52010DC0609

[pic] | EUROOPAN KOMISSIO |

Bryssel 4.11.2010

KOM(2010) 609 lopullinen

KOMISSION TIEDONANTO EUROOPAN PARLAMENTILLE, NEUVOSTOLLE, EUROOPAN TALOUS- JA SOSIAALIKOMITEALLE JA ALUEIDEN KOMITEALLE

Kattava lähestymistapa henkilötietojen suojaan Euroopan unionissa

KOMISSION TIEDONANTO EUROOPAN PARLAMENTILLE, NEUVOSTOLLE, EUROOPAN TALOUS- JA SOSIAALIKOMITEALLE JA ALUEIDEN KOMITEALLE

Kattava lähestymistapa henkilötietojen suojaan Euroopan unionissa

1. Henkilötietojen suojan uudet haasteet

Vuonna 1995 hyväksytty tietosuojadirektiivi[1] oli merkittävä rajapyykki henkilötietojen suojaamisen historiassa Euroopan unionissa. Direktiivissä vahvistetaan kaksi Euroopan yhdentymiskehityksen vanhinta tavoitetta, jotka ovat kumpikin yhtä tärkeitä: ensinnäkin yksilön perusoikeuksien ja vapauksien ja erityisesti tietosuojaa koskevan perusoikeuden suojelu ja toiseksi sisämarkkinoiden toteuttaminen eli tässä tapauksessa henkilötietojen vapaa liikkuvuus.

Nuo tavoitteet ovat nyt 15 vuotta myöhemmin edelleen päteviä, samoin kuin direktiivissä vahvistetut periaatteet. Tekniikan nopea kehitys ja globalisoituminen ovat kuitenkin mullistaneet meitä ympäröivän maailman ja tuoneet muassaan uusia haasteita myös henkilötietojen suojeluun.

Nykyaikaisen tekniikan avulla ihmiset voivat ennennäkemättömän helposti jakaa ja levittää tietoa käyttäytymisestään ja mieltymyksistään jopa maailmanlaajuisesti. Nettiyhteisösivustot, joilla on satoja miljoonia käyttäjiä ympäri maailmaa, ovat kenties näkyvin, mutta eivät suinkaan ainoa esimerkki tästä ilmiöstä. Ns. pilvipalvelut eli internetissä toimivat verkkopalvelut, joissa ohjelmistoja, yhteisiä resursseja ja tietoa käytetään verkon kautta etäresurssipalveluina, saattavat niin ikään aiheuttaa tietosuojaan liittyviä haasteita, koska niiden yhteydessä käyttäjät eivät välttämättä voi itse valvoa mahdollisesti arkaluonteisia tietojaan tallentaessaan niitä jonkun muun kovalevyllä sijaitsevilla ohjelmilla. Tuoreen tutkimuksen mukaan tietosuojaviranomaiset, liikemaailman järjestöt ja kuluttajaorganisaatiot ovat laajalti yhtä mieltä siitä, että yksityisyyden ja henkilötietojen suojaan liittyvät riskit ovat verkossa tapahtuvan toiminnan yhteydessä lisääntymään päin.[2]

Toisaalta henkilötietoja kerätään yhä kehittyneemmin keinoin, joita on entistä vaikeampi havaita . Esimerkiksi yritykset voivat tällaisten kehittyneiden välineiden avulla kohdentaa tarjontaansa paremmin asiakkaiden käyttäytymisen perusteella. Automaattisen tietojenkeruun mahdollistavien välineiden, kuten sähköisten matkalippujen, tietullimaksujen ja paikannuslaitteiden, lisääntyneen käytön myötä on myös helpompi määrittää ihmisten sijainti heidän käyttämänsä matkaviestinlaitteen välityksellä. Myös viranomaiset käyttävät yhä useammin henkilötietoja eri tarkoituksiin, esimerkiksi jonkin tartuntataudin mahdollisten kantajien jäljittämiseen, terrorismin ja rikollisuuden ehkäisemisen ja torjunnan tehostamiseen tai sosiaaliturvajärjestelmien hallinnointia tai verotuksen hoitamista varten sähköisen hallinnoinnin yhteydessä.

