11.10.2017

FI

Euroopan unionin virallinen lehti

C 340/6

---

Tiivistelmä lausunnosta, joka koskee ehdotusta asetukseksi yhteisen digitaalisen palveluväylän perustamisesta ja yhden kerran periaatteesta

(Koko lausunto on luettavissa englanniksi, ranskaksi ja saksaksi Euroopan tietosuojavaltuutetun verkkosivuilla www.edps.europa.eu)

(2017/C 340/03)

Ehdotus kuuluu ensimmäisiin EU:n välineisiin, joissa viitataan nimenomaisesti niin sanottuun yhden kerran periaatteeseen ja toteutetaan sitä. Periaatteen tavoitteena on varmistaa, että kansalaisia ja yrityksiä pyydetään toimittamaan viranomaisille samat tiedot vain kerran ja että viranomaiset voivat sen jälkeen käyttää hallussaan olevia tietoja uudelleen. Ehdotuksen mukaan tiettyihin rajat ylittäviin menettelyihin (kuten tutkintotodistusten tunnustamista koskeviin pyyntöihin) liittyvän näytön vaihto aloitettaisiin käyttäjän nimenomaisesta pyynnöstä ja tapahtuisi komission ja jäsenvaltioiden perustamassa teknisessä järjestelmässä, jossa sisäänrakennettu tarkastelumekanismi varmistaisi avoimuuden suhteessa käyttäjään.

Euroopan tietosuojavaltuutettu suhtautuu myönteisesti komission ehdotukseen viranomaispalvelujen nykyaikaistamisesta ja arvostaa komission huolta tämän ehdotuksen mahdollisesta vaikutuksesta henkilötietojen suojaan. Lausunto annetaan sekä komission että parlamentin nimenomaisesta pyynnöstä. Lausuntoon ovat vaikuttaneet myös Viron EU-puheenjohtajakauden ensisijaiset tavoitteet, joihin kuuluu erityisesti ”digitaalinen Eurooppa ja tietojen vapaa liikkuvuus”.

Lainsäädännön laadun parantamiseen tähtäävien erityisten suositusten antamisen lisäksi Euroopan tietosuojavaltuutettu haluaa tässä yhteydessä myös antaa alustavan yleiskatsauksen keskeisiin yhden kerran periaatteeseen liittyviin ongelmiin, vaikka monet näistä huolenaiheista eivät välttämättä käy ilmi nykymuotoisesta ehdotuksesta. Ongelmat liittyvät erityisesti käsittelyn oikeusperustaan, käyttötarkoitussidonnaisuuteen ja rekisteröidyn oikeuksiin. Euroopan tietosuojavaltuutettu korostaa, että yhden kerran periaatetta on toteutettava asiaan liittyvien tietosuojaperiaatteiden mukaisesti, jotta voidaan varmistaa koko EU:n kattavan yhden kerran periaatteen onnistunut toteutus ja mahdollistaa lainmukainen valtioiden rajat ylittävä tiedonvaihto.

Itse ehdotuksen osalta Euroopan tietosuojavaltuutettu tukee pyrkimyksiä varmistaa yksittäisten ihmisten mahdollisuudet valvoa jatkossakin omia henkilötietojaan, myös edellyttämällä ”käyttäjän nimenomaista pyyntöä” ennen näytön siirtämistä toimivaltaisten viranomaisten välillä ja tarjoamalla käyttäjälle mahdollisuutta tarkastella vaihdettavaa näyttöä. Hän on myös tyytyväinen IMI-asetukseen ehdotettuihin muutoksiin, joilla vahvistetaan ja ajantasaistetaan sisämarkkinoiden tietojenvaihtojärjestelmän (IMI) koordinoitua valvontamekanismia koskevia säännöksiä ja joiden ansiosta Euroopan tietosuojaneuvosto voisi hyödyntää IMIn tarjoamia teknisiä mahdollisuuksia yleisen tietosuoja-asetuksen puitteissa toteutettavassa tiedonvaihdossa.

