EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 52012DC0012
REPORT FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT, THE COUNCIL, THE EUROPEAN ECONOMIC AND SOCIAL COMMITTEE AND THE COMMITTEE OF THE REGIONS based on Article 29 (2) of the Council Framework Decision of 27 November 2008 on the protection of personal data processed in the framework of police and judicial cooperation in criminal matters
KOMISSION KERTOMUS EUROOPAN PARLAMENTILLE, NEUVOSTOLLE, EUROOPAN TALOUS- JA SOSIAALIKOMITEALLE JA ALUEIDEN KOMITEALLE annettu rikosasioissa tehtävässä poliisi- ja oikeudellisessa yhteistyössä käsiteltävien henkilötietojen suojaamisesta 27 päivänä marraskuuta 2008 tehdyn neuvoston puitepäätöksen 29 artiklan 2 kohdan perusteella
KOMISSION KERTOMUS EUROOPAN PARLAMENTILLE, NEUVOSTOLLE, EUROOPAN TALOUS- JA SOSIAALIKOMITEALLE JA ALUEIDEN KOMITEALLE annettu rikosasioissa tehtävässä poliisi- ja oikeudellisessa yhteistyössä käsiteltävien henkilötietojen suojaamisesta 27 päivänä marraskuuta 2008 tehdyn neuvoston puitepäätöksen 29 artiklan 2 kohdan perusteella
/* COM/2012/012 final */
KOMISSION KERTOMUS EUROOPAN PARLAMENTILLE, NEUVOSTOLLE, EUROOPAN TALOUS- JA SOSIAALIKOMITEALLE JA ALUEIDEN KOMITEALLE annettu rikosasioissa tehtävässä poliisi- ja oikeudellisessa yhteistyössä käsiteltävien henkilötietojen suojaamisesta 27 päivänä marraskuuta 2008 tehdyn neuvoston puitepäätöksen 29 artiklan 2 kohdan perusteella /* COM/2012/012 final */
KOMISSION KERTOMUS EUROOPAN
PARLAMENTILLE, NEUVOSTOLLE, EUROOPAN TALOUS- JA SOSIAALIKOMITEALLE JA ALUEIDEN
KOMITEALLE annettu rikosasioissa tehtävässä poliisi- ja
oikeudellisessa yhteistyössä käsiteltävien henkilötietojen suojaamisesta 27
päivänä marraskuuta 2008 tehdyn neuvoston puitepäätöksen 29 artiklan 2 kohdan
perusteella
1.
JOHDANTO
1.1.
Tausta
Rikosasioissa tehtävässä poliisi- ja
oikeudellisessa yhteistyössä käsiteltävien henkilötietojen suojaamisesta
27 päivänä marraskuuta 2008 tehdyllä neuvoston puitepäätöksellä
2008/977/YOS[1],
jäljempänä ’puitepäätös’, luodaan yleiset oikeudelliset puitteet tietosuojaa
varten poliisiyhteistyön ja rikosasioissa tehtävän oikeudellisen yhteistyön
alalla. Puitepäätös tuli voimaan 19. tammikuuta 2009[2]. Puitepäätös oli tarpeen antaa sen takia, ettei
käytössä ollut yleistä eurooppalaista tietosuojavälinettä poliisiyhteistyön ja
rikosasioissa tehtävän oikeudellisen yhteistyön alalla.[3] Yksilöiden suojelusta
henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta annetun
direktiivin 95/46/EY 3 artiklassa todetaan, että direktiiviä ei sovelleta
henkilötietojen käsittelyyn, joka suoritetaan sellaisessa toiminnassa, joka ei
kuulu yhteisön oikeuden soveltamisalaan, kuten toiminta, josta on määrätty
Euroopan unionista tehdyn sopimuksen VI osastossa, ja kaikissa tapauksissa
käsittely, joka koskee yleistä turvallisuutta, puolustusta, valtion
turvallisuutta ja rikosoikeuden alalla tapahtuvaa valtion toimintaa. Puitepäätöksellä on tarkoitus varmistaa EU:n
tasolla korkeatasoinen suoja luonnollisten henkilöiden perusoikeuksille ja ‑vapauksille
henkilötietojen käsittelyssä poliisiyhteistyön ja rikosasioissa tehtävän
oikeudellisen yhteistyön alalla. Samalla olisi taattava yleisen turvallisuuden
korkea taso.[4]
Puitepäätös ei estä jäsenvaltioita antamasta kansallisella tasolla kerättyjen
tai käsiteltyjen henkilötietojen suojaamiseksi säännöksiä, jotka ovat
puitepäätöksessä säädettyjä tiukempia.[5] Puitepäätöksen soveltamisala[6] kattaa henkilötietojen
käsittelyn vain silloin, kun rikosten torjumiseksi, tutkimiseksi,
selvittämiseksi tai niistä syyttämiseksi tai rikosoikeudellisten seuraamusten
