1.4.2011   

FI

Euroopan unionin virallinen lehti

C 101/20

1.

Komissio antoi 30. syyskuuta 2010 ehdotuksen Euroopan parlamentin ja neuvoston asetukseksi Euroopan verkko- ja tietoturvavirastosta (ENISA) (3).

2.

ENISA perustettiin maaliskuussa 2004 asetuksella (EY) N:o 460/2004 aluksi viiden vuoden kaudeksi (4). Vuonna 2008 ENISAn toimikautta jatkettiin asetuksella (EY) N:o 1007/2008 (5) maaliskuuhun 2012.

3.

Asetuksen (EY) N:o 460/2004 1 artiklan 1 kohdan mukaan virasto perustettiin, jotta unionissa voidaan varmistaa korkeatasoinen ja toimiva verkko- ja tietoturva ja edistää sisämarkkinoiden moitteetonta toimintaa.

4.

Komission ehdotuksella pyritään nykyaikaistamaan virastoa, vahvistamaan sen toimivaltuuksia ja säätämään sen uudesta toimeksiannosta viiden vuoden kaudeksi, jolla varmistetaan viraston jatkuvuus maaliskuun 2012 jälkeen (6).

5.

Ehdotetun asetuksen oikeusperusta on SEUT 114 artikla (7), jossa unionille annetaan toimivalta hyväksyä toimenpiteitä, joiden tarkoituksena on toteuttaa ja edistää sisämarkkinoiden toimintaa. SEUT 114 artikla korvaa entisen EY:n perustamissopimuksen 95 artiklan, johon aikaisemmat ENISAa koskevat asetukset perustuivat (8).

6.

Ehdotuksen perusteluissa mainitaan, että rikosten ehkäisy ja torjunta kuuluu Lissabonin sopimuksen voimaantulon jälkeen jaettuun toimivaltaan. Tämä on suonut ENISAlle tilaisuuden ottaa rooli tietoverkkorikollisuuden torjunnassa verkko- ja tietoturvaan liittyvissä kysymyksissä ja ryhtyä yhteydenpitoon näkemyksistä ja parhaista toimintatavoista tietoverkkoasioissa puolustus-, lainvalvonta- ja tietosuojaviranomaisten kanssa.

7.

Useista vaihtoehdoista komissio valitsi vaihtoehdon, jossa ENISAn tehtäviä laajennetaan ja otetaan lainvalvonta- ja tietosuojaviranomaiset täysivaltaisiksi jäseniksi pysyviin sidosryhmiin. Uuteen tehtäväluetteloon ei kuulu operatiivisia tehtäviä, vaan tehtävät päivitetään ja muotoillaan uudelleen.

8.

Ehdotus lähetettiin 1. lokakuuta 2010 asetuksen (EY) N:o 45/2001 28 artiklan 2 kohdan mukaisesti Euroopan tietosuojavaltuutetulle kuulemista varten. Euroopan tietosuojavaltuutettu pitää myönteisenä sitä, että häntä kuultiin tässä asiassa, ja suosittelee, että ehdotuksen johdanto-osaan lisätään viittaus tähän kuulemiseen, kuten yleensä tehdään lainsäädäntöteksteissä, joista Euroopan tietosuojavaltuutettua on kuultu asetuksen (EY) N:o 45/2001 mukaisesti.

9.

Ennen ehdotuksen hyväksymistä Euroopan tietosuojavaltuutettua on kuultu epävirallisesti ja hän on antanut useita epävirallisia huomautuksia. Yhtäkään näistä huomautuksista ei ole kuitenkaan otettu huomioon ehdotuksen lopullisessa versiossa.

10.

Euroopan tietosuojavaltuutettu korostaa, että tietojenkäsittelyn turvallisuus on tärkeä osa tietosuojaa (9). Tältä osin hän pitää myönteisenä ehdotuksen tavoitetta vahvistaa viraston toimivaltuuksia, jotta se voi tehokkaammin suorittaa nykyiset tehtävänsä ja täyttää vastuunsa, ja samalla laajentaa viraston toiminta-alaa. Euroopan tietosuojavaltuutettu suhtautuu myös myönteisesti siihen, että tietosuojaviranomaisista ja lainvalvontaelimistä tulee täysivaltaisia sidosryhmiä. Hän katsoo, että ENISAn toimikauden jatkaminen on yksi tapa edistää Euroopan tasolla tietojärjestelmien turvatoimenpiteiden ammattimaista ja järkiperäistä hallinnointia.

