PERUSTELUT

1. EHDOTUKSEN TAUSTA

Näissä perusteluissa esitellään yksityiskohtaisesti henkilötietojen suojaa koskevassa EU:n uudessa lainsäädäntökehyksessä sovellettu lähestymistapa. Uudistusta käsitellään myös tiedonannossa COM(2012) 9 final. Lainsäädäntökehys käsittää kaksi säädösehdotusta, jotka ovat

– ehdotus Euroopan parlamentin ja neuvoston asetukseksi yksilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta (yleinen tietosuoja-asetus), ja

– ehdotus Euroopan parlamentin ja neuvoston direktiiviksi yksilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten torjumista, tutkimista, selvittämistä ja syytteeseenpanoa tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta.

Nämä perustelut koskevat jälkimmäistä ehdotusta.

Kun EU:n nykyisen tietosuojalainsäädännön keskeinen säädös, direktiivi 95/46/EY[1], annettiin vuonna 1995, sillä oli kaksi tavoitetta: suojata tietosuojaa koskeva perusoikeus ja taata henkilötietojen vapaa liikkuvuus jäsenvaltioiden välillä. Sitä täydennettiin useilla säädöksillä, joissa vahvistettiin tietosuojasäännöt poliisiyhteistyön ja rikosasioissa tehtävän oikeudellisen yhteistyön alalla[2] (entinen kolmas pilari), kuten puitepäätös 2008/977/YOS[3].

Eurooppa-neuvosto kehotti komissiota arvioimaan EU:n tietosuojasäädösten toimivuutta ja esittämään tarvittaessa sekä lainsäädäntöä koskevia että muita ehdotuksia.[4] Euroopan parlamentti katsoi Tukholman ohjelmaa koskevassa päätöslauselmassaan[5], että EU:ssa olisi laadittava kattava järjestelmä henkilötietojen suojaamiseksi, ja kehotti muun muassa tarkistamaan puitepäätöstä. Komissio puolestaan korosti Tukholman ohjelman toteuttamista koskevassa toimintasuunnitelmassaan[6] tarvetta varmistaa, että henkilötietojen suojaa koskevaa perusoikeutta sovelletaan johdonmukaisesti kaikkien EU:n politiikkojen yhteydessä. Toimintasuunnitelmassa korostettiin, että ”nopeiden teknologisten muutosten leimaamassa globaalissa yhteiskunnassa, jossa tietojenvaihto ei tunne rajoja, on erityisen tärkeää huolehtia yksityisyyden suojasta. EU:n on varmistettava, että tietosuojaa koskevaa perusoikeutta noudatetaan johdonmukaisesti. Meidän on huolehdittava siitä, että EU:ssa omaksutaan tiukempi asenne henkilötietojen suojaamiseen kaikilla politiikanaloilla, lainvalvonta ja rikoksentorjunta mukaan luettuina, sekä kansainvälisissä suhteissa.”

Tiedonannossaan Kattava lähestymistapa henkilötietojen suojaan Euroopan unionissa[7] komissio katsoi, että EU:ssa tarvitaan nykyistä kattavampi ja johdonmukaisempi politiikka henkilötietojen suojaa koskevan perusoikeuden toteuttamiseksi.

Puitepäätöksen 2008/977/YOS soveltamisala on rajallinen, sillä päätöstä sovelletaan vain valtioiden rajat ylittävään tietojenkäsittelyyn eikä poliisi- ja oikeusviranomaisten kansallisella tasolla suorittamaan tietojenkäsittelyyn. Tämä on omiaan aiheuttamaan ongelmia poliisille ja muille toimivaltaisille viranomaisille rikosasioissa tehtävän oikeudellisen yhteistyön ja poliisiyhteistyön aloilla. Viranomaisten on toisinaan vaikea erottaa toisistaan puhtaasti kansallinen ja toisaalta rajatylittävä käsittely tai arvioida, siirretäänkö henkilötietoja mahdollisesti myöhemmin toiseen valtioon (ks. 2 jakso jäljempänä). Lisäksi puitepäätös antaa luonteensa ja sisältönsä vuoksi jäsenvaltioille hyvin laajat toimintamahdollisuudet kansallisten täytäntöönpanotoimenpiteiden osalta. Puitepäätöksessä ei myöskään säädetä minkäänlaisista keinoista tai tietosuojatyöryhmän kaltaisesta neuvoa-antavasta ryhmästä, joilla tuettaisiin puitepäätöksen säännösten yhdenmukaista tulkitsemista. Siinä ei myöskään anneta komissiolle täytäntöönpanovaltuuksia, joiden avulla se voisi varmistaa, että päätöksen täytäntöönpanoon sovelletaan yhdenmukaista lähestymistapaa.

Euroopan unionin toiminnasta tehdyn sopimuksen, jäljempänä ’SEUT-sopimus’, 16 artiklan 1 kohdassa vahvistetaan periaate, jonka mukaan jokaisella on oikeus henkilötietojensa suojaan. Lisäksi Lissabonin sopimuksella otettiin käyttöön SEUT-sopimuksen 16 artiklan 2 kohdassa vahvistettu erityinen oikeusperusta, jonka nojalla voidaan antaa henkilötietojen suojaa koskevia sääntöjä ja jota sovelletaan myös rikosasioissa tehtävään oikeudelliseen yhteistyöhön ja poliisiyhteistyöhön. Euroopan unionin perusoikeuskirjan 8 artiklassa vahvistetaan, että henkilötietojen suoja on perusoikeus. SEUT-sopimuksen 16 artiklassa edellytetään, että lainsäätäjä vahvistaa säännöt yksilöiden suojelusta henkilötietojen käsittelyssä myös rikosasioissa tehtävän oikeudellisen yhteistyön ja poliisiyhteistyön aloilla, sekä rajatylittävän että jäsenvaltion sisällä tapahtuvan henkilötietojen käsittelyn osalta. Näin voidaan suojella luonnollisten henkilöiden perusoikeuksia ja ‑vapauksia ja erityisesti heidän oikeuttaan henkilötietojen suojaan sekä samalla turvata henkilötietojen vaihto rikosten torjumista, tutkimista, selvittämistä tai syytteeseenpanoa tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten. Näin edistetään rikollisuuden torjumiseen tähtäävää yhteistyötä Euroopassa.

Poliisiyhteistyön ja rikosasioissa tehtävän oikeudellisen yhteistyön erityisluonne huomioon ottaen julistuksessa 21[8] tunnustettiin, että SEUT-sopimuksen 16 artiklan mukaiset erityissäännöt henkilötietojen suojasta ja näiden tietojen vapaasta liikkuvuudesta saattavat osoittautua tarpeellisiksi rikosoikeuden alalla tehtävän oikeudellisen yhteistyön ja poliisiyhteistyön aloilla.

2. KUULEMISTEN JA VAIKUTUSTENARVIOINTIEN TULOKSET

Tätä aloitetta varten on kuultu laajalti kaikkia keskeisiä sidosryhmiä henkilötietojen suojaa koskevan voimassa olevan oikeudellisen kehyksen tarkistamisesta. Julkinen kuuleminen järjestettiin kahdessa vaiheessa:

– 9. heinäkuuta – 31. joulukuuta 2009 järjestettiin kuuleminen henkilötietojen suojaa koskevan perusoikeuden oikeudellisista puitteista. Komissio sai 168 vastausta, joista 127 yksityishenkilöiltä, liikemaailman järjestöiltä ja yhdistyksiltä ja 12 viranomaisilta. Kaikki kannanotot, jotka eivät ole luottamuksellisia, ovat nähtävissä komission verkkosivustolla[9].

– 4. marraskuuta 2010 – 15. tammikuuta 2011 järjestettiin kuuleminen komission kattavasta lähestymistavasta henkilötietojen suojaan Euroopan unionissa. Komissio sai 305 vastausta, joista 54 kansalaisilta, 31 viranomaisilta ja 220 yksityisiltä organisaatioilta, erityisesti liikemaailman yhdistyksiltä ja valtiosta riippumattomilta järjestöiltä. Kaikki kannanotot, jotka eivät ole luottamuksellisia, ovat nähtävissä komission verkkosivustolla[10].

Kyseisissä kuulemisissa keskityttiin etupäässä direktiivin 95/46/EY tarkistamiseen. Lisäksi lainvalvonnan sidosryhmille järjestettiin kohdennettuja kuulemisia, erityisesti 29. kesäkuuta 2010 jäsenvaltioiden viranomaisten kanssa järjestetty tietosuojasääntöjen soveltamista koskeva konferenssi, joka oli suunnattu viranomaisille ja jossa käsiteltiin muun muassa poliisiyhteistyötä ja rikosasioissa tehtävää oikeudellista yhteistyötä. Lisäksi komissio järjesti 2. helmikuuta 2011 jäsenvaltioiden viranomaisten kanssa työpajan, jossa keskusteltiin puitepäätöksen 2008/977/YOS täytäntöönpanosta ja laajemmin tietosuojaan liittyvistä kysymyksistä poliisiyhteistyön ja rikosasioissa tehtävän oikeudellisen yhteistyön alalla.

EU:n kansalaisia kuultiin marras–joulukuussa 2010 tehdyssä eurobarometrikyselyssä[11]. Lisäksi käynnistettiin useita selvityksiä.[12] Tietosuojatyöryhmä[13] esitti komissiolle useita lausuntoja, jotka sisälsivät hyödyllisiä kommentteja.[14] Myös Euroopan tietosuojavaltuutettu esitti kattavan lausunnon komission marraskuussa 2010 antamassa tiedonannossa esitetyistä kysymyksistä.[15]

Euroopan parlamentti hyväksyi 6. heinäkuuta 2011 antamassaan päätöslauselmassa[16] kertomuksen, joka tukee tietosuojakehyksen uudistusta koskevaa komission lähestymistapaa. Euroopan unionin neuvosto hyväksyi 24. helmikuuta 2011 päätelmät, joissa se antaa laajan tukensa komission pyrkimyksille tietosuojakehyksen uudistamiseksi ja hyväksyy monet komission lähestymistavan osatekijät. Myös Euroopan talous- ja sosiaalikomitea kannatti komission yleistä pyrkimystä varmistaa EU:n tietosuojasääntöjen yhdenmukaisempi soveltaminen kaikissa jäsenvaltioissa direktiiviä 95/46/EY tarkistamalla.[17]

Komissio on arvioinut eri toimintavaihtoehtojen vaikutuksia parempaa sääntelyä koskevan politiikan mukaisesti.[18] Vaikutustenarvioinnin perustaksi otettiin kolme toimintatavoitetta, joiden avulla pyritään parantamaan tietosuojan sisämarkkinaulottuvuutta, tehostamaan yksilöiden tietosuojaoikeuksien käyttöä ja luomaan kattava ja johdonmukainen säädöskehys, joka kattaa kaikki unionin toimivaltaan kuuluvat alat, myös poliisiyhteistyön ja rikosasioissa tehtävän oikeudellisen yhteistyön. Erityisesti viimeisen tavoitteen osalta tarkasteltiin kahta toimintavaihtoehtoa: ensimmäisessä on kyse tätä alaa koskevien tietosuojasääntöjen soveltamisalan laajentamisesta sekä puitepäätöksen puutteiden ja muiden ongelmien korjaamisesta ja toisessa, kauaskantoisemmassa vaihtoehdossa esitetään kuvailevat ja tarkat säännöt sekä muutetaan välittömästi kaikkia aiemman kolmannen pilarin säädöksiä. Kolmas, suppea vaihtoehto perustui enimmäkseen tulkitseviin tiedonantoihin ja toimintapoliittisiin tukitoimiin, kuten rahoitusohjelmiin ja teknisiin välineisiin, ja käsitti vain vähän lainsäädännöllisiä toimia. Sitä ei kuitenkaan pidetty asianmukaisena vaihtoehtona tällä alalla havaittujen tietosuojaa koskevien ongelmien ratkaisemiseen.

Komission vakiintuneen käytännön mukaisesti kutakin toimintavaihtoehtoa arvioitiin yksiköiden välisen ohjausryhmän avulla tarkastelemalla sen vaikuttavuutta toimintatavoitteiden saavuttamisessa, taloudellisia vaikutuksia sidosryhmiin (muun muassa EU:n toimielinten talousarvioon), sosiaalisia vaikutuksia ja vaikutusta perusoikeuksiin. Ympäristövaikutuksia ei tarkasteltu erikseen.

Kokonaisvaikutusten analyysin perusteella laadittiin parhaaksi arvioitu toimintavaihtoehto, joka esitetään tässä ehdotuksessa. Arvioinnin mukaan tämän vaihtoehdon täytäntöönpanon avulla voidaan lujittaa edelleen tietosuojaa tällä politiikanalalla erityisesti ottamalla huomioon myös jäsenvaltion sisällä tapahtuva tietojen käsittely. Näin voidaan lisätä toimivaltaisten viranomaisten oikeusvarmuutta rikosasioissa tehtävässä oikeudellisessa yhteistyössä ja poliisiyhteistyössä.

Vaikutustenarviointilautakunta antoi alustavasta arvioinnista lausuntonsa 9. syyskuuta 2011. Sen perusteella vaikutustenarviointiin tehtiin erityisesti seuraavat muutokset:

– nykyisen säädöskehyksen tavoitteita selkeytettiin (missä määrin ne on saavutettu ja miltä osin niitä ei ole saavutettu), samoin suunnitellun uudistuksen tavoitteita;

– ongelman määrittelyä koskevassa jaksossa esitettiin enemmän näyttöä ja lisää selityksiä/täsmennyksiä.

Lisäksi komissio laati puitepäätöksen 2008/977/YOS 29 artiklan 2 kohdan mukaisen täytäntöönpanokertomuksen, joka on tarkoitus hyväksyä osana tätä tietosuojapakettia.[19] Jäsenvaltioiden toimittamiin tietoihin perustuvan kertomuksen tuloksia on hyödynnetty vaikutustenarviointia laadittaessa.

3. EHDOTUKSEN OIKEUDELLINEN SISÄLTÖ 3.1. Oikeusperusta

Ehdotus perustuu SEUT-sopimuksen 16 artiklan 2 kohtaan, joka on Lissabonin sopimuksella käyttöön otettu uusi oikeusperusta. Sen nojalla voidaan antaa luonnollisten henkilöiden suojaa koskevat säännöt, jotka koskevat unionin toimielinten, elinten ja laitosten sekä jäsenvaltioiden, silloin kun viimeksi mainitut toteuttavat unionin oikeuden soveltamisalaan kuuluvaa toimintaa, suorittamaa henkilötietojen käsittelyä, sekä säännöt, jotka koskevat näiden tietojen vapaata liikkuvuutta.

Ehdotuksen tarkoituksena on varmistaa yhdenmukainen ja korkeatasoinen tietosuoja tällä alalla, jotta voidaan lujittaa eri jäsenvaltioiden poliisi- ja oikeusviranomaisten keskinäistä luottamusta ja helpottaa tietojen vapaata liikkuvuutta ja yhteistyötä poliisi- ja oikeusviranomaisten välillä.

3.2. Toissijaisuus ja suhteellisuus

Euroopan unionista tehdyn sopimuksen, jäljempänä ’SEU-sopimus’, 5 artiklan 3 kohdassa vahvistetun toissijaisuusperiaatteen mukaisesti unionin tasolla olisi toteutettava toimia vain, jos jäsenvaltiot eivät voi yksin riittävällä tavalla saavuttaa suunnitellun toiminnan tavoitteita, vaan ne voidaan ehdotetun toiminnan laajuuden tai vaikutusten vuoksi saavuttaa paremmin unionin tasolla. Edellä esitettyjen ongelmien perusteella toissijaisuusperiaatteen analysointi osoittaa, että EU:n tason toiminta on tarpeen poliisiyhteistyön alalla ja rikosoikeudellisissa asioissa seuraavista syistä:

– Oikeus henkilötietojen suojaan vahvistetaan perusoikeuskirjan 8 artiklassa ja SEUT-sopimuksen 16 artiklan 1 kohdassa, ja se edellyttää, että tietosuojan on oltava samantasoinen kaikkialla unionissa. Lisäksi tietosuojan on oltava samantasoinen, onpa sitten kyse jäsenvaltioiden välillä vaihdettavista tiedoista tai jäsenvaltion sisällä käsiteltävistä tiedoista.

– Jäsenvaltioiden lainvalvontaviranomaisten on käsiteltävä ja vaihdettava tietoja tihenevään tahtiin kansainvälisen rikollisuuden ja terrorismin ehkäisemiseksi ja torjumiseksi. Ottamalla EU:n tasolla käyttöön selkeät ja johdonmukaiset tietosuojasäännöt voidaan edistää kyseisten viranomaisten yhteistyötä.

– Lisäksi tietosuojalainsäädännön täytäntöönpanon valvontaan liittyy käytännön ongelmia. Jäsenvaltioiden ja niiden viranomaisten olisi tehtävä keskenään yhteistyötä, jota olisi koordinoitava EU:n tasolla, jotta voidaan varmistaa unionin oikeuden yhdenmukainen soveltaminen. Eräissä tilanteissa EU:lla on parhaat edellytykset varmistaa tehokkaasti ja johdonmukaisesti samantasoinen yksilöiden suojelu silloin kun heidän henkilötietojaan siirretään kolmansiin maihin.

– Jäsenvaltiot eivät nykytilanteessa voi yksinään vähentää näitä ongelmia, etenkään silloin kun ne liittyvät kansallisten lainsäädäntöjen hajanaisuuteen. Sen vuoksi tarvitaan yhtenäinen ja johdonmukainen kehys, jonka perusteella henkilötietoja voidaan siirtää sujuvasti jäsenvaltioiden välillä ja varmistaa samalla kaikkien yksilöiden tehokas suojelu kaikkialla EU:ssa.

– Ehdotetut EU:n lainsäädäntötoimet ovat ongelmien luonteen ja mittakaavan vuoksi todennäköisesti vaikuttavampia kuin jäsenvaltioiden tasolla toteutetut vastaavat toimet, koska ne eivät rajoitu yhden tai vain muutaman jäsenvaltion tasolle.

Suhteellisuusperiaate edellyttää, että kaikki toimet ovat kohdennettuja eivätkä ylitä sitä, mikä on tarpeen tavoitteiden saavuttamiseksi. Suhteellisuusperiaate on ohjannut koko prosessia eri toimintavaihtoehtojen määrittämisestä ja arvioinnista säädösehdotuksen laatimiseen asti.

Direktiivillä voidaan parhaiten varmistaa yhdenmukaisuus EU:n tasolla tällä alalla ja samalla antaa jäsenvaltioille riittävästi liikkumavaraa periaatteiden, sääntöjen ja niitä koskevien poikkeusten täytäntöönpanossa kansallisella tasolla. Koska poliisiyhteistyön ja rikosasioissa tehtävän oikeudellisen yhteistyön aloilla käsiteltävien henkilötietojen suojaamista koskevat nykyiset kansalliset säännöt ovat hyvin monimutkaiset ja tällä direktiivillä on tarkoitus kattavasti yhdenmukaistaa näitä sääntöjä, komission on pyydettävä jäsenvaltioilta selittäviä asiakirjoja, joissa kuvataan direktiivin eri osa-alueiden ja kansallisten täytäntöönpanosäännösten suhdetta, jotta se kykenee valvomaan direktiivin saattamista kansalliseen lainsäädäntöön.

3.3. Tiivistelmä perusoikeuksiin liittyvistä kysymyksistä

Oikeus henkilötietojen suojaan vahvistetaan EU:n perusoikeuskirjan 8 artiklassa, SEUT-sopimuksen 16 artiklassa ja Euroopan ihmisoikeussopimuksen 8 artiklassa. Kuten Euroopan unionin tuomioistuin on korostanut[20], oikeus henkilötietojen suojaan ei ole absoluuttinen, vaan sitä on tarkasteltava suhteessa sen tehtävään yhteiskunnassa[21]. Tietosuoja liittyy läheisesti yksityis- ja perhe-elämän kunnioittamiseen, josta määrätään perusoikeuskirjan 7 artiklassa. Tämän vuoksi direktiivin 95/46/EY 1 artiklan 1 kohdassa säädetään, että jäsenvaltioiden on henkilötietojen käsittelyssä turvattava yksilöille heidän perusoikeutensa ja ‑vapautensa ja erityisesti heidän oikeutensa yksityisyyteen.

Lisäksi tietosuojauudistus voi koskea seuraavia perusoikeuskirjassa vahvistettuja perusoikeuksia: esimerkiksi rotuun, etniseen alkuperään, geneettisiin ominaisuuksiin, uskontoon tai vakaumukseen, poliittisiin tai muihin mielipiteisiin, vammaisuuteen tai sukupuoliseen suuntautumiseen perustuvan syrjinnän kielto (21 artikla), lapsen oikeudet (24 artikla) ja oikeus tehokkaisiin oikeussuojakeinoihin ja puolueettomaan tuomioistuimeen (47 artikla).

3.4. Ehdotuksen yksityiskohtainen kuvaus 3.4.1. I LUKU – YLEISET SÄÄNNÖKSET

Ehdotuksen 1 artiklassa määritellään direktiivin kohde eli säännöt, jotka koskevat henkilötietojen käsittelyä rikosten torjumista, tutkimista, selvittämistä ja syytteeseenpanoa tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten. Lisäksi siinä vahvistetaan direktiivin kaksi tavoitetta, jotka ovat suojella luonnollisten henkilöiden perusoikeuksia ja ‑vapauksia ja erityisesti heidän oikeuttaan henkilötietojen suojaan ja samalla turvata yleisen turvallisuuden korkeatasoinen suoja sekä taata henkilötietojen vaihtaminen toimivaltaisten viranomaisten kesken unionissa.

Ehdotuksen 2 artiklassa määritellään direktiivin soveltamisala. Soveltamisalaa ei ole rajoitettu koskemaan pelkästään valtioiden rajat ylittävää tietojenkäsittelyä, vaan direktiiviä sovelletaan kaikkeen ’toimivaltaisten viranomaisten’ (sellaisina kuin ne on määritelty direktiivin 3 artiklan 14 kohdassa) suorittamaan tietojenkäsittelyyn. Direktiiviä ei sovelleta henkilötietojen käsittelyyn, joka suoritetaan sellaisen toiminnan yhteydessä, joka ei kuulu unionin oikeuden soveltamisalaan, eikä unionin toimielinten, elinten ja laitosten suorittamaan tietojenkäsittelyyn, josta säädetään erikseen asetuksessa (EY) N:o 45/2001 ja muissa säädöksissä.