täytäntöönpanemiseksi: – henkilötietoja siirretään tai on siirretty
tai asetetaan tai on asetettu saataville jäsenvaltioiden kesken, – jäsenvaltiot siirtävät tai ovat siirtäneet
henkilötietoja Euroopan unionista tehdyn sopimuksen VI osaston
(poliisiyhteistyö ja oikeudellinen yhteistyö rikosasioissa) nojalla
perustetuille viranomaisille tai perustettuihin tietojärjestelmiin taikka
asettavat tai ovat asettaneet henkilötietoja kyseisten viranomaisten tai
tietojärjestelmien saataville, tai – henkilötietoja siirretään tai on siirretty
jäsenvaltioiden toimivaltaisille viranomaisille tai asetetaan tai on asetettu
niiden saataville Euroopan unionista tehdyn sopimuksen tai Euroopan yhteisön
perustamissopimuksen nojalla perustetuilta viranomaisilta tai perustetuista
tietojärjestelmistä. Toisesta jäsenvaltiosta siirretyt
henkilötiedot saa siirtää kolmansille valtioille tai kansainvälisille elimille,
jos tietyt edellytykset täyttyvät.[7] Puitepäätöstä sovelletaan täysimääräisesti
Yhdistyneessä kuningaskunnassa ja Irlannissa, sillä päätöksellä kehitetään
Schengenin säännöstöä. Yhdistynyt kuningaskunta ja Irlanti osallistuvat
puitepäätökseen Euroopan unionista tehtyyn sopimukseen ja Euroopan unionin
toiminnasta tehtyyn sopimukseen liitetyn, Schengenin säännöstön
sisällyttämisestä osaksi Euroopan unionia tehdyn pöytäkirjan 5 artiklan ja
neuvoston päätösten 2000/365/EY ja 2002/192/EY nojalla. Islannin, Norjan, Sveitsin ja Liechtensteinin
osalta puitepäätöksellä kehitetään Schengenin säännöstöä siten kuin siitä
määrätään sopimuksessa ja pöytäkirjoissa, joita Euroopan unionin neuvosto tai
Euroopan unioni on tehnyt Islannin ja Norjan, Sveitsin valaliiton ja
Liechtensteinin kanssa, sekä neuvoston päätöksissä 1999/437/EY, 2008/149/YOS ja
2008/262/YOS.
1.2.
Puitepäätöksen 2008/977/YOS sisältö
Puitepäätöksen soveltamisala ei kata
jäsenvaltion toimivaltaisten oikeus- tai poliisiviranomaisten jäsenvaltion
alueella suorittamaa henkilötietojen käsittelyä (1 artiklan 2 kohta). Poliisiyhteistyötä ja rikosasioissa tehtävää
oikeudellista yhteistyötä koskevat alakohtaiset säädökset, joilla säännellään
henkilötietojen suojaa ja jotka on annettu ennen puitepäätöksen
voimaantuloa, ovat pääsääntöisesti ensisijaisia puitepäätökseen nähden
(28 artikla). Puitepäätös ei vaikuta säädöksiin, joiden katsotaan
muodostavan kokonaisen ja johdonmukaisen tietosuojaa koskevan säännöstön
(johdanto-osan 39 kappale). Muut alakohtaiset säädökset, joiden tietosuojasäännösten
soveltamisala on suppeampi, ovat ensisijaisia puitepäätökseen nähden vain, jos
niiden säännöt ovat luonteeltaan puitepäätöksen säännöksiä rajoittavampia.
Muissa tapauksissa sovelletaan puitepäätöstä (johdanto-osan 40 kappale). Puitepäätöksessä määritellään tietosuojan
tavoitteet poliisin ja oikeuslaitoksen toiminnan yhteydessä. Siinä annetaan
henkilötietojen käsittelyn lainmukaisuutta koskevat säännökset sen
varmistamiseksi, että kaikki mahdollisesti vaihdettavat tiedot on käsitelty
lainmukaisesti ja tietojen laatuun liittyviä perusperiaatteita noudattaen. Puitepäätöksessä määritellään rekisteröityjen
oikeudet henkilötietojen suojan varmistamiseksi, vaarantamatta kuitenkaan
rikostutkinnan tarkoitusta. Sitä varten rekisteröidyille on ilmoitettava
tietojen käsittelystä ja annettava mahdollisuus tutustua omiin
henkilötietoihin. Kansallisten valvontaviranomaisten tehtävänä
on toimia neuvojana ja valvojana jäsenvaltioiden puitepäätöksen nojalla
antamien säännösten soveltamisessa. Viranomaisten on suoritettava niille
annetut tehtävät täysin itsenäisesti.
1.3.
