopuolisissa maissa, on usein ongelmallista.

Vaikka oikeudellinen vastuu tietosuojasääntöjen noudattamisesta kuuluu varsinaisesti rekisterinpitäjille, ne jakavat tietosuojanäkökohtiin liittyvän yhteiskunnallisen ja eettisen vastuun tietyltä osin muiden tahojen kanssa. Näitä tahoja ovat muun muassa teknisten eritelmien laatijat ja sovellusten tai käyttöjärjestelmien varsinaiset valmistajat tai kehittäjät.

Tietosuojadirektiivin 17 artiklassa rekisterinpitäjä velvoitetaan toteuttamaan tarpeelliset tekniset ja organisatoriset toimenpiteet sellaisen turvallisuustason varmistamiseksi, joka on riittävä suhteessa tietojen luonteeseen ja niiden käsittelyyn liittyviin riskeihin. Sähköisen viestinnän tietosuojadirektiivissä[4] otetaan jo jossain määrin huomioon mahdollisuus lainsäädännön ja erityisesti tietosuojasääntöjen noudattamisen varmistamiseen tekniikan käytön avulla.

Lainsäädännössä on asetettu tavoitteeksi henkilötietojen käsittelyn rajaaminen minimiin ja nimettömän tai salanimellä julkaistun tiedon käyttö aina kun se on mahdollista. Tämän tavoitteen saavuttamista voitaisiin edistää yksityisyyden suojaa parantavilla tekniikoilla ( Privacy Enhancing Technologies ), joiden avulla päästäisiin helpommin tilanteeseen, jossa tietosuojasääntöjen ja yksilön oikeuksien rikkomista ei katsota pelkästään kielletyksi teoksi, josta määrätään seuraamuksia, vaan jossa sääntöjen ja oikeuksien rikkominen olisi lisäksi teknisesti nykyistä vaikeampaa.

Tämä tiedonanto annetaan tietosuojadirektiivin täytäntöönpanosta annetun ensimmäisen kertomuksen[5] jatkoksi. Tiedonannossa luodaan katsaus yksityisyyden suojaa parantavista tekniikoista saatavaan hyötyyn, määritetään komission tavoitteet tietosuojan alalla näiden tekniikoiden käytön lisäämiseksi ja esitellään yksityiskohtaisesti toimia, jotka olisi toteutettava tämän tavoitteen saavuttamiseksi tukemalla yksityisyyden suojaa parantavien tekniikoiden kehittämistä ja niiden käyttöä rekisterinpitäjien ja kuluttajien tasolla.

2. MITÄ YKSITYISYYDEN SUOJAA PARANTAVAT TEKNIIKAT OVAT?

Yksityisyyden suojaa parantavista tekniikoista on laadittu useita määritelmiä, jotka ovat käytössä korkeakouluissa ja alan pilottihankkeissa. Esimerkiksi yhteisön rahoitusta saavassa PISA-hankkeessa näillä tekniikoilla tarkoitetaan yhtenäistä tieto- ja viestintäteknisten toimenpiteiden järjestelmää, jolla suojataan yksityisyyttä poistamalla henkilötiedot kokonaan tai osittain tai ehkäisemällä tarpeeton ja/tai epätoivottu henkilötietojen käsittely heikentämättä kuitenkaan tietojärjestelmän toimivuutta. Yksityisyyden suojaa parantavien tekniikoiden käytöllä voidaan tukea sellaisten tieto- ja viestintäjärjestelmien sekä -palveluiden suunnittelua, joissa henkilötietojen keruu ja käyttö on rajattu minimiin ja joilla helpotetaan tietosuojasääntöjen noudattamista. Komissio toteaa tietosuojadirektiivin täytäntöönpanosta annetussa ensimmäisessä kertomuksessa, että ”…asianmukaiset tekniset toimenpiteet täydentävät olennaisesti oikeudellisia keinoja, ja niiden olisi kuuluttava kiinteänä osana kaikkiin toimiin, joiden tavoitteena on saavuttaa riittävä yksityisyyden suojan taso”. Yksityisyyden suojaa parantavien tekniikoiden käytön odotetaan vaikeuttavan tiettyjen tietosuojasääntöjen rikkomista ja/tai helpottavan sääntörikkomusten havaitsemista.