Lausunnossa annetaan suosituksia monista eri asioista ja keskitytään valtioiden rajat ylittävän tiedonvaihdon oikeusperustaan, käyttötarkoitussidonnaisuuteen ja yhden kerran periaatteen soveltamisalaan sekä käyttäjävalvontaan liittyviin käytännön kysymyksiin. Keskeisissä suosituksissa muun muassa täsmennetään, että ehdotus ei tarjoa oikeusperustaa teknisen järjestelmän käyttämiselle tiedonvaihtoon, joka tehdään muissa tarkoituksissa kuin luetelluissa neljässä direktiivissä säädetyissä tai sovellettavan EU:n tai kansallisen lainsäädännön nojalla muulla tavoin säädetyissä tarkoituksissa, ja että ehdotuksen tavoitteena ei ole rajoittaa yleisen tietosuoja-asetuksen mukaista käyttötarkoitussidonnaisuuden periaatetta; lisäksi siinä selvitetään monia erilaisia kysymyksiä, jotka liittyvät käyttäjävalvonnan käytännön toteuttamiseen. IMI-asetukseen tehtävien muutosten osalta Euroopan tietosuojavaltuutettu suosittelee, että IMI-asetuksen liitteeseen lisätään yleinen tietosuoja-asetus, jotta IMIä voitaisiin mahdollisesti käyttää tietosuojatarkoituksiin.

1.   JOHDANTO JA TAUSTA

Euroopan komissio, jäljempänä ’komissio’, antoi 2. toukokuuta 2017 ehdotuksen Euroopan parlamentin ja neuvoston asetukseksi tietoja, menettelyjä sekä neuvonta- ja ongelmanratkaisupalveluja tarjoavan yhteisen digitaalisen palveluväylän perustamisesta ja asetuksen (EU) N:o 1024/2012 (1) muuttamisesta, jäljempänä ’ehdotus’.

Ehdotuksen tavoitteena on helpottaa kansalaisten ja yritysten rajatylittäviä toimia tarjoamalla niille yhteisen digitaalisen palveluväylän kautta helppo pääsy tietoihin, menettelyihin sekä neuvonta- ja ongelmanratkaisupalveluihin, joita ne tarvitsevat käyttääkseen oikeuksiaan sisämarkkinoilla. Tämä ehdotus on tässä yhteydessä tärkeä komission kannalta sen pyrkiessä kehittämään syvemmät ja oikeudenmukaisemmat sisämarkkinat sekä digitaaliset sisämarkkinat (2).

Ehdotuksen 4–6 artiklassa käsitellään yhteisen digitaalisen palveluväylän tarjoamia palveluja. Ne vastaavat hyvin itse ehdotuksen nimeä ja niihin kuuluu

—	tietojensaantimahdollisuus,

—	menettelyjen käyttömahdollisuus sekä

—	neuvonta- ja ongelmanratkaisupalvelujen käyttömahdollisuus.

Merkille pantavaa on myös, että ehdotuksen 36 artiklan tavoitteena on muuttaa useita asetukseen (EU) N:o 1024/2012, jäljempänä ’IMI-asetus’ (3) sisältyviä säännöksiä. Asetuksella luodaan oikeusperusta sisämarkkinoiden tietojenvaihtojärjestelmän (Internal Market Information System, IMI) (4) toiminnalle.

Ehdotus kuuluu ensimmäisiin EU:n välineisiin, joissa viitataan nimenomaisesti niin sanottuun yhden kerran periaatteeseen ja toteutetaan sitä (5). Ehdotuksessa viitataan yhden kerran käsitteeseen ja sen etuihin toteamalla, että ”kansalaisten ja yritysten tarvitsisi toimittaa samat tiedot viranomaisille näytön rajatylittävää vaihtoa varten vain kerran” (6). Ehdotuksen mukaan tiettyihin menettelyihin liittyvän näytön vaihto aloitettaisiin käyttäjän pyynnöstä ja tapahtuisi komission ja jäsenvaltioiden perustamassa teknisessä järjestelmässä (7) (lisätietoja on jäljempänä olevassa 3 kohdassa).

Tämä lausunto annetaan, koska komissio ja sen jälkeen erikseen Euroopan parlamentti, jäljempänä ’parlamentti’, on pyytänyt Euroopan tietosuojavaltuutettua, jäljempänä ’tietosuojavaltuutettu’, joka on riippumaton valvontaviranomainen, antamaan lausunnon ehdotuksesta. Tietosuojavaltuutettu on tyytyväinen siihen, että molemmat toimielimet ovat kuulleet häntä. Lausunto on annettu sen jälkeen, kun komissio kuuli tietosuojavaltuutettua epävirallisesti ennen ehdotuksen antamista.

