25.8.2011

FI

Euroopan unionin virallinen lehti

C 248/123

---

Euroopan talous- ja sosiaalikomitean lausunto aiheesta ”Komission tiedonanto Euroopan parlamentille, neuvostolle, Euroopan talous- ja sosiaalikomitealle ja alueiden komitealle – Kattava lähestymistapa henkilötietojen suojaan Euroopan unionissa”

KOM(2010) 609 lopullinen

2011/C 248/21

Esittelijä: Peter MORGAN

Euroopan komissio päätti 4. marraskuuta 2010 Euroopan unionin toiminnasta tehdyn sopimuksen 304 artiklan nojalla pyytää Euroopan talous- ja sosiaalikomitean lausunnon aiheesta

Komission tiedonanto Euroopan parlamentille, neuvostolle, Euroopan talous- ja sosiaalikomitealle ja alueiden komitealle – Kattava lähestymistapa henkilötietojen suojaan Euroopan unionissa

KOM(2010) 609 lopullinen.

Asian valmistelusta vastannut ”työllisyys, sosiaaliasiat, kansalaisuus” -erityisjaosto antoi lausuntonsa 27. toukokuuta 2011.

Euroopan talous- ja sosiaalikomitea hyväksyi 15.–16. kesäkuuta 2011 pitämässään 472. täysistunnossa (kesäkuun 16. päivän kokouksessa) seuraavan lausunnon. Äänestyksessä annettiin 155 ääntä puolesta ja 9 vastaan 12:n pidättyessä äänestämästä.

1.   Päätelmät ja suositukset

1.1   EU:n tietosuojaoikeus perustuu vuonna 1995 annettuun direktiiviin (95/46/EY). Sillä oli kaksi tavoitetta, jotka on ilmaistu seuraavasti:

1.	– – [J]äsenvaltioiden on henkilötietojen käsittelyssä turvattava yksilöille heidän perusoikeutensa ja -vapautensa ja erityisesti heidän oikeutensa yksityisyyteen.

2.	Jäsenvaltiot eivät voi rajoittaa tai kieltää henkilötietojen vapaata liikkuvuutta jäsenvaltioiden välillä syistä, jotka liittyvät 1 kohdan mukaisesti turvattavaan suojaan.

Tavoitteiden välillä on olennaisen tärkeää saavuttaa tasapaino niin, etteivät ne joudu keskenään ristiriitaan. Uuden lainsäädännön tärkeimpänä päämääränä tulee olla sellaisten oikeudellisten puitteiden luominen, jotka myötävaikuttavat molempien tavoitteiden toteutumiseen.

1.2   ETSK on tyytyväinen tiedonantoon, jossa komissio tekee selkoa tietosuojadirektiivin 95/46/EY ajanmukaistamiseen omaksumastaan lähestymistavasta. Uuden teknologian räjähdysmäinen kehitys kasvattaa tiedon suorakäsittelyä verkossa eksponentiaalisesti, mikä vaatii henkilötietojen suojan lisäämistä vastaavansuuruisesti, mikäli halutaan välttää laajamittaiset tunkeutumiset yksityisyyden alueelle. Useista eri lähteistä peräisin olevan tiedon keräämistä, yhdistelyä ja hallinnointia on säänneltävä tarkoin säännöksin. Julkisella sektorilla on hallussaan moninaisia tiedostoja kansalaisen ja valtion suhteen eri ulottuvuuksista. Kerättävä tieto tulisi rajoittaa vain vähimpään, kulloistakin tarkoitusta varten välttämättä tarvittavaan määrään, ja näiden eri tietojen kokoaminen yhteen ”isovelitietokannaksi” pitää kieltää.

1.3   ETSK kehottaa samalla kuitenkin varovaisuuteen. Yritystoimintaa säätelevän lainsäädännön on pysyttävä vakaana ja ennustettavana. ETSK kannattaa siksi tietosuojadirektiivin asianmukaista tarkistusta.

1.4   Tiedonannossa todetaan, että yksi sidosryhmien ja erityisesti monikansallisten yritysten suurimpia ja usein mainitsemia huolenaiheita on se, että yhteisestä EU:n säädöskehyksestä huolimatta jäsenvaltioiden tietosuojalainsäädäntö on edelleen varsin epäyhtenäistä. ETSK kehottaa suojaamaan työntekijöitä koskevia tietoja uusilla säädöksillä entistä johdonmukaisemmin kautta EU:n ja luomaan unioninlaajuiset puitteet, joiden avulla parannetaan oikeudellista selkeyttä ja oikeusvarmuutta. Tätä ajatellen ETSK pitää erityisen tervetulleena aikomusta säätää riippumattomien yrityskohtaisten tietosuojavastaavien nimittäminen pakolliseksi ja yhdenmukaistaa näiden tehtäviä ja valtuuksia koskevat säännöt.

