32008F0977

Language
- My EUR-Lex
- Sign in
- Register
- My recent searches (0)

This document is an excerpt from the EUR-Lex website

Search tips

Need more search options? Use the Advanced search

EUROPA
EUR-Lex home
EUR-Lex - 32008F0977 - EN

Document 32008F0977

Help

Neuvoston puitepäätös 2008/977/YOS, tehty 27 päivänä marraskuuta 2008 , rikosasioissa tehtävässä poliisi- ja oikeudellisessa yhteistyössä käsiteltävien henkilötietojen suojaamisesta

OJ L 350, 30.12.2008, p. 60–71 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
Special edition in Croatian: Chapter 16 Volume 002 P. 118 - 129

Legal status of the document No longer in force, Date of end of validity: 05/05/2018; Kumoaja 32016L0680

ELI: http://data.europa.eu/eli/dec_framw/2008/977/oj

HTML

PDF

Official Journal

30.12.2008

Euroopan unionin virallinen lehti

L 350/60

NEUVOSTON PUITEPÄÄTÖS 2008/977/YOS,

tehty 27 päivänä marraskuuta 2008,

rikosasioissa tehtävässä poliisi- ja oikeudellisessa yhteistyössä käsiteltävien henkilötietojen suojaamisesta

EUROOPAN UNIONIN NEUVOSTO, joka

ottaa huomioon Euroopan unionista tehdyn sopimuksen ja erityisesti sen 30 ja 31 artiklan sekä 34 artiklan 2 kohdan b alakohdan,

ottaa huomioon komission ehdotuksen,

ottaa huomioon Euroopan parlamentin lausunnon (1),

sekä katsoo seuraavaa:

(1)	Euroopan unioni on asettanut tavoitteekseen pitää yllä ja kehittää unionia vapauteen, turvallisuuteen ja oikeuteen perustuvana alueena, jossa korkea turvallisuuden taso on määrä varmistaa jäsenvaltioiden välisellä yhteisellä toiminnalla poliisi- ja oikeudellisessa yhteistyössä rikosasioissa.

(2)

Euroopan unionista tehdyn sopimuksen 30 artiklan 1 kohdan b alakohdan mukainen poliisiyhteistyön yhteinen toiminta ja 31 artiklan 1 kohdan a alakohdan mukaista oikeudellista yhteistyötä rikosasioissa koskeva yhteinen toiminta edellyttävät asiaa koskevien tietojen käsittelyä, jossa olisi otettava huomioon asianmukaiset henkilötietojen suojaa koskevat säännökset.

(3)

Euroopan unionista tehdyn sopimuksen VI osaston alaan kuuluvalla lainsäädännöllä olisi edistettävä poliisiyhteistyön ja rikosasioissa tehtävän oikeudellisen yhteistyön tehokkuutta ja lainmukaisuutta sekä perusoikeuksien, erityisesti yksityisyyttä ja henkilötietojen suojaa koskevien oikeuksien noudattamista. Molempien tavoitteiden saavuttamista edistetään osaltaan rikollisuuden ehkäisemisessä ja torjunnassa käsiteltävien henkilötietojen käsittelyä ja tietosuojaa koskevilla yhteisillä normeilla.

(4)

Eurooppa-neuvoston 4 päivänä marraskuuta 2004 hyväksymässä Haagin ohjelmassa vapauden, turvallisuuden ja oikeuden lujittamisesta Euroopan unionissa korostettiin, että tarvitaan innovoiva lähestymistapa lainvalvontatietojen valtioiden rajat ylittävään vaihtoon siten, että samalla noudatetaan tiukasti tietosuojaan liittyviä keskeisiä edellytyksiä, ja kehotettiin komissiota esittämään asiaa koskevia ehdotuksia vuoden 2005 loppuun mennessä. Tämän vuoksi laadittiin neuvoston ja komission toimintasuunnitelma vapauden, turvallisuuden ja oikeuden lujittamiseen Euroopan unionissa tähtäävän Haagin ohjelman toteuttamiseksi (2).

(5)

Henkilötietojen vaihtoa poliisi- ja oikeudellisessa yhteistyössä rikosasioissa, erityisesti tietojen vaihtoa, joka tapahtuu Haagin ohjelmassa määritellyn tietojen saatavuutta koskevan periaatteen mukaisesti, olisi tuettava selkeillä (…) säännöksillä, jotka lisäävät toimivaltaisten viranomaisten keskinäistä luottamusta ja joilla varmistetaan asiaa koskevien tietojen suojaaminen siten, että siihen ei sisälly minkäänlaista syrjintää kyseisen jäsenvaltioiden välisen yhteistyön suhteen ja että siinä samalla kunnioitetaan täysin asianomaisten henkilöiden perusoikeuksia. Voimassa olevat eurooppalaiset välineet eivät tähän riitä. Yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24 päivänä lokakuuta 1995 annettua Euroopan parlamentin ja neuvoston direktiiviä 95/46/EY (3) ei sovelleta henkilötietojen käsittelyyn silloin, kun toiminta ei kuulu yhteisön oikeuden soveltamisalaan, kuten Euroopan unionista tehdyn sopimuksen VI osastossa tarkoitettu toiminta, eikä missään tapauksessa tietojen käsittelyyn, joka koskee yleistä turvallisuutta, maanpuolustusta, valtion turvallisuutta tai rikosoikeuden alalla tapahtuvaa valtion toimintaa.

(6)

Tätä puitepäätöstä sovelletaan ainoastaan tietoihin, joita toimivaltaiset viranomaiset keräävät tai käsittelevät rikosten torjumiseksi, tutkimiseksi, selvittämiseksi tai niistä syyttämiseksi tai rikosoikeudellisten seuraamusten täytäntöönpanemiseksi. Puitepäätöksessä pitäisi jättää jäsenvaltioiden määriteltäväksi tarkemmin kansallisesti, mitä muita tarkoituksia on pidettävä yhteensopimattomina sen tarkoituksen kanssa, johon henkilötiedot alun perin kerättiin. Tietojen käsittelyn historiallisia, tilastollisia tai tieteellisiä tarkoituksia varten ei yleensä pitäisi katsoa olevan yhteensopimatonta käsittelyn alkuperäisen tarkoituksen kanssa.

(7)

Puitepäätöksen soveltamisala rajoittuu jäsenvaltioiden keskenään siirtämien tai saataville asettamien henkilötietojen käsittelyyn. Soveltamisalan rajoittamisesta ei pitäisi tehdä johtopäätöksiä unionin toimivallasta antaa säädöksiä, jotka liittyvät henkilötietojen keräämiseen ja käsittelyyn kansallisella tasolla, eikä siitä, onko unionin tarkoituksenmukaista antaa sellaisia tulevaisuudessa.

(8)

Tietojen vaihdon helpottamiseksi unionissa jäsenvaltiot aikovat varmistaa, että kansallisessa tietojenkäsittelyssä saavutettu tietosuojan taso vastaa tässä puitepäätöksessä edellytettyä tietosuojan tasoa. Kansallisen tietojenkäsittelyn osalta tämä puitepäätös ei estä jäsenvaltioita antamasta henkilötietojen suojaamiseksi säännöksiä, jotka ovat tässä puitepäätöksessä säädettyjä tiukempia.

(9)	Tätä puitepäätöstä ei pitäisi soveltaa henkilötietoihin, jotka jäsenvaltio on saanut tämän puitepäätöksen soveltamisalan rajoissa ja jotka ovat peräisin kyseisestä jäsenvaltiosta.

(10)	Jäsenvaltioiden lainsäädäntöjen lähentäminen ei saisi johtaa lainsäädännöllä turvattavan tietosuojan heikentymiseen, vaan sillä olisi päinvastoin pyrittävä varmistamaan tietosuojan korkea taso unionissa.

(11)

On tarpeen määrittää tietosuojan tavoitteet poliisi- ja oikeudellisessa toiminnassa sekä antaa henkilötietojen käsittelyn lainmukaisuutta koskevat säännökset sen varmistamiseksi, että kaikki mahdollisesti vaihdettavat tiedot on käsitelty lainmukaisesti ja tietojen laatuun liittyviä perusperiaatteita noudattaen. Samalla ei saisi haitata poliisi-, tulli- ja oikeusviranomaisten sekä muiden toimivaltaisten viranomaisten lainmukaista toimintaa millään tavalla.