Tietosuojavaltuutettu panee tyytyväisenä merkille komission ehdotuksen viranomaispalvelujen nykyaikaistamisesta parantamalla tietojen saatavuutta, laatua ja saantia kaikkialla Euroopan unionissa. Hän korostaa erityisesti myös, että yhden kerran periaate voisi edistää näiden tavoitteiden saavuttamista edellyttäen, että sovellettavaa tietosuojalainsäädäntöä noudatetaan ja yksilöiden perusoikeuksia kunnioitetaan.

Tietosuojavaltuutettu ottaa vakavasti komission ja parlamentin huolen tämän ehdotuksen mahdollisesta vaikutuksesta henkilötietojen suojaan. Hän panee tyytyväisenä merkille, että monet hänen epävirallisista huomautuksistaan on otettu huomioon. Hän kannattaa erityisesti

—

pyrkimyksiä varmistaa yksittäisten ihmisten mahdollisuudet valvoa jatkossakin omia henkilötietojaan, myös edellyttämällä ”käyttäjän nimenomaista pyyntöä” ennen näytön siirtämistä toimivaltaisten viranomaisten välillä (12 artiklan 4 kohta) ja tarjoamalla käyttäjälle mahdollisuuden ”tarkastella” vaihdettavaa näyttöä (12 artiklan 2 kohdan e alakohta);

—	pyrkimyksiä määritellä ”yhden kerran” periaatteen aineellinen soveltamisala (12 artiklan 1 kohta) ja

—	nimenomaista vaatimusta nimettömien tietojen ja/tai yhdistelmätiedon käyttämisestä käyttäjäpalautteen ja -tilastojen keruussa (21–23 artikla);

—	ehdotusta IMI-asetukseen tehtävistä muutoksista, joilla vahvistetaan ja ajantasaistetaan IMIn koordinoitua valvontamekanismia koskevia säännöksiä yhtenäisen ja johdonmukaisen lähestymistavan varmistamiseksi (36 artiklan 6 kohdan b alakohta);

—	myös yleisempiä säännöksiä, joilla sitoudutaan varmistamaan henkilöiden perusoikeuksien, kuten oikeuden henkilötietojen suojaan, kunnioittaminen; niitä on esimerkiksi johdanto-osan 43 ja 44 kappaleessa sekä 29 artiklassa.

Tämän lausunnon tarkoituksena on antaa erityisiä suosituksia jäljellä olevien tietosuojaa koskevien huolenaiheiden käsittelemiseksi ja samalla lainsäädännön laadun parantamiseksi edelleen (ks. jäljempänä 3 kohta). Lausunnossa keskitytään yhteen edellä mainituista kolmesta palveluväylän palvelusta eli ”menettelyjen käyttömahdollisuuteen” (5 artikla) ja erityisesti säännöksiin, jotka koskevat 12 artiklan mukaista ”näytön vaihtoa valtioiden rajojen yli toimivaltaisten viranomaisten välillä”, koska ne ovat erityisen tärkeitä henkilötietojen suojan kannalta. Ehdotuksen muut osat (mukaan lukien säännökset, jotka koskevat tietojensaantimahdollisuutta sekä mahdollisuuksia saada neuvonta- ja ongelmanratkaisupalveluja), aiheuttavat vähemmän ongelmia. Tietosuojavaltuutettu esittää myös lyhyitä huomautuksia eräistä IMI-asetukseen ehdotetuista muutoksista.

Lisäksi tietosuojavaltuutettu haluaa tässä yhteydessä myös esittää alustavan yleiskatsauksen yhden kerran periaatteeseen yleisesti liittyviin keskeisiin ongelmiin, vaikka monet näistä huolenaiheista eivät välttämättä käy ilmi nykymuotoisesta ehdotuksesta (ks. jäljempänä 2 kohta).

4.   PÄÄTELMÄT

Tietosuojavaltuutettu on tyytyväinen komission ehdotukseen viranomaispalvelujen nykyaikaistamisesta parantamalla tietojen saatavuutta, laatua ja saantia kaikkialla Euroopan unionissa. Hän arvostaa komission ja parlamentin toteuttamaa kuulemista ja niiden huolestumista ehdotuksen mahdollisesta vaikutuksesta henkilötietojen suojaan.

Lainsäädännön laadun parantamiseen tähtäävien erityissuositusten antamisen lisäksi tietosuojavaltuutettu haluaa tässä yhteydessä myös esittää alustavan yleiskatsauksen yhden kerran periaatteeseen yleisesti liittyviin keskeisiin ongelmiin, vaikka monet näistä huolenaiheista eivät välttämättä käy ilmi nykymuotoisesta ehdotuksesta. Ongelmat liittyvät erityisesti

—	käsittelyn oikeusperustaan,

—	käyttötarkoitussidonnaisuuteen,

—	ja rekisteröidyn oikeuksiin.