Alati muuttuvassa tieto- ja viestintäteknisessä ympäristössä yksityisyyden suojan ja tietyiltä osin myös tietosuojalainsäädännön noudattamisen varmistavien tekniikoiden tehokkuus vaihtelee ja muuttuu ajan mittaan. Tekniikoita on lisäksi useita eri tyyppejä. Ne voivat olla erillisiä työkaluja, joiden käyttö edellyttää kuluttajien panosta (kuluttajien on hankittava ne ja asennettava ne tietokoneisiinsa), tai ne voivat muodostaa varsinaisen tietojärjestelmärakenteen kiinteän osan. Seuraavassa mainitaan esimerkkejä yksityisyyden suojaa parantavista tekniikoista:

- Henkilötietojen automaattinen poistuminen tietyn ajan kuluttua tukee periaatetta, jonka mukaan käsiteltävien tietojen olisi oltava sellaisessa muodossa, josta rekisteröity on tunnistettavissa ainoastaan sen ajan kuin on tarpeen niiden tarkoitusten toteuttamista varten, joita varten tiedot kerättiin.

- Salausohjelmat, jotka estävät tiedon sieppaamisen Internetissä tapahtuvassa tiedonsiirrossa, auttavat rekisterinpitäjää täyttämään velvollisuutensa, jonka mukaan sen on toteutettava aiheelliset toimenpiteet henkilötietojen suojaamiseksi laittomalta käsittelyltä.

- Suodatinohjelmat, jotka estävät nk. evästeiden ( cookie s) tallentumisen käyttäjän tietokoneelle. Evästeet saavat tietokoneen tottelemaan joitakin ohjauskäskyjä ilman että käyttäjä on tietoinen siitä. Näillä ohjelmilla edistetään tietojen tasapuolisen ja lainmukaisen käsittelyn periaatteen noudattamista ja periaatetta, jonka mukaan henkilön on oltava tietoinen tietojensa käsittelystä.

- Platform for Privacy Preferences (P3P) -tekniikan avulla Internetin käyttäjät voivat arvioida, millaisia yksityisyyden suojaa koskevia periaatteita eri verkkosivustot noudattavat, ja verrata niitä omiin näkemyksiinsä siitä, millaisia tietoja he ovat valmiit luovuttamaan. P3P-tekniikan avulla rekisteröity voi varmistaa antaneensa tietoon perustuvan suostumuksen itseään koskevien tietojen käsittelyyn.

3. KOMISSIO TUKEE YKSITYISYYDEN SUOJAA PARANTAVIEN TEKNIIKOIDEN KÄYTTÖÄ

Komissio katsoo, että yksityisyyden suojaa parantavia tekniikoita olisi kehitettävä edelleen ja ne olisi otettava laajemmin käyttöön erityisesti silloin, kun on kyse henkilötietojen käsittelystä tieto- ja viestintäverkoissa. Komission näkemyksen mukaan kyseisten tekniikoiden laajempi käyttö parantaisi yksityisyyden suojaa ja helpottaisi tietosuojasääntöjen noudattamista. Lisäksi kyseisten tekniikoiden käytöllä täydennettäisiin nykyistä oikeudellista kehystä ja nykyisiä lainvalvontakeinoja.

Turvallisen tietoyhteiskunnan strategiaa koskevassa tiedonannossaan (KOM(2006) 251, 31.5.2006) komissio kehotti erityisesti yksityistä sektoria lisäämään ”tietoturvaa tehostavien tuotteiden, prosessien ja palvelujen käyttöönottoa käyttäjätunnusvarkauksien ja muiden yksityisyyttä loukkaavien hyökkäysten ehkäisemiseksi ja torjumiseksi”. Lisäksi yleiseurooppalaisen EIDM-puitteiden käyttöönotosta vuoteen 2010 mennessä annetun komission suunnitelman[6] mukaan yksi sähköisen identiteetin hallinnan pääperiaatteista on, että ”järjestelmän on oltava turvallinen, siinä on oltava käyttäjän yksityisyyden suojaamisen kannalta välttämättömät suojakeinot ja sen käyttö on voitava mukauttaa paikallisiin etunäkökohtiin ja salassapitopainotuksiin”.