(12)

Tietojen oikeellisuuden periaatetta on sovellettava ottaen huomioon asianomaisen käsittelyn luonne ja tarkoitus. Esimerkiksi erityisesti oikeudenkäyntimenettelyissä tiedot perustuvat yksilöiden subjektiiviseen havaintoon eivätkä joissakin tapauksissa ole lainkaan todennettavissa. Näin ollen oikeellisuuden vaatimus ei voi koskea lausunnon oikeellisuutta, vaan ainoastaan sitä tosiseikkaa, että tietty lausunto on annettu.

(13)

Erilliseen tiedostoon arkistoinnin pitäisi voida olla sallittua vain, jos tietoja ei enää tarvita ja käytetä rikosten torjumiseen, tutkimiseen, selvittämiseen tai niistä syyttämiseen tai rikosoikeudellisten seuraamusten täytäntöönpanemiseen. Erilliseen tiedostoon arkistoinnin pitäisi voida olla sallittua myös, jos arkistoidut tiedot tallennetaan tietokantaan muiden tietojen kanssa sellaisella tavalla, että niitä ei voida enää käyttää rikosten torjumiseen, tutkimiseen, selvittämiseen tai niistä syyttämiseen tai rikosoikeudellisten seuraamusten täytäntöönpanemiseen. Arkistointiajan asianmukaisen pituuden pitäisi riippua arkistoinnin tarkoituksista ja rekisteröityjen oikeutetuista eduista. Jos arkistoinnilla on historiallisia tarkoituksia, arkistointiaika voi olla hyvin pitkä.

(14)	Tiedot voidaan myös poistaa tuhoamalla tietoväline.

(15)

Jos toiselle jäsenvaltiolle siirretyt tai sen saataville asetetut tiedot, joita käsitellään edelleen tuomioistuintyyppisissä viranomaisissa eli viranomaisissa, joilla on valtuudet tehdä oikeudellisesti sitovia päätöksiä, ovat virheellisiä tai puutteellisia tai eivät ole enää ajan tasalla, tietojen oikaiseminen, poistaminen tai suojaaminen olisi suoritettava kansallisen lainsäädännön mukaisesti.

(16)	Luonnollisten henkilöiden henkilötietojen korkeatasoisen suojan varmistaminen edellyttää yhteisiä säännöksiä toimivaltaisten viranomaisten muissa jäsenvaltioissa käsittelemien tietojen lainmukaisuuden ja laadun määrittämiseksi.

(17)

On suotavaa määrittää Euroopan tasolla, millä edellytyksillä jäsenvaltioiden toimivaltaiset viranomaiset saisivat siirtää muilta jäsenvaltioilta saatuja henkilötietoja jäsenvaltioiden viranomaisille ja yksityisille tahoille sekä asettaa niitä näiden saataville. Monissa tapauksissa se, että oikeusviranomainen, poliisi tai tulli siirtää henkilötietoja yksityisille tahoille, on välttämätöntä rikoksen syytteeseen panemiseksi tai yleistä turvallisuutta koskevan välittömän ja vakavan uhkan estämiseksi tai yksilöiden oikeuksiin kohdistuvien vakavien vahinkojen ehkäisemiseksi, esimerkiksi tekemällä pankeille ja luottolaitoksille ilmoituksia arvopaperiväärennyksistä tai ajoneuvorikosten alalla ilmoittamalla henkilötiedot vakuutusyhtiöille varastettujen moottoriajoneuvojen laittoman kaupan ehkäisemiseksi tai varastettujen moottoriajoneuvojen ulkomailta takaisin saamista koskevien edellytysten parantamiseksi. Tämä ei merkitse poliisin eikä lainkäyttötehtävien siirtoa yksityisille tahoille.

(18)	Tämän puitepäätöksen säännöt siitä, että oikeusviranomainen, poliisi tai tulli siirtää henkilötietoja yksityisille tahoille, eivät koske tietojen luovuttamista yksityisille tahoille (esimerkiksi puolustusasianajajille ja uhreille) rikosoikeudellisen menettelyn yhteydessä.

(19)	Euroopan tasolla olisi annettava yhteiset säännökset, jotka koskevat toisen jäsenvaltion toimivaltaiselta viranomaiselta saatujen tai sen saataville asettamien henkilötietojen edelleenkäsittelyä, varsinkin kyseisten tietojen siirtämistä edelleen tai asettamista muiden saataville.

(20)

Jos henkilötietoja voidaan käsitellä edelleen sen jälkeen, kun jäsenvaltio, jolta tiedot on saatu, on antanut siihen suostumuksensa, kunkin jäsenvaltion pitäisi voida määritellä kyseistä suostumusta koskevat yksityiskohtaiset säännöt antamalla esimerkiksi tietoluokkia tai jatkokäsittelyn luokkia koskevan yleisen suostumuksen.

(21)	Jos henkilötietoja voidaan käsitellä edelleen hallinnollisia menettelyjä varten, menettelyihin kuuluvat myös sääntely- ja valvontaelinten suorittamat toimet.

(22)

Poliisin, tullin, oikeusviranomaisen tai muun toimivaltaisen viranomaisen lainmukainen toiminta saattaa edellyttää tietojen toimittamista kolmansien valtioiden viranomaisille tai kansainvälisille elimille, joilla on rikosten torjumiseen, tutkimiseen, selvittämiseen tai niistä syyttämiseen tai rikosoikeudellisten seuraamusten täytäntöön panemiseen liittyviä velvoitteita.

(23)	Jos henkilötietoja siirretään jäsenvaltiosta kolmansille valtioille tai kansainvälisille elimille, näiden henkilötietojen olisi periaatteessa saatava riittäväntasoista suojaa.

(24)

Jos henkilötietoja siirretään jäsenvaltiosta kolmansille valtioille tai kansainvälisille elimille, siirron olisi periaatteessa tapahduttava vasta sen jälkeen, kun jäsenvaltio, jolta tiedot on saatu, on antanut suostumuksensa niiden siirtämiseen. Kunkin jäsenvaltion pitäisi voida määritellä tällaista suostumusta koskevat yksityiskohtaiset säännöt, muun muassa antamalla esimerkiksi tietoluokkia tai tiettyjä kolmansia valtioita koskevan yleisen suostumuksen.

(25)

Tehokkaan lainvalvontayhteistyön edun mukaista on, että jos jäsenvaltion tai kolmannen valtion yleiseen turvallisuuteen kohdistuu niin välitön uhka, että on mahdotonta saada etukäteistä suostumusta ajoissa, toimivaltaisen viranomaisen pitäisi voida siirtää asian kannalta merkittävät henkilötiedot asianomaiselle kolmannelle valtiolle ilman etukäteistä suostumusta. Samaa voitaisiin soveltaa myös silloin, kun jäsenvaltion muut yhtä tärkeät olennaiset edut ovat vaarassa, esimerkiksi jos jäsenvaltion kriittiseen infrastruktuuriin voisi kohdistua välitön ja vakava uhka tai jos jäsenvaltion rahoitusjärjestelmä voisi häiriintyä vakavasti.

(26)	Saattaa olla tarpeellista tiedottaa rekisteröidyille heitä koskevien tietojen käsittelystä, etenkin jos heidän oikeuksiaan on vakavasti loukattu salaisten tiedonkeruutoimenpiteiden seurauksena, jotta rekisteröidyille voidaan taata mahdollisuus tehokkaisiin oikeussuojakeinoihin.

(27)

Jäsenvaltioiden olisi varmistettava, että rekisteröidylle ilmoitetaan, että henkilötietoja voidaan kerätä, käsitellä tai siirtää toiseen jäsenvaltioon tai kerätään, käsitellään tai siirretään parhaillaan toiseen jäsenvaltioon rikosten torjumiseksi, tutkimiseksi, selvittämiseksi tai niistä syyttämiseksi tai rikosoikeudellisten seuraamusten täytäntöönpanemiseksi. Kansallisessa laissa pitäisi määritellä rekisteröidyn tiedonsaantioikeutta ja sitä koskevia poikkeuksia koskevat yksityiskohtaiset säännöt. Tämä voidaan tehdä yleisessä muodossa, esimerkiksi laissa tai julkaisemalla luettelo käsittelytoimista.

(28)	Henkilötietojen suojan varmistamiseksi rikostutkinnan tarkoitusta vaarantamatta on tarpeen määrittää rekisteröidyn oikeudet.

