52012DC0012

KOMISSION KERTOMUS EUROOPAN PARLAMENTILLE, NEUVOSTOLLE, EUROOPAN TALOUS- JA SOSIAALIKOMITEALLE JA ALUEIDEN KOMITEALLE

annettu rikosasioissa tehtävässä poliisi- ja oikeudellisessa yhteistyössä käsiteltävien henkilötietojen suojaamisesta 27 päivänä marraskuuta 2008 tehdyn neuvoston puitepäätöksen 29 artiklan 2 kohdan perusteella

1. JOHDANTO 1.1. Tausta

Rikosasioissa tehtävässä poliisi- ja oikeudellisessa yhteistyössä käsiteltävien henkilötietojen suojaamisesta 27 päivänä marraskuuta 2008 tehdyllä neuvoston puitepäätöksellä 2008/977/YOS[1], jäljempänä ’puitepäätös’, luodaan yleiset oikeudelliset puitteet tietosuojaa varten poliisiyhteistyön ja rikosasioissa tehtävän oikeudellisen yhteistyön alalla. Puitepäätös tuli voimaan 19. tammikuuta 2009[2].

Puitepäätös oli tarpeen antaa sen takia, ettei käytössä ollut yleistä eurooppalaista tietosuojavälinettä poliisiyhteistyön ja rikosasioissa tehtävän oikeudellisen yhteistyön alalla.[3] Yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta annetun direktiivin 95/46/EY 3 artiklassa todetaan, että direktiiviä ei sovelleta henkilötietojen käsittelyyn, joka suoritetaan sellaisessa toiminnassa, joka ei kuulu yhteisön oikeuden soveltamisalaan, kuten toiminta, josta on määrätty Euroopan unionista tehdyn sopimuksen VI osastossa, ja kaikissa tapauksissa käsittely, joka koskee yleistä turvallisuutta, puolustusta, valtion turvallisuutta ja rikosoikeuden alalla tapahtuvaa valtion toimintaa.

Puitepäätöksellä on tarkoitus varmistaa EU:n tasolla korkeatasoinen suoja luonnollisten henkilöiden perusoikeuksille ja ‑vapauksille henkilötietojen käsittelyssä poliisiyhteistyön ja rikosasioissa tehtävän oikeudellisen yhteistyön alalla. Samalla olisi taattava yleisen turvallisuuden korkea taso.[4] Puitepäätös ei estä jäsenvaltioita antamasta kansallisella tasolla kerättyjen tai käsiteltyjen henkilötietojen suojaamiseksi säännöksiä, jotka ovat puitepäätöksessä säädettyjä tiukempia.[5]

Puitepäätöksen soveltamisala[6] kattaa henkilötietojen käsittelyn vain silloin, kun rikosten torjumiseksi, tutkimiseksi, selvittämiseksi tai niistä syyttämiseksi tai rikosoikeudellisten seuraamusten täytäntöönpanemiseksi:

– henkilötietoja siirretään tai on siirretty tai asetetaan tai on asetettu saataville jäsenvaltioiden kesken,

– jäsenvaltiot siirtävät tai ovat siirtäneet henkilötietoja Euroopan unionista tehdyn sopimuksen VI osaston (poliisiyhteistyö ja oikeudellinen yhteistyö rikosasioissa) nojalla perustetuille viranomaisille tai perustettuihin tietojärjestelmiin taikka asettavat tai ovat asettaneet henkilötietoja kyseisten viranomaisten tai tietojärjestelmien saataville, tai

– henkilötietoja siirretään tai on siirretty jäsenvaltioiden toimivaltaisille viranomaisille tai asetetaan tai on asetettu niiden saataville Euroopan unionista tehdyn sopimuksen tai Euroopan yhteisön perustamissopimuksen nojalla perustetuilta viranomaisilta tai perustetuista tietojärjestelmistä.

Toisesta jäsenvaltiosta siirretyt henkilötiedot saa siirtää kolmansille valtioille tai kansainvälisille elimille, jos tietyt edellytykset täyttyvät.[7]

Puitepäätöstä sovelletaan täysimääräisesti Yhdistyneessä kuningaskunnassa ja Irlannissa, sillä päätöksellä kehitetään Schengenin säännöstöä. Yhdistynyt kuningaskunta ja Irlanti osallistuvat puitepäätökseen Euroopan unionista tehtyyn sopimukseen ja Euroopan unionin toiminnasta tehtyyn sopimukseen liitetyn, Schengenin säännöstön sisällyttämisestä osaksi Euroopan unionia tehdyn pöytäkirjan 5 artiklan ja neuvoston päätösten 2000/365/EY ja 2002/192/EY nojalla.