Ehdotuksen 3 artiklassa määritellään direktiivissä käytetyt käsitteet. Osa määritelmistä on otettu suoraan direktiivistä 95/46/EY ja puitepäätöksestä 2008/977/YOS, eräitä määritelmiä taas on muokattu tai täydennetty. Uusia määritelmiä ovat ’henkilötietojen tietoturvaloukkaus’, ’geneettiset tiedot’ ja ’biometriset tiedot’, ’toimivaltaiset viranomaiset’ (SEUT-sopimuksen 87 artiklan sekä puitepäätöksen 2008/977/YOS 2 artiklan h alakohdan mukaisesti) sekä ’lapsi’ lapsen oikeuksia koskevan YK:n yleissopimuksen mukaisesti[22].

3.4.2. II LUKU – PERIAATTEET

Ehdotuksen 4 artiklassa vahvistetaan henkilötietojen käsittelyä koskevat periaatteet, jotka vastaavat direktiivin 95/46/EY 6 artiklaa sekä puitepäätöksen 2008/977/YOS 3 artiklaa, joita on mukautettu vastaamaan tätä direktiiviä.

Ehdotuksen 5 artiklan mukaisesti on mahdollisuuksien mukaan eroteltava toisistaan eri ryhmiin kuuluvia rekisteröityjä koskevat henkilötiedot. Kyseessä on uusi säännös, jota ei ollut direktiivissä 95/46/EY eikä puitepäätöksessä 2008/977/YOS, mutta jollaista komissio esitti alkuperäisessä ehdotuksessaan puitepäätökseksi[23]. Se perustuu Euroopan neuvoston suositukseen R (87)15. Vastaavat säännöt on jo vahvistettu Europolin[24] ja Eurojustin[25] osalta.

Ehdotuksen 6 artikla, joka koskee henkilötietojen eriasteista tarkkuutta ja luotettavuutta, perustuu Euroopan neuvoston suosituksessa R (87)15 olevaan periaatteeseen 3.2. Samanlaisia sääntöjä esitettiin komission ehdotuksessa puitepäätökseksi, ja vastaavat säännöt on vahvistettu Europolin osalta[26].

Ehdotuksen 7 artiklassa vahvistetaan lainmukaisen käsittelyn perusteet, joihin voi tarvittaessa kuulua toimivaltaisen viranomaisen kansalliseen lainsäädäntöön perustuvan tehtävän suorittaminen, rekisterinpitäjän lakisääteisen velvoitteen noudattaminen, rekisteröidyn tai toisen henkilön elintärkeiden etujen suojaaminen tai jäsenvaltion yleiseen turvallisuuteen kohdistuvan välittömän ja vakavan uhkan estäminen. Muut direktiivin 95/46/EY 7 artiklassa esitetyt lainmukaisen käsittelyn perusteet eivät sovellu tietojen käsittelyyn poliisiyhteistyön ja rikosasioissa tehtävän oikeudellisen yhteistyön alalla.

Ehdotuksen 8 artiklassa säädetään erityisiä tietoryhmiä koskevasta yleisestä käsittelykiellosta ja tätä pääsääntöä koskevista poikkeuksista direktiivin 95/46/EY 8 artiklan pohjalta. Artiklaan on lisätty maininta geneettisistä tiedoista Euroopan ihmisoikeustuomioistuimen oikeuskäytännön[27] pohjalta.

Ehdotuksen 9 artiklassa kielletään ainoastaan automaattiseen tietojenkäsittelyyn perustuvat toimenpiteet, ellei niitä ole erikseen sallittu laissa, jossa säädetään asianmukaisista takeista, puitepäätöksen 2008/977/YOS 7 artiklan mukaisesti.

3.4.3. III LUKU – REKISTERÖIDYN OIKEUDET

Ehdotuksen 10 artiklassa asetetaan jäsenvaltioille helposti saatavan ja ymmärrettävän tiedon vaatimus, joka perustuu erityisesti henkilötietojen ja yksityisyyden suojaa koskevista kansainvälisistä standardeista annetun Madridin päätöslauselman[28] periaatteeseen nro 10. Lisäksi siinä velvoitetaan rekisterinpitäjät ottamaan käyttöön menettelyt ja mekanismit, joiden avulla rekisteröidyt voivat helpommin käyttää oikeuksiaan. Tähän sisältyy myös vaatimus periaatteessa maksuttomasta oikeuksien käytöstä.

Ehdotuksen 11 artiklassa velvoitetaan jäsenvaltiot huolehtimaan siitä, että rekisteröidylle ilmoitetaan tietojenkäsittelystä. Velvoitteet perustuvat direktiivin 95/46/EY 10 ja 11 artiklaan, mutta niitä ei ole jaettu eri artikloihin sen mukaan, kerätäänkö tiedot rekisteröidyltä vai ei. Lisäksi artiklassa laajennetaan rekisteröidylle annettavia tietoja. Siinä vahvistetaan poikkeukset ilmoittamisvelvoitteesta, jos nämä poikkeukset ovat oikeasuhteisia sekä välttämättömiä demokraattisessa yhteiskunnassa toimivaltaisten viranomaisten tehtävien suorittamiseksi (direktiivin 95/46/EY 13 artiklan ja puitepäätöksen 2008/977/YOS 17 artiklan mukaisesti).

Ehdotuksen 12 artiklassa velvoitetaan jäsenvaltiot huolehtimaan siitä, että rekisteröidyllä on oikeus saada häntä itseään koskevia henkilötietoja. Se vastaa direktiivin 95/46/EY 12 artiklan a alakohtaa, johon on lisätty uusia elementtejä, jotka koskevat rekisteröidyille ilmoittamista (säilytysaikaa, oikeutta oikaista ja poistaa tietoja, rajoittaa käsittelyä ja oikeutta tehdä valitus).

Ehdotuksen 13 artiklassa säädetään, että jäsenvaltiot voivat hyväksyä tiedonsaantioikeutta rajoittavia lainsäädäntötoimenpiteitä, jos tämä on tarpeen poliisi- ja rikosoikeuden alalla suoritettavan tietojenkäsittelyn erityisen luonteen takia. Lisäksi artiklassa säädetään puitepäätöksen 2008/977/YOS 17 artiklan 2 ja 3 kohdan mukaisesti siitä, että rekisteröidylle on ilmoitettava tiedonsaantioikeuden rajoittamisesta.

Ehdotuksen 14 artiklassa vahvistetaan sääntö, jonka mukaan silloin kun suoraa tiedonsaantia on rajoitettu, rekisteröidylle on ilmoitettava mahdollisuudesta saada tietoa epäsuorasti valvontaviranomaisen kautta. Valvontaviranomaisen olisi käytettävä tiedonsaantioikeutta rekisteröidyn puolesta ja ilmoitettava rekisteröidylle tarkistuksen tuloksista.

Ehdotuksen 15 artikla, joka koskee oikeutta tietojen oikaisemiseen, perustuu direktiivin 95/46/EY 12 artiklan b alakohtaan. Velvollisuudet, jotka koskevat kieltäytymistä tietojen oikaisemisesta, perustuvat puitepäätöksen 2008/977/YOS 18 artiklan 1 kohtaan.

Ehdotuksen 16 artikla, joka koskee oikeutta tietojen poistamiseen, perustuu direktiivin 95/46/EY 12 artiklan b alakohtaan. Velvollisuudet, jotka koskevat kieltäytymistä tietojen poistamisesta, perustuvat puitepäätöksen 2008/977/YOS 18 artiklan 1 kohtaan. Lisäksi siihen on sisällytetty oikeus pyytää eräissä tapauksissa tietojen merkitsemistä. Tämä korvaa direktiivin 95/46/EY 12 artiklan b alakohdassa ja puitepäätöksen 2008/977/YOS 18 artiklan 1 kohdassa käytetyn epämääräisen ilmauksen ’suojaaminen’.

Ehdotuksen 17 artiklassa selkeytetään puitepäätöksen 2008/977/YOS 4 artiklan 4 kohdan pohjalta henkilötietojen oikaisemista ja poistamista sekä käsittelyn rajoittamista oikeudenkäyntien yhteydessä.

3.4.4. IV LUKU – REKISTERINPITÄJÄ JA HENKILÖTIETOJEN KÄSITTELIJÄ 3.4.4.1. 1 JAKSO – YLEISET VELVOLLISUUDET

Ehdotuksen 18 artiklassa kuvataan rekisterinpitäjän velvollisuutta noudattaa tätä direktiiviä ja valvoa sen noudattamista, mukaan lukien noudattamisen varmistamiseksi tarvittavien toimintamenetelmien ja mekanismien hyväksyminen.

Ehdotuksen 19 artiklan mukaan jäsenvaltioiden on varmistettava, että rekisterinpitäjä noudattaa sisäänrakennetun tietosuojan ja oletusarvoisen tietosuojan periaatteisiin liittyviä velvollisuuksia.

Ehdotuksen 20 artiklassa selkeytetään yhteisten rekisterinpitäjien keskinäisiä suhteita.

Ehdotuksen 21 artiklassa selkeytetään henkilötietojen käsittelijöiden asemaa ja velvollisuuksia, jotka perustuvat osittain direktiivin 95/46/EY 17 artiklan 2 kohtaan. Niihin myös lisätään uusia tekijöitä, kuten se, että jos henkilötietojen käsittelijä käsittelee tietoja muuten kuin rekisterinpitäjän ohjeiden mukaisesti, sitä on pidettävä kyseisen käsittelyn osalta rekisterinpitäjänä.

Ehdotuksen 22 artikla koskee tietojenkäsittelyä rekisterinpitäjän ja henkilötietojen käsittelijän alaisuudessa ja perustuu direktiivin 95/46/EY 16 artiklaan.

Ehdotuksen 23 artiklassa velvoitetaan rekisterinpitäjät ja henkilötietojen käsittelijät säilyttämään vastuullaan olevia käsittelyjärjestelmiä ja menettelyjä koskevat asiakirjat.

Ehdotuksen 24 artikla koskee kirjaamista ja perustuu puitepäätöksen 2008/977/YOS 10 artiklan 1 kohtaan. Säännöksiä on kuitenkin selkeytetty edelleen.

Ehdotuksen 25 artiklassa selkeytetään rekisterinpitäjän ja henkilötietojen käsittelijän velvollisuutta tehdä yhteistyötä valvontaviranomaisen kanssa.

Ehdotuksen 26 artikla koskee tapauksia, joissa valvontaviranomaista on kuultava ennen tietojenkäsittelyä, ja perustuu puitepäätöksen 2008/977/YOS 23 artiklaan.

3.4.4.2. 2 JAKSO – TIETOTURVALLISUUS

Ehdotuksen 27 artikla, joka koskee tietojenkäsittelyn turvallisuutta, perustuu direktiivin 95/46/EY 17 artiklan 1 kohtaan sekä puitepäätöksen 2008/977/YOS 22 artiklaan. Siinä laajennetaan tietoturvallisuuteen liittyvät velvollisuudet koskemaan myös henkilötietojen käsittelijöitä riippumatta siitä, millainen sopimus niillä on rekisterinpitäjän kanssa.

Ehdotuksen 28 ja 29 artiklassa säädetään velvollisuudesta ilmoittaa henkilötietojen tietoturvaloukkauksista. Säännökset perustuvat vastaavan sisältöiseen sähköisen viestinnän tietosuojadirektiivin 2002/58/EY 4 artiklan 3 kohtaan, ja niissä selkeytetään ja erotetaan toisistaan velvoitteet ilmoittaa valvontaviranomaiselle (28 artikla) ja ilmoittaa tietyissä tilanteissa rekisteröidylle (29 artikla). Ehdotuksen 29 artiklassa säädetään myös poikkeuksista viittaamalla 11 artiklan 4 kohtaan.

3.4.4.3. 3 JAKSO – TIETOSUOJAVASTAAVA

Ehdotuksen 30 artiklassa velvoitetaan rekisterinpitäjä nimittämään tietosuojavastaava, jonka on suoritettava 32 artiklassa luetellut tehtävät. Jos useat toimivaltaiset viranomaiset toimivat yhden, rekisterinpitäjän tehtäviä hoitavan keskusviranomaisen valvonnassa, ainakin kyseinen keskusviranomainen on nimitettävä tietosuojavastaavaksi. Direktiivin 95/46/EY 18 artiklan 2 kohdassa säädettiin jäsenvaltioiden mahdollisuudesta ottaa käyttöön tällainen vaatimus kyseiseen direktiiviin perustuvan yleisen ilmoitusmenettelyn sijasta.

Ehdotuksen 31 artiklassa säädetään tietosuojavastaavan asemasta.

Ehdotuksen 32 artiklassa vahvistetaan tietosuojavastaavan tehtävät.

3.4.5. V LUKU – HENKILÖTIETOJEN SIIRTO KOLMANSIIN MAIHIN TAI KANSAINVÄLISILLE JÄRJESTÖILLE

Ehdotuksen 33 artiklassa vahvistetaan yleiset periaatteet henkilötietojen siirrolle kolmansiin maihin tai kansainvälisille järjestöille poliisiyhteistyön ja rikosasioissa tehtävän oikeudellisen yhteistyön alalla, tietojen edelleensiirrot mukaan lukien. Siinä täsmennetään, että tietoja voidaan siirtää kolmansiin maihin vain, jos siirto on tarpeen rikosten torjumista, tutkimista, selvittämistä ja syytteeseenpanoa tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten.

Ehdotuksen 34 artiklassa säädetään, että henkilötietoja voidaan siirtää kolmanteen maahan, jos komissio on asetuksen (EU) N:o …/../201X mukaisesti päättänyt, että kyseinen kolmas maa tarjoaa riittävän tietosuojan tason, tai nimenomaisesti poliisiyhteistyön ja rikosasioissa tehtävän oikeudellisen yhteistyön alalla tai, jos tällaista päätöstä ei ole tehty, jos on annettu asianmukaiset takeet. Jos tietosuojan riittävyyttä koskevaa päätöstä ei ole tehty, direktiivissä säädetään, että siirron perusteeksi riittävät asianmukaiset takeet ja poikkeukset. Lisäksi artiklassa vahvistetaan kriteerit, jotka komission on otettava huomioon arvioidessaan tietosuojan tason riittävyyttä ja joita ovat oikeusvaltioperiaate, oikeudelliset muutoksenhakukeinot ja riippumaton valvonta. Artiklassa säädetään myös, että komissio voi arvioida tietosuojan tason riittävyyttä tietyllä kolmannen maan alueella tai tietojenkäsittelyn sektorilla. Artiklassa myös säädetään, että yleisen tietosuoja-asetuksen 38 artiklan menettelyjen mukaisesti tehtyä tietosuojan tason riittävyyttä koskevaa yleistä päätöstä sovelletaan tämän direktiivin puitteissa. Vaihtoehtoisesti komissio voi erikseen tehdä päätöksen tietosuojan tason riittävyydestä tämän direktiivin tarkoituksia varten.

Ehdotuksen 35 artiklassa määritellään asianmukaiset takeet, jotka tarvitaan ennen kansainvälisiä henkilötietojen siirtoja, ellei komissio ole tehnyt päätöstä tietosuojan tason riittävyydestä. Nämä takeet voidaan antaa oikeudellisesti sitovassa välineessä, kuten kansainvälisessä sopimuksessa. Vaihtoehtoisesti rekisterinpitäjä voi todeta takeiden olemassaolon arvioituaan siirtoon liittyviä seikkoja.

Ehdotuksen 36 artiklassa luetellaan direktiivin 95/46/EY 26 artiklaan ja puitepäätöksen 2008/977/YOS 13 artiklaan perustuen poikkeukset, joiden nojalla henkilötietojen siirto voidaan sallia.

Ehdotuksen 37 artiklassa velvoitetaan jäsenvaltiot säätämään, että rekisterinpitäjän on ilmoitettava henkilötietojen vastaanottajalle käsittelyn rajoituksista sekä toteutettava kaikki kohtuulliset toimet varmistaakseen, että henkilötietojen vastaanottajat kolmannessa maassa tai kansainvälisessä järjestössä noudattavat näitä rajoituksia.

Ehdotuksen 38 artiklassa säädetään komission ja kolmansien maiden valvontaviranomaisten käyttöön tarkoitetuista henkilötietojen suojaamista koskevista kansainvälisistä yhteistyömekanismeista. Tämä koskee erityisesti niitä kolmansia maita, joiden katsotaan tarjoavan riittävän tietosuojan tason, kun otetaan huomioon Taloudellisen yhteistyön ja kehityksen järjestön (OECD) 12. kesäkuuta 2007 antama suositus rajatylittävästä yhteistyöstä yksityisyydensuojaa koskevan lainsäädännön täytäntöönpanon alalla.

VI LUKU – KANSALLISET VALVONTAVIRANOMAISET

3.4.5.1. 1 JAKSO – RIIPPUMATON ASEMA

Ehdotuksen 39 artiklassa, joka perustuu direktiivin 95/46/EY 28 artiklan 1 kohtaan ja puitepäätöksen 2008/977/YOS 25 artiklaan, jäsenvaltiot velvoitetaan perustamaan valvontaviranomaiset ja lisätään viranomaisten tehtäviin direktiivin johdonmukaisen soveltamisen edistäminen koko unionissa. Valvontaviranomaisena voi toimia yleisen tietosuoja-asetuksen mukaisesti perustettu valvontaviranomainen.

Ehdotuksen 40 artiklassa selkeytetään valvontaviranomaisten riippumattomuuden edellytyksiä panemalla täytäntöön Euroopan unionin tuomioistuimen oikeuskäytäntö[29]. Lisäksi säännös perustuu asetuksen (EY) N:o 45/2001[30] 44 artiklaan.

Ehdotuksen 41 artiklassa vahvistetaan valvontaviranomaisen jäseniä koskevat yleiset edellytykset. Säännös perustuu asiaa koskevaan oikeuskäytäntöön[31] ja asetuksen (EY) N:o 45/2001 42 artiklan 2–6 kohtaan.

Ehdotuksen 42 artiklassa vahvistetaan valvontaviranomaisen perustamista koskevat säännöt sekä sen jäseniä koskevat edellytykset, jotka on sisällytettävä jäsenvaltioiden lainsäädäntöön.

Ehdotuksen 43 artikla, jossa säädetään valvontaviranomaisen jäsenten ja henkilöstön vaitiolovelvollisuudesta, perustuu direktiivin 95/46/EY 28 artiklan 7 kohtaan ja puitepäätöksen 2008/977/YOS 25 artiklan 4 kohtaan.

3.4.5.2. 2 JAKSO – TEHTÄVÄT JA VALTUUDET

Ehdotuksen 44 artiklassa määritellään direktiivin 95/46/EY 28 artiklan 6 kohtaan ja puitepäätöksen 2008/977/YOS 25 artiklan 1 kohtaan perustuen valvontaviranomaisten toimivalta. Tuomioistuimet on vapautettu valvontaviranomaisen valvonnasta silloin kun ne käyttävät tuomiovaltaansa, mutta niiden on siitä huolimatta sovellettava tietosuojaa koskevia aineellisia sääntöjä.

Ehdotuksen 45 artiklassa velvoitetaan jäsenvaltiot säätämään valvontaviranomaisen tehtävistä, joita ovat muun muassa valitusten käsittely ja tutkiminen sekä tietosuojaan liittyvistä riskeistä, säännöistä, takeista ja oikeuksista tiedottaminen kansalaisille. Tämän direktiivin osalta valvontaviranomaisten on käytettävä tiedonsaantioikeutta rekisteröidyn puolesta, jos tältä kielletään suora tiedonsaanti tai rajoitetaan sitä. Lisäksi valvontaviranomaisten on varmistettava tietojenkäsittelyn lainmukaisuus.

Ehdotuksen 46 artiklassa vahvistetaan direktiivin 95/46/EY 28 artiklan 3 kohtaan ja puitepäätöksen 2008/977/YOS 25 artiklan 2 ja 3 kohtaan perustuen valvontaviranomaisen valtuudet.

Ehdotuksen 47 artiklassa velvoitetaan valvontaviranomaiset laatimaan vuotuinen toimintakertomus. Säännös perustuu direktiivin 95/46/EY 28 artiklan 5 kohtaan.

3.4.6. VII LUKU – YHTEISTYÖ

Ehdotuksen 48 artiklassa vahvistetaan säännöt pakollisesta keskinäisestä avunannosta. Direktiivin 95/46/EY 28 artiklan 6 kohdan toisessa alakohdassa säädettiin yleisesti avunantovelvoitteesta.

Ehdotuksen 49 artiklassa säädetään, että yleisellä tietosuoja-asetuksella perustettu Euroopan tietosuojaneuvosto hoitaa myös tämän direktiivin soveltamisalaan kuuluvaan tietojenkäsittelyyn liittyviä tehtäviä. Komissio aikoo tarjota täydentävää tukea ja pyytää neuvoja rikosten torjumisen, tutkimisen, selvittämisen ja syytteeseenpanon alalla toimivaltaisilta jäsenvaltioiden viranomaisilta sekä Europolin ja Eurojustin edustajilta ja muodostaa asiantuntijaryhmän, joka käsittelee lainvalvontaan liittyviä tietosuojan näkökohtia.

3.4.7. VIII LUKU – OIKEUSSUOJAKEINOT, VASTUU JA SEURAAMUKSET

Ehdotuksen 50 artiklassa säädetään, että jokaisella rekisteröidyllä on oikeus tehdä valitus valvontaviranomaiselle. Säännös perustuu direktiivin 95/46/EY 28 artiklan 4 kohtaan ja koskee kaikkia tapauksia, joissa direktiiviä ei ole noudatettu suhteessa valituksen tekijään. Artiklassa mainitaan myös ne elimet, järjestöt ja yhdistykset, jotka voivat tehdä valituksen rekisteröidyn puolesta, tai jos kyseessä on henkilötietojen tietoturvaloukkaus, rekisteröidyn valituksesta riippumatta.

Ehdotuksen 51 artiklassa säädetään oikeudesta oikeussuojakeinoihin valvontaviranomaista vastaan. Se perustuu direktiivin 95/46/EY 28 artiklan 3 kohdassa olevaan yleiseen säännökseen, ja siinä säädetään nimenomaan, että rekisteröity voi viedä asian tuomioistuimeen velvoittaakseen valvontaviranomaisen käsittelemään valituksen.

Ehdotuksen 52 artiklassa säädetään oikeudesta oikeussuojakeinoihin rekisterinpitäjää tai henkilötietojen käsittelijää vastaan direktiivin 95/46/EY 22 artiklan ja puitepäätöksen 2008/977/YOS 20 artiklan mukaisesti.

Ehdotuksen 53 artiklassa vahvistetaan tuomioistuinmenettelyjä koskevat yhteiset säännöt, jotka koskevat muun muassa elinten, järjestöjen ja yhdistysten oikeutta edustaa rekisteröityjä tuomioistuimissa ja valvontaviranomaisten oikeutta panna vireille oikeudellisia menettelyjä. Jäsenvaltioiden on varmistettava, että oikeussuojakeinot mahdollistavat nopeat toimenpiteet. Tämä säännös perustuu sähköistä kaupankäyntiä koskevan direktiivin 2000/31/EY[32] 18 artiklan 1 kohtaan.

