This document is an excerpt from the EUR-Lex website
Document 52007DC0087
Communication from the Commission to the European Parliament and the Council on the follow-up of the Work Programme for better implementation of the Data Protection Directive
Komission tiedonanto Euroopan parlamentille ja neuvostolle - Tietosuojadirektiivin tehokkaampaa soveltamista koskevan työohjelman seurannasta
Komission tiedonanto Euroopan parlamentille ja neuvostolle - Tietosuojadirektiivin tehokkaampaa soveltamista koskevan työohjelman seurannasta
/* KOM/2007/0087 lopull. */
Komission tiedonanto Euroopan parlamentille ja neuvostolle - Tietosuojadirektiivin tehokkaampaa soveltamista koskevan työohjelman seurannasta /* KOM/2007/0087 lopull. */
[pic] | EUROOPAN YHTEISÖJEN KOMISSIO | Bryssel 7.3.2007 KOM(2007) 87 lopullinen KOMISSION TIEDONANTO EUROOPAN PARLAMENTILLE JA NEUVOSTOLLE tietosuojadirektiivin tehokkaampaa soveltamista koskevan työohjelman seurannasta KOMISSION TIEDONANTO EUROOPAN PARLAMENTILLE JA NEUVOSTOLLE tietosuojadirektiivin tehokkaampaa soveltamista koskevan työohjelman seurannasta (ETA:n kannalta merkityksellinen teksti) Direktiivi 95/46/EY[1] muodosti ratkaisevan käänteen henkilötietojen suojan kehityksessä. Kyseisessä direktiivissä tietosuojasta tehtiin perusoikeus Euroopan neuvoston yleissopimuksen 108[2] antaman esikuvan mukaisesti. Komissio totesi direktiivin 33 artiklan mukaisessa direktiivin täytäntöönpanosta antamassaan ensimmäisessä kertomuksessa[3], ettei lainsäädäntömuutoksia tarvittu. Se katsoi kuitenkin, että direktiivin soveltamisessa oli edelleen paljon parantamisen varaa ja että työtä tilanteen korjaamiseksi oli tämän vuoksi jatkettava. Komission antama kertomus sisälsi tietosuojadirektiivin tehokkaampaa soveltamista koskevan työohjelman . Oikeus henkilötietojen suojaan tunnustetaan Euroopan perusoikeuskirjan 8 artiklassa itsenäiseksi oikeudeksi. Tässä tiedonannossa tarkastellaan tätä taustaa vasten, miten työohjelman toteuttamisessa on edistytty, mikä on tilanne tällä hetkellä ja millaisten edellytysten on tulevaisuudessa täytyttävä, jotta tämä oikeus toteutuisi eri politiikanaloilla. Komissio katsoo, että direktiivi muodostaa sisällöltään asianmukaisen ja teknologiasta riippumattoman yleisen oikeudellisen kehyksen. Henkilötietojen korkeatasoisen suojan kaikkialla EU:ssa varmistavista yhdenmukaistetuista säännöistä on ollut runsaasti hyötyä kansalaisille, yrityksille ja viranomaisille. Ne suojaavat yksilöitä yleiseltä tarkkailulta ja sellaiselta syrjinnältä, joka perustuu yksilöä koskeviin muiden hallussa oleviin tietoihin. Jotta sähköinen kauppa voisi kehittyä, kuluttajien on voitava luottaa siihen, ettei heidän kaupan yhteydessä luovuttamiaan henkilötietoja käytetä väärin. Yritykset voivat toimia ja hallintoviranomaiset tehdä yhteistyötä kaikkialla yhteisössä ilman, että niiden tarvitsee pelätä kansainvälisen toimintansa keskeytyvän sen vuoksi, että henkilötietoja, joita niiden tarvitsee vaihtaa, ei ole suojattu luovuttavassa tai vastaanottavassa maassa. Komissio seuraa direktiivin soveltamista myös vastaisuudessa ja tekee myös jatkossa yhteistyötä kaikkien sidosryhmien kanssa poistaakseen sääntelyssä jäsenvaltioiden välillä esiintyvät erot. Lisäksi se arvioi edelleen sitä, onko eri aloilla tarpeen antaa alakohtaista lainsäädäntöä tietosuojaperiaatteiden soveltamiseksi uusiin teknisiin ratkaisuihin ja yleisen turvallisuuden varmistamiseksi. 1. TYÖOHJELMALLA TÄHÄN MENNESSÄ SAAVUTETUT TULOKSET Ensimmäisen kertomuksen julkaisemisen jälkeen toimia on toteutettu seuraavassa luetelluilla 10 osa-alueella[4]. Toimi 1: Jäsenvaltioiden ja tietosuojaviranomaisten kanssa käytävät keskustelut Komissio on käynyt jäsenvaltioiden kanssa suunnitelmallista vuoropuhelua, jossa on tarkasteltu direktiivin saattamista osaksi kansallista lainsäädäntöä. Se on tässä yhteydessä analysoinut tarkkaan jäsenvaltioiden lainsäädäntöä ja käynyt jäsenvaltioiden viranomaisten kanssa keskusteluja, joiden tarkoituksena on ollut saattaa kansallinen lainsäädäntö vastaamaan kaikilta osin direktiivin vaatimuksia. Toimi 2: Ehdokasmaiden