52012DC0009

KOMISSION TIEDONANTO EUROOPAN PARLAMENTILLE, NEUVOSTOLLE, EUROOPAN TALOUS- JA SOSIAALIKOMITEALLE JA ALUEIDEN KOMITEALLE

Yksityisyydensuoja verkottuvassa maailmassa Euroopan uusi tietosuojakehys

(ETA:n kannalta merkityksellinen teksti)

1. TIETOSUOJAN UUDET HAASTEET

Teknologian nopean kehityksen ja globalisoitumisen myötä henkilötietoja kerätään yhä kasvavassa määrin, ja niiden käsittelyssä ja siirtämisessä käytettävät keinot ovat muuttuneet perinpohjin. Uudet tavat jakaa tietoa sosiaalisten verkostojen kautta ja suurten datamäärien varastointi verkkopalvelimille ovat arkipäivää monille Euroopan 250 miljoonasta internetin käyttäjästä. Samalla henkilötiedoista on tullut monille yrityksille osa niiden omaisuutta. Potentiaalisten asiakkaiden tietojen kerääminen, yhdistäminen ja analysointi muodostaa merkittävän osan monien yritysten taloudellisesta toiminnasta[1].

Tässä uudessa digitaalisessa toimintaympäristössä yksilöillä on oikeus valvoa tehokkaasti henkilötietojaan. Tietosuoja on Euroopassa perusoikeus, joka vahvistetaan Euroopan unionin perusoikeuskirjan 8 artiklassa sekä Euroopan unionin toiminnasta tehdyn sopimuksen, jäljempänä ’SEUT-sopimus’, 16 artiklan 1 kohdassa. Tätä oikeutta on myös suojattava asianmukaisella tavalla.

Kuluttajat suhtautuvat uusiin verkkopalveluihin epäluuloisesti ja epäröivät ostosten tekemistä verkossa luottamuspulan vuoksi. Korkeatasoista tietosuojaa tarvitaan myös siksi, että voitaisiin parantaa luottamusta online-palveluihin ja hyödyntää digitaalitalouden kaikki mahdollisuudet. Näin edistetään talouskasvua ja EU:n teollisuuden kilpailukykyä.

EU:ssa tarvitaan ajanmukaiset ja yhtenäiset säännöt, jotka takaavat tietojen vapaan liikkuvuuden jäsenvaltiosta toiseen. Yritykset tarvitsevat selkeät ja yhdenmukaiset säännöt, jotka takaavat oikeusvarmuuden ja vähentävät hallinnollista rasitusta mahdollisimman paljon. Tämä on olennaisen tärkeää sisämarkkinoiden toiminnan kannalta ja jotta voidaan tukea talouskasvua, luoda uusia työpaikkoja ja edistää innovointia[2]. EU:n tietosuojasääntöjen uudistaminen vahvistaa niiden sisämarkkinaulottuvuutta, takaa yksilöiden tietosuojan korkean tason ja edistää oikeusvarmuutta, selkeyttä ja yhdenmukaisuutta. Siksi uudistus on keskeisellä sijalla sekä Euroopan komission hyväksymässä toimintasuunnitelmassa Tukholman ohjelman toteuttamiseksi[3] että Euroopan digitaalistrategiassa[4]. Laajemmin uudistus edistää myös EU:n kasvustrategiaa (Eurooppa 2020 ‑strategia[5]).

Vuonna 1995 annettu EU:n tietosuojadirektiivi[6], Euroopan tietosuojalainsäädännön keskeinen säädös, oli virstanpylväs koko tietosuojan historiassa. Sen tavoitteet, eli sisämarkkinoiden toiminnan turvaaminen ja perusoikeuksien ja yksilön vapauksien tehokas suojaaminen, pätevät yhä. Direktiivi annettiin kuitenkin jo 17 vuotta sitten, jolloin internet oli vasta lapsenkengissä. Nykypäivän haastavassa digitaalisessa toimintaympäristössä nämä säännöt eivät enää riitä takaamaan tarvittavaa yhdenmukaisuuden tasoa tai oikeutta tehokkaaseen henkilötietojen suojaan. Sen vuoksi Euroopan komissio ehdottaa nyt tietosuojaa koskevan EU:n lainsäädäntökehyksen perusteellista uudistamista.

Lisäksi Lissabonin sopimuksen voimaantulon myötä on saatu käyttöön uusi oikeusperusta, SEUT-sopimuksen 16 artikla, jonka ansiosta voidaan omaksua ajanmukainen ja kattava lähestymistapa tietosuojaan ja henkilötietojen vapaaseen liikkuvuuteen myös poliisiyhteistyön ja rikosasioissa tehtävän oikeudellisen yhteistyön alalla[7]. Uusi lähestymistapa on otettu huomioon Tukholman ohjelmaa ja sen toteuttamissuunnitelmaa koskevissa Euroopan komission tiedonannoissa[8], joissa korostetaan, että EU:ssa on kehitettävä kattava järjestelmä henkilötietojen suojaamiseksi kaikilla unionin toimivaltaan kuuluvilla aloilla ja varmistettava, että tietosuojaa koskevaa perusoikeutta noudatetaan johdonmukaisesti.

Jotta EU:n tietosuojakehyksen uudistus voitaisiin toteuttaa avoimuuden hengessä, komissio käynnisti jo vuonna 2009 tietosuojaa koskevat julkiset kuulemiset[9] ja aloitti sidosryhmien kanssa tiiviin vuoropuhelun[10]. Komissio esitti uudistuksen keskeiset periaatteet 4. marraskuuta 2010 antamassaan tiedonannossa Kattava lähestymistapa henkilötietojen suojaan Euroopan unionissa[11]. Syyskuusta joulukuuhun 2011 komissio kävi Euroopan kansallisten tietosuojaviranomaisten ja Euroopan tietosuojavaltuutetun kanssa tiivistä vuoropuhelua eri keinoista yhdenmukaistaa EU:n tietosuojasääntöjen soveltamista kaikissa EU:n jäsenvaltioissa[12].