Komission velvollisuus raportoida täytäntöönpanosta
Puitepäätöksen 29 artiklan 1 kohdan
mukaan jäsenvaltioiden oli toteutettava tarvittavat toimenpiteet puitepäätöksen
säännösten noudattamiseksi ennen 27. päivää marraskuuta 2010. Puitepäätöksen 29 artiklan 2 kohdan
mukaisesti jäsenvaltioiden on toimitettava neuvoston pääsihteeristölle ja
komissiolle kirjallisina ne säännökset, joilla niille puitepäätöksestä
aiheutuvat velvoitteet saatetaan osaksi kansallista lainsäädäntöä, sekä
ilmoitus puitepäätöksen 25 artiklassa tarkoitetuista
valvontaviranomaisista. Komission on laadittava kertomus
jäsenvaltioiden toimittamien tietojen pohjalta. Neuvosto arvioi
27. päivään marraskuuta 2011 mennessä, missä määrin jäsenvaltiot ovat
noudattaneet puitepäätöksen säännöksiä.
1.4.
Kertomuksen pohjana käytetyt tietolähteet
Marraskuun 9. päivään 2011 mennessä 26 jäsenvaltiota 27:stä sekä Liechtenstein, Norja, Islanti ja
Sveitsi olivat toimittaneet komissiolle tiedot puitepäätöksen täytäntöönpanosta. Näistä 26 jäsenvaltiosta 14
ilmoitti, että puitepäätös on jo pantu täytäntöön niiden voimassa olevalla
lainsäädännöllä (Belgia, Irlanti, Itävalta, Latvia, Liettua, Luxemburg, Ruotsi,
Saksa, Slovakia, Tanska, Tšekki, Unkari, Viro ja Yhdistynyt kuningaskunta).
Irlanti, Ruotsi, Saksa ja Viro ilmoittivat tutkivansa edelleen, tarvitaanko
uusia täytäntöönpanotoimenpiteitä. Yhdeksän jäsenvaltion
voidaan katsoa saattaneen puitepäätöksen kansalliseen lainsäädäntöönsä
osittain, sillä ne ilmoittivat, että niiden on annettava vielä
täytäntöönpanolainsäädäntöä. Neljä
jäsenvaltiota ei joko ole reagoinut lainkaan komission tietopyyntöön (Romania)
tai on ilmoittanut, että ne eivät ole saattaneet puitepäätöstä kansalliseen
lainsäädäntöönsä (Kreikka, Italia[8],
Kypros). Tiedot, jotka
jäsenvaltiot ovat toimittaneet vastauksena komission kyselylomakkeeseen,
vaihtelevat sisällöltään ja tarkkuudeltaan. Taulukossa 1 esitetään
yleiskatsaus vastauksista. Se kuvastaa jäsenvaltioiden arviota puitepäätöksen
täytäntöönpanotilanteesta.
2.
PUITEPÄÄTÖKSEN SAATTAMINEN OSAKSI KANSALLISTA LAINSÄÄDÄNTÖÄ
2.1.
Euroopan unionista tehdyn sopimuksen entisen
34 artiklan 2 kohdan b alakohdan mukainen puitepäätös
Tämä puitepäätös
perustuu Euroopan unionista tehtyyn sopimukseen ja erityisesti sen 30 artiklaan,
31 artiklan e alakohtaan sekä 34 artiklan 2 kohdan
b alakohtaan. Puitepäätökset
ovat säädöksinä parhaiten verrattavissa direktiiveihin, sillä ne velvoittavat
jäsenvaltioita saavutettavaan tulokseen nähden, mutta jättävät kansallisten
viranomaisten valittavaksi täytäntöönpanon muodon ja keinot. Puitepäätöksillä
ei kuitenkaan ole välitöntä oikeusvaikutusta.[9] Perussopimuksiin
liitetyn, siirtymämääräyksiä koskevan pöytäkirjan (nro 36) 10 artiklassa
vahvistetaan siirtymämääräykset, jotka koskevat ennen Lissabonin sopimuksen
voimaantuloa annettuja, Euroopan unionista tehdyn sopimuksen V ja
VI osastoon perustuvia säädöksiä. Artiklassa todetaan, että Euroopan
unionin toiminnasta tehdyn sopimuksen, jäljempänä ’SEUT-sopimus’,
258 artiklan mukaista komission toimivaltaa ei sovelleta (ja Euroopan
unionin tuomioistuimen toimivalta säilyy ennallaan) siirtymäkautena eli viiden
vuoden ajan Lissabonin sopimuksen voimaantulopäivästä (1. päivään
joulukuuta 2014), kun on kyse entisen kolmannen pilarin alaan kuuluvista säädöksistä. Jäljempänä
kuvataan tarkemmin puitepäätöksen neljän keskeisen säännöksen täytäntöönpanoa
niiden vastausten pohjalta, jotka jäsenvaltiot antoivat komission
9. joulukuuta 2010 esittämään pyyntöön.
2.1.1.