Kaikki tämä johtaa väistämättä kysymykseen, pystyykö EU:n tietosuojalainsäädäntö edelleen vastaamaan näihin haasteisiin täysimääräisesti ja tehokkaasti.

Tämän selvittämiseksi komissio käynnisti nykyisen lainsäädäntökehyksen tarkastelun. Toukokuussa 2009 pidettiin ensin korkean tason konferenssi, minkä jälkeen aloitettiin vuoden loppuun jatkunut julkinen kuuleminen.[3] Lisäksi laadittiin useita selvityksiä[4].

Tutkimustulosten perusteella direktiivin keskeiset periaatteet ovat edelleen päteviä, ja sen tekniikkaneutraali lähestymistapa olisi säilytettävä. Toisaalta havaittiin useita ongelmakohtia, joihin liittyy erityisiä haasteita. Näitä ovat muun muassa seuraavat:

- Uuden tekniikan vaikutusten huomioon ottaminen

Sekä yksityishenkilöiltä että organisaatioilta kuulemisten yhteydessä saadut vastaukset ovat vahvistaneet, että tietosuojaperiaatteiden soveltamista uusiin tekniikoihin on tarpeen selventää ja täsmentää. Näin voidaan varmistaa, että yksilön henkilötietojen suoja toteutuu riippumatta siitä, minkä tekniikan avulla tietoja käsitellään, ja että rekisterinpitäjät ovat kaikilta osin tietoisia uusien tekniikoiden vaikutuksista tietosuojaan. Tähän asiaan on tartuttu osittain sähköisen viestinnän tietosuojadirektiivillä 2002/58/EY[5], joka täsmentää ja täydentää yleistä tietosuojadirektiiviä sähköisen viestinnän alalla[6].

- Tietosuojan sisämarkkinaulottuvuuden lujittaminen

Yksi sidosryhmien ja erityisesti monikansallisten yritysten mainitsemia suurimpia huolenaiheita on se, että yhteisestä EU:n säädöskehyksestä huolimatta jäsenvaltioiden tietosuojalainsäädäntö on edelleen varsin epäyhtenäinen. Kommenteissa vaadittiin oikeusvarmuuden parantamista, hallinnollisen taakan keventämistä ja tasapuolisten toimintaedellytysten turvaamista talouden toimijoille ja muille rekisterinpitäjille.

- Globalisaation huomioon ottaminen ja kansainvälisten tiedonsiirtojen parantaminen

Useat sidosryhmät korostivat, että tietojenkäsittelyn lisääntynyt ulkoistaminen, usein EU:n ulkopuolelle, aiheuttaa monenlaisia ongelmia käsittelyyn sovellettavan lainsäädännön ja sen myötä siihen liittyvän vastuun suhteen. Monien organisaatioiden mielestä kansainvälisiä tiedonsiirtoja säätelevät nykyiset järjestelmät eivät ole täysin tyydyttäviä, vaan niitä olisi tarkistettava niin, että tiedonsiirtoja voitaisiin yksinkertaistaa ja keventää.

- Tietosuojasääntöjen täytäntöönpanon valvonnan tehostaminen institutionaalisia järjestelyjä lujittamalla

Sidosryhmät ovat laajalti yhtä mieltä siitä, että tietosuojaviranomaisten asemaa on vahvistettava, jotta tietosuojasääntöjen täytäntöönpanon valvontaa voidaan parantaa. Muutamat organisaatiot toivoivat myös tietosuojaryhmän toiminnan avoimuuden lisäämistä ( ks. 2.5 kohta jäljempänä ) ja sen tehtävien ja toimivaltuuksien selkeyttämistä.