Euroopan tietosuojavaltuutettu korostaa, että yhden kerran periaatetta on sovellettava asiaan liittyvien tietosuojaperiaatteiden mukaisesti, jotta voidaan varmistaa koko EU:n kattavan yhden kerran periaatteen toteutuksen onnistuminen ja mahdollistaa lainmukainen valtioiden rajat ylittävä tiedonvaihto.

Itse ehdotuksen osalta tietosuojavaltuutettu kannattaa

—

pyrkimyksiä varmistaa yksittäisten ihmisten mahdollisuudet valvoa jatkossakin omia henkilötietojaan, myös edellyttämällä ”käyttäjän nimenomaista pyyntöä” ennen näytön siirtämistä toimivaltaisten viranomaisten välillä (12 artiklan 4 kohta) ja tarjoamalla käyttäjälle mahdollisuutta ”tarkastella” vaihdettavaa näyttöä (12 artiklan 2 kohdan e alakohta) sekä

—	pyrkimyksiä määritellä ”yhden kerran” periaatteen aineellinen soveltamisala (12 artiklan 1 kohta);

—	ehdotusta IMI-asetukseen tehtävistä muutoksista, joilla vahvistetaan ja ajantasaistetaan IMIn koordinoitua valvontamekanismia koskevia säännöksiä yhtenäisen ja johdonmukaisen lähestymistavan varmistamiseksi (36 artiklan 6 kohdan b alakohta);

—	ja on tyytyväinen myös EU:n elinten sisällyttämiseen ehdotuksessa olevaan IMI-toimijoiden määritelmään, minkä ansiosta Euroopan tietosuojaneuvosto voi mahdollisesti hyödyntää IMIn tarjoamia teknisiä mahdollisuuksia tietojenvaihdossa.

Käsittelyn oikeusperustan osalta tietosuojavaltuutettu suosittelee yhden tai useamman kappaleen lisäämistä johdanto-osaan. Niillä täsmennettäisiin, että

—

ehdotus sinänsä ei tarjoa oikeusperustaa näytön vaihtoa varten ja että 12 artiklan 1 kohdan mukainen näytön vaihto edellyttää asianmukaista oikeusperustaa, joka vahvistetaan jossain muualla, esimerkiksi 12 artiklan 1 kohdassa luetelluissa neljässä direktiivissä tai sovellettavassa EU:n tai kansallisessa lainsäädännössä;

—	oikeusperusta 12 artiklassa määritellyn näytön vaihtoon käytettävän teknisen järjestelmän käyttöä varten on yleiseen etuun liittyvän tehtävän suorittaminen yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohdan mukaisesti, ja että

—	käyttäjillä on oikeus vastustaa henkilötietojensa käsittelyä teknisessä järjestelmässä yleisen tietosuoja-asetuksen 21 artiklan 1 kohdan mukaisesti.

Käyttötarkoitussidonnaisuuden osalta tietosuojavaltuutettu suosittelee yhden tai useamman kappaleen lisäämistä johdanto-osaan. Niillä täsmennettäisiin, että

—	ehdotus ei tarjoa oikeusperustaa teknisen järjestelmän käyttämiselle tiedonvaihtoon, joka tehdään muissa tarkoituksissa kuin luetelluissa neljässä direktiivissä säädetyissä tai sovellettavan EU:n tai kansallisen lainsäädännön nojalla muulla tavoin säädetyissä tarkoituksissa

—	ja että ehdotuksen tavoitteena ei ole millään tavoin rajoittaa yleisen tietosuoja-asetuksen 6 artiklan 4 kohdan ja 23 artiklan 1 kohdan mukaista käyttötarkoitussidonnaisuuden periaatetta.

Käsitteen ”nimenomainen pyyntö” osalta tietosuojavaltuutettu suosittelee, että ehdotuksessa täsmennettäisiin (mieluiten aineellisessa säännöksessä),

—	mitkä ehdot pyynnön on täytettävä ollakseen ”nimenomainen” ja miten tarkoin määrätty pyynnön on oltava;

—	voidaanko pyyntö toimittaa 12 artiklan 1 kohdassa mainitun teknisen järjestelmän kautta;

—	mitkä ovat seuraukset, jos käyttäjä päättää olla esittämättä ”nimenomaista pyyntöä”ja

—	voidaanko pyyntö peruuttaa. (Erityisten suositusten osalta ks. 3.3 kohta edellä).