osallistuminen direktiivin soveltamista tehostaviin ja yhtenäistäviin toimiin Ehdokasmaiden edustajat osallistuivat maiden liittymistä edeltävällä jaksolla tietosuojadirektiivin 31 artiklalla perustetun jäsenvaltioiden edustajien komitean toimintaan samaan tapaan kuin kyseisten maiden edustajat olivat jo vuodesta 2002 osallistuneet 29 artiklalla perustetun tietosuojatyöryhmän[5] toimintaan. Komissio on tehnyt näiden maiden viranomaisten kanssa läheistä yhteistyötä kansallisen lainsäädännön antamiseen liittyvissä kysymyksissä ja tarjonnut niille ohjeistusta siitä, miten ne voivat saattaa lainsäädäntönsä yhteisön säännöstön mukaiseksi varmistaakseen, että rikkomisesta johtuvien menettelyjen määrä jää mahdollisimman vähäiseksi. Toimi 3: Direktiivin täytäntöönpanosäädöksiä ja direktiivin 26 artiklan 2 kohdan mukaisesti myönnettyjä lupia koskevien ilmoitusten parantaminen Komissio on saanut jäsenvaltioiden kanssa toimen 1 mukaisesti käydyn suunnitelmallisen vuoropuhelun ansiosta entistä selkeämmän ja kokonaisvaltaisemman kuvan tietosuojadirektiivin kansallisista täytäntöönpanosäädöksistä, joihin sisältyvät myös johdettuun oikeuteen ja alakohtaiseen lainsäädäntöön kuuluvat säädökset. Komissio ehdotti jäsenvaltioille elokuussa 2003 lähettämässään kirjeessä yhteisiä toimintaperiaatteita, joita jäsenvaltioiden olisi käytännössä noudatettava tehdessään ilmoituksia direktiivin 26 artiklan 3 kohdan nojalla. Tästä on ollut seurauksena se, että eräiltä jäsenvaltioilta saadaan nyt aikaisempaa enemmän ilmoituksia. Komissio on lisäksi julkistanut verkkosivuillaan jäsenvaltioissa laadittuja keskeisiä toimintapoliittisia asiakirjoja sekä kansallisia päätöksiä ja suosituksia. Näin on edistetty parhaiden käytänteiden ja tietojen vaihtoa jäsenvaltioiden viranomaisten välillä. Toimi 4: Soveltamisen valvonta Tietosuojatyöryhmä on soveltamisen valvonnasta antamassaan julkilausumassa hyväksynyt periaatteen, jonka mukaan valvontatoimet toteutetaan samanaikaisesti kaikkialla EU:ssa, ja vahvistanut kriteerit, joiden perusteella päätetään kulloinkin tutkittavista kysymyksistä. Maaliskuussa 2006 kansalliset tietosuojaviranomaiset aloittivat yhteisen tutkimuksen, joka koski henkilötietojen käsittelyä yksityisten sairausvakuutusten yhteydessä. Toimi 5: Tietojenkäsittelystä ilmoittaminen ja käsittelyn julkistaminen Tietosuojatyöryhmä on laatinut aiheesta raportin, jossa kuvataan, millainen tilanne nykyisin on eri jäsenvaltioissa, ja jossa annetaan komission vahvistamien periaatteiden mukaisia suosituksia. Raportin perusteella on myös julkaistu ilmoitusmenettelyä koskeva käsikirja, joka antaa kattavan kuvan eri jäsenvaltioissa sovellettavista säännöistä ja tarjoaa käytännön ohjeita ja opastusta rekisterinpitäjille. Toimi 6: Yhtenäisemmät tiedottamista koskevat säännökset Komission osana suunnitelmallista vuoropuhelua toteuttamaa kansallisen lainsäädännön tarkastelua on täydennetty tietosuojatyöryhmän tekemällä työllä. Myös tietosuojatyöryhmä on havainnut yhdenmukaistamistarpeen, ja se on pyrkinyt löytämään yhteisen lähestymistavan käytännön ratkaisun pohjaksi. Se on antanut rekisterinpitäjille ohjeita konkreettisten tapausten ratkaisemisesta, tietojen sisällöstä ja muodosta, monitasoisten tietosuojailmoitusten malleista sekä matkustajarekisteritietojen luovutusta koskevista ilmoituksista. Toimi 7: Kansainvälisiä siirtoja koskevien vaatimusten yksinkertaistaminen a) direktiivin 25 artiklan 6 kohdan mukaisten, kolmansien maiden antaman suojan riittävyyden toteavien päätösten käytön lisääminen Komissio on työohjelman julkaisemisen jälkeen tehnyt useita tietosuojan riittävyyden toteavia päätöksiä, joihin kuuluvat mm. päätökset Argentiinan, Guernseyn ja Mansaarten tarjoaman tietosuojan riittävyydestä. Komissio on myös arvioinut aiempien tietosuojan riittävyyden toteavien päätöstensä toimivuutta. Komission yksiköt antoivat vuonna 2004 kertomuksen Safe Harbour -järjestelmän toiminnasta. Kertomuksen jälkeen annettiin tiedote ja laadittiin mallilomake tietosuojapaneelille tehtäviä valituksia varten. Tätä työtä jatkettiin henkilötietojen kansainvälisiä