Bryssel 10.1.2017

COM(2017) 7 final

KOMISSION TIEDONANTO EUROOPAN PARLAMENTILLE JA NEUVOSTOLLE

Henkilötietojen vaihtaminen ja suojaaminen globalisoituneessa maailmassa


1. Johdanto

Henkilötietojen suoja on osa Euroopan yleistä perustuslakijärjestelmää. Se on vahvistettu Euroopan unionin perusoikeuskirjan 8 artiklassa, ja se on ollut EU:n lainsäädännön keskeinen osa yli 20 vuotta vuoden 1995 tietosuojadirektiivin 1 säätämisestä yleisen tietosuoja-asetuksen 2 ja poliisidirektiivin 3 säätämiseen vuonna 2016.

Kuten komission puheenjohtaja Jean-Claude Juncker korosti Euroopan unionin tilasta pitämässään puheessa 14. syyskuuta 2016, ”Eurooppalaisuus merkitsee oikeutta siihen, että henkilötietomme suojataan vahvalla eurooppalaisella lainsäädännöllä. [...] Euroopassa yksityisyyden suoja on tärkeä asia. Siinä on kyse ihmisarvosta.”

Vaatimus henkilötietojen suojasta ei kuitenkaan rajoitu Eurooppaan. Kuluttajat kautta maailman vaalivat ja pitävät arvossa yksityisyyttään. Vastaavasti yritykset katsovat saavansa kilpailuetua vahvan yksityisyyden suojan takaamisesta, sillä tämän myötä luottamus yritysten palveluihin kasvaa. Monet varsinkin maailmanlaajuiset yritykset muotoilevat tietosuojaperiaatteensa yleisen tietosuoja-asetuksen mukaisiksi paitsi siitä syystä, että ne haluavat harjoittaa toimintaansa EU:ssa, myös siitä syystä, että ne pitävät asetusta hyvänä toimintamallina.

Samoin monet EU:n ulkopuoliset maat ja alueelliset järjestöt sekä lähialueillamme että Aasiassa, Latinalaisessa Amerikassa ja Afrikassa säätävät uutta ja päivittävät voimassa olevaa tietosuojalainsäädäntöä ja pyrkivät näin hyödyntämään maailmanlaajuisen digitaalitalouden mahdollisuuksia ja vastaamaan vahvemman tietosuojan ja yksityisyyden suojan kasvavaan tarpeeseen. Vaikka eri mailla on erilaisia lähestymistapoja ja niiden lainsäädännöt ovat eri kehitysvaiheissa, on merkkejä siitä, että maat pyrkivät lähentämään lainsäädäntöjään ylöspäin ja sisällyttämään niihin keskeisiä tietosuojaperiaatteita, erityisesti tietyissä osissa maailmaa. 4 Jos eri tietosuojajärjestelmät olisivat yhteensopivampia, henkilötietojen virta maasta toiseen helpottuisi, olipa sitten kyse tietojen siirrosta kaupallisten intressien tai julkisten viranomaisten yhteistyön (esimerkiksi lainvalvonnan) vuoksi. EU:n tulisi hyödyntää sillä nyt oleva tilaisuus levittää omia tietosuojaa koskevia arvojaan laajemmalle ja edistää tietovirtoja kannustamalla maita lähentämään lainsäädäntöjärjestelmiään. Tästä syystä tässä tiedonannossa selostetaan komission työohjelman 5 mukaisesti komission strategista kehystä, joka liittyy ns. tietosuojan tason riittävyyttä koskeviin päätöksiin. Lisäksi tiedonannossa selvitetään muita tiedonsiirtovälineitä ja kansainvälisiä tietosuojainstrumentteja.

2. EU:n tietosuojan uudistuspaketti – uudenaikainen lainsäädäntökehys tukee kansainvälisiä tietovirtoja, joissa taataan korkeatasoinen tietosuoja

EU:n tietosuojalainsäädännön uudistuksella, joka hyväksyttiin huhtikuussa 2016, luotiin järjestelmä, joka varmistaa korkeatasoisen tietosuojan mutta on avoin maailmanlaajuisen tietoyhteiskunnan mahdollisuuksille. Uudistuksessa annetaan yksilöille paremmat mahdollisuudet valvoa henkilötietojensa käyttöä ja vahvistetaan näin kuluttajien luottamusta digitaalitalouteen. Kun lainsäädäntöä yhdenmukaistetaan ja yksinkertaistetaan, kotimaisille ja ulkomaisille yrityksille on helpompaa ja vähemmän rasittavaa harjoittaa liiketoimintaa EU:ssa muun muassa toteuttamalla kansainvälisiä tiedonvaihtoja. Tämän päivän EU:ssa yhdistetään kansainvälisten tietovirtojen avoimuus yksilöiden suojaan, joka on korkeinta laatua. EU:sta voi muodostua datapalvelutoiminnan keskus, sillä datapalvelut vaativat sekä tiedon vapaata liikkuvuutta että luottamusta järjestelmään.

2.1 EU:n kattava, yhtenäinen ja yksinkertainen tietosuojakehys

EU:n uudistuksella luodaan kattava kehys, joka koskee henkilötietojen käsittelyä sekä yksityisellä että julkisella sektorilla samoin kuin sekä kaupallisella alalla että lainvalvonta-alalla. Yleinen tietosuoja-asetus säätelee yksityistä sektoria ja kaupallista alaa ja poliisidirektiivi julkista sektoria ja lainvalvonta-alaa.

Yleisen tietosuoja-asetuksen myötä toukokuusta 2018 lähtien sovelletaan yhtä yleiseurooppalaista säännöstöä, joka korvaa tämänhetkiset 28 kansallista lakia. Äskettäin luodulla yhden asiointipisteen mekanismilla varmistetaan, että valvontavastuu rajat ylittävistä tietojenkäsittelytoimista, joita jokin yritys toteuttaa EU:ssa, kuuluu yhdelle tietosuojaviranomaiselle. Uusien sääntöjen tulkinnan yhdenmukaisuus taataan. Varsinkin sellaisissa rajat ylittävissä tapauksissa, joissa on osallisena useampia kansallisia tietosuojaviranomaisia, annetaan ainoastaan yksi päätös, ja näin varmistetaan, että yhteisiin ongelmiin saadaan yhteisiä ratkaisuja. Lisäksi yhteisellä tietosuoja-asetuksella luodaan tasapuoliset toimintaedellytykset EU:n yritysten ja EU:n ulkopuolisten maiden yritysten välille siinä mielessä, että yritykset, joiden kotipaikka on EU:n ulkopuolella ja jotka markkinoivat tuotteita tai palveluita tai seuraavat yksilöiden käyttäytymistä EU:ssa, ovat samojen sääntöjen alaisia kuin eurooppalaiset yritykset. Se, että kuluttajat tuntevat suurempaa luottamusta järjestelmään, hyödyttää sekä EU:sta että sen ulkopuolelta tulevia kaupallisia toimijoita.

Poliisidirektiivissä vahvistetaan yhteiset säännöt henkilötietojen käsittelylle tilanteissa, joissa yksilöt ovat rikosoikeudenkäynneissä epäiltyjä, uhreja tai todistajia. Samaan aikaan direktiivissä otetaan huomioon poliisitoiminnan ja rikosoikeuden erityinen luonne. Kun yhdenmukaistetaan lainvalvonta-alan tietojenkäsittelysääntöjä, mukaan lukien kansainvälisiä tiedonsiirtoja koskevia sääntöjä, helpotetaan poliisi- ja oikeusviranomaisten välistä rajat ylittävää yhteistyötä sekä EU:n sisällä että EU:n ja kansainvälisten kumppaneiden välillä ja luodaan olosuhteet, joissa rikollisuutta voidaan torjua tehokkaammin. Tämä on tärkeä osa Euroopan turvallisuusagendaa 6 .

2.2 Uudistettu ja monipuolinen keinovalikoima kansainvälisiin tiedonsiirtoihin

EU:n tietosuojalainsäädännössä on alusta lähtien säädetty useista mekanismeista, joiden avulla on mahdollista toteuttaa kansainvälisiä tiedonsiirtoja. Näiden sääntöjen ensisijaisena tarkoituksena on varmistaa, että eurooppalaisten henkilötietoja siirrettäessä ulkomaille niitä koskeva suoja seuraa mukana. Monien vuosien ajan nämä säännöt ovat olleet kansainvälisiin tiedonsiirtoihin sovellettava standardi monilla lainkäyttöalueilla. Vaikka säännöstön rakenne on edelleen pääosin sama kuin vuoden 1995 direktiivissä, uudistuksessa selkeytetään ja yksinkertaistetaan kansainvälisiä tiedonsiirtoja koskevia sääntöjä ja otetaan käyttöön uusia välineitä siirtoja varten.