Islannin, Norjan, Sveitsin ja Liechtensteinin osalta puitepäätöksellä kehitetään Schengenin säännöstöä siten kuin siitä määrätään sopimuksessa ja pöytäkirjoissa, joita Euroopan unionin neuvosto tai Euroopan unioni on tehnyt Islannin ja Norjan, Sveitsin valaliiton ja Liechtensteinin kanssa, sekä neuvoston päätöksissä 1999/437/EY, 2008/149/YOS ja 2008/262/YOS.

1.2. Puitepäätöksen 2008/977/YOS sisältö

Puitepäätöksen soveltamisala ei kata jäsenvaltion toimivaltaisten oikeus- tai poliisiviranomaisten jäsenvaltion alueella suorittamaa henkilötietojen käsittelyä (1 artiklan 2 kohta).

Poliisiyhteistyötä ja rikosasioissa tehtävää oikeudellista yhteistyötä koskevat alakohtaiset säädökset, joilla säännellään henkilötietojen suojaa ja jotka on annettu ennen puitepäätöksen voimaantuloa, ovat pääsääntöisesti ensisijaisia puitepäätökseen nähden (28 artikla). Puitepäätös ei vaikuta säädöksiin, joiden katsotaan muodostavan kokonaisen ja johdonmukaisen tietosuojaa koskevan säännöstön (johdanto-osan 39 kappale). Muut alakohtaiset säädökset, joiden tietosuojasäännösten soveltamisala on suppeampi, ovat ensisijaisia puitepäätökseen nähden vain, jos niiden säännöt ovat luonteeltaan puitepäätöksen säännöksiä rajoittavampia. Muissa tapauksissa sovelletaan puitepäätöstä (johdanto-osan 40 kappale).

Puitepäätöksessä määritellään tietosuojan tavoitteet poliisin ja oikeuslaitoksen toiminnan yhteydessä. Siinä annetaan henkilötietojen käsittelyn lainmukaisuutta koskevat säännökset sen varmistamiseksi, että kaikki mahdollisesti vaihdettavat tiedot on käsitelty lainmukaisesti ja tietojen laatuun liittyviä perusperiaatteita noudattaen.

Puitepäätöksessä määritellään rekisteröityjen oikeudet henkilötietojen suojan varmistamiseksi, vaarantamatta kuitenkaan rikostutkinnan tarkoitusta. Sitä varten rekisteröidyille on ilmoitettava tietojen käsittelystä ja annettava mahdollisuus tutustua omiin henkilötietoihin.

Kansallisten valvontaviranomaisten tehtävänä on toimia neuvojana ja valvojana jäsenvaltioiden puitepäätöksen nojalla antamien säännösten soveltamisessa. Viranomaisten on suoritettava niille annetut tehtävät täysin itsenäisesti.

1.3. Komission velvollisuus raportoida täytäntöönpanosta

Puitepäätöksen 29 artiklan 1 kohdan mukaan jäsenvaltioiden oli toteutettava tarvittavat toimenpiteet puitepäätöksen säännösten noudattamiseksi ennen 27. päivää marraskuuta 2010.

Puitepäätöksen 29 artiklan 2 kohdan mukaisesti jäsenvaltioiden on toimitettava neuvoston pääsihteeristölle ja komissiolle kirjallisina ne säännökset, joilla niille puitepäätöksestä aiheutuvat velvoitteet saatetaan osaksi kansallista lainsäädäntöä, sekä ilmoitus puitepäätöksen 25 artiklassa tarkoitetuista valvontaviranomaisista.

Komission on laadittava kertomus jäsenvaltioiden toimittamien tietojen pohjalta. Neuvosto arvioi 27. päivään marraskuuta 2011 mennessä, missä määrin jäsenvaltiot ovat noudattaneet puitepäätöksen säännöksiä.

1.4. Kertomuksen pohjana käytetyt tietolähteet

Marraskuun 9. päivään 2011 mennessä 26 jäsenvaltiota 27:stä sekä Liechtenstein, Norja, Islanti ja Sveitsi olivat toimittaneet komissiolle tiedot puitepäätöksen täytäntöönpanosta.