Se, että tietojen käsittelyyn osallistuu monia eri toimijoita ja se tapahtuu monen eri maan lainkäyttöalueella, voi vaikeuttaa oikeudellisen kehyksen soveltamisen valvontaa. Yksityisyyden suojaa parantavien tekniikoiden käytön avulla voitaisiin toisaalta välttää tietyt tietosuojasääntöjen rikkomiset, joiden seurauksena rikotaan myös perusoikeuksia, kuten oikeutta yksityisyyteen, sillä rikkominen muuttuisi niiden ansiosta teknisesti vaikeammaksi. Komissio on tietoinen siitä, että vaikka tekniikka on keskeisessä asemassa yksityisyyden suojaamisessa, se ei yksistään takaa riittävää suojaa. Yksityisyyden suojaa parantavien tekniikoiden käytössä on noudatettava täytäntöönpanokelpoisia tietosuojasääntöjä, joilla kaikille tarjotaan tietyssä määrin erikseen sovittavissa oleva yksityisyyden suojan taso. Näiden tekniikoiden käyttö ei kuitenkaan tarkoita sitä, että toimijat voitaisiin vapauttaa tietyistä lakisääteisistä velvoitteistaan (esim. velvoitteesta, jonka mukaan toimijoiden on myönnettävä käyttäjille oikeus tutustua heitä koskeviin tietoihin).

Myös tärkeät yleistä etua koskevat näkökohdat voitaisiin ottaa nykyistä paremmin huomioon. Tietosuojaa koskevan lainsäädännön mukaan yleisten periaatteiden noudattamista ja yksilöiden oikeuksien kunnioittamista voidaan rajoittaa tärkeisiin yleisiin etunäkökohtiin kuten yleiseen turvallisuuteen, rikosten torjuntaan tai kansanterveyteen liittyvistä syistä. Näihin rajoituksiin sovellettavista ehdoista säädetään tietosuojadirektiivin 13 artiklassa ja sähköisen viestinnän tietosuojadirektiivin 15 artiklassa. Kyseiset ehdot vastaavat sisällöltään Euroopan ihmisoikeussopimuksen 8 artiklaa, jonka mukaan yksityisyyteen puuttuminen voi olla perusteltua silloin, kun laki sen sallii ja se on demokraattisessa yhteiskunnassa välttämätöntä oikeasuhteista ja välttämätöntä perusteltua julkista tarkoitusta varten.[7] Yksityisyyden suojaa parantavien tekniikoiden käyttö ei saisi estää lainvalvontaviranomaisia eikä muita toimivaltaisia viranomaisia hoitamasta tärkeää yleistä etua koskevan syyn vuoksi lakisääteisiä tehtäviään, kuten tietoverkkorikollisuuden tai terrorismin torjunta tai tarttuvien tautien leviämisen ehkäiseminen. Vastuuviranomaisten olisi saatava tarvittaessa käyttöönsä henkilötietoja kyseisten tehtävien hoitamiseksi lakisääteisten menettelyiden, ehtojen ja suojakeinojen mukaisesti.

Tietosuojasääntöjen parempi noudattaminen vaikuttaisi myönteisesti myös kuluttajien luottamukseen erityisesti verkkoavaruutta kohtaan. Monet lupaavat lisäarvopalvelut, jotka perustuvat henkilötietojen siirtoon tietoverkoissa ja joita ovat esimerkiksi verkko-oppiminen, sähköiset viranomaispalvelut, sähköiset terveydenhuolto- ja pankkipalvelut, verkkokauppa ja nk. älyautojärjestelmät. Kuluttajat voisivat olla varmoja siitä, että tunnistautumista, palveluiden vastaanottamista tai maksujen suorittamista varten luovutettuja tietoja käytetään ainoastaan laillisiin tarkoituksiin ja että digitaaliympäristössä toimiminen ei tapahdu heidän oikeuksiensa kustannuksella.

4. TÄHÄNASTINEN TOIMINTA JA JATKOTOIMET

Parantaakseen yksityisyyden suojan ja tietosuojan tasoa yhteisössä muun muassa tukemalla yksityisyyden suojaa parantavien tekniikoiden kehittämistä ja käyttöä komissio aikoo harjoittaa jäljempänä kuvailtua toimintaa, jossa on mukana monia eri toimijoita, kuten komission omat yksiköt, kansalliset viranomaiset, elinkeinoelämän edustajat ja kuluttajat.

Näiden kysymysten käsittelyssä kiinnitetään huomiota pienten ja keskisuurten yritysten (pk-yritysten) erityistilanteeseen ja siihen, millaisia mahdollisuuksia tai kannustimia niillä on käyttää yksityisyyden suojaa parantavia tekniikoita. Komission olisi käsiteltävä myös sellaisia aiheita kuin luottamus ja tietoisuus, jotka ovat pk-yritysten kannalta erityisen tärkeitä kysymyksiä.