Keskustelujen perusteella on selvää, että sekä kansalaiset että yritykset toivovat Euroopan komission uudistavan EU:n tietosuojasääntöjä perusteellisesti. Arvioituaan eri toimintavaihtoehtojen vaikutuksia[13] komissio esittää nyt vahvaa ja johdonmukaista lainsäädäntökehystä, joka kattaa kaikki unionin politiikat, edistää yksilön oikeuksia ja tietosuojan sisämarkkinaulottuvuutta sekä vähentää yritysten byrokratiaa[14]. Komission ehdottama uusi säädöskehys käsittää seuraavat osat:

– asetus, jolla vahvistetaan EU:n yleinen tietosuojakehys (ja korvataan direktiivi 95/46/EY)[15];

– ja direktiivi, jolla vahvistetaan henkilötietojen suojaa koskevat säännöt rikosten torjumista, selvittämistä, tutkimista ja syytteeseenpanoa sekä tähän liittyviä oikeustoimia varten (ja korvataan puitepäätös 2008/977/YOS[16]).

Tässä tiedonannossa esitetään EU:n tietosuojakehyksen uudistuksen keskeiset elementit.

2. YKSILÖN OIKEUS VALVOA HENKILÖTIETOJAAN

Direktiivi 95/46/EY on EU:n tärkein tietosuojasäädös. Sen perusteella ei kuitenkaan ole pystytty riittävästi yhdenmukaistamaan sääntöjä, joiden mukaisesti yksilöt eri jäsenvaltioissa voivat käyttää oikeuttaan henkilötietojen suojaan. Myöskään kansallisten tietosuojaviranomaisten valtuudet eivät ole kyllin yhtenäiset, jotta voitaisiin varmistaa sääntöjen yhdenmukainen ja tehokas soveltaminen. Tästä syystä näiden oikeuksien käyttäminen on toisissa jäsenvaltioissa vaikeampaa kuin toisissa, erityisesti verkkoympäristössä.

Nämä vaikeudet johtuvat sekä siitä, että tietoja kerätään päivittäin valtavia määriä, että siitä, että käyttäjät eivät aina täysin tiedosta, että heidän tietojaan kerätään. Vaikka monet eurooppalaiset ovat sitä mieltä, että henkilötietojen antaminen on nykyään osa arkipäivää[17], 72 prosenttia internetin käyttäjistä Euroopassa on huolissaan siitä, että heiltä vaaditaan verkkoympäristössä liikaa henkilötietoja[18]. He tuntevat, etteivät aina pysty valvomaan tietojaan. He eivät myöskään katso saavansa riittävästi tietoa siitä, mitä heidän henkilötiedoilleen tapahtuu, kenelle niitä siirretään ja mihin tarkoitukseen. Monet eivät osaa käyttää oikeuksiaan verkkoympäristössä.

Oikeus tulla unohdetuksi

Eurooppalainen opiskelija päättää selvittää, mitä henkilötietoja hänestä on tallennettu internetissä toimivaan yhteisöpalveluun, jonka jäseneksi hän on liittynyt. Hän huomaa, että palvelu kerää paljon enemmän tietoja kuin hän luuli. Kaiken lisäksi palvelussa oli edelleen tallella tietoja, jotka hän uskoi poistaneensa.

EU:n tietosuojasääntöjen uudistuksen tarkoituksena on varmistaa, että näin ei enää käy, kun otetaan käyttöön seuraavat vaatimukset:

- internetyhteisöpalvelujen (ja kaikkien muiden rekisterinpitäjien) on minimoitava käyttäjiltä kerättävien ja käsiteltävien henkilötietojen määrä;

- vakioasetusten on taattava, että tietoja ei julkisteta;

- rekisterinpitäjien on poistettava yksilön henkilötiedot, jos tämä nimenomaisesti pyytää sitä eikä tietojen säilyttämiseen ole perusteltua syytä.             Esimerkkitapauksessa palveluntarjoajan olisi poistettava kaikki opiskelijan tiedot välittömästi.

Kuten Euroopan digitaalistrategiassa todetaan, yksityisyydensuojaan liittyvä huoli on suurimpia syitä siihen, että ihmiset eivät osta tavaroita ja palveluja verkosta. Kun otetaan huomioon tieto- ja viestintäteknologian osuus Euroopan kokonaistuottavuudesta (20 % suoraan tältä sektorilta ja 30 % siihen liittyvistä investoinneista[19]), luottamus verkkopalveluihin on EU:n talouden kasvun ja eurooppalaisen teollisuuden kilpailukyvyn tukemisen kannalta elintärkeä asia.

Tietoturvaloukkauksista ilmoittaminen

Hakkerit tunkeutuivat mm. EU:ssa asuville käyttäjille suunnattuun rahapelipalveluun. He pääsivät käsiksi tietokantoihin, joissa oli kymmenien miljoonien eri puolilla maailmaa asuvien ihmisten henkilötietoja (mm. nimiä, osoitteita ja mahdollisesti myös luottokorttitietoja). Palvelusta vastaava yritys ilmoitti tietoturvaloukkauksesta käyttäjille vasta viikon kuluttua.

EU:n tietosuojasääntöjen uudistuksen tarkoituksena on varmistaa, että näin ei enää käy. Uusien sääntöjen nojalla yritysten on

- tehostettava turvatoimiaan tietoturvaloukkausten ehkäisemiseksi ja välttämiseksi;

- ilmoitettava tietoturvaloukkauksista kansalliselle tietosuojaviranomaiselle vuorokauden kuluessa siitä kun tapahtuma on havaittu ja asianomaisille yksilöille ilman aiheetonta viivytystä.