Kansallisten täytäntöönpanotoimien
soveltamisala
Puitepäätöstä
sovelletaan pelkästään sellaisten henkilötietojen käsittelyyn, jotka siirretään
tai on siirretty tai asetetaan tai on asetettu saataville jäsenvaltioiden
kesken (1 artiklan 2 kohta). Poliisin tai oikeuslaitoksen
rikosasioissa suorittama henkilötietojen käsittely kansallisella tasolla ei
kuulu puitepäätöksen soveltamisalaan. Liitteen taulukossa
2 kuvataan yleisesti täytäntöönpanotoimenpiteitä jäsenvaltioissa. Useimmat
jäsenvaltiot mainitsivat puitepäätöksen täytäntöönpanotoimenpiteissä yleisen tietosuojalainsäädännön
ja viittasivat alakohtaiseen lainsäädäntöön, jota sovelletaan poliisi-,
oikeus-, tulli- ja veroviranomaisiin. Eräät jäsenvaltiot ovat päättäneet olla
antamatta lainsäädäntöä. Sen sijaan ne ovat panneet puitepäätöksen täytäntöön
hallinnollisilla kiertokirjeillä (esim. Saksa ja Yhdistynyt kuningaskunta). Useimmat
jäsenvaltiot ilmoittivat, että yleistä tietosuojalainsäädäntöä sovelletaan
poliisin ja oikeuslaitoksen sekä kansallisella tasolla että rajatylittävissä
tilanteissa harjoittamaan henkilötietojen käsittelyyn.[10] Lisäksi usein sovelletaan
rikosprosessilakeja ja poliisien tietojenkäsittelyä koskevia lakeja.[11] Kolmetoista
jäsenvaltiota (Alankomaat, Belgia, Italia, Luxemburg, Malta, Ruotsi, Saksa,
Slovakia, Slovenia, Suomi, Tšekki, Unkari ja Viro) viittasi
rikosprosessilakeihin tai muuhun vastaavaan lainsäädäntöön. Seitsemän
jäsenvaltiota (Alankomaat, Ruotsi, Saksa, Slovenia, Suomi, Tšekki, Unkari)
ilmoitti poliisin tietojenkäsittelyä koskevan lain olemassaolosta.[12] Kolme jäsenvaltiota (Bulgaria,
Portugali ja Liettua) ilmoitti lisäksi, että ne ovat antaneet erikseen
lainsäädäntöä, jolla saatetaan kansalliseen lainsäädäntöön eräät puitepäätöksen
säännökset, joita yleinen lainsäädäntö ei kata ja joita sovelletaan pelkästään
rajatylittävään henkilötietojen käsittelyyn.[13] Kolme
jäsenvaltiota piti puitepäätöksen rajallista soveltamisalaa ongelmallisena.
Italia ja Alankomaat ilmoittivat törmänneensä ongelmiin yrittäessään
käytännössä tehdä eron puitepäätöksen 2008/977/YOS mukaisen rajatylittävän tietojenkäsittelyn
ja kansallisella tasolla tapahtuvan käsittelyn välillä sekä totesivat, että
jäsenvaltioiden lainvalvontaviranomaisten on sen vuoksi hankala soveltaa
erilaisia käsittelysääntöjä samoihin henkilötietoihin. Puola viittasi
puitepäätöksen puutteisiin ja korosti erityisesti tukevansa komission
tavoitetta luoda kattavat puitteet ja laajentaa yleisiä tietosuojasääntöjä
poliisiyhteistyön ja rikosasioissa tehtävän oikeudellisen yhteistyön aloille.[14]
2.1.2.
Rekisteröidylle ilmoittaminen
(16 artikla, johdanto-osan 26 ja 27 kappale)
Puitepäätöksen
mukaisesti jäsenvaltioiden olisi varmistettava, että toimivaltaiset
viranomaiset ilmoittavat rekisteröidyille henkilötietojen käsittelystä tai
siirrosta toiseen jäsenvaltioon rikosten torjumista, tutkimista, selvittämistä
tai niistä syyttämistä tai rikosoikeudellisten seuraamusten täytäntöönpanoa
varten. Kansallisessa laissa olisi säädettävä ilmoittamisen muodosta,
sisällöstä ja keinoista sekä ilmoittamiseen sovellettavista poikkeuksista
(rekisteröidylle ei ilmoiteta lainkaan tai ilmoitetaan vain rajoitetusti).
