Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Document 52014XX0208(01)

    Tiivistelmä Euroopan tietosuojavaltuutetun lausunnosta, joka koskee ehdotusta Euroopan parlamentin ja neuvoston asetukseksi Euroopan unionin lainvalvontayhteistyö- ja -koulutusvirastosta (Europol) sekä neuvoston päätösten 2009/371/YOS ja 2005/681/YOS kumoamisesta

    EUVL C 38, 8.2.2014, p. 3–7 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
    EUVL C 38, 8.2.2014, p. 3–3 (HR)

    Date of document:
    31/05/2013
    Date of end of validity:
    Not known; Liittyy 52013PC0173
    Author:
    Euroopan tietosuojavaltuutettu
    Form:
    Ilmoitus
    Additional information:
    COD 2013/0091
    Procedure number:
    • 2013/0091/COD
    Treaty:
    Sopimus Euroopan unionin toiminnasta
    Link
    Link
    Link
    Select all documents mentioning this document
    Earlier related instruments:
    Instruments cited:
    Link

    8.2.2014   

    FI

    Euroopan unionin virallinen lehti

    C 38/3

    Tiivistelmä Euroopan tietosuojavaltuutetun lausunnosta, joka koskee ehdotusta Euroopan parlamentin ja neuvoston asetukseksi Euroopan unionin lainvalvontayhteistyö- ja -koulutusvirastosta (Europol) sekä neuvoston päätösten 2009/371/YOS ja 2005/681/YOS kumoamisesta

    (Koko lausunto on luettavissa englanniksi, ranskaksi ja saksaksi Euroopan tietosuojavaltuutetun verkkosivustolla http://www.edps.europa.eu)

    (2014/C 38/03)

    I   Johdanto

    I.1   Taustaa

    1.

    Komissio hyväksyi 27 päivänä maaliskuuta 2013 ehdotuksen Euroopan parlamentin ja neuvoston asetukseksi Euroopan unionin lainvalvontayhteistyö- ja -koulutusvirastosta (Europol) sekä neuvoston päätösten 2009/371/YOS ja 2005/681/YOS kumoamisesta (jäljempänä ’ehdotus’). Ehdotus toimitettiin samana päivänä Euroopan tietosuojavaltuutetulle lausunnon antamista varten, ja se saapui tietosuojavaltuutetulle 4 päivänä huhtikuuta 2013.

    2.

    Ennen ehdotuksen hyväksymistä tietosuojavaltuutetulle suotiin tilaisuus esittää siitä epävirallisia huomautuksia. Tietosuojavaltuutettu on tyytyväinen siihen, että monet näistä huomautuksista on otettu huomioon ehdotuksessa.

    3.

    Tietosuojavaltuutettu on tyytyväinen siihen, että komissio on pyytänyt häneltä lausuntoa ja että ehdotuksen johdanto-osaan on lisätty viittaus tähän lausuntoon.

    4.

    Tietosuojavaltuutetulta pyydettiin lausuntoa myös asiakirjasta ”Komission tiedonanto Euroopan parlamentille, neuvostolle, Euroopan talous- ja sosiaalikomitealle ja alueiden komitealle – Lainvalvontaviranomaisten eurooppalaisen koulutuskehyksen perustaminen”, joka hyväksyttiin samanaikaisesti nyt tarkasteltavan ehdotuksen kanssa (1). Tietosuojavaltuutettu ei kuitenkaan anna tiedonannosta erillistä lausuntoa, koska hänellä on esittää siitä vain vähän huomautuksia. Ne sisältyvät tämän lausunnon osaan IV.

    I.2   Ehdotuksen tavoite

    5.