- Tietosuojalainsäädännön johdonmukaisuuden parantaminen

Kaikki sidosryhmät korostivat kuulemisen yhteydessä, että tarvitaan kattava säädös, jota voidaan soveltaa tietojenkäsittelytoimiin kaikilla sektoreilla ja EU:n toiminta-aloilla ja joka takaa sekä yhdennetyn lähestymistavan että saumattoman, johdonmukaisen ja tehokkaan tietosuojan.[7]

Edellä kuvattujen haasteiden vuoksi EU:n on luotava kattava ja johdonmukainen lähestymistapa , joka takaa, että yksilön tietosuojaa koskevaa perusoikeutta noudatetaan täysimääräisesti sekä EU:ssa että sen ulkopuolella . Lissabonin sopimus antaa EU:lle uusia keinoja pyrkiä tähän tavoitteeseen: EU:n perusoikeuskirjasta (jonka 8 artiklassa tunnustetaan yksilön oikeus henkilötietojensa suojaan) on tullut oikeudellisesti sitova. Sen lisäksi on otettu käyttöön uusi oikeusperusta[8], jonka nojalla voidaan hyväksyä kattavaa ja johdonmukaista EU:n lainsäädäntöä yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta. Uuden oikeusperustan ansiosta EU:ssa voidaan säännellä tietosuojaa yhdellä ainoalla säädöksellä, joka kattaa myös rikosasioissa tehtävän poliisi- ja oikeudellisen yhteistyön. Yhteinen ulko- ja turvallisuuspolitiikka kuuluu vain osittain SEUT-sopimuksen 16 artiklan soveltamisalaan, koska henkilötietojen käsittelyä jäsenvaltioissa koskevat erityiset säännöt on vahvistettava eri oikeusperustan nojalla hyväksyttävällä neuvoston päätöksellä[9].

Näiden uusien lainsäädännöllisten mahdollisuuksien pohjalta komissio asettaa ensisijaiseksi tavoitteekseen varmistaa henkilötietojen suojaa koskevan perusoikeuden toteutuminen kaikkialla unionissa ja kaikilla politiikanaloilla. Samalla se pyrkii kehittämään tietosuojan sisämarkkinaulottuvuutta ja helpottamaan henkilötietojen vapaata liikkuvuutta. Tässä yhteydessä on otettava täysimääräisesti huomioon myös muut perusoikeuskirjassa vahvistetut perusoikeudet ja perussopimuksissa asetetut tavoitteet, samalla kun varmistetaan, että henkilötietojen suojaa koskeva perusoikeus toteutuu.

Tässä tiedonannossa esitetään komission lähestymistapa henkilötietojen suojaa koskevan EU:n säädöskehyksen modernisointiin kaikilla unionin toiminnan aloilla. Erityistä huomiota kiinnitetään globalisaation ja uusien tekniikoiden tuomiin haasteisiin, jotta henkilötietojen käsittelyn suojan korkea taso voidaan edelleen taata unionin toiminnan kaikilla aloilla. Tämän ansiosta EU voi pysyä korkeiden tietosuojanormien edistämisessä maailmanlaajuisesti johtavana voimana.

2. Tietosuojaa koskevan kattavan lähestymistavan keskeiset tavoitteet

2.1. Yksilön oikeuksien lujittaminen

2.1.1. Yksilöiden riittävän suojan turvaaminen kaikissa tilanteissa

EU:n nykyisten tietosuojasäädösten tarkoituksena on EU:n perusoikeuskirjan mukaisesti suojata luonnollisten henkilöiden perusoikeuksia ja erityisesti oikeutta henkilötietojen suojaan [10].