siirtoja käsittelevässä kattavassa konferenssissa, jonka tietosuojatyöryhmä ja Yhdysvaltojen kauppaministeriö järjestivät lokakuussa 2006. Lisäksi komissio on arvioinut Sveitsin ja Kanadan tietosuojan riittävyyden toteavien päätösten soveltamista. b) direktiivin 26 artiklan 4 kohtaan perustuvat lisäpäätökset, joilla on tarkoitus tarjota talouden toimijoille entistä laajempi vakiosopimuslausekkeiden valikoima Komissio on tehnyt päätöksen, jossa vahvistetaan useita uusia vakiosopimuslausekkeita. Lausekkeilla on tarkoitus tarjota riittävät takeet tietojen luovuttamiseksi EU:n ulkopuolisissa maissa oleville rekisterinpitäjille. Nämä vakiolausekkeet perustuvat ehdotukseen, jonka laati joukko elinkeinonharjoittajia edustavia järjestöjä, kansainvälinen kauppakamari mukaan luettuna. Komission yksiköt ovat myös antaneet vuonna 2006 ensimmäisen kertomuksen, jossa tarkastellaan sopimuslausekkeista aikaisemmin tehtyjen komission päätösten täytäntöönpanoa. c) konsernin sisäisten sitovien sääntöjen asema asianmukaisen suojan varmistamisessa konsernin sisäisissä henkilötietojen siirroissa Tietosuojatyöryhmä hyväksyi vuosina 2003 ja 2004 tehdyn valmistelutyön tuloksena kaksi tärkeää asiakirjaa. Toisessa vahvistetaan jäsenvaltioiden valvontaviranomaisten välinen yhteistyömenettely, jonka ansiosta kyseiset viranomaiset voivat antaa yhteisiä lausuntoja konsernin sisäisiin sitoviin tietosuojasääntöihin perustuvien suojatoimien riittävyydestä. Toinen asiakirja sisältää mallin rekisterinpitäjille tarkoitetusta tarkistuslistasta, jota nämä voivat käyttää hakiessaan hyväksyntää sille, että tällaiset säännöt tarjoavat riittävän suojan. d) direktiivin 26 artiklan 1 kohdan yhtenäisempi tulkinta Tietosuojatyöryhmä on antanut lausunnon, jossa annetaan tärkeimmät ohjeet siitä, milloin voidaan poiketa vaatimuksesta, jonka mukaan riittävä suoja on taattava myös kolmansissa maissa. Toimi 8: Yksityisyyden suojaa parantavan tekniikan edistäminen Komission ja tietosuojatyöryhmän vuosina 2003 ja 2004 tekemässä työssä on keskitytty komission tulevaan tiedonantoon, joka koskee yksityisyyden suojaa parantavaa tekniikkaa ja jossa esitellään tulevaa toimintapolitiikkaa. Toimi 9: Itsesääntelyn ja eurooppalaisten käytännesääntöjen edistäminen Tietosuojatyöryhmä on hyväksynyt Euroopan suoramarkkinointiyhdistysten liiton (FEDMA) eurooppalaiset käytännesäännöt. Tämä on tietosuojan kannalta tärkeä saavutus. Muut vastaavanlaisten käytännesääntöjen laatimishankkeet eivät sen sijaan ole tuottaneet yhtä laadukkaita tuloksia. Myöskään EU:n työmarkkinaosapuolet eivät valitettavasti onnistuneet aiemmin saavutetusta edistyksestä huolimatta saamaan aikaan Euroopan tason sopimusta työelämän tietosuojasta. Toimi 10: Tiedotus Euroopan kansalaisten ja yritysten näkemyksiä yksityisyydestä on tutkittu Eurobarometri-kyselyllä. Kyselyn tulokset osoittavat, että kansalaiset ovat huolissaan yksityisyytensä suojasta mutta eivät tiedä riittävästi nykyisistä säännöistä ja järjestelyistä, joilla heidän oikeuksiaan suojataan. 2. KATSAUS TIETOSUOJADIREKTIIVIN SOVELTAMISEN TÄMÄNHETKISEEN TILANTEESEEN Soveltaminen on parantunut Kaikki jäsenvaltiot ovat nyt saattaneet direktiivin osaksi kansallista lainsäädäntöään. Yleisesti ottaen voidaan todeta, että kaikki direktiivin pääasialliset säännökset on nyt otettu osaksi kansallista lainsäädäntöä. Työohjelmaan sisältyvistä toimista on saatu myönteisiä tuloksia, ja niillä on merkittävästi parannettu direktiivin soveltamista kaikkialla yhteisössä. Tietosuojaa valvovien kansallisten viranomaisten määrätietoisella osallistumisella tietosuojatyöryhmän toimintaan on tässä yhteydessä ollut ratkaiseva merkitys. Eräissä jäsenvaltioissa direktiivin täytäntöönpano on kuitenkin ollut puutteellista Komissio antoi ensimmäisen kertomuksensa tietosuojadirektiivin täytäntöönpanosta vuonna 2003. Kertomuksen valmistelutyötä seurannut kansallisen tietosuojalainsäädännön perusteellinen tarkastelu, joka toteutettiin osana suunnitelmallista vuoropuhelua, on antanut hyvän kuvan siitä, miten direktiivi on yhteisössä saatettu osaksi kansallista lainsäädäntöä. Tarkastelun