”Tarkasteluun” liittyvien kysymysten osalta tietosuojavaltuutettu suosittelee, että

—	ehdotuksessa täsmennetään, mitä valinnanmahdollisuuksia sellaisella käyttäjällä on, joka käyttää hyväkseen mahdollisuutta tarkastella vaihdettavia tietoja;

—

12 artiklan 2 kohdan e alakohdassa olisi erityisesti täsmennettävä, että käyttäjälle tarjotaan mahdollisuus tarkasteluun hyvissä ajoin ennen näytön asettamista vastaanottajan saataville ja että käyttäjä voi peruuttaa näytön vaihtoa koskevan pyynnön (ks. myös tietosuojavaltuutetun asiaan liittyvät ”nimenomaisia pyyntöjä” koskevat suositukset);

—	tämä voidaan toteuttaa esimerkiksi lisäämällä 12 artiklan 2 kohdan e alakohdassa olevan virkkeen loppuun sanat ”ennen kuin se asetetaan tiedot pyytäneen viranomaisen saataville, ja mahdollisuus peruuttaa pyyntö milloin tahansa”).

Tietosuojavaltuutettu suosittelee näytön ja asetusehdotuksen kattamien sähköisten menettelyjen määrittelyn osalta seuraavaa:

—	korvataan 3 artiklan 4 kohdassa oleva viittaus 2 artiklan 2 kohdan b alakohtaan viittauksella 12 artiklan 1 kohtaan tai tarjotaan jokin muu lainsäädännöllinen ratkaisu, jonka vaikutus olisi vastaava;

—	tietosuojavaltuutettu korostaa myös, että hän on tyytyväinen ehdotuksen pyrkimyksiin rajoittaa tiedonvaihto yksinomaan liitteessä II ja neljässä erikseen luetellussa direktiivissä mainittuihin sähköisiin menettelyihin;

—	hän suosittelee sen vuoksi, että ehdotuksen soveltamisala pysyy selkeästi määriteltynä ja että siihen sisällytetään edelleen liite II ja viittaukset neljään erikseen lueteltuun direktiiviin.

Euroopan tietosuojavaltuutettu suosittelee lisäksi, että

—	IMI-asetuksen liitteeseen lisätään yleinen tietosuoja-asetus, jotta IMIä voitaisiin mahdollisesti käyttää tietosuojatarkoituksiin, ja

—	liitteessä III olevaan neuvonta- ja ongelmanratkaisupalvelujen luetteloon lisätään tietosuojavalvontaviranomaiset.

---

(1)  Ehdotus Euroopan parlamentin ja neuvoston asetukseksi tietoja, menettelyjä sekä neuvonta- ja ongelmanratkaisupalveluja tarjoavan yhteisen digitaalisen palveluväylän perustamisesta ja asetuksen (EU) N:o 1024/2012 muuttamisesta, COM(2017) 256 final, 2017/0086 (COD), jäljempänä ’ehdotus’.

(2)  Ehdotuksen perustelut, s. 2.

(3)  Euroopan parlamentin ja neuvoston asetus (EU) N:o 1024/2012, annettu 25 päivänä lokakuuta 2012, hallinnollisesta yhteistyöstä sisämarkkinoiden tietojenvaihtojärjestelmässä ja komission päätöksen 2008/49/EY kumoamisesta (IMI-asetus) (EUVL L 316, 14.11.2012, s. 1).

(4)  Ks. myös Euroopan tietosuojavaltuutetun 22. marraskuuta 2011 antama lausunto komission ehdotuksesta Euroopan parlamentin ja neuvoston asetukseksi hallinnollisesta yhteistyöstä sisämarkkinoiden tietojenvaihtojärjestelmässä

(IMI), osoitteessa https://edps.europa.eu/sites/edp/files/publication/11-11-22_imi_opinion_en.pdf.

(5)  Ks. myös ehdotus Euroopan parlamentin ja neuvoston direktiiviksi asetuksella … [ESC Regulation] käyttöön otettua sähköistä eurooppalaista palvelukorttia koskevasta lainsäädäntö- ja toimintakehyksestä, 14 artikla, COM(2016) 823 final, 2016/0402(COD).

(6)  Ehdotuksen johdanto-osan 28 kappale.

(7)  Ehdotuksen 12 artiklan 1 ja 4 kohta.

---