1.5   Kun otetaan huomioon mahdollinen konflikti kunkin ihmisen yksityisyyden ja häntä koskevien tietojen kaupallisen hyödyntämisen välillä sekä asiaan liittyvät merkittävät etunäkökohdat, on ihmisten entistä paremmin tiedostettava tarkoitukset, joihin heitä koskevaa tietoa käytetään, ja heillä olevat oikeudet valvoa kerättyä tietoa. ETSK katsookin, että tarvitaan tehokas lainvalvonta ja toimiva korjausmenettely, jos hankkeesta halutaan todella ”kattava”. Myös asiaan kuuluvasta rajatylittävästä ulottuvuudesta on huolehdittava.

1.6   Kun on kyse EU:n kansalaisista, tulisi Euroopan unionissa soveltaa tietojen käsittelystä vastaavan tahon sijoittautumisjäsenvaltion lainsäädäntöä tiedonsäilytyspaikasta riippumatta. Suojaan oikeutettuihin henkilöihin, etenkin työntekijöihin ja kuluttajiin, on sovellettava heidän tavanomaisen asuinpaikkansa tietosuojalainsäädäntöä.

1.7   Asiakirjassa ainoastaan sivutaan kysymystä lapsista. Lasten yksityisyyteen liittyvään problematiikkaan on kiinnitettävä erityistä huomiota. Oikeus tulla unohdetuksi voisi antaa perusteet poistaa lapsen ajattelemattomuuksista tai teini-ikäisen rikkomuksista tehdyt rekisterimerkinnät. Oikeus tulla unohdetuksi saattaa kuitenkin olla mahdoton toteuttaa.

1.8   Arkaluonteisen tiedon nykymääritelmää on selkeytettävä, koska ihmisiä koskevan sähköisessä muodossa olevan tiedon kategoriat lisääntyvät alati. Yleinen ja valikoimaton valvontakameroiden käyttö huolestuttaa ETSK:ta. On välttämättä huolehdittava siitä, että kyseisen kuvamateriaalin väärinkäytön kieltävää lainsääsäädäntöä noudatetaan. Ihmisten olinpaikkaan liittyvät gprs-tiedot ovat nekin kiistanalainen aihe. Biometrisiä tietoja kerätään enenevästi. Määritelmän tulee kattaa mainitun kaltaiset uudet teknologiat ja menetelmät ja sen pitää olla mukautettavissa tekniikan kehitykseen. Saattaa olla tarpeellista määrittää eri konteksteja koskevat periaatteet. ETSK on näiden uusien teknologioiden asianmukaisen käytön kannalla.

1.9   ETSK ymmärtää valtioidenvälisen poliisiyhteistyön arkaluonteiset ulottuvuudet mutta katsoo, että perusoikeudet, ja niin muodoin myös henkilötietojen suoja, on aina välttämättä otettava kokonaisuudessaan huomioon.

1.10   ETSK kannattaa komission yleistä päämäärää eli sen varmistamista, että EU:n tietosuojasäännöksiä sovelletaan entistä johdonmukaisemmin kaikissa jäsenvaltioissa. ETSK:ta huolestuttaa se, etteivät kaikki unionin 12 uutta jäsenvaltiota mahdollisesti ole vielä panneet direktiiviä 95/46/EY täysimääräisesti ja tehokkaasti täytäntöön.

1.11   ETSK:n käsityksen mukaan kansalliset tietosuojaviranomaiset ovat yleisesti ottaen tehottomia ja ylityöllistettyjä ja niiden riippumattomuutta täytyy parantaa. Kaikentyyppisissä uusissa direktiiveissä pitää edellyttää, että kansallisilla viranomaisilla on tehtäviensä täyttämisen vaatima asema, auktoriteetti ja resurssit.

1.12   ETSK katsoo, että 29 artiklan mukaisella tietosuojatyöryhmällä on arvokas pysyvä rooli, kun otetaan huomioon sen tähänastinen panos yksilöiden suojeluun henkilötietojen käsittelyssä.

1.13   EU:n digitaalistrategiaan viitaten ETSK kehottaa komissiota harkitsemaan erityisen EU-elimen perustamista tarkastelemaan internetin laaja-alaisia yhteiskuntavaikutuksia 10–20 vuoden perspektiivissä. Henkilötietojen suojaa ja yleistä tietoverkkoturvallisuutta koskevat säännökset ovat käymässä yhä epätarkoituksenmukaisemmiksi. Yhteiskunnalle on jäänyt perässäjuoksijan osa. Tietosuojaa ajatellen ETSK suosittaa koko EU:ssa toimivaltaisen tietosuojavaltuutetun nimeämistä. EU:n nykyisen tietosuojavaltuutetun tehtäväkenttään kuuluvat ainoastaan unionin toimielimet. Tarvitaan valvontaviranomainen, joka vastaa jäsenvaltioiden toiminnan koordinoinnista ja operatiivisista standardeista. Kyseessä olisi kuitenkin vain osa komitean kaavailemasta elimestä, jolla olisi yleistehtävä.

2.   Johdanto

2.1   ETSK tukee edelleenkin vuoden 1995 direktiivin perusperiaatteita. Seuraavassa esitetään tiettyjä otteita direktiivitekstistä yksinkertaistetussa muodossa ja niitä kommentoimatta. Tarkoitetut periaatteet käyvät niistä selvästi ilmi.