yhteydessä on voitu selventää useita juridisia näkökohtia sekä selvittää, ovatko tietyt kansalliset säännökset ja käytänteet direktiivin säännösten mukaisia. Jäsenvaltioiden kanssa käydyssä suunnitelmallisessa vuoropuhelussa on lisäksi käynyt ilmi, etteivät kaikki niistä ole panneet täytäntöön eräitä tärkeitä direktiivin säännöksiä. On myös tapauksia, joissa direktiivin kansalliset täytäntöönpanosäännökset tai jäsenvaltion käytännössä noudattamat toimintatavat eivät ole direktiivin mukaisia tai ne eivät ole jäsenvaltioiden toimivallan puitteissa. Eräs ongelma liittyy vaatimukseen, jonka mukaan kansallisilta tietosuojaa valvovilta viranomaisilta edellytetään täydellistä riippumattomuutta ja jonka mukaan niille on annettava tehtävien hoitamiseksi tarvittavat toimivaltuudet ja resurssit. Nämä viranomaiset ovat direktiivissä säädetyn suojamekanismin kannalta keskeisessä asemassa. Jos niiden riippumattomuutta ei varmisteta ja jos ne eivät saa riittäviä toimivaltuuksia, tietosuojalainsäädännön soveltamisen valvonta vaarantuu vakavasti. Komissio vertailee kaikkia niitä tapauksia, joissa se epäilee, että direktiivin saattaminen osaksi kansallista lainsäädäntöä on ollut virheellistä tai puutteellista, varmistaakseen yhtenäisen lähestymistavan. Eräät jäsenvaltiot ovat tunnustaneet lainsäädännössään olevat puutteet ja sitoutuneet toteuttamaan tarvittavat korjaavat toimenpiteet. Komissio pitää tällaista toimintatapaa erittäin kannustettavana. Ongelmia on noussut esiin myös kansalaisten tekemien valitusten myötä. Jos jäsenvaltio ei korjaa tilannetta, komissio aloittaa perustamissopimusten noudattamisen valvojana rikkomisesta johtuvan virallisen menettelyn kyseistä jäsenvaltiota vastaan EY:n perustamissopimuksen 226 artiklan nojalla. Tällaisia menettelyjä on jo käynnistetty. Joskus eroja syntyy osa-alueilla, joilla direktiivi jättää jäsenvaltioille liikkumavaraa Direktiivi sisältää joitakin väljästi muotoiltuja säännöksiä, ja se jättää näin joko nimenomaisesti tai epäsuorasti jäsenvaltioille liikkumavaraa kansallisen lainsäädännön antamisessa. Eroja saattaa syntyä tämän liikkumavaran puitteissa[6]. Tällaiset tietosuojan alalla esiintyvät erot, jotka ovat luonnollinen seuraus jäsenvaltioille jätetystä liikkumavarasta, eivät kuitenkaan ole suurempia kuin vastaavat erot muilla elinkeinoelämän aloilla. Liikkumavarasta johtuvat erot eivät kuitenkaan aiheuta todellisia ongelmia sisämarkkinoilla Komissio tilasi tutkimuksen[7] tietosuojadirektiivin (96/46/EY) vaikutuksista arvioidakseen, millaisia taloudellisia vaikutuksia direktiivillä on rekisterinpitäjiin. Tutkimuskohteeksi valittujen tapausten perusteella voidaan todeta, että joistakin eroista huolimatta direktiivin täytäntöönpano on aiheuttanut yrityksille melko vähän kustannuksia. Säännösten entistä laajamittaisempi yhtenäistäminen olisi toki toivottavaa, koska sillä voitaisiin tukea yksinkertaistamisen, itsesääntelyn ja konsernin sisäisten sitovien sääntöjen kaltaisia myönteisiä aloitteita. Komission saamat valitukset eivät kuitenkaan anna viitteitä siitä, että direktiivin sallimat kansalliset erot todella haittaisivat sisämarkkinoiden moitteetonta toimintaa tai että ne haittaisivat tietojen vapaata liikkuvuutta siksi, että suoja tiedot luovuttavassa tai ne vastaanottavassa maassa ei ole riittävä tai puuttuu kokonaan. Myöskään yksityisten toimijoiden sijoittautumismaassa sovellettavat rajoitukset eivät vääristä näiden toimijoiden välistä kilpailua. Kansalliset erot eivät estä yrityksiä toimimasta eri jäsenvaltioissa tai sijoittautumasta eri jäsenvaltioihin. Erot eivät myöskään vie perustaa niiltä sitoumuksilta, joita Euroopan unioni ja sen jäsenvaltiot ovat antaneet perusoikeuksien suojaamisesta. Tietosuojadirektiivi täyttää tämän vuoksi tarkoituksensa: sillä turvataan henkilötietojen vapaa liikkuvuus sisämarkkinoilla ja varmistetaan samalla korkeatasoinen suoja yhteisössä. Sääntöjen sisältö on asianmukainen Erikseen on arvioitava se, ovatko direktiivin sisältämät juridiset ratkaisut tarkoituksenmukaisia myös muista kuin sääntelyn yhdenmukaistamisen