Näistä 26 jäsenvaltiosta 14 ilmoitti, että puitepäätös on jo pantu täytäntöön niiden voimassa olevalla lainsäädännöllä (Belgia, Irlanti, Itävalta, Latvia, Liettua, Luxemburg, Ruotsi, Saksa, Slovakia, Tanska, Tšekki, Unkari, Viro ja Yhdistynyt kuningaskunta). Irlanti, Ruotsi, Saksa ja Viro ilmoittivat tutkivansa edelleen, tarvitaanko uusia täytäntöönpanotoimenpiteitä.

Yhdeksän jäsenvaltion voidaan katsoa saattaneen puitepäätöksen kansalliseen lainsäädäntöönsä osittain, sillä ne ilmoittivat, että niiden on annettava vielä täytäntöönpanolainsäädäntöä.

Neljä jäsenvaltiota ei joko ole reagoinut lainkaan komission tietopyyntöön (Romania) tai on ilmoittanut, että ne eivät ole saattaneet puitepäätöstä kansalliseen lainsäädäntöönsä (Kreikka, Italia[8], Kypros).

Tiedot, jotka jäsenvaltiot ovat toimittaneet vastauksena komission kyselylomakkeeseen, vaihtelevat sisällöltään ja tarkkuudeltaan. Taulukossa 1 esitetään yleiskatsaus vastauksista. Se kuvastaa jäsenvaltioiden arviota puitepäätöksen täytäntöönpanotilanteesta.

2. PUITEPÄÄTÖKSEN SAATTAMINEN OSAKSI KANSALLISTA LAINSÄÄDÄNTÖÄ 2.1. Euroopan unionista tehdyn sopimuksen entisen 34 artiklan 2 kohdan b alakohdan mukainen puitepäätös

Tämä puitepäätös perustuu Euroopan unionista tehtyyn sopimukseen ja erityisesti sen 30 artiklaan, 31 artiklan e alakohtaan sekä 34 artiklan 2 kohdan b alakohtaan.

Puitepäätökset ovat säädöksinä parhaiten verrattavissa direktiiveihin, sillä ne velvoittavat jäsenvaltioita saavutettavaan tulokseen nähden, mutta jättävät kansallisten viranomaisten valittavaksi täytäntöönpanon muodon ja keinot. Puitepäätöksillä ei kuitenkaan ole välitöntä oikeusvaikutusta.[9]

Perussopimuksiin liitetyn, siirtymämääräyksiä koskevan pöytäkirjan (nro 36) 10 artiklassa vahvistetaan siirtymämääräykset, jotka koskevat ennen Lissabonin sopimuksen voimaantuloa annettuja, Euroopan unionista tehdyn sopimuksen V ja VI osastoon perustuvia säädöksiä. Artiklassa todetaan, että Euroopan unionin toiminnasta tehdyn sopimuksen, jäljempänä ’SEUT-sopimus’, 258 artiklan mukaista komission toimivaltaa ei sovelleta (ja Euroopan unionin tuomioistuimen toimivalta säilyy ennallaan) siirtymäkautena eli viiden vuoden ajan Lissabonin sopimuksen voimaantulopäivästä (1. päivään joulukuuta 2014), kun on kyse entisen kolmannen pilarin alaan kuuluvista säädöksistä.

Jäljempänä kuvataan tarkemmin puitepäätöksen neljän keskeisen säännöksen täytäntöönpanoa niiden vastausten pohjalta, jotka jäsenvaltiot antoivat komission 9. joulukuuta 2010 esittämään pyyntöön.

2.1.1. Kansallisten täytäntöönpanotoimien soveltamisala

Puitepäätöstä sovelletaan pelkästään sellaisten henkilötietojen käsittelyyn, jotka siirretään tai on siirretty tai asetetaan tai on asetettu saataville jäsenvaltioiden kesken (1 artiklan 2 kohta). Poliisin tai oikeuslaitoksen rikosasioissa suorittama henkilötietojen käsittely kansallisella tasolla ei kuulu puitepäätöksen soveltamisalaan.

Liitteen taulukossa 2 kuvataan yleisesti täytäntöönpanotoimenpiteitä jäsenvaltioissa. Useimmat jäsenvaltiot mainitsivat puitepäätöksen täytäntöönpanotoimenpiteissä yleisen tietosuojalainsäädännön ja viittasivat alakohtaiseen lainsäädäntöön, jota sovelletaan poliisi-, oikeus-, tulli- ja veroviranomaisiin. Eräät jäsenvaltiot ovat päättäneet olla antamatta lainsäädäntöä. Sen sijaan ne ovat panneet puitepäätöksen täytäntöön hallinnollisilla kiertokirjeillä (esim. Saksa ja Yhdistynyt kuningaskunta).

