Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Document 52016XX0525(01)

Tiivistelmä Euroopan tietosuojavaltuutetun alustavasta lausunnosta, joka koskee Amerikan Yhdysvaltojen ja Euroopan unionin välistä sopimusta henkilötietojen suojasta rikosten ehkäisemisen, tutkinnan, paljastamisen ja syytteeseenpanon yhteydessä

EUVL C 186, 25.5.2016, p. 4–6 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

25.5.2016   

FI

Euroopan unionin virallinen lehti

C 186/4

Tiivistelmä Euroopan tietosuojavaltuutetun alustavasta lausunnosta, joka koskee Amerikan Yhdysvaltojen ja Euroopan unionin välistä sopimusta henkilötietojen suojasta rikosten ehkäisemisen, tutkinnan, paljastamisen ja syytteeseenpanon yhteydessä

(Koko lausunto on luettavissa englanniksi, ranskaksi ja saksaksi Euroopan tietosuojavaltuutetun verkkosivuilla www.edps.europa.eu)

(2016/C 186/04)

Lausunto perustuu yleiseen velvoitteeseen, jonka mukaan EU:n tekemissä kansainvälisissä sopimuksissa on noudatettava Euroopan unionin toiminnasta tehtyä sopimusta (SEUT-sopimusta) ja kunnioitettava perusoikeuksia, joilla on keskeinen asema EU:n lainsäädännössä. Arvioinnin tarkoituksena on erityisesti tutkia, onko puitesopimuksen (Umbrella Agreement) sisältö Euroopan unionin perusoikeuskirjan 7, 8 ja 47 artiklan mukainen ja SEUT-sopimuksen henkilötietojen suojan varmistavan 16 artiklan mukainen.

TIIVISTELMÄ

Rikostutkinta ja syytteeseenpano ovat oikeutettuja tavoitteita, joiden yhteydessä tietojenvaihdon käsittävä kansainvälinen yhteistyö on yhä tärkeämpää. EU:lla ei tähän mennessä ole ollut vahvoja yhteisiä puitteita tällä alueella eikä siten myöskään yhdenmukaisia suojatoimia yksilöiden perusoikeuksia ja -vapauksia varten. Kuten Euroopan tietosuojavaltuutettu on jo pitkään vaatinut, EU tarvitsee kestäviä järjestelyjä henkilötietojen jakamiseksi kolmansien maiden kanssa lainvalvontatarkoituksiin. Järjestelyjen on oltava kaikilta osin unionin perussopimusten ja perusoikeuskirjan mukaisia.

Tietosuojavaltuutettu on sen vuoksi tyytyväinen Euroopan komission pyrkimyksiin saada aikaan ensimmäinen puitesopimus Yhdysvaltojen kanssa, ja tukee niitä aktiivisesti. Tämän kansainvälisen lainvalvontasopimuksen tavoitteena on asettaa ensimmäistä kertaa tietosuoja tietojen jakamisen perustaksi. Tietosuojavaltuutettu myöntää, ettei EU:n lainsäädännön terminologiaa ja määritelmiä voida kokonaisuudessaan kopioida kolmannen maan kanssa tehtävään sopimukseen. Yksilöitä koskevien suojatoimien on kuitenkin oltava selkeitä ja tehokkaita, jotta EU:n primaarilainsäädännön noudattaminen varmistuisi kaikilta osin.

Unionin tuomioistuin on viime vuosina vahvistanut tietosuojaperiaatteet, joihin kuuluu oikeudenmukaisuus, tietojen paikkansapitävyys ja asiaankuuluvuus, riippumaton valvonta ja yksilöiden henkilökohtaiset oikeudet. Nämä periaatteet koskevat niin julkisia elimiä kuin yksityisiä yrityksiäkin riippumatta siitä, toteaako EUvirallisesti tietosuojan tason riittäväksi kolmansien maiden tietosuojatakeiden osalta. Ne ovat itse asiassa tavallista tärkeämpiä, kun otetaan huomioon rikostutkintaan tarvittavien tietojen arkaluonteisuus.