4.1. Ensimmäinen tavoite: Tuki yksityisyyden suojaa parantavien tekniikoiden kehittämiselle

Jos yksityisyyden suojaa parantavien tekniikoiden käyttöä halutaan laajentaa, niiden suunnittelua, kehittämistä ja valmistamista on lisättävä. Vaikka näin tapahtuukin jo tietyssä määrin yksityisellä ja julkisella sektorilla, komissio katsoo, että näitä toimintoja olisi lisättävä. Tämän tavoitteen savuttaminen edellyttää yksityisyyden suojaa parantaviin tekniikoihin liittyvien tarpeiden ja teknisten vaatimusten kartoittamista ja välineiden kehittämistä osana T&K-toimintaa.

4.1.1. Toimi 1.1: Yksityisyyden suojaa parantaviin tekniikoihin liittyvien tarpeiden ja teknisten vaatimusten kartoittaminen

Yksityisyyden suojaa parantavat tekniikat ovat erittäin riippuvaisia tieto- ja viestintätekniikan alalla tapahtuvasta kehityksestä. Kun tekniikan kehittymiseen liittyvät riskit on kartoitettu, on yksilöitävä tarkoituksenmukaiset vaatimukset teknistä ratkaisua varten.

Komissio kannustaa eri sidosryhmiä kokoontumaan yhteen keskustelemaan yksityisyyden suojaa parantavista tekniikoista. Näitä sidosryhmiä ovat erityisesti tieto- ja viestintätekniikan alan edustajat, yksityisyyden suojaa parantavien tekniikoiden kehittäjät, tietosuojaviranomaiset, lainvalvontaviranomaiset, tekniikan alan yhteistyökumppanit, kuten sähköisten terveydenhuoltopalveluiden ja tietoturva-alan asiantuntijat, kuluttajat ja kansalaisoikeusjärjestöt. Sidosryhmien olisi käytävä säännöllisin väliajoin keskusteluita tekniikan kehittymistä ja uhkia, joita se kohdistaa perusoikeuksiin ja tietosuojaan, sekä kartoitettava näihin uhkiin vastaamiseen liittyviä teknisiä vaatimuksia. Tämä voisi kattaa myös teknisten toimenpiteiden mukauttamisen kulloinkin kyseessä oleviin riskeihin ja tietoihin, ja siinä olisi lisäksi otettava huomioon yleiseen etuun liittyvät näkökohdat, kuten yleinen turvallisuus.

4.1.2. Toimi 1.2: Yksityisyyden suojaa parantavien tekniikoiden kehittäminen

Kun yksityisyyden suojaa parantaviin tekniikoihin liittyvät tarpeet ja tekniset vaatimukset on kartoitettu, on ryhdyttävä konkreettisiin toimiin käyttövalmiin lopputuotteen kehittämiseksi.

Komissio on jo ottanut jossain määrin huomioon yksityisyyden suojaa parantaviin tekniikoihin liittyvät tarpeet. Se tukee tutkimuksen kuudennessa puiteohjelmassa PRIME-hanketta[8], jossa käsiteltäviä aiheita ovat sähköinen henkilöllisyyden hallinta ja yksityisyyden suojaaminen tietoyhteiskunnassa. OPEN-TC-hankkeessa[9] kehitetään yksityisyyden suojaa avoimen lähdekoodin ohjelmistotekniikan pohjalta. DISCREET-hankkeen[10] puitteissa kehitetään välitysohjelmistoja yksityisyyden suojaamiseksi kehittyneissä verkkopalveluissa. Jatkossa komissio aikoo tukea seitsemännessä puiteohjelmassa muita T&K-hankkeita ja laaja-alaisia demonstraatioita, joiden tarkoituksena on edistää yksityisyyden suojaa parantavien tekniikoiden käyttöönottoa. Tavoitteena on tarjota perusta käyttäjälähtöisille yksityisyyttä suojaaville palveluille supistamalla Euroopan maiden välisiä oikeudellisia ja teknisiä eroja julkisen ja yksityisen sektorin yhteistyökumppanuuksien avulla.

Komissio kehottaa myös kansallisia viranomaisia ja yksityistä sektoria panostamaan yksityisyyden suojaa parantavien tekniikoiden kehittämiseen. Tämä on ratkaisevan tärkeää, jotta Euroopan teollisuus voisi toimia edelläkävijänä alalla, jonka merkitys kasvaa koko ajan, kun teknisissä standardeissa edellytetään yhä useammin näitä tekniikoita ja myös kuluttajat vaativat niiden käyttöä oikeuksiensa suojaamiseksi verkkoavaruudessa.