Useimmat jäsenvaltiot ilmoittivat, että yleistä tietosuojalainsäädäntöä sovelletaan poliisin ja oikeuslaitoksen sekä kansallisella tasolla että rajatylittävissä tilanteissa harjoittamaan henkilötietojen käsittelyyn.[10] Lisäksi usein sovelletaan rikosprosessilakeja ja poliisien tietojenkäsittelyä koskevia lakeja.[11] Kolmetoista jäsenvaltiota (Alankomaat, Belgia, Italia, Luxemburg, Malta, Ruotsi, Saksa, Slovakia, Slovenia, Suomi, Tšekki, Unkari ja Viro) viittasi rikosprosessilakeihin tai muuhun vastaavaan lainsäädäntöön. Seitsemän jäsenvaltiota (Alankomaat, Ruotsi, Saksa, Slovenia, Suomi, Tšekki, Unkari) ilmoitti poliisin tietojenkäsittelyä koskevan lain olemassaolosta.[12] Kolme jäsenvaltiota (Bulgaria, Portugali ja Liettua) ilmoitti lisäksi, että ne ovat antaneet erikseen lainsäädäntöä, jolla saatetaan kansalliseen lainsäädäntöön eräät puitepäätöksen säännökset, joita yleinen lainsäädäntö ei kata ja joita sovelletaan pelkästään rajatylittävään henkilötietojen käsittelyyn.[13]

Kolme jäsenvaltiota piti puitepäätöksen rajallista soveltamisalaa ongelmallisena. Italia ja Alankomaat ilmoittivat törmänneensä ongelmiin yrittäessään käytännössä tehdä eron puitepäätöksen 2008/977/YOS mukaisen rajatylittävän tietojenkäsittelyn ja kansallisella tasolla tapahtuvan käsittelyn välillä sekä totesivat, että jäsenvaltioiden lainvalvontaviranomaisten on sen vuoksi hankala soveltaa erilaisia käsittelysääntöjä samoihin henkilötietoihin. Puola viittasi puitepäätöksen puutteisiin ja korosti erityisesti tukevansa komission tavoitetta luoda kattavat puitteet ja laajentaa yleisiä tietosuojasääntöjä poliisiyhteistyön ja rikosasioissa tehtävän oikeudellisen yhteistyön aloille.[14]

2.1.2. Rekisteröidylle ilmoittaminen (16 artikla, johdanto-osan 26 ja 27 kappale)

Puitepäätöksen mukaisesti jäsenvaltioiden olisi varmistettava, että toimivaltaiset viranomaiset ilmoittavat rekisteröidyille henkilötietojen käsittelystä tai siirrosta toiseen jäsenvaltioon rikosten torjumista, tutkimista, selvittämistä tai niistä syyttämistä tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten. Kansallisessa laissa olisi säädettävä ilmoittamisen muodosta, sisällöstä ja keinoista sekä ilmoittamiseen sovellettavista poikkeuksista (rekisteröidylle ei ilmoiteta lainkaan tai ilmoitetaan vain rajoitetusti). Ilmoittaminen voidaan toteuttaa yleisellä tasolla esimerkiksi antamalla asiasta lainsäädäntöä tai julkaisemalla luettelo tietojen käsittelytavoista. Jos tietoja siirretään toiseen jäsenvaltioon, kukin jäsenvaltio voi pyytää, että toinen jäsenvaltio ei ilmoita rekisteröidylle.

Taulukosta 3 ilmenee, että lähes kaikki jäsenvaltiot ilmoittivat toimittavansa rekisteröidyille joitakin tietoja henkilötietojen käsittelystä. Ranska ilmoitti, että se ei anna tietoja. Tanska ei myöskään anna rekisteröidyille oikeutta saada ilmoitusta tietojen käsittelystä, mutta se totesi, että rekisterinpitäjän on pidettävä käsittelystä kirjaa ja tiedotettava asiasta suurelle yleisölle.

Rekisteröidylle ilmoittamista rajoitetaan useimmissa jäsenvaltioissa. Kansallisessa lainsäädännössä joko rajoitetaan ilmoittamista rikosten torjumista, tutkimista, selvittämistä tai syytteeseenpanoa varten tai todetaan, että tätä oikeutta ei sovelleta, kun tietoja käsittelevät tietyt rekisterinpitäjät (poliisi ja/tai tuomioistuimet). Eräissä tapauksissa rajoituksista/poikkeuksista säädetään ilman, että olisi määritelty, mihin toimiin niitä sovelletaan. Useat jäsenvaltiot ilmoittivat, että tällaisia rajoituksia sovelletaan poliisin, sotilaspoliisin, tuomioistuinten sekä tulli- ja veroviranomaisten kohdalla.