Ehdotuksen 54 artiklassa velvoitetaan jäsenvaltiot säätämään oikeudesta korvauksen saamiseen. Säännös perustuu direktiivin 95/46/EY 23 artiklaan ja puitepäätöksen 2008/977/YOS 19 artiklan 1 kohtaan. Oikeutta korvauksen saamiseen laajennetaan koskemaan myös henkilötietojen käsittelijöiden aiheuttamia vahinkoja. Lisäksi artiklassa selkeytetään vastuukysymyksiä silloin, kun käsittelyyn on osallistunut useampi kuin yksi rekisterinpitäjä tai henkilötietojen käsittelijä.

Ehdotuksen 55 artiklassa velvoitetaan jäsenvaltiot vahvistamaan seuraamuksia koskevat säännöt, määräämään seuraamuksia direktiivin rikkomisesta ja varmistamaan sääntöjen täytäntöönpano.

3.4.8. IX LUKU – DELEGOIDUT SÄÄDÖKSET JA TÄYTÄNTÖÖNPANOSÄÄDÖKSET

Ehdotuksen 56 artikla sisältää siirretyn säädösvallan käyttöä koskevat vakiosäännökset SEUT-sopimuksen 290 artiklan mukaisesti. Tuon artiklan nojalla lainsäätäjä voi siirtää komissiolle vallan antaa muita kuin lainsäätämisjärjestyksessä hyväksyttäviä, soveltamisalaltaan yleisiä säädöksiä, joilla täydennetään tai muutetaan lainsäätämisjärjestyksessä hyväksytyn säädöksen tiettyjä, muita kuin sen keskeisiä osia.

Ehdotuksen 57 artiklassa säädetään komiteamenettelystä, jolla komissiolle siirretään täytäntöönpanovaltaa sellaisia tapauksia varten, joissa unionin oikeudellisesti velvoittavat säädökset edellyttävät SEUT-sopimuksen 291 artiklan mukaisesti yhdenmukaista täytäntöönpanoa. Sovelletaan tarkastelumenettelyä.

3.4.9. X LUKU – LOPPUSÄÄNNÖKSET

Ehdotuksen 58 artiklalla kumotaan neuvoston puitepäätös 2008/977/YOS.

Ehdotuksen 59 artiklassa säädetään siitä, että direktiivi ei vaikuta erityisiin säännöksiin, jotka koskevat toimivaltaisten viranomaisten suorittamaa henkilötietojen käsittelyä rikosten torjumista, tutkimista, selvittämistä ja syytteeseenpanoa tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten ja jotka sisältyvät ennen tämän direktiivin hyväksymistä annettuihin unionin säädöksiin, joilla säännellään direktiivin soveltamisalaan kuuluvaa henkilötietojen käsittelyä tai pääsyä tietojärjestelmiin.

Ehdotuksen 60 artiklassa selkeytetään direktiivin suhdetta kansainvälisiin sopimuksiin, joita jäsenvaltiot ovat aiemmin tehneet rikosasioissa tehtävän oikeudellisen yhteistyön ja poliisiyhteistyön alalla.

Ehdotuksen 61 artiklassa velvoitetaan komissio arvioimaan direktiivin täytäntöönpanoa ja raportoimaan siitä, jotta voidaan päättää, olisiko 59 artiklassa tarkoitetut, aiemmin annetut erityiset säännökset yhdenmukaistettava tämän direktiivin kanssa.

Ehdotuksen 62 artiklassa velvoitetaan jäsenvaltiot saattamaan direktiivi osaksi kansallista lainsäädäntöään ja antamaan komissiolle tiedoksi direktiivin nojalla annetut säännökset.

Ehdotuksen 63 artiklassa vahvistetaan direktiivin voimaantulopäivä.

Ehdotuksen 64 artiklassa ilmoitetaan ne valtiot, joille direktiivi on osoitettu.

4.         TALOUSARVIOVAIKUTUKSET

Rahoitusselvitys, joka on yleistä tietosuoja-asetusta koskevan ehdotuksen liitteenä, kattaa sekä asetuksen että tämän direktiivin talousarviovaikutukset.

2012/0010 (COD)

Ehdotus

EUROOPAN PARLAMENTIN JA NEUVOSTON DIREKTIIVI

yksilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten torjumista, tutkimista, selvittämistä ja syytteeseenpanoa tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta

EUROOPAN PARLAMENTTI JA EUROOPAN UNIONIN NEUVOSTO, jotka

ottavat huomioon Euroopan unionin toiminnasta tehdyn sopimuksen ja erityisesti sen 16 artiklan 2 kohdan,

ottavat huomioon Euroopan komission ehdotuksen,

sen jälkeen, kun esitys lainsäätämisjärjestyksessä hyväksyttäväksi säädökseksi on toimitettu kansallisille parlamenteille,

ovat kuulleet Euroopan tietosuojavaltuutettua[33],

noudattavat tavallista lainsäätämisjärjestystä,

sekä katsovat seuraavaa:

(1) Luonnollisten henkilöiden suojelu henkilötietojen käsittelyn yhteydessä kuuluu perusoikeuksiin. Euroopan unionin perusoikeuskirjan 8 artiklan 1 kohdan ja Euroopan unionin toiminnasta tehdyn sopimuksen 16 artiklan 1 kohdan mukaan jokaisella on oikeus henkilötietojensa suojaan.

(2) Henkilötietojen käsittelyn on tarkoitus palvella ihmistä. Sen vuoksi niissä periaatteissa ja säännöissä, jotka koskevat yksilöiden suojelua henkilötietojen käsittelyssä, olisi henkilöiden kansalaisuudesta ja asuinpaikasta riippumatta otettava huomioon heidän perusoikeutensa ja ‑vapautensa ja erityisesti oikeus henkilötietojen suojaan. Henkilötietojen käsittelyn olisi myös tuettava vapauden, turvallisuuden ja oikeuden alueen kehittämistä.

(3) Teknologian nopea kehitys ja globalisaatio ovat tuoneet henkilötietojen käsittelyyn uusia haasteita. Tietoja kerätään ja jaetaan nyt valtavan paljon suuremmassa mittakaavassa. Toimivaltaiset viranomaiset voivat käyttää toiminnassaan henkilötietoja ennennäkemättömän laajasti teknologian kehityksen ansiosta.

(4) Sen takia olisi helpotettava vapaata tiedonkulkua toimivaltaisten viranomaisten kesken unionissa ja tietojen siirtämistä kolmansiin maihin ja kansainvälisille järjestöille ja samalla varmistettava henkilötietojen korkeatasoinen suoja. Tämän kehityksen vuoksi unionissa on laadittava vahvempi ja johdonmukaisempi tietosuojakehys, jota tuetaan tehokkaalla täytäntöönpanolla.

(5) Yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24 päivänä lokakuuta 1995 annettua Euroopan parlamentin ja neuvoston direktiiviä 95/46/EY[34] sovelletaan kaikkeen jäsenvaltioissa sekä julkisella että yksityisellä sektorilla tapahtuvaan henkilötietojen käsittelyyn. Sitä ei kuitenkaan sovelleta henkilötietojen käsittelyyn, joka suoritetaan sellaisessa toiminnassa joka ei kuulu yhteisön oikeuden soveltamisalaan, kuten rikosasioissa tehtävän oikeudellisen yhteistyön ja poliisiyhteistyön yhteydessä.

(6) Rikosasioissa tehtävän oikeudellisen yhteistyön ja poliisiyhteistyön aloilla sovelletaan rikosasioissa tehtävässä poliisi- ja oikeudellisessa yhteistyössä käsiteltävien henkilötietojen suojaamisesta 27 päivänä marraskuuta 2008 annettua neuvoston puitepäätöstä 2008/977/YOS[35]. Puitepäätöksen soveltamisala rajoittuu jäsenvaltioiden keskenään siirtämien tai saataville asettamien henkilötietojen käsittelyyn.

(7) Rikosasioissa tehtävän oikeudellisen yhteistyön ja poliisiyhteistyön varmistamiseksi on taattava yksilöiden henkilötietojen korkeatasoinen ja johdonmukainen suoja ja helpotettava henkilötietojen vaihtoa jäsenvaltioiden toimivaltaisten viranomaisten kesken. Sitä varten kaikkien jäsenvaltioiden on tarjottava samantasoinen yksilöiden oikeuksien ja vapauksien suoja toimivaltaisten viranomaisten käsitellessä henkilötietoja rikosten torjumista, tutkimista, selvittämistä tai syytteeseenpanoa tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten. Jotta henkilötietoja voidaan suojata tehokkaasti koko unionissa, on vahvistettava rekisteröidyn oikeuksia ja lisättävä henkilötietoja käsittelevien vastuuta. Samalla on varmistettava samantasoiset valtuudet seurata ja varmistaa henkilötietojen suojelua koskevien sääntöjen noudattaminen jäsenvaltioissa.

(8) Euroopan unionin toiminnasta tehdyn sopimuksen 16 artiklan 2 kohdan mukaan Euroopan parlamentti ja neuvosto antavat luonnollisten henkilöiden suojaa koskevat säännöt, jotka koskevat henkilötietojen käsittelyä, sekä säännöt, jotka koskevat näiden tietojen vapaata liikkuvuutta.

(9) Sen pohjalta Euroopan parlamentin ja neuvoston asetuksessa (EU) N:o …./2012 yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (yleinen tietosuoja-asetus) vahvistetaan yleiset säännöt yksilöiden suojelemiseksi henkilötietojen käsittelyssä ja näiden tietojen vapaan liikkuvuuden varmistamiseksi unionissa.

(10) Lissabonin sopimuksen hyväksyneen hallitustenvälisen konferenssin päätösasiakirjaan liitetyssä julistuksessa 21 henkilötietojen suojasta rikosoikeuden alalla tehtävän oikeudellisen yhteistyön ja poliisiyhteistyön aloilla konferenssi tunnusti, että Euroopan unionin toiminnasta tehdyn sopimuksen 16 artiklan mukaiset erityissäännöt henkilötietojen suojasta ja näiden tietojen vapaasta liikkuvuudesta saattavat osoittautua tarpeellisiksi rikosoikeuden alalla tehtävän oikeudellisen yhteistyön ja poliisiyhteistyön aloilla näiden alojen erityisluonteen vuoksi.

(11) Sen vuoksi tarvitaan erillistä direktiiviä, joka vastaa näiden alojen erityisluonnetta ja jossa vahvistetaan säännöt yksilöiden suojelusta toimivaltaisten viranomaisten käsitellessä henkilötietoja rikosten torjumista, tutkimista, selvittämistä tai syytteeseenpanoa tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten.

(12) Jotta yksilöillä olisi samantasoinen suoja ja täytäntöönpanokelpoiset oikeudet kaikkialla unionissa ja jotta estetään toimivaltaisten viranomaisten välistä henkilötietojen vaihtoa haittaavat eroavuudet, direktiivissä olisi vahvistettava yhdenmukaiset henkilötietojen suojaa ja vapaata liikkuvuutta koskevat säännöt rikosasioissa tehtävän oikeudellisen yhteistyön ja poliisiyhteistyön aloilla.

(13) Virallisten asiakirjojen julkisuusperiaate voidaan ottaa huomioon tämän direktiivin säännöksiä sovellettaessa.

(14) Direktiivin antaman suojan olisi koskettava kaikkia luonnollisia henkilöitä heidän kansalaisuudestaan ja asuinpaikastaan riippumatta silloin kun on kyse henkilötietojen käsittelystä.

(15) Yksilöiden suojelu ei saa olla riippuvainen käytetystä tekniikasta, koska tällainen riippuvaisuus uhkaisi aiheuttaa vakavia väärinkäytöksiä. Yksilöiden suojelun olisi koskettava myös henkilötietojen automatisoitua käsittelyä sekä sellaisten henkilötietojen manuaalista käsittelyä, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa. Tämän direktiivin soveltamisalaan ei ole tarkoitus sisällyttää sellaisia asiakirjoja tai asiakirjojen kokonaisuuksia kansilehtineen, joita ei ole järjestetty määriteltyjen perusteiden mukaisesti. Tätä direktiiviä ei ole tarkoitus soveltaa henkilötietojen käsittelyyn, joka suoritetaan sellaisen toiminnan yhteydessä, joka ei kuulu unionin oikeuden soveltamisalaan, erityisesti jos on kyse kansallisesta turvallisuudesta, eikä tietoihin, joita käsittelevät unionin toimielimet, elimet ja laitokset, kuten Europol ja Eurojust.

(16) Tietosuojaperiaatteita olisi sovellettava kaikkiin tietoihin, jotka koskevat tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä. Sen ratkaisemiseksi, onko luonnollinen henkilö tunnistettavissa, olisi otettava huomioon kaikki keinot, joita joko rekisterinpitäjä tai muu henkilö voi kohtuuden rajoissa käyttää mainitun henkilön tunnistamiseksi. Tietosuojaperiaatteita ei ole tarkoitus soveltaa tietoihin, joiden tunnistettavuus on poistettu siten, ettei rekisteröidyn tunnistaminen ole enää mahdollista.

(17) Terveyttä koskeviin henkilötietoihin olisi sisällytettävä erityisesti kaikki tiedot, jotka koskevat rekisteröidyn terveydentilaa, tiedot yksilön rekisteröimisestä terveyspalvelujen saamista varten, tiedot yksilöä koskevista terveydenhuollon maksuista tai yksilön oikeudesta terveydenhuoltoon, yksilölle annettu numero, symboli tai erityistuntomerkki ainoastaan yksilön tunnistamiseksi terveydenhuollon piirissä, yksilöstä terveydenhuollon palvelujen antamisen aikana kerätyt tiedot, kehon osan tai kehosta peräisin olevan aineen testaamisesta tai tutkimisesta saadut tiedot, myös biologiset näytteet, tieto siitä, kuka on hoitanut yksilöä, sekä kaikki tiedot esimerkiksi sairauksista, vammoista, sairauden riskistä, esitiedoista tai annetuista hoidoista sekä tieto rekisteröidyn senhetkisestä fyysisestä tai lääketieteellisestä tilanteesta riippumatta siitä, onko tiedot saatu lääkäriltä tai muulta terveydenhuoltoalan ammattilaiselta, sairaalalta, lääkinnällisestä laitteesta vai diagnostisesta in vitro ‑testistä.

(18) Kaikki henkilötietojen käsittely on suoritettava lainmukaisesti ja asianomaisia henkilöitä kohtaan oikeudenmukaisella tavalla. Varsinkin tietojenkäsittelyn nimenomainen tarkoitus olisi ilmoitettava selvästi.

(19) Rikosten torjuminen, tutkiminen ja syytteeseenpano edellyttävät, että toimivaltaiset viranomaiset voivat säilyttää ja käsitellä tiettyjen rikosten torjumisen, tutkimisen, selvittämisen ja syytteeseenpanon yhteydessä kerättyjä henkilötietoja myös muissa yhteyksissä ymmärtääkseen rikollisuuden ilmiöitä ja suuntauksia, kerätäkseen tietoa järjestäytyneistä rikollisverkostoista sekä havaitakseen yhteyksiä selvitettyjen rikosten välillä.

(20) Henkilötietoja ei saa käsitellä sellaisia tarkoituksia varten, jotka ovat ristiriidassa sen tarkoituksen kanssa, johon tiedot kerättiin. Henkilötietojen olisi oltava riittäviä ja olennaisia, eivätkä ne saa olla liian laajoja käsittelyn tarkoituksiin nähden. Kaikki kohtuulliset toimenpiteet olisi toteutettava sen varmistamiseksi, että virheelliset henkilötiedot oikaistaan tai poistetaan.

(21) Tietojen oikeellisuuden periaatetta sovellettaessa olisi otettava huomioon asianomaisen käsittelyn luonne ja tarkoitus. Erityisesti oikeudenkäyntimenettelyissä lausunnot, jotka sisältävät henkilötietoja, perustuvat yksilöiden subjektiiviseen havaintoon eivätkä ole aina todennettavissa. Näin ollen oikeellisuuden vaatimus ei saisi koskea lausunnon oikeellisuutta, vaan ainoastaan sitä tosiseikkaa, että tietty lausunto on annettu.

(22) Kun tulkitaan ja sovelletaan yleisiä periaatteita, jotka koskevat yksilöiden suojelua toimivaltaisten viranomaisten käsitellessä henkilötietoja rikosten torjumista, tutkimista, selvittämistä ja syytteeseenpanoa tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, olisi otettava huomioon alan erityispiirteet ja ‑tavoitteet.

(23) Rikosasioissa tehtävän oikeudellisen yhteistyön ja poliisiyhteistyön aloilla suoritettavalle henkilötietojen käsittelylle on ominaista, että käsiteltävät henkilötiedot koskevat eri ryhmiin kuuluvia rekisteröityjä. Sen vuoksi olisi mahdollisuuksien mukaan pyrittävä erottamaan selvästi toisistaan henkilötiedot, jotka koskevat eri ryhmiin kuuluvia rekisteröityjä, kuten rikoksesta epäiltyjä, rikoksesta tuomittuja, rikoksen uhreja ja kolmansia osapuolia, kuten todistajia, henkilöitä, joilla on tärkeitä tietoja, sekä rikoksesta epäiltyjen ja tuomittujen tuttavia ja kumppaneita.

(24) Henkilötiedot olisi mahdollisuuden mukaan eriteltävä myös tarkkuutensa ja luotettavuutensa mukaan. Tosiasiat olisi erotettava henkilökohtaisista arvioista, jotta voidaan varmistaa toisaalta yksilöiden suojelu ja toisaalta toimivaltaisten viranomaisten käsittelemien tietojen laatu ja luotettavuus.

(25) Jotta henkilötietojen käsittely olisi lainmukaista, sen on oltava välttämätöntä rekisterinpitäjän laillisen velvoitteen noudattamiseksi, toimivaltaisen viranomaisen kansalliseen lainsäädäntöön perustuvan, yleistä etua koskevan tehtävän suorittamiseksi, rekisteröidyn tai toisen henkilön elintärkeiden etujen suojaamiseksi tai yleiseen turvallisuuteen kohdistuvan välittömän ja vakavan uhkan torjumiseksi.

(26) Henkilötietoja, jotka ovat erityisen arkaluonteisia perusoikeuksien tai yksityisyyden kannalta, on suojeltava erityisen tarkasti. Näitä ovat esimerkiksi geneettiset tiedot. Tällaisia tietoja olisi voitava käsitellä vain, jos käsittelyyn on erikseen lupa sellaisen lain nojalla, jossa säädetään asianmukaisista toimenpiteistä rekisteröidyn oikeutettujen etujen suojaamiseksi, tai jos käsittely on tarpeen rekisteröidyn tai toisen henkilön elintärkeiden etujen suojaamiseksi tai jos käsittely koskee tietoja, jotka rekisteröity on nimenomaisesti saattanut julkisiksi.

(27) Jokaisella luonnollisella henkilöllä olisi oltava oikeus olla joutumatta ainoastaan automaattiseen tietojenkäsittelyyn perustuvan toimenpiteen kohteeksi, jos toimenpiteellä on henkilön kannalta kielteinen oikeusvaikutus, ellei toimenpide ole erikseen sallittu laissa ja ellei asiassa sovelleta asianmukaisia toimia rekisteröidyn oikeutettujen etujen suojaamiseksi.

(28) Jotta rekisteröidyt voisivat käyttää oikeuksiaan, kaikkien rekisteröidyille tarkoitettujen tietojen olisi oltava helposti saatavilla ja ymmärrettävissä, ja ne olisi ilmaistava selkeällä ja yksinkertaisella kielellä.

(29) Olisi säädettävä yksityiskohtaisesti siitä, miten rekisteröityä voitaisiin auttaa käyttämään tähän direktiiviin perustuvia oikeuksiaan, esimerkiksi keinoista pyytää maksutta erityisesti pääsyä tietoihin sekä tietojen oikaisemista ja poistamista. Rekisterinpitäjä olisi velvoitettava vastaamaan rekisteröidyn pyyntöihin ilman aiheetonta viivytystä.

(30) Asianmukaisen tietojenkäsittelyn periaatteen mukaisesti rekisteröidyille olisi ilmoitettava erityisesti tietojen käsittelystä ja sen tarkoituksista, tietojen säilytysajasta, tiedonsaantioikeudesta, oikeudesta pyytää tietojen oikaisemista tai poistamista sekä valitusoikeudesta. Jos tietoja kerätään rekisteröidyltä, tälle olisi lisäksi ilmoitettava, onko hänen pakko toimittaa tiedot, sekä kieltäytymisen seurauksista.

(31) Rekisteröidylle olisi ilmoitettava häntä koskevien henkilötietojen käsittelystä tietojen keräämishetkellä tai, jos tietoja ei ole saatu suoraan rekisteröidyltä, tietojen tallentamishetkellä tai kohtuullisen ajan kuluessa tietojen keräämisestä ottaen huomioon tietojen käsittelyn erityiset olosuhteet.

(32) Jokaisella olisi oltava oikeus saada tietoa siitä, mitä tietoja heistä on kerätty, sekä mahdollisuus käyttää tätä oikeutta vaivattomasti voidakseen valvoa ja tarkistaa käsittelyn lainmukaisuuden. Kaikilla rekisteröidyillä olisi sen vuoksi oltava oikeus saada tietää erityisesti tietojen käsittelyn tarkoituksesta, käsittelyn kestosta ja tietojen vastaanottajista, myös kolmansissa maissa. Rekisteröityjen olisi voitava saada kopio niistä henkilötiedoistaan, joita käsitellään.

(33) Jäsenvaltioiden olisi voitava hyväksyä lainsäädäntötoimenpiteitä, joilla viivytetään tai rajoitetaan rekisteröidyille ilmoittamista tai heidän tiedonsaantioikeuttaan tai poistetaan nämä oikeudet siinä määrin ja niin kauan kuin tällainen osittainen tai täydellinen rajoitus on välttämätön ja oikeasuhteinen toimenpide demokraattisessa yhteiskunnassa ottaen asianmukaisesti huomioon kyseisen henkilön oikeutetut edut, jotta vältetään estämästä virallisia tai laillisia tiedusteluja, tutkimuksia tai menettelyjä tai tuottamasta haittaa rikosten torjumiselle, selvittämiselle, tutkimiselle ja syytteeseenpanolle tai rikosoikeudellisten seuraamusten täytäntöönpanolle tai jotta voidaan suojata yleistä tai kansallista turvallisuutta tai suojella rekisteröidyn tai muiden henkilöiden oikeuksia ja vapauksia.

(34) Jos tietojen antamisesta kieltäydytään tai sitä rajoitetaan, asiasta on ilmoitettava kirjallisesti rekisteröidylle. Samalla on annettava tiedoksi myös ne seikat tai oikeudelliset syyt, joihin tällainen päätös perustuu.