(29)

Joissakin jäsenvaltioissa rekisteröidyn tietojensaantioikeus rikosasioissa on toteutettu järjestelmällä, jossa kansallisella valvontaviranomaisella on rekisteröidyn puolesta rajoittamaton pääsy kaikkiin tätä koskeviin henkilötietoihin ja jossa se voi myös oikaista, poistaa tai päivittää virheelliset tiedot. Mainitunlaisessa välillisen pääsyn tapauksessa kyseisten jäsenvaltioiden kansallisessa lainsäädännössä voidaan säätää, että kansallinen valvontaviranomainen ilmoittaa rekisteröidylle vain, että kaikki tarvittavat tarkistukset on tehty. Kyseisissä jäsenvaltioissa säädetään kuitenkin myös rekisteröidyn mahdollisuudesta suoraan pääsyyn erityistapauksissa, esimerkiksi oikeudesta tutustua oikeudellisiin asiakirjoihin, jäljennösten saamiseksi omasta rikosrekisteristä tai omaa poliisikuulustelua koskevista asiakirjoista.

(30)

On suotavaa vahvistaa yhteiset säännökset, jotka koskevat käsittelyn luottamuksellisuutta ja turvallisuutta, viranomaisten lainvastaisesta tietojen käytöstä aiheutuvaa vastuuta ja seuraamuksia sekä rekisteröidyn käytettävissä olevia oikeussuojakeinoja. On kuitenkin kunkin jäsenvaltion tehtävä määrittää vahingonkorvaussääntöjensä samoin kuin kansallisten tietosuojasäännösten rikkomisiin sovellettavien seuraamusten luonne.

(31)	Tämän puitepäätöksen mukaan julkisuusperiaate voidaan ottaa huomioon pantaessa täytäntöön tässä puitepäätöksessä vahvistettuja periaatteita.

(32)

Kun on tarpeen suojella henkilötietoja sellaisen käsittelyn yhteydessä, joka laajuutensa tai luonteensa vuoksi sisältää erityisiä riskejä perusoikeuksien ja -vapauksien kannalta, esimerkiksi käytettäessä uutta tekniikkaa tai uusia mekanismeja tai menettelyjä, on asianmukaista varmistaa, että toimivaltaisia kansallisia valvontaviranomaisia kuullaan ennen tällaisten tietojen käsittelyyn tarkoitettujen rekisterien perustamista.

(33)	Täysin riippumattomien valvontaviranomaisten perustaminen jäsenvaltioihin on olennainen osa jäsenvaltioiden keskinäisen poliisi- ja oikeudellisen yhteistyön yhteydessä käsiteltävien henkilötietojen suojaamista.

(34)	Direktiivin 95/46/EY mukaisesti jäsenvaltioihin jo perustettujen valvontaviranomaisten olisi myös voitava ottaa vastatakseen tämän puitepäätöksen nojalla perustettavien kansallisten valvontaviranomaisten tehtävistä.

(35)

Kyseisillä valvontaviranomaisilla olisi oltava tarvittavat keinot tehtäviensä suorittamiseksi, mukaan lukien tutkinta- ja toimintavaltuudet, erityisesti henkilöiden valittaessa, tai asianosaisvaltuus. Näiden valvontaviranomaisten olisi edistettävä tietojenkäsittelyn avoimuutta jäsenvaltiossaan. Niiden valtuudet eivät kuitenkaan saisi olla ristiriidassa rikosoikeudellisia menettelyjä koskevien sääntöjen tai tuomioistuinten riippumattomuuden kanssa.

(36)

Euroopan unionista tehdyn sopimuksen 47 artiklassa määrätään, että mitkään sopimuksen määräykset eivät vaikuta Euroopan yhteisöjen perustamissopimuksiin taikka niiden muuttamisesta tai täydentämisestä myöhemmin tehtyihin sopimuksiin tai asiakirjoihin. Tämä puitepäätös ei näin ollen vaikuta yhteisön oikeuden mukaiseen henkilötietojen suojaan, varsinkaan sellaisena kuin siitä säädetään direktiivissä 95/46/EY, yksilöiden suojelusta yhteisöjen toimielinten ja elinten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 18 päivänä joulukuuta 2000 annetussa Euroopan parlamentin ja neuvoston asetuksessa (EY) N:o 45/2001 (4) ja henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla 12 päivänä heinäkuuta 2002 annetussa Euroopan parlamentin ja neuvoston direktiivissä 2002/58/EY (sähköisen viestinnän tietosuojadirektiivi) (5).

(37)	Tämä puitepäätös ei vaikuta tietojärjestelmiin kohdistuvista hyökkäyksistä 24 päivänä helmikuuta 2005 tehdyssä neuvoston puitepäätöksessä 2005/222/YOS (6) tarkoitettuun tietojen lainvastaiseen käyttöön liittyvien sääntöjen soveltamiseen.

(38)	Tämä puitepäätös ei vaikuta kolmansien valtioiden kanssa tehtyjen kahden- ja/tai monenvälisten sopimusten mukaisiin jäsenvaltioiden tai unionin velvoitteisiin ja sitoumuksiin. Tulevien sopimusten olisi oltava tietojenvaihtoa kolmansien valtioiden kanssa koskevien sääntöjen mukaisia.

(39)

Useissa Euroopan unionista tehdyn sopimuksen VI osaston nojalla annetuissa säädöksissä on erityisiä säännöksiä kyseisten säädösten nojalla vaihdettujen tai muuten käsiteltyjen henkilötietojen suojelusta. Joissakin tapauksissa säännökset muodostavat kokonaisen ja johdonmukaisen säännöstön kaikista tietosuojan olennaisista näkökohdista (tietojen laatua koskevat periaatteet, tietoturvaa koskevat säännöt, määräykset rekisteröityjen oikeuksista ja suojasta, valvonnan järjestämisestä ja vastuusta), ja niillä säännellään näitä asioita yksityiskohtaisemmin kuin tällä puitepäätöksellä. Tämä puitepäätös ei saisi vaikuttaa kyseisten säädösten asiaankuuluviin tietosuojasäännöstöihin, erityisesti Europolin, Eurojustin, Schengenin tietojärjestelmän (SIS) ja tullitietojärjestelmän (TTJ) toimintaa koskeviin säännöstöihin, eikä niihin säännöstöihin, jotka mahdollistavat jäsenvaltioiden viranomaisten suoran pääsyn toisten jäsenvaltioiden tiettyihin tietojärjestelmiin. Sama pätee sellaisiin tietosuojasäännöksiin, jotka koskevat DNA-tunnisteiden, sormenjälkitietojen ja kansallisten ajoneuvorekisteritietojen automatisoitua siirtämistä jäsenvaltioiden välillä rajatylittävän yhteistyön tehostamisesta erityisesti terrorismin ja rajatylittävän rikollisuuden torjumiseksi 23 päivänä kesäkuuta 2008 tehdyn neuvoston päätöksen 2008/615/YOS (7) nojalla.

(40)

Muissa tapauksissa ovat tietosuojaa koskevat säännökset Euroopan unionista tehdyn sopimuksen VI osaston perusteella annetuissa säädöksissä soveltamisalaltaan rajoitetumpia. Niissä asetetaan usein henkilötietoja sisältäviä tietoja toisista jäsenvaltioista vastaanottavalle jäsenvaltiolle erityisiä ehtoja sen tarkoituksen osalta, johon se voi käyttää kyseisiä tietoja, mutta viitataan muiden tietosuojaa koskevien näkökohtien osalta yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä 28 päivänä tammikuuta 1981 tehtyyn Euroopan neuvoston yleissopimukseen tai kansalliseen lainsäädäntöön. Siltä osin kuin kyseisten säädösten säännökset, joissa vastaanottaville jäsenvaltioille asetetaan henkilötietojen käyttämistä tai edelleen siirtämistä koskevia ehtoja, ovat rajoittavampia kuin tämän puitepäätöksen vastaaviin säännöksiin sisältyvät ehdot, ensiksi mainittujen säännösten olisi säilyttävä muuttumattomina. Kaikkien muiden näkökohtien osalta olisi kuitenkin sovellettava tässä puitepäätöksessä asetettuja sääntöjä.

(41)

Tämä puitepäätös ei vaikuta yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä Euroopan neuvoston yleissopimuksen, kyseisen yleissopimuksen 8 päivänä marraskuuta 2001 tehdyn lisäpöytäkirjan tai rikosasioissa tehtävää oikeudellista yhteistyötä koskevien Euroopan neuvoston yleissopimusten soveltamiseen.