    Ehdotus perustuu Euroopan unionin toiminnasta tehdyn sopimuksen 88 artiklaan ja 87 artiklan 2 kohdan b alakohtaan, ja sen tavoitteena on (2)

    mukauttaa Europol Lissabonin sopimuksen vaatimuksiin vahvistamalla sen oikeudellinen toimintakehys tavanomaisessa lainsäätämisjärjestyksessä;

    täyttää Tukholman ohjelmassa asetetut tavoitteet tekemällä Europolista jäsenvaltioiden lainvalvontaviranomaisten välisen tietojenvaihdon keskipiste ja perustamalla eurooppalaisia koulutus- ja vaihto-ohjelmia, joihin voivat osallistua kaikki lainvalvonta-alan ammattilaiset;

    osoittaa Europolille uusia vastuualueita siirtämällä sille CEPOLin nykyiset tehtävät ja säätämällä oikeusperusta EU:n verkkorikostorjuntakeskuksen perustamiselle;

    varmistaa, että Europolilla on käytössään vahva tietosuojajärjestelmä, erityisesti vahvistamalla viraston valvontarakennetta;

    parantaa Europolin hallintoa tehostamalla sen toimintaa ja noudattamalla EU:n erillisvirastoja koskevassa yhteisessä lähestymistavassa vahvistettuja periaatteita.

    Tietosuojavaltuutettu korostaa pitävänsä ehdotusta erittäin tärkeänä henkilötietojen suojan kannalta. Tietojen, myös henkilötietojen käsittely on yksi pääasiallisista syistä Europolin olemassaoloon. Nykyisessä EU:n kehitysvaiheessa operatiivinen poliisityö kuuluu jäsenvaltioiden toimivaltaan. Operatiivista työtä tehdään kuitenkin enenevässä määrin valtioiden rajojen yli, ja EU tukee sitä tarjoamalla, vaihtamalla ja tarkastelemalla tietoja.

    I.3   Lausunnon tavoite

    6.

    Lausunnossa keskitytään niihin Europolin oikeudelliseen kehykseen ehdotettuihin muutoksiin, joilla on eniten merkitystä tietosuojan kannalta. Ensin analysoidaan asiaa koskevaa lainsäädäntöä sekä sen kehitystä ja vaikutuksia Europolin toimintaan. Sen jälkeen tarkastellaan tärkeimpiä oikeudelliseen kehykseen ehdotettuja muutoksia, jotka liittyvät

    Europolin uuteen tiedonhallintarakenteeseen, jossa yhdistetään useita tietokantoja, ja osoitetaan uuden rakenteen seuraukset käyttötarkoituksen rajoittamisen periaatteelle

    tietosuojavalvonnan vahvistamiseen

    henkilötietojen ja muiden tietojen siirtoon ja vaihtoon, erityisesti henkilötietojen vaihtoon kolmansien maiden kanssa.

    7.

    Lopuksi lausunnossa tarkastellaan joitakin ehdotukseen sisältyviä erityissäännöksiä, erityisesti sen VII lukua (34–48 artikla), jossa säädetään tietosuojatakeista.

    V   Päätelmät

    Yleistä

    167.

    Tietosuojavaltuutettu korostaa pitävänsä ehdotusta erittäin merkittävänä henkilötietojen käsittelyn kannalta. Tietojen – myös henkilötietojen – käsittely on yksi pääasiallisista syistä Europolin olemassaoloon, ja ehdotukseen sisältyy jo nyt tehokkaita tietosuojasäännöksiä. Tämän yksityiskohtaisen lausunnon tarkoituksena on lujittaa ehdotusta.

    168.

    Tietosuojavaltuutettu huomauttaa, että nykyiseen Europol-päätökseen sisältyy jo vahva tietosuojajärjestelmä, ja katsoo nyt ehdotetusta tietosuojadirektiivistä käytävistä keskusteluista riippumatta, ettei nykyisiä tietosuojavaatimuksia pitäisi ainakaan alentaa. Tämä olisi täsmennettävä johdanto-osan perustelukappaleessa.

    169.

    Tietosuojavaltuutettu on tyytyväinen siihen, että Europol velvoitetaan ehdotuksessa noudattamaan SEUT 88 artiklan 2 kohdan vaatimuksia, jotka takaavat, että Europol hyötyy toiminnassaan täysimääräisesti kaikkien asianomaisten EU:n toimielinten osallistumisesta.

