Henkilötietojen suojelu

Direktiivi 95/46/EY muodostaa Euroopan tasolla henkilötietojen suojan alan perustan. Sen myötä otetaan käyttöön oikeudellinen kehys, jonka tarkoituksena on luoda tasapaino korkeatasoisen yksityisyyden suojan ja henkilötietojen vapaan liikkuvuuden välillä Euroopan unionissa. Tämän vuoksi direktiivissä vahvistetaan tiukat rajat henkilötietojen keruulle ja käytölle sekä kehotetaan perustamaan kuhunkin jäsenvaltioon riippumaton kansallinen elin, joka vastaa henkilötietojen valvonnasta ja kaikesta niihin liittyvästä käsittelystä.

SÄÄDÖS

Euroopan parlamentin ja neuvoston direktiivi 95/46/EY, annettu 24 päivänä lokakuuta 1995, yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta [EYVL L 281, 23.11.1995] [Ks. muutossäädökset].

TIIVISTELMÄ

Kyseistä direktiiviä sovelletaan automatisoituun tietojenkäsittelyyn (esimerkiksi tietokoneella oleviin asiakasrekistereihin) sekä sellaisten tietojen manuaaliseen käsittelyyn, jotka sisältyvät tai joiden on tarkoitus sisältyä paperiasiakirjoihin.

Direktiiviä ei sovelleta henkilötietojen käsittelyyn, kun

• henkilötietoja käsittelee luonnollinen henkilö yksinomaan henkilökohtaisessa tai kotitalouttaan koskevassa toiminnassa
• käsittely liittyy toimintaan, joka ei kuulu yhteisön oikeuden soveltamisalaan, kuten yleistä turvallisuutta, puolustusta ja valtion turvallisuutta koskevaan toimintaan.

Direktiivillä on tarkoitus suojella yksilöiden henkilötietojen käsittelyyn liittyviä oikeuksia ja vapauksia vahvistamalla pääperiaatteet, joilla voidaan määrittää käsittelyjen laillisuus ja tietojen laatua koskevat periaatteet.

Tietojen käsittely on laillista vain seuraavissa tapauksissa:

• jos rekisteröity on yksiselitteisesti antanut suostumuksensa, tai
• jos käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osallisena,
• jos käsittely on tarpeen rekisterinpitäjän laillisen velvoitteen noudattamiseksi, tai
• jos käsittely on tarpeen rekisteröidyn elintärkeän edun suojaamiseksi, tai
• jos käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai sellaisen julkisen vallan käyttämiseksi, joka kuuluu rekisterinpitäjälle tai sivulliselle, jolle tiedot luovutetaan, tai
• jos käsittely on tarpeen rekisterinpitäjän tai tiedot saavan sivullisen oikeutetun intressin toteuttamiseksi, paitsi milloin tämän intressin syrjäyttävät rekisteröidyn 1 artiklan 1 kohdan perusteella suojaa tarvitsevat intressit ja perusoikeudet ja -vapaudet.

Tietojen laatua koskevat periaatteet, joita on noudatettava kaikissa laillisissa tietojenkäsittelytoimissa, ovat seuraavat:

• Henkilötietoja on käsiteltävä asianmukaisesti ja laillisesti, ja niitä saa kerätä vain tiettyä selvästi määriteltyä, laillista tarkoitusta varten. Tietojen on lisäksi oltava asianmukaisia, olennaisia eivätkä liian laajoja, täsmällisiä, niitä on tarvittaessa päivitettävä eikä niitä saa säilyttää kuin sen ajan, joka on tarpeen niiden tarkoitusten toteuttamista varten.
• Tietojenkäsittelyn erityiset ryhmät: rotua tai etnistä alkuperää, poliittisia mielipiteitä, uskonnollista tai filosofista vakaumusta, ammattiliittoon kuulumista sekä terveyttä ja seksuaalista käyttäytymistä koskevien tietojen käsittely on kiellettävä. Tähän säännökseen sisältyy varaumia, jotka koskevat esimerkiksi tapauksia, joissa käsittely on tarpeen rekisteröidyn elintärkeiden etujen suojaamiseksi taikka ennalta ehkäisevää lääketiedettä tai lääketieteellisiä diagnooseja koskevia tarkoituksia varten.