—

6 artikla Jäsenvaltioiden on säädettävä siitä, että a) henkilötietoja käsitellään asianmukaisesti ja laillisesti, b) henkilötiedot kerätään tiettyä nimenomaista ja laillista tarkoitusta varten, c) henkilötiedot ovat asianmukaisia, olennaisia eivätkä liian laajoja siihen tarkoitukseen, mihin ne on kerätty ja missä niitä myöhemmin käsitellään, d) henkilötiedot ovat täsmällisiä ja tarvittaessa päivitettyjä, e) henkilötiedot säilytetään muodossa, josta rekisteröity on tunnistettavissa ainoastaan sen ajan, kuin on tarpeen niiden tarkoitusten toteuttamista varten, joita varten tiedot kerättiin.

—

7 artikla Jäsenvaltioiden on säädettävä siitä, että henkilötietoja voidaan käsitellä ainoastaan, a) jos rekisteröity on yksiselitteisesti antanut suostumuksensa, tai b) jos käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osallisena, tai c) jos käsittely on tarpeen rekisterinpitäjän laillisen velvoitteen noudattamiseksi, tai d) jos käsittely on tarpeen rekisteröidyn elintärkeän edun suojaamiseksi, tai e) jos käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai f) jos käsittely on tarpeen rekisterinpitäjän oikeutetun intressin toteuttamiseksi.

—

8 artikla Jäsenvaltioiden on kiellettävä sellaisten henkilötietojen käsittely, jotka koskevat rotua tai etnistä alkuperää, poliittisia mielipiteitä, uskonnollista tai filosofista vakaumusta tai ammattiliittoon kuulumista, sekä terveyteen ja seksuaaliseen käyttäytymiseen liittyvien tietojen käsittely.

2.2.   Viimeksi kuluneena vuosikymmenenä olosuhteet ovat merkittävästi muuttuneet Lissabonin sopimuksen 16 artiklan sisältämien uusien määräysten ja perussoikeuskirjan 8 artiklan myötä.

2.3   Tarkasteltavana olevassa tiedonannossa on tarkoitus määrittää komission lähestymistapa EU:n säädöskehyksen nykyaikaistamiseen nähden, kun ajatellaan henkilötietojen suojaa unionin kaikilla toiminta-aloilla ja otetaan erityisesti huomioon globalisaation ja uuden tekniikan tuomat haasteet, jotta kyetään edelleenkin takaamaan ihmisten suojelun korkealuokkaisuus käsiteltäessä henkilötietoja unionin kaikilla toiminta-aloilla.

2.4   Maailmanlaajuinen tiedonvaihto on nykyisin helpompaa ja nopeampaa. Yksittäistä ihmistä koskevat henkilökohtaiset tiedot – sähköposti, valokuvat, sähköinen päivyri – saatetaan luoda Yhdistyneessä kuningaskunnassa Saksassa ylläpidetyn ohjelmiston avulla, prosessoida Intiassa, säilyttää Puolassa ja päästää Espanjassa käyttäjälle, joka on Italian kansalainen. Tämä maailmanlaajuisten tietovirtojen nopea kasvu on iso haaste yksilöiden oikeudelle henkilötietojen yksityisyyteen. Tietosuojakysymykset rajatylittävine ulottuvuuksineen vaikuttavat ihmisiin päivittäin – työpaikalla, viranomaisyhteyksissä, tavaroita tai palveluita hankittaessa, matkustettaessa tai internetiä käytettäessä.

2.5   Komissio aikoo ehdottaa vuonna 2011 lainsäädäntöä, jonka avulla tietosuojan oikeudellista kehystä tarkistetaan niin, että EU:ssa omaksutaan tiukempi asenne henkilötietojen suojaamiseen kaikilla politiikanaloilla, lainvalvonta ja rikoksentorjunta mukaan luettuina, ja näiden alojen erityispiirteet huomioon ottaen. Rinnan säädösehdotusten kanssa esitetään myös muita toimenpiteitä, esimerkiksi kannustetaan itsesääntelyä ja selvitetään yksityisyyden suojaa koskevan EU:n tunnuksen toteuttamisedellytyksiä.

2.6   Komissio huolehtii myös jatkossa siitä, että tätä alaa koskeva EU:n oikeus pannaan täytäntöön asianmukaisella tavalla, ja käynnistää aktiivisesti rikkomusmenettelyjä, jos EU:n tietosuojasääntöjä ei ole pantu täytäntöön ja sovellettu oikein.

2.7   Kattavassa lähestymistavassa henkilötietojen suojaan on seuraavat keskeiset tavoitteet:

—	yksilön oikeuksien lujittaminen

—	sisämarkkinaulottuvuuden lujittaminen

—	rikosasioissa tehtävää poliisi- ja oikeudellista yhteistyötä koskevien tietosuojasääntöjen tarkistaminen

—	tietosuojan globaali ulottuvuus

—	tietosuojasääntöjen täytäntöönpanon valvonnan tehostaminen institutionaalisia järjestelyjä lujittamalla.

Käsillä olevan lausunnon tekstijaksoissa 3–7 tehdään kokoava katsaus näihin tavoitteisiin ja arvioidaan ehdotuksia ETSK:n näkökulmasta. Lihavoidut otsakkeet myötäilevät tiedonannossa noudatettavaa jäsentelyä. Kursivointia käytetään tekstitiivistelmän merkkinä.

