This document is an excerpt from the EUR-Lex website
Document 52010XX1016(02)
Opinion of the European Data Protection Supervisor on the Proposal for a Directive of the European Parliament and of the Council on waste electrical and electronic equipment (WEEE)
Euroopan tietosuojavaltuutetun lausunto ehdotuksesta Euroopan parlamentin ja neuvoston direktiiviksi sähkö- ja elektroniikkalaiteromusta
Euroopan tietosuojavaltuutetun lausunto ehdotuksesta Euroopan parlamentin ja neuvoston direktiiviksi sähkö- ja elektroniikkalaiteromusta
EUVL C 280, 16.10.2010, p. 16–21
(BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
- Date of document:
- 14/04/2010
- Author:
- Euroopan tietosuojavaltuutettu
- Form:
- Lausunto
- Procedure number:
- Link
- European Parliament - Legislative observatory
- Treaty:
- Sopimus Euroopan unionin toiminnasta
- Legal basis:
-
- 12010E016
- 12010P008
- 31995L0046 - A17
- 32001R0045 - A41
- Link
- Link
- Link
- Select all documents mentioning this document
- Earlier related instruments:
- Instruments cited:
- Link
- EUROVOC descriptor:
- Subject matter:
- Directory code:
|
16.10.2010 |
FI |
Euroopan unionin virallinen lehti |
C 280/16 |
Euroopan tietosuojavaltuutetun lausunto ehdotuksesta Euroopan parlamentin ja neuvoston direktiiviksi sähkö- ja elektroniikkalaiteromusta
2010/C 280/02
EUROOPAN TIETOSUOJAVALTUUTETTU, joka
ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen ja erityisesti sen 16 artiklan,
ottaa huomioon Euroopan unionin perusoikeuskirjan ja erityisesti sen 8 artiklan,
ottaa huomioon yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24 päivänä lokakuuta 1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY ja erityisesti sen 17 artiklan,
ottaa huomioon yksilöiden suojelusta yhteisöjen toimielinten ja elinten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 18 päivänä joulukuuta 2000 annetun Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 45/2001 ja erityisesti sen 41 artiklan,
ON ANTANUT SEURAAVAN LAUSUNNON:
I. JOHDANTO
|
1. |
Komissio hyväksyi 3 päivänä joulukuuta 2008 ehdotuksen Euroopan parlamentin ja neuvoston direktiiviksi sähkö- ja elektroniikkalaiteromusta, jäljempänä ’ehdotus’ (1). Ehdotuksen tavoitteena on laatia uudelleen 27 päivänä tammikuuta 2003 hyväksytty direktiivi 2002/96/EY sähkö- ja elektroniikkalaiteromusta, jäljempänä ’direktiivi’ (2), muuttamatta sähkö- ja elektroniikkalaiteromun keräämisen ja kierrättämisen kimmokkeita tai perusteita. |
|
2. |
Euroopan tietosuojavaltuutettua ei ole kuultu asetuksen (EY) N:o 45/2001 (3) 28 artiklan 2 kohdassa edellytetyllä tavalla. Euroopan tietosuojavaltuutettu on tästä syystä toiminut omasta aloitteestaan ja antanut tämän saman asetuksen 41 artiklan 2 kohtaan perustuvan lausuntonsa. Euroopan tietosuojavaltuutettu suosittelee, että viittaus tähän lausuntoon sisällytetään ehdotuksen johdanto-osaan. |
|
3. |
Euroopan tietosuojavaltuutettu on tietoinen siitä, että lausunto annetaan myöhäisessä vaiheessa lainsäädäntöprosessia, mutta pitää lausunnon antamista kuitenkin perusteltuna ja hyödyllisenä, sillä ehdotukseen sisältyy merkittäviä tietosuojakysymyksiä, joita tekstissä ei ole otettu huomioon. Lausunnolla ei pyritä muuttamaan ehdotuksen keskeistä tarkoitusta ja sisältöä, jonka ”painopiste” (4) on ympäristönsuojelussa. Lausunnolla pyritään ainoastaan tuomaan asiaan täydentävä ulottuvuus, josta on tietoyhteiskunnassamme tulossa yhä tärkeämpi (5). |
|
4. |
Euroopan tietosuojavaltuutettu, joka on tietoinen myös uudelleenlaatimisen rajoitetusta alasta, kehottaa lainsäätäjää huomioimaan nämä suositukset uudelleenlaatimismenettelyä koskevan toimielinten välisen sopimuksen (6) muuttumattomien säännösten sisällön muuttamismahdollisuutta koskevan 8 artiklan mukaisesti. |
II. EHDOTUKSEN KONTEKSTI JA TAUSTA SEKÄ SEN MERKITYS TIETOSUOJAN KANNALTA
|
5. |
Ehdotuksen tarkoituksena on tarkistaa sähkö- ja elektroniikkalaiteromun loppukäsittelyä, uudelleenkäyttöä ja kierrätystä koskevaa voimassa olevaa direktiiviä. Direktiivin täytäntöönpanon ensimmäisinä vuosina havaitut tekniset, oikeudelliset ja hallinnolliset ongelmat ovat johtaneet ehdotuksen laatimiseen direktiivin 17 artiklan 5 kohdan nojalla. |