näkökulmasta. Joitakin direktiivin säännöksiä on arvosteltu. Esimerkiksi ilmoitusmenettelyä on kritisoitu siitä, että se aiheuttaa rasitteita. Menettely on kuitenkin hyvin hyödyllinen, sillä se lisää toiminnan läpinäkyvyyttä rekisteröityjen näkökulmasta, antaa rekisterinpitäjille tietoa tilanteesta ja auttaa viranomaisia valvomaan toimintaa. Internet sekä rekisteröidyille tarjolla olevat uudet mahdollisuudet vuorovaikutukseen ja kolmansien maiden tarjoamien palvelujen käyttämiseen nostavat esille kysymyksiä siitä, millaisia sääntöjä olisi noudatettava valittaessa sovellettavaa kansallista lakia tai siirrettäessä tietoja kolmansiin maihin. Nämä ovat kysymyksiä, joihin oikeuskäytäntö antaa vain osittaisia vastauksia[8]. Radiotaajuustunnistuslaitteet (RFID-laitteet) nostavat esille perustavanlaatuisia kysymyksiä tietosuojasääntöjen soveltamisalasta ja henkilötietojen käsitteen määrittelystä. Erityistä huomiota tietosuojaan olisi kiinnitettävä silloin, kun tietosuojadirektiivin periaatteita sovelletaan ääni- ja kuvamateriaalin yhdistämiseen perustuvaan automaattiseen tunnistukseen. Vastaavia kysymyksiä on käsitelty myös Euroopan neuvostossa, jossa on pohdittu yleissopimuksen 108 sisältämien periaatteiden merkitystä nykymaailmassa. Yleinen kanta on, että kyseiset periaatteet ovat edelleen tarkoituksenmukaisia ja tarjoavat tyydyttävän ratkaisun. Mukautuminen teknologian kehitykseen Komissio katsoo, että tietosuojadirektiiviä voidaan soveltaa teknologiapohjasta riippumatta ja että sen sisältämät periaatteet ja säännökset ovat luonteeltaan riittävän yleisiä. Sen säännöksiä voidaan näin soveltaa tarkoituksenmukaisella tavalla myös uusiin teknologioihin ja olosuhteisiin. Sen sijaan saattaa olla tarpeen, että näiden yleisten sääntöjen pohjalta annetaan erityisohjeita ja -säännöksiä, joissa on otettu huomioon tällaisten teknologioiden erityispiirteet. Tämän vuoksi direktiivin 95/46/EY säännöksiä on täydennetty ja tarkennettu direktiivillä 2002/58/EY, jossa säädetään henkilötietojen käsittelystä sähköisen viestinnän alalla ja jolla varmistetaan tällaisten tietojen sekä sähköisten viestintälaitteiden ja -palvelujen vapaa liikkuvuus yhteisössä. Direktiiviä 2002/58/EY tarkistetaan parhaillaan osana sähköisen viestinnän sääntelykehyksen yleisarviointia. Tietosuojatyöryhmä on tehnyt runsaasti työtä teknologiaan liittyvissä kysymyksissä, joihin kuuluvat mm. ei-toivottu viestintä (roskaposti), sähköpostisuodattimet, teleliikennetietojen käsittely laskutustarkoituksessa ja sijaintitietojen käsittely lisäarvopalvelujen tuottamiseksi. Myös radiotaajuustunnistusteknologiaa on käsitelty useissa työpajoissa. Komissio on lisäksi järjestänyt kyseisestä teknologiasta julkisen kuulemisen herättääkseen keskustelua siihen liittyvistä yksityisyyttä ja turvallisuutta koskevista näkökohdista. Yleisen edun asettamien vaatimusten huomioon ottaminen Yksilön perusoikeuksien ja -vapauksien suojan ja yleisen edun välisestä suhteesta on tietosuojadirektiivissä kahdentyyppisiä säännöksiä. Se sisältää ensinnäkin säännöksiä, joissa suljetaan eräitä aloja direktiivin soveltamisalan ulkopuolelle. Esimerkiksi direktiivin 3 artiklan mukaan sen soveltamisalaan ei kuulu käsittely, joka koskee ”yleistä turvallisuutta, puolustusta, valtion turvallisuutta (myös valtion taloudellista hyvinvointia, kun käsittelyoperaatio on sidoksissa valtion turvallisuutta koskeviin kysymyksiin) ja rikosoikeuden alalla tapahtuvaa valtion toimintaa” . Yhteisöjen tuomioistuin on selkeästi todennut, ettei direktiiviä sovelleta yleisen turvallisuuden varmistamistarkoituksessa tai lainvalvontatarkoituksessa suoritettavaan käsittelyyn[9]. Koska EU:ssa tarvitaan yhteisiä tietosuojasäännöksiä, komissio on hyväksynyt ehdotuksen[10] rikosasioissa tehtävässä poliisi- ja oikeudellisessa yhteistyössä käsiteltävien henkilötietojen suojaamisesta. Tämä ehdotus liittyy toiseen komission tekemään ehdotukseen[11], joka koskee saatavuusperiaatteen mukaista tietojenvaihtoa. EU on tällä osa-alueella tehnyt Yhdysvaltojen kanssa kansainvälisen sopimuksen[12], joka koskee PNR- eli matkustajarekisteritietojen