Ilmoittaminen voidaan toteuttaa yleisellä tasolla esimerkiksi antamalla asiasta
lainsäädäntöä tai julkaisemalla luettelo tietojen käsittelytavoista. Jos
tietoja siirretään toiseen jäsenvaltioon, kukin jäsenvaltio voi pyytää, että
toinen jäsenvaltio ei ilmoita rekisteröidylle. Taulukosta 3 ilmenee, että lähes kaikki jäsenvaltiot ilmoittivat
toimittavansa rekisteröidyille joitakin tietoja henkilötietojen
käsittelystä. Ranska ilmoitti, että se ei anna tietoja. Tanska ei
myöskään anna rekisteröidyille oikeutta saada ilmoitusta tietojen käsittelystä,
mutta se totesi, että rekisterinpitäjän on pidettävä käsittelystä kirjaa ja
tiedotettava asiasta suurelle yleisölle. Rekisteröidylle
ilmoittamista rajoitetaan useimmissa jäsenvaltioissa. Kansallisessa
lainsäädännössä joko rajoitetaan ilmoittamista rikosten torjumista, tutkimista,
selvittämistä tai syytteeseenpanoa varten tai todetaan, että tätä oikeutta ei
sovelleta, kun tietoja käsittelevät tietyt rekisterinpitäjät (poliisi ja/tai
tuomioistuimet). Eräissä tapauksissa rajoituksista/poikkeuksista säädetään
ilman, että olisi määritelty, mihin toimiin niitä sovelletaan. Useat
jäsenvaltiot ilmoittivat, että tällaisia rajoituksia sovelletaan poliisin,
sotilaspoliisin, tuomioistuinten sekä tulli- ja veroviranomaisten kohdalla. Alankomaat ilmoitti, että yleinen velvollisuus ilmoittaa rekisteröidylle tietojen
käsittelystä ei ole täysin johdonmukainen poliisin ja tuomioistuinten toiminnan
luonteen kanssa, mutta että maassa on otettu käyttöön eräitä järjestelyjä,
jotta rekisteröidyille voitaisiin tiedottaa poliisin ja oikeusviranomaisten
harjoittamasta tietojenkäsittelystä vaaditulla tavalla (lainsäädännössä
määritellään tapaukset, joissa tietoja voidaan käsitellä, sekä
tietojenkäsittelyn edellytykset; lisäksi syyttäjäviranomainen ilmoittaa
rekisteröidylle erityisten tutkintavaltuuksien käytöstä, jos tämä on tutkinnan
kannalta mahdollista). Alankomaat ilmoitti myös, että tätä säännöstä ei
tarvitse saattaa kansalliseen lainsäädäntöön, koska 16 artiklan
1 kohdassa viitataan pelkästään jäsenvaltioiden kansallisiin säännöksiin. Puitepäätöksessä
vahvistetaan rekisteröityjen oikeus saada tietoa henkilötietojensa
käsittelystä, mutta ei säädetä yksityiskohtaisesti ilmoittamisen keinoista tai
mahdollisista poikkeuksista ilmoitusvelvollisuuteen. Vaikka jäsenvaltioiden
mukaan oikeus saada tietoa yleensä toteutuu, säännöksen täytäntöönpano
vaihtelee huomattavasti.
2.1.3.
Rekisteröityjen tiedonsaantioikeus
(17 artikla)
Puitepäätöksessä säädetään, että rekisteröidyllä
on oikeus saada vapaasti ja ilman aiheetonta viivytystä tai aiheettomia
kustannuksia: a) ainakin vahvistus
rekisterinpitäjältä tai kansalliselta valvontaviranomaiselta siitä, onko häntä
koskevia tietoja siirretty tai asetettu saataville vai ei, sekä tiedot tietojen
vastaanottajista tai vastaanottajaryhmistä, joille tiedot on luovutettu, sekä
ilmoitus käsiteltävistä tiedoista; tai b) ainakin vahvistus kansalliselta
valvontaviranomaiselta siitä, että kaikki tarvittavat varmennukset on tehty. Jäsenvaltiot voivat toteuttaa
lainsäädäntötoimia, joilla rajoitetaan tiedonsaantioikeutta, jos tällainen
rajoitus on tarpeen virallisten tai laillisten tiedustelujen, tutkintojen tai
menettelyjen estämisen välttämiseksi, jotta vältetään tuottamasta haittaa
rikosten torjumiselle, selvittämiselle, tutkimiselle ja niistä syyttämiselle
tai rikosoikeudellisten seuraamusten täytäntöönpanolle, yleisen turvallisuuden
suojelemiseksi, kansallisen turvallisuuden suojelemiseksi, tai rekisteröidyn
suojelemiseksi tai muiden henkilöiden oikeuksien ja vapauksien suojelemiseksi
(17 artiklan 2 kohta). Jos rekisterinpitäjä kieltäytyy antamasta
tietoja, asiasta on ilmoitettava rekisteröidylle kirjallisesti
(17 artiklan 3 kohta). Jäsenvaltioiden toimittamat tiedot on kerätty Taulukkoon
4. Ne kuvaavat sitä, miten eri jäsenvaltioissa annetaan rekisteröidyille
tietoa. Voidaan todeta, että kaikki jäsenvaltiot[15] myöntävät rekisteröidyille
jonkinlaisen tiedonsaantioikeuden. Tämä oikeus vahvistetaan yleensä kunkin
maan yleisessä tietosuojalainsäädännössä. Moni jäsenvaltio myös säätää
tiedonsaantioikeudesta yksityiskohtaisesti alakohtaisessa lainsäädännössä
(kuten poliisilaeissa). Lisäksi kaikki
jäsenvaltiot säätävät poikkeuksista tiedonsaantioikeuteen. Perusteeksi
tiedonsaantioikeuden epäämiselle mainitaan useimmiten seuraavat: –
rikosten torjuminen, tutkiminen, selvittäminen ja
syytteeseenpano, –
kansallinen turvallisuus, puolustus ja yleinen
turvallisuus, –
jäsenvaltion ja EU:n taloudelliset edut (esim.