11.

Yleisarvio ehdotuksesta on myönteinen. Ehdotetun asetuksen monet kohdat ovat kuitenkin epäselviä tai puutteellisia, mikä aiheuttaa tietosuojaan liittyviä huolenaiheita. Näitä kysymyksiä selvitetään ja tarkastellaan tämän lausunnon seuraavissa luvuissa.

12.

Viraston laajennetut tehtävät, jotka liittyvät lainvalvontaelinten ja tietosuojaviranomaisten toimintaan, on muotoiltu erittäin yleisesti ehdotuksen 3 artiklassa. Perusteluissa nämä on määritelty tarkemmin. Perusteluissa viitataan ENISAn yhteyksiin lainvalvontaelimiin tietoverkkorikollisuuden osalta ja sen muihin kuin operatiivisiin tehtäviin tietoverkkorikollisuuden torjunnassa. Näitä tehtäviä ei ole kuitenkaan sisällytetty 3 artiklaan tai ne on vain mainittu erittäin yleisesti.

13.

Oikeudellisen epävarmuuden välttämiseksi ENISAn tehtävät on määriteltävä selkeästi ja yksiselitteisesti ehdotetussa asetuksessa. Kuten todettiin, tietojenkäsittelyn turvallisuus on tärkeä osa tietosuojaa. ENISAlla on yhä tärkeämpi rooli tällä alalla. Kansalaisille, toimielimille ja viranomaisille on oltava selvää, minkä tyyppisiin toimiin ENISA voi osallistua. Tämä ulottuvuus on entistä tärkeämpi, jos ENISAn laajennettuihin tehtäviin kuuluu henkilötietojen käsittely (katso jäljempänä 17–20 kohta).

14.

Ehdotuksen 3 artiklan 1 kohdan k alakohdassa todetaan, että virasto hoitaa sille unionin lainsäädännössä annettuja tehtäviä. Euroopan tietosuojavaltuutettu on huolissaan tästä avoimesta lausekkeesta, sillä se luo mahdollisen aukon, joka voi vaikuttaa säädöksen yhtenäisyyteen ja voi johtaa siihen, että tietoja käytetään muuhun kuin alkuperäiseen tarkoitukseen (”function creep”).

15.

Yksi ehdotuksen 3 artiklan 1 kohdan k alakohdassa mainituista tehtävistä sisältyy direktiiviin 2002/58/EY (10). Siinä säädetään, että komission on kuultava virastoa kaikista teknisistä täytäntöönpanosäädöksistä, jotka liittyvät tietosuojaloukkauksia koskeviin ilmoituksiin. Euroopan tietosuojavaltuutettu suosittelee, että tätä viraston tehtävää kuvataan yksityiskohtaisemmin ja samalla rajataan sen soveltamisala turvallisuuteen. Kun otetaan huomioon ENISAn mahdollinen vaikutus tämän alan politiikan laadintaan, tällä tehtävällä pitäisi olla selvempi ja merkittävämpi asema ehdotetussa asetuksessa.

16.

Lisäksi Euroopan tietosuojavaltuutettu suosittelee, että johdanto-osan 21 kappaleeseen sisällytetään viittaus direktiiviin 1999/5/EY (11), kun otetaan huomioon ehdotuksen 3 artiklan 1 kohdan c alakohdassa mainittu ENISAn erityistehtävä auttaa jäsenvaltioita ja EU:n toimielimiä ja muita elimiä keräämään, analysoimaan ja levittämään verkko- ja tietoturvaan liittyvää tietoa. Tämän pitäisi vauhdittaa ENISAn verkko- ja tietoturvallisuuden parhaiden käytäntöjen ja tekniikkojen myynninedistämistoimia, sillä se havainnollistaa paremmin mahdollista rakentavaa vuorovaikutusta viraston ja standardointilaitosten välillä.

17.