(35) Jos jäsenvaltiot ovat hyväksyneet lainsäädäntötoimenpiteitä, joilla rajoitetaan tiedonsaantioikeutta joko kokonaan tai osittain, rekisteröidyllä olisi oltava oikeus pyytää toimivaltaista kansallista valvontaviranomaista tarkistamaan käsittelyn lainmukaisuuden puolestaan. Rekisteröidylle olisi ilmoitettava tästä oikeudesta. Jos valvontaviranomainen käyttää tiedonsaantioikeutta rekisteröidyn puolesta, valvontaviranomaisen olisi ilmoitettava rekisteröidylle ainakin siitä, että kaikki tarpeelliset tarkistukset on tehty, sekä siitä, onko kyseinen käsittely lainmukaista.

(36) Jokaisella olisi oltava oikeus saada itseään koskevat virheelliset henkilötiedot oikaistuiksi ja oikeus pyytää tietojen poistamista, jos tietojen käsittely ei vastaa tässä direktiivissä vahvistettuja perusperiaatteita. Jos henkilötietoja käsitellään rikostutkinnan ja ‑oikeudenkäynnin yhteydessä, tietojen oikaiseminen, rekisteröidylle ilmoittaminen, tiedonsaanti, tietojen poistaminen tai käsittelyn rajoittaminen voidaan toteuttaa oikeudenkäyntiä koskevien kansallisten sääntöjen mukaisesti.

(37) Olisi vahvistettava rekisterinpitäjän kattava vastuu suorittamastaan tai rekisterinpitäjän puolesta suoritetusta henkilötietojen käsittelystä. Rekisterinpitäjän olisi erityisesti varmistettava, että käsittelyssä noudatetaan tämän direktiivin nojalla annettuja sääntöjä.

(38) Rekisteröidyn oikeuksien ja vapauksien suojaaminen henkilötietojen käsittelyssä edellyttää asianmukaisten teknisten ja organisatoristen toimenpiteiden toteuttamista, jotta voidaan varmistaa direktiivin vaatimusten noudattaminen. Varmistaakseen, että direktiivin nojalla annettuja säännöksiä on noudatettu, rekisterinpitäjän olisi hyväksyttävä toimintamenetelmät ja toteutettava tarvittavat toimenpiteet, jotka vastaavat erityisesti sisäänrakennetun tietosuojan ja oletusarvoisen tietosuojan periaatteita.

(39) Rekisteröidyn oikeuksien ja vapauksien suojelun sekä rekisterinpitäjien ja henkilötietojen käsittelijöiden vastuun ja vastuuvelvollisuuden takia on direktiivissä säädetyt tehtävät jaettava selkeästi, myös silloin kun rekisterinpitäjä määrittää käsittelyn tarkoitukset, edellytykset ja keinot yhdessä muiden rekisterinpitäjien kanssa tai kun käsittely suoritetaan rekisterinpitäjän puolesta.

(40) Rekisterinpitäjän tai henkilötietojen käsittelijän olisi dokumentoitava käsittely valvoakseen, että se on tapahtunut direktiivin mukaisesti. Rekisterinpitäjät ja henkilötietojen käsittelijät olisi velvoitettava tekemään yhteistyötä valvontaviranomaisen kanssa ja esittämään pyydettäessä käsittelyä koskevat asiakirjat, jotta käsittelyä voidaan seurata niiden pohjalta.

(41) Jotta rekisteröityjen oikeuksia ja vapauksia voitaisiin suojata tehokkaasti ennalta ehkäisevin toimin, rekisterinpitäjän tai henkilötietojen käsittelijän olisi eräissä tapauksissa kuultava valvontaviranomaista ennen käsittelyä.

(42) Jos henkilötietoihin kohdistuvaan tietoturvaloukkaukseen ei puututa riittävän tehokkaasti ja nopeasti, siitä voi aiheutua haittaa kyseessä olevalle henkilölle, sillä se voi esimerkiksi vahingoittaa hänen mainettaan. Sen vuoksi rekisterinpitäjän olisi ilmoitettava toimivaltaiselle kansalliselle viranomaiselle tietoturvaloukkauksesta heti, kun se on tullut ilmi. Henkilöille, joiden henkilötietoihin tai yksityisyyteen tällaiset tietoturvaloukkaukset voivat vaikuttaa haitallisesti, olisi ilmoitettava asiasta ilman aiheetonta viivytystä, jotta he voivat ryhtyä tarvittaviin varotoimiin. Tietoturvaloukkauksen olisi katsottava vaikuttavan haitallisesti henkilön henkilötietoihin tai yksityisyyteen, jos se voi johtaa esimerkiksi henkilötietovarkauteen tai ‑petokseen, jos siitä voi aiheutua fyysistä haittaa tai huomattavan vakavaa nöyryytystä tai jos se voi vahingoittaa henkilön mainetta henkilötietojen käsittelyn yhteydessä.

(43) Laadittaessa yksityiskohtaisia sääntöjä henkilötietojen tietoturvaloukkausten ilmoittamisen muodosta ja ilmoittamisessa sovellettavista menettelyistä olisi otettava asianmukaisesti huomioon loukkaukseen liittyvät seikat, kuten se, oliko henkilötiedot suojattu asianmukaisin teknisin suojauskeinoin, mikä vähentää olennaisesti väärinkäytösten todennäköisyyttä. Tällaisissa säännöissä ja menettelyissä olisi myös otettava huomioon toimivaltaisten viranomaisten oikeutetut edut tapauksissa, joissa varhainen ilmoittaminen voisi tarpeettomasti haitata tietoturvaloukkauksen tutkimista.

(44) Rekisterinpitäjän tai henkilötietojen käsittelijän olisi nimitettävä henkilö, joka auttaa rekisterinpitäjää tai henkilötietojen käsittelijää valvomaan, että tämän direktiivin nojalla annettuja säännöksiä noudatetaan. Toimivaltaisen viranomaisen yksiköt voivat yhdessä nimittää tietosuojavastaavan. Tietosuojavastaavan on voitava täyttää velvollisuutensa ja suorittaa tehtävänsä riippumattomasti ja tehokkaasti.

(45) Jäsenvaltioiden olisi varmistettava, että tietoja siirretään kolmanteen maahan vain, jos se on tarpeen rikosten torjumiseksi, tutkimiseksi, selvittämiseksi tai syytteeseen panemiseksi tai rikosoikeudellisten seuraamusten täytäntöönpanemiseksi ja jos rekisterinpitäjä kolmannessa maassa tai kansainvälisessä järjestössä on tässä direktiivissä tarkoitettu toimivaltainen viranomainen. Tietoja voidaan siirtää, jos komissio on päättänyt, että kyseinen kolmas maa tai kansainvälinen järjestö huolehtii tietosuojan riittävyydestä, tai jos on annettu asianmukaiset takeet.

(46) Komissio voi päättää koko unionin osalta, että eräät kolmannet maat tai tietty kolmannen maan alue tai tietojenkäsittelyn sektori tai tietyt kansainväliset järjestöt tarjoavat riittävän tietosuojan, jotta voidaan varmistaa oikeusvarmuus ja yhdenmukaisuus kaikkialla unionissa riittävän tietosuojan tarjoavien kolmansien maiden tai kansainvälisten järjestöjen osalta. Tällöin henkilötietoja voidaan siirtää kyseisiin maihin ilman erityistä lupaa.

(47) Unionin perusarvojen ja erityisesti ihmisoikeuksien suojan mukaisesti komission olisi otettava huomioon, miten oikeusvaltioperiaate, oikeussuoja sekä kansainväliset ihmisoikeussäännöt ja ‑normit toteutuvat kyseisessä kolmannessa maassa.

(48) Komission olisi myös voitava tunnistaa, jos jokin kolmas maa, kolmannen maan alue tai tietojenkäsittelyn sektori taikka kansainvälinen järjestö ei tarjoa riittävää tietosuojaa. Silloin henkilötietojen siirto kyseiseen kolmanteen maahan olisi kiellettävä lukuun ottamatta tapauksia, joissa siirron perustana on kansainvälinen sopimus, asianmukaiset takeet tai poikkeus. Lisäksi olisi säädettävä komission ja kyseisten kolmansien maiden tai kansainvälisten järjestöjen välisistä kuulemismenettelyistä. Asiaa koskeva komission päätös ei kuitenkaan vaikuta mahdollisuuteen suorittaa siirtoja joko asianmukaisten takeiden tai direktiivissä vahvistetun poikkeuksen nojalla.

(49) Siirrot, jotka eivät perustu tietosuojan riittävyyttä koskevaan päätökseen, olisi sallittava vain, jos oikeudellisesti sitovassa välineessä on annettu asianmukaiset takeet, joilla varmistetaan henkilötietojen suoja, tai jos rekisterinpitäjä tai henkilötietojen käsittelijä on arvioinut kaikkia tiedonsiirtoon tai siirtojen sarjaan liittyviä seikkoja ja katsoo arvionsa perusteella, että henkilötietojen suojasta on olemassa asianmukaiset takeet. Jos siirron sallimiselle ei ole perusteita, olisi voitava soveltaa poikkeusta, jos se on tarpeen rekisteröidyn tai toisen henkilön elintärkeiden etujen suojaamiseksi tai rekisteröidyn oikeutettujen etujen turvaamiseksi, jos henkilötiedot siirtävän jäsenvaltion laissa niin säädetään, tai jos se on tarpeen jäsenvaltion tai kolmannen maan yleiseen turvallisuuteen kohdistuvan välittömän ja vakavan uhkan estämiseksi, tai yksittäistapauksissa rikosten torjumiseksi, tutkimiseksi, selvittämiseksi tai syytteeseen panemiseksi tai rikosoikeudellisten seuraamusten täytäntöönpanemiseksi, tai yksittäistapauksissa oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi.

(50) Henkilötietojen siirtäminen valtioiden rajojen yli voi vaikeuttaa yksilöiden mahdollisuuksia käyttää oikeuttaan tietosuojaan ja suojata henkilötietojaan laittomalta käytöltä tai luovuttamiselta. Toisaalta valvontaviranomaiset eivät välttämättä pysty käsittelemään valituksia tai toteuttamaan tutkimuksia, jotka liittyvät toimintaan valtion rajojen ulkopuolella. Lisäksi viranomaisten yhteistyötä valtioiden rajatylittävissä tapauksissa voivat vaikeuttaa myös riittämättömät ennalta ehkäisevät tai korjaavat toimivaltuudet tai epäjohdonmukaiset oikeudelliset toimintaympäristöt. Sen vuoksi olisi edistettävä tietosuojavalvontaviranomaisten tiiviimpää keskinäistä yhteistyötä, jotta ne voivat vaihtaa tietoja ulkomaisten kumppaniensa kanssa.

(51) Itsenäisesti toimivien valvontaviranomaisten perustaminen jäsenvaltioihin on keskeinen osa yksilöiden suojelua henkilötietojen käsittelyssä. Valvontaviranomaisten olisi seurattava tämän direktiivin nojalla annettujen säännösten soveltamista ja edistettävä direktiivin yhdenmukaista soveltamista koko unionissa luonnollisten henkilöiden suojaamiseksi henkilötietojen käsittelyssä. Sitä varten valvontaviranomaisten olisi tehtävä yhteistyötä keskenään ja komission kanssa.

(52) Jäsenvaltiot voivat antaa asetuksen (EU) N:o .../2012 mukaisesti jäsenvaltioihin jo perustetuille valvontaviranomaisille tämän direktiivin mukaisesti perustettavien kansallisten valvontaviranomaisten tehtävät.

(53) Jäsenvaltioiden olisi voitava perustaa useampi kuin yksi valvontaviranomainen omaa perustuslakiaan sekä organisaatio- ja hallintorakennettaan vastaavasti. Kullekin valvontaviranomaiselle olisi osoitettava riittävät taloudelliset ja henkilöresurssit, tilat ja infrastruktuuri, jotka ovat tarpeen tehtävien suorittamiseksi tehokkaasti, mukaan lukien tehtävät, jotka liittyvät keskinäiseen avunantoon ja yhteistyöhön muiden valvontaviranomaisten kanssa kaikkialla unionissa.

(54) Valvontaviranomaisen jäseniin sovellettavat yleiset edellytykset olisi vahvistettava kunkin jäsenvaltion lainsäädännössä. Erityisesti olisi säädettävä, että joko jäsenvaltion parlamentin tai hallituksen on nimitettävä kyseiset jäsenet. Lisäksi olisi vahvistettava säännöt jäsenten henkilökohtaisesta pätevyydestä ja asemasta.

(55) Vaikka tätä direktiiviä sovelletaan myös kansallisten tuomioistuinten toimintaan, valvontaviranomaisten toimivallan ei tulisi kattaa henkilötietojen käsittelyä, jota tuomioistuimet suorittavat lainkäyttötehtäviensä yhteydessä. Vain näin voidaan turvata tuomareiden riippumattomuus heidän hoitaessaan lainkäyttötehtäviään. Tämä poikkeus olisi kuitenkin rajattava koskemaan tuomioistuinten lainkäyttötehtäviä oikeudenkäynneissä, eikä sitä pidä soveltaa muuhun toimintaan, johon tuomarit saattavat osallistua kansallisen lainsäädännön mukaisesti.

(56) Direktiivin johdonmukaisen seurannan ja täytäntöönpanon varmistamiseksi kaikkialla unionissa valvontaviranomaisilla olisi oltava samat tehtävät ja valtuudet kaikissa jäsenvaltioissa, mukaan lukien tutkintavaltuudet, valtuudet toteuttaa oikeudellisesti sitovia toimia, tehdä päätöksiä ja määrätä seuraamuksia, erityisesti silloin kun yksilöt tekevät valituksia, ja valtuudet panna vireille oikeudellisia menettelyjä.

(57) Kaikkien valvontaviranomaisten olisi käsiteltävä ja otettava tutkittavaksi rekisteröityjen tekemiä valituksia. Valitus olisi tutkittava siinä määrin kuin kussakin tapauksessa on asiamukaista, ja ratkaisu olisi voitava saattaa tuomioistuimen tutkittavaksi. Valvontaviranomaisen olisi ilmoitettava rekisteröidylle valituksen käsittelyn etenemisestä ja valitusta koskevasta ratkaisustaan kohtuullisen ajan kuluessa. Jos asiassa tarvitaan lisätutkimuksia tai koordinointia toisen valvontaviranomaisen kanssa, tästä olisi ilmoitettava rekisteröidylle.

(58) Valvontaviranomaisten olisi autettava toisiaan tehtäviensä suorittamisessa ja annettava keskinäistä apua varmistaakseen direktiivin nojalla annettujen säännösten johdonmukaisen soveltamisen ja täytäntöönpanon.

(59) Asetuksella (EU) N:o …/2012 perustetun Euroopan tietosuojaneuvoston olisi edistettävä direktiivin yhdenmukaista soveltamista kaikkialla unionissa, mukaan lukien neuvojen antaminen komissiolle sekä valvontaviranomaisten yhteistyön tukeminen unionissa.

(60) Rekisteröidyllä olisi oltava oikeus tehdä valitus minkä tahansa jäsenvaltion valvontaviranomaiselle sekä oikeus soveltaa oikeussuojakeinoja, jos hän katsoo, että hänen direktiiviin perustuvia oikeuksiaan on rikottu, tai jos valvontaviranomainen ei käsittele valitusta tai ei ryhdy toimiin, jotka ovat tarpeen rekisteröidyn oikeuksien suojaamiseksi.

(61) Kaikilla elimillä, järjestöillä ja yhdistyksillä, jotka pyrkivät suojelemaan rekisteröityjen oikeuksia ja etuja heidän henkilötietojensa suojaamiseksi ja jotka on perustettu jäsenvaltion lainsäädännön mukaisesti, olisi oltava oikeus tehdä valitus tai soveltaa oikeussuojakeinoja rekisteröidyn puolesta, jos rekisteröity on ne asianmukaisesti valtuuttanut, tai jos kyseessä on henkilötietojen tietoturvaloukkaus, tehdä oma valitus rekisteröidyn valituksesta riippumatta.

(62) Kaikilla luonnollisilla tai oikeushenkilöillä olisi oltava oikeus soveltaa oikeussuojakeinoja niitä koskevia valvontaviranomaisen päätöksiä vastaan. Kanne valvontaviranomaista vastaan olisi nostettava sen jäsenvaltion tuomioistuimissa, johon valvontaviranomainen on sijoittautunut.

(63) Jäsenvaltioiden olisi varmistettava, että oikeussuojakeinot ovat tehokkaita ja että niiden avulla voidaan nopeasti hyväksyä toimenpiteitä, joilla korjataan tai ehkäistään direktiivin rikkominen.

(64) Rekisterinpitäjän tai henkilötietojen käsittelijän olisi korvattava yksilölle laittoman tietojenkäsittelyn vuoksi mahdollisesti aiheutuneet vahingot, mutta rekisterinpitäjä tai henkilötietojen käsittelijä voidaan vapauttaa vastuusta, jos voidaan osoittaa, ettei rekisterinpitäjä tai henkilötietojen käsittelijä ole vastuussa vahingosta, erityisesti, jos rekisteröidyn voidaan osoittaa tehneen virheen tai jos kyseessä on ylivoimainen este.

(65) Olisi säädettävä seuraamuksista julkis- tai yksityisoikeudellisille luonnollisille tai oikeushenkilöille, jotka eivät noudata tätä direktiiviä. Jäsenvaltioiden olisi varmistettava, että seuraamukset ovat tehokkaita, oikeasuhteisia ja varoittavia, ja toteutettava kaikki toimenpiteet seuraamusten täytäntöönpanemiseksi.

(66) Jotta voidaan saavuttaa tämän direktiivin tavoitteet eli suojata luonnollisten henkilöiden perusoikeuksia ja –vapauksia ja erityisesti heidän oikeuttaan henkilötietojen suojaan sekä varmistaa henkilötietojen vaihtaminen unionin toimivaltaisten viranomaisten kesken, komissiolle olisi siirrettävä valta hyväksyä säädösvallan siirron nojalla annettavia delegoituja säädöksiä Euroopan unionin toiminnasta tehdyn sopimuksen 290 artiklan mukaisesti. Delegoituja säädöksiä olisi erityisesti annettava niiden ilmoitusten osalta, joita valvontaviranomaiselle on annettava henkilötietojen tietoturvaloukkauksesta. On erityisen tärkeää, että komissio asiaa valmistellessaan toteuttaa asianmukaiset kuulemiset, myös asiantuntijatasolla. Komission olisi delegoituja säädöksiä valmistellessaan ja laatiessaan varmistettava, että asianomaiset asiakirjat toimitetaan Euroopan parlamentille ja neuvostolle yhtäaikaisesti, hyvissä ajoin ja asianmukaisesti.

(67) Jotta voidaan varmistaa tämän direktiivin yhdenmukainen täytäntöönpano rekisterinpitäjien ja henkilötietojen käsittelijöiden suorittaman dokumentoinnin, käsittelyn turvallisuuden ja erityisesti salausstandardien, henkilötietojen tietoturvaloukkauksista valvontaviranomaiselle ilmoittamisen sekä kolmannen maan, kolmannen maan alueen tai tietojenkäsittelyn sektorin taikka kansainvälisen järjestön tarjoaman tietosuojan riittävyyden osalta, komissiolle olisi siirrettävä täytäntöönpanovaltaa. Tätä valtaa olisi käytettävä yleisistä säännöistä ja periaatteista, joiden mukaisesti jäsenvaltiot valvovat komission täytäntöönpanovallan käyttöä, 16 päivänä helmikuuta 2011 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 182/2011[36] mukaisesti.

(68) Silloin kun hyväksytään toimenpiteitä, jotka koskevat rekisterinpitäjien ja henkilötietojen käsittelijöiden suorittamaa dokumentointia, käsittelyn turvallisuutta, henkilötietojen tietoturvaloukkauksista ilmoittamista valvontaviranomaiselle sekä kolmannen maan, kolmannen maan alueen tai tietojenkäsittelyn sektorin taikka kansainvälisen järjestön tarjoaman tietosuojan riittävyyttä, olisi sovellettava tarkastelumenettelyä, sillä nämä toimenpiteet ovat laajakantoisia.

(69) Komission olisi hyväksyttävä välittömästi sovellettavia täytäntöönpanosäädöksiä, kun tämä on tarpeen asianmukaisesti perustelluissa erittäin kiireellisissä tapauksissa, jotka liittyvät kolmanteen maahan tai kyseisen kolmannen maan alueeseen tai tietojenkäsittelyn sektoriin tai kansainväliseen järjestöön, joka ei huolehdi riittävästä tietosuojasta.

(70) Jäsenvaltiot eivät voi riittävällä tavalla saavuttaa tämän direktiivin tavoitteita, joita ovat luonnollisten henkilöiden perusoikeuksien ja ‑vapauksien ja erityisesti henkilötietojen suojaa koskevan oikeuden suojeleminen sekä unionin toimivaltaisten viranomaisten välisen henkilötietojen vaihtamisen varmistaminen, vaan ne voidaan toimien laajuuden ja vaikutusten vuoksi saavuttaa paremmin unionin tasolla, joten unioni voi toteuttaa toimenpiteitä Euroopan unionista tehdyn sopimuksen 5 artiklassa vahvistetun toissijaisuusperiaatteen mukaisesti. Kyseisessä artiklassa määrätyn suhteellisuusperiaatteen mukaisesti tässä direktiivissä ei mennä pidemmälle kuin tämän tavoitteen saavuttaminen edellyttää.

(71) Puitepäätös 2008/977/YOS olisi korvattava tällä direktiivillä.

(72) Tämä ei vaikuta erityisiin säännöksiin, jotka koskevat toimivaltaisten viranomaisten suorittamaa henkilötietojen käsittelyä rikosten torjumista, tutkimista, selvittämistä ja syytteeseenpanoa tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten ja jotka sisältyvät ennen direktiivin hyväksymispäivää annettuihin unionin säädöksiin, joilla säännellään henkilötietojen käsittelyä jäsenvaltioiden kesken tai jäsenvaltioiden nimettyjen viranomaisten pääsyä perussopimusten mukaisesti perustettuihin järjestelmiin. Komission olisi arvioitava tämän direktiivin ja niiden ennen direktiivin hyväksymispäivää annettujen säädösten suhdetta, joilla säännellään henkilötietojen käsittelyä jäsenvaltioiden kesken tai jäsenvaltioiden nimettyjen viranomaisten pääsyä perussopimusten mukaisesti perustettuihin järjestelmiin, päättääkseen, olisiko näitä erityisiä säännöksiä yhdenmukaistettava tämän direktiivin säännösten kanssa.

(73) Henkilötietojen kattavan ja yhtenäisen suojelun varmistamiseksi unionissa jäsenvaltioiden ennen direktiivin voimaantuloa tekemiä kansainvälisiä sopimuksia olisi muutettava vastaamaan direktiiviä.