|
6. |
Sähkö- ja elektroniikkalaitteet on laaja tuoteryhmä, joka kattaa myös erilaiset henkilötietojen tallennukseen soveltuvat laitteet. Tällaisia laitteita ovat muun muassa tieto- ja teletekniset laitteet, kuten henkilökohtaiset tietokoneet, kannettavat tietokoneet ja elektronisen viestinnän päätelaitteet, joita nykyisessä teknis-taloudellisessa tilanteessa leimaa innovaatiosyklien jatkuva lyhentyminen ja teknologisen lähentymisen vuoksi myös monikäyttölaitteiden saatavuus. Elektronisten tallennusvälineiden kehittymistahti kiihtyy nopeasti erityisesti tallennuskapasiteetin ja koon osalta, minkä seurauksena sähkö- ja elektroniikkalaitteiden, jotka voivat sisältää suuria määriä usein arkaluontoisia henkilötietoja, vaihdunta nopeutuu markkinoiden painostuksesta vastaavasti. Tämän seurauksena sähkö- ja elektroniikkalaiteromua pidetään EU:n nopeimmin kasvavana jätevirtana (7). Lisäksi, jos laitteiden loppukäsittelyä ei suoriteta asianmukaisesti, tämäntyyppisiin sähkö- ja elektroniikkalaitteisiin tallennettujen henkilötietojen katoaminen tai levittäminen tulee entistä todennäköisemmäksi. |
|
7. |
Euroopan unionin ympäristöä ja kestävää kehitystä koskevien politiikkojen tavoitteena on jo pitkään ollut vähentää luonnonvarojen tuhlaamista ja ottaa käyttöön saastumisen ehkäisymenetelmiä. |
|
8. |
Sähkö- ja elektroniikkalaiteromun loppukäsittely, uudelleenkäyttö ja kierrätys kuuluvat näihin puitteisiin. Näiden toimenpiteiden tavoitteena on estää sähkö- ja elektroniikkalaitteiden loppukäsittely sekajätteen joukossa ja velvoittaa tuottajat huolehtimaan direktiivissä kuvatusta laitteiden loppukäsittelystä. |
|
9. |
Direktiivissä säädetään monista eri toimenpiteistä, joista on syytä ottaa esiin toimenpiteet laitteiden uudelleenkäyttämiseksi, kierrättämiseksi ja muiden sellaisten sähkö- ja elektroniikkalaiteromun hyödyntämistapojen löytämiseksi, joiden avulla loppukäsittelyyn tulevan jätteen määrää voidaan vähentää (ks. direktiivin 1 artikla ja 3 artiklan d ja e kohta). (Uudelleenkäytöllä tarkoitetaan toimia, joissa sähkö- ja elektroniikkalaiteromua tai sen komponentteja käytetään samaan tarkoitukseen, johon ne on suunniteltu. Uudelleenkäyttö sisältää keräyspisteisiin, jakelijoille, kierrättäjille ja valmistajille palautettujen laitteiden tai niiden komponenttien jatketun käytön. Kierrätyksellä tarkoitetaan jätemateriaalien jälleenkäsittelyä tuotantoprosessissa alkuperäiseen tarkoitukseen tai muihin tarkoituksiin.) |
|
10. |
Nämä toimenpiteet ja erityisesti sähkö- ja elektroniikkalaiteromun uudelleenkäyttö ja kierrätys voivat etenkin tieto- ja teleteknisten laitteiden kohdalla sisältää aiempaa suuremman riskin siitä, että sähkö- ja elektroniikkalaiteromun kerääjät tai käytettyjen tai kierrätettyjen laitteiden myyjät tai ostajat saattavat saada tietoonsa laitteisiin tallennettuja henkilötietoja. Tällaiset tiedot voivat olla arkaluonteisia tai viitata suureen joukkoon yksilöitä. |
|
11. |
Näistä syistä Euroopan tietosuojavaltuutettu katsoo, että kaikille sidosryhmille (sähkö- ja elektroniikkalaitteiden käyttäjille ja tuottajille) on viipymättä tiedotettava riskeistä, joita henkilötietoihin voi kohdistua erityisesti laitteen elinkaaren loppuvaiheessa. Vaikka sähkö- ja elektroniikkalaitteiden taloudellinen arvo on aiempaa vähäisempi, ne voivat sisältää suuria määriä henkilötietoja, minkä vuoksi niillä voi olla suuri ”luontainen” arvo yksilölle, jota tiedot koskevat, ja/tai muille henkilöille. |
III. EHDOTUKSEN ANALYYSI
III.1. Direktiivin 95/46/EY soveltuvuus
|
12. |
Euroopan tietosuojavaltuutettu ei esitä huomioita ehdotuksen yleisestä tavoitteesta, vaan tukee täysin tätä aloitetta, jonka tarkoituksena on kehittää sähkö- ja elektroniikkalaiteromua koskevia ympäristöystävällisiä politiikkoja. |
|
13. |