(42)

Tämän puitepäätöksen tavoitetta, joka on poliisiyhteistyön ja rikosasioissa tehtävän oikeudellisen yhteistyön yhteydessä käsiteltävien henkilötietojen suojaamista koskevien yhteisten sääntöjen vahvistaminen, ei voida riittävällä tavalla saavuttaa jäsenvaltioiden toimin, vaan se voidaan toimenpiteen laajuuden ja vaikutusten vuoksi saavuttaa paremmin unionin tasolla, joten unioni voi toteuttaa toimenpiteitä Euroopan yhteisön perustamissopimuksen 5 artiklassa vahvistetun ja Euroopan unionista tehdyn sopimuksen 2 artiklassa tarkoitetun toissijaisuusperiaatteen mukaisesti. Euroopan yhteisön perustamissopimuksen 5 artiklassa vahvistetun suhteellisuusperiaatteen mukaisesti tässä puitepäätöksessä ei ylitetä sitä, mikä on tämän tavoitteen saavuttamiseksi tarpeen.

(43)

Yhdistynyt kuningaskunta osallistuu tähän puitepäätökseen Euroopan unionista tehtyyn sopimukseen ja Euroopan yhteisön perustamissopimukseen liitetyn, Schengenin säännöstön sisällyttämisestä osaksi Euroopan unionia tehdyn pöytäkirjan 5 artiklan ja Ison-Britannian ja Pohjois-Irlannin yhdistyneen kuningaskunnan pyynnöstä saada osallistua joihinkin Schengenin säännöstön määräyksiin 29 päivänä toukokuuta 2000 tehdyn neuvoston päätöksen 2000/365/EY 8 artiklan 2 kohdan nojalla (8).

(44)

Irlanti osallistuu tähän puitepäätökseen Euroopan unionista tehtyyn sopimukseen ja Euroopan yhteisön perustamissopimukseen liitetyn, Schengenin säännöstön sisällyttämisestä osaksi Euroopan unionia tehdyn pöytäkirjan 5 artiklan ja Irlannin pyynnöstä saada osallistua joihinkin Schengenin säännöstön määräyksiin 28 päivänä helmikuuta 2002 tehdyn neuvoston päätöksen 2002/192/EY (9) 6 artiklan 2 kohdan nojalla.

(45)

Islannin ja Norjan osalta tällä puitepäätöksellä kehitetään Euroopan unionin neuvoston, Islannin tasavallan ja Norjan kuningaskunnan välillä viimeksi mainittujen osallistumisesta Schengenin säännöstön täytäntöönpanoon, soveltamiseen ja kehittämiseen tehdyssä sopimuksessa (10) tarkoitettuja Schengenin säännöstön sellaisia määräyksiä, jotka kuuluvat tietyistä kyseisen sopimuksen yksityiskohtaisista soveltamissäännöistä tehdyn neuvoston päätöksen 1999/437/EY (11) 1 artiklan H ja I kohdan soveltamisalaan.

(46)

Sveitsin osalta tällä puitepäätöksellä kehitetään Euroopan unionin, Euroopan yhteisön ja Sveitsin valaliiton välillä tehdyssä sopimuksessa Sveitsin valaliiton osallistumisesta Schengenin säännöstön täytäntöönpanoon, soveltamiseen ja kehittämiseen (12) tarkoitettuja Schengenin säännöstön sellaisia määräyksiä, jotka kuuluvat päätöksen 1999/437/EY 1 artiklan H ja I kohdassa, luettuna yhdessä mainitun sopimuksen tekemisestä Euroopan unionin puolesta tehdyn neuvoston päätöksen 2008/149/YOS (13) 3 artiklan kanssa, tarkoitettuun alaan.

(47)

Liechtensteinin osalta tällä puitepäätöksellä kehitetään Euroopan unionin, Euroopan yhteisön, Sveitsin valaliiton ja Liechtensteinin ruhtinaskunnan välillä allekirjoitetussa pöytäkirjassa Liechtensteinin ruhtinaskunnan liittymisestä Euroopan unionin, Euroopan yhteisön ja Sveitsin valaliiton väliseen sopimukseen Sveitsin valaliiton osallistumisesta Schengenin säännöstön niitä määräyksiä, jotka kuuluvat päätöksen 1999/437/EY 1 artiklan H ja I kohdassa, luettuna yhdessä kyseisen pöytäkirjan allekirjoittamisesta Euroopan unionin puolesta tehdyn neuvoston päätöksen 2008/262/YOS (14) 3 artiklan kanssa, tarkoitettuun alaan.

(48)

Tässä puitepäätöksessä kunnioitetaan perusoikeuksia ja noudatetaan erityisesti Euroopan unionin perusoikeuskirjassa tunnustettuja periaatteita (15). Tällä puitepäätöksellä pyritään varmistamaan, että perusoikeuskirjan 7 artiklassa tarkoitettua oikeutta yksityisyyteen ja 8 artiklassa tarkoitettua oikeutta henkilötietojen suojaan kunnioitetaan täysin,

ON TEHNYT TÄMÄN PUITEPÄÄTÖKSEN:

1 artikla

Tarkoitus ja soveltamisala

1. Tällä puitepäätöksellä on tarkoitus varmistaa korkeatasoinen suoja luonnollisten henkilöiden perusoikeuksille ja perusvapauksille ja erityisesti heidän oikeudelleen yksityisyyteen henkilötietojen käsittelyssä Euroopan unionista tehdyn sopimuksen VI osastossa edellytetyssä poliisi- ja oikeudellisessa yhteistyössä rikosasioissa sekä taata samalla yleisen turvallisuuden korkea taso.

2. Jäsenvaltiot suojaavat tämän puitepäätöksen mukaisesti luonnollisten henkilöiden perusoikeuksia ja perusvapauksia ja erityisesti heidän oikeuttaan yksityisyyteen, kun rikosten torjumiseksi, tutkimiseksi, selvittämiseksi tai niistä syyttämiseksi tai rikosoikeudellisten seuraamusten täytäntöönpanemiseksi

a)	henkilötietoja siirretään tai on siirretty tai asetetaan tai on asetettu saataville jäsenvaltioiden kesken;

b)	jäsenvaltiot siirtävät tai ovat siirtäneet henkilötietoja Euroopan unionista tehdyn sopimuksen VI osaston nojalla perustetuille viranomaisille tai perustettuihin tietojärjestelmiin taikka asettavat tai ovat asettaneet henkilötietoja kyseisten viranomaisten tai tietojärjestelmien saataville; tai

c)	henkilötietoja siirretään tai on siirretty jäsenvaltioiden toimivaltaisille viranomaisille tai asetetaan tai on asetettu niiden saataville Euroopan unionista tehdyn sopimuksen tai Euroopan yhteisön perustamissopimuksen nojalla perustetuilta viranomaisilta tai perustetuista tietojärjestelmistä.

3. Tätä puitepäätöstä sovelletaan henkilötietojen osittain tai kokonaan automatisoituun tietojenkäsittelyyn sekä sellaisten henkilötietojen manuaaliseen käsittelyyn, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa.

4. Tämä puitepäätös ei vaikuta olennaisiin kansallisiin turvallisuusetuihin eikä kansallisen turvallisuuden alan erityisiin tiedustelutoimiin.

5. Tämä puitepäätös ei estä jäsenvaltioita antamasta kansallisella tasolla kerättyjen tai käsiteltyjen henkilötietojen suojaamiseksi säännöksiä, jotka ovat tässä puitepäätöksessä säädettyjä tiukempia.