Alankomaat ilmoitti, että yleinen velvollisuus ilmoittaa rekisteröidylle tietojen käsittelystä ei ole täysin johdonmukainen poliisin ja tuomioistuinten toiminnan luonteen kanssa, mutta että maassa on otettu käyttöön eräitä järjestelyjä, jotta rekisteröidyille voitaisiin tiedottaa poliisin ja oikeusviranomaisten harjoittamasta tietojenkäsittelystä vaaditulla tavalla (lainsäädännössä määritellään tapaukset, joissa tietoja voidaan käsitellä, sekä tietojenkäsittelyn edellytykset; lisäksi syyttäjäviranomainen ilmoittaa rekisteröidylle erityisten tutkintavaltuuksien käytöstä, jos tämä on tutkinnan kannalta mahdollista). Alankomaat ilmoitti myös, että tätä säännöstä ei tarvitse saattaa kansalliseen lainsäädäntöön, koska 16 artiklan 1 kohdassa viitataan pelkästään jäsenvaltioiden kansallisiin säännöksiin.

Puitepäätöksessä vahvistetaan rekisteröityjen oikeus saada tietoa henkilötietojensa käsittelystä, mutta ei säädetä yksityiskohtaisesti ilmoittamisen keinoista tai mahdollisista poikkeuksista ilmoitusvelvollisuuteen. Vaikka jäsenvaltioiden mukaan oikeus saada tietoa yleensä toteutuu, säännöksen täytäntöönpano vaihtelee huomattavasti.

2.1.3. Rekisteröityjen tiedonsaantioikeus (17 artikla)

Puitepäätöksessä säädetään, että rekisteröidyllä on oikeus saada vapaasti ja ilman aiheetonta viivytystä tai aiheettomia kustannuksia:

a)         ainakin vahvistus rekisterinpitäjältä tai kansalliselta valvontaviranomaiselta siitä, onko häntä koskevia tietoja siirretty tai asetettu saataville vai ei, sekä tiedot tietojen vastaanottajista tai vastaanottajaryhmistä, joille tiedot on luovutettu, sekä ilmoitus käsiteltävistä tiedoista; tai

b)         ainakin vahvistus kansalliselta valvontaviranomaiselta siitä, että kaikki tarvittavat varmennukset on tehty.

Jäsenvaltiot voivat toteuttaa lainsäädäntötoimia, joilla rajoitetaan tiedonsaantioikeutta, jos tällainen rajoitus on tarpeen virallisten tai laillisten tiedustelujen, tutkintojen tai menettelyjen estämisen välttämiseksi, jotta vältetään tuottamasta haittaa rikosten torjumiselle, selvittämiselle, tutkimiselle ja niistä syyttämiselle tai rikosoikeudellisten seuraamusten täytäntöönpanolle, yleisen turvallisuuden suojelemiseksi, kansallisen turvallisuuden suojelemiseksi, tai rekisteröidyn suojelemiseksi tai muiden henkilöiden oikeuksien ja vapauksien suojelemiseksi (17 artiklan 2 kohta). Jos rekisterinpitäjä kieltäytyy antamasta tietoja, asiasta on ilmoitettava rekisteröidylle kirjallisesti (17 artiklan 3 kohta).

Jäsenvaltioiden toimittamat tiedot on kerätty Taulukkoon 4. Ne kuvaavat sitä, miten eri jäsenvaltioissa annetaan rekisteröidyille tietoa. Voidaan todeta, että kaikki jäsenvaltiot[15] myöntävät rekisteröidyille jonkinlaisen tiedonsaantioikeuden. Tämä oikeus vahvistetaan yleensä kunkin maan yleisessä tietosuojalainsäädännössä. Moni jäsenvaltio myös säätää tiedonsaantioikeudesta yksityiskohtaisesti alakohtaisessa lainsäädännössä (kuten poliisilaeissa).

Lisäksi kaikki jäsenvaltiot säätävät poikkeuksista tiedonsaantioikeuteen. Perusteeksi tiedonsaantioikeuden epäämiselle mainitaan useimmiten seuraavat:

– rikosten torjuminen, tutkiminen, selvittäminen ja syytteeseenpano,

– kansallinen turvallisuus, puolustus ja yleinen turvallisuus,

– jäsenvaltion ja EU:n taloudelliset edut (esim. finanssipolitiikkaan, budjettiin ja verotukseen liittyvissä asioissa)[16],

– rekisteröidyn tai muiden henkilöiden oikeuksien ja vapauksien suojeleminen.