Ehdotuksessa ja direktiivissä käsitellään kuitenkin ainoastaan ympäristöriskejä, jotka liittyvät sähkö- ja elektroniikkalaiteromun loppukäsittelyyn. Niissä ei oteta huomioon muita riskejä, joita sähkö- ja elektroniikkalaiteromun loppukäsittely, uudelleenkäyttö tai kierrätys voi aiheuttaa yksilöille ja/tai organisaatioille. Niissä ei etenkään käsitellä riskejä, jotka liittyvät tällaisiin sähkö- ja elektroniikkalaitteisiin tallennettujen henkilötietojen sääntöjenvastaiseen hankkimiseen, käsittelyyn ja levittämiseen. |
|
14. |
On tärkeää huomata, että direktiivi 95/46/EY (8) koskee ”kaikenlaisia sellaisia toimintoja tai toimintojen kokonaisuuksia, joita kohdistetaan henkilötietoihin”, mukaan lukien ”poistaminen tai tuhoaminen” (2 artiklan b kohta). Sähkö- ja elektroniikkalaitteiden loppukäsittelyyn voi sisältyä henkilötietojen käsittelyä. Tästä syystä ehdotus ja direktiivi 95/46/EY ovat osin päällekkäisiä, ja näin ollen tietosuojasäännöt saattavat koskea ehdotuksessa tarkoitettuja toimintoja. |
III.2. Sähkö- ja elektroniikkalaiteromun loppukäsittelyä koskevat turvatoimet
|
15. |
Euroopan tietosuojavaltuutettu aikoo tuoda esiin niitä riskejä, joita ”rekisterinpitäjinä” (9) toimivat yksilöt ja/tai organisaatiot voivat kohdata tapauksissa, joissa sähkö- ja elektroniikkalaiteromu, erityisesti tieto- ja teletekniset laitteet, sisältää loppukäsittelyn hetkellä käyttäjiä tai kolmansia osapuolia koskevia henkilötietoja. Tällaisten tietojen lainvastainen hankkiminen tai luovuttaminen voi loukata sen yksilön yksityisyyttä ja ihmisarvoa, jota tiedot koskevat, sekä yksilöiden tai organisaatioiden oikeutettuja etuja, kuten taloudellisia etuja, ottaen huomioon, että näihin tietoihin voi sisältyä erityisiin tietoryhmiin kuuluvia tietoa, kuten rotua tai etnistä alkuperää, poliittisia mielipiteitä, uskonnollista tai filosofista vakaumusta tai ammattiliittoon kuulumista sekä terveyttä ja seksuaalista käyttäytymistä koskevia tietoja (niin kutsuttuja ”arkaluonteisia tietoja”) (10). |
|
16. |
Euroopan tietosuojavaltuutettu pitää aiheellisena korostaa tarpeellisten turvatoimien omaksumista henkilötietojen käsittelyn kaikissa vaiheissa alusta loppuun asti, kuten se on todennut useissa aiemmissa lausunnoissaan (11). Tämä koskee aivan erityisesti vaihetta, jossa rekisterinpitäjä aikoo hävittää henkilötietoja sisältävät laitteet. |
|
17. |
Henkilötietojen suojaa koskevan oikeuden tehokas takaaminen edellyttää usein turvatoimien toteuttamista. |
|
18. |
Näin ollen olisi epäjohdonmukaista asettaa velvollisuus ottaa henkilötietojen tavanomaisessa käsittelyssä käyttöön (toisinaan hintavia) turvatoimia, kuten direktiivin 95/46/EY 17 artiklassa säädetään soveltuvin osin (12), ja samalla sivuuttaa tarpeellisten takeiden asettaminen sähkö- ja elektroniikkalaiteromun loppukäsittelylle. |
|
19. |
Olisi myös epäjohdonmukaista sisällyttää tietoturvaloukkauksista ilmoittaminen direktiivin 2009/136/EY (13) 2 artiklaan, mikä kertoo tietoturvan merkittävästä painoarvosta, ja sitten jättää asettamatta minkäänlaisia takeita sähkö- ja elektroniikkalaiteromun loppukäsittelylle, uudelleenkäytölle tai kierrätykselle. |
|
20. |
Euroopan tietosuojavaltuutettu pitää valitettavana sitä, että ehdotuksessa ei huomioida sähkö- ja elektroniikkalaiteromun loppukäsittelyn mahdollisia haitallisia seurauksia ”käytettyihin” laitteisiin tallennettujen henkilötietojen suojan kannalta. |
|
21. |
Tätä näkökohtaa ei huomioitu myöskään komission tekemässä vaikutusten arvioinnissa (14), vaikka kokemus on osoittanut, että turvatoimien laiminlyöminen sähkö- ja elektroniikkalaiteromun loppukäsittelyn yhteydessä voi heikentää henkilötietojen suojaa (15). Ongelma on hyvin monitahoinen sähkö- ja elektroniikkalaiteromun loppukäsittelyyn liittyvien laillisten menettelyiden, tekniikoiden ja sidosryhmien moninaisuuden vuoksi. Tästä syystä Euroopan tietosuojavaltuutettu katsoo, että sähkö- ja elektroniikkalaiteromun loppukäsittelyä koskevista prosesseista olisi pitänyt tehdä ”yksityisyyttä ja tietosuojaa koskeva vaikutustenarviointi”. |
|
22. |
Euroopan tietosuojavaltuutettu suosittelee kuitenkin painokkaasti kehittämään tällä alalla yksityisyyden suojaa, tietosuojaa ja turvallisuutta edistäviä ”parhaita käytettävissä olevia tekniikoita”. |
|
23. |