käyttämistä rikosten torjuntatarkoituksessa. Direktiivissä on lisäksi säännöksiä, joiden mukaan jäsenvaltiot voivat rajoittaa tietosuojaperiaatteiden soveltamista tietyissä olosuhteissa. Esimerkiksi 13 artiklassa todetaan, että näin voidaan toimia, ”jos tällaiset rajoitukset ovat välttämättömiä, jotta varmistettaisiin [eräiden artiklassa jäljempänä lueteltujen tärkeiden yleisten etujen turvaaminen] ” . Rajoitukset voivat perustua esimerkiksi tarpeeseen torjua rikoksia tai suojata väestön terveyttä hätätilanteissa. Direktiivissä on myös muita säännöksiä, joissa annetaan vastaavanlainen mahdollisuus tarkkaan rajattuihin poikkeuksiin. Yhteisöjen tuomioistuin on selkeästi todennut, että alun perin kaupallisiin tarkoituksiin kerättyjä tietoja voidaan jälkeenpäin käyttää muihin yleisen edun mukaisiin tarkoituksiin vain edellä mainitussa artiklassa säädettyjen edellytysten täyttyessä. Lisäksi direktiivissä rajoitetaan kansallisen lainsäätäjän toimintaa vastaavalla tavalla kuin Euroopan ihmisoikeussopimuksen 8 artiklassa. Tässä yhteydessä ratkaisevassa asemassa on Euroopan ihmisoikeustuomioistuimen oikeuskäytäntö. [13]. Edellä kuvatun kaltainen järjestely, jossa kukin jäsenvaltio voi itse päättää, milloin on kyseessä ”välttämätön rajoitus” ja ”tärkeä yleinen etu”, on luonteensa vuoksi tärkeä syy siihen, että eri jäsenvaltioiden kansalliset säännökset poikkeavat toisistaan. Edellä mainitun kaltaisia rajoituksia on yhdenmukaistettu vain muutamilla aloilla, viimeksi direktiivillä 2006/24/EY[14], joka koskee tietojen säilyttämistä. Komissio on ilmoittanut perustavansa kyseistä direktiiviä varten asiantuntijaryhmän käsittelemään ongelmia, joita voi ilmetä esimerkiksi saatettaessa direktiiviä osaksi kansallista lainsäädäntöä. Perusoikeuksien kunnioittaminen Komissio on sitoutunut kunnioittamaan perusoikeuskirjan periaatteita kaikissa lainsäädäntöehdotuksissaan. Oikeudesta henkilötietojen suojaan säädetään perusoikeuskirjan 8 artiklassa. Tietosuojadirektiivi tarjoaa tämän oikeuden osalta korkeatasoisen suojan ja viitekehyksen, jolla varmistetaan, että yksityisyyden suoja otetaan huomioon yhdenmukaisella tavalla eri aloilla kaikessa yhteisön lainsäädännössä. 3. TULEVAISUUDENNÄKYMÄT Edellä esitetyn perusteella komissio aikoo ottaa tulevan toimintapolitiikkansa lähtökohdiksi seuraavat tekijät. Perustuslakisopimuksen ratifiointi voi tarjota uusia mahdollisuuksia Perustuslakisopimuksen ratifiointi vaikuttaisi tilanteeseen ratkaisevasti. Perustuslakisopimuksen II-68 artikla sisältää perusoikeuskirjan 8 artiklan mukaisen oikeuden henkilötietojen suojaan. Lisäksi sopimuksen I-51 artiklassa luodaan erillinen oikeusperusta, jonka nojalla EU voi antaa asiaan liittyviä säädöksiä. Näin luodaan samalla edellytykset sellaisten säädösten antamiselle, jotka tulevat sovellettaviksi kaikilla aloilla. Nykyisellä jaolla ”pilareihin” ja tietosuojadirektiivin 3 artiklan mukaisilla rajoituksilla ei ratifioinnin jälkeen enää olisi merkitystä. Komissio on kuitenkin korostanut, että siihen asti kun perustuslakisopimuksen ratifiointitilanne selkiytyy, vapauden, turvallisuuden ja oikeuden alalla tarvitaan nykyisiin perussopimuksiin perustuvia tehokkaampia menettelyjä[15]. Tietosuojadirektiiviä ei tulisi muuttaa Edellä esitetyistä syistä komissio katsoo, että tietosuojadirektiivi muodostaa sellaisen yleisen oikeudellisen kehyksen, joka täyttää alkuperäisen tarkoituksensa: direktiivillä voidaan riittävällä tavalla varmistaa, että sisämarkkinat toimivat moitteettomasti, ja samalla taata korkeatasoinen suoja. Direktiivissä osoitetaan konkreettisesti, mitä oikeus henkilötietojen suojaan merkitsee. Silloin kun sen säännöksiä noudatetaan, yksilöt voivat luottaa siihen, että heidän tietojensa käsittely on asianmukaista. Tämä on puolestaan ratkaisevan tärkeä edellytys verkkotalouden kehittämiselle. Direktiivi toimii myös vertailukohtana monille eri politiikanaloilla toteutettaville aloitteille. Sitä voidaan soveltaa teknologiasta riippumatta, ja se tarjoaa edelleen kestävän ja tarkoituksenmukaisen ratkaisun. Komissio ei tämän vuoksi aio tehdä ehdotuksia direktiivin