4.2. Toinen tavoite: Yksityiden suojaa parantavien tekniikoiden käytön lisääminen rekisterinpitäjien keskuudessa

Yksityisyyden suojaa parantavista tekniikoista saatavien etujen optimaalinen hyödyntäminen edellyttää sitä, että ne sisällytetään tehokkaasti henkilötietojen käsittelyssä käytettäviin teknisiin laitteisiin ja ohjelmistoihin. Kyseisien laitteiden valmistajien ja niitä tietojenkäsittelyssä käyttävien rekisterinpitäjien osallistumisella onkin tässä suhteessa erityisen suuri painoarvo.

4.2.1. Toimi 2.1: Yksityisyyden suojaa parantavien tekniikoiden käytön lisääminen elinkeinoelämän alalla

Komission näkemyksen mukaan kaikki henkilötietojen käsittelyyn osallistuvat tahot hyötyisivät yksityisyyden suojaa parantavien tekniikoiden laajemmasta käytöstä. Tieto- ja viestintätekniikkateollisuus on johtavassa asemassa yksityisyyden suojaa parantavien tekniikoiden kehittäjänä ja toimittajana. Se onkin erityisen tärkeässä asemassa niiden käytön lisäämisessä. Komissio kehottaa kaikkia rekisterinpitäjiä lisäämään ja tehostamaan yksityisyyden suojaa parantavien tekniikoiden käyttöä toimintaprosesseissaan. Tätä varten komissio aikoo järjestää tieto- viestintätekniikkateollisuuden keskeisille toimijoille ja erityisesti yksityisyyden suojaa parantavien tekniikoiden kehittäjille suunnattuja seminaareja, joissa pohditaan tapoja, joilla ne voisivat omalta osaltaan edistää yksityisyyden suojaa parantavien tekniikoiden käyttöä rekisterinpitäjien keskuudessa.

Komissio aikoo myös toteuttaa tutkimuksen, jossa tarkastellaan näiden tekniikoiden käytöstä saatavaa taloudellista hyötyä, ja jakaa tutkimustuloksia yrityksille ja erityisesti pk-yrityksille kannustaakseen niitä lisäämään kyseisten tekniikoiden käyttöä.

4.2.2. Toimi 2.2: Asianmukaisten standardien noudattaminen henkilötietojen suojaamisessa yksityisyyden suojaa parantavien tekniikoiden avulla

Kattava kampanja yksityisyyden suojaa parantavien tekniikoiden käytön lisäämiseksi edellyttää yksityisyyden suojaa parantavien tekniikoiden valmistamisesta vastaavan tieto- ja viestintätekniikkateollisuuden aktiivista panosta. Asianmukaisten standardien noudattaminen edellyttää kuitenkin eri osapuolten itsesääntelyä tai hyvää tahtoa pidemmälle meneviä toimia. Komissio aikoo selvittää tarkoituksenmukaisten vaikutustenarviointien perusteella, onko tarpeen laatia standardeja henkilötietojen luvalliselle käsittelylle yksityisyyden suojaa parantavilla tekniikoilla. Kyseisten arviointien tulosten perusteella voitaisiin harkita kahdentyyppisten välineiden käyttöönottoa:

- Toimi 2.2.a) Standardointi

Komissio selvittää, olisiko standardointitoiminnassa otettava huomioon tarve noudattaa tietosuojasääntöjä. Komissio aikoo myös pitää huolen siitä, että sidosryhmien monenvälisen vuoropuhelun tulokset otetaan huomioon sen toimien ja eurooppalaisten standardointielinten työn valmistelussa. Tämä on erityisen tärkeää silloin, kun vuoropuhelussa yksilöidään tarkoituksenmukaisia tietosuojastandardeja, joissa edellytetään tiettyjen yksityisyyden suojaa parantavien tekniikoiden käyttöä.

Komissio saattaa myös pyytää eurooppalaisia standardointielimiä (CEN, CENELEC ja ETSI) arvioimaan Euroopan tasolla ilmeneviä erityistarpeita ja saattamaa ne sen jälkeen kansainväliseen tietoisuuteen eurooppalaisten ja kansainvälisten standardointiorganisaatioiden välillä voimassa olevien sopimusten puitteissa. Eurooppalaisten standardointielinten olisi tarvittaessa laadittava erillinen standardointia koskeva työohjelma, joka perustuu Euroopan erityistarpeisiin ja täydentää siten kansainvälisellä tasolla meneillään olevaa toimintaa.