Ehdotuksessa ei määritellä, kuuluuko viraston tehtäviin henkilötietojen käsittely. Näin ollen ehdotus ei sisällä erityistä oikeusperustaa henkilötietojen käsittelylle, sellaisena kuin se on määritelty asetuksen (EY) N:o 45/2001 5 artiklassa.

18.

Joihinkin virastolle osoitettuihin tehtäviin voi kuitenkin sisältyä (ainakin jossain määrin) henkilötietojen käsittelyä. Esimerkiksi turvallisuuteen kohdistuneiden vaaratilanteiden ja tietoturvaloukkausten analysointiin tai muiden kuin operatiivisten tehtävien suorittamiseen tietoverkkorikollisuuden torjunnassa voi sisältyä henkilötietojen keruuta ja analysointia.

19.

Ehdotuksen johdanto-osan 9 kappaleessa viitataan direktiivin 2002/21/EY (12) säännöksiin, joissa todetaan, että kansallisten sääntelyviranomaisten on tarvittaessa ilmoitettava tietoturvallisuusloukkauksista virastolle. Euroopan tietosuojavaltuutettu suosittelee, että ehdotuksessa kerrotaan yksityiskohtaisemmin, mitkä ilmoitukset on lähetettävä ENISAlle ja miten ENISAn on vastattava niihin. Ehdotuksessa on myös käsiteltävä näiden ilmoitusten analysoinnista aiheutuvia (mahdollisia) henkilötietojen käsittelyyn kohdistuvia vaikutuksia.

20.

Euroopan tietosuojavaltuutettu pyytää lainsäätäjää selventämään, sisältyykö 3 artiklassa lueteltuihin ENISAn tehtäviin henkilötietojen käsittelyä ja, jos sisältyy, mihin tehtäviin.

21.

Vaikka ENISAlla on tärkeä rooli verkko- ja tietoturvallisuutta koskevissa keskusteluissa Euroopassa, ehdotuksessa ei mainita juuri mitään itse viraston turvallisuustoimenpiteistä (henkilötietojen käsittelyyn liittyvistä tai muista turvallisuustoimenpiteistä).

22.

Euroopan tietosuojavaltuutettu katsoo, että virastolla on jopa paremmat mahdollisuudet edistää tietojenkäsittelyn turvallisuutta koskevia hyviä käytäntöjä, jos virasto soveltaa itse tällaisia turvallisuustoimenpiteitä. Tämä edistää sitä, että virasto tunnustetaan ei pelkästään asiantuntemuksen keskukseksi vaan myös alan kiintopisteeksi parhaiden käytettävissä olevien tekniikoiden käytännön täytäntöönpanossa turvallisuuden alalla. Huippusuoritukseen pyrkiminen turvallisuuskäytäntöjen täytäntöönpanossa on siksi sisällytettävä asetukseen, jossa säädetään viraston työmenetelmistä. Euroopan tietosuojavaltuutettu ehdottaa näin ollen, että ehdotukseen lisätään tätä varten säännös, jossa vaaditaan esimerkiksi, että virasto soveltaa parhaita käytettävissä olevia tekniikoita, mikä tarkoittaa tehokkaimpia ja kehittyneimpiä turvallisuusmenettelyjä ja toimintamenetelmiä.

23.

Tämän lähestymistavan ansiosta virasto voi neuvoa tiettyjen tekniikoiden käytännön soveltuvuudesta tarvittavan turvallisuuden takaamiseksi. Lisäksi näiden parhaiden käytettävissä olevien tekniikoiden täytäntöönpanossa olisi asetettava etusijalle tekniikat, jotka sallivat turvallisuuden varmistamisen ja samalla minimoivat mahdollisuuksien mukaan yksityisyyteen kohdistuvia vaikutuksia. Olisi valittava tekniikoita, jotka vastaavat paremmin käsitettä ”sisäänrakennettu yksityisyyden suoja”.

24.