Tämän lausunnon tarkoituksena on antaa rakentavaa ja puolueetonta neuvontaa EU:n toimielimille komission viedessä päätökseen tämän arkaluonteisen tehtävän, jolla on laajoja seurauksia EU:n ja Yhdysvaltojen välisen lainvalvontayhteistyön ja tulevien kansainvälisten sopimusten kannalta. Vaikka puitesopimus ja henkilötietojen siirtoa kaupallisessa toimintaympäristössä koskeva EU:n ja Yhdysvaltojen välinen Privacy Shield -sopimus, josta on ilmoitettu hiljattain, ovat kaksi erillistä sopimusta, niitä on tarkasteltava yhdessä. Lisäksi voi olla tarpeen ottaa huomioon muita seikkoja analysoitaessa näiden kahden sopimuksen ja EU:n tietosuojaa koskevan säädöskehyksen uudistuksen välistä vuorovaikutusta.

Euroopan tietosuojavaltuutettu kehottaa sopimuspuolia ennen sopimuksen toimittamista parlamentin hyväksyttäväksi pohtimaan huolellisesti merkittäviä tapahtumia sen jälkeiseltä ajalta, kun sopimuspuolet viime syyskuussa ilmoittivat aikovansa tehdä sopimuksen oikeussuojakeinoja koskevan lain hyväksymisen jälkeen. Monet jo suunnitellut suojatoimet ovat hyvä asia, mutta niitä olisi vahvistettava. Vahvistamistarpeen taustalla on esimerkiksi asiassa Schrems lokakuussa annettu tuomio, jolla mitätöitiin safe harbor -päätös, sekä joulukuussa saavutettu poliittinen yhteisymmärrys tietosuojauudistuksesta, jonka on määrä kattaa tietojen siirrot sekä oikeudellinen yhteistyö ja poliisiyhteistyö.

Euroopan tietosuojavaltuutettu on yksilöinyt seuraavat kolme olennaista parannusta, joiden tekemistä tekstiin hän suosittelee perusoikeuskirjan ja SEUT-sopimuksen 16 artiklan noudattamisen varmistamiseksi:

selvennys, että kaikki suojatoimet koskevat kaikkia henkilöitä eivätkä vain EU:n kansalaisia

perusoikeuskirjassa tarkoitettujen tehokkaiden oikeussuojakeinojen varmistaminen

selvennys, että arkaluonteisten tietojen massasiirto ei ole sallittua.

Lausunnossa annetaan lisäksi suosituksia suunniteltujen suojatoimien selventämiseksi liitteenä olevan selittävän asiakirjan avulla. Toimielimet voivat saada jatkossakin neuvontaa tietosuojavaltuutetulta ja käydä kanssamme vuoropuhelua tästä aiheesta.

I   Parafoidun sopimuksen tausta

1.

Neuvosto teki 3. joulukuuta 2010 päätöksen, jolla komissio valtuutettiin aloittamaan neuvottelut Euroopan unionin (EU) ja Amerikan Yhdysvaltojen välisestä sopimuksesta, joka koskee henkilötietojen suojaa silloin, kun niitä siirretään ja käsitellään terrorismi- ja muiden rikosten ehkäisemistä, tutkintaa, paljastamista tai syytteeseenpanoa varten poliisiyhteistyön ja rikosasioissa tehtävän oikeudellisen yhteistyön puitteissa (jäljempänä ’sopimus’) (1).

2.

Komission ja Yhdysvaltojen väliset neuvottelut alkoivat virallisesti 29. maaliskuuta 2011 (2). Yhdysvaltojen oikeusministeri ilmoitti 25. kesäkuuta 2014 ryhtymisestä lainsäädäntötoimiin, joilla säädetään oikeussuojakeinoista EU:n kansalaisten yksityisyyden suojan turvaamiseksi Yhdysvalloissa (3). Sopimus parafoitiin 8. syyskuuta 2015 useiden yhteensä yli neljä vuotta kestäneiden neuvottelukierrosten jälkeen. Komission mukaan tavoitteena on sopimuksen allekirjoittaminen ja virallinen tekeminen sen jälkeen, kun Yhdysvaltojen oikeussuojakeinoja koskeva laki on hyväksytty (4).

3.