(74) Tämä direktiivi ei rajoita 13 päivänä joulukuuta 2011 annetussa Euroopan parlamentin ja neuvoston direktiivissä 2011/93/EU[37] vahvistettuja sääntöjä, jotka koskevat lasten seksuaalisen hyväksikäytön ja seksuaalisen riiston sekä lapsipornografian torjumista.

(75) Euroopan unionista tehtyyn sopimukseen ja Euroopan unionin toiminnasta tehtyyn sopimukseen liitetyn, Yhdistyneen kuningaskunnan ja Irlannin asemasta vapauden, turvallisuuden ja oikeuden alueen osalta tehdyn pöytäkirjan 6 a artiklan mukaisesti tässä direktiivissä vahvistetut säännöt eivät sido Yhdistynyttä kuningaskuntaa ja Irlantia siinä tapauksessa, että niihin ei myöskään sovelleta rikosasioissa tehtävää oikeudellista yhteistyötä tai poliisiyhteistyötä koskevia sääntöjä, jotka edellyttävät Euroopan unionin toiminnasta tehdyn sopimuksen 16 artiklan mukaisesti vahvistettujen säännösten noudattamista.

(76) Euroopan unionista tehtyyn sopimukseen ja Euroopan unionin toiminnasta tehtyyn sopimukseen liitetyn, Tanskan asemasta tehdyn pöytäkirjan 2 ja 2 a artiklan mukaisesti tämä direktiivi ei sido Tanskaa eikä sitä sovelleta Tanskaan. Koska tällä direktiivillä kehitetään Schengenin säännöstöä Euroopan unionin toiminnasta tehdyn sopimuksen V osaston 3 luvun mukaisesti, Tanska päättää mainitun pöytäkirjan 4 artiklan mukaisesti kuuden kuukauden kuluessa siitä, kun tämä direktiivi on hyväksytty, saattaako se direktiivin osaksi kansallista lainsäädäntöään.

(77) Islannin ja Norjan osalta tällä direktiivillä kehitetään niitä Schengenin säännöstön määräyksiä, joita tarkoitetaan Euroopan unionin neuvoston sekä Islannin tasavallan ja Norjan kuningaskunnan välillä viimeksi mainittujen osallistumisesta Schengenin säännöstön täytäntöönpanoon, soveltamiseen ja kehittämiseen tehdyssä sopimuksessa[38].

(78) Sveitsin osalta tällä direktiivillä kehitetään niitä Schengenin säännöstön määräyksiä, joita tarkoitetaan Euroopan unionin, Euroopan yhteisön ja Sveitsin valaliiton välillä allekirjoitetussa sopimuksessa Sveitsin valaliiton osallistumisesta Schengenin säännöstön täytäntöönpanoon, soveltamiseen ja kehittämiseen[39].

(79) Liechtensteinin osalta tällä direktiivillä kehitetään niitä Schengenin säännöstön määräyksiä, joita tarkoitetaan Euroopan unionin, Euroopan yhteisön, Sveitsin valaliiton ja Liechtensteinin ruhtinaskunnan välisessä pöytäkirjassa, joka koskee Liechtensteinin ruhtinaskunnan liittymistä Euroopan unionin, Euroopan yhteisön ja Sveitsin valaliiton väliseen Sveitsin valaliiton osallistumisesta Schengenin säännöstön täytäntöönpanoon, soveltamiseen ja kehittämiseen tehtyyn sopimukseen[40].

(80) Tässä direktiivissä kunnioitetaan perusoikeuksia ja otetaan huomioon Euroopan unionin perusoikeuskirjassa tunnustetut periaatteet sellaisina kuin ne on vahvistettu perussopimuksessa, erityisesti oikeus yksityis- ja perhe-elämän kunnioittamiseen, oikeus henkilötietojen suojaan sekä oikeus tehokkaisiin oikeussuojakeinoihin ja puolueettomaan tuomioistuimeen. Näitä oikeuksia voidaan rajoittaa perusoikeuskirjan 52 artiklan 1 kohdan mukaisesti, jos rajoitukset ovat välttämättömiä, jotta voidaan saavuttaa unionin tunnustamat yleisen edun mukaiset tavoitteet tai suojella muiden henkilöiden oikeuksia ja vapauksia.

(81) Kuten todetaan jäsenvaltioiden ja komission 28 päivänä syyskuuta 2011 antamassa yhteisessä poliittisessa lausumassa selittävistä asiakirjoista, jäsenvaltiot sitoutuvat perustelluissa tapauksissa liittämään täytäntöönpanotoimia koskevaan ilmoitukseen yhden tai useamman selittävän asiakirjan, joissa kuvataan direktiivin eri osien ja kansallisten täytäntöönpanosäännösten vastaavien osien suhdetta. Lainsäätäjä katsoo tämän direktiivin osalta, että on perusteltua toimittaa tällaiset asiakirjat.

(82) Direktiivi ei saisi estää jäsenvaltioita panemasta kansallisissa rikosprosessisäännöissään täytäntöön rekisteröidyn oikeuksia, jotka koskevat rekisteröidylle ilmoittamista, tiedonsaantia, rikosoikeudellisten menettelyjen yhteydessä käsiteltävien henkilötietojen oikaisemista ja poistamista ja käsittelyn rajoittamista sekä näille oikeuksille mahdollisesti asetettuja rajoituksia,

OVAT HYVÄKSYNEET TÄMÄN DIREKTIIVIN:

I LUKU

YLEISET SÄÄNNÖKSET

1 artikla Kohde ja tavoitteet

1.           Tässä direktiivissä vahvistetaan säännöt yksilöiden suojelulle toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten torjumista, tutkimista, selvittämistä ja syytteeseenpanoa tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten.

2.           Direktiivin mukaisesti jäsenvaltioiden on:

a)      suojeltava luonnollisten henkilöiden perusoikeuksia ja ‑vapauksia ja erityisesti heidän oikeuttaan henkilötietojen suojaan; sekä

b)      varmistettava, että toimivaltaisten viranomaisten välistä henkilötietojen vaihtoa unionin sisällä ei rajoiteta eikä kielletä syistä, jotka liittyvät yksilöiden suojeluun henkilötietojen käsittelyssä.

2 artikla Soveltamisala

1.           Tätä direktiiviä sovelletaan toimivaltaisten viranomaisten 1 artiklan 1 kohdan mukaisia tarkoituksia varten suorittamaan henkilötietojen käsittelyyn.

2.           Tätä direktiiviä sovelletaan osittain tai kokonaan automatisoituun henkilötietojen käsittelyyn sekä sellaisten henkilötietojen manuaaliseen käsittelyyn, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa.

3.           Tätä direktiiviä ei sovelleta henkilötietojen käsittelyyn,

a)      joka suoritetaan sellaisen toiminnan, erityisesti kansallista turvallisuutta koskevan toiminnan yhteydessä, joka ei kuulu unionin oikeuden soveltamisalaan;

b)      jota suorittavat unionin toimielimet, elimet ja laitokset.

3 artikla Määritelmät

Tässä direktiivissä tarkoitetaan

(1) ’rekisteröidyllä’ luonnollista henkilöä, joka on tunnistettu tai joka on tunnistettavissa suoraan tai epäsuorasti keinoin, joita joko rekisterinpitäjä tai muu luonnollinen tai oikeushenkilö voi kohtuuden rajoissa käyttää, erityisesti henkilönumeron, sijaintitiedon, internet-tunnisteiden taikka yhden tai useamman henkilölle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurisen tai sosiaalisen tekijän perusteella;

(2) ’henkilötiedoilla’ kaikkia rekisteröityä koskevia tietoja;

(3) ’käsittelyllä’ kaikenlaisia toimintoja tai toimintosarjoja, joita kohdistetaan henkilötietoihin tai henkilötietojen kokoelmiin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista, muuttamista, hakua tai käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä sekä niiden rajoittamista, poistamista tai tuhoamista;

(4) ’käsittelyn rajoittamisella’ tallennettujen henkilötietojen merkitsemistä tarkoituksena rajoittaa niiden myöhempää käsittelyä;

(5) ’rekisteröintijärjestelmällä’ kaikkia sellaisia järjestettyjä henkilötietojen kokoelmia, joista tiedot ovat saatavilla tietyin perustein, oli kokoelma sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu;

(6) ’rekisterinpitäjällä’ toimivaltaista viranomaista, joka yksin tai yhdessä muiden kanssa määrittää henkilötietojen käsittelyn tarkoitukset, edellytykset ja keinot; jos käsittelyn tarkoitukset, edellytykset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin tai jäsenvaltioiden säännösten mukaisesti;

(7) ’henkilötietojen käsittelijällä’ luonnollista tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun;

(8) ’vastaanottajalla’ luonnollista tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, jolle luovutetaan henkilötietoja;

(9) ’henkilötietojen tietoturvaloukkauksella’ tietoturvaloukkausta, jonka seurauksena on vahingossa tapahtuva tai laiton siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka saanti;

(10) ’geneettisillä tiedoilla’ kaikenlaisia tietoja yksilön perityistä tai sikiöaikaisen kehityksen aikana syntyneistä ominaisuuksista;

(11) ’biometrisillä tiedoilla’ kaikkia yksilön fyysisiin ja fysiologisiin ominaisuuksiin tai käyttäytymiseen liittyviä tietoja, joiden perusteella yksilö voidaan tunnistaa, kuten kasvokuvia tai sormenjälkitietoja;

(12) ’terveystiedoilla’ yksilön fyysiseen tai psyykkiseen terveyteen tai hänelle tarjottuihin terveyspalveluihin liittyviä tietoja;

(13) ’lapsella’ alle 18-vuotiasta henkilöä;

(14) ’toimivaltaisilla viranomaisilla’ viranomaisia, joiden toimivalta kattaa rikosten torjumisen, tutkimisen, selvittämisen ja syytteeseenpanon tai rikosoikeudellisten seuraamusten täytäntöönpanon;

(15) ’valvontaviranomaisella’ jäsenvaltion 39 artiklan mukaisesti perustamaa viranomaista.

II LUKU

PERIAATTEET

4 artikla Henkilötietojen käsittelyä koskevat periaatteet

Jäsenvaltioiden on säädettävä, että

a)      henkilötietoja on käsiteltävä asianmukaisesti ja lainmukaisesti;

b)      henkilötiedot on kerättävä tiettyä nimenomaista ja laillista tarkoitusta varten, eikä niitä saa myöhemmin käsitellä näiden tarkoitusten kanssa yhteensopimattomalla tavalla;

c)      henkilötietojen on oltava asianmukaisia ja olennaisia eivätkä ne saa olla liian laajoja niihin tarkoituksiin, joita varten niitä käsitellään;

d)      henkilötietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä; on tehtävä kaikki mahdollinen sen varmistamiseksi, että käsittelyn tarkoituksiin nähden virheelliset tiedot poistetaan tai oikaistaan viipymättä;

e)      henkilötietoja on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten;

f)       vastuu henkilötietojen käsittelystä kuuluu rekisterinpitäjälle, jonka on huolehdittava tämän direktiivin nojalla annettujen säännösten noudattamisesta.

5 artikla Eri ryhmiin kuuluvien rekisteröityjen erottaminen

1.           Jäsenvaltioiden on säädettävä, että rekisterinpitäjä erottaa mahdollisuuksien mukaan selvästi toisistaan henkilötiedot, jotka koskevat eri ryhmiin kuuluvia rekisteröityjä, kuten:

a)      henkilöt, joiden voidaan aiheellisesti uskoa syyllistyneen tai olevan syyllistymässä rikokseen;

b)      rikoksesta tuomitut henkilöt;

c)      rikoksen uhrit tai henkilöt, joiden voidaan tiettyjen seikkojen pohjalta olettaa voivan joutua rikoksen uhriksi;

d)      rikokseen nähden kolmannet osapuolet, kuten henkilöt, jotka voidaan kutsua todistamaan rikokseen liittyvän tutkinnan yhteydessä tai sitä seuraavassa rikosoikeudenkäynnissä, tai henkilöt, joka voivat antaa tietoa rikoksesta, tai edellä a tai b alakohdassa tarkoitettujen henkilöiden tuttavat tai kumppanit; sekä

e)      henkilöt, jotka eivät kuulu mihinkään edellä mainituista ryhmistä.

6 artikla Henkilötietojen eriasteinen tarkkuus ja luotettavuus

1.           Jäsenvaltioiden on varmistettava, että käsiteltävät henkilötiedot jaotellaan mahdollisuuksien mukaan eri ryhmiin tarkkuutensa ja luotettavuutensa perusteella.

2.           Jäsenvaltioiden on varmistettava, että tosiseikkoihin perustuvat henkilötiedot erotetaan mahdollisuuksien mukaan henkilökohtaisiin arvioihin perustuvista henkilötiedoista.

7 artikla Käsittelyn lainmukaisuus

Jäsenvaltioiden on säädettävä, että henkilötietojen käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin se on tarpeen

(a) toimivaltaisen viranomaisen lakisääteisen tehtävän suorittamiseksi 1 artiklan 1 kohdassa vahvistettuja tarkoituksia varten; tai

(b) rekisterinpitäjän lakisääteisen velvollisuuden noudattamiseksi; tai

(c) rekisteröidyn tai toisen henkilön elintärkeiden etujen suojaamiseksi; tai

(d) yleiseen turvallisuuteen kohdistuvan välittömän ja vakavan uhkan estämiseksi.

8 artikla Erityisiä tietoryhmiä koskeva käsittely

1.           Jäsenvaltioiden on kiellettävä sellaisten henkilötietojen käsittely, jotka koskevat rotua tai etnistä alkuperää, poliittisia mielipiteitä, uskonnollista tai filosofista vakaumusta tai ammattiliittoon kuulumista, sekä geneettisten tietojen tai terveyteen ja seksuaaliseen käyttäytymiseen liittyvien tietojen käsittely.

2.           Edellä olevaa 1 kohtaa ei sovelleta, jos:

a)      käsittely on sallittu laissa, jossa säädetään asianmukaisista takeista; tai

b)      käsittely on tarpeen rekisteröidyn tai toisen henkilön elintärkeiden etujen suojaamiseksi; tai

c)      käsittely koskee tietoja, jotka rekisteröity on nimenomaisesti saattanut julkisiksi.

9 artikla Profilointiin ja automaattiseen käsittelyyn perustuvat toimenpiteet

1.           Jäsenvaltioiden on säädettävä, että toimenpiteet, joilla on rekisteröidyn kannalta kielteisiä oikeusvaikutuksia tai jotka vaikuttavat rekisteröityyn merkittävällä tavalla ja jotka on tehty yksinomaan henkilötietojen automaattisen käsittelyn perusteella, jonka tarkoituksena on arvioida rekisteröidyn tiettyjä henkilökohtaisia ominaisuuksia, on sallittu vain, jos ne ovat sellaisen lain mukaisia, jossa vahvistetaan myös toimenpiteet rekisteröidyn oikeutettujen etujen suojaamiseksi.

2.           Henkilötietojen automaattinen käsittely, jonka tarkoituksena on rekisteröidyn tiettyjen henkilökohtaisten ominaisuuksien arviointi, ei saa perustua pelkästään 8 artiklassa tarkoitettuihin erityisiin tietoryhmiin.

III LUKU

REKISTERÖIDYN OIKEUDET

10 artikla Rekisteröidyn oikeuksien käyttöä koskevat yksityiskohtaiset säännöt

1.           Jäsenvaltioiden on säädettävä, että rekisterinpitäjä toteuttaa kaikki kohtuulliset toimenpiteet huolehtiakseen, että sillä on käytössä läpinäkyvät ja helposti saatavilla olevat toimintatavat henkilötietojen käsittelyä ja rekisteröidyn oikeuksien käyttöä varten.

2.           Jäsenvaltioiden on säädettävä, että rekisterinpitäjän on toimitettava rekisteröidylle kaikki henkilötietojen käsittelyä koskevat tiedot ja viestit helposti ymmärrettävässä muodossa sekä selkeällä ja yksinkertaisella kielellä.

3.           Jäsenvaltioiden on säädettävä, että rekisterinpitäjä toteuttaa kaikki kohtuulliset toimenpiteet vahvistaakseen menettelyt 11 artiklassa tarkoitettujen tietojen toimittamista sekä 12–17 artiklassa tarkoitettujen rekisteröidyn oikeuksien käyttöä varten.

4.           Jäsenvaltioiden on säädettävä, että rekisterinpitäjä ilmoittaa rekisteröidylle tämän esittämän pyynnön käsittelystä ilman aiheetonta viivytystä.

5.           Jäsenvaltioiden on säädettävä, että 3 kohdassa tarkoitetut tiedot ja kaikki 4 kohdassa tarkoitettua pyyntöä seuraavat rekisterinpitäjän toimet ovat maksuttomia. Jos pyynnöt ovat häiritseviä erityisesti toistuvuutensa tai laajuutensa takia, rekisterinpitäjä voi periä maksun tietojen toimittamisesta tai pyydetyn toimen suorittamisesta tai rekisterinpitäjä voi jättää pyydetyn toimen suorittamatta. Siinä tapauksessa rekisterinpitäjän on todistettava pyyntöjen häiritsevyys.

11 artikla Rekisteröidylle ilmoittaminen

1.           Rekisteröityä koskevia henkilötietoja kerättäessä jäsenvaltioiden on varmistettava, että rekisterinpitäjä toteuttaa kaikki asianmukaiset toimenpiteet toimittaakseen rekisteröidylle ainakin seuraavat tiedot:

a)      rekisterinpitäjän ja tietosuojavastaavan henkilöllisyys ja yhteystiedot;

b)      henkilötietojen käsittelyn tarkoitukset;

c)      henkilötietojen säilytysaika;

d)      tieto siitä, että rekisteröidyllä on oikeus pyytää häntä itseään koskevia henkilötietoja rekisterinpitäjältä sekä oikeus pyytää kyseisten tietojen oikaisemista tai poistamista tai niiden käsittelyn rajoittamista;

e)      tieto siitä, että rekisteröidyllä on oikeus tehdä valitus 39 artiklassa tarkoitetulle valvontaviranomaiselle, ja viranomaisen yhteystiedot;

f)       henkilötietojen vastaanottajat tai vastaanottajaryhmät, myös kolmansissa maissa tai kansainvälisissä järjestöissä;

g)      muut tiedot, jotka ovat tarpeen rekisteröidyn kannalta asianmukaisen tietojenkäsittelyn takaamiseksi, ottaen huomioon henkilötietojen käsittelyyn liittyvät erityiset olosuhteet.

2.           Jos henkilötietoja kerätään rekisteröidyltä, rekisterinpitäjän on ilmoitettava rekisteröidylle 1 kohdassa tarkoitettujen tietojen lisäksi, onko henkilötietojen antaminen pakollista vai vapaaehtoista, sekä tietojen antamatta jättämisen mahdolliset seuraukset.

3.           Rekisterinpitäjän on toimitettava 1 kohdassa tarkoitetut tiedot:

a)      silloin kun rekisteröidyltä saadaan henkilötietoja; tai

b)      jos henkilötietoja ei kerätä rekisteröidyltä, silloin kun tietoja tallennetaan tai kohtuullisen ajan kuluttua tietojen keräämisestä, ottaen huomioon tietojen käsittelyyn liittyvät erityiset olosuhteet.

4.           Jäsenvaltiot voivat hyväksyä lainsäädäntötoimenpiteitä, joilla viivytetään tai rajoitetaan rekisteröidylle ilmoittamista tai poistetaan kokonaan ilmoittamista koskeva säännös, siltä osin ja niin pitkäksi aikaa kuin osittainen tai täydellinen rajoittaminen on välttämätön ja oikeasuhteinen toimenpide demokraattisessa yhteiskunnassa, ottaen asianmukaisesti huomioon kyseisen henkilön oikeutetut edut:

(a) jotta vältetään virallisten tai laillisten tiedustelujen, tutkimusten tai menettelyjen estäminen;

(b) jotta vältetään tuottamasta haittaa rikosten torjumiselle, selvittämiselle, tutkimiselle ja syytteeseenpanolle tai rikosoikeudellisten seuraamusten täytäntöönpanolle;

(c) yleisen turvallisuuden suojelemiseksi;

(d) kansallisen turvallisuuden suojelemiseksi;

(e) muiden henkilöiden oikeuksien ja vapauksien suojaamiseksi.

5.           Jäsenvaltiot voivat määrittää ne tietojenkäsittelyn ryhmät, jotka voivat kuulua kokonaan tai osittain 4 kohdassa tarkoitettujen poikkeusten soveltamisalaan.

12 artikla Rekisteröidyn tiedonsaantioikeus

1.           Jäsenvaltioiden on säädettävä rekisteröidyn oikeudesta saada rekisterinpitäjältä vahvistus siitä, käsitelläänkö häntä koskevia henkilötietoja vai eikö käsitellä. Jos henkilötietoja käsitellään, rekisterinpitäjän on annettava seuraavat tiedot:

a)      käsittelyn tarkoitukset;

b)      kyseessä olevat henkilötietojen ryhmät;

c)      vastaanottajat tai vastaanottajaryhmät, joille henkilötietoja on luovutettu, erityisesti kolmansissa maissa olevat vastaanottajat;

d)      henkilötietojen säilytysaika;

e)      tieto siitä, että rekisteröidyllä on oikeus pyytää rekisterinpitäjää oikaisemaan tai poistamaan rekisteröityä koskevat henkilötiedot tai rajoittamaan niiden käsittelyä;

f)       tieto siitä, että rekisteröidyllä oikeus tehdä valitus valvontaviranomaiselle, ja viranomaisen yhteystiedot;

g)      käsiteltävät henkilötiedot ja kaikki tietojen alkuperästä käytettävissä olevat tiedot.

2.           Jäsenvaltioiden on säädettävä rekisteröidyn oikeudesta saada rekisterinpitäjältä jäljennös käsiteltävistä henkilötiedoista.

13 artikla Tiedonsaantioikeuden rajoittaminen

1. Jäsenvaltiot voivat hyväksyä lainsäädäntötoimenpiteitä, joilla rajoitetaan kokonaan tai osittain rekisteröidyn tiedonsaantioikeutta siltä osin kuin osittainen tai täydellinen rajoittaminen on välttämätön ja oikeasuhteinen toimenpide demokraattisessa yhteiskunnassa, ottaen asianmukaisesti huomioon kyseisen henkilön oikeutetut edut:

(a) jotta vältetään virallisten tai laillisten tiedustelujen, tutkimusten tai menettelyjen estäminen;

(b) jotta vältetään tuottamasta haittaa rikosten torjumiselle, selvittämiselle, tutkimiselle ja syytteeseenpanolle tai rikosoikeudellisten seuraamusten täytäntöönpanolle;

(c) yleisen turvallisuuden suojelemiseksi;

(d) kansallisen turvallisuuden suojelemiseksi;

(e) muiden henkilöiden oikeuksien ja vapauksien suojaamiseksi.