    170.

    Tietosuojavaltuutettu on tyytyväinen ehdotuksen 48 artiklaan, jonka mukaan asetusta (EY) N:o 45/2001 sovelletaan kaikkiin Europolin henkilöstön henkilötietoihin sekä Europolin hallussa oleviin hallinnollisiin henkilötietoihin. Hän pitää kuitenkin valitettavana, ettei komissio valinnut soveltaa asetusta (EY) N:o 45/2001 kaikkeen Europolin ydintoimintaan ja rajannut ehdotusta ainoastaan erityissäännöksiin ja poikkeuksiin, joissa otetaan asianmukaisesti huomioon lainvalvonta-alan erityistarpeet. Tietosuojavaltuutettu panee kuitenkin merkille, että ehdotuksen johdanto-osan 32 perustelukappaleessa mainitaan nimenomaisesti, että Europolin tietosuojasääntöjä olisi lujitettava ja että niiden olisi oltava asetuksen (EY) N:o 45/2001 taustalla olevien periaatteiden mukaiset. Samat periaatteet ovat tärkeä viitekohta myös tälle lausunnolle.

    171.

    Tietosuojavaltuutettu suosittelee täsmentämään ehdotuksen johdanto-osassa, että EU:n toimielinten ja elinten uutta tietosuojakehystä aletaan soveltaa Europoliin heti sen jälkeen, kun se on hyväksytty. Lisäksi EU:n toimielinten ja elinten tietosuojajärjestelmän soveltamista Europoliin olisi täsmennettävä myöhemmin tietosuojapaketin tarkistuksen yhteydessä annettavalla asetuksen (EY) N:o 45/2001 korvaavalla säädöksellä, joka mainittiin ensimmäisen kerran vuonna 2010. Tietosuojauudistuksen keskeisten periaatteiden (vastuuvelvollisuus, tietosuojavaikutusten arviointi, sisäänrakennettu ja oletusarvoinen yksityisyyden suoja ja henkilötietojen tietoturvaloukkauksista ilmoittaminen) olisi koskettava myös Europolia viimeistään siitä lähtien, kun uusi yleinen tietosuoja-asetus hyväksytään. Myös tämä olisi mainittava johdanto-osassa.

    Europolin uusi tiedonhallintarakenne

    172.

    Tietosuojavaltuutettu ymmärtää, että muuttuva taustatilanne ja Europolille osoitetut uudet vastuualueet edellyttävät tiettyä joustavuutta. Nykyistä tietoarkkitehtuuria ei välttämättä käytetä tulevan järjestelmän vertailukohtana. EU:n lainsäätäjä määrittää harkintansa mukaan Europolin tietorakenteen. Tietosuojavaltuutetun tehtävä on EU:n lainsäätäjän neuvonantajana keskittyä kysymykseen siitä, missä määrin tietosuojaperiaatteet voivat rajoittaa lainsäätäjien valintoja.

    173.

    Ehdotuksen 24 artiklan osalta tietosuojavaltuutettu

    suosittelee määrittelemään ehdotuksessa mainitut strategisen, aihekohtaisen ja operatiivisen analyysin käsitteet ja poistamaan mahdollisuuden henkilötietojen käsittelyyn strategisia tai aihekohtaisia analyyseja varten, jollei siihen ole pätevää perustetta.

    suosittelee määrittämään selvästi 24 artiklan 1 kohdan c alakohdassa tarkoitettujen operatiivisten analyysien tarkoituksen kussakin yksittäistapauksessa ja säätämään, että näin määriteltyihin tarkoituksiin voidaan käsitellä ainoastaan asiaankuuluvia henkilötietoja.

    suosittelee lisäämään ehdotukseen seuraavat säännökset: i) kaikki Europolin analyytikoiden suorittamat ristiintarkistukset on perusteltava nimenomaisesti, ii) tietojen haku kyselyjen perusteella on rajoitettava välttämättömään ja perusteltava nimenomaisesti, iii) kaikkien ristiintarkistukseen liittyvien operaatioiden on oltava jäljitettävissä ja iv) tietoja voivat muuttaa ainoastaan valtuutetut henkilöstön jäsenet, jotka vastaavat siitä käyttötarkoituksesta, johon tiedot alun perin kerättiin. Nämä säännökset vastaisivat Europolin nykyistä käytäntöä.