Komission ehdottamien säädösten tarkoituksena on lujittaa oikeuksia, jotta kansalaiset saavat tehokkaat käytännön keinot varmistaa, että he saavat tarvittavat tiedot siitä, mitä heidän henkilötiedoilleen tapahtuu, ja että he voivat käyttää oikeuksiaan tehokkaammin.

Komissio haluaa lujittaa yksilöiden tietosuojaoikeuksia ehdottamalla uusia sääntöjä, joilla on seuraavat tavoitteet:

Lisätään yksilön mahdollisuuksia valvoa tietojaan

-        varmistamalla, että kun rekisteröidyltä vaaditaan suostumus, se on annettava nimenomaisesti, eli siten, että asianomainen esittää suostumuksen ilmaisevan lausuman tai toteuttaa suostumusta selkeästi ilmaisevan toimen vapaaehtoisesti;

-        antamalla internetin käyttäjille tehokas oikeus tulla unohdetuksi verkkoympäristössä: tämä tarkoittaa, että käyttäjillä on oltava oikeus saada tietonsa poistettua, jos he peruuttavat suostumuksensa eikä tietojen säilyttämiseen ole perusteltua syytä;

-        varmistamalla, että omat tietonsa voi saada helposti ja että tiedot on mahdollista siirtää toiselle palveluntarjoajalle: oikeus saada rekisterinpitäjältä jäljennös tallennetuista tiedoista ja oikeus siirtää tiedot palveluntarjoajalta toiselle esteettä;

-         lujittamalla oikeutta tiedonsaantiin, niin että yksilöt ymmärtävät täysin, miten heidän henkilötietojaan kohdellaan, erityisesti silloin kun tietojenkäsittely koskee lapsia. Annetaan yksilölle paremmat keinot käyttää oikeuksiaan

-        vahvistamalla kansallisten tietosuojaviranomaisten riippumattomuutta ja valtuuksia niin, että ne saavat tarvittavat edellytykset käsitellä tehokkaasti valituksia ja valtuudet toteuttaa tuloksellisia tutkimuksia, tehdä sitovia päätöksiä ja määrätä tehokkaita ja varoittavia seuraamuksia;

-        vahvistamalla hallinnollisia ja oikeudellisia oikeussuojakeinoja tilanteissa, joissa tietosuojaoikeuksia on loukattu. Esimerkiksi määrätyt ehdot täyttävät yhdistykset voivat nostaa tuomioistuimessa kanteen yksilön puolesta.

Lujitetaan tietoturvallisuutta

-        kannustamalla käyttämään yksityisyydensuojaa parantavia teknologioita (jotka minimoivat henkilötietojen tallentamisen), yksityisyydensuojaa tukevia vakioasetuksia ja yksityisyydensuojaa koskevia sertifiointijärjestelmiä;

-        asettamalla rekisterinpitäjille yleinen velvollisuus[20] ilmoittaa tietoturvaloukkauksista ilman aiheetonta viivytystä sekä tietosuojaviranomaisille (mahdollisuuksien mukaan 24 tunnin kuluessa) että asianomaisille yksilöille.

Tiukennetaan tietojen käsittelijöiden tilivelvollisuutta

-         velvoittamalla rekisterinpitäjät nimittämään tietosuojavastaava yrityksissä, joissa on yli 250 työntekijää tai joiden suorittamiin tietojenkäsittelytoimiin liittyy niiden luonteen, laajuuden tai tarkoitusten vuoksi erityisiä riskejä yksilöiden oikeuksien ja vapauksien suhteen (ns. riskialtis tietojenkäsittely);

-        ottamalla käyttöön ns. sisäänrakennetun tietosuojan periaate sen varmistamiseksi, että tietosuojatakeet otetaan huomioon jo menettelyjen ja järjestelmien suunnitteluvaiheessa;

-        ottamalla käyttöön velvoite laatia tietosuojaa koskeva vaikutustenarviointi riskialtista tietojenkäsittelyä suorittavissa organisaatioissa.

3. TIETOSUOJASÄÄNNÖT DIGITAALISTEN SISÄMARKKINOIDEN TARPEISIIN

Vaikka voimassa olevan tietosuojadirektiivin tavoitteena on varmistaa tietosuojan yhtenäinen taso EU:ssa, eri jäsenvaltioiden säännöt poikkeavat edelleen huomattavasti toisistaan. Tämän vuoksi rekisterinpitäjät saattavat joutua tekemisiin 27:n eri kansallisen lainsäädännön asettamien vaatimusten kanssa. Tuloksena on hajanainen oikeudellinen ympäristö, joka synnyttää oikeudellista epävarmuutta ja johtaa yksilöiden tietosuojan epäyhdenmukaisuuteen. Tämä on aiheuttanut yrityksille tarpeettomia kuluja ja hallinnollista rasitusta. Se myös vähentää sisämarkkinoilla toimivien yritysten halukkuutta laajentaa toimintaansa yli rajojen.

Kansallisten tietosuojaviranomaisten resurssit ja valtuudet vaihtelevat huomattavasti jäsenvaltiosta toiseen.[21] Tästä syystä viranomaiset eivät aina pysty suorittamaan lainvalvontatehtäviään tyydyttävästi. Näiden viranomaisten yhteistyö EU:n tasolla (nykyisen neuvoa-antavan ryhmän eli tietosuojatyöryhmän[22] puitteissa) ei aina takaa täytäntöönpanon yhdenmukaisuutta, minkä vuoksi myös sitä olisi parannettava.