Vaikka omaksuttaisiinkin vähemmän kunnianhimoinen lähestymistapa, Euroopan tietosuojavaltuutettu suosittelee, että asetukseen sisällytetään vähintään seuraavat vaatimukset: i) laaja-alaisen riskinarvioinnin jälkeen laaditaan sisäinen turvallisuuspolitiikka, jossa otetaan huomioon kansainväliset standardit ja jäsenvaltioiden parhaat käytännöt, ii) nimitetään turvallisuusvastaava, joka vastaa politiikan täytäntöönpanosta ja jolla on tarvittavat resurssit ja toimivalta, iii) hyväksytään tämä politiikka jäännösriskien yksityiskohtaisen tarkastelun ja johtokunnan ehdottamien valvontatoimien jälkeen ja iv) tehdään määräaikaistarkistus ja annetaan selkeä lausunto tarkistuksen jaksotuksesta ja tavoitteista.

25.

Kuten jo todettiin, Euroopan tietosuojavaltuutettu suhtautuu myönteisesti viraston toimikauden jatkamiseen ja uskoo, että tietosuojaviranomaiset voivat suuresti hyötyä viraston olemassaolosta (ja virasto näiden viranomaisten asiantuntemuksesta). Kun otetaan huomioon turvallisuuden ja tietosuojan välinen luonnollinen ja johdonmukainen lähentyminen, viraston ja tietosuojaviranomaisten pitäisi tehdä tiivistä yhteistyötä.

26.

Johdanto-osan 24 ja 25 kappaleessa on viittaus ehdotettuun tietoverkkorikollisuutta koskevaan EU:n direktiiviin, ja niissä mainitaan, että viraston on oltava yhteydessä lainvalvontaelimiin ja tietosuojaviranomaisiin tietoverkkorikollisuuden ehkäisemiseen liittyvien tietosuojanäkökohtien osalta (13).

27.

Ehdotuksessa pitäisi myös mainita konkreettisia kanavia ja yhteistyömekanismeja, joilla i) varmistetaan viraston toiminnan johdonmukaisuus suhteessa tietosuojaviranomaisten toimintaan ja ii) mahdollistetaan viraston ja tietosuojaviranomaisten välinen tiivis yhteistyö.

28.

Johdonmukaisuuden osalta johdanto-osan 27 kappaleessa mainitaan nimenomaisesti, että viraston tehtävät eivät saa olla ristiriidassa jäsenvaltioiden tietosuojaviranomaisten tehtävien kanssa. Euroopan tietosuojavaltuutettu suhtautuu myönteisesti tähän lausumaan, mutta huomauttaa, että siinä ei viitata Euroopan tietosuojavaltuutettuun eikä 29 artiklan mukaiseen työryhmään. Euroopan tietosuojavaltuutettu suosittelee, että lainsäätäjä sisällyttää ehdotukseen vastaavanlaisen säännöksen näiden kahden toimielimen osalta. Tämä luo selkeämmän työympäristön kaikille osapuolille ja luo kehyksen yhteistyökanaville ja mekanismeille, jolloin virasto voi auttaa eri tietosuojaviranomaisia ja 29 artiklan mukaista työryhmää.

29.

Näin ollen tiiviin yhteistyön osalta Euroopan tietosuojavaltuutettu suhtautuu myönteisesti siihen, että tietosuojaviranomaisten edustajia otetaan mukaan pysyvään sidosryhmään, joka antaa virastolle neuvoja sen tehtävien suorittamisessa. Tietosuojavaltuutettu suosittelee, että ehdotuksessa mainitaan nimenomaisesti, että viraston on nimettävä kyseiset kansallisten tietosuojaviranomaisten edustajat 29 artiklan mukaisen työryhmän antaman ehdotuksen pohjalta. Olisi myös hyvä, jos ehdotukseen sisällytetään viittaus Euroopan tietosuojavaltuutetun osallistumisesta niihin kokouksiin, joissa on tarkoitus keskustella aiheista, jotka ovat merkityksellisiä Euroopan tietosuojavaltuutetun kanssa tehtävän yhteistyön kannalta. Lisäksi Euroopan tietosuojavaltuutettu suosittelee, että virasto (joka saa neuvoja pysyvältä sidosryhmältä johtokunnan suostumuksella) perustaa tilapäisiä työryhmiä eri aiheille, jotka koskevat sekä tietosuojaa että turvallisuutta, tämän tiiviin yhteistyön tueksi.