Rekisteröidyllä eli henkilöllä, jonka tietoja käsitellään, seuraavat oikeudet:

• Oikeus saada tietoa: rekisterinpitäjän on toimitettava tietyt tiedot (mm. rekisterinpitäjän nimi, tietojen käsittelyn tarkoitus ja tietojen vastaanottajat) henkilölle, jota koskevia tietoja hän kerää.
• Rekisteröidyillä on oltava oikeus saada tutustua hänestä kerättyihin tietoihin.
• Oikeus vastustaa henkilötietojensa käsittelyä: rekisteröidyllä tulisi olla oikeus vastustaa, perusteltujen syiden vuoksi, itseään koskevien tietojen käsittelyä. Hänellä pitäisi olla myös oikeus vastustaa pyynnöstä ja korvauksetta henkilötietojensa käsittelyä, jonka rekisterinpitäjä on aikonut toteuttaa suoramarkkinointitarkoituksiin, ja saada nimenomaisesti oikeus vastustaa mainittua luovutusta.

Muut tietojenkäsittelyn kannalta olennaiset seikat:

• Rekisteröidyn oikeuksien poikkeukset ja rajoitukset: tietojen laatua, rekisteröidylle toimitettavia tietoja, rekisteröidyn oikeutta tutustua tietoihin ja käsittelyjen julkisuutta koskevien periaatteiden soveltamisalaa voidaan rajoittaa, kun tämä on välttämätöntä muun muassa valtion turvallisuuden, puolustuksen, yleisen turvallisuuden, rikosten torjunnan, jäsenvaltion tai EU:n tärkeän taloudellisen tai rahoituksellisen edun taikka rekisteröidyn suojelun kannalta.
• Tietojenkäsittelyn luottamuksellisuus ja turvallisuus: rekisterinpitäjän tai henkilötietojen käsittelijän valtuuttamana toimiva henkilö, mukaan luettuna henkilötietojen käsittelijä itse, saa käsitellä tietoja ainoastaan rekisterinpitäjän määräyksestä. Lisäksi rekisterinpitäjän on riittävin toimenpitein suojauduttava henkilötietojen tahattomalta tai laittomalta tuhoutumiselta, tahattomalta katoamiselta, vahingoittumiselta sekä luvattomalta levittämiseltä tai käsittelyltä.
• Käsittelystä ilmoittaminen valvontaviranomaisille: rekisterinpitäjän on ilmoitettava kansalliselle valvontaviranomaiselle käsittelytoimenpiteistä etukäteen. Ilmoituksen saatuaan valvontaviranomainen tekee ennakkotutkimuksia rekisteröityjen oikeuksia ja vapauksia mahdollisesti uhkaavista tekijöistä. Käsittelyn julkisuus on varmistettava, ja valvontaviranomaisten on pidettävä rekisteriä ilmoitetuista käsittelyistä.

Jokaisella on oltava mahdollisuus käyttää oikeussuojakeinoja, jos kyseessä olevaan käsittelyyn sovellettavien kansallisten säännösten mukaisesti hänelle kuuluvia oikeuksia loukataan. Lisäksi jokaisella, jolle aiheutuu vahinkoa häntä itseään koskevien henkilötietojen laittomasta käsittelystä, on oikeus saada korvaus aiheutuneesta vahingosta.