2 artikla

Määritelmät

Tässä puitepäätöksessä tarkoitetaan

’henkilötiedoilla’ kaikenlaisia tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä (’rekisteröity’) koskevia tietoja; tunnistettavissa olevana pidetään henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa, erityisesti henkilönumeron taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella;

’henkilötietojen käsittelyllä’ ja ’käsittelyllä’ kaikenlaisia sellaisia toimintoja tai toimintojen kokonaisuuksia, joita kohdistetaan henkilötietoihin joko automaattisen tietojenkäsittelyn avulla tai muutoin, kuten tietojen kerääminen, tallentaminen, järjestäminen, säilyttäminen, muokkaaminen tai muuttaminen, tiedon haku, kysely, käyttö, luovuttaminen siirtämällä, levittämällä tai asettamalla muutoin saataville, yhteensovittaminen tai yhdistäminen taikka suojaaminen, poistaminen tai tuhoaminen;

c)	’suojaamisella’ tallennettujen henkilötietojen merkitsemistä tarkoituksin rajoittaa niiden myöhempää käsittelyä;

d)	’henkilörekisterillä’ ja ’rekisterillä’ kaikenlaisia sellaisia järjestettyjä henkilötietojen kokoelmia, joista tiedot ovat saatavilla tietyin perustein, oli kokoelma sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu;

e)	’henkilötietojen käsittelijällä’ mitä tahansa elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun;

f)	’vastaanottajalla’ mitä tahansa elintä, jolle tietoja luovutetaan;

g)	’rekisteröidyn suostumuksella’ kaikenlaista vapaaehtoista, yksilöityä ja tietoista tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn;

’toimivaltaisilla viranomaisilla’ neuvoston Euroopan unionista tehdyn sopimuksen VI osaston nojalla antamilla säädöksillä perustettuja virastoja ja elimiä sekä jäsenvaltioiden poliisi-, tulli-, oikeus- ja muita toimivaltaisia viranomaisia, joilla on kansallisen lainsäädännön nojalla toimivalta käsitellä henkilötietoja tämän puitepäätöksen soveltamisalan puitteissa;

i)	’rekisterinpitäjällä’ luonnollista tai oikeushenkilöä, julkista viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoituksen ja keinot;

j)	’tunnuksella varustamisella’ tallennettujen henkilötietojen merkitsemistä ilman, että tavoitteena on niiden myöhemmän käsittelyn rajoittaminen;

’anonymisoimisella’ henkilötietojen muuttamista siten, että yksittäiset tiedot henkilökohtaisista tai tosiasioihin liittyvistä olosuhteista eivät ole enää tai ovat vain suhteettoman suuren ajan, kustannusten ja työvoiman käytön avulla yhdistettävissä tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön.

3 artikla

Lainmukaisuuden, suhteellisuuden ja käyttötarkoituksen periaatteet

1. Toimivaltaiset viranomaiset saavat kerätä henkilötietoja vain tiettyä nimenomaista ja lainmukaista tehtäviinsä kuuluvaa tarkoitusta varten, ja tietoja saadaan käsitellä ainoastaan samaa tarkoitusta varten, johon ne on kerätty. Tietojen käsittelyn on oltava lainmukaista ja asianmukaista, olennaista eikä liian laajaa siihen tarkoitukseen nähden, johon ne on kerätty.

2. Tietoja voidaan käsitellä edelleen jotain muuta tarkoitusta varten edellyttäen, että

a)	käsittely ei ole yhteensopimatonta niiden tarkoitusten kanssa, joihin tiedot kerättiin;

b)	toimivaltaisilla viranomaisilla on toimivalta käsitellä mainitunlaisia tietoja tällaiseen muuhun tarkoitukseen sovellettavien säännösten mukaisesti; ja

c)	käsittely tähän muuhun tarkoitukseen on tarpeellista ja oikeasuhteista.

Tämän lisäksi toimivaltaiset viranomaiset saavat edelleen käsitellä siirrettyjä henkilötietoja historiallisia taikka tilastollisia tai tieteellisiä tarkoituksia varten sillä edellytyksellä, että jäsenvaltiot huolehtivat asianmukaisista suojatoimista, kuten tietojen anonymisoimisesta.

4 artikla

Oikaiseminen, poistaminen ja suojaaminen

1. Henkilötiedot on oikaistava, jos ne ovat virheellisiä, ja mahdollisuuksien mukaan ja tarvittaessa niitä on täydennettävä tai ne on päivitettävä.

2. Henkilötiedot on poistettava tai anonymisoitava, kun ne eivät enää ole tarpeen niitä tarkoituksia varten, joihin ne on lainmukaisesti kerätty tai joita varten niitä on lainmukaisesti käsitelty edelleen. Tämä säännös ei vaikuta kyseisten tietojen arkistointiin erilliseen tiedostoon asianmukaiseksi ajaksi kansallisen lainsäädännön mukaisesti.

3. Henkilötietoja ei saa poistaa, jos on perusteltua syytä uskoa, että niiden poistaminen haittaisi rekisteröidyn oikeutettuja etuja, vaan ne on suojattava. Suojattuja tietoja saa käsitellä ainoastaan siinä tarkoituksessa, joka esti niiden poistamisen.

4. Jos henkilötiedot sisältyvät tuomioistuimen päätökseen tai tuomioistuimen päätöksen antamiseen liittyvään merkintään, oikaiseminen, poistaminen tai suojaaminen on suoritettava oikeudenkäyntiä koskevien kansallisten sääntöjen mukaisesti.

5 artikla

Tietojen poistamiseen ja tarkistamiseen sovellettavien määräaikojen asettaminen

Henkilötietojen poistamista tai niiden tallentamisen tarpeellisuuden säännöllistä tarkistamista varten on asetettava asianmukaiset määräajat. Määräaikojen noudattaminen on varmistettava menettelysäännöillä.

6 artikla

Erityisten tietoluokkien käsittely

Sellaisten henkilötietojen käsittely, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys tai jotka koskevat terveyttä tai seksuaalista käyttäytymistä, voidaan sallia vain, jos se on ehdottoman välttämätöntä ja jos kansallisessa lainsäädännössä säädetään riittävistä suojatoimista.

7 artikla

Automaattiset yksittäispäätökset

Sellainen päätös, jolla on rekisteröidyn kannalta kielteinen oikeusvaikutus tai joka vaikuttaa häneen merkittävällä tavalla ja joka on tehty yksinomaan tietojen automaattisen käsittelyn perusteella, ja jonka tarkoitus on arvioida rekisteröidyn tiettyjä henkilökohtaisia ominaisuuksia, on sallittu vain, jos se on sellaisen lain mukainen, jolla määritellään myös rekisteröidyn oikeutetut edut takaavat toimenpiteet.

8 artikla

Siirrettyjen tai saataville asetettujen tietojen laadun varmentaminen

1. Toimivaltaisten viranomaisten on toteutettava kaikki kohtuulliset toimet huolehtiakseen siitä, että henkilötietoja, jotka ovat virheellisiä tai puutteellisia tai jotka eivät ole enää ajantasaisia, ei siirretä eikä aseteta saataville. Tätä varten toimivaltaisten viranomaisten on varmennettava mahdollisuuksien mukaan henkilötietojen laatu ennen niiden siirtämistä tai saataville asettamista. Kaikkiin tietojensiirtoihin on mahdollisuuksien mukaan lisättävä käytettävissä olevia tietoja, joiden avulla vastaanottava jäsenvaltio voi arvioida tietojen oikeellisuutta, täydellisyyttä, ajantasaisuutta ja luotettavuutta. Jos henkilötietoja on siirretty pyytämättä, vastaanottavan viranomaisen on tarkistettava viipymättä, tarvitaanko niitä siihen tarkoitukseen, jota varten ne on siirretty.

2. Jos ilmenee, että on siirretty virheellisiä tietoja tai että tietoja on siirretty lainvastaisesti, on asiasta ilmoitettava viipymättä vastaanottajalle. Tiedot on oikaistava, poistettava tai suojattava viipymättä 4 artiklan mukaisesti.

9 artikla

Määräajat

1. Tietoja siirtävä viranomainen voi tietoja siirtäessään tai saataville asettaessaan kansallisen lainsäädäntönsä ja 4 ja 5 artiklan mukaisesti ilmoittaa tietojen säilyttämiselle määräajat, joiden päättyessä vastaanottajan on poistettava tai suojattava tiedot tai tarkistettava, ovatko ne vielä tarpeen. Tätä velvoitetta ei sovelleta, jos näiden määräaikojen päättyessä tietoja tarvitaan käynnissä olevaa tutkintaa tai rikoksesta syyttämistä tai rikosoikeudellisen seuraamuksen täytäntöönpanoa varten.

2. Jos tiedot siirtänyt viranomainen ei ole ilmoittanut määräaikaa 1 kohdan mukaisesti, sovelletaan 4 ja 5 artiklassa tarkoitettuja tietojen säilyttämiselle vastaanottavan jäsenvaltion kansallisessa lainsäädännössä asetettuja määräaikoja.

10 artikla

Kirjaaminen ja dokumentointi

1. Kaikki henkilötietojen siirrot on kirjattava tai dokumentoitava tietojenkäsittelyn lainmukaisuuden varmentamista, omaehtoista valvontaa sekä asianmukaisen tietojen eheyden ja tietoturvallisuuden varmistamista varten.