Lisäksi on syytä huomata, että henkilötietojen turvaamista ja suojaamista koskevat kysymykset nousivat ajoittain esiin direktiivin uudelleenlaatimista edeltäneen julkisen kuulemisen aikana; niitä käsittelivät erityisesti tietotekniikan ja sähköisen viestinnän alan yritykset (16). |
|
24. |
On myös syytä painottaa, että jotkin kansalliset tietosuojaviranomaiset ovat julkaisseet ohjeita sellaisten riskien minimoimiseksi, joita tarvittavien turvatoimien laiminlyönnistä voi mahdollisesti aiheutua erityisesti direktiivin soveltamisalaan kuuluvien materiaalien loppukäsittelyssä (17). |
|
25. |
Euroopan tietosuojavaltuutettu toistaa, että direktiiviä 95/46/EY sovelletaan henkilötietoja sisältävän sähkö- ja elektroniikkalaiteromun loppukäsittelyvaiheeseen. Rekisterinpitäjiä – ja erityisesti niitä, jotka käsittelevät sähkö- ja elektroniikkalaitteita – vaaditaan sen vuoksi noudattamaan turvallisuutta koskevia velvoitteitaan henkilötietojen asiattoman käsittelyn ja levittämisen estämiseksi. Sekä julkisella että yksityisellä sektorilla toimivien rekisterinpitäjien tulee tätä varten hyväksyä yhteistyössä (mahdollisten) tietosuojaviranomaisten kanssa asianmukaisia menettelytapoja henkilötietoja sisältävän sähkö- ja elektroniikkalaiteromun loppukäsittelyä varten, tai muutoin heidät voidaan asettaa vastuuseen turvatoimien laiminlyömisestä. |
|
26. |
Jos sähkö- ja elektroniikkalaitteiden loppukäsittelystä vastaavalla rekisterinpitäjällä ei ole henkilötietojen poistamiseen tarvittavia taitoja ja/tai teknistä osaamista, se voi uskoa tämän tehtävän pätevälle henkilötietojen käsittelijälle, kuten neuvontakeskukselle, laitevalmistajalle tai -jakelijalle, direktiivin 95/46/EY 17 artiklan 2, 3 ja 4 kohdassa säädettyjen ehtojen mukaisesti. Henkilötietojen käsittelijät vuorostaan varmistavat näiden toimenpiteiden toteuttamisen ja/tai ottavat ne hoitaakseen. |
|
27. |
Euroopan tietosuojavaltuutettu katsoo näistä syistä, että direktiivin uudelleenlaadittuun toisintoon tulee lisätä ympäristönsuojelua koskevien säännösten rinnalle myös tietosuojaa koskevia periaatteita. |
|
28. |
Euroopan tietosuojavaltuutettu suosittelee näin ollen, että neuvosto ja Euroopan parlamentti sisällyttävät nykyiseen ehdotukseen säännöksen, jonka mukaan direktiivin soveltaminen sähkö- ja elektroniikkalaiteromun loppukäsittelyyn ei rajoita direktiivin 95/46/EY soveltamista. |
III.3. Sähkö- ja elektroniikkalaiteromun uudelleenkäyttöä ja kierrätystä koskevat turvatoimet
|
29. |
Loppukäsittelystä vastaava taho voidaan katsoa ”rekisterinpitäjäksi”, sillä se on asemassa, joka mahdollistaa itsenäisten päätösten tekemisen sähkö- ja elektroniikkalaitteiden sisältämien tietojen osalta (18). Näin ollen sen on omaksuttava sisäisiä menettelytapoja sähkö- ja elektroniikkalaitteisiin tallennettujen henkilötietojen tarpeettoman käsittelyn välttämiseksi, toisin sanoen muiden kuin sellaisten toimintojen välttämiseksi, joiden tarkoituksena on varmistaa, että laitteisiin aiemmin tallennetut tiedot on poistettu. |
|
30. |
Lisäksi niiden tulee huolehtia, että asiattomat henkilöt eivät saa sähkö- ja elektroniikkalaitteisiin tallennettuja tietoja tietoonsa tai pääse käsittelemään niitä. Henkilötietojen asiaton käsittely ja levittäminen käy entistä todennäköisemmäksi tallennusvälineiden uudelleenkäytön ja kierrätyksen yhteydessä, sillä tällöin laitteet palautetaan markkinoille; henkilötietojen asiattoman saannin estäminen on näissä tapauksissa vastaavasti entistä tärkeämpää. |
|
31. |
Euroopan tietosuojavaltuutettu suosittelee näin ollen, että neuvosto ja Euroopan parlamentti sisällyttävät nykyiseen ehdotukseen säännöksen, jolla kielletään sellaisten käytettyjen laitteiden markkinointi, joita ei ole käsitelty asianmukaisesti. Ennen markkinointia laitteiden sisältämät henkilötiedot on poistettava ajantasaisten teknisten standardien mukaisella tavalla, esimerkiksi hyödyntäen moninkertaista päällekirjoitusta (multipass overwriting). |
III.4. ”Sisäänrakennettu” yksityisyyden suoja ja turvallisuus
|
32. |