2. Jäsenvaltiot voivat laissa määrittää ne tietojenkäsittelyn ryhmät, jotka voivat kuulua kokonaan tai osittain 1 kohdassa tarkoitettujen poikkeusten soveltamisalaan.

3. Edellä 1 ja 2 kohdassa tarkoitetuissa tapauksissa jäsenvaltioiden on säädettävä, että rekisterinpitäjä ilmoittaa rekisteröidylle kirjallisesti, jos tietojen antamisesta kieltäydytään tai tietojen antamista rajoitetaan, kieltäytymisen syistä sekä mahdollisuudesta tehdä valitus valvontaviranomaiselle tai käyttää muita oikeussuojakeinoja. Tiedot päätöksen perusteena olevista seikoista tai oikeudellisista syistä voidaan jättää pois, jos tietojen ilmoittaminen vaarantaisi 1 kohdassa ilmoitetun tarkoituksen.

4. Jäsenvaltioiden on varmistettava, että rekisterinpitäjä merkitsee muistiin ne perusteet, joiden nojalla päätöksen pohjana olevia seikkoja tai oikeudellisia syitä ei ilmoiteta rekisteröidylle.

14 artikla Tiedonsaantioikeuden käyttöä koskevat yksityiskohtaiset säännöt

1.           Jäsenvaltioiden on säädettävä, että rekisteröidyllä on oikeus pyytää erityisesti 13 artiklassa tarkoitetuissa tapauksissa valvontaviranomaista tarkistamaan käsittelyn lainmukaisuus.

2.           Jäsenvaltioiden on säädettävä, että rekisterinpitäjä ilmoittaa rekisteröidylle oikeudesta pyytää valvontaviranomaista toimimaan 1 kohdan mukaisesti.

3.           Kun rekisteröity käyttää 1 kohdassa tarkoitettua oikeuttaan, valvontaviranomaisen on ilmoitettava rekisteröidylle ainakin kaikkien tarpeellisten tarkistusten suorittamisesta sekä siitä, onko kyseessä oleva käsittely lainmukainen.

15 artikla Oikeus tietojen oikaisemiseen

1.           Jäsenvaltioiden on säädettävä, että rekisteröidyllä on oikeus vaatia rekisterinpitäjää oikaisemaan rekisteröityä koskevat virheelliset henkilötiedot. Rekisteröidyllä on oikeus saada puutteelliset henkilötiedot täydennettyä, erityisesti oikaisun avulla.

2.           Jäsenvaltioiden on säädettävä, että rekisterinpitäjä ilmoittaa rekisteröidylle kirjallisesti, jos tietojen oikaisemisesta kieltäydytään, kieltäytymisen syistä sekä mahdollisuudesta tehdä valitus valvontaviranomaiselle tai käyttää muita oikeussuojakeinoja.

16 artikla Oikeus tietojen poistamiseen

1. Jäsenvaltioiden on säädettävä, että rekisteröidyllä on oikeus vaatia rekisterinpitäjää poistamaan rekisteröityä koskevat henkilötiedot, jos tietojen käsittely ei vastaa tämän direktiivin 4 artiklan a–e alakohdan ja 7 ja 8 artiklan nojalla annettuja säännöksiä.

2. Rekisterinpitäjän on poistettava tiedot viipymättä.

3. Poistamisen sijasta rekisterinpitäjän on merkittävä henkilötiedot, jos

(a) rekisteröity kiistää tietojen paikkansapitävyyden, jolloin tiedot merkitään ajaksi, jonka kuluessa rekisterinpitäjä voi varmistaa niiden paikkansapitävyyden;

(b) henkilötiedot on säilytettävä todistelua varten;

(c) rekisteröity vastustaa tietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista.

4. Jäsenvaltioiden on säädettävä, että rekisterinpitäjä ilmoittaa rekisteröidylle kirjallisesti, jos tietojen poistamisesta kieltäydytään tai jos tiedot merkitään, kieltäytymisen syistä sekä mahdollisuudesta tehdä valitus valvontaviranomaiselle tai käyttää muita oikeussuojakeinoja.

17 artikla Rekisteröidyn oikeudet rikostutkinnassa ja ‑oikeudenkäynneissä

Jäsenvaltiot voivat säätää, että 11–16 artiklassa tarkoitetut rekisteröidylle ilmoittamista, tiedonsaantia, tietojen oikaisemista ja poistamista sekä käsittelyn rajoittamista koskevat oikeudet pannaan täytäntöön oikeudenkäyntiä koskevien kansallisten sääntöjen mukaisesti, jos henkilötiedot sisältyvät rikostutkinnan ja ‑oikeudenkäynnin yhteydessä käsiteltyyn tuomioistuimen päätökseen tai päätöksen antamista koskevaan merkintään.

IV LUKU REKISTERINPITÄJÄ JA HENKILÖTIETOJEN KÄSITTELIJÄ

1 JAKSO YLEISET VELVOLLISUUDET

18 artikla Rekisterinpitäjän vastuu

1.           Jäsenvaltioiden on säädettävä, että rekisterinpitäjä hyväksyy toimintamenetelmät ja toteuttaa tarvittavat toimenpiteet sen varmistamiseksi, että henkilötietojen käsittelyssä noudatetaan tämän direktiivin nojalla annettuja säännöksiä.

2.           Edellä 1 kohdassa tarkoitettuja toimenpiteitä ovat erityisesti seuraavat:

a)      jäljempänä 23 artiklassa tarkoitettujen asiakirjojen säilyttäminen;

b)      jäljempänä 26 artiklassa vahvistettujen ennakkokuulemista koskevien vaatimusten noudattaminen;

c)      jäljempänä 27 artiklassa vahvistettujen tietoturvallisuutta koskevien vaatimusten täytäntöönpano;

d)      tietosuojavastaavan nimittäminen 30 artiklan nojalla.

3.           Rekisterinpitäjän on toteutettava mekanismit sen varmistamiseksi, että tämän artiklan 1 kohdassa tarkoitettujen toimenpiteiden tehokkuus tarkistetaan. Tarkistamisen suorittavat riippumattomat sisäiset tai ulkoiset tarkastajat, mikäli se on oikeasuhteista.

19 artikla Sisäänrakennettu tietosuoja ja oletusarvoinen tietosuoja

1.           Jäsenvaltioiden on säädettävä, että uusin tekniikka ja toimenpiteiden toteuttamiskustannukset huomioon ottaen rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet ja menettelyt siten, että käsittely vastaa tämän direktiivin nojalla annettujen säännösten vaatimuksia ja varmistaa rekisteröidyn oikeuksien suojelun.

2.           Rekisterinpitäjän on otettava käyttöön keinot sen varmistamiseksi, että käsittely koskee vain niitä henkilötietoja, jotka ovat välttämättömiä käsittelyn tarkoituksen kannalta.

20 artikla Yhteiset rekisterinpitäjät

Jäsenvaltioiden on säädettävä, että jos rekisterinpitäjä määrittää henkilötietojen käsittelyn tarkoitukset, edellytykset ja keinot yhdessä muiden rekisterinpitäjien kanssa, näiden yhteisten rekisterinpitäjien on keskinäisellä järjestelyllä määritettävä kunkin vastuualue tämän direktiivin nojalla annettujen säännösten noudattamisessa, erityisesti niiden menettelyjen ja mekanismien osalta, joiden avulla rekisteröidyt voivat käyttää oikeuksiaan.

21 artikla Henkilötietojen käsittelijä

1. Jäsenvaltioiden on säädettävä, että jos käsittelytoimi suoritetaan rekisterinpitäjän lukuun, tämän on valittava henkilötietojen käsittelijä, joka antaa riittävät takeet siitä, että käsittelyyn liittyvät tekniset ja organisatoriset toimet ja menettelyt toteutetaan siten, että käsittely täyttää tämän direktiivin nojalla annettujen säännösten vaatimukset ja varmistaa rekisteröidyn oikeuksien suojelun.

2. Jäsenvaltioiden on säädettävä, että henkilötietojen käsittelijän suorittamaa käsittelyä on säänneltävä oikeudellisella asiakirjalla, joka sitoo käsittelijän rekisterinpitäjään ja jossa erityisesti säädetään, että henkilötietojen käsittelijä toimii ainoastaan rekisterinpitäjän ohjeiden mukaisesti, etenkin jos käsiteltäviä henkilötietoja ei saa siirtää.

3. Jos henkilötietojen käsittelijä käsittelee muita kuin rekisterinpitäjän määräämiä henkilötietoja, käsittelijää on pidettävä kyseisen käsittelyn osalta rekisterinpitäjänä ja käsittelijään on sovellettava 20 artiklassa vahvistettuja, yhteisiä rekisterinpitäjiä koskevia sääntöjä.

22 artikla Tietojenkäsittely rekisterinpitäjän ja henkilötietojen käsittelijän alaisuudessa

Jäsenvaltioiden on säädettävä, että henkilötietojen käsittelijä tai kukaan rekisterinpitäjän tai henkilötietojen käsittelijän alaisuudessa toimiva henkilö, jolla on pääsy henkilötietoihin, ei saa käsitellä tietoja muuten kuin rekisterinpitäjän ohjeiden mukaisesti tai jos unionin tai jäsenvaltion lainsäädännössä niin vaaditaan.

23 artikla Asiakirjat

1.           Jäsenvaltioiden on säädettävä, että jokaisen rekisterinpitäjän ja henkilötietojen käsittelijän on säilytettävä asiakirjat kaikista vastuullaan tapahtuvista tietojenkäsittelyjärjestelmistä ja menettelyistä.

2.           Asiakirjoissa on oltava vähintään seuraavat tiedot:

a)      rekisterinpitäjän tai yhteisen rekisterinpitäjän tai henkilötietojen käsittelijän nimi ja yhteystiedot;

b)      käsittelyn tarkoitukset;

c)      henkilötietojen vastaanottajat tai vastaanottajien ryhmät;

d)      tiedot henkilötietojen siirtämisestä kolmanteen maahan tai kansainväliselle järjestölle, mukaan lukien tieto siitä, mikä kolmas maa tai kansainvälinen järjestö on kyseessä.

3.           Rekisterinpitäjän ja henkilötietojen käsittelijän on pyydettäessä esitettävä asiakirjat valvontaviranomaiselle.

24 artikla Kirjaaminen

1.           Jäsenvaltioiden on säädettävä, että ainakin seuraavista käsittelytoimista pidetään kirjaa: tietojen kerääminen, muuttaminen, hakeminen, luovuttaminen, yhdistäminen tai poistaminen. Tietojen hakemisen ja luovuttamisen osalta on erityisesti kirjattava muistiin toimen tarkoitus, päivämäärä ja aika sekä mahdollisuuksien mukaan henkilötietoja pyytäneen tai saaneen henkilön tiedot.

2.           Tietoja saa käyttää ainoastaan henkilötietojen käsittelyn lainmukaisuuden tarkistamiseen, omaehtoiseen valvontaan sekä tietojen eheyden ja tietoturvallisuuden varmistamiseen.

25 artikla Yhteistyö valvontaviranomaisen kanssa

1.           Jäsenvaltioiden on säädettävä, että rekisterinpitäjän ja henkilötietojen käsittelijän on pyynnöstä tehtävä yhteistyötä valvontaviranomaisten kanssa sen tehtävien suorittamiseksi, erityisesti antamalla kaikki tiedot, joita valvontaviranomainen tarvitsee tehtäviensä suorittamiseen.

2.           Kun valvontaviranomainen käyttää 46 artiklan a ja b alakohdassa tarkoitettuja valtuuksiaan, rekisterinpitäjän ja henkilötietojen käsittelijän on vastattava valvontaviranomaiselle kohtuullisen ajan kuluessa. Vastauksessa on kuvattava toteutetut toimenpiteet ja saavutetut tulokset valvontaviranomaisen huomautusten pohjalta.

26 artikla Valvontaviranomaisen ennakkokuuleminen

1. Jäsenvaltioiden on varmistettava, että rekisterinpitäjä tai henkilötietojen käsittelijä kuulee valvontaviranomaista ennen kuin käsitellään henkilötietoja, jotka muodostavat osan uutta, tekeillä olevaa rekisteriä, jos

a)      on tarkoitus käsitellä 8 artiklassa tarkoitettuja erityisiä tietoryhmiä;

b)      tietojen käsittely on sen luonteista, että siihen sisältyy muutoin, erityisesti uusien tekniikoiden, mekanismien tai menettelyjen käytön johdosta, erityisiä riskejä rekisteröidyn perusoikeuksien ja ‑vapauksien ja erityisesti henkilötietojen suojan kannalta.

2. Jäsenvaltiot voivat säätää, että valvontaviranomaisen on laadittava luettelo käsittelytoimista, joihin sovelletaan 1 kohdassa tarkoitettua ennakkokuulemista.

2 JAKSO TIETOTURVALLISUUS

27 artikla Käsittelyn turvallisuus

1.           Jäsenvaltioiden on säädettävä, että rekisterinpitäjä ja henkilötietojen käsittelijä toteuttavat asianmukaiset tekniset ja organisatoriset toimenpiteet varmistaakseen käsittelyn ja suojattavien henkilötietojen luonteeseen liittyviin riskeihin nähden asianmukaisen turvallisuustason, ottaen huomioon uusin tekniikka ja toimenpiteiden toteuttamiskustannukset.

2.           Kunkin jäsenvaltion on säädettävä automaattisen tietojenkäsittelyn osalta, että rekisterinpitäjä tai henkilötietojen käsittelijä toteuttaa riskinarvioinnin pohjalta toimenpiteet, joiden tarkoituksena on:

(a) evätä asiattomilta pääsy henkilötietojen käsittelyyn käytettäviin laitteisiin (laitteillepääsyn valvonta);

(b) estää tietovälineiden luvaton lukeminen, jäljentäminen, muuttaminen ja poistaminen (tietovälineiden valvonta);

(c) estää tietojen luvaton tallentaminen järjestelmään sekä järjestelmään tallennettujen henkilötietojen luvaton tarkastelu, muuttaminen ja poistaminen (tallentamisen valvonta);

(d) estää asiattomia käyttämästä automaattisia tietojenkäsittelyjärjestelmiä tiedonsiirtolaitteiden avulla (käytön valvonta);

(e) varmistaa, että automaattisen tietojenkäsittelyjärjestelmän käyttöön oikeutetut henkilöt pääsevät ainoastaan niiden toimivaltaan kuuluviin tietoihin (pääsyn valvonta);

(f) varmistaa, että on mahdollista tarkistaa ja todeta, mille elimille henkilötietoja on siirretty tai asetettu saataville tai voidaan siirtää tai asettaa saataville tiedonsiirtolaitteiden avulla (tiedonvälityksen valvonta);

(g) varmistaa, että on mahdollista tarkistaa ja todeta jälkikäteen, mitä henkilötietoja on lisätty automaattisiin tietojenkäsittelyjärjestelmiin ja milloin niitä on lisätty ja kuka niitä on lisännyt (lisäämisen valvonta);

(h) estää henkilötietojen asiaton lukeminen, jäljentäminen, muuttaminen ja poistaminen niitä siirrettäessä tai tietovälineitä kuljetettaessa (siirron valvonta);

(i) varmistaa, että käytetyt järjestelmät voidaan häiriön tapahtuessa palauttaa entiselleen (toimintakunnon palauttaminen);

(j) varmistaa, että järjestelmä toimii, että toimintavirheistä ilmoitetaan (luotettavuus) ja että virhe toimintajärjestelmässä ei voi vahingoittaa tallennettuja henkilötietoja (eheys).

3.           Komissio voi tarvittaessa antaa täytäntöönpanosäädöksiä, joissa määritellään 1 ja 2 kohdassa vahvistettujen vaatimusten soveltaminen erilaisiin tilanteisiin, varsinkin salausstandardeihin. Nämä täytäntöönpanosäädökset hyväksytään 57 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

28 artikla Henkilötietojen tietoturvaloukkauksesta ilmoittaminen valvontaviranomaiselle

1.           Jäsenvaltioiden on säädettävä, että jos tapahtuu henkilötietojen tietoturvaloukkaus, rekisterinpitäjän on ilmoitettava siitä valvontaviranomaiselle ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 24 tunnin kuluessa sen ilmitulosta. Jos ilmoitusta ei anneta 24 tunnin kuluessa, rekisterinpitäjän on pyynnöstä toimitettava valvontaviranomaiselle perusteltu selitys.

2.           Henkilötietojen käsittelijän on ilmoitettava henkilötietojen tietoturvaloukkauksesta rekisterinpitäjälle heti, kun se on tullut ilmi.

3.           Edellä 1 kohdassa tarkoitetussa ilmoituksessa on vähintään:

a)      kuvattava henkilötietojen tietoturvaloukkaus, mukaan lukien kyseessä olevien rekisteröityjen ryhmät ja lukumäärät sekä tietueiden ryhmät ja lukumäärät;

b)      ilmoitettava 30 artiklassa tarkoitettu tietosuojavastaava ja tämän yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa;

c)      suositeltava toimenpiteitä, joilla lievennetään henkilötietojen tietoturvaloukkauksen mahdollisia haittavaikutuksia;

d)      kuvattava henkilötietojen tietoturvaloukkauksen mahdollisia seurauksia;

e)      kuvattava toimenpiteet, joita rekisterinpitäjä on ehdottanut tai jotka se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta.

4.           Jäsenvaltioiden on säädettävä, että rekisterinpitäjän on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset, mukaan lukien loukkaukseen liittyvät seikat, sen vaikutukset ja toteutetut korjaavat toimet. Valvontaviranomaisen on voitava näiden asiakirjojen pohjalta tarkistaa, että tätä artiklaa on noudatettu. Asiakirjat saavat sisältää ainoastaan kyseistä tarkoitusta varten välttämättömät tiedot.

5.           Siirretään komissiolle valta antaa 56 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin 1 ja 2 kohdassa tarkoitettuja tietoturvaloukkauksia koskevat kriteerit ja vaatimukset sekä ne erityiset olosuhteet, joissa rekisterinpitäjän ja henkilötietojen käsittelijän on ilmoitettava henkilötietojen tietoturvaloukkauksesta.

6.           Komissio voi vahvistaa valvontaviranomaiselle annettavan vakiomuotoisen ilmoituksen, ilmoitusta koskevat menettelyt sekä 4 kohdassa tarkoitettujen asiakirjojen muodon ja niitä koskevat yksityiskohtaiset säännöt, mukaan lukien määräajat, joihin mennessä niissä olevat tiedot on poistettava. Nämä täytäntöönpanosäädökset hyväksytään 57 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

29 artikla Henkilötietojen tietoturvaloukkauksesta ilmoittaminen rekisteröidylle

1.           Jäsenvaltioiden on säädettävä, että kun henkilötietojen tietoturvaloukkauksella on todennäköisiä haittavaikutuksia rekisteröidyn henkilötietojen suojaan tai yksityisyyteen, rekisterinpitäjän on 28 artiklassa tarkoitetun ilmoituksen jälkeen ilmoitettava tietoturvaloukkauksesta myös rekisteröidylle ilman aiheetonta viivytystä.

2.           Edellä 1 kohdassa tarkoitetussa rekisteröidylle annettavassa ilmoituksessa on kuvattava henkilötietojen tietoturvaloukkauksen luonne ja annettava ainakin 28 artiklan 3 kohdan b ja c alakohdassa tarkoitetut tiedot ja suositukset.

3.           Henkilötietojen tietoturvaloukkauksesta ei tarvitse ilmoittaa rekisteröidylle, jos rekisterinpitäjä osoittaa valvontaviranomaista tyydyttävällä tavalla, että se on toteuttanut asianmukaiset tekniset suojatoimenpiteet ja että kyseisiä toimenpiteitä on sovellettu tietoturvaloukkauksen kohteena oleviin henkilötietoihin. Tällaisten teknisten suojatoimenpiteiden avulla tiedot muutetaan sellaiseen muotoon, että ne eivät ole sellaisten henkilöiden ymmärrettävissä, joilla ei ole lupaa päästä tietoihin.

4.           Rekisteröidylle ilmoittamista voidaan viivästyttää tai rajoittaa tai se voidaan jättää tekemättä 11 artiklan 4 kohdassa tarkoitetuista syistä.

3 JAKSO TIETOSUOJAVASTAAVA

30 artikla Tietosuojavastaavan nimittäminen

1. Jäsenvaltioiden on säädettävä, että rekisterinpitäjä tai henkilötietojen käsittelijä nimittää tietosuojavastaavan.

2. Tietosuojavastaavaa nimitettäessä otetaan huomioon henkilön ammattipätevyys ja erityisesti asiantuntemus tietosuojalainsäädännöstä ja alan käytänteistä sekä valmiudet suorittaa 32 artiklassa tarkoitetut tehtävät.

3. Tietosuojavastaava voidaan nimittää yhtä kuin useampaa yksikköä varten, ottaen huomioon toimivaltaisen viranomaisen organisaatiorakenne.

31 artikla Tietosuojavastaavan asema

1. Jäsenvaltioiden on säädettävä, että rekisterinpitäjä tai henkilötietojen käsittelijä huolehtii tietosuojavastaavan ottamisesta asianmukaisesti ja riittävän ajoissa mukaan kaikkien henkilötietojen suojaa koskevien kysymysten käsittelyyn.

2. Rekisterinpitäjän tai henkilötietojen käsittelijän on huolehdittava siitä, että tietosuojavastaavalle annetaan keinot täyttää 32 artiklassa tarkoitetut velvollisuudet ja tehtävät tehokkaasti ja riippumattomasti ja että tietosuojavastaava ei ota vastaan ohjeita tehtäviensä hoitamisen yhteydessä.

32 artikla Tietosuojavastaavan tehtävät

Jäsenvaltioiden on säädettävä, että rekisterinpitäjä tai henkilötietojen käsittelijä osoittaa tietosuojavastaavalle ainakin seuraavat tehtävät:

(a) antaa rekisterinpitäjälle tai henkilötietojen käsittelijälle tietoja ja neuvoja, jotka koskevat niille tämän direktiivin nojalla annettujen säännösten mukaisesti vahvistettuja velvollisuuksia, sekä dokumentoida tämä toiminta ja saadut vastaukset;

(b) seurata henkilötietojen suojaan liittyvien toimintamenetelmien täytäntöönpanoa ja soveltamista, kuten vastuunjakoa, tietojenkäsittelyyn osallistuvan henkilöstön koulutusta ja tarkastuksia;

(c) seurata tämän direktiivin nojalla annettujen säännösten täytäntöönpanoa ja soveltamista ja erityisesti sisäänrakennettuun tietosuojaan, oletusarvoiseen tietosuojaan ja tietoturvallisuuteen liittyviä vaatimuksia sekä rekisteröidyille ilmoittamista ja rekisteröityjen esittämiä pyyntöjä, jotka koskevat tämän direktiivin nojalla annettuihin säännöksiin pohjautuvien oikeuksien käyttöä;

(d) varmistaa, että 23 artiklassa tarkoitetut asiakirjat säilytetään;

(e) seurata 28 ja 29 artiklassa tarkoitettua henkilötietojen tietoturvaloukkauksiin liittyvien asiakirjojen säilyttämistä ja tietoturvaloukkauksista ilmoittamista;

(f) seurata valvontaviranomaisen ennakkokuulemista, jos sitä vaaditaan 26 artiklan nojalla;

(g) seurata valvontaviranomaisen pyyntöihin vastaamista ja tietosuojavastaavan toimivaltuuksien mukaisesti tehdä yhteistyötä valvontaviranomaisen kanssa jälkimmäisen pyynnöstä tai tietosuojavastaavan omasta aloitteesta;

(h)     toimia valvontaviranomaisen yhteyspisteenä tietojenkäsittelyyn liittyvissä kysymyksissä ja tarvittaessa kuulla valvontaviranomaista tietosuojavastaavan omasta aloitteesta.