30.

Lopuksi mahdollisten väärinkäsitysten estämiseksi Euroopan tietosuojavaltuutettu suosittelee käyttämään termiä ”tietosuojaviranomaiset” ja selventämään, keitä kyseiset viranomaiset ovat, sisällyttämällä viittauksen direktiivin 95/46/EY 28 artiklaan ja asetuksen (EY) N:o 45/2001 V luvussa säädettyyn Euroopan tietosuojavaltuutettuun.

31.

Euroopan tietosuojavaltuutettu havaitsee ehdotetussa asetuksessa epäjohdonmukaisuuden sen osalta, kuka voi pyytää ENISAlta apua. Ehdotuksen johdanto-osan 7, 15, 16, 18 ja 36 kappaleesta seuraa, että ENISA voi avustaa jäsenvaltioiden elimiä ja koko unionia. Ehdotuksen 2 artiklan 1 kohdassa viitataan kuitenkin vain komissioon ja jäsenvaltioihin, kun taas 14 artiklassa todetaan, että avustamispyyntöjä voivat esittää: i) Euroopan parlamentti, ii) neuvosto, iii) komissio ja iv) jäsenvaltioiden nimittämät toimivaltaiset elimet. Unionin joitakin toimielimiä, elimiä, virastoja ja toimistoja ei mainita lainkaan.

32.

Ehdotuksen 3 artikla on yksityiskohtaisempi, ja siinä mainitaan erityyppisiä tehtäviä edunsaajan tyypin mukaan: i) kerätään ja analysoidaan tietoturvaan liittyvää tietoa (jäsenvaltioiden ja EU:n toimielinten ja elinten osalta), ii) arvioidaan verkko- ja tietoturvan tilaa Euroopassa (jäsenvaltioiden ja EU:n toimielinten osalta), iii) edistetään riskinhallinnan ja tietoturvan hyvien käytänteiden käyttöä (koko unionissa ja jäsenvaltioissa), iv) kehitetään verkko- ja tietoturvaan liittyviä havaitsemisvalmiuksia (Euroopan toimielimissä ja elimissä) ja v) tuetaan vuoropuhelua ja yhteistyötä kolmansien maiden kanssa (unionin osalta).

33.

Tietosuojavaltuutettu kehottaa lainsäätäjää korjaamaan tätä epäjohdonmukaisuutta ja yhtenäistämään edellä mainittuja säännöksiä. Tältä osin Euroopan tietosuojavaltuutettu suosittelee, että 14 artiklaa korjataan siten, että siihen sisällytetään kaikki unionin toimielimet, elimet, toimistot ja virastot ja että siinä mainitaan selvästi, minkä tyyppistä apua unionin eri tahot voivat pyytää (mikäli lainsäätäjä tekee eron näiden välillä). Vastaavasti suositellaan, että tietyt julkiset ja yksityiset tahot voivat pyytää apua virastolta, jos pyydettyyn tukeen liittyy selviä mahdollisuuksia Euroopan näkökulmasta ja se on yhdenmukainen viraston tavoitteiden kanssa.

34.

Perusteluissa vahvistetaan johtokunnan valvontarooliin liittyviä valmiuksia. Euroopan tietosuojavaltuutettu suhtautuu myönteisesti tähän vahvistettuun rooliin ja suosittelee, että tietosuojaa koskevat eri näkökohdat sisällytetään johtokunnan tehtäviin. Lisäksi Euroopan tietosuojavaltuutettu suosittelee, että asetuksessa määritellään yksiselitteisesti, kenellä on oikeus: i) vahvistaa toimenpiteet, jotta virasto voi soveltaa asetusta (EY) N:o 45/2001, mukaan lukien tietosuojasta vastaavan henkilön nimittämistä koskevat toimenpiteet, ii) hyväksyä turvallisuuspolitiikka ja myöhemmät määräaikaistarkistukset ja iii) laatia yhteistyöpöytäkirja tietosuojaviranomaisten ja lainvalvontaelinten kanssa.

35.