finanssipolitiikkaan, budjettiin ja verotukseen liittyvissä asioissa)[16], –
rekisteröidyn tai muiden henkilöiden oikeuksien ja
vapauksien suojeleminen. Eräissä
jäsenvaltioissa säädetään erikseen siitä, miten oikeus tutustua omiin
henkilötietoihin toteutetaan. Eräät jäsenvaltiot ilmoittivat myöntävänsä
rekisteröidyille oikeuden pyytää tietoa omista henkilötiedoistaan suoraan
toimivaltaiselta viranomaiselta (Alankomaat, Bulgaria, Irlanti, Itävalta,
Latvia, Malta, Puola, Ruotsi, Saksa, Slovakia, Suomi, Yhdistynyt
kuningaskunta), kun taas eräät maat (Belgia, Ranska) sallivat pelkästään
epäsuoran tiedonsaantioikeuden. Jälkimmäisessä tapauksessa oikeus tutustua
kaikkiin rekisteröityä koskeviin henkilötietoihin on rekisteröidyn sijaan
kansallisella valvontaviranomaisella. Suomessa ja Liettuassa rekisteröidyt
voivat valita. Portugalissa sovelletaan pääsääntöisesti suoraa
tiedonsaantioikeutta. Epäsuoraa tiedonsaantioikeutta sovelletaan silloin, kun
henkilötietojen käsittely vaikuttaa valtion turvallisuuteen tai rikoksen
ehkäisemiseen tai tutkimiseen. Tilanne on vastaava Luxemburgissa, jossa
rekisteröidyille myönnetään yleensä suora tiedonsaantioikeus. Jos asiassa
sovelletaan poikkeusta, tiedonsaantipyyntö on osoitettava
tietosuojaviranomaiselle. Puitepäätöksessä
on yleisiä sääntöjä rekisteröityjen tiedonsaantioikeudesta. Siinä ei kuitenkaan
määritellä tarkemmin, millaisia tietoja rekisteröidylle on annettava. Lisäksi
puitepäätöksen mukaan jäsenvaltiot saavat päättää, voivatko rekisteröidyt
käyttää tiedonsaantioikeuttaan suoraan vai epäsuorasti.
2.1.4.
Kansalliset valvontaviranomaiset (25
artikla)
Puitepäätöksessä
2008/977/YOS todetaan, että täysin riippumattomien valvontaviranomaisten
perustaminen jäsenvaltioihin on ”olennainen osa jäsenvaltioiden keskinäisen
poliisi- ja oikeudellisen yhteistyön yhteydessä käsiteltävien henkilötietojen
suojaamista” (johdanto-osan 33 kappale). Lisäksi siinä todetaan, että
yleisen tietosuojadirektiivin mukaisesti jäsenvaltioihin jo perustettujen
valvontaviranomaisten olisi myös voitava ottaa vastatakseen kansallisten
valvontaviranomaisten tehtävistä (johdanto-osan 34 kappale).
Puitepäätöksen 2008/977/YOS 25 artikla vastaa suurelta osin direktiivin
95/46/EY 28 artiklan (1–4, 7 kohta) säännöstä valvontaviranomaisista ja
näiden valtuuksista, viranomaisen velvollisuudesta hoitaa tehtäviä itsenäisesti
sekä salassapitovelvollisuudesta. Kullakin viranomaisella on oltava eräitä
valtuuksia, kuten tutkintavaltuudet (ml. valtuudet saada tietoja ja kerätä
kaikki tarvittavat tiedot), tehokkaat toimintavaltuudet (esim. valtuudet antaa
ja julkistaa lausuntoja ennen käsittelyn toteuttamista, valtuudet määrätä
tietojen suojaamisesta, poistamisesta tai tuhoamisesta, kieltää käsittely
väliaikaisesti tai lopullisesti, antaa rekisterinpitäjälle varoitus tai
huomautus taikka valtuudet saattaa asia kansallisen parlamentin tai muun
poliittisen elimen käsiteltäväksi) sekä asianosaisvaltuus. Taulukosta 5 ilmenee, että useimmissa tapauksissa yleisten tietosuojasääntöjen
täytäntöönpanosta ja soveltamisesta vastuussa olevat kansalliset
valvontaviranomaiset seuraavat myös puitepäätöksen 2008/977/YOS täytäntöönpanoa
ja soveltamista. Ruotsi ilmoitti,
että sen tietosuojalautakunta on vielä nimitettävä puitepäätöksen
25 artiklan mukaiseksi toimivaltaiseksi valvontaviranomaiseksi. Eräät jäsenvaltiot
ottivat erikseen esille kysymyksen siitä, miten tietojenkäsittelyä
tuomioistuimissa valvotaan.[17]
Tanska ilmoitti, että tuomioistuinhallinto on vastuussa tuomioistuinten
tietojenkäsittelyn valvonnasta. Itävalta puolestaan ilmoitti, että
valvontaviranomaisella ei ole toimivaltaa ratkaista kanteluja, jotka koskevat
tapauksia, joissa tuomioistuimet ovat rikkoneet tietosuojasääntöjä.