’Henkilötiedot’ on EU:n nykyisten tietosuojasäädösten keskeinen käsite, joka edellyttää rekisterinpitäjille ja tietojen käsittelijöille kuuluvien velvollisuuksien soveltamista.[11] ’Henkilötietojen’ määritelmän on tarkoitus kattaa kaikki tiedot, jotka suoraan tai epäsuorasti liittyvät tunnistettuun tai tunnistettavissa olevaan henkilöön. Sen ratkaisemiseksi, onko henkilö tunnistettavissa, olisi otettava huomioon ”kaikki keinot, joita joko rekisterinpitäjä tai muu henkilö voi kohtuuden rajoissa käyttää mainitun henkilön tunnistamiseksi”[12]. Lainsäätäjä on valinnut tarkoituksella tämän lähestymistavan, sillä sen etuna on joustavuus, jonka ansiosta sitä voidaan soveltaa monenlaisissa perusoikeuksiin vaikuttavissa tilanteissa, myös sellaisissa, joita ei ollut mahdollista ennakoida silloin kun direktiivi hyväksyttiin. Toisaalta lavea ja joustava lähestymistapa on johtanut siihen, että direktiivin täytäntöönpanoon liittyy myös paljon tapauksia, joissa ei ole aina selvää, miten olisi toimittava, onko yksilöillä oikeus tietosuojaan ja olisiko rekisterinpitäjien noudatettava direktiivissä säädettyjä velvollisuuksia[13].

Joihinkin tilanteisiin liittyy sellaisten erityistietojen käsittelyä, jotka edellyttävät lisätoimenpiteitä unionin oikeuden nojalla. Tällaisia toimia on jo olemassa eräiden tapausten varalta. Esimerkiksi tietojen tallentaminen johonkin päätelaitteeseen (esim. matkapuhelimeen) on sallittu vain asianomaisen luvalla. Asiaa saattaa olla tarpeen käsitellä EU:n tasolla esimerkiksi avainkoodattujen tietojen, maantieteellistä sijaintia koskevien tietojen sekä sellaisten tiedonlouhintatekniikoiden osalta, joiden yhteydessä voidaan yhdistää eri lähteistä saatuja tietoja, tai silloin kun on tarpeen varmistaa tietoteknisten järjestelmien luottamuksellisuus ja eheys[14].

Kaikkia edellä mainittuja seikkoja on tarkasteltava huolellisesti.

Komissio pohtii, miten voidaan varmistaa tietosuojasääntöjen johdonmukainen soveltaminen, kun otetaan huomioon uusien teknologioiden vaikutus yksilön oikeuksiin ja vapauksiin ja henkilötietojen vapaata liikkuvuutta sisämarkkinoilla koskeva tavoite .

2.1.2. Läpinäkyvyyden lisääminen rekisteröityjen kannalta

Läpinäkyvyys on perusedellytys, jonka avulla ihmiset voivat valvoa omia tietojaan ja varmistaa henkilötietojensa tehokkaan suojan. Sen vuoksi on olennaisen tärkeää, että rekisterinpitäjät ilmoittavat rekisteröidyille selkeästi ja läpinäkyvällä tavalla siitä, miten heidän tietojaan on kerätty ja käsitelty ja kenen toimesta, mitä tarkoitusta varten ja kuinka kauan, ja mitkä ovat heidän oikeutensa siinä tapauksessa, että he haluavat tutustua näihin tietoihin, oikaista niitä tai poistaa ne. Säännökset siitä, mitä tietoja rekisteröidyille on annettava[15], eivät ole kyllin kattavat.

Läpinäkyvyyden perustekijöihin kuuluvat vaatimukset, joiden mukaan tietojen on oltava helposti saatavilla ja ymmärrettäviä ja selkeästi muotoiltuja . Tämä koskee erityisesti verkkoympäristöä, missä tietosuojailmoitukset ovat usein epäselvästi muotoiltuja, vaikeasti saatavilla ja vaikeaselkoisia[16] eivätkä aina aivan voimassa olevien sääntöjen mukaisia. Näin saattaa olla esimerkiksi käyttötottumuksia seuraavan mainonnan yhteydessä, missä toimijoita on runsaasti ja missä käyttäjän on tekniikan monimutkaisuuden vuoksi vaikea tietää, kerätäänkö hänen henkilötietojaan, ja jos kerätään, niin kenen toimesta ja mitä tarkoitusta varten.