2. Edellä olevan 1 kohdan mukaisesti laaditut kirjaamistiedot tai asiakirjat toimitetaan tietosuojan valvontaa varten toimivaltaiselle valvontaviranomaiselle tämän pyynnöstä. Toimivaltainen valvontaviranomainen saa käyttää näitä tietoja ainoastaan tietosuojan valvomiseksi sekä asianmukaisen tietojenkäsittelyn sekä tietojen eheyden ja tietoturvallisuuden varmistamiseksi.

11 artikla

Toiselta jäsenvaltiolta saatujen tai sen saataville asettamien henkilötietojen käsittely

Toisen jäsenvaltion toimivaltaiselta viranomaiselta saatuja tai sen saataville asettamia henkilötietoja saa 3 artiklan 2 kohdan vaatimusten mukaisesti käsitellä edelleen – niiden tarkoituksien lisäksi, joita varten ne alun perin siirrettiin tai asetettiin saataville – vain seuraavia tarkoituksia varten:

a)	muiden rikosten kuin niiden, joita varten tiedot siirrettiin tai asetettiin saataville, torjunta, tutkinta, selvittäminen tai niistä syyttäminen tai rikosoikeudellisten seuraamusten täytäntöönpano;

b)	muut oikeudelliset ja hallinnolliset menettelyt, jotka liittyvät suoraan rikosten torjumiseen, tutkimiseen, selvittämiseen tai niistä syyttämiseen tai rikosoikeudellisten seuraamusten täytäntöönpanoon;

c)	yleistä turvallisuutta koskevan välittömän ja vakavan uhkan estäminen; tai

d)	muussa tarkoituksessa ainoastaan henkilötiedot siirtäneen jäsenvaltion etukäteisellä suostumuksella tai kansallisen lainsäädännön mukaisesti annetulla rekisteröidyn suostumuksella.

Toimivaltaiset viranomaiset saavat edelleen käsitellä siirrettyjä henkilötietoja myös historiallisia taikka tilastollisia tai tieteellisiä tarkoituksia varten sillä edellytyksellä, että jäsenvaltiot huolehtivat asianmukaisista suojatoimista, kuten esimerkiksi tietojen anonymisoimisesta.

12 artikla

Tietojen käsittelyä koskevien kansallisten rajoitusten noudattaminen

1. Jos tiedot siirtävän jäsenvaltion lainsäädännössä tietojen käsittelylle asetettuja erityisiä rajoituksia sovelletaan erityisissä olosuhteissa kyseisessä jäsenvaltiossa toimivaltaisten viranomaisten väliseen tietojenvaihtoon, tiedot siirtävän viranomaisen on ilmoitettava rajoituksista vastaanottajalle. Vastaanottajan on varmistettava, että kyseisiä käsittelyrajoituksia noudatetaan.

2. Soveltaessaan 1 kohtaa jäsenvaltiot eivät saa soveltaa tietojen siirtoa muille jäsenvaltioille tai Euroopan unionista tehdyn sopimuksen VI osaston nojalla perustetuille virastoille tai elimille koskevia muita rajoituksia kuin vastaavanlaisiin kansallisiin tietojen siirtoihin sovellettavia.

13 artikla

Siirto kolmansien valtioiden toimivaltaisille viranomaisille tai kansainvälisille elimille

1. Jäsenvaltioiden on säädettävä, että toisen jäsenvaltion toimivaltaisten viranomaisten siirtämät tai saataville asettamat henkilötiedot saa siirtää kolmansille valtioille tai kansainvälisille elimille vain, jos

a)	se on tarpeen rikosten torjumiseksi, tutkimiseksi, selvittämiseksi tai niistä syyttämiseksi tai rikosoikeudellisten seuraamusten täytäntöönpanemiseksi;

b)	kolmannen valtion vastaanottava viranomainen tai vastaanottava kansainvälinen elin vastaa rikosten torjumisesta, tutkimisesta, selvittämisestä tai niistä syyttämisestä tai rikosoikeudellisten seuraamusten täytäntöönpanemisesta;

c)	jäsenvaltio, jolta tiedot on saatu, on antanut suostumuksensa siirtoon kansallisen lainsäädäntönsä mukaisesti; ja

d)	asianomainen kolmas valtio tai kansainvälinen elin varmistaa riittäväntasoisen suojan aiotussa tietojenkäsittelyssä.

2. Siirtäminen ilman 1 kohdan mukaista etukäteissuostumusta on sallittua vain, jos tietojen siirto on olennaisen tärkeää jäsenvaltion tai kolmannen valtion yleistä turvallisuutta tai jäsenvaltion olennaisia etuja koskevan välittömän ja vakavan uhkan estämiseksi eikä etukäteissuostumusta voida saada ajoissa. Suostumuksen antamisesta vastaavalle viranomaiselle on ilmoitettava viipymättä.

3. Poiketen siitä, mitä 1 kohdassa säädetään, henkilötietoja saa siirtää, jos

se on tietoja siirtävän jäsenvaltion kansallisen lainsäädännön mukaista

i)	rekisteröidyn oikeutettujen erityisten etujen vuoksi; tai

ii)	oikeutettujen vallitsevien etujen, erityisesti tärkeiden yleisten etujen vuoksi; tai

b)	kolmas valtio tai vastaanottava kansainvälinen elin huolehtii suojatoimista, jotka asianomainen jäsenvaltio katsoo lainsäädäntönsä mukaisesti riittäviksi.

4. Edellä 1 kohdassa tarkoitetun suojan tason riittävyyttä on arvioitava kaikkien siirtoon tai siirtojen ryhmään liittyvien olosuhteiden osalta. Erityisesti on otettava huomioon tietojen luonne, suunnitellun käsittelyn tai suunniteltujen käsittelyjen tarkoitus ja kestoaika, alkuperävaltio ja tietojen lopullisena kohteena oleva valtio tai kansainvälinen elin, kyseisessä kolmannessa valtiossa tai kansainvälisessä elimessä voimassa olevat yleiset ja alakohtaiset oikeussäännöt sekä sovellettavat ammattisäännöt ja turvatoimet.

14 artikla

Siirto yksityisille tahoille jäsenvaltioissa

1. Jäsenvaltioiden on säädettävä siitä, että toisen jäsenvaltion toimivaltaiselta viranomaiselta saatuja tai sen saataville asettamia henkilötietoja saa siirtää yksityisille tahoille vain, jos

a)	sen jäsenvaltion toimivaltainen viranomainen, jolta tiedot saatiin, on antanut siirtoon suostumuksen kansallisen lainsäädäntönsä mukaisesti;

b)	mikään rekisteröidyn oikeutettu erityinen etu ei estä siirtoa; ja

erityisissä tapauksissa siirto on tiedot yksityiselle taholle siirtävän toimivaltaisen viranomaisen kannalta olennaisen tärkeätä

i)	sille lainmukaisesti annetun tehtävän suorittamiseksi;

ii)	rikosten torjumiseksi, tutkimiseksi, selvittämiseksi tai niistä syyttämiseksi tai rikosoikeudellisten seuraamusten täytäntöönpanemiseksi;

iii)	yleistä turvallisuutta koskevan välittömän ja vakavan uhkan estämiseksi; tai

iv)	yksilöiden oikeuksiin kohdistuvien vakavien vahinkojen ehkäisemiseksi.

2. Tiedot yksityiselle taholle siirtävän toimivaltaisen viranomaisen on ilmoitettava tälle tarkoitukset, joihin tietoja saa yksinomaisesti käyttää.

15 artikla

Toimivaltaisen viranomaisen pyynnöstä annettavat tiedot

Tietojen vastaanottajan on annettava sille toimivaltaiselle viranomaiselle, joka on siirtänyt henkilötiedot tai asettanut ne saataville, pyynnöstä tietoja saatujen tietojen käsittelystä.

16 artikla

Rekisteröidylle ilmoittaminen

1. Jäsenvaltioiden on varmistettava, että niiden toimivaltaiset viranomaiset ilmoittavat rekisteröidylle henkilötietojen keruusta tai käsittelystä kansallisen lainsäädännön mukaisesti.

2. Kun jäsenvaltioiden välillä on siirretty tai saatettu saataville henkilötietoja, kukin jäsenvaltio voi 1 kohdassa tarkoitetun kansallisen lainsäädäntönsä säännösten mukaisesti pyytää, että toinen jäsenvaltio ei ilmoita rekisteröidylle. Tällaisessa tapauksessa viimeksi mainittu jäsenvaltio ei saa ilmoittaa rekisteröidylle ilman toisen jäsenvaltion etukäteistä suostumusta.