EU:n lainsäädännön mukaan yksi tapa siirtää henkilötietoja ulkomaille on se, että tiedot siirretään tietosuojan tason riittävyyttä koskevan komission päätöksen nojalla. Tällaisessa komission päätöksessä vahvistetaan, että muun maan kuin EU:n jäsenvaltion takaama tietoturvan taso vastaa ”olennaisilta osin” 7 EU:n tietoturvan tasoa. Päätöksen nojalla henkilötietoja voidaan siirtää vapaasti kyseiseen kolmanteen maahan ilman että tietojen viejän tarvitsisi ryhtyä muihin suojatoimiin tai hankkia siirrolle lupa. Tarkka ja yksityiskohtainen luettelo tekijöistä, jotka komission on otettava huomioon arvioidessaan ulkomaisen järjestelmän tarjoaman suojan riittävyyttä, on asiasta kiinnostuneiden maiden ja kansainvälisten järjestöjen käytettävissä. 8 Komissio voi nyt antaa tietosuojan tason riittävyyttä koskevan päätöksen myös lainvalvonnan alalla. 9 Vuoden 1995 direktiivin soveltamiskäytännön pohjalta uudistuksessa on lisäksi nimenomaisesti sallittu se, että annetaan tietosuojan riittävyyttä koskeva päätös, joka koskee kolmannen maan tiettyä aluetta, sektoria tai toimialaa (ns. osittainen riittävyyspäätös). 10  

Jos tietosuojan riittävyyttä koskevaa päätöstä ei ole annettu, kansainvälisiä tiedonsiirtoja voidaan tehdä eräiden muiden vaihtoehtoisten siirtovälineiden perusteella, jos niihin liittyy asianmukaiset henkilötietoja koskevat suojatoimet. 11 Uudistuksessa virallistetaan olemassa olevia välineitä, kuten mallisopimuslausekkeet 12 ja yrityksiä sitovat säännöt 13 , ja laajennetaan niiden käyttömahdollisuuksia. Mallisopimuslausekkeita voidaan nyt esimerkiksi sisällyttää EU:n jäsenvaltiossa olevan henkilötietojen käsittelijän ja EU:n ulkopuolisessa maassa olevan henkilötietojen käsittelijän väliseen sopimukseen (ns. henkilötietojen käsittelijöiden väliset mallilausekkeet). 14 Yrityksiä koskevia sitovia sääntöjä on tähän asti voitu käyttää ainoastaan järjestelyissä, joihin on osallistunut samaan konserniin kuuluvia yksiköitä. Nyt niitä voidaan käyttää yritysryhmässä, jonka jäsenet harjoittavat yhdessä taloudellista toimintaa mutta eivät välttämättä kuulu samaan konserniin. 15 Uudistuksessa on myös vähennetty byrokratiaa poistamalla yleinen vaatimus, jonka mukaan toteutettaessa henkilötietojen siirtoja kolmanteen maahan hyödyntämällä mallisopimuslausekkeita tai yrityksiä koskevia sitovia sääntöjä, siirroista on ilmoitettava etukäteen tietosuojaviranomaiselle ja niihin on myös saatava etukäteen kyseisen viranomaisen lupa. 16 Ilmoitus- ja lupavaatimuksen poistamisella yksinkertaistetaan merkittävästi kansainvälisiin tiedonsiirtoihin liittyvää EU:n järjestelmää, sillä tällaiset vaatimukset, jotka nykyään vaihtelevat jäsenvaltiosta toiseen, nähdään usein merkittävänä tiedonsiirtojen esteenä varsinkin pienille yrityksille. 17

Uudistuksessa otetaan lisäksi käyttöön uusia kansainvälisten tiedonsiirtojen välineitä. 18 Vastaisuudessa rekisterinpitäjät ja henkilötietojen käsittelijät voivat tietyin edellytyksin 19 hyödyntää hyväksyttyjä käytännesääntöjä tai sertifiointimekanismeja (kuten yksityisyyden suojaa koskevia tunnuksia tai merkkejä) toteuttaakseen ns. asianmukaiset suojatoimet. Tämän avulla pitäisi olla mahdollista kehittää räätälöidympiä ratkaisuja kansainvälisten tiedonsiirtojen toteuttamiseksi siten, että niissä otetaan huomioon esimerkiksi tietyn sektorin tai toimialan tai tiettyjen tietovirtojen erityispiirteet ja -tarpeet. Uudistuksessa annetaan mahdollisuus myös siihen, että julkisten viranomaisten tai elinten välisissä tiedonsiirroissa asianmukaiset suojatoimet toteutetaan kansainvälisten sopimusten tai hallinnollisten järjestelyjen perusteella. 20 Yleisessä tietosuoja-asetuksessa selvennetään lisäksi ns. poikkeusten 21 hyödyntämistä. Poikkeukset voivat perustua esimerkiksi suostumukseen, sopimuksen täytäntöönpanoon tai merkittäviin julkista etua koskeviin syihin, ja tällaisissa tapauksissa yksiköt voivat siirtää tietoja, vaikka tietosuojan tason riittävyyttä koskevaa päätöstä ei ole eikä mitään edellä selostettua välinettä käytetä. Erityisesti asetuksessa säädetään uudesta, joskin rajatusta poikkeuksesta, jonka mukaisesti tiedonsiirrolla voidaan pyrkiä toteuttamaan yrityksen oikeutettuja etuja 22 .

Uudistuksessa komissiolle myös annetaan valta kehittää kansainvälisiä yhteistyömekanismeja, joiden avulla on helpompaa valvoa henkilötietojen suojaan liittyvien sääntöjen noudattamista. Tällaisia mekanismeja voivat olla esimerkiksi keskinäisen kansainvälisen avun järjestelyt. 23 Näin tunnustetaan se, että valvontaviranomaiset voivat kansainvälisellä tasolla tehtävällä tiiviimmällä yhteistyöllä varmistaa entistä paremmin sekä tehokkaamman suojan yksilöiden oikeuksille että suuremman oikeusvarmuuden yrityksille.

3. Kansainväliset tiedonsiirrot kaupan alalla: enemmän kauppaa suojelemalla yksityisyyttä

Yksityisyyden kunnioittaminen on edellytys sille, että maailmanlaajuiset kauppavirrat ovat vakaita ja turvallisia ja perustuvat kilpailuun. Yksityisyys ei ole kauppatavaraa. 24 Internet ja tavaroiden ja palvelujen digitointi ovat muuttaneet maailmantaloutta. Rajat ylittävät tiedonsiirrot, mukaan lukien henkilötietojen siirrot, ovat osa kaikenkokoisten eurooppalaisten yritysten jokapäiväistä toimintaa kaikilla sektoreilla. Kun kauppavaihto on yhä riippuvaisempaa henkilötietovirroista, henkilötietojen yksityisyydestä ja turvallisuudesta on tullut keskeistä, jos kuluttajien luottamus halutaan säilyttää. Kaksi kolmasosaa eurooppalaisista esimerkiksi pitää huolestuttavana sitä, että he eivät voi valvoa verkossa antamiensa tietojen käyttöä, ja puolet vastaajista pelkää joutuvansa petoksen uhriksi. 25 Samaan aikaan eurooppalaiset yritykset, jotka toimivat eräissä kolmansissa maissa, kokevat yhä enemmän protektionistisia rajoituksia, jotka eivät perustu oikeutettuihin yksityisyysnäkökohtiin.

Digitaaliaikakaudella korkeatasoisen tietosuojan edistäminen ja kansainvälisen kaupan helpottaminen käyvät näin ollen väistämättä käsi kädessä. Vaikka henkilötietojen suojasta ei tingitä kauppaneuvotteluissa, 26 EU:n kansainvälisten tiedonsiirtojen järjestelmässä on edellä esitetyn mukaisesti tarjolla laaja ja monipuolinen keinovalikoima, jonka avulla voidaan tehdä tiedonsiirtoja eri tilanteissa ja samalla varmistaa korkeatasoinen henkilötietojen suoja.

3.1 Tietosuojan tason riittävyyttä koskevat päätökset

Jos tietosuojan taso todetaan riittäväksi, EU:ssa oleva tietojen viejä voi viedä henkilötietoja vapaasti EU:sta ilman että muihin suojatoimiin on ryhdyttävä tai muita ehtoja täytettävä. Kun päätöksessä todetaan, että kolmannen maan oikeusjärjestyksessä taataan henkilötietojen suojan riittävä taso, siinä tunnustetaan, että maan järjestelmä on lähellä EU:n jäsenvaltioiden järjestelmiä. Tämän tuloksena tiedonsiirtoja kyseiseen maahan pidetään siirtoina EU:n sisällä, ja siitä syystä niihin liittyy etuoikeutettu pääsy EU:n sisämarkkinoille samalla kun EU:n toimijoille avautuu kaupallisia yhteyksiä. Kuten edellä todettiin, tietosuojan tason riittävyyttä koskeva päätös edellyttää välttämättä, että henkilötietojen suojan taso kyseisessä maassa on verrattavissa unionissa taattuun suojan tasoon (tai vastaa sitä ”olennaisilta osin”). 27 Päätöksessä arvioidaan kolmannen maan järjestelmää kattavasti, mukaan lukien kyseisen maan säännöt, jotka koskevat viranomaisten pääsyä henkilötietoihin lainvalvontaan, kansalliseen turvallisuuteen ja muihin julkisiin etuihin liittyvien syiden vuoksi.