V LUKU HENKILÖTIETOJEN SIIRTO KOLMANSIIN MAIHIN TAI KANSAINVÄLISILLE JÄRJESTÖILLE

33 artikla Henkilötietojen siirtoja koskevat yleiset periaatteet

Jäsenvaltioiden on säädettävä, että toimivaltaiset viranomaiset voivat siirtää henkilötietoja, joita käsitellään tai joita on tarkoitus käsitellä kolmanteen maahan tai kansainväliselle järjestölle siirtämisen jälkeen, mukaan lukien tietojen siirtäminen edelleen toiseen kolmanteen maahan tai toiselle kansainväliselle järjestölle, ainoastaan jos:

a)      siirto on tarpeen rikosten torjumiseksi, tutkimiseksi, selvittämiseksi ja syytteeseen panemiseksi tai rikosoikeudellisten seuraamusten täytäntöönpanemiseksi; sekä

b)      rekisterinpitäjä ja henkilötietojen käsittelijä noudattavat tässä luvussa vahvistettuja edellytyksiä.

34 artikla Siirto tietosuojan tason riittävyyttä koskevan päätöksen perusteella

1.           Jäsenvaltioiden on säädettävä, että henkilötietoja voidaan siirtää kolmanteen maahan tai kansainväliselle järjestölle, jos komissio on asetuksen (EU) N:o …/2012 41 artiklan tai tämän artiklan 3 kohdan mukaisesti päättänyt, että kyseinen kolmas maa tai kolmannen maan alue tai tietojenkäsittelyn sektori tai kyseinen kansainvälinen järjestö tarjoaa riittävän tietosuojan tason. Tällaiselle siirrolle ei tarvita erillistä lupaa.

2.           Jos komissio ei ole tehnyt asetuksen (EU) N:o …/2012 41 artiklan mukaista päätöstä, se arvioi tietosuojan riittävyyttä ottaen huomioon seuraavat seikat:

a)      oikeusvaltioperiaate, voimassa oleva yleinen ja alakohtainen lainsäädäntö, joka koskee muun muassa yleistä turvallisuutta, puolustusta, kansallista turvallisuutta ja rikosoikeutta sekä suojatoimia, joita kyseisessä maassa tai kansainvälisessä järjestössä noudatetaan, sekä tehokkaat ja täytäntöönpanokelpoiset oikeudet, kuten tehokkaat hallinnolliset ja oikeudelliset muutoksenhakukeinot rekisteröityjä ja erityisesti niitä unionin alueella asuvia rekisteröityjä varten, joiden henkilötietoja siirretään;

b)      se, onko kyseisessä kolmannessa maassa tai kansainvälisessä järjestössä vähintään yksi tehokkaasti toimiva riippumaton valvontaviranomainen, joka vastaa tietosuojasääntöjen noudattamisesta, tarjoaa rekisteröidyille apua ja neuvoja oikeuksien käyttämisessä ja tekee yhteistyötä EU:n ja jäsenvaltioiden valvontaviranomaisten kanssa; sekä

c)      kyseisen kolmannen maan tai kansainvälisen järjestön tekemät kansainväliset sitoumukset.

3.           Komissio voi päättää tämän direktiivin puitteissa, että kolmas maa tai kolmannen maan alue tai tietojenkäsittelyn sektori tai kansainvälinen järjestö tarjoaa 2 kohdassa tarkoitetun riittävän tietosuojan tason. Nämä täytäntöönpanosäädökset hyväksytään 57 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

4.           Täytäntöönpanosäädöksessä määritellään sen maantieteellinen soveltamisala ja alakohtainen soveltaminen ja mahdollisuuksien mukaan nimitetään 2 kohdan b alakohdassa tarkoitettu valvontaviranomainen.

5.           Komissio voi päättää tämän direktiivin puitteissa, että kolmas maa tai kolmannen maan alue tai tietojenkäsittelyn sektori tai kansainvälinen järjestö ei tarjoa 2 kohdassa tarkoitettua riittävää tietosuojan tasoa, varsinkin jos kolmannen maan tai kansainvälisen järjestön voimassa olevassa yleisessä ja alakohtaisessa lainsäädännössä ei taata rekisteröidyille ja erityisesti niille rekisteröidyille, joiden henkilötietoja siirretään, tehokkaita ja täytäntöönpanokelpoisia oikeuksia, tehokkaat hallinnolliset ja oikeudelliset muutoksenhakukeinot mukaan lukien. Nämä täytäntöönpanosäädökset hyväksytään 57 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen tai, jos yksilön oikeus henkilötietojen suojaan sitä kiireellisesti edellyttää, 57 artiklan 3 kohdassa tarkoitettua menettelyä noudattaen.

6.           Jäsenvaltioiden on säädettävä, että jos komissio päättää 5 kohdan nojalla kieltää kaikki henkilötietojen siirrot kolmanteen maahan tai kyseisen kolmannen maan alueelle tai tietojenkäsittelyn sektorille tai kansainväliselle järjestölle, tämä päätös ei rajoita 35 artiklan 1 kohdan tai 36 artiklan mukaisia siirtoja. Komissio aloittaa sopivalla hetkellä neuvottelut kolmannen maan tai kansainvälisen järjestön kanssa tämän artiklan 5 kohdan mukaisesti tehdystä päätöksestä aiheutuneen tilanteen korjaamiseksi.

7.           Komissio julkaisee Euroopan unionin virallisessa lehdessä luettelon niistä kolmansista maista, kolmannen maan alueista ja tietojenkäsittelyn sektoreista sekä kansainvälisistä järjestöistä, joiden osalta se on päättänyt, että tietosuojan taso joko on tai ei ole riittävä.

8.           Komissio valvoo 3 ja 5 kohdassa tarkoitettujen täytäntöönpanosäädösten soveltamista.

35 artikla Siirto asianmukaisten takeiden perusteella

1.           Jos komissio ei ole tehnyt päätöstä 34 artiklan nojalla, jäsenvaltioiden on säädettävä, että henkilötietoja voidaan siirtää vastaanottajalle kolmannessa maassa tai kansainvälisessä järjestössä, jos

a)      oikeudellisesti sitovassa välineessä on annettu asianmukaiset takeet, joilla varmistetaan henkilötietojen suoja; tai

b)      rekisterinpitäjä tai henkilötietojen käsittelijä on arvioinut kaikkia henkilötietojen siirtoon liittyviä seikkoja ja katsoo, että henkilötietojen suojasta on asianmukaiset takeet.

1.           Päätöksen 1 kohdan b alakohdassa tarkoitetusta siirrosta tekee asianmukaisesti valtuutettu henkilöstö. Siirrot on dokumentoitava, ja siirtoja koskevat asiakirjat on pyynnöstä toimitettava valvontaviranomaiselle.

36 artikla Poikkeukset

Poiketen siitä, mitä 34 ja 35 artiklassa säädetään, jäsenvaltioiden on säädettävä, että henkilötietojen siirto kolmanteen maahan tai kansainväliselle järjestölle voidaan suorittaa vain sillä edellytyksellä, että

a)       siirto on tarpeen rekisteröidyn tai toisen henkilön elintärkeiden etujen suojaamiseksi; tai

b)       siirto on tarpeen rekisteröidyn oikeutettujen etujen turvaamiseksi, jos henkilötietoja siirtävän jäsenvaltion lainsäädännössä niin säädetään; tai

c)       siirto on välttämätöntä jäsenvaltion tai kolmannen maan yleiseen turvallisuuteen kohdistuvan välittömän ja vakavan uhkan ehkäisemiseksi; tai

d)       siirto on tarpeen yksittäisissä tapauksissa rikosten torjumiseksi, tutkimiseksi, selvittämiseksi ja syytteeseen panemiseksi tai rikosoikeudellisten seuraamusten täytäntöönpanemiseksi; tai

e)       siirto on tarpeen yksittäisissä tapauksissa tietyn rikoksen torjumista, selvittämistä, tutkimista ja syytteeseenpanoa tai tietyn rikosoikeudellisen seuraamuksen täytäntöönpanoa koskevan oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi.

37 artikla Henkilötietojen siirtoon sovellettavat erityiset edellytykset

Jäsenvaltioiden on säädettävä, että rekisterinpitäjän on ilmoitettava henkilötietojen vastaanottajalle käsittelyn rajoituksista sekä toteutettava kaikki kohtuulliset toimet varmistaakseen, että näitä rajoituksia noudatetaan.

38 artikla Kansainvälinen yhteistyö henkilötietojen suojaamiseksi

1.           Komission ja jäsenvaltioiden on toteutettava kolmansien maiden ja kansainvälisten järjestöjen suhteen asianmukaiset toimet, joilla:

(a) kehitetään tehokkaita kansainvälisiä yhteistyökeinoja, joilla edistetään henkilötietojen suojaamista koskevan lainsäädännön täytäntöönpanoa;

(b) tarjotaan keskinäistä kansainvälistä apua henkilötietojen suojaa koskevan lainsäädännön täytäntöönpanossa esimerkiksi ilmoittamalla tapauksista, siirtämällä valituksia, antamalla tutkinta-apua ja vaihtamalla tietoja, edellyttäen että on annettu asianmukaiset takeet, jotka koskevat henkilötietojen suojaa ja muita perusoikeuksia ja ‑vapauksia;

(c) saadaan keskeiset sidosryhmät mukaan keskusteluun ja toimintaan, joilla edistetään kansainvälistä yhteistyötä henkilötietojen suojaa koskevan lainsäädännön täytäntöönpanossa;

(d) edistetään henkilötietojen suojaa koskevan lainsäädännön ja käytänteiden vaihtamista ja dokumentointia.

2.           Komissio toteuttaa 1 artiklan soveltamista varten asianmukaiset toimet edistääkseen suhteita kolmansiin maihin tai kansainvälisiin järjestöihin ja erityisesti niiden valvontaviranomaisiin, jos komissio on päättänyt, että ne tarjoavat 34 artiklan 3 kohdassa tarkoitetun riittävän tietosuojan tason.

VI LUKU RIIPPUMATTOMAT VALVONTAVIRANOMAISET

1 JAKSO RIIPPUMATON ASEMA

39 artikla Valvontaviranomainen

1. Jäsenvaltioiden on säädettävä, että yhden tai useamman viranomaisen on seurattava tämän direktiivin nojalla annettujen säännösten soveltamista ja edistettävä direktiivin yhdenmukaista soveltamista koko unionissa luonnollisten henkilöiden perusoikeuksien ja ‑vapauksien suojaamiseksi henkilötietojen käsittelyssä ja henkilötietojen vapaan liikkuvuuden varmistamiseksi unionissa. Sitä varten valvontaviranomaisten on tehtävä yhteistyötä keskenään ja komission kanssa.

2. Jäsenvaltiot voivat säätää, että asetuksen (EU) N:o .../2012 mukaisesti jäsenvaltioissa perustettu valvontaviranomainen ottaa hoitaakseen tämän artiklan 1 kohdan nojalla perustettavan valvontaviranomaisen tehtävät.

3. Jos jäsenvaltiossa on useampi kuin yksi valvontaviranomainen, jäsenvaltion on nimitettävä valvontaviranomainen, joka toimii yhteyspisteenä viranomaisten osallistuessa Euroopan tietosuojaneuvostoon.

40 artikla Riippumattomuus

1.           Jäsenvaltioiden on varmistettava, että valvontaviranomainen hoitaa tehtäviään ja käyttää sille annettuja valtuuksia täysin riippumattomana.

2.           Jäsenvaltioiden on säädettävä, että valvontaviranomaisen jäsenet eivät tehtäviään hoitaessaan pyydä eivätkä ota ohjeita miltään taholta.

3.           Valvontaviranomaisen jäsenten on pidättäydyttävä kaikesta toiminnasta, joka ei sovi yhteen heidän tehtäviensä hoitamisen kanssa, eivätkä he saa toimikautensa aikana harjoittaa muuta palkallista tai palkatonta ammattitoimintaa.

4.           Valvontaviranomaisen jäsenten on toimikautensa päättymisen jälkeen osoitettava kunniallisuutta ja arvostelukykyä nimitysten ja etujen vastaanottamisessa.

5.           Jäsenvaltioiden on varmistettava, että valvontaviranomaiselle osoitetaan riittävät tekniset, taloudelliset ja henkilöresurssit, tilat ja infrastruktuuri, jotka ovat tarpeen tehtävien suorittamiseksi ja valtuuksien käyttämiseksi tehokkaasti, mukaan lukien tehtävät, jotka liittyvät keskinäiseen avunantoon, yhteistyöhön ja osallistumiseen Euroopan tietosuojaneuvoston toimintaan.

6            Jäsenvaltioiden on varmistettava, että valvontaviranomaisella on oma henkilöstö, jonka nimittämisestä ja valvonnasta vastaa valvontaviranomaisen päällikkö.

7.           Jäsenvaltioiden on varmistettava, että valvontaviranomaiseen sovelletaan varainhoidon valvontaa, joka ei vaikuta sen riippumattomuuteen. Jäsenvaltioiden on varmistettava, että valvontaviranomaisella on erillinen vuotuinen talousarvio. Talousarvio on julkistettava.

41 artikla Valvontaviranomaisen jäseniä koskevat yleiset edellytykset

1.           Jäsenvaltioiden on säädettävä, että valvontaviranomaisen jäsenet nimittää joko jäsenvaltion parlamentti tai hallitus.

2.           Jäsenet valitaan sellaisten henkilöiden joukosta, joiden riippumattomuudesta ei ole epäilystä ja joilla on yleisesti tunnustettu kokemus ja pätevyys tehtävien hoitamiseen.

3.           Jäsenen tehtävät päättyvät toimikauden päättyessä tai kun hän eroaa tai kun hänet erotetaan 5 kohdan mukaisesti.

4.           Toimivaltainen kansallinen tuomioistuin voi erottaa jäsenen tai lakkauttaa tältä oikeuden eläkkeeseen tai muihin vastaaviin etuuksiin, jos hän ei enää täytä niitä vaatimuksia, joita hänen tehtävänsä edellyttävät, tai jos hän on syyllistynyt vakavaan virheeseen.

5.           Kun toimikausi päättyy tai jäsen eroaa tehtävästään, hän jatkaa kuitenkin tehtävässään, kunnes uusi jäsen on nimitetty.

42 artikla Valvontaviranomaisen perustamista koskevat säännöt

Jäsenvaltioiden on laissa säädettävä

a)           valvontaviranomaisen perustamisesta ja asemasta 39 ja 40 artiklan mukaisesti;

b)           valvontaviranomaisen jäsenten tehtävien hoitamiseen tarvittavasta pätevyydestä, kokemuksesta ja ammattitaidosta;

c)           valvontaviranomaisen jäsenten nimittämiseen sovellettavista säännöistä ja menettelyistä sekä tehtävien hoitamisen kanssa yhteensopimatonta toimintaa tai ammattia koskevista säännöistä;

d)           valvontaviranomaisen jäsenten toimikauden kestosta, jonka on oltava vähintään neljä vuotta, lukuun ottamatta ensimmäistä nimitystä tämän direktiivin voimaantulon jälkeen, jolloin osa jäsenistä voidaan nimittää tehtävään lyhyemmäksi ajaksi;

e)           siitä, voidaanko valvontaviranomaisen jäsenet nimittää uudeksi toimikaudeksi;

f)            valvontaviranomaisen jäsenten ja henkilöstön tehtäviä koskevista säännöistä ja yhteisistä edellytyksistä;

g)           valvontaviranomaisen jäsenten tehtävien päättymistä koskevista säännöistä ja menettelyistä, mukaan lukien tapaukset, joissa jäsen ei enää täytä tehtävien suorittamiseen tarvittavia edellytyksiä tai on syyllistynyt vakavaan virheeseen.

43 artikla Vaitiolovelvollisuus

Jäsenvaltioiden on säädettävä, että valvontaviranomaisen jäsenillä ja henkilöstöllä on sekä toimikautensa aikana että sen jälkeen velvollisuus pitää salassa kaikki luottamukselliset tiedot, jotka ovat tulleet heidän tietoonsa heidän tehtäviensä suorittamisen yhteydessä.

2 JAKSO TEHTÄVÄT JA VALTUUDET

44 artikla Toimivalta

1.           Jäsenvaltioiden on säädettävä, että jokainen valvontaviranomainen käyttää sille tämän direktiivin mukaisesti annettua toimivaltaa oman jäsenvaltionsa alueella.

2.           Jäsenvaltioiden on säädettävä, että valvontaviranomaisella ei ole toimivaltaa valvoa käsittelytoimia, joita tuomioistuimet suorittavat lainkäyttötehtäviensä yhteydessä.

45 artikla Tehtävät

1.           Jäsenvaltioiden on säädettävä, että valvontaviranomainen:

(a) valvoo tämän direktiivin nojalla annettujen säännösten ja direktiivin täytäntöönpanotoimenpiteiden soveltamista ja varmistaa sen;

(b) käsittelee rekisteröidyn tai tätä 50 artiklan mukaisesti edustavan ja rekisteröidyn asianmukaisesti valtuuttaman yhdistyksen tekemiä valituksia, tutkii mahdollisuuksien mukaan asiaa ja ilmoittaa rekisteröidylle tai yhdistykselle asian etenemisestä sekä valitusta koskevasta ratkaisustaan kohtuullisen ajan kuluessa, erityisesti jos asia edellyttää lisätutkimuksia tai koordinointia toisen valvontaviranomaisen kanssa;

(c) tarkistaa 14 artiklan mukaisesti tietojenkäsittelyn lainmukaisuuden ja ilmoittaa rekisteröidylle kohtuullisen ajan kuluessa tarkistuksen tuloksesta tai siitä, miksi tarkistusta ei ole suoritettu;

(d) tarjoaa keskinäistä apua muille valvontaviranomaisille ja varmistaa tämän direktiivin nojalla annettujen säännösten johdonmukaisen soveltamisen ja täytäntöönpanon;

(e) suorittaa tutkimuksia omasta aloitteestaan tai valituksen perusteella tai toisen valvontaviranomaisen pyynnöstä ja, jos rekisteröity on tehnyt valituksen tälle valvontaviranomaiselle, ilmoittaa rekisteröidylle tutkimusten tuloksesta kohtuullisen ajan kuluessa;

(f) seuraa erityisesti tieto- ja viestintäteknologian asiaan liittyvää kehitystä, siltä osin kuin sillä on vaikutusta henkilötietojen suojaan;

(g) esittää jäsenvaltioiden toimielimille ja elimille näkemyksiään yksilöiden oikeuksien ja vapauksien suojelua henkilötietojen käsittelyssä koskevista lainsäädännöllisistä ja hallinnollisista toimenpiteistä;

(h) antaa lausuntoja 26 artiklan mukaisista käsittelytoimista;

(i) osallistuu Euroopan tietosuojaneuvoston toimintaan.

2.           Kaikkien valvontaviranomaisten on edistettävä henkilötietojen käsittelyyn liittyvistä riskeistä, säännöistä, takeista ja oikeuksista tiedottamista kansalaisille. Erityisesti on kiinnitettävä huomiota lapsille suunnattuihin toimiin.

3.           Valvontaviranomaisen on pyynnöstä autettava rekisteröityä käyttämään tämän direktiivin nojalla annetuissa säännöksissä vahvistettuja oikeuksia ja tarvittaessa tehtävä tätä varten yhteistyötä muiden jäsenvaltioiden valvontaviranomaisten kanssa.

4.           Kun on kyse 1 kohdan b alakohdassa tarkoitetuista valituksista, valvontaviranomaisen on toimitettava valituslomake, joka voidaan täyttää sähköisesti, muita mahdollisia viestintäkeinoja pois sulkematta.

5.           Jäsenvaltioiden on säädettävä, että valvontaviranomaisen tehtävien suorittamisesta ei aiheudu kustannuksia rekisteröidylle.

6.           Jos pyynnöt ovat häiritseviä erityisesti toistuvuutensa takia, valvontaviranomainen voi periä maksun pyydetyn toimen suorittamisesta tai jättää pyydetyn toimen suorittamatta. Valvontaviranomaisen on todistettava pyynnön häiritsevyys.

46 artikla Valtuudet

Jäsenvaltioiden on säädettävä, että jokaisella valvontaviranomaisella on erityisesti oltava:

a)      tutkintavaltuudet, kuten valtuudet saada pääsy käsiteltäviin tietoihin ja kerätä kaikki valvontatehtävien suorittamiseksi tarvittavat tiedot;

b)      tehokkaat toimintavaltuudet, kuten esimerkiksi valtuudet antaa lausuntoja ennen käsittelyn toteuttamista ja varmistaa tällaisten lausuntojen asianmukainen julkistaminen, valtuudet määrätä käsittelyn rajoittamisesta tai tietojen poistamisesta tai tuhoamisesta, kieltää käsittely väliaikaisesti tai lopullisesti, antaa rekisterinpitäjälle varoitus tai huomautus taikka valtuudet saattaa asia kansallisen parlamentin tai muun poliittisen elimen käsiteltäväksi;

c)      valtuudet panna vireille oikeudellisia menettelyjä, jos tämän direktiivin nojalla annettuja säännöksiä on rikottu, tai valtuudet saattaa tämä rikkominen oikeusviranomaisten tietoon.

47 artikla Toimintakertomus

Jäsenvaltioiden on säädettävä, että jokainen valvontaviranomainen laatii vuosittain kertomuksen toiminnastaan. Kertomus toimitetaan komissiolle ja Euroopan tietosuojaneuvostolle.

