Poliisin ja syyttäjäviranomaisten käyttämien henkilötietojen suojeleminen (vuodesta 2018 alkaen)

 

TIIVISTELMÄ ASIAKIRJASTA:

Direktiivi (EU) 2016/0680 – yksilöiden suojelu poliisin ja syyttäjäviranomaisten suorittamassa henkilötietojen käsittelyssä sekä näiden tietojen vapaa liikkuvuus

DIREKTIIVIN TARKOITUS

• Direktiivillä (EU) 2016/680, joka on tietosuojalainsäädäntöä koskeva direktiivi, varmistetaan rikosoikeudellisiin menettelyihin osallistuvien henkilöiden henkilötietojen suoja, olipa kyse todistajista, uhreista tai epäillyistä.
• Sillä luodaan kattavat puitteet, joilla varmistetaan tietosuojan korkea taso ja otetaan samalla huomioon poliisi- ja rikosoikeuden erityispiirteet.
• Se lisää luottamusta ja helpottaa eurooppalaista yhteistyötä rikollisuuden torjunnassa yhdenmukaistamalla Euroopan unionin (EU) jäsenvaltioiden ja Schengen-maiden lainvalvontaviranomaisten suorittaman henkilötietojen suojaa.
• Direktiivi on osa EU:n tietosuojauudistusta sekä yleistä tietosuoja-asetusta (GDPR) (ks. tiivistelmä) ja asetusta (EU) 2018/1725 luonnollisten henkilöiden suojelusta EU:n toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä (ks. tiivistelmä).

TÄRKEIMMÄT KOHDAT

Direktiivissä edellytetään, että lainvalvontaviranomaisten keräämät tiedot

• käsitellään lainmukaisesti ja asianmukaisesti
• kerätään tiettyjä nimenomaisia ja laillisia tarkoituksia varten, eikä niitä käsitellä näiden tarkoitusten kanssa yhteensopimattomalla tavalla
• ovat asianmukaisia ja olennaisia eivätkä liian laajoja niihin tarkoituksiin, joita varten niitä käsitellään
• ovat täsmällisiä ja tarvittaessa päivitettyjä
• säilytetään muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen henkilötietojen käsittelytarkoitusten toteuttamista varten
• ovat asianmukaisesti suojattuja käyttäen asianmukaisia teknisiä tai organisatorisia toimenpiteitä, mukaan lukien suojaaminen luvatonta tai laitonta käsittelyä vastaan.

Määräajat

Jäsenvaltioiden on vahvistettava asianmukaiset määräajat henkilötietojen poistamista tai niiden säilyttämisen tarpeellisuuden säännöllistä tarkistamista varten.

Asianomaiset henkilöt (”rekisteröidyt”)

Direktiivissä edellytetään, että lainvalvontaviranomaiset erottavat selvästi toisistaan henkilötiedot, jotka koskevat eri ryhmiin kuuluvia rekisteröityjä, kuten

• henkilöt, joiden voidaan vakavin perustein uskoa syyllistyneen tai olevan syyllistymässä rikokseen
• rikoksesta tuomitut henkilöt
• rikoksen uhrit tai henkilöt, joiden voidaan tiettyjen seikkojen pohjalta olettaa voivan joutua rikoksen uhriksi
• rikokseen nähden kolmannet henkilöt, kuten mahdolliset todistajat.

Rekisteröidyille tiedottaminen ja pääsy tietoihin

Yksityishenkilöillä on oikeus saada toimivaltaisilta lainvalvontaviranomaisilta tiettyjä tietoja – ja joissakin tapauksissa toimittaa ne heille – muun muassa seuraavat:

• sen toimivaltaisen viranomaisen nimi ja yhteystiedot, joka päättää tietojen käsittelyn tarkoituksesta ja keinoista
• tietojensa käsittelyn tarkoitukset;
• tieto oikeudesta tehdä valitus valvontaviranomaiselle ja tämän viranomaisen yhteystiedot
• tieto oikeudesta pyytää pääsyä henkilötietoihinsa tai niiden oikaisemista tai poistamista sekä oikeudesta rajoittaa henkilötietojensa käsittelyä.