Tässä yhteydessä on pyrittävä suojaamaan erityisesti lapsia , koska he eivät välttämättä ole kovin hyvin perillä henkilötietojen käsittelyyn liittyvistä riskeistä, seurauksista, takeista ja oikeuksista.[17]

Komissio pohtii, voitaisiinko

- säädöskehykseen sisällyttää yleisperiaate, jonka mukaan henkilötietojen käsittelyn on oltava läpinäkyvää ;

- ottaa käyttöön rekisterinpitäjiin sovellettavia erityisiä velvollisuuksia , jotka koskisivat sitä, minkä tyyppisiä tietoja on annettava ja missä muodossa tiedot on annettava erityisesti silloin kun kyseessä ovat lapset ;

- rekisterinpitäjien käyttöön laatia yksi tai useampi EU:n vakiolomake ( tietosuojailmoitukset ).

Rekisteröityjen on tärkeää saada tieto myös siitä, että heidän tietonsa on vahingossa tai laittomasti tuhottu tai hukattu tai että niitä on muutettu tai että niitä on tarkastellut joku sivullinen tai että ne on paljastettu sivullisille. Kun sähköisen viestinnän tietosuojadirektiiviä hiljattain tarkistettiin, siihen lisättiin velvollisuus ilmoittaa henkilötietojen suojaa koskevista loukkauksista . Velvoite koskee kuitenkin vain televiestintäalaa. Koska tietosuojaloukkauksia esiintyy myös muilla aloilla (esimerkiksi rahoitusalalla), komissio tutkii, voitaisiinko velvollisuus ilmoittaa henkilötietojen suojaa koskevista loukkauksista ottaa käyttöön myös muilla aloilla. Komissio esitti tämänsuuntaisen julistuksen Euroopan parlamentissa jo vuonna 2009 sähköisen viestinnän sääntelykehyksen kokonaistarkastelun yhteydessä.[18] Tarkastelu ei vaikuta sähköisen viestinnän tietosuojadirektiivin säännöksiin, jotka jäsenvaltioiden on saatettava osaksi kansallista lainsäädäntöä 25. toukokuuta 2011 mennessä[19]. On varmistettava, että tähän seikkaan puututaan johdonmukaisella tavalla.

Komissio aikoo

- tutkia, voitaisiinko yleisessä säädöskehyksessä ottaa käyttöön henkilötietosuojan loukkausta koskeva yleinen ilmoitusvelvollisuus , jota varten määriteltäisiin, kenelle tällainen ilmoitus olisi osoitettava ja millä perusteella ilmoitusvelvollisuus syntyisi.

2.1.3. Omien tietojen valvonnan parantaminen

Kaksi tärkeää edellytystä, joiden avulla voidaan varmistaa yksilöiden korkea tietosuoja, on rekisterinpitäjän suorittaman tietojenkäsittelyn rajoittaminen vain alkuperäiseen tarkoitukseen (periaate, jonka mukaan tietoja on kerättävä mahdollisimman vähän) ja rekisteröityjen mahdollisuus valvoa omia tietojaan . Perusoikeuskirjan 8 artiklan 2 kohdan mukaan ”jokaisella on oikeus tutustua niihin tietoihin, joita hänestä on kerätty, ja saada ne oikaistuksi.” Rekisteröityjen olisi aina voitava tutustua omiin tietoihinsa ja tehdä niihin korjauksia tai tuhota tai suojata ne tietokannassa, ellei tähän ole laissa säädettyä perusteltua estettä. Nämä oikeudet sisältyvät jo nykyiseen säädöskehykseen. Niiden käyttöä koskevia sääntöjä ei kuitenkaan ole yhtenäistetty, minkä vuoksi oikeuksien harjoittaminen on toisissa jäsenvaltioissa helpompaa kuin toisissa. Erityisen haasteellista se on verkkoympäristössä, missä tietoja usein kerätään ilmoittamatta siitä asianomaiselle ja/tai ilman hänen suostumustaan.