Jotta tietosuojan taso olisi riittävä, kolmannen maan ei kuitenkaan ole tarpeen kopioida EU:n sääntöjä kohta kohdalta (unionin tuomioistuin on vahvistanut tämän periaatteen asiassa Schrems antamassaan tuomiossa vuonna 2015). 28 Sen sijaan tarkastellaan, onko ulkomaisen järjestelmän antama suoja kokonaisuutena korkeatasoinen, kuten edellytetään. Tällöin selvitetään, mikä sisältö yksityisyyteen liittyvillä oikeuksilla on, ovatko kyseiset oikeudet täytäntöönpanokelpoisia ja pannaanko ne täytäntöön ja valvotaanko niiden toteutumista tehokkaasti. Kuten tähän mennessä annetut tietosuojan tason riittävyyttä koskevat päätökset osoittavat, komissio kykenee hyväksymään ja pitämään riittävinä monenlaisia yksityisyyden suojajärjestelmiä, jotka edustavat monenlaisia oikeusperinteitä. Päätökset koskevat maita, joilla on läheinen yhteys Euroopan unioniin ja sen jäsenvaltioihin (Sveitsi, Andorra, Färsaaret, Guernsey, Jersey ja Mansaari), maita, jotka ovat tärkeitä kauppakumppaneita (Argentiina, Kanada, Israel ja Yhdysvallat), sekä maita, jotka ovat edelläkävijöitä alueensa tietosuojalainsäädännön kehittämisessä (Uusi-Seelanti ja Uruguay).

Kanadan ja Yhdysvaltojen tietosuojan tason riittävyyttä koskevat päätökset ovat osittaisia. Kanadaa koskevaa päätöstä sovelletaan vain yksityisiin toimijoihin, jotka kuuluvat Kanadan henkilötietojen suojasta ja sähköisistä asiakirjoista annetun lain (Canadian Personal Information Protection and Electronic Documents Act) soveltamisalaan. Hiljattain hyväksytty EU:n ja Yhdysvaltojen Privacy Shield -järjestelyä koskeva päätös 29 on erityistapaus siinä mielessä, että koska Yhdysvalloissa ei ole yleistä tietosuojalainsäädäntöä, 30 päätös perustuu järjestelyyn osallistuvien yritysten sitoumuksiin, joiden mukaan ne soveltavat järjestelyssä vahvistettuja korkeatasoisia tietosuojanormeja. Nämä sitoumukset puolestaan ovat täytäntöönpanokelpoisia Yhdysvaltojen lain mukaan. Lisäksi Privacy Shield -järjestely ja tietosuojan tason riittävyyttä koskeva toteamus perustuvat erityisiin lausumiin ja vakuutuksiin, joita Yhdysvaltojen viranomaiset ovat antaneet ja jotka koskevat pääsyä henkilötietoihin kansallisen turvallisuuden nimissä. 31 Komissio seuraa tiiviisti näiden sitoumusten noudattamista, ja asiaa käsitellään myös järjestelyn toimivuutta koskevassa vuotuisessa tarkastelussa.

Viime vuosina yhä useammat maat maailmassa ovat hyväksyneet uutta lainsäädäntöä tietosuojan ja yksityisyyden alalla tai ovat ainakin tekemässä niin. Vuonna 2015 niiden maiden lukumäärä, jotka olivat säätäneet tietosuojaa ja yksityisyyttä koskevat lait, oli 109. Määrä oli siis suurentunut merkittävästi vuoden 2011 puolivälin luvusta, joka oli 76. 32 Lisäksi noin 35 maata on parhaillaan valmistelemassa tietosuojalakeja. 33 Uusien tai uudistettujen lakien ytimessä on yleensä joukko yleisiä periaatteita, joihin kuuluu muun muassa seuraavaa: toteamus, jonka mukaan tietosuoja on perusoikeus; tietosuoja-alan yleissäädösten hyväksyminen; yksilöille kuuluvat, yksityisyyteen liittyvät oikeudet, jotka ovat täytäntöönpanokelpoisia; sekä riippumattoman valvontaviranomaisen perustaminen. Kehitys tarjoaa uusia mahdollisuuksia helpottaa tietovirtoja edelleen ja samalla varmistaa jatkuvasti korkeatasoinen henkilötietojen suoja. Tässä voidaan hyödyntää erityisesti tietosuojan tason riittävyyttä koskevia toteamuksia.

Jotta tietosuojan taso voidaan EU:n lainsäädännön mukaan todeta riittäväksi, kolmannen maan tietosuojasääntöjen on oltava verrattavissa EU:n sääntöihin. 34 Tämä koskee sekä henkilötietojen aineellista suojaa että alan valvonta- ja muutoksenhakumekanismeja kolmannessa maassa.

Kun komissio harkitsee, minkä kolmansien maiden kanssa se aloittaa neuvottelut tietosuojan tason riittävyydestä, se ottaa tietosuojan tason toteamista koskevan viitekehyksensä mukaisesti huomioon seuraavat kriteerit: 35

i)    Kuinka laajat (tämänhetkiset tai mahdolliset) kaupalliset suhteet EU:lla on tietyn kolmannen maan kanssa ja muun muassa onko maan kanssa tehty vapaakauppasopimus tai neuvotellaanko siitä?

ii)    Kuinka paljon EU:sta siirretään henkilötietoja ja missä määrin tämä heijastelee maantieteellisiä ja/tai kulttuurisia siteitä kyseisen maan kanssa?

iii)    Onko kolmas maa ollut edelläkävijä yksityisyys- ja tietosuoja-asioissa siten, että se voisi olla esikuva muille kyseisen alueen maille? 36

iv)    Millaiset ovat yleiset poliittiset suhteet kyseisen kolmannen maan kanssa ja erityisesti pyrkiikö maa edistämään kansainvälisellä näyttämöllä samoja arvoja ja tavoitteita kuin EU?

Näiden näkökohtien pohjalta komissio aikoo aloittaa aktiivisen yhteistyön keskeisten kauppakumppaneiden kanssa Itä- ja Kaakkois-Aasiassa. Keskustelut aloitetaan Japanista ja Koreasta vuonna 2017 37 , ja jos Intia edistyy riittävästi tietosuojalakiensa uudistamisessa, komissio neuvottelee myös tämän maan kanssa. Komissio on aktiivinen myös Latinalaisen Amerikan maiden (ja erityisesti Mercosur-maiden) sekä EU:n naapuruusmaiden kanssa, sillä kyseiset maat ovat ilmaisseet kiinnostuksensa saada tietosuojan tason riittävyyttä koskeva toteamus. Komissio on myös tyytyväinen siitä, että muutkin kolmannet maat ovat ilmaisseet halunsa neuvotella näistä kysymyksistä. Tietosuojan tason riittävyyden mahdollinen toteaminen on kaksisuuntainen vuoropuhelu. Keskusteluissa muun muassa selvennetään tarpeen mukaan EU:n tietosuojasääntöjä ja selvitetään, kuinka kolmansien maiden lakeja ja käytäntöjä voitaisiin lähentää EU:n sääntöjen kanssa.

Sen sijaan että tietosuojan tason riittävyys todettaisiin koko maan osalta, joissakin tilanteissa on parempi hyödyntää muita vaihtoehtoja kuten osittaisen tai alakohtaisen riittävyyden toteamista (esimerkiksi rahoituspalveluiden tai tietotekniikan osalta). Tällöin riittävyystoteamus voi koskea maantieteellisiä alueita tai tiettyjä toimialoja, joilla on suuri merkitys kyseisen kolmannen maan taloudelle. Tätä on tarkasteltava esimerkiksi sen valossa, millaisia yksityisyyssäännöt ovat luonteeltaan ja kehitysvaiheeltaan (esimerkiksi onko kyseessä yksi laki vai useampia ja ovatko lait alakohtaisia) sekä mikä kolmannen maan perustuslaillinen rakenne on ja vastaanottavatko jotkin talouden sektorit erityisen paljon henkilötietoja EU:sta.

Kun tietosuojan tason riittävyyttä koskeva päätös annetaan, kyseisen kolmannen maan kanssa aloitetaan erityinen vuoropuhelu ja läheinen yhteistyö tietosuojakysymyksissä. Riittävyyspäätökset ovat ”eläviä”, ja niinpä komission on seurattava tilanteen kehitystä ja mukautettava päätöksiä, jos kehityksellä on vaikutusta asianomaisen kolmannen maan takaamaan tietosuojan tasoon. 38 Tilanteen kehitystä tarkastellaan aika ajoin (ainakin neljän vuoden välein), ja tässä yhteydessä keskustellaan esiin nousseista asioista ja jaetaan parhaita käytäntöjä läheisten kumppaneiden kesken. 39 Tätä dynaamista lähestymistapaa sovelletaan myös jo voimassa oleviin riittävyyspäätöksiin, jotka on annettu vuoden 1995 direktiivin nojalla ja joita on tarkistettava, jos ne eivät enää vastaa soveltuvia normeja. 40 Tästä syystä asianomaisia kolmansia maita pyydetään ilmoittamaan komissiolle kaikista merkittävistä lainsäädäntöä ja käytäntöä koskevista muutoksista, joita on alettu soveltaa sen jälkeen kun kyseistä maata koskeva riittävyyspäätös on annettu. Tämä on olennaista, jotta uudistettuja sääntöjä sovellettaessa varmistetaan näiden päätösten jatkuvuus. 41  