- Toimi 2.2.b) Tietojenkäsittelyyn sovellettavia turvatoimenpiteitä koskevien kansallisten teknisten sääntöjen yhteensovittaminen

Tietosuojadirektiivin[11] nojalla annetussa kansallisessa lainsäädännössä jätetään kansallisille tietosuojaviranomaisille jonkin verran määräysvaltaa teknisten vaatimusten yksityiskohtaisessa määrityksessä, kuten rekisterinpitäjien ohjeistamisessa, käytössä olevien järjestelmien tarkastelussa tai teknisten ohjeiden antamisessa. Kansalliset tietosuojaviranomaiset voisivat myös edellyttää tiettyjen yksityisyyden suojaa parantavien tekniikoiden lisäämistä tai käyttöä silloin, kun kyseinen henkilötietojen käsittely sitä vaatii. Komission näkemyksen mukaan tällä alalla noudatettavien kansallisten käytäntöjen yhteensovittaminen voisi omalta osaltaan myötävaikuttaa yksityisyyden suojaa parantavien tekniikoiden käytön lisäämiseen. Erityisesti 29 artiklan mukainen työryhmä[12] voisi edistää kyseisten tekniikoiden käyttöä, sillä sen tehtävänä on nimenomaan edistää tietosuojadirektiivin nojalla toteutettujen kansallisten toimenpiteiden yhdenmukaistamista. Komissio kehottaa tämän vuoksi 29 artiklan mukaista työryhmää jatkamaan tätä toimintaa sisällyttämällä työohjelmaansa pysyvästi arviointien laatimisen siitä, olisiko tietojenkäsittelyssä käytettävä yksityisyyden suojaa parantavia tekniikoita, jotka voivat tarjota tehokkaan keinon varmistaa tietosuojasääntöjen noudattaminen. Työryhmän olisi sen jälkeen laadittava kansallisille tietosuojaviranomaisille ohjeet tarkoituksenmukaisten välineiden yhteensovitettua käyttöönottoa varten.

4.2.3. Toimi 2.3: Yksityisyyden suojaa parantavien tekniikoiden käytön lisääminen viranomaisten keskuudessa

Viranomaiset sekä jäsenvaltioiden että yhteisön tasolla käsittelevät erittäin usein henkilötietoja hoitaessaan tehtäviään. Viranomaisilla itsellään on velvollisuus kunnioittaa perusoikeuksia ja siten myös oikeutta henkilötietojen suojaan sekä varmistaa, että myös muut kunnioittavat niitä. Niiden olisikin näytettävä hyvää esimerkkiä.

Kansallisten viranomaisten osalta komissio panee merkille, että sähköistä hallintoa varten kehitettyjen sovellusten yleistyminen mahdollistaa julkisten palveluiden tehostamisen. Kuten komission tiedonannossa ”Sähköisen hallinnon merkitys huomisen Euroopassa”[13] todetaan, yksityisyyden suojaa parantavien tekniikoiden käyttö on välttämätön edellytys sähköisen hallinnon palveluiden menestyksen edellyttämän luottamuksen saavuttamiseksi. Komissio kehottaa hallituksia varmistamaan, että niiden sähköisen hallinnon sovellukset sisältävät tarvittavat tietosuojakeinot. Tämä kattaa myös yksityisyyden suojaa parantavien tekniikoiden mahdollisimman laajan käytön kyseisten sovellusten suunnittelussa ja toteutuksessa.

Yhteisön toimielinten ja elinten osalta komissio varmistaa omasta puolestaan asetuksen (EY) N:o 45/2001 vaatimusten noudattamisen erityisesti lisäämällä yksityisyyden suojaa parantavien tekniikoiden käyttöä tieto- ja viestintätekniikan sovelluksissa, joihin liittyy henkilötietojen käsittelyä. Komissio kehottaa samalla EU:n muita toimielimiä toimimaan samoin. Euroopan tietosuojavaltuutettu voisi antaa yhteisön toimielimille ja elimille neuvoja henkilötietojen käsittelyyn liittyvien sisäisten sääntöjen laatimisesta. Valitessaan uusia tieto- ja viestintätekniikkasovelluksia omaan käyttöönsä tai kehittäessään nykyisiä sovelluksia komissio selvittää, voitaisiinko niihin sisällyttää yksityisyyden suojaa parantavia tekniikoita. Yksityisyyden suojaa parantavien tekniikoiden merkitys otetaan huomioon myös komission tietohallintoa koskevassa kokonaisstrategiassa. Komissio pyrkii lisäämään henkilöstönsä tietämystä näistä tekniikoista. Niiden sisällyttäminen komission tieto- ja viestintätekniikkasovelluksiin riippuu kuitenkin kyseisten tuotteiden saatavuudesta ja edellyttää tapauskohtaista, kunkin sovelluksen kehityskaareen perustuvaa arviointia.