3.   Yksilön oikeuksien lujittaminen

3.1   Yksilöiden riittävän suojan turvaaminen kaikissa tilanteissa

EU:n perusoikeuskirjassa vahvistetaan yksilön oikeus henkilötietojensa suojaan. Henkilötietojen määritelmän on tarkoitus kattaa kaikki tiedot, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan henkilöön. Komissio pohtii, miten voidaan varmistaa tietosuojasääntöjen johdonmukainen soveltaminen, kun otetaan huomioon uusien tekniikoiden vaikutus yksilön oikeuksiin ja vapauksiin ja henkilötietojen vapaata liikkuvuutta sisämarkkinoilla koskeva tavoite.

3.1.1   Henkilötietojen vapaa liikkuvuus sisämarkkinoilla on markkinoiden täysimääräisen toiminnan edellytys. Se kuitenkin uhkaa yritysten hallussa olevien, työntekijöitä koskevien tietojen yksityisyyttä. Tarvitaankin erityiset turvakeinot, kuten kansainvälisen tietoliikenteen käsittelystä vastaavan tahon tilivelvollisuus sekä arkaluonteisten tietojen salaaminen koodaamalla.

3.1.2   ETSK toteaa painokkaasti, että työelämä on lähestulkoon sivuutettu paitsi puheena olevassa tiedonannossa myös koko keskustelussa, jota käydään tietosuojasta Euroopassa. Lähtökohdaksi tulisi ottaa tähänastinen unionin tasolla tehty työ, eritoten 29 artiklan mukaisen tietosuojatyöryhmän esittämät ehdotukset.

3.2   Läpinäkyvyyden lisääminen rekisteröityjen kannalta

Läpinäkyvyys on perusedellytys, jonka avulla ihmiset voivat valvoa omia tietojaan ja varmistaa henkilötietojensa tehokkaan suojan. Komissio pohtii, voitaisiinko ottaa käyttöön yleisperiaate, jonka mukaan henkilötietojen käsittelyn on oltava läpinäkyvää, rekisterinpitäjiin sovellettavia erityisiä velvollisuuksia erityisesti silloin, kun kyseessä ovat lapset, EU:n vakiolomake tietosuojailmoituksia varten ja henkilötietosuojan loukkausta koskeva yleinen ilmoitusvelvollisuus.

3.2.1   Vakiomuotoiset ilmoitukset on asetettava etusijalle, koska niiden avulla vältetään eturistiriitoja. Niiden käytön tulisi perustua vapaaehtoisuuteen.

3.2.2   Läpinäkyvyysvaatimus ei välttämättä poista yksipuolisista sopimusmääräyksistä johtuvaa ongelmaa. On tarpeen kehittää tiukempia säännöksiä suojaksi epäoikeudenmukaisia sopimusehtoja vastaan.

3.2.3   Asiakirjassa ainoastaan sivutaan kysymystä lapsista. Lasten yksityisyyteen liittyvään problematiikkaan on kiinnitettävä erityistä huomiota. Oikeus tulla unohdetuksi voisi antaa perusteet poistaa lapsen ajattelemattomuuksista tai teini-ikäisen rikkomuksista tehdyt rekisterimerkinnät. Oikeus tulla unohdetuksi saattaa kuitenkin olla mahdoton toteuttaa. (Ks. kohta 3.3.2 jäljempänä)

3.2.4   Uusissa säädöksissä tulee selkiyttää toisaalta tietojen käsittelystä ja toisaalta tietojen kirjaamisesta vastaavan henkilön roolia, jottei heidän henkilöllisyydestään eikä myöskään heidän velvollisuuksistaan ja oikeuksistaan synny epäselvyyttä.

3.2.5   ETSK kannattaa ehdotusta henkilötietosuojan loukkausta koskevan yleisen ilmoitusvelvollisuuden ottamisesta käyttöön mutta katsoo, ettei se mahdollisesti ole soveltamiskelpoinen kaikissa tapauksissa, kaikilla aloilla ja kaikissa olosuhteissa.

3.3   Omien tietojen valvonnan parantaminen

Tärkeät ennakkoedellytykset ovat tietojenkäsittelyn rajoittaminen vain alkuperäiseen tarkoitukseen (periaate, jonka mukaan tietoja on kerättävä mahdollisimman vähän) ja rekisteröityjen mahdollisuus valvoa omia tietojaan. Komissio aikoo selvittää, miten voitaisiin vahvistaa periaatetta, jonka mukaan tietoja kerätään mahdollisimman vähän, parantaa mahdollisuuksia käyttää oikeuttaan tutustua tietoihin, oikaista niitä ja poistaa tai suojata ne tietokannassa, selkeyttää oikeutta tulla unohdetuksi ja varmistaa nimenomainen oikeus tietojen siirrettävyyteen.