Eräissä jäsenvaltioissa säädetään erikseen siitä, miten oikeus tutustua omiin henkilötietoihin toteutetaan. Eräät jäsenvaltiot ilmoittivat myöntävänsä rekisteröidyille oikeuden pyytää tietoa omista henkilötiedoistaan suoraan toimivaltaiselta viranomaiselta (Alankomaat, Bulgaria, Irlanti, Itävalta, Latvia, Malta, Puola, Ruotsi, Saksa, Slovakia, Suomi, Yhdistynyt kuningaskunta), kun taas eräät maat (Belgia, Ranska) sallivat pelkästään epäsuoran tiedonsaantioikeuden. Jälkimmäisessä tapauksessa oikeus tutustua kaikkiin rekisteröityä koskeviin henkilötietoihin on rekisteröidyn sijaan kansallisella valvontaviranomaisella. Suomessa ja Liettuassa rekisteröidyt voivat valita. Portugalissa sovelletaan pääsääntöisesti suoraa tiedonsaantioikeutta. Epäsuoraa tiedonsaantioikeutta sovelletaan silloin, kun henkilötietojen käsittely vaikuttaa valtion turvallisuuteen tai rikoksen ehkäisemiseen tai tutkimiseen. Tilanne on vastaava Luxemburgissa, jossa rekisteröidyille myönnetään yleensä suora tiedonsaantioikeus. Jos asiassa sovelletaan poikkeusta, tiedonsaantipyyntö on osoitettava tietosuojaviranomaiselle.

Puitepäätöksessä on yleisiä sääntöjä rekisteröityjen tiedonsaantioikeudesta. Siinä ei kuitenkaan määritellä tarkemmin, millaisia tietoja rekisteröidylle on annettava. Lisäksi puitepäätöksen mukaan jäsenvaltiot saavat päättää, voivatko rekisteröidyt käyttää tiedonsaantioikeuttaan suoraan vai epäsuorasti.

2.1.4. Kansalliset valvontaviranomaiset (25 artikla)

Puitepäätöksessä 2008/977/YOS todetaan, että täysin riippumattomien valvontaviranomaisten perustaminen jäsenvaltioihin on ”olennainen osa jäsenvaltioiden keskinäisen poliisi- ja oikeudellisen yhteistyön yhteydessä käsiteltävien henkilötietojen suojaamista” (johdanto-osan 33 kappale). Lisäksi siinä todetaan, että yleisen tietosuojadirektiivin mukaisesti jäsenvaltioihin jo perustettujen valvontaviranomaisten olisi myös voitava ottaa vastatakseen kansallisten valvontaviranomaisten tehtävistä (johdanto-osan 34 kappale). Puitepäätöksen 2008/977/YOS 25 artikla vastaa suurelta osin direktiivin 95/46/EY 28 artiklan (1–4, 7 kohta) säännöstä valvontaviranomaisista ja näiden valtuuksista, viranomaisen velvollisuudesta hoitaa tehtäviä itsenäisesti sekä salassapitovelvollisuudesta. Kullakin viranomaisella on oltava eräitä valtuuksia, kuten tutkintavaltuudet (ml. valtuudet saada tietoja ja kerätä kaikki tarvittavat tiedot), tehokkaat toimintavaltuudet (esim. valtuudet antaa ja julkistaa lausuntoja ennen käsittelyn toteuttamista, valtuudet määrätä tietojen suojaamisesta, poistamisesta tai tuhoamisesta, kieltää käsittely väliaikaisesti tai lopullisesti, antaa rekisterinpitäjälle varoitus tai huomautus taikka valtuudet saattaa asia kansallisen parlamentin tai muun poliittisen elimen käsiteltäväksi) sekä asianosaisvaltuus.

Taulukosta 5 ilmenee, että useimmissa tapauksissa yleisten tietosuojasääntöjen täytäntöönpanosta ja soveltamisesta vastuussa olevat kansalliset valvontaviranomaiset seuraavat myös puitepäätöksen 2008/977/YOS täytäntöönpanoa ja soveltamista.

Ruotsi ilmoitti, että sen tietosuojalautakunta on vielä nimitettävä puitepäätöksen 25 artiklan mukaiseksi toimivaltaiseksi valvontaviranomaiseksi.