17 artikla

Tiedonsaantioikeus

1. Jokaisella rekisteröidyllä on oltava oikeus kohtuullisin väliajoin esitetystä pyynnöstä saada vapaasti ja ilman aiheetonta viivytystä tai aiheettomia kustannuksia

a)	ainakin vahvistus rekisterinpitäjältä tai kansalliselta valvontaviranomaiselta siitä, onko häntä koskevia tietoja siirretty tai asetettu saataville vai ei, sekä tiedot tietojen vastaanottajista tai vastaanottajaryhmistä, joille tiedot on luovutettu, sekä ilmoitus käsiteltävistä tiedoista; tai

b)	ainakin vahvistus kansalliselta valvontaviranomaiselta siitä, että kaikki tarvittavat varmennukset on tehty.

2. Jäsenvaltiot voivat toteuttaa lainsäädäntötoimia, joilla rajoitetaan 1 kohdan a alakohdan mukaista tiedonsaantioikeutta, jos tällainen rajoitus on asianomaisen henkilön oikeutetut edut asianmukaisesti huomioon ottaen välttämätön ja oikeasuhteinen toimenpide:

a)	virallisten tai laillisten tiedustelujen, tutkintojen tai menettelyjen estämisen välttämiseksi;

b)	jotta vältetään tuottamasta haittaa rikosten torjumiselle, selvittämiselle, tutkimiselle ja niistä syyttämiselle, tai rikosoikeudellisten seuraamusten täytäntöönpanolle;

c)	yleisen turvallisuuden suojelemiseksi;

d)	kansallisen turvallisuuden suojelemiseksi;

e)	rekisteröidyn suojelemiseksi tai muiden henkilöiden oikeuksien ja vapauksien suojelemiseksi.

3. Jos tietojen antamisesta kieltäydytään tai tietojen antamista rajoitetaan, asiasta on ilmoitettava kirjallisesti rekisteröidylle. Samassa yhteydessä hänelle on annettava tiedoksi myös ne seikat tai oikeudelliset syyt, joihin tällainen päätös perustuu. Tästä tiedoksi antamisesta voidaan luopua, jos 2 kohdan a–e alakohdan mukainen syy on olemassa. Kaikissa näissä tapauksissa rekisteröidylle on ilmoitettava, että hän voi valittaa toimivaltaiselle kansalliselle valvontaviranomaiselle, oikeusviranomaiselle tai tuomioistuimelle.

18 artikla

Oikeus tietojen oikaisemiseen, poistamiseen tai suojaamiseen

1. Rekisteröidyllä on oikeus edellyttää, että rekisterinpitäjä noudattaa tämän puitepäätöksen 4, 8 ja 9 artiklan mukaisia velvoitteitaan oikaista, poistaa tai suojata henkilötiedot. Jäsenvaltioiden on säädettävä siitä, voiko rekisteröity vaatia tätä oikeutta suoraan rekisterinpitäjältä vai toimivaltaisen kansallisen valvontaviranomaisen välityksellä. Jos rekisterinpitäjä kieltäytyy oikaisemisesta, poistamisesta tai suojaamisesta, kieltäytymisestä on ilmoitettava kirjallisesti rekisteröidylle ja hänelle on ilmoitettava kansallisessa lainsäädännössä säädetyistä valitusmahdollisuuksista tai oikeussuojakeinoista. Kun valitus tai muutoksenhaku on käsitelty, rekisteröidylle on ilmoitettava, toimiko rekisterinpitäjä asianmukaisesti vai ei. Jäsenvaltiot voivat myös säätää, että toimivaltainen kansallinen valvontaviranomainen ilmoittaa rekisteröidylle, että tarkistus on tehty.

2. Jos rekisteröity kiistää henkilötietojen oikeellisuuden eikä tietojen oikeellisuutta tai virheellisyyttä voida todentaa, kyseiset tiedot voidaan varustaa tunnuksella.

19 artikla

Oikeus korvaukseen

1. Jos henkilölle aiheutuu vahinkoa lainvastaisesta käsittelystä tai muusta tämän puitepäätöksen nojalla annettujen kansallisten säännösten vastaisesta menettelystä, hänellä on oikeus saada korvaus aiheutuneesta vahingosta rekisterinpitäjältä tai muulta kansallisen lainsäädännön mukaisesti toimivaltaiselta viranomaiselta.

2. Jos jonkin jäsenvaltion toimivaltainen viranomainen on siirtänyt henkilötietoja, tietojen vastaanottaja ei voi käyttää siirrettyjen tietojen virheellisyyttä perusteena välttää kansallisen lainsäädännön mukainen vastuunsa vahingon kärsineeseen nähden. Jos tietojen vastaanottaja suorittaa vahingonkorvausta vahingosta, joka on aiheutunut virheellisesti siirrettyjen tietojen käyttämisestä, tiedot siirtäneen toimivaltaisen viranomaisen on korvattava tietojen vastaanottajan suorittama vahingonkorvaus ottaen huomioon mahdolliset vastaanottajan virheet.

20 artikla

Oikeussuojakeinot

Rekisteröidyllä on oltava oikeus käyttää oikeussuojakeinoja, jos sovellettavassa kansallisessa lainsäädännössä hänelle taattuja oikeuksia loukataan, sanotun kuitenkaan rajoittamatta sellaisten hallinnollisten suojakeinojen soveltamista, joihin voidaan turvautua ennen asian vireillepanoa oikeudessa.

21 artikla

Käsittelyn luottamuksellisuus

1. Henkilö, jolla on pääsy tämän puitepäätöksen soveltamisalaan kuuluviin henkilötietoihin, saa käsitellä niitä vain, jos hän on toimivaltaiseen viranomaiseen kuuluva tai toimii sen ohjauksessa, paitsi jos laki siihen velvoittaa.

2. Henkilöitä, jotka toimivat jäsenvaltion toimivaltaisen viranomaisen palveluksessa, sitovat kaikki samat tietosuojasäännökset kuin kulloinkin kyseessä olevia toimivaltaisia viranomaisia.

22 artikla

Käsittelyn turvallisuus

1. Jäsenvaltioiden on säädettävä siitä, että toimivaltaisten viranomaisten on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi vahingossa tapahtuvalta tai lainvastaiselta tuhoamiselta tai vahingossa tapahtuvalta häviämiseltä, muuttamiselta, luvattomalta luovuttamiselta taikka saannilta, erityisesti jos käsittely edellyttää tietojen siirtämistä verkossa tai niiden asettamisesta saataville niin, että niihin on suora pääsy, sekä kaikelta muulta lainvastaiselta käsittelyltä ottaen huomioon erityisesti käsittelyn riskit ja suojattavien tietojen luonne. Näillä toimenpiteillä on varmistettava – tekniset toteutusmahdollisuudet ja toimenpiteiden kustannukset huomioon ottaen – asianmukainen turvallisuuden taso suhteessa käsittelyn riskeihin ja suojattavien tietojen luonteeseen.

2. Kunkin jäsenvaltion on toteutettava automaattisen tietojenkäsittelyn osalta toimenpiteet, joiden tarkoituksena on

a)	evätä asiattomilta pääsy henkilötietojen käsittelyyn käytettäviin laitteisiin (laitteillepääsyn valvonta);

b)	estää asiattomia lukemasta, jäljentämästä, muuttamasta ja poistamasta tietovälineitä (tietovälineiden valvonta);

c)	estää tietojen luvaton tallentaminen järjestelmään sekä järjestelmään tallennettujen henkilötietojen luvaton tarkastelu, muuttaminen ja poistaminen (tallentamisen valvonta);

d)	estää asiattomia käyttämästä automaattisia tietojenkäsittelyjärjestelmiä tietojen välittämislaitteiden avulla (käytön valvonta);

e)	varmistaa, että automaattisen tietojenkäsittelyjärjestelmän käyttöön oikeutetut henkilöt pääsevät ainoastaan niiden toimivaltaan kuuluviin tietoihin (pääsyn valvonta);

f)	varmistaa, että on mahdollista tarkistaa ja todeta, mille elimille henkilötietoja on siirretty tai asetettu saataville tai voidaan siirtää tai asettaa saataville tietojen välittämislaitteiden avulla (tiedonvälityksen valvonta);

g)	varmistaa, että on mahdollista tarkistaa ja todeta jälkikäteen, mitä henkilötietoja on lisätty automaattisiin tietojenkäsittelyjärjestelmiin ja millä hetkellä ja kenen toimesta niitä on lisätty (lisäämisen valvonta);

h)	estää henkilötietojen asiaton lukeminen, jäljentäminen, muuttaminen ja poistaminen niitä siirrettäessä tai tietovälineitä kuljetettaessa (kuljetuksen valvonta);

i)	varmistaa, että häiriön tapahtuessa käytetyt järjestelmät voidaan palauttaa entiselleen (toimintakunnon palauttaminen);

j)	varmistaa, että järjestelmä toimii, että toimintavirheistä ilmoitetaan (luotettavuus) ja että virhe toimintajärjestelmässä ei voi vahingoittaa tallennettuja tietoja (eheys).