Yksityishenkilöillä on oikeus saada toimivaltaisilta viranomaisilta vahvistus siitä, käsitelläänkö heidän henkilötietojaan, sekä oikeus tutustua tällaisiin tietoihin ja tietoihin, jotka liittyvät heidän tietojensa käsittelyyn.

Tietoturva ja kirjaustiedot

Jäsenvaltioiden viranomaisten on toteutettava tekniset ja organisatoriset toimenpiteet, joilla varmistaakseen henkilötietojen riskiä vastaavan turvallisuustason. Automatisoidun käsittelyn osalta on toteutettava muun muassa seuraavat toimenpiteet:

• evätään asiattomilta pääsy käsittelyssä käytettäviin laitteisiin
• estetään tietovälineiden* luvaton lukeminen, jäljentäminen, muuttaminen tai poistaminen
• estetään henkilötietojen luvaton syöttäminen sekä tallennettujen henkilötietojen luvaton tarkastelu, muuttaminen tai poistaminen.

Kansallisten viranomaisten on säilytettävä lokitiedot, kuten henkilötietojen käyttöpäivä ja -aika sekä niiden henkilöiden nimet, jotka ovat käyttäneet tietoja tai joille tiedot on luovutettu. Lokeja käytetään pääasiassa käsittelyn lainmukaisuuden todentamiseen, käsittelyn turvallisuuden ja eheyden varmistamiseen sekä rikosoikeudellisiin menettelyihin.

Kumoaminen

Direktiivillä korvattiin puitepäätös 2008/977/YOS rikosasioissa tehtävässä poliisi- ja oikeudellisessa yhteistyössä käsiteltävien henkilötietojen suojaamisesta 6. toukokuuta 2018 alkaen.

Uudelleentarkastelu

Euroopan komissio antoi kesäkuussa 2020 tiedonannon ”Toimet aiemman kolmannen pilarin säännöstön yhdenmukaistamiseksi tietosuojasääntöjen kanssa”.

Ensimmäinen kertomus direktiivin arvioinnista ja uudelleentarkastelusta on määrä laatia 5. toukokuuta 2022 mennessä.

MISTÄ ALKAEN DIREKTIIVIÄ SOVELLETAAN?

Asetusta on sovellettu 5. toukokuuta 2016 alkaen. Jäsenvaltioiden oli saatettava se osaksi kansallista lainsäädäntöä 6. toukokuuta 2018 mennessä.

TAUSTAA

Ks. lisätietoja:

• EU:n tietosuojasääntöjen uudistus (Euroopan komissio)
• EU:n tietosuojasäännöt (Euroopan komissio)
• Komission tiedonanto: EU:n tietosuojasäännöt parantavat kansalaisten vaikutusmahdollisuuksia ja soveltuvat digiaikaan – lehdistötiedote (Euroopan komissio)
• Tietosuojauudistus – muistio (Euroopan komissio)
• Henkilötietojen suoja (Euroopan komissio)

KESKEISET TERMIT

ASIAKIRJA

Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680, annettu 27 päivänä huhtikuuta 2016 luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta (EUVL L 119, 4.5.2016, s. 89–131)

Asetukseen (EU) 2016/680 tehdyt peräkkäiset muutokset on sisällytetty alkuperäiseen säädökseen. Konsolidoitu toisinto on tarkoitettu ainoastaan dokumentointitarkoituksiin.

MUUT ASIAAN LIITTYVÄT ASIAKIRJAT

Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (EUVL L 119, 4.5.2016, s. 1–88)

Euroopan parlamentin ja neuvoston asetus (EU) N:o 2018/1725, annettu 23 päivänä lokakuuta 2018, luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta (EUVL L 295, 21.11.2018, s. 39–98)

Euroopan parlamentin ja neuvoston direktiivi 2002/58/EY, annettu 12 päivänä heinäkuuta 2002, henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla (sähköisen viestinnän tietosuojadirektiivi) (EYVL L 201, 31.7.2002, s. 37–47)

Ks. konsolidoitu toisinto.

Viimeisin päivitys: 14.01.2022