4.3. Kolmas tavoite: Kuluttajien kannustaminen käyttämään yksityisyyttä parantavia tekniikoita

Kuluttajat ovat edelleen se ryhmä, jonka kannattaa pitää erityisen tarkkaavaisesti huolta siitä, että henkilötietoja käytetään asianmukaisesti, tietosuojasääntöjä sovelletaan oikein ja yksityisyyden suojaa parantavat tekniikat ovat mahdollisimman tehokkaita.

Kuluttajat olisikin saatava tietoisiksi kaikista niistä eduista, joita yksityisyyden suojaa parantavien tekniikoiden käytöstä mahdollisesti saadaan, kun henkilötietojen käsittelyyn liittyviä riskejä saadaan eliminoitua. Heillä olisi lisäksi oltava valmiudet tehdä tietoon perustuvia valintoja ostaessaan tietotekniikkalaitteita ja -ohjelmistoja tai käyttäessään sähköisiä palveluita. Tietoisuus näihin liittyvistä riskeistä on lähtökohtana erityisesti arvioitaessa, tarjoavatko yksityisyyden suojaa parantavat tekniikat riittävän suojan. Käyttäjille onkin annettava selkeää ja ymmärrettävässä muodossa olevaa tietoa saatavilla olevista teknisistä välineistä yksityisyyden suojaamiseksi. Yksityisyyden suojaa parantavien tekniikoiden sekä kyseistä tekniikkaa käyttävien sähköisten palveluiden käytön yleistyminen tuottaa taloudellista hyötyä niitä käyttäville aloille. Tämä vaikutus voi heijastua muihin yrityksiin, jotka pyrkivät sen myötä ehkä kiinnittämään enemmän huomiota tietosuojasääntöjen noudattamiseen. Näiden vaikutusten aikaansaaminen edellyttää kuitenkin tiettyjen toimien toteuttamista.

4.3.1. Toimi 3.1: Kuluttajien tietoisuuden lisääminen

Olisi otettava käyttöön johdonmukainen strategia kuluttajien tietoisuuden lisäämiseksi riskeistä, joita henkilötietojen käsittelystä voi aiheutua, ja yksityisyyden suojaa parantavien tekniikoiden näihin ongelmiin mahdollisesti tarjoamista ratkaisuista. Nämä ratkaisut täydentävät nykyisiä tietosuojalainsäädäntöön sisältyvien korjaustoimenpiteiden järjestelmiä. Komissio aikoo järjestää kattavaa EU:n laajuista tiedotustoimintaa, joiden aiheena on yksityisyyden suojaa parantavien tekniikoiden käyttö.

Päävastuu tästä toiminnasta kuuluu kansallisille tietosuojaviranomaisille, joilla on jo siitä hyödyllistä kokemusta. Komissio kehottaa kansallisia tietosuojaviranomaisia ulottamaan tiedotustoimintansa yksityisyyden suojaa parantavia tekniikoita koskevaan tiedotukseen, jossa olisi käytettävä kaikkia saatavilla olevia välineitä. Komissio pyytää myös 29 artiklan mukaista työryhmää laatimaan johdonmukaisen työohjelman koordinoidakseen käytäntöjä, joita eri jäsenvaltiot noudattavat tietoisuuden lisäämiseksi yksityisyyden suojaa parantavista tekniikoista, sekä toimimaan yhteyspisteenä tiedonvaihdossa kansallisella tasolla jo nyt käytössä olevista hyvistä toimintamalleista. Erityisesti kuluttajajärjestöt ja muut toimijat, kuten EU-kuluttajaneuvontakeskusten verkosto (ECC-Net), joka antaa EU:n tasolla kansalaisille neuvoja kuluttajien oikeuksista, voisivat toimia yhteistyössä kuluttajille suunnatun tiedotuksen alalla.

4.3.2. Toimi 3.2: Kuluttajien avustaminen tietoon perustuvien valintojen tekemisessä: Yksityisyyden suojaa koskevat tunnukset

Yksityisyyden suojaa parantavien tekniikoiden käyttöönotto ja käyttö voisi yleistyä, jos käyttäjät voisivat tunnistaa helposti niitä käyttävät tuotteet ja niiden perusominaisuudet. Tätä tarkoitusta varten komissio aikoo tutkia mahdollisuutta ottaa käyttöön EU:n laajuinen yksityisyyden suojaa koskevien tunnusten järjestelmä ja arvioida samalla tällaisen järjestelmän taloudellisia ja yhteiskunnallisia vaikutuksia. Yksityisyyden suojaa koskevien tunnusten tarkoituksena on varmistaa, että kuluttajat voivat helposti tunnistaa tuotteet, joita käyttäessään he voivat olla varmoja siitä, että tietojen käsittelyssä noudatetaan tietosuojasääntöjä ja että tämä on varmistettu erityisesti tarkoituksenmukaisilla yksityisyyden suojaa parantavilla tekniikoilla.