Tietosuojasääntöjen yhdenmukainen täytäntöönpano kaikkialla EU:ssa

Monikansallinen yritys, jolla on useita toimipaikkoja eri puolilla EU:ta, on avannut verkossa Euroopan-laajuisen karttapalvelun, johon kootaan kuvia kaikista yksityisistä ja julkisista rakennuksista. Kuvissa saattaa esiintyä myös kaduilla olevia ihmisiä. Yhdessä jäsenvaltiossa katsottiin, että on lainvastaista julkaista sumentamattomia kuvia henkilöistä, jotka eivät tienneet tulleensa kuvatuiksi, kun taas muissa jäsenvaltioissa tätä ei pidetty tietosuojasäännösten vastaisena. Näin ollen kansalliset tietosuojaviranomaiset eivät voineet puuttua tilanteeseen johdonmukaisella tavalla.

EU:n tietosuojasääntöjen uudistuksen tarkoituksena on varmistaa, että jatkossa näin ei enää käy, koska

- tietosuojavaatimukset ja ‑takeet vahvistetaan EU:n asetuksella, jota sovelletaan sellaisenaan kaikkialla unionissa;

- yrityksen toiminnan laillisuuden ratkaisee vain yrityksen päätoimipaikan tietosuojaviranomainen;

- silloin kun jokin palvelu on osoitettu eri jäsenvaltioissa asuville yksilöille, kansallisten tietosuojaviranomaisten toiminnan nopea ja tehokas koordinointi auttaa varmistamaan, että EU:n uusia tietosuojasääntöjä sovelletaan ja että niiden täytäntöönpanoa valvotaan yhdenmukaisesti kaikissa jäsenvaltioissa.

Kansallisten viranomaisten asemaa on vahvistettava ja niiden yhteistyötä tehostettava, jotta voidaan taata yhdenmukainen täytäntöönpanon valvonta ja viime kädessä sääntöjen yhdenmukainen soveltaminen kaikkialla EU:ssa.

Vahva, selkeä ja yhdenmukainen EU:n säädöskehys auttaa hyödyntämään digitaalisten sisämarkkinoiden koko potentiaalia ja edistää talouskasvua, innovaatiota ja työpaikkojen luomista. Asetuksen avulla päästään eroon 27 jäsenvaltion oikeudellisen toimintaympäristön hajanaisuudesta ja voidaan raivata markkinoillepääsyn esteet, mikä on erityisen tärkeää mikroyritysten sekä pienten ja keskisuurten yritysten kannalta.

Uusi säädöskehys tuo EU:n yrityksille etua myös globaalissa kilpailutilanteessa, sillä sen ansiosta ne voivat tarjota asiakkailleen takeet siitä, että näiden arvokkaita henkilötietoja kohdellaan asianmukaista varovaisuutta ja huolellisuutta noudattaen. Luottamus yhdenmukaiseen EU:n sääntelykehykseen on olennaisen tärkeää palveluntarjoajille. Se myös kannustaa sijoittajia etsimään palvelujen sijoittamisen yhteydessä mahdollisimman suotuisia olosuhteita.

Komissio ehdottaa tietosuojan sisämarkkinaulottuvuuden parantamiseksi seuraavia toimenpiteitä:

-        vahvistetaan tietosuojasäännöt EU:n tasolla asetuksella, jota sovelletaan sellaisenaan kaikissa jäsenvaltioissa[23]; näin päästään eroon erilaisten kansallisten tietosuojasäännösten päällekkäisestä ja yhtäaikaisesta soveltamisesta. Tämän ansiosta yrityksille kertyy nettosäästöä noin 2,3 miljardia euroa vuodessa pelkästään hallinnollisen rasituksen kevenemisen ansiosta;

-        yksinkertaistetaan sääntelykehystä karsimalla byrokratiaa kovalla kädellä ja luopumalla muodollisuuksista, kuten yleisistä ilmoitusvaatimuksista (näin kertyy nettosäästöä 130 miljoonaa euroa vuodessa pelkästään hallinnollisen rasituksen kevenemisen ansiosta). On syytä kiinnittää huomiota etenkin mikroyritysten sekä pienten ja keskisuurten yritysten erityistarpeisiin, koska niillä on merkittävä osa EU:n talouden kilpailukyvyn edistämisessä;

-        vahvistetaan edelleen kansallisten tietosuojaviranomaisten riippumattomuutta ja valtuuksia niin, että ne pystyvät toteuttamaan tutkimuksia, tekemään sitovia päätöksiä ja määräämään tehokkaita ja varoittavia seuraamuksia, ja velvoitetaan jäsenvaltiot osoittamaan niille riittävät resurssit näiden tehtävien hoitamiseen;

-        perustetaan EU:hun tietosuojaa koskeva yhden luukun järjestelmä: EU:ssa toimivien rekisterinpitäjien tarvitsee olla yhteydessä vain yhteen tietosuojaviranomaiseen eli sen jäsenvaltion tietosuojaviranomaiseen, jossa yrityksen päätoimipaikka sijaitsee;

-        luodaan edellytykset tietosuojaviranomaisten nopealle ja tehokkaalle yhteistyölle muun muassa velvoittamalla tietosuojaviranomaiset toteuttamaan tutkimuksia ja tarkastuksia toisen tietosuojaviranomaisen pyynnöstä ja tunnustamaan toistensa päätökset vastavuoroisesti;

-        perustetaan yhdenmukaisuusmekanismi, joka takaa, että silloin kun yksittäisen tietosuojaviranomaisen päätöksillä on laajempaa vaikutusta EU:n tasolla, niissä otetaan täysimääräisesti huomioon muiden asianomaisten tietosuojaviranomaisten näkemykset, ja että päätökset ovat täysin unionin oikeuden mukaiset;

-        tehdään tietosuojatyöryhmästä riippumaton Euroopan tietosuojaneuvosto, joka voi nykyistä paremmin edistää tietosuojalainsäädännön yhdenmukaista soveltamista ja tarjota vankan perustan tietosuojaviranomaisten ja Euroopan tietosuojavaltuutetun yhteistyölle; ja parannetaan synergiaetuja ja tehokkuutta säätämällä, että Euroopan tietosuojaneuvoston sihteeristön tehtävistä huolehtii Euroopan tietosuojavaltuutettu.