muuttamiseksi. Komission tavoitteena on direktiivin säännösten asianmukainen täytäntöönpano kansallisella ja kansainvälisellä tasolla Eri jäsenvaltioissa voimassa olevat säädökset voivat poiketa toisistaan myös siksi, että direktiivin säännösten saattamisessa osaksi kansallista lainsäädäntöä on tapahtunut virheitä tai se on ollut puutteellista. Niiden tietojen perusteella, joita on saatu sekä osana jäsenvaltioiden kanssa käytyä suunnitelmallista vuoropuhelua että kansalaisten tekemistä valituksista, komissio on päättänyt jatkaa jäsenvaltioiden kanssa tekemäänsä yhteistyötä ja aikoo lisäksi aloittaa rikkomisesta johtuvan virallisen menettelyn tapauksissa, joissa siihen on tarvetta, taatakseen kaikille jäsenvaltioille tasapuoliset toimintaedellytykset. Komissio myös kehottaa jäsenvaltioita varmistamaan, että direktiivin nojalla annettu kansallinen lainsäädäntö pannaan asianmukaisesti täytäntöön. Se seuraa samalla edelleen alan kansainvälistä kehitystä ja osallistuu kansainväliseen toimintaan mm. Euroopan neuvostossa, OECD:ssä ja YK:ssa varmistaakseen, että jäsenvaltioiden antamat kansainväliset sitoumukset ovat yhdenmukaisia niille tietosuojadirektiivissä asetettujen velvollisuuksien kanssa. Komissio aikoo laatia tiedonannon eräiden tietosuojadirektiivin säännösten tulkinnasta Direktiivin eräiden säännösten täytäntöönpanoon on havaittu liittyvän sellaisia ongelmia, joista voi olla seurauksena rikkomisesta johtuvan menettelyn aloittaminen. Lähtökohtana tällaisia ongelmia arvioitaessa on se, miten komissio tulkitsee säännökset ja miten ne olisi komission mukaan pantava täytäntöön, kun otetaan huomioon oikeuskäytäntö sekä tietosuojatyöryhmän esittämät tulkinnat. Komissio aikoo antaa tiedonannon, jossa selkiytetään näiden säännösten tulkintaa. Komissio kannustaa kaikkia osapuolia kansallisten säännösten yhtenäistämiseen Tämän tavoitteen saavuttamiseksi toteutetaan useita toimia. – Työohjelman toteuttamista jatketaan Komission vuonna 2003 esittämät toimenpiteet tietosuojadirektiivin täytäntöönpanon parantamiseksi ovat edelleen tarkoituksenmukaisia. Työohjelmassa esitettyjen toimien toteuttamista jatketaan. Kaikkien sidosryhmien osallistuminen muodostaa vankan pohjan direktiivin periaatteiden täytäntöönpanon parantamiselle. – Tietosuojatyöryhmän olisi osallistuttava tiiviimmin käytänteiden yhdenmukaistamiseen Tietosuojatyöryhmällä, jossa tietosuojaa valvovat kansalliset viranomaiset tekevät yhteistyötä, on ratkaisevan tärkeä merkitys pyrittäessä entistä parempaan ja yhtenäisempään täytäntöönpanoon. Tietosuojatyöryhmän tehtävänä on ”tutkia kaikki kyseisen direktiivin nojalla toteutettujen kansallisten toimenpiteiden soveltamista koskevat kysymykset toimenpiteiden yhdenmukaisen soveltamisen varmistamiseksi” . Työryhmä on jo tehnyt hyödyllistä työtä pyrkiessään varmistamaan, että direktiivin tärkeimpiä säännöksiä sovelletaan jäsenvaltiossa yhdenmukaisella tavalla. Tällaisiin kuuluvat mm. rajatylittäviä tiedonsiirtoja ja henkilötietojen käsitettä koskevat säännökset. Jotta tietosuojatyöryhmä voisi päästä työssään mahdollisimman hyviin tuloksiin, tietosuojaviranomaisten olisi pyrittävä mukauttamaan kansallisia käytänteitään työryhmässä sopimiinsa yhteisiin toimintaperiaatteisiin. Uuden teknologian asettamiin haasteisiin vastaaminen Direktiiviin sisältyvät periaatteet ovat edelleen soveltamiskelpoisia, eikä niitä tulisi muuttaa. Uutta tieto- ja viestintäteknologiaa kehitetään kuitenkin monilla aloilla, joten tarvitaan erityisohjeita siitä, miten direktiivin periaatteita olisi käytännössä sovellettava. Yhä pidemmälle kehitetty teknologia takaa sen, että tieto liikkuu nopeasti kaikkialla maailmassa. Teknologia kuitenkin myös mahdollistaa entistä paremman tietosuojan silloin kun siihen on tarvetta. Lisäksi se helpottaa tiedon valvontaa ja hakua. Tarvittavat tiedot löytyvät nopeammin ja helpommin. Sellaiset tiedot, joita ei ole lupa luovuttaa, voidaan teknologian ansiosta erottaa muista tiedoista ja suojata aiempaa nopeammin ja tehokkaammin. Tietosuojatyöryhmällä on tässä yhteydessä erittäin tärkeä merkitys. Sen olisi