Henkilötietojen siirto EU:n ulkopuolisiin maihin, joissa taataan tietosuojan riittävä taso, on sallittu. Vaikka tietoja ei voikaan siirtää, ellei riittävää suojausta ole taattu, direktiivissä on lueteltu muutamia poikkeuksia tähän sääntöön, esimerkiksi jos rekisteröity antaa suostumuksensa siirtoon, jos siirto on tarpeen sopimuksen tekemiseksi tai yleisen edun turvaamiseksi, tai jos jäsenvaltio on valtuuttanut sitovia yrityssääntöjä tai vakiosopimuslausekkeita.

Direktiivin tavoitteena on suosia sellaisten kansallisten ja yhteisön käytännesääntöjen laatimista, joiden tarkoituksena on kansallisten ja yhteisön säädösten moitteeton soveltaminen.

Kunkin jäsenvaltion on säädettävä siitä, että jäsenvaltioiden direktiivin mukaisesti toteuttamien toimenpiteiden soveltamista valvoo yksi tai useampi riippumaton julkinen viranomainen sen alueella.

Perustetaan tietosuojatyöryhmä, joka koostuu kansallisten valvontaviranomaisten edustajista, yhteisön toimielinten ja elinten valvontaviranomaisten edustajista sekä komission edustajasta.

MUUT ASIAAN LIITTYVÄT ASIAKIRJAT

TÄYTÄNTÖÖNPANOKERTOMUS

Komission tiedonanto Euroopan parlamentille ja neuvostolle, annettu 7 päivänä maaliskuuta 2007 ”Tietosuojadirektiivin tehokkaampaa soveltamista koskevan työohjelman seurannasta” [ KOM(2007) 87 lopull. - ei julkaistu EUVL:ssä]

Tiedonannossa tarkasteltiin tietosuojadirektiivin tehokkaampaa soveltamista koskevan työohjelman yhteydessä tehtyä työtä. Tämä työohjelma sisältyy ensimmäiseen direktiiviä 95/46/EY käsittelevään kertomukseen. Komissio totesi, että kaikki jäsenvaltiot ovat panneet direktiivin täytäntöön. Komissio tähdensi, että toistaiseksi direktiiviä ei pitäisi muuttaa.

Lisäksi komissio

• jatkaa työskentelyä jäsenvaltioiden kanssa ja aloittaa tarvittaessa lainsäädännön rikkomisesta seuraavat toimenpiteet
• valmistelee tulkitsevan tiedonannon tietyistä direktiivin säännöksistä
• jatkaa työohjelman toteuttamista
• esittää EU:n laajuista alakohtaista lainsäädäntöä siinä tapauksessa, että teknologia kehittyy huomattavasti jollain alalla
• jatkaa yhteistyötä ulkopuolisten kumppanien, erityisesti Yhdysvaltojen, kanssa.

Komission kertomus, annettu 15 päivänä toukokuuta 2003, ”Ensimmäinen kertomus tietosuojadirektiivin (95/46/EY) täytäntöönpanosta” [ KOM(2003) 265 lopullinen - ei julkaistu EUVL:ssä].

Kertomuksessa tarkasteltiin erityisesti niiden kuulemisten tuloksia, joita komissio on käynyt viranomaisten, organisaatioiden, yritys- ja kuluttajajärjestöjen sekä kansalaisten kanssa direktiivin 95/46/EY arvioinnista. Kuulemisten tulokset osoittivat, että vain harvat kuulemiseen osallistuneet kannattivat direktiivin muuttamista. Komissio myös otti jäsenvaltioiden kuulemisen jälkeen huomioon sen seikan, että enemmistö jäsenvaltioista ja myös kansallisista valvontaviranomaisista katsoo, ettei direktiivin muutos nykyisellään ole tarpeen.

Vaikka direktiivin saattamisessa osaksi kansallista lainsäädäntöä on aukkoja ja viiveitä, direktiivi on täyttänyt pääasiallisen tavoitteensa poistaa henkilötietojen liikkuvuuden esteet jäsenvaltioiden väliltä. Lisäksi komissio katsoi, että tavoite korkeatasoisen tietosuojan varmistamisesta yhteisössä on saavutettu, koska direktiivissä vahvistetaan maailmanlaajuisesti hyvin korkeatasoiset tietosuojasäännökset.