Uusi EU:n asetus takaa tietosuojaa koskevien perusoikeuksien vankan suojan kaikkialla Euroopan unionissa ja lujittaa sisämarkkinoiden toimintaa. Toisaalta on otettava huomioon, että kuten EU:n tuomioistuin on korostanut[24], oikeus henkilötietojen suojaan ei ole absoluuttinen, vaan sitä on tarkasteltava suhteessa sen tehtävään yhteiskunnassa[25]. Lisäksi sen ohella on oikeasuhteisuuden periaatteen mukaisesti otettava huomioon muut perusoikeudet[26]. Tätä varten asetukseen on otettu säännöksiä, joilla varmistetaan muiden perusoikeuksien, kuten sananvapauden ja tiedonvälityksen vapauden, puolustautumisoikeuksien sekä salassapitovelvollisuuden noudattaminen (mm. oikeusalan ammattien piirissä) vaikuttamatta kirkkojen asemaan sellaisena kuin se määritellään jäsenvaltioiden lainsäädännössä.

4. TIETOJEN KÄYTTÖ POLIISIYHTEISTYÖSSÄ JA RIKOSASIOISSA TEHTÄVÄSSÄ OIKEUDELLISESSA YHTEISTYÖSSÄ

Lissabonin sopimuksen voimaantulo ja erityisesti uuden oikeusperustan (SEUT-sopimuksen 16 artikla) käyttöönotto tarjoavat tilaisuuden luoda kattava tietosuojakehys, joka varmistaa yksilöiden henkilötietojen korkeatasoisen suojan ja mahdollistaa poliisiyhteistyön ja rikosasioissa tehtävän oikeudellisen yhteistyön erityispiirteiden huomioon ottamisen. Sen ansiosta EU:n uusi tietosuojakehys voi kattaa sekä rajatylittävän että yhden jäsenvaltion sisällä tapahtuvan henkilötietojen käsittelyn. Tämä vähentäisi eroavuuksia jäsenvaltioiden lainsäädäntöjen välillä, mikä todennäköisesti edistäisi henkilötietojen suojaamista yleensä. Se voisi myös helpottaa tietojenvaihtoa jäsenvaltioiden poliisi- ja oikeusviranomaisten välillä ja parantaa siten vakavan rikollisuuden torjuntaan liittyvää yhteistyötä Euroopassa. Poliisi- ja oikeusviranomaisten rikosasioissa suorittamaa tietojenkäsittelyä säännellään nykyään lähinnä puitepäätöksellä 2008/977/YOS, joka on tehty ennen Lissabonin sopimuksen voimaantuloa. Koska kyseessä on puitepäätös, komissiolla ei ole toimivaltaa sen sääntöjen täytäntöönpanon suhteen, mikä on osaltaan vaikuttanut puitepäätöksen täytäntöönpanon epätasaisuuteen. Lisäksi puitepäätöksen soveltamisala on rajattu rajatylittäviin käsittelytoimiin.[27] Tämä tarkoittaa, että henkilötietojen käsittelyyn sovelletaan nykyään henkilötietojen käsittelystä ja tietosuojaa koskevien perusoikeuksien suojaamisesta annettuja EU:n sääntöjä vain siinä tapauksessa, että käsittelyyn liittyy henkilötietojen siirtämistä. Tästä aiheutuu joissain tapauksissa käytännön ongelmia poliisille ja muille viranomaisille, koska niiden ei ole aina helppo erottaa toisistaan pelkästään omassa maassa tapahtuvaa ja rajatylittävää tietojenkäsittelyä tai ennustaa, olisiko johonkin kansalliseen tapaukseen liittyviä tietoja kenties tarpeen siirtää käsiteltäväksi toiseen jäsenvaltioon joskus myöhemmin.[28]

EU:n uudistetun tietosuojakehyksen tarkoituksena onkin varmistaa yhdenmukainen ja korkeatasoinen tietosuoja, jotta voidaan lujittaa jäsenvaltioiden poliisi- ja oikeusviranomaisten keskinäistä luottamusta ja edistää siten tietojen vapaata liikkuvuutta ja poliisi- ja oikeusviranomaisten tehokasta yhteistyötä.

Jotta voidaan varmistaa korkeatasoinen henkilötietojen suoja poliisiyhteistyön ja rikosasioissa tehtävän oikeudellisen yhteistyön alalla ja helpottaa samalla henkilötietojen vaihtoa jäsenvaltioiden poliisi- ja oikeusviranomaisten kesken, komissio esittää tietosuojalainsäädännön uudistuspaketin yhteydessä direktiiviehdotuksen, jossa säädetään

-         yleisten tietosuojaperiaatteiden soveltamisesta poliisiyhteistyöhön ja rikosasioissa tehtävään oikeudelliseen yhteistyöhön, näiden alojen erityispiirteet huomioon ottaen;[29]

-        yhdenmukaistamisen vähimmäiskriteerit ja yleisten sääntöjen mahdollisia rajoituksia koskevat edellytykset. Tämä koskee erityisesti yksilön oikeutta saada tietoa siitä, että poliisi- ja oikeusviranomaiset käsittelevät hänen tietojaan tai tutustuvat niihin. Tällaiset rajoitukset ovat tarpeen rikosten tehokkaan ehkäisemisen, tutkimisen, paljastamisen ja syytteeseenpanon varmistamiseksi;

-        erityiset säännöt lainvalvontatoimien erityispiirteiden kattamiseksi, jotta voidaan esimerkiksi erottaa toisistaan eri ryhmiin kuuluvat rekisteröidyt (kuten todistajat ja epäillyt), joilla on keskenään erilaisia oikeuksia.