3.3.1   ETSK kannattaa yleisesti kaikkia toimia yksityisyyden suojan parantamiseksi. Ihmisillä pitää olla oikeus päästä vapaasti käsiksi kaikkiin heistä kerättyihin tietoihin. Osuvana esimerkkinä mainittakoon vapaa pääsy tutustumaan luottokelpoisuustietoihin. Suostumuksen peruuttaminen syytä ilmoittamatta ja tosiasiallinen oikeus tulla unohdetuksi ovat perustavan tärkeitä asioita, mutta yksityisyys olisi paremmassa suojassa, jos tietoja kerättäisiin jo alun pitäen vähemmän. ETSK kehottaakin komissiota tekemään totta periaatteesta, jonka mukaan tietoja on kerättävä mahdollisimman vähän.

3.3.2   Vaikka oikeus tulla unohdetuksi on käsitteenä houkutteleva, sen toteuttaminen tulee olemaan vaikeaa, koska internetissä tieto elää virustaudin tavoin ja koska on tietojenkäsittelytekniikoita, jotka poistavat mutta eivät unohda.

3.4   Valveuttaminen

Tulee kannustaa valveuttamistoimiin, tietojen antaminen verkkosivustoissa mukaan luettuna, joissa selväsanaisesti tiedotetaan rekisteröityjen oikeuksista ja tietojen käsittelystä vastaavien tahojen velvollisuuksista. Erityisesti nuorten heikko kyseisten asioiden tuntemus on huolestuttavaa.

3.4.1   Tulee olemaan vaikeaa muuttaa käyttäytymistä tarvittavalla tavalla erityisesti kun otetaan huomioon, että verkkoyhteisöt ovat kehittyneet nopeammin kuin käyttäjien tietoisuus luovuttamiensa tietomäärien aiheuttamista seurauksista. Vaikka pakolliset tiedotteet kaikkien internetpalvelujen yhteydessä olisivatkin periaatteessa hyvä asia, ne saattaisivat olla liiketaloudellisesti ongelmallisia. Pitää harkita palveluluokittain määritettäviä, tietoisuutta lisääviä käytäntöjä – verkkokauppa, internetpalveluntarjoajat, hakukoneet, verkkoyhteisöt yms.

3.4.2   ETSK on tyytyväinen komission aikomukseen tarjota unionin rahoitusta tietoisuutta lisääviin toimiin. ETSK ehdottaa myös työmarkkinaosapuolten ja kansalaisyhteiskunnan organisaatioiden järjestämien EU:n laajuisten ja kansallisten tiedotustoimien hyväksymistä yhteisrahoituskelpoisten piiriin.

3.5   Tietoon perustuva vapaaehtoinen suostumus

Komissio selvittää, miten suostumuksen antamista koskevia sääntöjä voidaan selkeyttää ja lujittaa.

3.5.1   Vaadittavan suostumustyypin tulee edelleen kytkeytyä käsiteltävään tietotyyppiin eikä käytettävään teknologiaan. ETSK on kuitenkin huolissaan siitä, että useimmissa tapauksissa, kun suostumus annetaan verkkoympäristössä, sovellus ei anna minkäänlaista vahvistusta suostumuksesta, eikä tarjolla liioin ole toimivia mekanismeja suostumuksen peruutuksen kirjaamiseen. Lisäksi suostumus voidaan antaa napauttamalla painiketta, jolloin hyväksytään sivukaupalla määräyksiä ja ehtoja, joista suostumus saattaa olla vain pieni osanen. Olisi järkevää, jos tietosuojaan liittyvä suostumus olisi yksinkertainen ja erillinen asiakirja, jotta se olisi asiaankuuluva, tietoon perustuva ja seikkaperäinen.

3.5.2   Henkilötietojen käsittely on elintärkeää organisaatioille ja liikeyrityksille, jotka harjoittavat toimintaansa internetissä. Oletusvaihtoehto tuottaa selkeästi hyötyä operaattorille, mutta siitä saattaa koitua haittaa kuluttajalle mikäli sitä ei toteuteta oikeudenmukaisesti. Sen käyttöä tulisi rajoittaa siten, että kaikki operaattorit velvoitetaan tarjoamaan asiakkailleen automaattisesti yksityisyyden suoja asiakkaiden niin halutessa.

3.5.3   Jotta suostumus voitaisiin antaa vapaasti, tulee sopimuksenkin olla oikeudenmukainen. On vahvistettava periaatteet, joilla vältetään sopimaton kaupallinen menettely.

3.6   Arkaluonteisten tietojen suojaaminen

Komissio pohtii, olisiko arkaluonteisten tietojen määritelmää laajennettava ja sisällytettävä niihin esimerkiksi geneettiset tiedot, ja voitaisiinko arkaluonteisten tietojen käsittelyn sallimista koskevia edellytyksiä edelleen yhtenäistää.

3.6.1   Arkaluonteisen tiedon nykymääritelmää on selkeytettävä, koska ihmisiä koskevan, sähköisessä muodossa olevan tiedon kategoriat lisääntyvät alati. Yleinen ja valikoimaton valvontakameroiden käyttö huolestuttaa ETSK:ta. On välttämättä huolehdittava siitä, että kyseisen kuvamateriaalin väärinkäytön kieltävää lainsääsäädäntöä noudatetaan. Ihmisten olinpaikkaan liittyvät gprs-tiedot ovat nekin kiistanalainen aihe. Biometrisiä tietoja kerätään enenevästi. Määritelmän tulee kattaa mainitun kaltaiset uudet teknologiat ja menetelmät ja sen pitää olla sovellettavissa tekniikan kehitykseen. Saattaa olla tarpeellista määrittää eri konteksteja koskevat periaatteet. ETSK on näiden uusien teknologioiden asianmukaisen käytön kannalla.