Tulevassa sähkö- ja elektroniikkalaiteromua koskevassa lainsäädännössä tulisi olla laitteiden ”ekologisen suunnittelun” periaatetta käsittelevän säännöksen (ks. ehdotuksen 4 artikla, ”Tuotesuunnittelu”) ohella myös – kuten Euroopan tietosuojavaltuutetun aiemmissa lausunnoissa on todettu (19) – säännös, joka koskee ”sisäänrakennettua yksityisyyden suojaa” (20) tai tarkemmin ottaen ”sisäänrakennettua turvallisuutta” (21). Yksityisyyden suoja ja tietosuoja olisi otettava huomioon sähkö- ja elektroniikkalaitteiden suunnittelussa ”oletusarvoisesti” mahdollisimman pitkälti siten, että käyttäjät voivat yksinkertaisella tavalla ja veloituksetta poistaa laitteen mahdollisesti sisältämät henkilötiedot laitteen loppukäsittelyä varten (22). |
|
33. |
Tätä lähestymistapaa tukevat yksiselitteisesti radio- ja telepäätelaitteista ja niiden vaatimustenmukaisuuden vastavuoroisesta tunnustamisesta annetun direktiivin 1999/5/EY (23) 3 artiklan 3 kohdan c alakohta sekä direktiivin 2002/58/EY (24) 14 artiklan 3 kohta. |
|
34. |
Tämän vuoksi valmistajien tulisi luoda ”sisäänrakennettuja” teknologisia ratkaisuja yksityisyyden suojan ja turvallisuuden takaamiseksi (25). Tässä yhteydessä on myös edistettävä ja tuettava aloitteita sellaisten tahojen neuvomiseksi, joiden on poistettava henkilötietoja ennen sähkö- ja elektroniikkalaiteromun loppukäsittelyä; tämä koskee myös valmistajia, jotka tarjoavat tähän tarkoitukseen soveltuvia ohjelmia (26). |
IV. PÄÄTELMÄT
|
35. |
Edellä esitetyt seikat huomioon ottaen Euroopan tietosuojavaltuutettu suosittelee, että tietosuojaviranomaiset – erityisesti 29 artiklan mukaisen tietosuojatyöryhmän välityksellä – ja Euroopan tietosuojavaltuutettu osallistuvat tiiviisti sähkö- ja elektroniikkalaiteromun loppukäsittelyä koskevien aloitteiden käsittelyyn ennen toimenpiteiden laatimista riittävän aikaisessa vaiheessa pidettyjen kuulemisten välityksellä. |
|
36. |
Ottaen huomioon kontekstin, jossa henkilötietoja käsitellään, Euroopan tietosuojavaltuutettu kehottaa sisällyttämään ehdotukseen seuraavanlaiset säännökset:
|
|
37. |
Euroopan tietosuojavaltuutettu suosittelee näin ollen painokkaasti, että ehdotusta muutetaan direktiivin 95/46/EY mukaisesti seuraavalla tavalla: — Johdanto-osan perustelukappale 11: ”Lisäksi tämän direktiivin soveltamisen ei tule vaikuttaa tietosuojalainsäädännön ja erityisesti direktiivin 95/46/EY soveltamiseen. Sähkö- ja elektroniikkalaitteet on laaja tuoteryhmä, joka kattaa myös erilaiset henkilötietojen tallennukseen soveltuvat laitteet, kuten tieto- ja teletekniset laitteet. Tästä syystä sähkö- ja elektroniikkalaiteromun loppukäsittelytoimet ja erityisesti niiden uudelleenkäyttö ja kierrätys voivat mahdollistaa luvattoman pääsyn laitteisiin tallennettuihin henkilötietoihin. Tämän vuoksi yksityisyyden suoja ja tietosuoja on taattava oletusarvoisesti mahdollisimman hyvin jo henkilötietojen tallentamiseen soveltuvien sähkö- ja elektroniikkalaitteiden suunnitteluvaiheessa, jotta käyttäjät voivat poistaa tällaiset tiedot yksinkertaisella tavalla ja veloituksetta ennen laitteen loppukäsittelyä. — 2 artiklan 3 kohta: ”Tämän direktiivin soveltamisen ei tule vaikuttaa tietosuojalainsäädännön ja erityisesti direktiivin 95/46/EY soveltamiseen.” |
|
38. |
Euroopan tietosuojavaltuutettu katsoo lisäksi tarpeelliseksi ottaa harkintaan seuraavat muutokset: — 4 artiklan 2 kohta: ”Jäsenvaltioiden on tuettava toimenpiteitä sellaisten sähkö- ja elektroniikkalaitteiden suunnittelemiseksi ja valmistamiseksi, joiden sisältämien henkilötietojen poistaminen ennen loppukäsittelyä on nykyistä helpompaa.” — 8 artiklan 7 kohta: ”Jäsenvaltioiden on varmistettava, että henkilökohtaisia tietoja sisältävää sähkö- ja elektroniikkalaiteromua, joka käsitellään kierrätystä tai uudelleenkäyttöä varten, ei tuoda markkinoille, ellei henkilötietoja ole ensin poistettu hyödyntäen parhaita käytettävissä olevia tekniikoita.” — 14 artiklan 6 kohta: ”Jäsenvaltiot voivat vaatia, että valmistajat ja/tai jakelijat tiedottavat henkilötietoja sisältävien sähkö- ja elektroniikkalaitteiden käyttäjille esimerkiksi käyttöohjeissa tai myyntipisteessä tarpeesta poistaa laitteen mahdollisesti sisältämät henkilötiedot ennen laitteen loppukäsittelyä.” |
Tehty Brysselissä 14 päivänä huhtikuuta 2010.