3. Jäsenvaltioiden on huolehdittava siitä, että henkilötietojen käsittelijäksi saadaan nimetä vain sellainen, joka antaa takeet 1 kohdassa edellytettyjen teknisten ja organisatoristen toimenpiteiden toteuttamisesta ja 21 artiklan mukaisten ohjeiden noudattamisesta. Toimivaltaisen viranomaisen on valvottava henkilötietojen käsittelijää näiltä osin.

4. Henkilötietojen käsittelijä saa käsitellä henkilötietoja vain säädöksen tai kirjallisen sopimuksen perusteella.

23 artikla

Ennakkokuuleminen

Jäsenvaltioiden on varmistettava, että toimivaltaisia kansallisia valvontaviranomaisia kuullaan ennen kuin käsitellään henkilötietoja, jotka muodostavat osan uutta muodostettavaa rekisteriä, jossa

a)	käsitellään 6 artiklassa tarkoitettuja erityisiä tietoluokkia; tai

b)	tietojen käsittely on sen luonteista, että siihen sisältyy muutoin, erityisesti uusien tekniikoiden, mekanismin tai menettelyjen käytön johdosta, erityisiä riskejä rekisteröidyn perusoikeuksien ja -vapauksien ja erityisesti yksityisyyden kannalta.

24 artikla

Seuraamukset

Jäsenvaltioiden on toteutettava aiheelliset toimenpiteet tämän puitepäätöksen säännösten täysimääräisen soveltamisen varmistamiseksi ja säädettävä erityisesti tehokkaat, oikeasuhteiset ja varoittavat seuraamukset määrättäväksi tämän puitepäätöksen nojalla annettujen säännösten rikkomistapauksissa.

25 artikla

Kansalliset valvontaviranomaiset

1. Kunkin jäsenvaltion on säädettävä siitä, että yhden tai useamman viranomaisen tehtävänä on toimia neuvojana ja valvojana jäsenvaltioiden tämän puitepäätöksen nojalla antamien säännösten soveltamisessa sen alueella. Näiden viranomaisten on suoritettava niille annetut tehtävät täysin itsenäisesti.

2. Kullakin viranomaisella on erityisesti oltava

a)	tutkintavaltuudet, kuten valtuudet saada käsiteltäviä tietoja ja valtuudet kerätä kaikki valvontatehtäviensä suorittamiseksi tarvittavat tiedot;

tehokkaat toimintavaltuudet, kuten esimerkiksi valtuudet antaa lausuntoja ennen käsittelyn toteuttamista ja varmistaa tällaisten lausuntojen asianmukainen julkistaminen, valtuudet määrätä tietojen suojaamisesta, poistamisesta tai tuhoamisesta, kieltää käsittely väliaikaisesti tai lopullisesti, antaa rekisterinpitäjälle varoitus tai huomautus taikka valtuudet saattaa asia kansallisen parlamentin tai muun poliittisen elimen käsiteltäväksi;

c)	asianosaisvaltuus, jos tämän puitepäätöksen nojalla annettuja kansallisia säännöksiä on rikottu, tai valtuudet saattaa tämä rikkominen oikeusviranomaisten tietoon. Valvontaviranomaisen päätöksiin, jotka antavat aihetta valituksiin, voi hakea muutosta tuomioistuimilta.

3. Kuka tahansa henkilö voi esittää valvontaviranomaiselle oikeuksiensa ja vapauksiensa suojelua henkilötietojen käsittelyn osalta koskevan vaateen. Asianomaiselle henkilölle on ilmoitettava vaateen seurauksista.

4. Jäsenvaltioiden on huolehdittava siitä, että valvontaviranomaisen jäseniä ja sen henkilöstöä sitovat kulloiseenkin toimivaltaiseen viranomaiseen sovellettavat tietosuojasäännökset ja että valvontaviranomaisten virkamiehillä ja henkilöstöllä on velvollisuus myös työskentelynsä päättymisen jälkeen pitää salassa luottamukselliset tiedot, joihin heillä on pääsy.

26 artikla

Suhde kolmansien valtioiden kanssa tehtyihin sopimuksiin

Tämä puitepäätös ei vaikuta kolmansien valtioiden kanssa tehtyjen, tätä puitepäätöstä tehtäessä voimassa olevien kahden- ja/tai monenvälisten sopimusten mukaisiin jäsenvaltioiden tai unionin velvoitteisiin ja sitoumuksiin.

Näitä sopimuksia sovellettaessa on toisesta jäsenvaltiosta saatujen henkilötietojen siirtäminen kolmannelle valtiolle suoritettava noudattaen tapauksesta riippuen 13 artiklan 1 kohdan c alakohtaa tai 2 kohtaa.

27 artikla

Arviointi

1. Jäsenvaltioiden on ilmoitettava komissiolle 27 päivään marraskuuta 2013 mennessä kansallisista toimenpiteistä, jotka ne ovat toteuttaneet varmistaakseen, että tätä puitepäätöstä noudatetaan täysimääräisesti, ja erityisesti niiden säännösten osalta, joita on jo noudatettava siinä vaiheessa, kun tietoja kerätään. Komissio tarkastelee erityisesti näiden säännösten vaikutuksia 1 artiklan 2 kohdassa säädetyn tämän puitepäätöksen soveltamisalan kannalta.

2. Komissio laatii yhden vuoden kuluessa Euroopan parlamentille ja neuvostolle kertomuksen 1 kohdassa tarkoitetun arvioinnin tuloksista ja liittää tarvittaessa kertomukseen asianmukaisia ehdotuksia tämän puitepäätöksen muuttamiseksi.

28 artikla

Suhde aiemmin annettuihin unionin säädöksiin

Jos säädöksissä, jotka on annettu Euroopan unionista tehdyn sopimuksen VI osaston nojalla ennen tämän puitepäätöksen voimaantulopäivää ja joissa säännellään henkilötietojen vaihtoa jäsenvaltioiden välillä tai jäsenvaltioiden nimettyjen viranomaisten pääsyä Euroopan yhteisön perustamissopimuksen nojalla perustettuihin tietojärjestelmiin, on otettu käyttöön eritysehtoja, jotka koskevat tällaisten tietojen käyttöä vastaanottavan jäsenvaltion toimesta, nämä ehdot ovat ensisijaisia tämän puitepäätöksen toiselta jäsenvaltiolta saatujen tai toisen jäsenvaltion saataville asettamien tietojen käyttöä koskeviin säännöksiin nähden.

29 artikla

Täytäntöönpano

1. Jäsenvaltioiden on toteutettava tarvittavat toimenpiteet tämän puitepäätöksen säännösten noudattamiseksi ennen 27 päivää marraskuuta 2010.

2. Jäsenvaltioiden on toimitettava neuvoston pääsihteeristölle ja komissiolle edellä mainittuun ajankohtaan mennessä kirjallisina ne säännökset, joilla jäsenvaltioiden tästä puitepäätöksestä aiheutuvat velvoitteet saatetaan osaksi kansallista lainsäädäntöä, sekä ilmoitus 25 artiklassa tarkoitetuista valvontaviranomaisista. Neuvosto arvioi komission näitä tietoja käyttäen laatiman kirjallisen kertomuksen perusteella 27 päivään marraskuuta 2011 mennessä, missä määrin jäsenvaltiot ovat noudattaneet tämän puitepäätöksen säännöksiä.

30 artikla

Voimaantulo

Tämä puitepäätös tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.

Tehty Brysselissä 27 päivänä marraskuuta 2008.

Neuvoston puolesta

Puheenjohtaja

M. ALLIOT-MARIE

(1) EUVL C 125 E, 22.5.2008, s. 154.

(2) EUVL C 198, 12.8.2005, s. 1.

(3) EYVL L 281, 23.11.1995, s. 31.

(4) EYVL L 8, 12.1.2001, s. 1.

(5) EYVL L 201, 31.7.2002, s. 37.