Muihin sisämarkkinapolitiikan tavoitteisiin ei kuitenkaan ole päästy yhtä hyvin. Tietosuojalainsäädännössä on vielä huomattavia eroja jäsenvaltioiden välillä. Nämä erot estävät monikansallisia organisaatioita kehittämästä yleiseurooppalaista tietosuojapolitiikkaa. Myös komissio ilmoitti siten pyrkivänsä tekemään tarvittavan korjatakseen tämän tilanteen välttäen mahdollisimman pitkälle virallisiin menettelyihin ryhtymisen.

Yleisen tietosuojalainsäädännön noudattamisen yhteydessä EU:ssa on ratkaistava kolme ongelmaa:

• täytäntöönpanon alimitoitetut resurssit
• rekisterinpitäjien kirjavat lainnoudattamistavat
• rekisteröityjen ilmeisen heikko tietämys oikeuksistaan, mikä puolestaan voi johtua edellisestä seikasta

Tietosuojadirektiivin paremman soveltamisen varmistamiseksi komissio on hyväksynyt työohjelman, joka sisältää joitakin toimia, jotka on määrä toteuttaa tämän kertomuksen hyväksymispäivän ja vuoden 2004 lopun välillä. Nämä toimet kattavat seuraavat aloitteet:

• jäsenvaltioiden ja tietosuojaviranomaisten kanssa käytävät keskustelut kansallisiin säädöksiin tehtävistä muutoksista, jotta säädökset vastaisivat täysin direktiivin vaatimuksia
• ehdokasmaiden osallistuminen direktiivin soveltamista tehostaviin ja yhtenäistäviin toimiin
• direktiivin täytäntöönpanosäädöksiä koskevien ilmoitusten tehostaminen
• tietojen kansainvälisiä siirtoja koskevien ehtojen yksinkertaistaminen
• yksityisyyden suojaa parantavien tekniikoiden edistäminen
• itsesääntelyn ja eurooppalaisten käytännesääntöjen edistäminen.

SÄHKÖISEN VIESTINNÄN TIETOSUOJADIREKTIIVI

Euroopan parlamentin ja neuvoston direktiivi 2002/58/EY , annettu 12 päivänä heinäkuuta 2002, henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla (sähköisen viestinnän tietosuojadirektiivi) [EYVL L 201, 31.7.2002].

Tämä direktiivi hyväksyttiin vuonna 2002 samaan aikaan sähköisen viestinnän alan sääntelemiseksi annetun uuden säädöksen kanssa. Siinä säädetään joistakin varsin arkaluonteisista aiheista, kuten yhteystietojen säilyttämisestä jäsenvaltioiden poliisivalvontatarkoituksiin, ei-toivottujen sähköpostiviestien lähettämisestä, evästeiden (cookies) käytöstä ja henkilökohtaisten tietojen sisällyttämisestä julkisiin luetteloihin.

Asetuksessa (EU) N:o 611/2013 on määritetty yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoajille säännöt tietoturvaloukkausten ilmoittamisesta tapauksissa, joissa heidän asiakkaidensa henkilötiedot katoavat, varastetaan tai muutoin vaarantuvat.

Jos tietoturvaloukkaus tapahtuu ja henkilötiedot vaarantuvat, direktiivin 2002/58/EY mukaan palveluntarjoajien on ilmoitettava toimivaltaisille kansallisille tietoturvaviranomaisille loukkauksesta. Asetuksessa (EU) 611/2013 esitellään ”teknisiä täytäntöönpanotoimenpiteitä”, jotka selventävät näiden velvoitteiden noudattamista.