Peter HUSTINX
Euroopan tietosuojavaltuutettu
(1) KOM(2008) 810 lopullinen.
(2) EUVL L 37, 13.2.2003, s. 24.
(3) Euroopan parlamentin ja neuvoston asetus (EY) N:o 45/2001, annettu 18 päivänä joulukuuta 2000, yksilöiden suojelusta yhteisöjen toimielinten ja elinten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (EYVL L 8, 12.1.2001, s. 1).
(4) Ks. yhteisöjen tuomioistuimen asiassa C-42/97, Euroopan parlamentti vastaan Euroopan unionin neuvosto, 23.2.1999 antama tuomio (Kok. 1986, s. I-869, 43 kohta).
(5) Ks. myös mm. yhteisöjen tuomioistuimen asiassa C-36/98, Espanja vastaan neuvosto, 30.1.2001 antama tuomio (Kok. 2001, s. I-779, 59 kohta): ”Jos yhteisön säädöksen tutkinnasta käy ilmi, että säädöksellä on kaksi tarkoitusta tai että siinä on kahdenlaisia komponentteja, ja jos yksi niistä on yksilöitävissä pääasialliseksi tai määrääväksi komponentiksi ja toinen on ainoastaan liitännäinen komponentti, säädös on annettava ainoastaan yhden oikeudellisen perustan perusteella eli sen, jota säädöksen tarkoitus tai sen pääasiallinen tai määräävä komponentti edellyttää.”
(6) Toimielinten välinen sopimus, tehty 28 päivänä marraskuuta 2001, säädösten uudelleenlaatimistekniikan järjestelmällisestä käytöstä, EYVL C 77, 28.3.2002, s. 1.
(7) Ks. Commission Staff working paper accompanying the Proposal for a Directive of the European Parliament and of the Council on waste electrical and electronic equipment (WEEE) (recast). Impact Assessment (Komission yksiköiden valmisteluasiakirja – Oheisasiakirja ehdotukseen (KOM(2008) 810 lopullinen) Euroopan parlamentin ja neuvoston direktiiviksi sähkö- ja elektroniikkalaiteromusta (uudelleenlaadittu toisinto). Vaikutusten arviointi), 3.12.2008, SEC(2008) 2933, s. 17.
(8) Euroopan parlamentin ja neuvoston direktiivi 95/46/EY, annettu 24 päivänä lokakuuta 1995, yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta, EYVL L 281, 23.11.1995, s. 31.
(9) Käsite ”rekisterinpitäjä” on määritelty direktiivin 95/46/EY 2 artiklan d kohdassa.
(10) Ks. direktiivin 95/46/EY 8 artikla.
(11) Ks. Euroopan tietosuojavaltuutetun lausunto laaja-alaisten tietojärjestelmien operatiivisesta hallinnoinnista vastaavan viraston perustamisesta (EUVL C 70, 19.3.2010, s. 13), 46 ja 47 kohta; ehdotus Euroopan tietosuojavaltuutetun lausunnoksi ehdotuksesta Euroopan parlamentin ja neuvoston direktiiviksi potilaiden oikeuksien soveltamisesta rajat ylittävässä terveydenhuollossa (EUVL C 128, 6.6.2009, s. 20), 27–31 kohdat.
(12) Ks. saman direktiivin 3 artikla.
(13) Euroopan parlamentin ja neuvoston direktiivi 2009/136/EY, annettu 25 päivänä marraskuuta 2009, yleispalvelusta ja käyttäjien oikeuksista sähköisten viestintäverkkojen ja -palvelujen alalla annetun direktiivin 2002/22/EY, henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla annetun direktiivin 2002/58/EY ja kuluttajansuojalainsäädännön täytäntöönpanosta vastaavien kansallisten viranomaisten yhteistyöstä annetun asetuksen (EY) N:o 2006/2004 muuttamisesta, EUVL L 337, 18.12.2009, s. 11.
(14) Commission Staff Working Paper accompanying the Proposal for a Directive of the European Parliament and of the Council on waste electrical and electronic equipment (WEEE) (recast) (Komission yksiköiden valmisteluasiakirja – Oheisasiakirja ehdotukseen Euroopan parlamentin ja neuvoston direktiiviksi sähkö- ja elektroniikkalaiteromusta (uudelleenlaadittu toisinto)), SEC(2008) 2933, 3.12.2008; lisäksi ks. United Nations University, 2008 Review of Directive 2002/96 on Waste Electrical and Electronic Equipment (WEEE) (Vuoden 2008/EC selonteko sähkö- ja elektroniikkalaiteromusta annetusta direktiivistä 2002/96/EY), Euroopan komissio, Belgia, 2007, s. 273 (http://ec.europa.eu/environment/waste/weee/pdf/final_rep_unu.pdf); Data security is also an issue – removing personal data from a hard-drive (Tietoturva on myös tärkeä asia – henkilötietojen poistaminen kovalevyltä).