Euroopan tietosuojavaltuutettu ehdottaa – vaikka asetuksessa (EY) N:o 45/2001 näin jo edellytetään – että 27 artiklaan sisällytetään tietosuojasta vastaavan henkilön nimittäminen, sillä tämä on erittäin tärkeää, ja sen yhteydessä olisi viivytyksittä laadittava myös asetuksen (EY) N:o 45/2001 24 artiklan 8 kohdan mukaiset täytäntöönpanoa koskevat säännöt, jotka koskevat tietosuojasta vastaavalle henkilölle myönnettäviä valtuuksia ja tehtäviä. Konkreettisemmin 27 artiklan pitäisi kuulua seuraavasti:

36.

Mikäli henkilötietojen käsittely edellyttää erityistä oikeusperustaa, kuten edellä 17–20 kohdissa on mainittu, tällaisen käsittelyn osalta on myös määriteltävä välttämättömät ja asianmukaiset suojatoimet sekä rajoitukset ja edellytykset.

37.

Ehdotuksen kokonaisarviointi on myönteinen. Euroopan tietosuojavaltuutettu suhtautuu myönteisesti viraston toimikauden jatkamiseen ja siihen, että sen tehtäviä laajennetaan hyväksymällä tietosuojaviranomaiset ja lainvalvontaelimet täysivaltaisiksi sidosryhmiksi. Euroopan tietosuojavaltuutettu katsoo, että viraston toimikauden jatkaminen edistää Euroopan tasolla tietojärjestelmien turvatoimenpiteiden ammattimaista ja järkiperäistä hallinnointia.

38.

Euroopan tietosuojavaltuutettu suosittelee, että oikeudellisen epävarmuuden välttämiseksi ehdotusta on selkeytettävä viraston tehtävien laajentamisen osalta ja varsinkin lainvalvontaelinten ja tietosuojaviranomaisten toimintaan liittyvien tehtävien osalta. Euroopan tietosuojavaltuutettu kiinnittää huomiota mahdolliseen aukkoon, joka on syntynyt, kun ehdotukseen on sisällytetty säännös, jonka mukaan virastolle voidaan antaa uusia tehtäviä unionin lainsäädännössä ilman rajoituksia.

39.

Euroopan tietosuojavaltuutettu pyytää lainsäätäjää selventämään, sisältyykö ENISAn tehtäviin henkilötietojen käsittelyä, ja jos sisältyy, niin mihin tehtäviin.

40.

Euroopan tietosuojavaltuutettu suosittelee, että ehdotukseen sisällytetään säännöksiä viraston turvallisuuspolitiikan laatimisesta, ja siten vahvistetaan viraston roolia turvallisuuskäytäntöjen huippuosaajana ja sisäänrakennetun yksityisyyden suojan edistäjänä sisällyttämällä parhaat käytettävissä olevat tekniikat turvallisuuteen henkilötietojen suojaa koskevien oikeuksien osalta.

41.

Yhteistyökanavat tietosuojaviranomaisten, myös Euroopan tietosuojavaltuutetun ja 29 artiklan mukaisen työryhmän kanssa, on määriteltävä paremmin johdonmukaisuuden ja tiiviin yhteistyön varmistamiseksi.

42.

Euroopan tietosuojavaltuutettu pyytää lainsäätäjää ratkaisemaan joitakin 14 artiklassa olevia epäjohdonmukaisuuksia, jotka koskevat rajoituksia kelpoisuuteen esittää virastolle avustamispyyntöjä. Euroopan tietosuojavaltuutettu suosittelee erityisesti, että nämä rajoitukset poistetaan ja että kaikki unionin toimielimet, elimet, virastot ja toimistot voivat pyytää apua virastolta.

43.

Lopuksi Euroopan tietosuojavaltuutettu suosittelee, että johtokunnan laajennettuihin valmiuksiin sisällytetään joitakin konkreettisia näkökohtia, joilla voidaan lisätä varmuutta siitä, että virastossa noudatetaan hyviä käytäntöjä turvallisuuden ja tietosuojan osalta. Tietosuojavaltuutettu ehdottaa muun muassa, että ehdotukseen sisällytetään tietosuojasta vastaavan henkilön nimittäminen ja asetuksen (EY) N:o 45/2001 oikeaan soveltamiseen tähtäävien toimenpiteiden hyväksyminen.