    Tietosuojavalvonnan vahvistaminen

    174.

    Ehdotuksen 45 artiklassa tunnustetaan, että ehdotuksessa tarkoitettujen käsittelytoimien valvonta on tehtävä, joka edellyttää myös kansallisten tietosuojaviranomaisten aktiivista osallistumista (3). Euroopan tietosuojavaltuutetun ja kansallisten valvontaviranomaisten yhteistyö on ratkaisevan tärkeää tehokkaan valvonnan varmistamiseksi tällä alalla.

    175.

    Tietosuojavaltuutettu on tyytyväinen ehdotuksen 45 artiklaan. Siinä säädetään, että jäsenvaltioiden suorittamaa tietojenkäsittelyä valvovat kansalliset viranomaiset, ja korostetaan näin kansallisten valvontaviranomaisten keskeistä asemaa. Tietosuojavaltuutettu on tyytyväinen myös siihen, että kansalliset valvontaviranomaiset velvoitetaan ilmoittamaan Euroopan tietosuojavaltuutetulle kaikista toimenpiteistä, joita ne toteuttavat Europolin suhteen.

    176.

    Tietosuojavaltuutettu on tyytyväinen

    valvontasäännöksiin, joilla otetaan käyttöön vahva arkkitehtuuri tietojenkäsittelyn valvontaa varten. Säännöksissä otetaan huomioon kansallisen ja EU:n tason tehtävät ja säädetään valvontaan osallistuvien tietosuojaviranomaisten välisestä koordinointijärjestelmästä;

    siihen, että ehdotuksessa tunnustetaan tietosuojavaltuutetun asema kaikkia EU:n toimielimiä ja elimiä valvovana viranomaisena;

    ehdotuksen 47 artiklaan, jossa säädetään yhteistyöstä ja koordinoinnista kansallisten valvontaviranomaisten kanssa, mutta suosittelee täsmentämään, että aiottuun yhteistyöhön sisältyvät sekä kahdenvälinen että kollektiivisen yhteistyö. Ehdotuksen johdanto-osassa olisi korostettava selkeämmin valvontaviranomaisten yhteistyön merkitystä ja annettava esimerkkejä siitä, kuinka yhteistyötä voitaisiin parhaiten edistää.

    Siirto

    177.

    Tietosuojavaltuutettu suosittelee lisäämään ehdotuksen 26 artiklan 1 kohtaan uuden virkkeen, jonka mukaan jäsenvaltioiden toimivaltaisilla viranomaisilla on pääsy ja ne voivat tehdä hakuja tietoihin vain silloin, kun ne todella tarvitsevat niitä, ja ainoastaan siinä määrin kuin se on tarpeen niiden tehtävien lainmukaista suorittamista varten. Ehdotuksen 26 artiklan 2 kohtaa olisi muutettava vastaamaan 27 artiklan 2 kohtaa.

    178.

    Tietosuojavaltuutettu on tyytyväinen siihen, että tietojen siirto kolmansiin maihin ja kansainvälisille järjestöille on lähtökohtaisesti mahdollista ainoastaan tietosuojan tason riittävyyttä koskevan päätöksen tai riittävät takeet tarjoavan sitovan sopimuksen perusteella. Sitova sopimus takaa oikeusvarmuuden ja sen, että Europolilla on täysimääräinen vastuuvelvollisuus tietojen siirrosta. Massiivisissa, rakenteellisissa ja toistuvissa siirroissa olisi aina edellytettävä sitovaa sopimusta. Tietosuojavaltuutettu kuitenkin ymmärtää, että on olemassa tilanteita, joissa sitovaa sopimusta ei voida vaatia. Tällaisten tilanteiden tulisi kuitenkin olla vain poikkeuksellisia ja perustuttava todelliseen tarpeeseen, ja ne olisi sallittava ainoastaan harvoissa tapauksissa; niitä varten tarvitaan myös vahvat aineelliset ja menettelylliset takeet.