Erityistä huomiota on tässä yhteydessä kiinnitettävä nettiyhteisöihin, koska käyttäjien mahdollisuuteen valvoa henkilötietojensa käyttöä niiden yhteydessä liittyy merkittäviä haasteita. Komissio on saanut useita kyselyjä käyttäjiltä, jotka eivät ole saaneet verkkopalvelujen tarjoajilta takaisin henkilötietojaan, esimerkiksi valokuviaan. Heitä on siis estetty käyttämästä oikeuttaan tutustua tietoihinsa ja oikaista niitä tai poistaa ne.

Näitä oikeuksia olisikin täsmennettävä ja selvennettävä ja mahdollisesti vahvistettava.

Tätä varten komissio aikoo selvittää, miten voitaisiin

- vahvistaa periaatetta, jonka mukaan tietoja on kerättävä mahdollisimman vähän ;

- parantaa rekisteröityjen mahdollisuuksia käyttää oikeuttaan tutustua tietoihin, oikaista niitä ja poistaa tai suojata ne tietokannassa (esimerkiksi asettamalla määräaika rekisteröidyn pyyntöön vastaamiselle, antamalla mahdollisuus käyttää näitä oikeuksia sähköisesti tai säätämällä periaatteesta, jonka mukaan oikeutta tutustua tietoihin on voitava käyttää maksutta);

- selkeyttää ns. oikeutta tulla unohdetuksi , eli rekisteröityjen oikeutta siihen, että heidän tietonsa tuhotaan eikä niitä käsitellä enää sen jälkeen kun niitä ei tarvita laissa määrättyyn tarkoitukseen. Tämä tarkoittaa esimerkiksi tilannetta, jossa käsittely on perustunut asianomaisen suostumukseen, jonka hän on sittemmin peruuttanut, tai jossa tietojen sallittu säilytysaika on päättynyt;

- täydentää rekisteröityjen oikeuksia varmistamalla tietojen siirrettävyys eli säätämällä rekisteröidyn nimenomaisesta oikeudesta poistaa omat tietonsa (esim. valokuvat tai ystäväluettelot) sovelluksesta tai palvelusta ja siirtää ne toiseen sovellukseen tai palveluun, sikäli kuin se on teknisesti mahdollista, rekisterinpitäjien estämättä.

2.1.4. Valveuttaminen

Vaikka läpinäkyvyys on olennaisen tärkeää, on myös tarpeen saada suuri yleisö ja erityisesti nuoret tiedostamaan paremmin henkilötietojen käsittelyyn liittyvät riskit ja omat oikeutensa. Vuonna 2008 tehdyn Eurobarometri-kyselyn mukaan enemmistö EU:n jäsenvaltioiden asukkaista katsoi, että henkilötietojen suojan tuntemus oli heidän maassaan heikko[20]. Eri toimijoiden, kuten jäsenvaltioiden viranomaisten ja erityisesti tietosuojaviranomaisten ja oppilaitosten sekä rekisterinpitäjien ja kansalaisyhteiskunnan järjestöjen olisikin pyrittävä parantamaan näiden seikkojen tuntemusta. Lainsäädäntötoimien lisäksi olisi toteutettava tiedotuskampanjoita sekä painetussa että sähköisessä mediassa ja annettava verkkosivustoilla selkeää tietoa rekisteröityjen oikeuksista ja rekisterinpitäjien velvollisuuksista.