Luxemburgissa tietojenkäsittelyn valvonta kuuluu yleensä tietosuojalautakunnan
vastuulle. Tietojenkäsittelyä, joka tapahtuu kansainvälisen sopimuksen
täytäntöönpanoa koskevan kansallisen säännöksen puitteissa, valvoo
viranomainen, johon kuuluu yleinen syyttäjä (Procureur Général d’Etat)
tai hänen edustajansa sekä kaksi tietosuojalautakunnan jäsentä, joita
lautakunta on itse ehdottanut ja jotka ministeri on nimittänyt tähän tehtävään.
2.1.5.
Jäsenvaltioiden esille ottamat muut seikat
26 jäsenvaltiosta
20 ei ottanut esille erityisiä ongelmia puitepäätöksen täytäntöönpanossa.
Näistä 20 jäsenvaltiosta kahdeksan (Belgia, Itävalta, Kreikka, Kypros,
Luxemburg, Tanska, Unkari, Viro) ei vastannut tähän kysymykseen lainkaan. Kuten
Taulukosta 6 käy ilmi, kuusi jäsenvaltiota esitti huomautuksia
ongelmallisista seikoista: – Puola katsoi puitepäätöksen sisältävän
useita puutteita, jotka olisi korjattava. Lisäksi se ilmoitti tukevansa
uudistuksia, joiden tavoitteena on luoda EU:hun kattava ja yhdenmukainen
tietosuojajärjestelmä; – Italia ja Alankomaat ilmoittivat, että on
vaikea käytännössä tehdä ero puitepäätöksen 2008/977/YOS mukaisen
rajatylittävän tietojenkäsittelyn ja kansallisella tasolla tapahtuvan
käsittelyn välillä, sekä totesivat, että jäsenvaltioiden
lainvalvontaviranomaisten on sen vuoksi hankala soveltaa erilaisia
käsittelysääntöjä samoihin henkilötietoihin; – Italia, Tšekki
ja Alankomaat kritisoivat puitepäätöksen sääntöjä, jotka koskevat
kansainvälisiä siirtoja. Erityisesti Italia totesi, että kolmansiin maihin
siirrettävien tietojen suojasta olisi säädettävä riittävällä ja yhdenmukaisella
tavalla. Alankomaat piti ongelmallisena sitä, että puitepäätöksessä ei
vahvisteta perusteita, joiden nojalla voitaisiin määrittää riittävä tietosuojan
taso kolmannessa maassa. Tämä puolestaan on johtanut jäsenvaltioissa
vaihteleviin täytäntöönpanotapoihin. Tšekki piti kansainvälisiä siirtoja
koskevia puitepäätöksen sääntöjä epärealistisina. – Ranska mainitsi
kansallisen tason erityisongelman, joka koskee kolmanteen maahan tai
kolmannesta maasta siirrettyjen henkilötietojen säilytysaikoja tapauksissa,
joissa kyseinen kolmas maa soveltaa erilaisia vaatimuksia.
– Slovakian mukaan on tarpeen erottaa toisistaan tarkemmin poliisin suorittama
tietojenkäsittely ja tuomioistuinten tietojenkäsittely (oikeudenkäynnit). – Tšekki ja
Alankomaat totesivat, että lainvalvontaviranomaisten on hankala noudattaa
monenlaisia tietosuojasääntöjä kansainvälisellä tasolla (esim. Euroopan
neuvosto), EU:n tasolla ja kansallisella tasolla.
3.