(15) Ks. esimerkiksi BBC:n verkkoartikkeli Children's files on eBay computer (Lasten tiedot eBay-tietokoneella), 4.5.2007, jonka mukaan eBay-verkkosivustolla on myyty tietokone, joka sisälsi sijaisperheisiin sijoitettuja ja adoptoituja lapsia koskevia tietoja (http://news.bbc.co.uk/2/hi/uk_news/england/6627265.stm); ks. myös BBC:n verkkoartikkeli Bank customer data sold on eBay (Pankkiasiakkaiden tiedot myyty eBayssä), 26.8.2008, jonka mukaan eBay-verkkosivustolla on myyty kovalevy, joka sisälsi miljoonan pankkiasiakkaan henkilötietoja (http://news.bbc.co.uk/2/hi/uk_news/7581540.stm).
(16) Ks. HP, Stakeholder Consultation on the Review of Directive 2002/96/EC of the European Parliament and of the Council on Waste Electrical and Electronic Equipment (WEEE) (Sidosryhmien kuuleminen Euroopan parlamentin ja neuvoston sähkö- ja elektroniikkalaiteromusta antaman direktiivin 2002/96/EY tarkistamisesta), s. 7–8; DELL (alustavat huomiot), WEEE Review Policy Options of the stakeholder consultation on the review of directive 2002/96/EC of the European Parliament and of the Council on Waste Electrical And Electronic Equipment (WEEE) (Sähkö- ja elektroniikkalaiteromua koskevan direktiivin tarkistaminen – Poliittiset vaihtoehdot Euroopan parlamentin ja neuvoston sähkö- ja elektroniikkalaiteromusta antaman direktiivin 2002/96/EY tarkistamista koskevassa sidosryhmien kuulemisessa), s. 2, 1.1 ja 4 kohta, 1.3 kohta (3.6.2008); Royal Philips Electronics, Position and Proposal, Stakeholder consultation on the Revision of the WEEE Directive (Kanta ja ehdotus, Sidosryhmien kuuleminen sähkö- ja elektroniikkalaiteromua koskevan direktiivin tarkistamisen yhteydessä), s. 12 (5.6.2008) (http://circa.europa.eu/Public/irc/env/weee_2008_review/library). Ks. myös WEEE Consultation Response, Summary of responses and Government response to fourth consultation on implementation of Directives 2002/96/EC and 2003/108/EC on Waste Electrical and Electronic Equipment (Vastaus sähkö- ja elektroniikkalaiteromua koskevaan kuulemiseen, Tiivistelmä vastauksista ja hallituksen vastaus neljänteen sähkö- ja elektroniikkalaiteromusta annettujen direktiivien 2002/96/EY ja 2003/108/EY täytäntöönpanoa koskevaan kuulemiseen), joulukuu 2006, s. 30: ”Data protection and security. Some waste management companies would like there to be some guidance issued on data protection and security, particularly in light of the fact they will be handling sensitive data” (”Tietosuoja ja turvallisuus. Jotkin jätteenkäsittelyalan yritykset toivoisivat ohjeita tietosuojasta ja turvallisuudesta erityisesti sen vuoksi, että ne joutuvat käsittelemään arkaluonteisia tietoja.”) (http://www.berr.gov.uk/files/file35961.pdf).
(17) Landesbeauftragter für Datenschutz und Informationsfreiheit Bremen, Entwicklung eines Konzeptes zur Löschung und Datenträgervernichtung durch Behörden und Unternehmen, 16. Mai 2007 (http://www.datenschutz-bremen.de/rtf/datenloeschung.rtf); Garante per la protezione dei dati personali, Electrical and Electronic Waste and Data Protection, 13 päivänä lokakuuta 2008 (http://www.garanteprivacy.it/garante/doc.jsp?ID=1583482), joka on mainittu myös 29 artiklan mukaisen tietosuojatyöryhmän 12. vuosikertomuksessa, 16 päivänä kesäkuuta 2009, s. 57; ks. myös kansainvälisen tietosuojaa ja televiestintää käsittelevän työryhmän (International Working Group on Data Protection and Telecommunications) Sofiassa 12. ja 13.3.2009 laatima Recommendation on Data Protection and E-Waste (Tietosuojaa ja sähkö- ja elektroniikkalaiteromua koskeva suositus) (http://www.datenschutz-berlin.de/attachments/650/675.38.14.pdf?1264671551).
(18) ”The concept of controller is […] functional, in the sense that it is intended to allocate responsibilities where the factual influence is, and thus based on a factual rather than a formal analysis” (”Käsite rekisterinpitäjä on funktionaalinen siinä mielessä, että sen tarkoituksena on kohdentaa velvollisuuksia sinne, missä tosiasiallinen vaikutus sijaitsee. Näin ollen käsite perustuu tosiasialliseen pikemmin kuin muodolliseen analyysiin.”): ks. 29 artiklan mukainen tietosuojatyöryhmä, WP 169, Opinion 1/2010 on the concepts of ”controller” and ”processor” (Lausunto 1/2010 käsitteistä ”rekisterinpitäjä” ja ”henkilötietojen käsittelijä”), hyväksytty 16 päivänä helmikuuta 2010.