3.6.2   Arkaluonteiselle tiedolle pitäisi tarjota lisäsuojaa. Tietyntyyppisten arkaluonteisten tietojen koodaus tulisi tehdä pakolliseksi. Olisi sovellettava parasta käytettävissä olevaa teknologiaa. Tietojen käsittelystä vastaavien tahojen pitäisi olla tilivelvollisia tietosuojaloukkauksista.

3.7   Oikeussuojakeinojen ja seuraamusten tehostaminen

Komissio pohtii, voitaisiinko kanneoikeutta kansallisessa tuomioistuimessa laajentaa ja sisällyttää säännöksiin rikosoikeudelliset seuraamukset vakavista tietosuojaloukkauksista.

3.7.1   Kun otetaan huomioon mahdollinen konflikti kunkin ihmisen yksityisyyden ja häntä koskevien tietojen kaupallisen hyödyntämisen välillä sekä asiaan liittyvät merkittävät etunäkökohdat, on ihmisten entistä paremmin tiedostettava tarkoitukset, joihin heitä koskevaa tietoa käytetään, ja heillä olevat oikeudet valvoa kerättyä tietoa. ETSK katsookin, että tarvitaan tehokas lainvalvonta ja toimiva korjausmenettely, jos hankkeesta halutaan todella ”kattava”. Myös asiaan kuuluvasta rajatylittävästä ulottuvuudesta on huolehdittava.

3.7.2   Pitää tutkia mahdollisuutta soveltaa joukkokannemekanismia oikeussuojakeinona tapauksissa, joissa tietosuoja on totaalisesti pettänyt. Tulee harkita ajatusta liike-elämän organisaatioiden ja ammatillisten järjestöjen ja ammattiyhdistysliikkeen oikeudesta toimia yksilöiden edustajina ja nostaa kanne tuomioistuimessa.

4.   Sisämarkkinaulottuvuuden lujittaminen

4.1   Oikeusvarmuuden lisääminen ja rekisterinpitäjien tasapuolisten toimintaedellytysten turvaaminen

EU:n tietosuojaan liittyy voimakas sisämarkkinaulottuvuus. Komissio tutkii keinoja parantaa tietosuojasääntöjen yhtenäisyyttä EU:n tasolla.

4.1.1   ETSK on huolissaan siitä, että direktiivin 95/46/EY tekstissä jäsenvaltioille suotujen päätöksentekovaltuuksien soveltamisala on synnyttänyt täytäntöönpano-ongelman. Asetus olisi tältä osin saattanut olla varmempi ratkaisu. Yhtenäistämisessä tulisi lähteä liikkeelle standardijoukosta, joka riittävällä tavalla täyttää direktiivin vaatimukset.

4.1.2   Tiedonannossa ei missään kohdin viitata työntekijöihin ja näiden oikeuteen päästä tutustumaan itseään koskeviin tietoihin, jotka ovat työnantajan hallussa. Monikansalliset yritykset saattavat keskittää rekisterinsä EU:ssa tai jopa sen ulkopuolella. Niiden työntekijöiden kannalta on selvästikin tarpeen kirjata uusiin säädöksiin tarkkaan määritetyt oikeudet saada tutustua po. tietoihin.

4.2   Rekisterinpitäjien hallinnollisen taakan keventäminen

Komissio tutkii eri mahdollisuuksia yksinkertaistaa ja yhtenäistää nykyistä ilmoitusjärjestelmää. Yksi vaihtoehto voisi olla koko EU:ssa käytettävän yhdenmukaisen rekisteröintilomakkeen käyttöönotto. Ilmoitukset voitaisiin julkaista internetissä.

4.2.1   ETSK pitää aloitteita mitä kannatettavimpina.

4.3   Sovellettavaa lakia ja jäsenvaltioiden vastuuta koskevien sääntöjen selkeyttäminen

Rekisterinpitäjille ja tietosuojaviranomaisille ei ole useita jäsenvaltioita koskevissa tilanteissa aina selvää, mikä jäsenvaltio on vastuussa ja mitä lakia sovelletaan. Asian monimutkaisuutta lisäävät myös globalisaatio ja tekniikan kehitys. Komissio tutkii, miten sovellettavaa lakia koskevia säännöksiä voitaisiin tarkistaa ja selkeyttää, jotta parannetaan oikeusvarmuutta ja selkeytetään jäsenvaltioiden vastuuta.

4.3.1   Kun on kyse EU:n kansalaisista, tulisi Euroopan unionissa soveltaa tietojen käsittelystä vastaavan tahon sijoittautumisjäsenvaltion lainsäädäntöä tiedonsäilytyspaikasta riippumatta. Tietosuojaan oikeutettuihin henkilöihin, etenkin työntekijöihin ja kuluttajiin EU:ssa, on sovellettava työntekijän tai kuluttajan tavanomaisen asuinpaikan tietosuojalainsäädännön säännöksiä ja menettelyjä.