5. TIETOSUOJA GLOBALISOITUNEESSA MAAILMASSA

Yksilön oikeudet on edelleen taattava, kun henkilötietoja siirretään EU:sta kolmansiin maihin ja aina kun tällaisten siirtojen kohteena ovat jäsenvaltioiden yksilöt, joiden henkilötietoja kolmansien maiden palveluntarjoajat käyttävät tai käsittelevät. Tämä tarkoittaa, että EU:n tietosuojanormeja on sovellettava riippumatta siitä, missä tietoja käsittelevä yritys tai sen tietojenkäsittely-yksikkö maantieteellisesti sijaitsee.

Globalisoituneessa maailmassa henkilötietoja siirretään yli yhä useampien virtuaalisten ja maantieteellisten rajojen ja tallennetaan eri maissa sijaitseville palvelimille. Yhä useammat yritykset tarjoavat tietotekniikan etäresurssipalveluja, joiden avulla asiakkaat voivat käyttää ja tallentaa tietoja etäpalvelimilla. Näistä syistä on tarpeen parantaa nykyisiä mekanismeja, jotka säätelevät tietojen siirtämistä kolmansiin maihin. Tämä koskee muun muassa päätöksiä, joilla varmennetaan kolmansien maiden tietosuojan tason riittävyys, ja asianmukaisia takeita, kuten mallisopimuslausekkeita tai yrityksiä koskevia sitovia sääntöjä[30], joiden tarkoituksena on yhtäältä varmistaa tietosuojan korkea taso kansainvälisten käsittelyoperaatioiden yhteydessä ja toisaalta helpottaa rajatylittäviä tiedonsiirtoja.

Yrityksiä koskevat sitovat säännöt

Erään konsernin on siirrettävä säännöllisesti henkilötietoja EU:ssa sijaitsevista tytäryhtiöistään kolmansissa maissa sijaitseviin tytäryhtiöihin. Konserni haluaisi ottaa käyttöön sitovat säännöt noudattaakseen EU:n lainsäädäntöä ja voidakseen samalla rajoittaa yksittäisiin siirtoihin sovellettavia hallinnollisia vaatimuksia. Käytännössä yritystä sitovilla säännöillä varmistetaan, että koko konsernissa sovelletaan samoja sääntöjä eikä useita erilaisia sisäisiä sopimuksia.

Sen toteaminen, että tietyn yrityksen sitovat säännöt antavat riittävät takeet tietosuojan tasosta, edellyttää tietosuojatyöryhmän nykykäytännön mukaan kolmen tietosuojaviranomaisen (yhden johtavan ja kahden avustavan viranomaisen) perusteellista tarkastusta, jota useat muut tietosuojaviranomaiset voivat lisäksi kommentoida. Lisäksi useiden jäsenvaltioiden lainsäädäntö edellyttää, että yritystä koskevien sitovien sääntöjen piiriin kuuluvat siirrot hyväksytään myös kansallisten valtuutusten nojalla, minkä vuoksi yritystä koskevien sitovien sääntöjen hyväksyminen on hyvin raskasta, aikaa vievää ja monimutkaista.

Tietosuojauudistuksen jälkeen

- tämä menettely on yksinkertaisempi ja kevyempi;

- yritystä koskevat sitovat säännöt validoi yksi ainoa tietosuojaviranomainen, minkä lisäksi varmistetaan, että asian käsittelyyn voivat osallistua myös muut tietosuojaviranomaiset, joita se koskee;

- kun yksi viranomainen on hyväksynyt yritystä koskevat sitovat säännöt, ne pätevät kaikkialla EU:ssa ilman muita kansallisia valtuutusmenettelyjä.

Globalisoitumiseen liittyvien haasteiden vuoksi tarvitaan joustavia välineitä ja mekanismeja etenkin sellaisia yrityksiä varten, jotka harjoittavat toimintaa maailmanlaajuisesti. Samalla on taattava yksilöiden henkilötietojen suoja ilman minkäänlaisia porsaanreikiä. Komissio ehdottaa seuraavia toimenpiteitä:

-         laaditaan selkeät säännöt siitä, milloin kolmansien maihin rekisterinpitäjiin on sovellettava EU:n oikeutta, ja täsmennetään erityisesti, että silloin kun tavaroita ja palveluja tarjotaan EU:ssa asuville yksilöille tai silloin kun seurataan heidän käyttäytymistään, on sovellettava EU:n sääntöjä;

-        päätökset kolmansien maiden tietosuojan tason riittävyydestä tekee Euroopan komissio erikseen määriteltyjen selkeiden kriteerien perusteella, myös silloin kun käsittely liittyy poliisiyhteistyöhön ja rikosoikeuteen;

-        oikeutettuja tiedonsiirtoja kolmansiin maihin helpotetaan lujittamalla ja yksinkertaistamalla sääntöjä, jotka koskevat kansainvälisiä tiedonsiirtoja maihin, jotka eivät kuulu tietosuojan tason riittävyyttä koskevan päätöksen soveltamisalaan, erityisesti keventämällä menettelyjä ja laajentamalla esimerkiksi yritystä koskevien sitovien sääntöjen käyttöä niin, että niitä voidaan soveltaa henkilötietojen käsittelijöihin ja konserneihin ja ottaa siten paremmin huomioon tietojenkäsittelytoimiin osallistuvien yritysten kasvava määrä erityisesti tietotekniikan etäresurssipalvelujen alalla;

-        aloitetaan vuoropuhelu ja tarvittaessa neuvottelut kolmansien maiden ja erityisesti EU:n strategisten kumppanien ja EU:n naapuruuspolitiikan piiriin kuuluvien maiden sekä eri kansainvälisten järjestöjen (mm. Euroopan neuvosto, Taloudellisen yhteistyön ja kehityksen järjestö OECD, Yhdistyneet kansakunnat) kanssa korkeatasoisten ja yhteentoimivien tietosuojanormien käyttöön ottamiseksi maailmanlaajuisesti.