EU:n tietosuojasäännöistä ei keskustella, kun neuvotellaan vapaakauppasopimuksista. 42 Vaikka tietosuojakeskustelut ja kauppaneuvottelut kolmansien maiden kanssa välttämättä kulkevat eri teitä, tietosuojan tason riittävyyttä koskeva päätös, myös osittainen tai alakohtainen päätös, on paras tapa rakentaa keskinäistä luottamusta ja taata henkilötietojen esteetön virta sekä näin helpottaa sellaista kauppavaihtoa, jonka yhteydessä henkilötietoja siirretään asianomaiseen kolmanteen maahan. Riittävyyspäätökset voivat tästä syystä helpottaa kauppaneuvotteluja tai täydentää voimassa olevia kauppasopimuksia, ja näin kauppaneuvotteluista ja -sopimuksista voidaan saada enemmän hyötyä. Kun riittävyystoteamukset lähentävät EU:n ja kolmannen maan tietosuojan tasoja, ne vähentävät samalla riskiä siitä, että kyseinen kolmas maa turvautuisi sellaisiin henkilötietojen suojaamistoimiin, joissa asetettaisiin perusteettomia sijaintipaikka- ja säilyttämisvaatimuksia. Kuten tiedonannossa Kaikkien kauppa. Vastuullisempaa kauppa- ja investointipolitiikkaa todetaan, komissio aikoo tämän lisäksi hyödyntää EU:n kauppasopimuksia vahvistaakseen säännöt sähköiselle kaupankäynnille ja rajat ylittäville tietovirroille ja torjuakseen uudentyyppistä digitaalista protektionismia. Tämän komissio tekee täysin sopusoinnussa EU:n tietosuojasääntöjen kanssa ja rajoittamatta niiden soveltamista. 43  

Komissio aikoo toimia seuraavasti:

Keskusteluissa, jotka koskevat mahdollista tietosuojan tason riittävyyttä koskevaa päätöstä, komissio antaa etusijan keskeisille kauppakumppaneille Itä- ja Kaakkois-Aasiassa. Keskustelut aloitetaan Japanista ja Koreasta vuonna 2017, mutta asiaa harkitaan myös muiden strategisten kumppaneiden, kuten Intian osalta. Komissio antaa etusijan neuvotteluille myös Latinalaisen Amerikan maiden (ja erityisesti Mercosur-maiden) sekä EU:n naapuruusmaiden kanssa.

Komissio seuraa tiiviisti voimassa olevien riittävyyspäätösten toimivuutta. Erityisesti EU:n ja Yhdysvaltojen välisen Privacy Shield -järjestelyn täytäntöönpanoa seurataan, ja tässä hyödynnetään varsinkin vuotuista yhteistä tarkastelumekanismia.

Komissio tekee yhteistyötä niiden maiden kanssa, jotka ovat kiinnostuneita hyväksymään vahvan tietosuojalainsäädännön, ja auttaa näitä maita tällaisen lainsäädännön säätämisessä. Komissio tukee tällaisten maiden lainsäädäntöjen lähentämistä EU:n tietosuojaperiaatteiden kanssa.

3.2 Vaihtoehtoiset tiedonsiirtomekanismit

EU:n tietosuojasäännöissä on aina lähdetty siitä, että kansainvälisissä tiedonsiirroissa ei ole olemassa yhtä ainutta kaikkiin tilanteisiin sopivaa ratkaisua. Uudistuksen yhteydessä vahvistetuissa säännöissä tämä lähtökohta korostuu. Vaikka riittävyystoteamuksia voidaan myöntää ainoastaan kolmansille maille, jotka täyttävät asiaankuuluvat kriteerit, yleisessä tietosuoja-asetuksessa hyväksytään laaja kirjo mekanismeja, jotka ovat riittävän joustavia luontuakseen moniin erilaisiin tiedonsiirtotilanteisiin. Välineitä voidaan kehittää niin, että niissä otetaan huomioon eri toimialojen, liiketoimintamallien ja/tai toimijoiden erityiset tarpeet tai olosuhteet. Esimerkiksi mallisopimuslauseke voidaan räätälöidä sopivaksi tietyn toimialan vaatimuksille, kuten terveysalalle, jossa on toteutettava erityisiä suojatoimia arkaluontoisten tietojen käsittelyssä. Vastaavasti mallisopimuslausekkeissa voidaan ottaa huomioon sellaisten erityisten tietojenkäsittelytoimintojen vaatimukset, jotka ovat tyypillisiä tietyille kolmansille maille ja joita voivat olla esimerkiksi eurooppalaisille yrityksille tarjottavat ulkoistetut palvelut. Välineitä voitaisiin kehittää hyväksymällä uusia vakiomuotoisia lausekkeita tai täydentämällä nykyisiä lausekkeita uusilla suojatoimilla, jotka voivat vaihdella teknisistä ratkaisuista toiminnan organisointiin tai liiketoimintamalliin liittyviin ratkaisuihin. 44 Joitakin erityisiä alakohtaisia tarpeita voidaan tyydyttää myös yrityksiä sitovilla säännöillä, joita sovellettaisiin yhteistä taloudellista toimintaa harjoittaviin yritysryhmiin esimerkiksi matkailualalla. Tietojen käsittelijöiden välisissä siirroissa voitaisiin hyödyntää mallisopimuslausekkeita, jotka laaditaan käsittelijöiden välisiä yhteyksiä varten, ja/tai yrityksiä sitovia sääntöjä, jotka koskevat käsittelijöitä. Lisäksi uudet siirtomekanismit kuten hyväksytyt käytännesäännöt ja akkreditoitujen kolmansien osapuolten sertifioinnit antavat toimialoille tilaisuuden ottaa käyttöön räätälöityjä ratkaisuja kansainvälisissä siirroissa ja samalla hyötyä kilpailueduista, jotka liittyvät esimerkiksi yksityisyyden suojaa koskeviin tunnuksiin tai merkkeihin. Jotkin näistä välineistä voidaan kehittää joko tiettyä siirtoa koskeviksi mekanismeiksi tai osaksi yleisempää välineistöä, jolla osoitetaan, että kaikkia yleisen tietosuoja-asetuksen säännöksiä noudatetaan (tällaisia ovat esimerkiksi hyväksytyt käytännesäännöt).

Komissio tekee yhteistyötä toimialojen, kansalaisyhteiskunnan ja tietosuojaviranomaisten kanssa, jotta yleiseen tietosuoja-asetukseen sisällytettyä, kansainvälisiä tiedonsiirtoja koskevaa keinovalikoimaa voidaan käyttää täysimääräisesti hyödyksi. Uudistuksen täytäntöönpanon yhteydessä käydään vuoropuhelua sidosryhmien kanssa, ja tästä on apua sen selvittämisessä, millä alueilla on tärkeintä ryhtyä toimiin. Etusijalle voidaan asettaa jo aloitetun työn loppuunsaattaminen, esimerkiksi se, että laaditaan yhteistyössä 29 artiklan mukaisen työryhmän kanssa (jonka korvaa vuonna 2018 Euroopan tietosuojaneuvosto) henkilötietojen käsittelijöiden välisissä yhteyksissä sovellettavat mallisopimuslausekkeet. 45 Voidaan myös kehittää uusia osia EU:n järjestelmään, joka koskee säännösten noudattamisen osoittamista, esimerkiksi siten, että komissio määrittelee sertifiointimekanismien luomista ja toimintaa koskevat vaatimukset ja tekniset standardit, myös kansainvälisiä tiedonsiirtoja koskevien näkökohtien osalta. 46 Joitakin näistä toimista voidaan täydentää kansainvälisellä tasolla tehtävällä työllä, ja erityisesti organisaatiot, jotka ovat kehittäneet vastaavankaltaisia siirtomekanismeja, voisivat olla avuksi näissä asioissa. Olisi esimerkiksi mahdollista tutkia, voitaisiinko yrityksiä sitovia sääntöjä, jotka on laadittu EU:n lainsäädännön nojalla, ja rajat ylittäviä, yksityisyyden suojaan liittyviä sääntöjä, joita on kehitetty Aasian ja Tyynenmeren alueen taloudellisen yhteistyön foorumissa (APEC), lähentää toisiinsa 47 . Tällöin tarkasteltaisiin sekä sovellettavia vaatimuksia että sertifiointien hakumenettelyjä kummassakin järjestelmässä. Tällä tavalla edistettäisiin korkeatasoisia tietosuojanormeja maailmanlaajuisesti samalla kun kurottaisiin umpeen eroavaisuuksia, jotka vallitsevat yksityisyydensuojaa ja tietosuojaa koskevien lähestymistapojen välillä. Lisäksi autettaisiin kaupallisia toimijoita liikkumaan järjestelmästä toiseen ja suunnittelemaan tietosuojaperiaatteita, jotka ovat kummankin järjestelmän mukaisia.

Komissio aikoo toimia seuraavasti:

Komissio tekee yhteistyötä sidosryhmien kanssa kehittääkseen vaihtoehtoisia henkilötietojen siirtomekanismeja, joissa otetaan huomioon eri toimialojen, liiketoimintamallien ja/tai toimijoiden erityiset tarpeet tai olosuhteet.

 

3.3 Henkilötietojen suojaa koskeva kansainvälinen yhteistyö

3.3.1. Tietosuojanormien edistäminen monenvälisten välineiden ja foorumeiden avulla

EU:n tietosuojaa koskeva oikeudellinen kehys on usein ollut vertailukohtana kolmansille maille, jotka ovat kehittäneet lainsäädäntöään tällä alalla. EU jatkaa aktiivisesti vuoropuheluaan kansainvälisten kumppaneidensa kanssa sekä kahden- että monenvälisellä tasolla. Pyrkimyksenä on lisätä lähentymistä kehittämällä maailmanlaajuisia henkilötietojen suojanormeja, jotka ovat korkeatasoisia ja yhteentoimivia. Näin suojataan tehokkaammin yksilöiden oikeuksia samalla kun vähennetään esteitä, jotka kohdistuvat rajat ylittäviin tietovirtoihin, tärkeään vapaakaupan osatekijään.