EDESSÄ OLEVA
TYÖ
Tässä kertomuksessa kartoitetaan rikosasioissa
tehtävässä poliisi- ja oikeudellisessa yhteistyössä käsiteltävien
henkilötietojen suojaamisesta annetun puitepäätöksen täytäntöönpanoa ja
toimintaa. Käytännön
ongelmat, joita jäsenvaltioilla on ollut jäsenvaltion sisällä tapahtuvaa ja
rajatylittävää tietojenkäsittelyä koskevien sääntöjen erottamisessa, voitaisiin
ratkaista vahvistamalla yhdenmukaiset säännöt tietojenkäsittelyä varten sekä
kansallisella tasolla että rajatylittävissä tapauksissa. Rekisteröityjen
tiedonsaantioikeutta ja EU:n tasolla sovellettavia poikkeuksia olisi
selkeytettävä. Vahvistamalla yhdenmukaiset vähimmäisedellytykset
rekisteröityjen tiedonsaantioikeudelle voitaisiin vahvistaa rekisteröityjen
oikeuksia ja samalla määritellä poikkeukset, jotta poliisi ja tuomioistuimet
voivat hoitaa tehtävänsä asianmukaisesti. Euroopan unionin
toiminnasta tehdyn sopimuksen 16 artiklassa vahvistetaan oikeus
henkilötietojen suojaan. Kyseisen artiklan mukaisesti on mahdollista vahvistaa
kattavat tietosuojapuitteet, joilla samanaikaisesti varmistetaan yksilöiden
tietojen korkeatasoinen suoja poliisiyhteistyön ja rikosasioissa tehtävän
oikeudellisen yhteistyön alalla ja toisaalta sujuvoitetaan henkilötietojen
vaihtoa jäsenvaltioiden poliisi- ja oikeusviranomaisten välillä,
toissijaisuusperiaatetta noudattaen. [1] EUVL L 350,
30.12.2008, s. 60. [2] Puitepäätöksen
30 artikla. [3] Yksilöiden
suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta
liikkuvuudesta 24 päivänä lokakuuta 1995 annetun Euroopan parlamentin ja
neuvoston direktiivin 95/46/EY johdanto-osan 5 kappale, EYVL L 281, 23.11.1995,
s. 31. [4] Puitepäätöksen
1 artikla. [5] Puitepäätöksen
1 artiklan 5 kohta. [6] Puitepäätöksen
1 artiklan 2 kohta. [7] Puitepäätöksen
13 artikla. [8] Italia ilmoitti komissiolle, että eräitä
täytäntöönpanosäädöksiä ei vielä ole hyväksytty virallisesti. Se viittaa
henkilötietojen suojasta annettuun lakiin, rikosprosessilakiin ja muihin
säädöksiin, joissa säädetään henkilötietojen käsittelystä kyseisillä aloilla.
Muut jäsenvaltiot sen sijaan ilmoittivat, että voimassa olevia
tietosuojasääntöjä sovelletaan myös poliisin ja oikeuslaitoksen kansallisella
tasolla harjoittamaan henkilötietojen käsittelyyn sekä poliisin ja
oikeuslaitoksen rikosasioissa toteuttamaan rajatylittävään tietojen
käsittelyyn. Lisäksi ne ovat ilmoittaneet komissiolle valmisteilla olevista
muista täytäntöönpanotoimenpiteistä. [9] Katso asia
C-105/03, Pupino, tuomio 16.5.2005 (34, 43–45, 47 ja 61 kohta), jossa
yhteisöjen tuomioistuin katsoi, että kansallisten tuomioistuinten olisi
kansallisia lakeja tulkitessaan pyrittävä johdonmukaisuuteen, myös
puitepäätösten kanssa. [10] Tilanne oli vastaava jo ennen puitepäätöksen antamista
(ks. komission yksiköiden valmisteluasiakirja, vaikutusten arviointi, SEC(2005)
1241, 4.10.2005, 5.1.2 kohta). [11] Katso Taulukko 2. [12] Katso Taulukko 2. [13] Ks. Alankomaiden esittämät huomautukset. [14] Ks. lisäksi Puolan (sisäministeriö) panos komission vuoden
2010 lopulla käynnistämään julkiseen kuulemiseen (mainitaan vastauksessa, jonka
Puola antoi kyselylomakkeeseen): http://ec.europa.eu/justice/news/consulting_public/0006/contributions/public_authorities/pl_min_pl.pdf. [15] Tämä
johtopäätös voidaan tehdä siitä huolimatta, että eräät jäsenvaltiot eivät ole
toimittaneet tarkempia tietoja (ks. tarkemmin Taulukko 3). [16] Tätä
poikkeusta ei mainita erikseen puitepäätöksen 2008/977/YOS 17 artiklassa.
Se kuitenkin vastaa erästä direktiivin 95/46/EY 13 artiklan
1 kohdassa mainittua poikkeusta. [17] Katso
puitepäätöksen johdanto-osan 35 kappaleen viimeinen virke, jonka mukaan
valvontaviranomaisten valtuudet ”eivät kuitenkaan saisi olla ristiriidassa
rikosoikeudellisia menettelyjä koskevien sääntöjen tai tuomioistuinten
riippumattomuuden kanssa”.