4.4   Rekisterinpitäjän vastuun tehostaminen

Komissio tutkii, miten voitaisiin taata, että rekisterinpitäjät ottavat käyttöön tehokkaat menettelyt ja mekanismit, joiden avulla varmistetaan tietosuojasääntöjen noudattaminen. Se tutkii mahdollisuuksia tehdä riippumattoman tietosuojavastaavan nimittäminen pakolliseksi ja yhtenäistää tämän nimittämistä koskevat säännöt sekä velvoittaa suorittamaan tietosuojaa koskeva vaikutustenarviointi. Lisäksi se edistää edelleen yksityisyyden suojaa parantavien tekniikoiden käyttöä ja ”sisäänrakennetun yksityisyyden suojan” periaatteen toteuttamista käytännössä.

4.4.1   Yksityisyyden suojaa parantavat tekniikat ja ”sisäänrakennetun yksityisyyden suojan” periaate voivat potentiaalisesti vapauttaa rekisterinpitäjät harkintaa kysyvistä ratkaisuista. Muussa tapauksessa nämä saattavat joutua konfliktiin organisaatioidensa kaupallisten prioriteettien kanssa. ETSK kehottaa komissiota ryhtymään mainittujen välineiden osalta jatkotutkimuksiin ja kehitystyöhön, koska välineiden avulla on mahdollista tehostaa tietosuojaa ja välttyä eturistiriidoilta. Parasta olisi säätää niiden soveltaminen pakolliseksi.

4.4.2   Epäilysten välttämiseksi tulisi rekisterinpitäjien olla tilivelvolliset kaikesta vastuullaan olevasta tietojen käsittelystä. Niinpä mikäli kuvassa on mukana edelleenvaltuutettuja rekisterinpitäjiä tai toimintaa muissa maissa, tulisi sopimukseen selvin sanoin kirjata yksilön yksityisyyden suojaa koskevat velvoitteet.

4.4.3   ETSK:n näkemyksen mukaan jokaisen jäsenvaltion tulee perustaa ammattimaisesti toimiva elin, joka on vastuussa tietosuojavastaavien taitopohjasta ja näiden pätevyyden toteamisesta.

4.4.4   Puheena olevaa alaa koskevia säännöksiä on syytä toteuttaa kohdassa 4.2 käsiteltävän tavoitteen, rekisterinpitäjien hallinnollisen taakan keventämisen, kanssa johdonmukaisesti.

4.5   Itsesääntelyaloitteiden tukeminen ja EU:n sertifikaatiojärjestelmien tutkiminen

Komissio aikoo tutkia keinoja tukea edelleen käytännesääntöjen kaltaisten itsesääntelyaloitteiden tekemistä ja selvittää mahdollisuuksia toteuttaa EU:n sertifiointijärjestelmiä.

4.5.1   Ks. kohta 3.7.1: ETSK:lle ovat ennen kaikkea tärkeitä säännösten noudattamisen valvonta sekä korjaavat menettelyt. Ehdotukset ovat houkuttelevia sikäli kuin ne myötävaikuttavat elinkeinoelämän valtavan sääntelytaakan keventämiseen. Jokaisessa jäsenvaltioissa tulisi tukea rahallisesti hyviä käytänteitä käsittelevän kokoavan katsauksen tai oppaan julkaisemista.

5.   Rikosasioissa tehtävää poliisi- ja oikeudellista yhteistyötä koskevien tietosuojasääntöjen tarkistaminen

Rikosasioissa tehtävän poliisi- ja oikeudellisen yhteistyön alalla henkilötietojen suojaan EU:ssa sovellettava säädös on vuonna 2008 tehty YOS-puitepäätös. Siinä on lukuisia puutteita, jotka saattavat vaikuttaa rekisteröityjen mahdollisuuksiin käyttää tietosuojaoikeuksiaan esim. sen selvittämiseksi, mitä heidän henkilötietojaan käsitellään ja vaihdetaan, kenen toimesta ja mitä tarkoitusta varten, ja kuinka he voivat käyttää oikeuksiaan, mm. oikeutta tutustua tietoihinsa.

Komissio aikoo harkita yleisten tietosuojasäännösten soveltamisen laajentamista rikosasioissa tehtävän poliisi- ja oikeudellisen yhteistyön alalle, uusia säännöksiä geneettisten tietojen käsittelystä, kuulemismenettelyn käynnistämistä alan valvontajärjestelmien tarkistamisesta, sekä arvioida tarvetta yhdenmukaistaa pitkällä aikavälillä alakohtaisia erityissääntöjä uuden tietosuojaa koskevan yleisen säädöskehyksen kanssa.