(19) Ks. esimerkiksi The EDPS and EU Research and Technological Development. Policy paper (Euroopan tietosuojavaltuutettu ja EU:n tutkimus ja teknologinen kehitys. Toimintapoliittinen asiakirja), 28 päivänä huhtikuuta 2008, s. 2; Euroopan tietosuojavaltuutetun lausunto älykkäistä liikennejärjestelmistä, EUVL C 47, 25.2.2010, s. 6; Euroopan tietosuojavaltuutetun lausunto lääketurvatoiminnasta, EUVL C 229, 23.9.2009, s. 19.
(20) Periaatteen laajan soveltamisen perusteista ks. 29 artiklan mukainen tietosuojatyöryhmä – poliisi- ja oikeusasioita käsittelevä työryhmä, The Future of Privacy. Joint contribution to the Consultation of the European Commission on the legal framework for the fundamental right to protection of personal data (Yksityisyyden suojan tulevaisuus. Yhteinen vastaus Euroopan komission kuulemiseen perusoikeutta henkilötietojen suojaan koskevasta lainsäädäntökehyksestä), WP 168, hyväksytty 1 päivänä joulukuuta 2009, s. 3 ja s. 12; ks. myös komission suositus yksityisyyden suojaa ja tietosuojaa koskevien periaatteiden toteuttamisesta radiotaajuustunnistusta käyttävissä sovelluksissa, K(2009) 3200 lopullinen, s. 8.
(21) Ks. komission tiedonanto, Euroopan turvallisuustutkimus ja innovaatiostrategia – komission alustava kanta ESRIFin keskeisiin havaintoihin ja suosituksiin, KOM(2009) 691 lopullinen, s. 6 ja 14.
(22) Ks. myös Euroopan tietosuojavaltuutettu, Opinion of 18 March 2010 on promoting trust in the Information Society by fostering data protection and privacy (18 päivänä maaliskuuta 2010 annettu lausunto luottamuksen edistämisestä tietoyhteiskunnassa tietosuojaa ja yksityisyyden suojaa vaalimalla).
(23) Euroopan parlamentin ja neuvoston direktiivi 1999/5/EY, annettu 9 päivänä maaliskuuta 1999, radio- ja telepäätelaitteista ja niiden vaatimustenmukaisuuden vastavuoroisesta tunnustamisesta, 3 artiklan 3 kohta, EYVL L 91, 7.4.1999, s. 10): ”Komissio voi […] päättää, että tiettyihin laiteluokkiin kuuluvien laitteistojen tai tiettyjen laitteistotyyppien on oltava siten rakennettuja, että […] niihin sisältyy turvalaitteita, jotka takaavat käyttäjän ja tilaajan henkilötietojen ja yksityisyyden suojan.”
(24) ”Tarvittaessa voidaan toteuttaa toimenpiteitä sen varmistamiseksi, että päätelaitteet rakennetaan tavalla, joka on sopusoinnussa käyttäjillä olevan oikeuden kanssa, joka koskee heidän henkilötietojensa käytön suojelua ja valvontaa direktiivin 1999/5/EY ja standardoinnista tietotekniikassa ja televiestinnässä 22 päivänä joulukuuta 1986 tehdyn neuvoston päätöksen 87/95/ETY(10) mukaisesti.” Ks. myös saman direktiivin johdanto-osan kappale 46, joka on mainittu alaviitteessä 13.
(25) Tätä vaihtoehtoa tuki myös Viviane Reding puheessaan Keynote Speech at the Data Protection Day (Tietosuojapäivän pääpuhe), 28 päivänä tammikuuta 2010, Euroopan parlamentti, Bryssel, SPEECH/10/16: ”Businesses must use their power of innovation to improve the protection of privacy and personal data from the very beginning of the development cycle. Privacy by Design is a principle that is in the interest of both citizens and businesses. Privacy by Design will lead to better protection for individuals, as well as to trust and confidence in new services and products that will in turn have a positive impact on the economy. I have seen some encouraging examples, but much more needs to be done”. (”Liikeyritysten on käytettävä innovointikykyään yksityisyyden ja henkilötietojen suojan parantamiseksi aivan suunnittelutyön alusta lähtien. Sisäänrakennettu yksityisyyden suoja on periaate, jonka noudattaminen on sekä kansalaisten että liikeyritysten etujen mukaista. Se parantaa yksilöiden suojaa ja samalla lisää heidän luottamustaan uusiin palveluihin ja tuotteisiin, mikä puolestaan vaikuttaa myönteisesti talouteen. Olen nähnyt jo joitain rohkaisevia esimerkkejä, mutta tehtävää on vielä paljon.”).
(26) Ks. esimerkiksi Royal Canadian Mounted Police, B2-002 — IT Media Overwrite and Secure Erase Products (Tuotteet tietoteknisten tallennusvälineiden päällekirjoitukseen ja muistin turvalliseen tyhjentämiseen) (05/2009), osoitteessa http://www.rcmp-grc.gc.ca/ts-st/pubs/it-ti-sec/index-eng.htm