Eräät jäsenvaltiot ottivat erikseen esille kysymyksen siitä, miten tietojenkäsittelyä tuomioistuimissa valvotaan.[17] Tanska ilmoitti, että tuomioistuinhallinto on vastuussa tuomioistuinten tietojenkäsittelyn valvonnasta. Itävalta puolestaan ilmoitti, että valvontaviranomaisella ei ole toimivaltaa ratkaista kanteluja, jotka koskevat tapauksia, joissa tuomioistuimet ovat rikkoneet tietosuojasääntöjä. Luxemburgissa tietojenkäsittelyn valvonta kuuluu yleensä tietosuojalautakunnan vastuulle. Tietojenkäsittelyä, joka tapahtuu kansainvälisen sopimuksen täytäntöönpanoa koskevan kansallisen säännöksen puitteissa, valvoo viranomainen, johon kuuluu yleinen syyttäjä (Procureur Général d’Etat) tai hänen edustajansa sekä kaksi tietosuojalautakunnan jäsentä, joita lautakunta on itse ehdottanut ja jotka ministeri on nimittänyt tähän tehtävään.

2.1.5. Jäsenvaltioiden esille ottamat muut seikat

26 jäsenvaltiosta 20 ei ottanut esille erityisiä ongelmia puitepäätöksen täytäntöönpanossa. Näistä 20 jäsenvaltiosta kahdeksan (Belgia, Itävalta, Kreikka, Kypros, Luxemburg, Tanska, Unkari, Viro) ei vastannut tähän kysymykseen lainkaan. Kuten Taulukosta 6 käy ilmi, kuusi jäsenvaltiota esitti huomautuksia ongelmallisista seikoista:

– Puola katsoi puitepäätöksen sisältävän useita puutteita, jotka olisi korjattava. Lisäksi se ilmoitti tukevansa uudistuksia, joiden tavoitteena on luoda EU:hun kattava ja yhdenmukainen tietosuojajärjestelmä;

– Italia ja Alankomaat ilmoittivat, että on vaikea käytännössä tehdä ero puitepäätöksen 2008/977/YOS mukaisen rajatylittävän tietojenkäsittelyn ja kansallisella tasolla tapahtuvan käsittelyn välillä, sekä totesivat, että jäsenvaltioiden lainvalvontaviranomaisten on sen vuoksi hankala soveltaa erilaisia käsittelysääntöjä samoihin henkilötietoihin;

– Italia, Tšekki ja Alankomaat kritisoivat puitepäätöksen sääntöjä, jotka koskevat kansainvälisiä siirtoja. Erityisesti Italia totesi, että kolmansiin maihin siirrettävien tietojen suojasta olisi säädettävä riittävällä ja yhdenmukaisella tavalla. Alankomaat piti ongelmallisena sitä, että puitepäätöksessä ei vahvisteta perusteita, joiden nojalla voitaisiin määrittää riittävä tietosuojan taso kolmannessa maassa. Tämä puolestaan on johtanut jäsenvaltioissa vaihteleviin täytäntöönpanotapoihin. Tšekki piti kansainvälisiä siirtoja koskevia puitepäätöksen sääntöjä epärealistisina.

– Ranska mainitsi kansallisen tason erityisongelman, joka koskee kolmanteen maahan tai kolmannesta maasta siirrettyjen henkilötietojen säilytysaikoja tapauksissa, joissa kyseinen kolmas maa soveltaa erilaisia vaatimuksia.       – Slovakian mukaan on tarpeen erottaa toisistaan tarkemmin poliisin suorittama tietojenkäsittely ja tuomioistuinten tietojenkäsittely (oikeudenkäynnit).

– Tšekki ja Alankomaat totesivat, että lainvalvontaviranomaisten on hankala noudattaa monenlaisia tietosuojasääntöjä kansainvälisellä tasolla (esim. Euroopan neuvosto), EU:n tasolla ja kansallisella tasolla.

3. EDESSÄ OLEVA TYÖ

Tässä kertomuksessa kartoitetaan rikosasioissa tehtävässä poliisi- ja oikeudellisessa yhteistyössä käsiteltävien henkilötietojen suojaamisesta annetun puitepäätöksen täytäntöönpanoa ja toimintaa.