5.1   ETSK ymmärtää valtioidenvälisen poliisiyhteistyön arkaluonteiset ulottuvuudet mutta katsoo, että perusoikeudet, ja niin muodoin myös henkilötietojen suoja, on aina välttämättä otettava kokonaisuudessaan huomioon. ETSK pelkää turvallisuusnäkökohtien, olivatpa nämä miten näennäisiä hyvänsä, useissa tapauksissa ajavan perusoikeuksien edelle. Ihmiset tarvitsevat enemmän tietoa menetelmistä ja tarkoitusperistä, joihin tietoja kerätään, mitkä viranomaiset keräävät tietoja – ja mille viranomaistahoille – puhelinlaskuista, pankkitileistä, lentoasemilla tehtävistä tarkastuksista yms.

6.   Tietosuojan globaali ulottuvuus

6.1   Kansainvälistä tiedonsiirtoa koskevien sääntöjen selkeyttäminen ja yksinkertaistaminen

Komissio aikoo selvittää, kuinka voidaan

—	parantaa ja sujuvoittaa nykyisiä menettelyjä, jotka koskevat kansainvälisiä tiedonsiirtoja, jotta voidaan varmistaa yhtenäisempi ja johdonmukaisempi EU:n lähestymistapa kolmansiin maihin ja kansainvälisiin organisaatioihin nähden

—	täsmentää kriteerit ja vaatimukset, joita soveltaen arvioidaan tietosuojan riittävyyttä kolmansissa maissa ja kansainvälisissä organisaatioissa

—	määrittää tietosuojaa koskevat EU:lle keskeiset elementit kansainvälisissä sopimuksissa käytettäviksi.

6.1.1   ETSK kannattaa näitä järkeviä aloitteita ja toivoo, että komissio kykenee saavuttamaan laajan kansainvälisen yhteisymmärryksen, jonka puuttuessa näiden aloitteiden tuloksekkuus saattaa kärsiä.

6.2   Yleisten periaatteiden edistäminen

Euroopan unionin on edelleen pysyteltävä johtavana voimana henkilötietojen suojaa koskevien kansainvälisten oikeudellisten ja teknisten normien kehittämisessä ja edistämisessä. Niinpä komissio aikoo olla aktiivinen toimija kansainvälisen standardoinnin saralla ja tehdä yhteistyötä kolmansien maiden ja kansainvälisten organisaatioiden, kuten OECD:n, kanssa.

6.2.1   ETSK tukee komission esityksiä näiltäkin osin. Internetin globaalin luonteen vuoksi on olennaista, että säännöt ja suuntaviivat ovat yhteensopivat eri mantereilla. Henkilötietojen suojan on ulotuttava yli rajojen. Pantakoon merkille, että OECD:llä on jo suuntaviivansa, ja Euroopan neuvostossa on tehty yleissopimus N:o 108, jota ollaan tarkistamassa. Komission tulisi varmistaa, että yleissopimus ja uusi direktiivi ovat yhteensopivat.

7.   Tietosuojasääntöjen täytäntöönpanon valvonnan tehostaminen institutionaalisia järjestelyjä lujittamalla

Komissio selvittää,

—	miten voitaisiin lujittaa, selkeyttää ja yhdenmukaistaa kansallisten tietosuojaviranomaisten asemaa ja toimivaltuuksia

—	miten voidaan parantaa tietosuojaviranomaisten keskinäistä yhteistyötä ja koordinointia

—

miten voidaan varmistaa EU:n tietosuojasääntöjen johdonmukaisempi soveltaminen kansainvälisillä markkinoilla. Tätä varten voidaan muun muassa — vahvistaa kansallisten tietosuojaviranomaisten asemaa — parantaa niiden toiminnan koordinointia 29 artiklan mukaisen tietosuojatyöryhmän kautta — luoda mekanismi, jonka avulla voidaan varmistaa johdonmukaisuus Euroopan komission johdolla.

7.1   Koska ETSK:ta askarruttavat säännösten noudattamisen valvonta ja korjausmekanismit, mainitut ehdotukset ovat komitealle avainkysymyksiä. Komitean mieleen ovat ilmaukset ”lujittaa, selkeyttää ja yhdenmukaistaa” sekä ”yhteistyö ja koordinointi”, ja se tukee komission yleistä pyrkimystä eli sen varmistamista, että EU:n tietosuojasäännöksiä sovelletaan entistä johdonmukaisemmin kaikissa jäsenvaltioissa. ETSK:ta huolestuttaa se, etteivät kaikki unionin 12 uutta jäsenvaltiota mahdollisesti ole vielä panneet direktiiviä 95/46/EY täysimääräisesti ja tehokkaasti täytäntöön.

7.2   ETSK:n käsityksen mukaan kansalliset tietosuojaviranomaiset ovat yleisesti ottaen tehottomia ja ylityöllistettyjä ja niiden riippumattomuutta täytyy parantaa. Kaikentyyppisissä uusissa direktiiveissä pitää edellyttää, että kansallisilla viranomaisilla on tehtäviensä täyttämisen vaatima asema, auktoriteetti ja resurssit. Niiden tehtävät ja resurssit tulee määritellä koko EU:n kattavasti. Lisäksi pitää harkita EU:n tietosuojavaltuutetun nimittämistä.

7.3   ETSK katsoo, että 29 artiklan mukaisella tietosuojatyöryhmällä voi olla arvokas pysyvä rooli, kun otetaan huomioon sen tähänastinen panos yksilöiden suojeluun henkilötietojen käsittelyssä.

---

---