Erityisesti komissio kannustaa kolmansia maita liittymään Euroopan neuvoston yleissopimukseen N:o 108 ja sen lisäpöytäkirjaan. 48 Tämä yleissopimus, johon myös Euroopan neuvostoon kuulumattomat voivat liittyä ja jonka on tähän mennessä ratifioinut 50 maata, mukaan lukien eräät Afrikan ja Etelä-Amerikan valtiot, 49 on ainoa sitova monenvälinen tietosuoja-alan instrumentti. Sitä tarkistetaan parhaillaan, ja komissio aikoo aktiivisesti edistää uudistetun sopimustekstin ripeää hyväksymistä silmällä pitäen sitä, että EU:sta on tulossa sopimuksen osapuoli. Yleissopimuksessa noudatellaan samoja periaatteita, jotka sisältyvät uusiin EU:n tietosuojasääntöihin, ja siten sillä edistetään lähentymistä kohti korkeatasoisia tietosuojanormeja.

Vuonna 2017 pidettävä G20-maiden kokous tarjoaa EU:lle jälleen tilaisuuden edistää lähentymistä sen periaatteen pohjalta, että korkeatasoiset tietosuojanormit ovat keskeinen osatekijä sellaisen maailmanlaajuisen tietoyhteiskunnan kehittämisessä, joka kykenee luomaan innovointia, kasvua ja sosiaalista hyvinvointia. 50

Komissio odottaa mielenkiinnolla yhteistyötä myös uusien tärkeiden toimijoiden, kuten oikeutta yksityisyyteen käsittelevän YK:n erityisraportoijan 51 kanssa. Komissio aikoo myös edelleen parantaa yhteistyösuhteitaan alueellisten organisaatioiden, kuten APEC:n kanssa ja näin vahvistaa maailmanlaajuista kulttuuria, jossa kunnioitetaan yksityisyyden ja henkilötietojen suojaa.

Kansainvälisellä tasolla komissio pyrkii parantamaan tietoisuutta yksityisyyden suojasta ja kohentamaan henkilötietoja koskevia suojatoimia. Osana tätä laajempaa pyrkimystä komissio hyväksyi 15. marraskuuta 2016 kumppanuusvälinehankkeen, jonka avulla pyritään parantamaan tätä aihetta koskevaa yhteistyötä kumppanimaiden kanssa. 52 Hankkeessa rahoitetaan muun muassa koulutusta ja toimia tietoisuuden lisäämiseksi. Uudistuksensa täytäntöönpanossa EU voi puolestaan hyötyä muiden järjestelmien parhaista käytännöistä ja kokemuksista, jotka koskevat yksityisyyden suojan uusia haasteita ja muotoutumassa olevia oikeudellisia ja teknisiä ratkaisuja. Hyödyllistä tietoa voidaan saada lainvalvonnasta, säännösten noudattamisen osoittamiseen liittyvistä välineistä (kuten sertifiointimekanismeista tai yksityisyyttä koskevista vaikutustenarvioinneista) tai tiettyjen erityisten tietokokonaisuuksien suojasta (kuten lapsia koskevien tietojen suojasta).

3.3.2. Lainvalvontayhteistyö

On yhä tarpeellisempaa lisätä yhteistyötä yksityisyyden suojaan liittyvää lainvalvontaa harjoittavien kolmansien maiden viranomaisten kanssa, sillä monikansalliset yhtiöt, jotka toimivat maailmanlaajuisesti, käsittelevät monissa maissa valtavia määriä henkilötietoja. Usein ongelmat, jotka liittyvät tietosuojasääntöjen rikkomiseen tai tietoturvaloukkauksiin, koskevat samanaikaisesti ihmisiä useammalla kuin yhdellä lainkäyttöalueella. Näissä tapauksissa yksilöitä voidaan suojata tehokkaammin yhteisillä toimilla. Samalla talouden toimijat hyötyisivät selkeämmästä sääntely-ympäristöstä, jossa kehitetään yhteisiä tulkintavälineitä ja lainvalvontakäytäntöjä maailmanlaajuisesti.

Verkostoituneessa maailmassa, jossa tietovirrat eivät tunne rajoja, lainvalvojien on aika tehostaa keskinäistä yhteistyötään. 53 EU on valmis tekemään oman osuutensa. Kuten edellä todettiin, yleisessä tietosuoja-asetuksessa komissiolle annetaan valta kehittää kansainvälisiä yhteistyömekanismeja, joiden avulla henkilötietojen suojaan liittyvän lainsäädännön noudattamista voidaan valvoa tehokkaasti. Tällaisia mekanismeja voivat olla esimerkiksi keskinäisen kansainvälisen avun järjestelyt. Tässä yhteydessä olisi selvitettävä, onko mahdollista laatia puitesopimus, joka koskisi yhteistyötä EU:n tietosuojaviranomaisten ja tiettyjen kolmansien maiden lainvalvontaviranomaisten välillä. Sopimusta laadittaessa olisi otettava huomioon kokemukset, jotka komissio on saanut muilta lainvalvonta-aloilta kuten kilpailusta ja kuluttajansuojasta.

Komissio aikoo toimia seuraavasti:

Komissio edistää Euroopan neuvoston yleissopimuksen N:o 108 uudistetun tekstin ripeää hyväksymistä silmällä pitäen sitä, että EU:sta tulee sopimuksen osapuoli. Komissio kannustaa kolmansia maita liittymään yleissopimukseen.

Komissio hyödyntää monenvälisiä foorumeita kuten Yhdistyneitä kansakuntia, G20-maiden kokousta ja APEC:ia vahvistaakseen maailmanlaajuisesti kulttuuria, jossa kunnioitetaan tietosuojaa koskevia oikeuksia.

Komissio kehittää keskeisten kansainvälisten kumppaneiden kanssa kansainvälisen yhteistyön mekanismeja, joilla edistetään tehokasta lainvalvontaa.

4. Tehokkaampaa lainvalvontayhteistyötä, jossa sovelletaan vahvoja henkilötietoihin liittyviä suojatoimia

Henkilötietojen vaihdot ovat olennaisia, kun rikoksia torjutaan ja tutkitaan ja syytteitä nostetaan. Verkostoituneessa maailmassa, jossa rikollisuus harvemmin pysähtyy kansallisilla rajoilla, henkilötietojen ripeä vaihto on keskeistä, jotta lainvalvontayhteistyö olisi tuloksellista ja rikollisuuteen voitaisiin puuttua tehokkaasti. Henkilötietojen vaihdon on perustuttava vahvoihin suojatoimiin. Suojatoimien avulla myös lisätään lainvalvontaviranomaisten välistä luottamusta ja parannetaan oikeusvarmuutta tilanteissa, joissa tietoja kerätään ja/tai vaihdetaan.

Poliisidirektiivissä olevat kansainvälisiä tiedonsiirtoja koskevat säännöt säätelevät tiedonvaihtoja EU:n valvontaviranomaisten ja EU:n ulkopuolisten maiden lainvalvontaviranomaisten välillä. Säädöksellä katetaan myös erityistilanteita, joissa tiedonsiirtoja tehdään lainvalvontaviranomaisilta muille yksiköille. Direktiivissä säädetään nyt mahdollisuudesta antaa tietosuojan tason riittävyyttä koskevia toteamuksia rikosoikeudellisen lainvalvonnan alalla. Komissio aikoo edistää tällaisia riittävyystoteamuksia niiden kolmansien maiden osalta, jotka täyttävät vaatimukset, ja varsinkin niiden maiden osalta, joiden kanssa on tehtävä läheistä ja ripeää yhteistyötä rikollisuuden ja terrorismin torjunnassa ja joihin jo nyt siirretään merkittäviä määriä henkilötietoja. Tältä pohjalta komissio neuvottelee riittävyyspäätöksistä ensisijassa niiden kolmansien maiden kanssa, jotka ovat keskeisiä kumppaneita näissä pyrkimyksissä.