Komissio aikoo selvittää

- mahdollisuuksia myöntää unionin talousarviosta yhteisrahoitusta tietosuojaa koskeviin tiedotustoimiin ;

- tarvetta ja mahdollisuuksia sisällyttää säädöskehykseen velvollisuus toteuttaa tiedotustoimia tällä alalla.

2.1.5. Tietoon perustuva vapaaehtoinen suostumus

Silloin kun henkilötietojen käsittelyyn tarvitaan asianomaisen tietoinen suostumus, sillä tarkoitetaan nykyisten sääntöjen mukaan rekisteröidyn ”vapaaehtoista, yksilöityä ja tietoista tahdon ilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn”[21]. Näitä edellytyksiä tulkitaan kuitenkin eri jäsenvaltioissa eri tavoin: toisissa vaaditaan yleisesti kirjallinen suostumus, toisissa voidaan hyväksyä myös implisiittinen suostumus.

Lisäksi rekisteröityjen on usein vaikeampi tiedostaa oikeuksiaan verkkoympäristössä ja antaa tietoinen suostumuksensa, koska tietosuojaperiaatteet ovat hämäriä. Asiaa hankaloittaa vielä se, että joissain tapauksissa ei ole selvää edes se, missä muodossa ”vapaaehtoinen, yksilöity ja tietoinen tahdon ilmaisu”, jolla rekisteröity hyväksyy tietojensa käsittelyn, voidaan katsoa annetuksi; esimerkiksi käyttötottumuksia seuraavan mainonnan yhteydessä internet-selaimen asetuksia voidaan joskus pitää riittävänä käyttäjän suostumuksen ilmaisuna, ei kuitenkaan aina.

Rekisteröidyn suostumuksen edellytyksiä olisi siis selkeytettävä, jotta voidaan varmistaa, että kyseessä on aina tietoinen suostumus ja että asianomainen on täysin tietoinen sekä siitä, että hän antaa suostumuksensa, että siitä, mihin tietojenkäsittelyyn se liittyy, kuten EU:n perusoikeuskirjan 8 artiklassa vaaditaan. Käsitteiden selkeyttäminen voi edistää myös itsesääntelyaloitteiden laatimista EU:n oikeuden mukaisten käytännön ratkaisujen kehittämiseksi.

Komissio selvittää, miten suostumuksen antamista koskevia sääntöjä voidaan selkeyttää ja lujittaa .

2.1.6. Arkaluonteisten tietojen suojaaminen

Jo nyt on pääsääntöisesti kielletty arkaluonteisten eli sellaisten henkilötietojen käsittely, joista ilmenee rotu tai etninen alkuperä, poliittinen mielipide, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys tai jotka koskevat terveyttä tai seksuaalista käyttäytymistä. Tästä säännöstä on rajoitettuja poikkeuksia, joiden soveltamista säännellään tietyin edellytyksin ja takein[22]. Teknisen ja yhteiskunnallisen kehityksen myötä arkaluonteisten tietojen käsittelyä koskevia säännöksiä on kuitenkin tarkasteltava uudelleen. Erityisesti on tutkittava, olisiko määritelmän piiriin otettava uusia tietoluokkia ja olisiko niiden käsittelyn edellytyksiä selkeytettävä edelleen. Tämä koskee esimerkiksi geneettisiä tietoja, joita ei nykyisellään erikseen mainita arkaluonteisten tietojen luokassa.

Komissio pohtii,

- olisiko arkaluonteisiin tietoihin sisällytettävä uusia tietoluokkia, esimerkiksi geneettiset tiedot ;

- voitaisiinko arkaluonteisten tietojen käsittelyn sallimista koskevia edellytyksiä edelleen selkeyttää ja yhtenäistää .

2.1.7. Oikeussuojakeinojen ja seuraamusten tehostaminen

Jotta voidaan varmistaa, että tietosuojasääntöjä noudatetaan, on erittäin tärkeää, että käytössä on tehokkaat säännökset sovellettavista oikeussuojakeinoista ja seuraamuksista . Tietosuojaloukkaukset eivät useinkaan koske vain yhtä rekisteröityä, vaan huomattavan monia samassa tilanteessa olevia henkilöitä.