    179.

    Tietosuojavaltuutettu suosittelee painokkaasti, että ehdotuksesta poistetaan kokonaan Europolin mahdollisuus pyytää jäsenvaltion suostumusta. Lisäksi tietosuojavaltuutettu neuvoo lisäämään 29 artiklan 4 kohdan toiseen virkkeeseen maininnan siitä, että suostumus on annettava ”ennen siirtoa”. Tietosuojavaltuutettu suosittelee myös lisäämään 29 artiklaan uuden kohdan, jossa Europol velvoitetaan pitämään tarkasti kirjaa kaikista henkilötietojen siirroista.

    180.

    Tietosuojavaltuutettu suosittelee lisäämään ehdotukseen siirtymäsäännöksen, jota sovelletaan Europolin suorittamaa henkilötietojen siirtoa koskeviin nykyisiin yhteistyösopimuksiin. Siirtymäsäännöksessä olisi säädettävä näiden sopimusten tarkastelusta kohtuullisen määräajan kuluttua sen tarkistamiseksi, että ne ovat ehdotuksen vaatimusten mukaisia. Tämä säännös olisi lisättävä ehdotuksen säädösosaan ja siinä olisi asetettava määräaika, joka sijoittuu enintään kahden vuoden päähän ehdotuksen voimaantulosta.

    181.

    Avoimuussyistä tietosuojavaltuutettu suosittelee lisäämään 31 artiklan 1 kohdan loppuun säännöksen siitä, että Europolin on julkaistava verkkosivustollaan luettelo kolmansien maiden ja kansainvälisten järjestöjen kanssa tekemistään kansainvälisistä sopimuksista ja yhteistyösopimuksista ja päivitettävä sitä säännöllisesti.

    182.

    Tietosuojavaltuutettu suosittelee säätämään 31 artiklan 2 kohdassa nimenomaisesti, ettei poikkeuksia sovelleta toistuviin, massiivisiin tai rakenteellisiin siirtoihin, toisin sanoen siirtojen sarjoihin (toisin kuin nykyisessä säännöksessä, joka koskee ainoastaan satunnaisia siirtoja).

    183.

    Tietosuojavaltuutettu suosittelee lisäämään ehdotukseen erityissäännöksen, jota sovelletaan tietojen siirtoon Euroopan tietosuojavaltuutetun luvalla ja joka olisi johdonmukaisinta sijoittaa ennen poikkeuksia koskevaa säännöstä. Siinä olisi säädettävä, että tietosuojavaltuutettu voi antaa luvan siirtoon tai siirtojen sarjaan vain, jos Europol antaa riittävä takeet yksityisyyden suojasta, perusoikeuksista ja yksilön vapauksista sekä niiden käytöstä. Lisäksi olisi säädettävä, että lupa annetaan ennen siirtoa / siirtojen sarjaa enintään yhden vuoden ajaksi kerrallaan.

    Muuta

    184.

    Lausuntoon sisältyy myös lukuisia muita suosituksia ehdotuksen parantamiseksi. Seuraavassa luetellaan joitakin tärkeimmistä suosituksista.

    a)

    Poistetaan Europolin mahdollisuus päästä suoraan kansallisiin tietokantoihin (23 artikla).

    b)

    Annetaan Europolille pääsy EU:n tietojärjestelmiin ainoastaan ”osuma/ei osumaa” -tyyppisten hakujen tekemistä varten (myönteinen tai kielteinen vastaus). Osumaa koskevat tiedot olisi toimitettava Europolille sen jälkeen, kun asianomainen jäsenvaltio (jos pääsy koskee jäsenvaltion toimittamia tietoja) tai EU:n elin tai kansainvälinen järjestö on nimenomaisesti hyväksynyt siirron antamalla siihen luvan, ja vain ehdotuksen 35 artiklassa tarkoitetun arvioinnin perusteella. Tietosuojavaltuutettu suosittelee säätämään näistä edellytyksistä ehdotuksen 23 artiklassa.