Käytännön ongelmat, joita jäsenvaltioilla on ollut jäsenvaltion sisällä tapahtuvaa ja rajatylittävää tietojenkäsittelyä koskevien sääntöjen erottamisessa, voitaisiin ratkaista vahvistamalla yhdenmukaiset säännöt tietojenkäsittelyä varten sekä kansallisella tasolla että rajatylittävissä tapauksissa. Rekisteröityjen tiedonsaantioikeutta ja EU:n tasolla sovellettavia poikkeuksia olisi selkeytettävä. Vahvistamalla yhdenmukaiset vähimmäisedellytykset rekisteröityjen tiedonsaantioikeudelle voitaisiin vahvistaa rekisteröityjen oikeuksia ja samalla määritellä poikkeukset, jotta poliisi ja tuomioistuimet voivat hoitaa tehtävänsä asianmukaisesti.

Euroopan unionin toiminnasta tehdyn sopimuksen 16 artiklassa vahvistetaan oikeus henkilötietojen suojaan. Kyseisen artiklan mukaisesti on mahdollista vahvistaa kattavat tietosuojapuitteet, joilla samanaikaisesti varmistetaan yksilöiden tietojen korkeatasoinen suoja poliisiyhteistyön ja rikosasioissa tehtävän oikeudellisen yhteistyön alalla ja toisaalta sujuvoitetaan henkilötietojen vaihtoa jäsenvaltioiden poliisi- ja oikeusviranomaisten välillä, toissijaisuusperiaatetta noudattaen.

[1]               EUVL L 350, 30.12.2008, s. 60.

[2]               Puitepäätöksen 30 artikla.

[3]               Yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24 päivänä lokakuuta 1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY johdanto-osan 5 kappale, EYVL L 281, 23.11.1995, s. 31.

[4]               Puitepäätöksen 1 artikla.

[5]               Puitepäätöksen 1 artiklan 5 kohta.

[6]               Puitepäätöksen 1 artiklan 2 kohta.

[7]               Puitepäätöksen 13 artikla.

[8]               Italia ilmoitti komissiolle, että eräitä täytäntöönpanosäädöksiä ei vielä ole hyväksytty virallisesti. Se viittaa henkilötietojen suojasta annettuun lakiin, rikosprosessilakiin ja muihin säädöksiin, joissa säädetään henkilötietojen käsittelystä kyseisillä aloilla. Muut jäsenvaltiot sen sijaan ilmoittivat, että voimassa olevia tietosuojasääntöjä sovelletaan myös poliisin ja oikeuslaitoksen kansallisella tasolla harjoittamaan henkilötietojen käsittelyyn sekä poliisin ja oikeuslaitoksen rikosasioissa toteuttamaan rajatylittävään tietojen käsittelyyn. Lisäksi ne ovat ilmoittaneet komissiolle valmisteilla olevista muista täytäntöönpanotoimenpiteistä.

[9]               Katso asia C-105/03, Pupino, tuomio 16.5.2005 (34, 43–45, 47 ja 61 kohta), jossa yhteisöjen tuomioistuin katsoi, että kansallisten tuomioistuinten olisi kansallisia lakeja tulkitessaan pyrittävä johdonmukaisuuteen, myös puitepäätösten kanssa.

[10]             Tilanne oli vastaava jo ennen puitepäätöksen antamista (ks. komission yksiköiden valmisteluasiakirja, vaikutusten arviointi, SEC(2005) 1241, 4.10.2005, 5.1.2 kohta).

[11]             Katso Taulukko 2.

[12]             Katso Taulukko 2.

[13]             Ks. Alankomaiden esittämät huomautukset.

[14]             Ks. lisäksi Puolan (sisäministeriö) panos komission vuoden 2010 lopulla käynnistämään julkiseen kuulemiseen (mainitaan vastauksessa, jonka Puola antoi kyselylomakkeeseen): http://ec.europa.eu/justice/news/consulting_public/0006/contributions/public_authorities/pl_min_pl.pdf.

[15]             Tämä johtopäätös voidaan tehdä siitä huolimatta, että eräät jäsenvaltiot eivät ole toimittaneet tarkempia tietoja (ks. tarkemmin Taulukko 3).

[16]             Tätä poikkeusta ei mainita erikseen puitepäätöksen 2008/977/YOS 17 artiklassa. Se kuitenkin vastaa erästä direktiivin 95/46/EY 13 artiklan 1 kohdassa mainittua poikkeusta.

[17]             Katso puitepäätöksen johdanto-osan 35 kappaleen viimeinen virke, jonka mukaan valvontaviranomaisten valtuudet ”eivät kuitenkaan saisi olla ristiriidassa rikosoikeudellisia menettelyjä koskevien sääntöjen tai tuomioistuinten riippumattomuuden kanssa”.