Menestyksekäs esimerkki vaihtoehtoisesta toimintamallista on joulukuussa 2016 EU:n ja Yhdysvaltojen välillä tehty tietosuojaa koskeva puitesopimus 54 . Siinä vahvistetaan lainvalvontayhteistyötä merkittävän kansainvälisen kumppanin kanssa samalla kun sovitaan vahvoista henkilötietoja koskevista suojatoimista. Puitesopimus merkitsee sitä, että nyt voimassa olevia oikeudellisia välineitä, joihin tiedonvaihdot perustuvat, erityisesti EU:n ja jäsenvaltioiden kahdenvälisiä sopimuksia, täydennetään automaattisesti. Näin puitesopimus tuo välittömästi suoria etuja yksilöille ja helpottaa tiedonvaihtoja ja siten vahvistaa lainvalvontayhteistyötä. Puitesopimuksella luodaan peruslähtökohta tuleville tiedonsiirtojärjestelyille Yhdysvaltojen kanssa, ja tästä syystä ei ole enää myöskään tarpeen neuvotella samoista suojatoimista aina uudelleen. Puitesopimus on ensimmäinen kahdenvälinen kansainvälinen sopimus, jossa luetellaan kattavasti EU:n säännöstön mukaiset tietosuojaoikeudet ja -velvollisuudet. Sen takia se voi toimia perustana neuvoteltaessa samanlaisia sopimuksia kolmansien maiden kanssa ei vain oikeudellisen ja poliisiyhteistyön alalla vaan myös muilla julkisoikeudellisen lainvalvonnan aloilla (esimerkiksi kilpailupolitiikan ja kuluttajansuojan alalla). Näin katettaisiin paitsi hallitusten väliset tiedonvaihdot myös tiedonsiirrot yksityisten yritysten ja lainvalvontaviranomaisten välillä. EU:n olisi myös helpompaa tehdä sopimuksia tiedonvaihdosta asianomaisten EU:n virastojen (varsinkin Europolin ja Eurojustin) ja kolmansien maiden välillä. 55 Niinpä komissio aikoo selvittää, onko mahdollista tehdä samanlaisia puitesopimuksia muiden keskeisten lainvalvontakumppaneiden kanssa.

Poliisidirektiivissä säädetään lisäksi, että EU:n lainvalvontaviranomaiset voivat pyytää tietoja suoraan kolmannessa maassa olevalta yksityiseltä yritykseltä ja että ne voivat pyyntönsä yhteydessä luovuttaa henkilötietoja (yleensä nimen tai IP-osoitteen). Tätä mahdollisuutta käytettäessä sovelletaan tiukkoja suojatoimia, ja tällainen pyyntö tulee kyseeseen vain erityisissä olosuhteissa. 56 Vastaavasti yleisessä tietosuoja-asetuksessa säädetään nimenomaisesti tapauksista, joissa EU:ssa olevat yksityiset toimijat siirtävät pyynnöstä henkilötietoja kolmannen maan lainvalvontaviranomaiselle. Tällaiset tiedonsiirrot EU:n ulkopuolelle sallitaan ainoastaan tietyin edellytyksin, esimerkiksi jos siirto perustuu kansainväliseen sopimukseen tai jos tietojen luovuttaminen on tarpeen sellaisen merkittävän julkiseen etuun liittyvän syyn takia, josta on säädetty unionin tai jäsenvaltion lainsäädännössä. 57

Viranomaisten välinen yhteistyö on keskeistä rikosten ja terrorismin tutkinnassa ja kyseisiä tekoja koskevien syytteiden nostamisessa. Tätä seikkaa korostetaan neuvoston päätelmissä, jotka koskevat rikosoikeudellisten toimien tehostamista kybertoimintaympäristössä. Neuvosto on kehottanut komissiota ryhtymään konkreettisiin toimiin – EU:n yhteisen lähestymistavan pohjalta – palveluntarjoajien kanssa tehtävän yhteistyön parantamiseksi ja keskinäisen oikeusavun tehostamiseksi. Lisäksi komission olisi ehdotettava ratkaisuja kysymykseen, miten lainkäyttöalue määritellään ja lainvalvonta toteutetaan kybertoimintaympäristössä. 58 Nämä toimet kattavat tiedonvaihdot EU:ssa olevien lainvalvontaviranomaisten ja palveluntarjoajien välillä sekä tiedonvaihdot yritysten ja EU:n ulkopuolisten maiden viranomaisten kanssa. Komissio esittää kesäkuussa 2017 suunnitelmansa vaihtoehdoista, joita voitaisiin soveltaa pääsyssä sähköiseen todistusaineistoon. Tällöin komissio ottaa huomioon sen, että yhteistyön on oltava ripeää ja luotettavaa mutta että sen on perustuttava poliisidirektiivissä ja yleisessä tietosuoja-asetuksessa oleviin vahvoihin tietosuojanormeihin. Sekä EU:n sisäisiä tilanteita että kansainvälisiä siirtoja tarkastellaan.

Europolia koskevan uuden oikeusperustan mukaisesti komissio lisäksi arvioi määräyksiä, jotka sisältyvät Europolin ja kolmansien osapuolten välisiin, neuvoston päätöksen 2009/371/YOS nojalla tehtyihin operatiivista yhteistyötä koskeviin sopimuksiin, mukaan lukien sopimusten tietosuojamääräykset. 59 Kuten vuonna 2015 hyväksytyssä Euroopan turvallisuusagendassa todetaan, myös unionin tulevassa suhtautumisessa matkustajarekisteritietojen vaihtoon EU:n ulkopuolisten maiden kanssa otetaan huomioon tarve soveltaa yhdenmukaisia normeja ja suojata tiettyjä perusoikeuksia. Komissio aikoo työstää oikeudellisesti vakaita ja kestäviä ratkaisuja matkustajarekisteritietojen vaihtamiseksi kolmansien maiden kanssa, esimerkiksi matkustajarekistereitä koskevia mallisopimuksia, joissa määrätään, mitä vaatimuksia kolmansien maiden on täytettävä voidakseen vastaanottaa matkustajarekisteritietoja EU:sta. Kaikki tulevat politiikkaratkaisut tällä alalla kuitenkin riippuvat erityisesti tulossa olevasta Euroopan unionin tuomioistuimen lausunnosta EU:n ja Kanadan matkustajarekisterisopimusluonnokseen. 60  

Tehokkaampaa lainvalvontayhteistyötä, jossa sovelletaan vahvoja henkilötietoihin liittyviä suojatoimia

Komissio aikoo toimia seuraavasti:

Komissio hyödyntää poliisidirektiivissä säädettyä mahdollisuutta, jonka mukaan vaatimukset täyttävistä kolmansista maista voidaan antaa tietosuojan tason riittävyyttä koskeva päätös.

Komissio neuvottelee lainvalvonta-alaan liittyvistä sopimuksista merkittävien kansainvälisten kumppaneidensa kanssa noudattaen Yhdysvaltojen kanssa tehdyn puitesopimuksen mallia.

Komissio ryhtyy jatkotoimiin niiden neuvoston päätelmien johdosta, jotka koskevat rikosoikeudellisten toimien tehostamista kybertoimintaympäristössä, ja tässä tarkoituksessa pyrkii helpottamaan sähköisen todistusaineiston rajat ylittäviä vaihtoja, joiden toteuttamisessa noudatetaan tietosuojasääntöjä.

5. Päätelmät

Henkilötietojen suojaaminen ja vaihtaminen eivät sulje toisiaan pois. Vahvat tietosuojajärjestelmät helpottavat tietovirtoja, sillä niiden myötä kuluttajat luottavat enemmän sellaisiin yrityksiin, jotka ovat huolellisia asiakkaidensa henkilötietojen käsittelyssä. Korkeatasoiset tietosuojanormit ovat niin ollen etu maailmanlaajuisessa digitaalitaloudessa. Tilanne on sama myös lainvalvontayhteistyössä, sillä yksityisyyden suojatoimet ovat olennainen osa tehokasta ja ripeää tiedonvaihtoa, jota tarvitaan taistelussa rikoksia vastaan ja joka perustuu keskinäiseen luottamukseen ja oikeusvarmuuteen.

Sen jälkeen kun EU on saanut valmiiksi omien tietosuojasääntöjensä uudistuksen, sen olisi ryhdyttävä keskustelemaan näistä asioista kolmansien maiden kanssa. EU:n olisi pyrittävä edistämään sitä, että eri maiden tietosuojaperiaatteita lähennetään ylöspäin, ja toimittava tämän pyrkimyksen mukaisesti sekä kahden- että monenvälisellä tasolla. Tämä on sekä kuluttajien että yritysten etu ja hyöty. Uuden tietosuojaa koskevan lainsäädäntökehyksen myötä EU saa tarpeelliset ja soveltuvat välineet näiden tavoitteiden saavuttamiseksi. Tässä tiedonannossa selostetun strategisen lähestymistavan pohjalta komissio ryhtyy aktiivisesti selvittämään keskeisten kolmansien maiden kanssa, onko mahdollista hyväksyä tietosuojan taso riittävyyttä koskevia toteamuksia. Tämä työ aloitetaan Japanista ja Koreasta vuonna 2017, ja tavoitteena on vahvistaa maiden säännösten lähentymistä EU:n normien kanssa ja parantaa kauppasuhteita. Samaan aikaan EU aikoo hyödyntää täysimääräisesti erilaisia vaihtoehtoisia siirtovälineitä, jotta tietosuojaoikeudet turvataan ja taloudellisia toimijoita tuetaan silloin kun tietoja siirretään maihin, joiden kansallisessa lainsäädännössä ei taata tietosuojan riittävää tasoa. Kyseisillä välineillä olisi edelleen helpotettava myös EU:n valvontaviranomaisten (mukaan lukien lainvalvontaviranomaisten) ja niiden kansainvälisten kumppaneiden yhteistyötä. Komissio varmistaa, että EU:n tietosuojapolitiikka on sekä sisäisen että ulkoisen ulottuvuutensa osalta johdonmukaista. Komissio edistää vahvaa tietosuojaa kansainvälisellä tasolla ja pyrkii näin parantamaan lainvalvontayhteistyötä, edistämään vapaakauppaa ja kehittämään korkeatasoisia henkilötietojen suojanormeja maailmanlaajuisesti.