jatkettava työtä, jota tehdään sen Internet-erityistyöryhmässä. Sen olisi myös jatkettava kaikille tietosuojaa valvoville kansallisille viranomaisille yhteisen lähestymistavan kehittämistä, jotta kansalliset täytäntöönpanosäädökset voitaisiin yhdenmukaistaa etenkin siltä osin, kuin on kyse lainvalinnasta ja rajatylittävistä tiedonsiirroista. Jos havaitaan, että jokin teknologia nostaa jatkuvasti esille tietosuojaperiaatteiden soveltamiseen liittyviä kysymyksiä ja että tällainen teknologia on käytössä niin laajalti tai se voi heikentää yksityisyyden suojaa niin, että tiukemmat säännöt ovat perusteltuja, komissio voi esittää alakohtaisten sääntöjen antamista EU:n tasolla. Näin tietosuojaperiaatteiden soveltamisessa voidaan ottaa huomioon kyseisen teknologian asettamat erityisvaatimukset. Tämä lähestymistapa omaksuttiin jo sähköisen viestinnän tietosuojadirektiivissä 2002/58/EY. Kyseisen direktiivin meneillään oleva tarkastelu ja radiotaajuustunnistuslaitteista (RFID-laitteista) annettu tiedonanto tarjoavat perustan arvioitaessa sitä, olisiko direktiiviä muutettava tai olisiko annettava erityissäännöksiä, joilla ratkaistaan Internetiin ja RFID-teknologiaan liittyvät tietosuojakysymykset. Yleisen edun mukaisiin käyttötarkoituksiin liittyvät vaatimukset, etenkin turvallisuusvaatimukset, olisi voitava ottaa huomioon yhdenmukaisella tavalla Tämä edellyttää kahden perusvaatimuksen yhteensovittamista: toisaalta on tehokkaasti puututtava etenkin turvallisuutta heikentäviin uhkiin, joita kansalaiset Euroopassa kohtaavat jokapäiväisessä elämässään, ja toisaalta taas suojattava perusoikeuksia, joihin kuuluu myös oikeus tietosuojaan. Yksilöistä kerätään nykyisin runsaasti henkilötietoja, ja monissa yhteyksissä henkilötiedoista jää ja tallentuu jälkiä erilaisiin järjestelmiin. Tietoja saa käyttää muihin kuin siihen tarkoitukseen, jota varten ne on alun perin kerätty, vain jos tähän on saatu asianmukainen lupa. Tällaisten toimenpiteiden on demokraattisessa yhteiskunnassa oltava yleisen edun näkökulmasta perusteltuja ja tarpeellisia, kuten toimenpiteet terrorismin ja järjestäytyneen rikollisuuden torjumiseksi. Pyrkiessään varmistamaan, että turvallisuuden takaamiseksi toteutettavat toimenpiteet ovat oikeassa suhteessa toimenpiteisiin, joilla taataan välttämättömien perusoikeuksien kunnioittaminen, komissio varmistaa, että se suojaa henkilötietoja perusoikeuskirjan 8 artiklan mukaisesti. EU tekee lisäksi yhteistyötä ulkopuolisten kumppaniensa kanssa. Tämä on globalisoituneessa maailmassa välttämätöntä. Esimerkiksi EU ja Yhdysvallat käyvät jatkuvaa transatlanttista vuoropuhelua henkilötietojen suojaamisesta tapauksissa, joissa tietoja vaihdetaan lainvalvontatarkoituksessa. Komissio tarkastelee tietosuojadirektiivin soveltamista uudelleen sen jälkeen, kun tässä tiedonannossa esitetyt toimenpiteet on saatu toteutettua. [1] Euroopan parlamentin ja neuvoston direktiivi 95/46/EY, annettu 24 päivänä lokakuuta 1995, yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (ns. tietosuojadirektiivi), EYVL L 281, 23.11.1995, s. 31. [2] Euroopan neuvoston sopimussarja, ETS nro 108; jäljempänä ’yleissopimus 108’. [3] Ensimmäinen kertomus tietosuojadirektiivin (95/46/EY) täytäntöönpanosta, KOM(2003) 265 lopullinen, 15.5.2003. [4] Komission ensimmäinen kertomus tietosuojadirektiivin täytäntöönpanosta ja tässä mainitut muut työohjelman nojalla hyväksytyt julkiset asiakirjat ovat osoitteessa:http://ec.europa.eu/justice_home/fsj/privacy/lawreport/index_en.htm [5] Direktiivin 29 artiklalla perustettu tietosuojatyöryhmä. [6] Tietosuojadirektiivin johdanto-osan 9 kappale. [7] http://ec.europa.eu/justice_home/fsj/privacy/docs/studies/economic_evaluation_en.pdf [8] Asia C-101/01, Lindqvist, tuomio 6.11.2003. [9] Yhdistetyt asiat C-317/04 ja C-318/04, PNR, tuomio 30.5.2006. [10] KOM(2005) 475 lopullinen, 4.10.2005. [11] KOM(2005) 490 lopullinen, 12.10.2005. [12] EUVL L 298, 27.10.2006, s. 29. [13] Yhdistetyt asiat C-465/00, C-138/01 ja C-139/01, Rechnungshof, tuomio 20.5.2003. [14] EUVL L 105, 13.4.2006, s. 54. [15] KOM(2006) 331 lopullinen, 28.6.2006.