    c)

    Vahvistetaan ehdotuksen 35 artiklaa säätämällä tiedot toimittaneen jäsenvaltion suorittama arviointi pakolliseksi. Tietosuojavaltuutettu ehdottaa, että ehdotuksen 35 artiklan 1 ja 2 kohdasta poistetaan ilmaus ”mahdollisuuksien mukaan” ja että 36 artiklan 4 kohtaa muutetaan vastaavasti.

    d)

    Korvataan yhteenveto 36 artiklan 2 kohdassa tarkoitetuista henkilötiedoista käyttötarkoituksen mukaan jaotelluilla tilastoilla näistä tiedoista. Koska myös 36 artiklan 1 kohdassa tarkoitetut rekisteröityjen erityisryhmät vaativat erityistä huomiota, tietosuojavaltuutettu ehdottaa sisällyttämään ehdotukseen tilastot myös niitä koskevista tiedoista.

    e)

    Sisällytetään ehdotukseen säännökset siitä, että Europolilla on oltava avoimet ja helppotajuiset toimintaperiaatteet, joita se noudattaa henkilötietojen käsittelyssä ja rekisteröityjen oikeuksien käyttämisessä, ja että nämä periaatteet on laadittava ymmärrettävässä muodossa selkeällä ja yksinkertaisella kielellä. Säännöksessä olisi myös edellytettävä, että kyseisten toimintaperiaatteiden on oltava helposti saatavilla Europolin verkkosivustolla ja kansallisten valvontaviranomaisten verkkosivustoilla.

    f)

    Koska nykyisessä 41 artiklassa ei määritellä selkeästi kaikkien osapuolten vastuita, siinä olisi tehtävä selväksi 41 artiklan 4 kohdan osalta, että vastuu kaikkien asiaa koskevien tietosuojaperiaatteiden (eikä ainoastaan ”siirron lainmukaisuutta” koskevan periaatteen) noudattamisesta on tietojen lähettäjällä. Tietosuojavaltuutettu suosittelee muuttamaan vastaavasti myös 41 artiklaa.

    g)

    Lisätään ehdotukseen aineelliset säännökset, joissa säädetään, että i) kaikista henkilötietojen käsittelytoimista on tehtävä yleisessä tietosuoja-asetuksessa säädettyä vastaava vaikutustenarviointi, ii) henkilötietojen käsittelyjärjestelmiä perustettaessa tai parannettaessa on sovellettava sisäänrakennetun yksityisyyden suojan ja oletusarvoisen yksityisyyden suojan periaatteita, iii) rekisterinpitäjän on hyväksyttävä toimintamenetelmät ja toteutettava tarvittavat toimenpiteet sen varmistamiseksi ja osoittamiseksi, että käsittelyssä noudatetaan tietosuojasäännöksiä, ja varmistettava, että näiden toimenpiteiden tehokkuus tarkistetaan, ja iv) Europolin tietosuojavastaavan ja tarvittaessa valvontaviranomaisten on voitava osallistua henkilötietojen käsittelystä käytäviin keskusteluihin.

    Tietosuojavaltuutettu esitti myös joitakin ehdotuksen yhteydessä hyväksyttyyn tiedonantoon liittyviä suosituksia.

    Tehty Brysselissä 31 päivänä toukokuuta 2013.

    Peter HUSTINX

    Euroopan tietosuojavaltuutettu

    (1)  KOM(2013) 172 lopullinen.

    (2)  Perustelujen 3 osa.

    (3)  Ks. myös Euroopan tietosuojaviranomaisten kevätkonferenssin päätöslauselma 4 (Lissabon 16. ja 17. toukokuuta 2013).

    Top