(1)

     Euroopan parlamentin ja neuvoston direktiivi 95/46/EY, annettu 24 päivänä lokakuuta 1995, yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (EYVL L 281, 23.11.1995).

(2)

     Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (EUVL L 119, 4.5.2016, s. 1–88). Asetus tuli voimaan 24. toukokuuta 2016, ja sitä sovelletaan 25. toukokuuta 2018 alkaen.

(3)

     Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta (EUVL L 119, 4.5.2016, s. 89–131). Direktiivi tuli voimaan 5. toukokuuta 2016. EU:n jäsenvaltioiden on saatettava se osaksi kansallista lainsäädäntöään viimeistään 6. toukokuuta 2018.

(4)

     Ks. YK:n kauppa- ja kehityskonferenssin vuonna 2016 julkaisema selvitys tietosuojalainsäädännöstä ja kansainvälisistä tietovirroista ja niiden vaikutuksesta kauppaan ja kehitykseen (Data protection regulations and international data flows: Implications for trade and development, UNCTAD, 2016). Selvitys on osoitteessa http://unctad.org/en/PublicationsLibrary/dtlstict2016d1_en.pdf

(5)

     Komission työohjelma 2017 EU, joka suojelee, puolustaa ja tarjoaa mahdollisuuksia (COM(2016) 710 final, 25.10.2016, s. 12 ja liite 1).

(6)

     Komission tiedonanto Euroopan parlamentille, neuvostolle, Euroopan talous- ja sosiaalikomitealle ja alueiden komitealle Euroopan turvallisuusagenda (COM(2015) 185 final, 28.4.2015).

(7)

     Euroopan unionin tuomioistuimen tuomio 6.10.2015, Maximillian Schrems v. Data Protection Commissioner, C-362/14, ECLI:EU:C:2015:650, 73, 74 ja 96 kohta. Ks. myös yleisen tietosuoja-asetuksen johdanto-osan 104 kappale ja poliisidirektiivin johdanto-osan 67 kappale, joissa viitataan vaatimukseen olennaisesta vastaavuudesta.

(8)

     Ks. yleisen tietosuoja-asetuksen 45 artikla. Kuten 45 artiklan 2 kohdassa säädetään, arvioidessaan tietosuojan riittävyyttä komission on otettava huomioon muun muassa seuraavat seikat: oikeusvaltioperiaatteen noudattaminen ja ihmisoikeuksien ja perusvapauksien kunnioittaminen sekä asiaankuuluva lainsäädäntö, joka koskee muun muassa tietosuojaa, yleistä turvallisuutta, puolustusta, kansallista turvallisuutta ja rikosoikeutta sekä viranomaisten pääsyä henkilötietoihin. Näiden seikkojen on pohjauduttava seuraaviin tekijöihin: yksilöiden tehokkaat ja täytäntöönpanokelpoiset oikeudet, mukaan lukien tehokkaat hallinnolliset ja oikeudelliset muutoksenhakukeinot, sekä tehokkaasti toimiva riippumaton valvontaviranomainen, joka vastaa tietosuojasääntöjen noudattamisen varmistamisesta ja valvonnasta. Huomioon otetaan myös osallistuminen oikeudellisesti sitoviin yleissopimuksiin, erityisesti Euroopan neuvoston yleissopimukseen N:o 108, ja monenvälisiin tai alueellisiin tietosuojajärjestelmiin.

(9)

     Ks. poliisidirektiivin 36 artiklan 2 kohta erityisistä seikoista, joiden perusteella tietosuojan riittävyyttä arvioidaan.

(10)

     Ks. yleisen tietosuoja-asetuksen 45 artiklan 1 kohta ja poliisidirektiivin 36 artiklan 1 kohta.

(11)

     Ks. esimerkiksi komission tiedonanto Euroopan parlamentille ja neuvostolle direktiiviin 95/46/EY perustuvasta henkilötietojen siirtämisestä EU:sta Yhdysvaltoihin unionin tuomioistuimen asiassa C-362/14 (Schrems) antaman tuomion johdosta (COM(2015) 566 final, 6.11.2015).

(12)

     Mallisopimuslausekkeilla vahvistetaan keskinäiset tietosuojavelvoitteet, joita EU:ssa olevan tietojen viejän ja kolmannessa maassa olevan tietojen tuojan on noudatettava.

(13)

     Yrityksiä sitovat säännöt ovat monikansallisen yritysryhmän sisäisiä sääntöjä, joiden nojalla siirretään tietoja saman konsernin sisällä. Tietoja vastaanottavat yksiköt ovat tällöin maissa, joissa tietosuojan taso ei ole riittävä. Vaikka yrityksiä sitovia sääntöjä on jo hyödynnetty vuoden 1995 direktiivin nojalla, yleisessä tietosuoja-asetuksessa kodifioidaan ja virallistetaan niiden asema tiedonsiirtovälineenä.

(14)

     Ks. yleisen tietosuoja-asetuksen 46 artiklan 2 kohdan c ja d alakohta ja johdanto-osan 168 kappale.

(15)

     Ks. yleisen tietosuoja-asetuksen 46 artiklan 2 kohdan b alakohta ja 47 artikla sekä johdanto-osan 110 kappale.

(16)

     Ks. yleisen tietosuoja-asetuksen 46 artiklan 2 kohta.

(17)

     Sitä, että rekisteröintivaatimukset muodostavat kaupankäynnin esteen monille yrityksille, korostetaan esimerkiksi YK:n kauppa- ja kehityskonferenssin raportin sivulla 34.

(18)

     Ks. yleisen tietosuoja-asetuksen 46 artiklan 2 kohdan e ja f alakohta.

(19)

     EU:n ulkopuolella toimiva rekisterinpitäjä voi ryhtyä noudattamaan EU:ssa hyväksyttyjä käytännesääntöjä tai sertifiointimekanismeja antamalla sitovia ja täytäntöönpanokelpoisia sitoumuksia, jotka voivat perustua sopimuksiin tai muihin oikeudellisesti sitoviin velvoitteisiin ja joiden mukaan rekisterinpitäjä soveltaa kyseisissä välineissä noudatettavia henkilötietoihin liittyviä suojatoimia. Ks. yleisen tietosuoja-asetuksen 42 artiklan 2 kohta.

(20)

     Ks. yleisen tietosuoja-asetuksen 46 artiklan 2 kohdan a alakohta ja 3 kohdan b alakohta.

(21)

     Ks. yleisen tietosuoja-asetuksen 49 artikla.

(22)

     Ks. 49 artiklan 1 kohdan toinen alakohta.

(23)

     Ks. yleisen tietosuoja-asetuksen 50 artikla.

(24)

     Ks. esimerkiksi komission tiedonanto Euroopan parlamentille, neuvostolle, Euroopan talous- ja sosiaalikomitealle ja alueiden komitealle Kaikkien kauppa. Vastuullisempaa kauppa- ja investointipolitiikkaa (COM(2015) 497 final, 14.10.2015, s. 7).

(25)

     Erityiseurobarometri 431 – Tietosuoja, kesäkuu 2015.

(26)

     Puheenjohtaja Jean-Claude Junckerin poliittiset suuntaviivat: Uusi alku Euroopalle: Työllisyyden, kasvun, oikeudenmukaisuuden ja demokraattisen muutoksen ohjelma.

(27)

     Ks. alaviite 7.

(28)

     Ks. asiassa Schrems annetun tuomion 74 kohta.

(29)

     Komission täytäntöönpanopäätös (EU) 2016/1250, annettu 12 päivänä heinäkuuta 2016.

(30)

     Komissio kannustaa Yhdysvaltoja pyrkimään kohti kattavaa yksityisyyden suojan ja tietosuojan järjestelmää, joka voisi lähentyä EU:n järjestelmää pidemmällä aikavälillä. Ks. komission tiedonanto Euroopan parlamentille ja neuvostolle Transatlanttiset tietovirrat: luottamuksen palauttaminen vahvoilla suojatoimilla (COM(2016) 117 final, 29.2.2016).

(31)

     Tähän liittyviä toimia ovat varsinkin presidentin määräyksen 28 (PPD-28) soveltaminen ja erityisen oikeusasiamiehen tehtävän perustaminen. Presidentin määräyksessä säädetään eräistä rajoituksista ja suojatoimista, joita sovelletaan ns. signaalitiedusteluun. Oikeusasiamies puolestaan käsittelee EU:n kansalaisten näihin kysymyksiin liittyviä valituksia.

(32)

     Ks. G. Greenleafin artikkeli tietosuojaa ja yksityisyyttä koskevista laeista maailmassa vuonna 2015 (Global data privacy laws 2015: 109 countries, with European laws now in a minority, 2015, 133 Privacy Laws & Business International Report), s. 14–17.

(33)

     YK:n kauppa- ja kehityskonferenssin selvitys, s. 8 ja 42 (ks. alaviite 4 edellä).

(34)

     Kun komissio arvioi tietosuojan tason riittävyyttä, se ottaa huomioon myös kolmannen maan velvoitteet, jotka johtuvat oikeudellisesti sitovista yleissopimuksista ja erityisesti maan liittymisestä yleissopimukseen N:o 108 ja sen lisäpöytäkirjaan. Ks. yleisen tietosuoja-asetuksen 45 artiklan 2 kohdan c alakohta ja johdanto-osan 105 kappale.