6. PÄÄTELMÄT

EU:n tietosuojauudistuksen tarkoituksena on luoda Euroopan unionille ajanmukainen, vahva, yhtenäinen ja kattava tietosuojakehys. Sen myötä lujitetaan tietosuojaa koskevaa yksilön perusoikeutta. Samalla otetaan huomioon eräät muut oikeudet, kuten sananvapaus ja tiedonvälityksen vapaus, lapsen oikeudet, elinkeinovapaus, oikeus oikeudenmukaiseen oikeudenkäyntiin ja salassapitovelvollisuus (esimerkiksi oikeusalan ammattien yhteydessä) sekä jäsenvaltioiden lainsäädäntöön perustuva kirkkojen asema.

Uudistuksesta hyötyvät ennen muuta yksilöt, koska tietosuojaoikeudet paranevat ja kansalaisten luottamus digitaaliseen toimintaympäristöön vahvistuu. Uudistus myös yksinkertaistaa huomattavasti yritysten ja julkisen sektorin oikeudellista toimintaympäristöä. Tämän odotetaan tukevan digitaalisen talouden kehitystä sekä EU:n sisämarkkinoilla että niiden ulkopuolella Eurooppa 2020 ‑strategian ja Euroopan digitaalistrategian tavoitteiden mukaisesti. Lisäksi uudistus vahvistaa lainvalvontaviranomaisten keskinäistä luottamusta, mikä helpottaa tiedonsiirtoja niiden välillä ja parantaa vakavan rikollisuuden torjumiseksi tehtävää yhteistyötä, samalla kun taataan yksilöiden korkeatasoinen suojelu.

Euroopan komissio tekee tiivistä yhteistyötä Euroopan parlamentin ja neuvoston kanssa sen varmistamiseksi, että EU:n uudesta tietosuojakehyksestä päästään sopimukseen vuoden 2012 loppuun mennessä. Koko hyväksymismenettelyn ajan ja vielä sen jälkeen, erityisesti uusien säädösten täytäntöönpanon yhteydessä, komissio jatkaa tiivistä ja avointa vuoropuhelua kaikkien sidosryhmien, myös yksityisen ja julkisen sektorin edustajien, kanssa. Edustettuina ovat myös poliisiviranomaiset ja oikeuslaitokset, sähköisen viestinnän sääntelyviranomaiset, kansalaisyhteiskunnan organisaatiot, tietosuojaviranomaiset ja tiedemaailma sekä alalla toimivat EU:n virastot kuten Eurojust, Europol, perusoikeusvirasto ja Euroopan verkko- ja tietoturvavirasto ENISA.

Tietotekniikan jatkuvan kehityksen ja sosiaalisten käyttäytymismallien muuttumisen vuoksi tällainen vuoropuhelu on erittäin tärkeää, koska sen avulla saadaan tietoa siitä, miten voidaan taata yksilöiden tietosuojan korkea taso, EU:n teollisuuden kasvu ja kilpailukyky ja julkisen sektorin toiminnan tehokkuus (muun muassa poliisi- ja oikeusviranomaisten toiminnan alalla) sekä keventää hallinnollista rasitusta.

[1]               Hyvin suurien tietokokonaisuuksien analysoinnin markkinat kasvavat maailmanlaajuisesti 40 prosentilla vuodessa: http://www.mckinsey.com/mgi/publications/big_data/.

[2]               Ks. myös 23.10.2011 kokoontuneen Eurooppa-neuvoston päätelmät, joissa korostetaan, että sisämarkkinat ovat avainasemassa kasvun ja työllisyyden aikaansaamisessa ja että digitaaliset sisämarkkinat on saatettava valmiiksi vuoteen 2015 mennessä.

[3]               KOM(2010) 171 lopullinen.

[4]               KOM(2010) 245 lopullinen.

[5]               KOM(2010) 2020 lopullinen.

[6]               Direktiivi 95/46/EY yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta, EYVL L 281, 23.10.1995, s. 31.

[7]               Euroopan unionista tehdyn sopimuksen, jäljempänä ’SEU-sopimus’, 39 artiklassa vahvistetaan erityiset säännöt henkilötietojen käsittelylle jäsenvaltioissa niiden toteuttaessa yhteiseen ulko- ja turvallisuuspolitiikkaan liittyvää toimintaa.

[8]               KOM(2009) 262 ja KOM(2010) 171.

[9]               Tietosuojasäännöstön uudistamisesta on järjestetty kaksi julkista kuulemista: ensimmäinen heinä–joulukuussa 2009                (http://ec.europa.eu/justice/news/consulting_public/news_consulting_0003_en.htm) ja toinen marraskuusta 2010 tammikuuhun 2011               (http://ec.europa.eu/justice/news/consulting_public/news_consulting_0006_en.htm).

[10]             Vuonna 2010 kuultiin kohdennetusti jäsenvaltioiden viranomaisia ja yksityisiä sidosryhmiä. Marraskuussa 2010 EU:n oikeusasioista vastaava komissaari Viviane Reding järjesti tietosuojauudistusta koskevan pyöreän pöydän keskustelun. Lisäksi vuonna 2011 on järjestetty työpajoja ja seminaareja erityisaiheista (esim. tietoturvaloukkausten ilmoittamisesta).

[11]             KOM(2010) 609.

[12]             Ks. EU:n oikeusasioista vastaavan komissaarin Viviane Redingin 19.9.2011 päivätty kirje tietosuojatyöryhmän jäsenille, julkaistu osoitteessa http://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/index_en.htm.