VII LUKU YHTEISTYÖ

48 artikla Keskinäinen avunanto

1.           Jäsenvaltioiden on säädettävä, että valvontaviranomaiset tarjoavat toisilleen keskinäistä apua tähän direktiiviin perustuvien säännösten johdonmukaisen täytäntöönpanon ja soveltamisen varmistamiseksi ja toteuttavat toimenpiteet tehokasta keskinäistä yhteistyötä varten. Keskinäisen avunannon on katettava erityisesti tietopyynnöt ja valvontatoimet, kuten ennakkokuulemista sekä tarkastusten ja tutkimusten toteuttamista koskevat pyynnöt.

2.           Jäsenvaltioiden on säädettävä, että valvontaviranomainen toteuttaa kaikki tarvittavat toimenpiteet voidakseen vastata toisen valvontaviranomaisen esittämään pyyntöön.

3.           Pyynnön vastaanottaneen valvontaviranomaisen on ilmoitettava pyynnön esittäneelle valvontaviranomaiselle asian lopputuloksesta tai tarvittaessa asian etenemisestä tai pyynnön täyttämiseksi toteutetuista toimenpiteistä.

49 artikla Euroopan tietosuojaneuvoston tehtävät

1.           Asetuksella (EU) N:o …/2012 perustettu Euroopan tietosuojaneuvosto toteuttaa seuraavia tämän direktiivin soveltamisalaan kuuluvaan käsittelyyn liittyviä tehtäviä:

(a) antaa komissiolle neuvoja kaikissa henkilötietojen suojaan unionissa liittyvissä kysymyksissä, myös tämän direktiivin mahdollisessa muuttamisessa;

(b) tarkastelee komission pyynnöstä tai omasta aloitteestaan tai jonkin jäsenensä aloitteesta kysymyksiä, jotka koskevat tämän direktiivin nojalla annettujen säännösten soveltamista, ja antaa valvontaviranomaisille osoitettuja suuntaviivoja, suosituksia ja parhaita käytänteitä, joiden tarkoituksena on tukea kyseisten säännösten johdonmukaista soveltamista;

(c) tarkastelee b alakohdassa tarkoitettujen suuntaviivojen, suositusten ja parhaiden käytänteiden soveltamista käytäntöön ja raportoi asiasta komissiolle säännöllisesti;

(d) antaa komissiolle lausuntoja tietosuojan tasosta kolmansissa maissa tai kansainvälisissä järjestöissä;

(e) edistää valvontaviranomaisten välistä yhteistyötä ja tehokasta kahden- ja monenvälistä tietojen ja käytänteiden vaihtamista;

(f) edistää yhteisiä koulutusohjelmia ja tukee henkilövaihtoa valvontaviranomaisten välillä sekä tarvittaessa kolmansien maiden tai kansainvälisten järjestöjen valvontaviranomaisten kanssa;

(g) edistää muun muassa tietosuojalainsäädäntöä ja käytänteitä koskevien tietojen ja asiakirjojen vaihtoa tietosuojaviranomaisten kesken kaikkialla maailmassa.

2.       Jos komissio pyytää Euroopan tietosuojaneuvostolta neuvoja, se voi asettaa määräajan, jonka kuluessa tietosuojaneuvoston on annettava neuvot, asian kiireellisyys huomioon ottaen.

3.           Euroopan tietosuojaneuvoston on toimitettava antamansa lausunnot, suuntaviivat, suositukset ja parhaat käytänteet komissiolle sekä 57 artiklan 1 kohdassa tarkoitetulle komitealle ja julkaistava ne.

4.           Komission on ilmoitettava Euroopan tietosuojaneuvostolle toimista, jotka se on toteuttanut tietosuojaneuvoston antamien lausuntojen, suuntaviivojen, suositusten ja parhaiden käytänteiden perusteella.

VIII LUKU OIKEUSSUOJAKEINOT, VASTUU JA SEURAAMUKSET

50 artikla Oikeus tehdä valitus valvontaviranomaiselle

1.           Jäsenvaltioiden on säädettävä, että jokaisella rekisteröidyllä on oikeus tehdä valitus minkä tahansa jäsenvaltion valvontaviranomaiselle, jos rekisteröity katsoo, että hänen henkilötietojensa käsittelyssä ei ole noudatettu tämän direktiivin nojalla annettuja säännöksiä, sanotun kuitenkaan rajoittamatta muita hallinnollisia muutoksenhakukeinoja tai oikeussuojakeinoja.

2.           Jäsenvaltioiden on säädettävä, että millä tahansa elimellä, järjestöllä ja yhdistyksellä, jonka tarkoituksena on suojella rekisteröidyn henkilötietojen suojaan liittyviä oikeuksia ja etuja ja joka on asianmukaisesti perustettu jäsenvaltion lainsäädännön mukaisesti, on oikeus tehdä valitus minkä tahansa jäsenvaltion valvontaviranomaiselle yhden tai useamman rekisteröidyn puolesta, jos se katsoo, että tähän direktiiviin perustuvia rekisteröidyn oikeuksia on loukattu henkilötietojen käsittelyssä. Rekisteröidyn tai rekisteröityjen on annettava järjestölle tai yhdistykselle asianmukainen valtuutus.

3.           Jäsenvaltioiden on säädettävä, että 2 kohdassa tarkoitetulla elimellä, järjestöllä tai yhdistyksellä on rekisteröidyn valituksesta riippumatta oikeus tehdä valitus minkä tahansa jäsenvaltion valvontaviranomaiselle, jos se katsoo, että on tapahtunut henkilötietojen tietoturvaloukkaus.

51 artikla Oikeus oikeussuojakeinoihin valvontaviranomaista vastaan

1. Jäsenvaltioiden on säädettävä oikeudesta käyttää oikeussuojakeinoja valvontaviranomaisen päätöksiä vastaan.

2. Jokaisella rekisteröidyllä on oikeus oikeussuojakeinoihin, joilla valvontaviranomainen voidaan velvoittaa käsittelemään valitus, ellei valvontaviranomainen ole tehnyt rekisteröidyn oikeuksien suojaamista koskevaa päätöstä tai ilmoittanut rekisteröidylle kolmen kuukauden kuluessa valituksen etenemisestä tai valitusta koskevasta ratkaisustaan 45 artiklan 1 kohdan b alakohdan mukaisesti.

3. Jäsenvaltioiden on säädettävä, että kanne valvontaviranomaista vastaan nostetaan sen jäsenvaltion tuomioistuimissa, johon valvontaviranomainen on sijoittautunut.

52 artikla Oikeus oikeussuojakeinoihin rekisterinpitäjää tai henkilötietojen käsittelijää vastaan

Jäsenvaltioiden on säädettävä, että jokaisella luonnollisella henkilöllä on oikeus oikeussuojakeinoihin, jos hän katsoo, että hänen tämän direktiivin nojalla annettuihin säännöksiin perustuvia oikeuksiaan on loukattu sen takia, ettei hänen henkilötietojensa käsittelyssä ole noudatettu näitä säännöksiä, sanotun kuitenkaan rajoittamatta käytettävissä olevien hallinnollisten muutoksenhakukeinojen käyttöä, mukaan lukien oikeus tehdä valitus valvontaviranomaiselle.

53 artikla Tuomioistuinmenettelyjä koskevat yhteiset säännöt

1.           Jäsenvaltioiden on säädettävä, että jokaisella 50 artiklan 2 kohdassa tarkoitetulla elimellä, järjestöllä ja yhdistyksellä on oikeus käyttää 51 ja 52 artiklassa tarkoitettuja oikeuksia yhden tai useamman rekisteröidyn puolesta.

2.           Jokaisella valvontaviranomaisella on oikeus panna vireille oikeudellisia menettelyjä ja nostaa kanne tuomioistuimessa tämän direktiivin nojalla annettujen säännösten täytäntöönpanon tai henkilötietojen johdonmukaisen suojelun varmistamiseksi unionissa.

3.           Jäsenvaltioiden on varmistettava, että niiden kansallisen lainsäädännön mukaisesti käytettävissä olevat oikeussuojakeinot mahdollistavat nopeat toimenpiteet, turvaamistoimenpiteet mukaan lukien, joilla lopetetaan väitetyt väärinkäytökset ja estetään suuremman haitan koituminen asianomaisten tahojen eduille.

54 artikla Vastuu ja oikeus korvauksen saamiseen

1.           Jäsenvaltioiden on säädettävä, että jos kenelle tahansa henkilölle aiheutuu vahinkoa lainvastaisesta käsittelystä tai minkä tahansa toiminnan yhteensopimattomuudesta tämän direktiivin nojalla annettujen säännösten kanssa, hänellä on oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus aiheutuneesta vahingosta.

2.           Jos käsittelyyn on osallistunut useampi kuin yksi rekisterinpitäjä tai henkilötietojen käsittelijä, kukin rekisterinpitäjä tai henkilötietojen käsittelijä on yhteisvastuullisesti vastuussa korvauksen koko määrästä.

3.           Rekisterinpitäjä tai henkilötietojen käsittelijä voidaan vapauttaa tästä vastuusta osittain tai kokonaan, jos rekisterinpitäjä tai henkilötietojen käsittelijä osoittaa, ettei ole vastuussa vahingon aiheuttaneesta tapahtumasta.

55 artikla Seuraamukset

Jäsenvaltioiden on vahvistettava säännöt tämän direktiivin nojalla annettujen säännösten rikkomisen vuoksi määrättäviä seuraamuksia varten ja toteutettava kaikki tarvittavat toimenpiteet niiden täytäntöönpanon varmistamiseksi. Seuraamusten on oltava tehokkaita, oikeasuhteisia ja varoittavia.

IX LUKU DELEGOIDUT SÄÄDÖKSET JA TÄYTÄNTÖÖNPANOSÄÄDÖKSET

56 artikla Siirretyn säädösvallan käyttäminen

1.           Siirretään komissiolle valta antaa delegoituja säädöksiä tässä artiklassa säädetyin edellytyksin.

2.           Siirretään 28 artiklan 5 kohdassa tarkoitettu valta antaa delegoituja säädöksiä komissiolle määräämättömäksi ajaksi tämän direktiivin voimaantulopäivästä alkaen.

3.           Euroopan parlamentti tai neuvosto voi milloin tahansa peruuttaa 28 artiklan 5 kohdassa tarkoitetun säädösvallan siirron. Peruuttamispäätöksellä lopetetaan tuossa päätöksessä mainittu säädösvallan siirto. Päätös tulee voimaan sitä päivää seuraavana päivänä, jona se julkaistaan Euroopan unionin virallisessa lehdessä, tai jonakin myöhempänä, päätöksessä mainittuna päivänä. Päätös ei vaikuta jo voimassa olevien delegoitujen säädösten pätevyyteen.

4.           Heti kun komissio on antanut delegoidun säädöksen, komissio antaa sen tiedoksi yhtäaikaisesti Euroopan parlamentille ja neuvostolle.

5.           Edellä olevan 28 artiklan 5 kohdan nojalla annettu delegoitu säädös tulee voimaan ainoastaan, jos Euroopan parlamentti tai neuvosto ei ole kahden kuukauden kuluessa siitä, kun asianomainen säädös on annettu tiedoksi Euroopan parlamentille ja neuvostolle, ilmaissut vastustavansa sitä tai jos sekä Euroopan parlamentti että neuvosto ovat ennen mainitun määräajan päättymistä ilmoittaneet komissiolle, että ne eivät vastusta säädöstä. Euroopan parlamentin tai neuvoston aloitteesta tätä määräaikaa jatketaan kahdella kuukaudella.

57 artikla Komiteamenettely

1. Komissiota avustaa komitea. Kyseinen komitea on asetuksessa (EU) N:o 182/2011 tarkoitettu komitea.

2. Kun viitataan tähän kohtaan, sovelletaan asetuksen (EU) N:o 182/2011 5 artiklaa.

3. Kun viitataan tähän kohtaan, sovelletaan asetuksen (EU) N:o 182/2011 8 artiklaa yhdessä 5 artiklan kanssa.

X LUKU LOPPUSÄÄNNÖKSET

58 artikla Kumoamiset

1.           Kumotaan neuvoston puitepäätös 2008/977/YOS.

2.           Viittauksia 1 kohdassa tarkoitettuun, kumottuun puitepäätökseen pidetään viittauksina tähän direktiiviin.

59 artikla Suhde unionin aiempiin, rikosasioissa tehtävää oikeudellista yhteistyötä ja poliisiyhteistyötä koskeviin säädöksiin

Direktiivi ei vaikuta erityisiin säännöksiin, jotka koskevat henkilötietojen suojaa toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten torjumista, tutkimista, selvittämistä ja syytteeseenpanoa tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten ja jotka sisältyvät ennen direktiivin hyväksymispäivää annettuihin unionin säädöksiin, joilla säännellään henkilötietojen käsittelyä jäsenvaltioiden kesken ja jäsenvaltioiden nimettyjen viranomaisten pääsyä perussopimusten mukaisesti perustettuihin järjestelmiin.

60 artikla Suhde rikosasioissa tehtävää oikeudellista yhteistyötä ja poliisiyhteistyötä koskeviin, aiemmin tehtyihin kansainvälisiin sopimuksiin

Kansainvälisiä sopimuksia, jotka jäsenvaltiot ovat tehneet ennen tämän direktiivin voimaantuloa, on tarvittaessa muutettava viiden vuoden kuluessa direktiivin voimaatulosta.

61 artikla Arviointi

1.           Komissio arvioi tämän direktiivin soveltamista.

2.           Komissio tarkastelee kolmen vuoden kuluessa tämän direktiivin voimaantulosta muita Euroopan unionin säädöksiä, joilla säännellään toimivaltaisten viranomaisten suorittamaa henkilötietojen käsittelyä rikosten torjumista, tutkimista, selvittämistä ja syytteeseenpanoa tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, ja erityisesti 59 artiklassa tarkoitettuja unionin säädöksiä arvioidakseen, olisiko niitä yhdenmukaistettava direktiivin kanssa, ja tekee tarvittaessa tarpeelliset ehdotukset kyseisten säädösten muuttamiseksi, jotta voidaan varmistaa johdonmukainen lähestymistapa henkilötietojen suojaan tämän direktiivin puitteissa.

3.           Komissio toimittaa Euroopan parlamentille ja neuvostolle säännöllisesti kertomukset tämän direktiivin arvioinnista ja uudelleentarkastelusta 1 kohdan mukaisesti. Ensimmäiset kertomukset annetaan viimeistään neljän vuoden kuluttua tämän direktiivin voimaantulosta. Sen jälkeen kertomukset annetaan neljän vuoden välein. Komissio esittää tarvittaessa ehdotuksia tämän direktiivin muuttamiseksi ja sen yhdenmukaistamiseksi muiden säädösten kanssa. Kertomukset julkaistaan.

62 artikla Täytäntöönpano

1.           Jäsenvaltioiden on annettava ja julkaistava tämän direktiivin noudattamisen edellyttämät lait, asetukset ja hallinnolliset määräykset viimeistään [päivämäärä / kahden vuoden kuluttua direktiivin voimaantulosta]. Niiden on viipymättä ilmoitettava komissiolle kirjallisina nämä säännökset.

Jäsenvaltioiden on sovellettava näitä säännöksiä xx päivästä xxkuuta 201x [päivämäärä / kaksi vuotta direktiivin voimaantulosta].

Näissä jäsenvaltioiden antamissa säädöksissä on viitattava tähän direktiiviin tai niihin on liitettävä tällainen viittaus, kun ne virallisesti julkaistaan. Jäsenvaltioiden on säädettävä siitä, miten viittaukset tehdään.

2.           Jäsenvaltioiden on toimitettava tässä direktiivissä tarkoitetuista kysymyksistä antamansa keskeiset kansalliset säännökset kirjallisina komissiolle.

63 artikla Voimaantulo ja soveltaminen

Tämä direktiivi tulee voimaan ensimmäisenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.

64 artikla Osoitus

Tämä direktiivi on osoitettu kaikille jäsenvaltioille.

Tehty Brysselissä 25.1.2012.

Euroopan parlamentin puolesta                    Neuvoston puolesta

Puhemies                                                       Puheenjohtaja

[1]               Euroopan parlamentin ja neuvoston direktiivi 95/46/EY, annettu 24 päivänä lokakuuta 1995, yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta, EYVL L 281, 23.11.1995, s. 31.

[2]               Katso vaikutusten arvioinnin liitteessä 3 oleva täydellinen luettelo (SEC(2012)72).

[3]               Neuvoston puitepäätös 2008/977/YOS, tehty 27 päivänä marraskuuta 2008, rikosasioissa tehtävässä poliisi- ja oikeudellisessa yhteistyössä käsiteltävien henkilötietojen suojaamisesta, EUVL L 350, 30.12.2008, s. 60.

[4]               Tukholman ohjelma, EUVL C 115, 4.5.2010, s. 1.

[5]               Ks. Euroopan parlamentin 25.11.2009 Tukholman ohjelmasta antama päätöslauselma.

[6]               KOM(2010) 171 lopullinen.

[7]               Euroopan komission tiedonanto Kattava lähestymistapa henkilötietojen suojaan Euroopan unionissa, KOM(2010) 609 lopullinen, 4.11.2010.

[8]               Julistus 21 henkilötietojen suojasta rikosoikeuden alalla tehtävän oikeudellisen yhteistyön ja poliisiyhteistyön aloilla (liitetty Lissabonin sopimuksen hyväksyneen hallitustenvälisen konferenssin päätösasiakirjaan, 13.12.2007).

[9]               http://ec.europa.eu/justice/newsroom/data-protection/opinion/090709_en.htm.

[10]             http://ec.europa.eu/justice/newsroom/data-protection/opinion/101104_en.htm.

[11]             Erityiseurobarometritutkimus (EB) 359, Data Protection and Electronic Identity in the EU (2011), http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf.

[12]             Ks. Study on the economic benefits of privacy enhancing technologies tai Comparative study on different approaches to new privacy challenges, in particular in the light of technological developments, tammikuu 2010.          (http://ec.europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_en.pdf).

[13]             Tietosuojatyöryhmä on perustettu vuonna 1996 tietosuojadirektiivin 29 artiklan nojalla. Se on neuvoa-antava ryhmä, jossa ovat edustettuina kansalliset tietosuojaviranomaiset, Euroopan tietosuojavaltuutettu ja komissio. Lisätietoja ks. http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm.

[14]             Ks. erityisesti seuraavat lausunnot: aiheesta ”yksityisyydensuoja tulevaisuudessa” (2009, WP 168); rekisterinpitäjän ja henkilötietojen käsittelijän käsitteistä (1/2010, WP 169); käyttötottumuksia seuraavasta internetmainonnasta (2/2010, WP 171); tilivelvollisuuden periaatteesta (3/2010, WP 173); sovellettavasta lainsäädännöstä (8/2010, WP 179); ja suostumuksen määritelmästä (15/2011, WP 187). Komission pyynnöstä työryhmä esitti myös kolme neuvoa-antavaa asiakirjaa ilmoituksista, arkaluonteisista tiedoista ja direktiivin 95/46/EY 28 artiklan 6 kohdan käytännön täytäntöönpanosta. Nämä asiakirjat ovat saatavilla osoitteessa http://ec.europa.eu/justice/data-protection/article-29/documentation/index_en.htm.

[15]             Saatavilla Euroopan tietosuojavaltuutetun verkkosivustolla osoitteessa http://www.edps.europa.eu/EDPSWEB/.

[16]             Euroopan parlamentin päätöslauselma, 6.7.2011, kattavasta lähestymistavasta henkilötietojen suojaan Euroopan unionissa (2011/2025(INI), http://www.europarl.europa.eu/sides/getDoc.do?type=TA&reference=P7-TA-2011-0323&language=EN&ring=A7-2011-0244 (esittelijä: Euroopan parlamentin jäsen Axel Voss (EPP/DE)).

[17]             CESE 999/2011.

[18]             SEC(2012) 72.

[19]             COM(2012) 12.

[20]             Yhteisöjen tuomioistuimen yhdistetyt asiat C-92/09 ja C-93/09, Volker und Markus Schecke ja Eifert, tuomio 9.11.2010 (Kok., s. I-0000).

[21]             Perusoikeuskirjan 52 artiklan 1 kohdan mukaan tietosuojaoikeuden käyttämistä voidaan rajoittaa, jos näistä rajoituksista säädetään lailla, jos niissä kunnioitetaan kyseisten oikeuksien ja vapauksien olennaista sisältöä ja jos ne suhteellisuusperiaatteen mukaisesti ovat välttämättömiä ja vastaavat tosiasiallisesti Euroopan unionin tunnustamia yleisen edun mukaisia tavoitteita tai tarvetta suojella muiden henkilöiden oikeuksia ja vapauksia.

[22]             Mainittu myös lasten seksuaalisen hyväksikäytön ja seksuaalisen riiston sekä lapsipornografian torjumisesta ja neuvoston puitepäätöksen 2004/68/YOS korvaamisesta 13 päivänä joulukuuta 2011 annetun Euroopan parlamentin ja neuvoston direktiivin 2011/93/EU 2 artiklan a alakohdassa, EUVL L 335, 17.12.2011, s. 1.

[23]             KOM(2005) 475 lopullinen.

[24]             Europol-päätöksen 2009/371/YOS 14 artikla.

[25]             Eurojust-päätöksen 2009/426/YOS 15 artikla.

[26]             Europol-päätöksen 2009/371/YOS 14 artikla.

[27]             Euroopan ihmisoikeustuomioistuin, asia Marper v. Yhdistynyt kuningaskunta, tuomio 4.12.2008 (hakemukset nro 30562/04 ja 30566/04).             

[28]             Päätöslauselman on antanut tietosuojavaltuutettujen kansainvälinen konferenssi 5. marraskuuta 2009.

[29]             Yhteisöjen tuomioistuimen asia C-518/07, komissio v. Saksa, tuomio 9.3.2010 (Kok., s. I-1885).

[30]             Euroopan parlamentin ja neuvoston asetus (EY) N:o 45/2001, annettu 18 päivänä joulukuuta 2000, yksilöiden suojelusta yhteisöjen toimielinten ja elinten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta, EYVL L 8, 12.1.2001, s. 1.

[31]             Ks. alaviite 27.

[32]             Euroopan parlamentin ja neuvoston direktiivi 2000/31/EY, annettu 8 päivänä kesäkuuta 2000, tietoyhteiskunnan palveluja, erityisesti sähköistä kaupankäyntiä, sisämarkkinoilla koskevista tietyistä oikeudellisista näkökohdista (”Direktiivi sähköisestä kaupankäynnistä”), EYVL L 178, 17.7.2000, s. 1.

[33]             EUVL C…, , s. .

[34]             EYVL L 281, 23.11.1995, s. 31.

[35]             EUVL L 350, 30.12.2008, s. 60.

[36]             EUVL L 55, 28.2.2011, s. 13.

[37]             EUVL L 335, 17.12.2011, s. 1.

[38]             EYVL L 176, 10.7.1999, s. 36.

[39]             EUVL L 53, 27.2.2008, s. 52.               

[40]             EUVL L 160, 18.6.2011, s. 19.