Palveluntarjoajilta edellytetään muun muassa seuraavaa:

• Heidän on ilmoitettava asianmukaiselle toimivaltaiselle viranomaiselle tapahtumasta 24 tunnin kuluessa sen havaitsemisesta loukkauksen rajoittamiseksi.
• Heidän on otettava huomioon vaarantuneiden tietojen tyyppi ja arvioitava, ilmoitetaanko tilaajille ja henkilöille, esimerkiksi sen mukaan, onko kyseessä taloudellinen informaatio, sähköpostitiedot, internetin lokitiedot, www-selaushistoriat jne.
• Heidän on annettava toimivaltaiselle viranomaiselle ja/tai asianmukaisille tilaajille tai henkilöille tiedot tapahtumasta, siihen liittyvien tietojen tyypistä ja toimenpiteistä, joihin on ryhdytty ongelman ratkaisemiseksi.

MALLISOPIMUSLAUSEKKEET HENKILÖTIETOJEN KOLMANSIIN MAIHIN SIIRTOA VARTEN

Komission päätös 2004/915/EY , tehty 27 päivänä joulukuuta 2004, päätöksen 2001/497/EY muuttamisesta vaihtoehtoisten mallisopimuslausekkeiden ottamiseksi käyttöön henkilötietojen kolmansiin maihin siirtoa varten [EUVL L 385, 29.12.2004].

Euroopan komissio on hyväksynyt uudet mallisopimuslausekkeet, joita yritykset voivat käyttää riittävien takeiden varmistamiseksi siirrettäessä henkilötietoja EU:sta EU:n ulkopuolisiin maihin. Nämä uudet lausekkeet lisätään niihin, jotka sisältyvät komission kesäkuussa 2001 tekemään päätökseen (ks. jäljempänä).

Komission päätös 2001/497/EY , tehty 15 päivänä kesäkuuta 2001, direktiivin 95/46/EY mukaisista mallisopimuslausekkeista henkilötietojen kolmansiin maihin siirtoa varten [EYVL L 181, 4.7.2001].

Päätöksessä määritellään mallisopimuslausekkeet, jotka takaavat riittävän suojan EU:sta kolmansiin maihin siirrettäville henkilötiedoille. Päätös velvoittaa jäsenvaltiot tunnustamaan, että yritykset ja elimet, jotka käyttävät sopimuksissaan tällaisia lausekkeita henkilötietojen kolmansiin maihin siirtoa varten, takaavat tietosuojan ”riittävän tason”.

Komission päätös 2010/87/EU Euroopan parlamentin ja neuvoston direktiivin 95/46/EY mukaisista mallisopimuslausekkeista henkilötietojen siirtoa varten kolmansiin maihin sijoittautuneille henkilötietojen käsittelijöille [EUVL L 39, 12.2.2010].

Komission päätökset, joilla vahvistetaan tietosuojan riittävä taso useissa kolmansissa maissa 25 (6) artiklan mukaan:Komissio on toistaiseksi todennut, että Andorra, Argentiina, Australia, Kanada (kaupalliset organisaatiot), Sveitsi, Färsaaret, Guernsey, Israel, Mansaari, Jersey, Uusi-Seelanti, Uruguay ja Yhdysvaltojen kauppaministeriön safe harbour -periaatteet tarjoavat riittävän suojan.

TIETOSUOJA YHTEISÖN TOIMIELIMISSÄ JA ELIMISSÄ

Euroopan parlamentin ja neuvoston asetus (EY) N:o 45/2001 , annettu 18 päivänä joulukuuta 2000, yksilöiden suojelusta yhteisöjen toimielinten ja elinten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta [EYVL L 8, 12.1.2001].

Asetuksella pyritään takaamaan henkilötietojen suojelu Euroopan unionin toimielimissä ja elimissä. Tekstissä säädetään

• säännöistä, joilla taataan yhteisön toimielinten ja elinten käsittelemien henkilötietojen korkeatasoinen suojelu
• kyseisten säännösten soveltamista valvovan riippumattoman valvontaviranomaisen perustamisesta.

Viimeisin päivitys: 08.03.2014