Euroopan parlamentilta vaaditaan sopimuksen parafoitua tekstiä koskeva suostumus ja neuvostolta allekirjoitus. Euroopan tietosuojavaltuutettu toteaa, että tiettyjä kohtia koskevat neuvottelut voidaan aloittaa uudelleen ennen edellä mainittujen vaiheiden saamista päätökseen ja ennen sopimuksen virallista allekirjoittamista. Tietosuojavaltuutettu antaa lausunnon tätä taustaa vasten komission verkkosivustolla julkaistun parafoidun sopimustekstin pohjalta (5). Tämä alustava lausunto perustuu monimutkaisen oikeudellisen tekstin ensimmäiseen analysointiin. Se ei rajoita uusien tietojen perusteella mahdollisesti annettavien lisäsuositusten soveltamista. Uudet tiedot voivat koskea Yhdysvaltojen lainsäädännön kehitystä, josta esimerkkinä on oikeussuojakeinoja koskevan lain hyväksyminen. Tietosuojavaltuutettu on yksilöinyt kolme olennaista parantamista vaativaa kohtaa ja tuo esille myös muita osatekijöitä, joihin suositellaan merkittäviä selvennyksiä. Kun nämä parannukset on tehty, sopimuksen voidaan katsoa olevan unionin primaarilainsäädännön mukainen.

V   Päätelmät

53.

Euroopan tietosuojavaltuutettu on tyytyväinen aikomukseen säätää oikeudellisesti sitovasta välineestä, jolla pyritään varmistamaan korkeatasoinen tietosuoja henkilötietojen siirrossa EU:n ja Yhdysvaltojen välillä terrorismi- ja muiden rikosten ehkäisemistä, tutkintaa, paljastamista tai syytteeseenpanoa varten.

54.

Useimpien sopimuksen aineellisten määräysten tarkoituksena on vastata kokonaan tai osittain EU:ssa sovellettavia henkilötietojen suojaa koskevan oikeuden keskeisiä suojatoimia (kuten rekisteröityjen oikeudet, riippumaton valvonta ja muutoksenhakuoikeus).

55.

Vaikka sopimus ei teknisesti ole tietosuojan tason riittävyyttä koskeva päätös, siinä luodaan yleinen olettamus, että sopimuksen puitteissa suoritettava erityiseen oikeusperustaan perustuva tietojen siirto on vaatimusten mukaista. Sen vuoksi on olennaisen tärkeää varmistaa, että tämä olettamus vahvistetaan kaikkien tarvittavien sopimuksen tekstiin sisällytettävien suojatoimien avulla, jotta vältettäisiin perusoikeuskirjan säännösten ja erityisesti sen 7, 8 ja 47 artiklan rikkominen.

56.

Euroopan tietosuojavaltuutettu suosittelee kolmen olennaisen parannuksen tekemistä tekstiin perusoikeuskirjan ja SEUT-sopimuksen 16 artiklan noudattamisen varmistamiseksi:

1)

selvennys, että kaikki suojatoimet koskevat kaikkia henkilöitä eivätkä vain EU:n kansalaisia

2)

perusoikeuskirjassa tarkoitettujen tehokkaiden oikeussuojakeinojen varmistaminen

3)

selvennys, että arkaluonteisten tietojen massasiirto ei ole sallittua.

57.

Lisäksi Euroopan tietosuojavaltuutettu suosittelee oikeusvarmuuden parantamiseksi, että sopimustekstiin tai sopimukseen liitettäviin selityksiin tai sopimuksen täytäntöönpanovaiheessa lisätään seuraavat tässä lausunnossa esitetyt parannukset tai selvennykset:

1)

5 artiklan 3 kohta on tulkittava siten, että siinä otetaan huomioon valvontaviranomaisten tehtävä perusoikeuskirjan 8 artiklan 3 kohdan mukaisesti

2)

siirtoja koskevien erityisten oikeusperustojen (5 artiklan 1 kohta) on oltava kaikilta osin sopimuksessa määrättyjen suojakeinojen mukaisia, ja jos erityisen oikeusperustan ja sopimuksen määräykset ovat keskenään ristiriidassa, viimeksi mainittuja sovelletaan ensisijaisesti

3)

jos tietosuoja on puutteellinen siirrettäessä tietoja osavaltion tason viranomaisille, asiaankuuluvat 14 artiklan 2 kohdan mukaiset toimenpiteet käsittävät tarvittaessa toimenpiteitä, jotka koskevat jo jaettuja tietoja