[13]             Ks. vaikutustenarviointi SEC(2012) 72.

[14]             Tämä edellyttää, että myöhemmin tehdään tarkistuksia, joilla yhdenmukaistetaan erityisiä ja alakohtaisia säädöksiä, kuten asetus (EY) N:o 45/2001, EYVL L 8, 12.1.2001, s. 1.

[15]             Lisäksi asetuksella tehdään eräitä teknisiä mukautuksia sähköisen viestinnän tietosuojadirektiiviin (direktiivi 2002/58/EY, sellaisena kuin se on viimeksi muutettuna direktiivillä 2009/136/EY, EUVL L 337, 18.12.2009, s. 11). Mukautukset johtuvat direktiivin 95/46 muuttamisesta asetukseksi. Komissio arvioi uuden tietosuoja-asetuksen ja uuden sähköisen viestinnän direktiivin aineellisoikeudellisia seurauksia myöhemmin, nyt esitettävistä ehdotuksista Euroopan parlamentin ja neuvoston kanssa käytävien neuvottelujen tulosten perusteella.

[16]             Neuvoston puitepäätös 2008/977/YOS, tehty 27 päivänä marraskuuta 2008, rikosasioissa tehtävässä poliisi- ja oikeudellisessa yhteistyössä käsiteltävien henkilötietojen suojaamisesta, EUVL L 350, 30.12.2008, s. 60. Tietosuojalainsäädännön uudistamista koskevan paketin yhteydessä hyväksytään myös kertomus puitepäätöksen täytäntöönpanosta jäsenvaltioissa (KOM(2012) 12).

[17]             Ks. Erityiseurobarometritutkimus 359 tietosuojasta ja sähköisestä henkilöllisyydestä Euroopan unionissa: Attitudes on Data Protection and Electronic Identity in the European Union, kesäkuu 2011, s. 23.

[18]             Sama, s. 54.

[19]             Ks. ed. Euroopan digitaalistrategia, s. 4.

[20]             Nykyään tämä on pakollista ainoastaan televiestinnän alalla sähköisen viestinnän tietosuojadirektiivin nojalla.

[21]             Tätä aihetta käsitellään lähemmin säädösehdotusten liitteenä olevassa vaikutustenarvioinnissa, SEC(2012) 72.

[22]             Tietosuojatyöryhmä on perustettu vuonna 1996 tietosuojadirektiivin (95/46/EY) 29 artiklan nojalla. Se on neuvoa-antava ryhmä, jossa ovat edustettuina kansalliset tietosuojaviranomaiset, Euroopan tietosuojavaltuutettu ja komissio. Lisätietoja työryhmän toiminnasta ks. http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm.

[23]             Sen sijaan poliisiyhteistyön ja rikosasioissa tehtävän oikeudellisen yhteistyön alalla säännöt ehdotetaan vahvistettavaksi direktiivillä (ks. 4 kohta jäljempänä), koska se tarjoaa jäsenvaltioille enemmän joustovaraa näissä kysymyksissä.

[24]             EU:n tuomioistuimen yhdistetyt asiat C-92/09 ja C-93/09, Volker und Markus Schecke ja Eifert, tuomio 9.11.2010, Kok., ei vielä julkaistu oikeustapauskokoelmassa.

[25]             Perusoikeuskirjan 52 artiklan 1 kohdan mukaan tietosuojaoikeuden käyttämistä voidaan rajoittaa, jos näistä rajoituksista säädetään lailla, jos niissä kunnioitetaan kyseisten oikeuksien ja vapauksien olennaista sisältöä ja jos ne suhteellisuusperiaatteen mukaisesti ovat välttämättömiä ja vastaavat tosiasiallisesti Euroopan unionin tunnustamia yleisen edun mukaisia tavoitteita tai tarvetta suojella muiden henkilöiden oikeuksia ja vapauksia.

[26]             Euroopan yhteisöjen tuomioistuimen asia C-101/01, Lindqvist, tuomio 6.11.2003, Kok., s. I-12971, 82–90 kohta; asia C-73/07, Satakunnan Markkinapörssi ja Satamedia, tuomio 16.12.2008, Kok., s. I-9831, 50–62 kohta.

[27]             Tarkemmin sanoen puitepäätöstä sovelletaan ainoastaan henkilötietoihin, joita siirretään tai on siirretty tai joita asetetaan tai on asetettu saataville jäsenvaltioiden kesken tai joita vaihdetaan jäsenvaltioiden ja EU:n toimielinten tai elinten kesken (ks. 1 artiklan 2 kohta).

[28]             Useat jäsenvaltiot vahvistivat tämän vastauksissaan kyselyyn, jonka komissio esitti puitepäätöksen täytäntöönpanokertomuksen valmistelun yhteydessä (KOM(2012) 12).

[29]             Ks. Lissabonin sopimuksen hyväksyneen hallitustenvälisen konferenssin päätösasiakirjaan liitetty julistus N:o 21 henkilötietojen suojasta rikosoikeuden alalla tehtävän oikeudellisen yhteistyön ja poliisiyhteistyön aloilla.

[30]             ”Yrityksiä koskevat sitovat säännöt” ovat eurooppalaisiin tietosuojanormeihin perustuvia, vähintään yhden tietosuojaviranomaisen hyväksymiä käytännesääntöjä, joita monikansalliset organisaatiot laativat ja noudattavat vapaaehtoisesti varmistaakseen riittävät takeet henkilötietojen tai tiettyjen tietoluokkien siirroille samaan konserniin kuuluvien yritysten välillä, joita sitovat samat säännöt. Näitä sääntöjä ei mainita erikseen direktiivissä 95/46/EY, mutta niitä on laadittu käytännössä tietosuojaviranomaisten kesken tietosuojatyöryhmän tuella.