(35)

     Niiden maiden osalta, joiden kanssa on mielekästä tehdä sisäiseen turvallisuuteen ja lainvalvontaan liittyvää yhteistyötä, komissio selvittää, onko mahdollista antaa erityinen tietosuojan tason riittävyyttä koskeva toteamus poliisidirektiivin nojalla (ks. 4 jakso).

(36)

     Tämä voi olla erityisen tärkeää kehitys- ja siirtymätalousmaille, sillä henkilötietojen suoja on oikeusvaltion keskeinen osa ja tärkeä taloudellisen kilpailukyvyn osatekijä.

(37)

     Japani ja Korea ovat äskettäin hyväksyneet uutta tai uudistaneet vanhaa lainsäädäntöä ja tällöin ottaneet käyttöön kattavat tietosuojasäännöt.

(38)

     Yleisen tietosuoja-asetuksen 45 artiklan 4 ja 5 kohdassa edellytetään, että komissio seuraa jatkuvasti kehitystä kolmansissa maissa. Kyseisissä lainkohdissa annetaan komissiolle valta kumota ja muuttaa tietosuojan tason riittävyyttä koskeva päätös tai lykätä sen voimaantuloa, jos komissio toteaa, että asianomainen maa ei enää tarjoa tietosuojan riittävää tasoa.

(39)

     Yleisen tietosuoja-asetuksen 45 artiklan 3 kohta.

(40)

     Yleisen tietosuoja-asetuksen 97 artiklan 2 kohdan a alakohdassa edellytetään myös, että komissio antaa arviointikertomuksen Euroopan parlamentille ja neuvostolle viimeistään vuonna 2020.

(41)

     Asiassa Schrems annetussa tuomiossa todettiin, että komissio oli ylittänyt toimivaltansa rajoittamalla kansallisten tietosuojaviranomaisten valtuuksia keskeyttää tai kieltää Safe Harbour -päätöksen mukaiset tiedonsiirrot. Tilanteen korjaamiseksi komissio antoi 16. joulukuuta 2016 ns. koontipäätöksen. Sillä muutettiin voimassa olevia riittävyyspäätöksiä siten, että niistä poistettiin mainitun kaltaiset tietosuojaviranomaisten valtuuksia rajoittavat säännökset ja ne korvattiin säännöksillä, joissa pelkästään säädettiin ilmoittamisvelvollisuuksista jäsenvaltioiden ja komission välillä silloin kun kansallinen tietosuojaviranomainen keskeyttää tai kieltää tiedonsiirrot kolmanteen maahan. Koontipäätöksessä myös edellytetään, että komissio seuraa asiaan liittyvää kehitystä kolmannessa maassa. Ks. EUVL L 344, 17.12.2016, s. 83.

(42)

     On erityisesti todettava, että riittävyystoteamus on yksipuolinen täytäntöönpanopäätös, jonka komissio antaa EU:n tietosuojalakien nojalla ja niissä esitettyjen kriteerien mukaisesti.

(43)

     Ks. tiedonanto Kaikkien kauppa. Vastuullisempaa kauppa- ja investointipolitiikkaa, s. 12 (ks. alaviite 24 edellä).

(44)

     Ks. yleisen tietosuoja-asetuksen 46 artiklan 2 kohdan c ja d alakohta ja johdanto-osan 109 kappale, joissa selvennetään, että hyväksyttyjä mallilausekkeita voidaan mukauttaa, jos mukautukset eivät ole suoraan tai välillisesti ristiriidassa kyseisten mallilausekkeiden kanssa eivätkä rajoita yksilöiden perusoikeuksia
tai -vapauksia.

(45)

     Tällä hetkellä ei ole mallisopimuslausekkeita, jotka koskisivat EU:ssa toimivien henkilötietojen käsittelijöiden ja EU:n ulkopuolisessa maassa toimivien henkilötietojen käsittelijöiden välisiä siirtoja.

(46)

     Yleisen tietosuoja-asetuksen 43 artiklan 8 ja 9 kohta.

(47)

     Ks. EU:n ja APEC:n vuonna 2014 yhdessä laatima asiakirja, jossa vertaillaan EU:n yrityksiä sitovien sääntöjen ja APEC:n rajat ylittävien, yksityisyyden suojaan liittyvien sääntöjen rakennetta. Vertailun kohteena ovat kyseisiin järjestelmiin sisältyvät, sääntöjen noudattamista ja sertifiointeja koskevat vaatimukset. Asiakirja on saatavilla osoitteessa http://www.apec.org/~/media/Files/Groups/ECSG/20140307_Referential-BCR-CBPR-reqs.pdf

(48)

     Euroopan neuvoston yleissopimus, tehty 28 päivänä tammikuuta 1981, yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä (ETS 180) ja vuonna 2001 tehty yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä tehdyn yleissopimuksen valvontaviranomaisia ja rajat ylittäviä tietovirtoja koskeva lisäpöytäkirja (ETS 181).

(49)

     Mauritius, Senegal ja Uruguay ovat ratifioineet yleissopimuksen. Lisäksi Cabo Verdeä, Marokkoa ja Tunisiaa on pyydetty liittymään yleissopimukseen.

(50)

   Ks. myös OECD:n ministerijulkilausuma, jonka aiheena on digitaalitalous sekä innovointi, kasvu ja sosiaalinen hyvinvointi (Cancun declaration: Digital Economy – Innovation, Growth and Social Prosperity, 23.6.2016).

(51)

     Ks. http://www.ohchr.org/EN/Issues/Privacy/SR/Pages/SRPrivacyIndex.aspx .

(52)

     Kumppanuusvälineen vuotuisen toimintaohjelman 2016 toisen vaiheen hyväksymisestä annettu komission täytäntöönpanopäätös C(2016) 7198.

(53)

     Yksi tällä hetkellä toimivista verkostoista on yksityisyyden suojaa koskevan lainvalvonnan maailmanlaajuinen verkosto (Global Privacy Enforcement Network, GPEN), joka on perustettu vuonna 2010 OECD:n yhteyteen. Kyseessä on yksityisyyden suojaan liittyvää lainvalvontaa harjoittavien viranomaisten epävirallinen verkosto, johon EU:n tietosuojaviranomaiset osallistuvat. Verkoston tehtäviin kuuluu muun muassa lainvalvontayhteistyö, rajat ylittäviä tilanteita koskevien parhaiden käytäntöjen levittäminen sekä yhteisten lainvalvonta-aloitteiden ja tietoisuuden lisäämiseen tähtäävien kampanjoiden tukeminen. Verkostossa ei luoda uusia oikeudellisesti sitovia velvoitteita osallistujille vaan keskitytään lähinnä yhteistyön parantamiseen sellaisten lakien valvonnassa, joilla säännellään yksityisyyden suojaa yksityissektorilla. Ks. https://privacyenforcement.net/ .

(54)

     EU:n ja Yhdysvaltojen sopimus henkilötietojen suojasta tilanteissa, joissa niitä siirretään ja käsitellään rikoksien ja terrorismin estämiseksi, tutkimiseksi, havaitsemiseksi ja niistä syyttämiseksi rikosasioissa tehtävän poliisi- ja oikeudellisen yhteistyön yhteydessä. Ks. http://ec.europa.eu/justice/data-protection/files/dp-umbrella-agreement_en.pdf (ns. puitesopimus).

(55)

     Operatiivisten sopimusten tekeminen Europolin ja Eurojustin kanssa on myös ollut mittapuu tiettyjen kolmansien maiden kanssa käytävissä viisumipakon poistamista koskevissa vuoropuheluissa, esimerkiksi Turkin kanssa meneillään olevissa neuvotteluissa.

(56)

     Ks. poliisidirektiivin 39 artikla ja johdanto-osan 73 kappale.

(57)

     Ks. yleisen tietosuoja-asetuksen 48 artikla ja johdanto-osan 115 kappale.

(58)

     Euroopan unionin neuvostossa 9. kesäkuuta 2016 hyväksytyt päätelmät rikosoikeudellisten toimien tehostamisesta kybertoimintaympäristössä (www.consilium.europa.eu/en/meetings/jha/2016/06/cyberspace--en_pdf/). Komissio on antanut näitä asioita koskevan tilannekatsauksen neuvostolle joulukuussa 2016, ja sen on määrä esitellä konkreettiset tuloksensa neuvostolle kesäkuuhun 2017 mennessä.

(59)

     Ks. Euroopan unionin lainvalvontayhteistyövirastosta (Europol) sekä neuvoston päätösten 2009/371/YOS, 2009/934/YOS, 2009/935/YOS, 2009/936/YOS ja 2009/968/YOS korvaamisesta ja kumoamisesta 11 päivänä toukokuuta 2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/794 25 artiklan 4 kohta (EUVL L 135, 24.5.2016, s. 53–114). Komission on esitettävä viimeistään 14. kesäkuuta 2021 arviointikertomus Europolin yhteistyösopimuksista, jotka on tehty ennen 1. toukokuuta 2017.

(60)

     Unionin tuomioistuimen lausunto vuonna 2014 laaditusta luonnoksesta EU:n ja Kanadan matkustajarekisterisopimukseksi (lausunto 1/15). Lausuntoa on pyytänyt Euroopan parlamentti, ja tuomioistuinta on pyydetty arvioimaan, onko sopimusluonnos EU:n perusoikeuskirjan mukainen.