4)

käsittelytoimien ja henkilötietojen määritelmiä (2 artikla) mukautetaan siten, että ne vastaavat EU:n lainsäädännön vakiintunutta tulkintaa; jos sopimuspuolet eivät mukauta näitä määritelmiä kokonaan, olisi sopimukseen liitettävissä selittävissä asiakirjoissa annettava selvennys, että näiden kahden käsitteen soveltaminen ei poikkea sisällöllisesti niiden unionin lainsäädännön mukaisesta tulkinnasta

5)

selityksiin voitaisiin sisällyttää tietojen massasiirtoon liittyvä suuntaa-antava luettelo ”erityisolosuhteista” (7 artiklan 3 kohta)

6)

sopimuspuolet aikovat soveltaa määräyksiä, jotka koskevat tietoturvaloukkauksista ilmoittamista (10 artikla), toisaalta vähentääkseen niin pitkälti kuin mahdollista ilmoittamisen laiminlyöntejä ja toisaalta estääkseen ilmoitusten kohtuuttomat viivästymiset

7)

12 artiklan 1 kohdan tietojen säilyttämistä koskevaan määräykseen lisätään täsmennys ”sitä tarkoitusta varten, jonka vuoksi ne on siirretty” sopimuksen osapuolten esiin tuoman käyttötarkoituksen rajoittamisen periaatteen perusteella

8)

sopimuksen osapuolet harkitsevat toimintansa tehostamista sen varmistamiseksi, että oikeutta tutustua tietoihin rajoitetaan vain siltä osin kuin se on välttämätöntä sopimuksessa lueteltujen yleisten etujen turvaamiseksi, ja avoimuusvelvoitteen lujittamiseksi

9)

sopimusta koskevassa yksityiskohtaisessa selvityksessä (21 artikla) luetellaan erityisesti

valvontaviranomaiset, joilla on asiaankuuluvat toimivaltuudet, ja järjestelmä, jolla sopimuspuolet ilmoittavat toisilleen tulevista muutoksista

sopimuspuolten käytettävissä olevat tehokkaat toimintavaltuudet

toimivaltaisen valvontaelimen määrittelyssä avustavan yhteyspisteen tiedot ja sijainti (ks. 22 artiklan 2 kohta).

58.

Euroopan tietosuojavaltuutettu haluaisi lopuksi muistuttaa, että epäselvissä tapauksissa ja jos sopimuksen määräykset ovat selkeästi ristiriidassa keskenään, sopimuksen tulkinta-, soveltamis- ja täytäntöönpanotoimenpiteissä olisi noudatettava EU:n perusperiaatteita ja erityisesti SEUT-sopimuksen 16 artiklaa sekä perusoikeuskirjan 7 ja 8 artiklaa riippumatta tässä lausunnossa esitettyihin suosituksiin perustuvista tervetulleista parannuksista.

Annettu Brysselissä 12. helmikuuta 2016.

Giovanni BUTTARELLI

Euroopan tietosuojavaltuutettu

(1)  Ks. 3. joulukuuta 2010 julkaistu Euroopan komission MEMO 10/1661, joka on saatavissa osoitteesta http://europa.eu/rapid/press-release_IP-10-1661_en.htm.

(2)  Ks. 29. maaliskuuta 2011 julkaistu Euroopan komission MEMO 11/203, joka on saatavissa osoitteesta http://europa.eu/rapid/press-release_MEMO-11-203_en.htm.

(3)  Ks. 25. kesäkuuta 2014 julkaistu oikeusministeriön lehdistötiedote 14–668, joka on saatavissa osoitteesta http://www.justice.gov/opa/pr/attorney-general-holder-pledges-support-legislation-provide-eu-citizens-judicial-redress.

(4)  Ks. 8. syyskuuta 2015 julkaistu Euroopan komission MEMO 15/5612, joka on saatavissa osoitteesta http://europa.eu/rapid/press-release_MEMO-15-5612_en.htm.

(5)  Teksti on saatavissa osoitteessa http://ec.europa.eu/justice/data-protection/files/dp-umbrella-agreement_en.pdf.

Top