Jotta yksityisyyden suojaa koskevat tunnukset vastaisivat tarkoitustaan, komissio pitää tärkeänä seuraavien periaatteiden noudattamista:

- Yksityisyyden suojaa koskeviin tunnuksiin perustuvien järjestelmien lukumäärä on rajattava minimiin. Liian monien tunnusten olemassaolo voisi aiheuttaa hämmennystä kuluttajien keskuudessa ja heikentää heidän luottamustaan kaikkiin tunnuksiin. Sen vuoksi olisi arvioitava, missä määrin olisi tarkoituksenmukaista sisällyttää eurooppalainen yksityisyyden suojaa koskeva tunnus yleisempään turvallisuusmerkintäjärjestelmään[14] .

- Yksityisyyden suojaa koskevat tunnukset olisi myönnettävä ainoastaan sillä edellytyksellä, että tuote täyttää tietosuojasääntöjen mukaiset standardit. Standardien olisi oltava mahdollisimman yhdenmukaiset eri puolella EU:ta.

- Viranomaisten ja erityisesti kansallisten tietosuojaviranomaisten olisi oltava keskeisessä asemassa järjestelmässä osallistumalla relevanttien standardien ja menettelyiden määrittelyyn ja tunnusjärjestelmän toimivuuden seurannassa.

Tämän seurauksena komissio aikoo käydä vuoropuhelua kaikkien sidosryhmien kanssa (esim. kansallisten tietosuojaviranomaisten, toimialajärjestöjen, kuluttajajärjestöjen ja standardointielinten kanssa) hyödyntäen muilla aloilla (esim. ympäristö, maatalous sekä tuotteiden ja palveluiden turvallisuusmerkinnät) saatuja kokemuksia.

[1] Euroopan parlamentin ja neuvoston direktiivi 95/46/EY, annettu 24 päivänä lokakuuta 1995, yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta, EYVL L 281, 23.11.1995, s. 31.

[2] Euroopan parlamentin ja neuvoston direktiivi 2002/58/EY, annettu 12 päivänä heinäkuuta 2002, henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla (sähköisen viestinnän tietosuojadirektiivi), EYVL L 201, 31.7.2002, s. 37.

[3] Euroopan parlamentin ja neuvoston asetus (EY) N:o 45/2001, annettu 18 päivänä joulukuuta 2000, yksilöiden suojelusta yhteisöjen toimielinten ja elinten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta, EYVL L 8, 12.1.2001, s. 1–22.

[4] Direktiivin 2002/58/EY johdanto-osan 46 kappale ja 14 artiklan 3 kohta.

[5] KOM(2003) 265(01), 15.5.2003, ks. http://eurlex.europa.eu/LexUriServ/site/en/com/2003/com2003_0265en01.pdf.

[6] http://ec.europa.eu/information_society/activities/egovernment_research/doc/eidm_roadmap_paper.pdf.

[7] Yhdistetyt asiat C-465/00, C-138/01 ja C-139/01, Österreichischer Rundfunk ym. (”Rechnungshof”), yhteisöjen tuomioistuimen tuomio 20.5.2003, Kok. 2003, s. I-04989, 71 ja 72 kohta.

[8] https://www.prime-project.eu/.

[9] http://www.opentc.net/.

[10] http://www.ist-discreet.org/.

[11] Esim. 17 artikla.

[12] Direktiivin 95/46/EY 29 artiklalla perustettu tietosuojatyöryhmä.

[13] KOM(2003) 567 lopullinen, 26.9.2003.

[14] Komissio kehotti 31. toukokuuta 2006 antamassaan tiedonannossa ”Turvallisen tietoyhteiskunnan strategia – Lisää vuoropuhelua, yhteistyötä ja vaikutusmahdollisuuksia” (KOM2006) 251 lopullinen) yksityistä sektoria ”luomaan kohtuuhintaiset turvallisuusmerkintäjärjestelmät sellaisille tuotteille, prosesseille ja palveluille, jotka koskevat EU:n erityisiä tarpeita (erityisesti yksityisyyteen liittyen)”.