Tämän vuoksi komissio

- pohtii, voitaisiinko kanneoikeus kansallisessa tuomioistuimessa ulottaa tietosuojaviranomaisiin ja kansalaisyhteiskunnan järjestöihin sekä muihin rekisteröityjen oikeuksia edustaviin järjestöihin ;

- arvioi tarvetta vahvistaa seuraamuksia koskevia voimassa olevia säännöksiä , esimerkiksi sisällyttämällä niihin nimenomaisesti rikosoikeudelliset seuraamukset silloin kun kyseessä on vakava tietosuojaloukkaus.

2.2. Sisämarkkinaulottuvuuden lujittaminen

2.2.1. Oikeusvarmuuden lisääminen ja rekisterinpitäjien tasapuolisten toimintaedellytysten turvaaminen

EU:n tietosuojaan liittyy vahva sisämarkkinaulottuvuus . Tämä tarkoittaa sitä, että on tärkeää varmistaa henkilötietojen vapaa liikkuvuus jäsenvaltioissa sisämarkkinoiden puitteissa. Näiden kansallisten lainsäädäntöjen yhdenmukaistaminen ei siis jää pelkästään vähimmäistasolle, vaan johtaa yhdenmukaistamiseen, joka on lähtökohtaisesti täydellinen[23].

Toisaalta direktiivi antaa jäsenvaltioille toimintamarginaalin tietyillä alueilla ja sallii niiden pitää voimassa tai ottaa käyttöön erityisiä järjestelmiä erityisten tilanteiden varalta[24]. Tämä ja se, että eräät jäsenvaltiot ovat saattaneet direktiivin osaksi kansallista lainsäädäntöään virheellisesti, on johtanut direktiivin kansallisten täytäntöönpanosäännösten eroavuuksiin, jotka ovat ristiriidassa direktiivin erään päätavoitteen eli sen kanssa, että olisi varmistettava henkilötietojen vapaa liikkuvuus sisämarkkinoilla . Tilanne koskee useita aloja ja eri yhteyksiä, esimerkiksi henkilötietojen käsittelyä työllisyyttä tai kansanterveyttä koskevissa asioissa. Yhtenäisyyden puute onkin yksi yksityissektorin sidosryhmien ja erityisesti talouden toimijoiden mainitsemista toistuvista ja suurimmista ongelmista, koska se lisää niiden kustannuksia ja hallinnollista taakkaa. Tämä koskee erityisesti useisiin jäsenvaltioihin asettautuneita rekisterinpitäjiä, joiden on noudatettava jokaisen maan vaatimuksia ja käytänteitä erikseen. Se, että jäsenvaltiot ovat panneet direktiivin täytäntöön eri tavoin, aiheuttaa myös oikeudellista epävarmuutta paitsi rekisterinpitäjille myös rekisteröidyille. Tämä taas saattaa aiheuttaa riskin siitä, että tietosuojan yhdenmukainen taso vääristyy, vaikka tämän tason toteuttaminen ja varmistaminen oli nimenomaan direktiivin tarkoitus.

Komissio tutkii keinoja parantaa tietosuojasääntöjen yhtenäisyyttä EU:n tasolla .

2.2.2. Hallinnollisen taakan keventäminen

Tasapuolisten toimintaedellytysten luominen vähentää tarvetta täyttää monenlaisia kansallisia vaatimuksia, ja tämä taas keventäisi huomattavasti rekisterinpitäjien hallinnollista taakkaa. Rekisterinpitäjien hallinnollista taakkaa ja kustannuksia voitaisiin vähentää myös tarkistamalla ja yksinkertaistamalla nykyistä ilmoitusjärjestelmää [25]. Rekisterinpitäjät ovat yleisesti yhtä mieltä siitä, että nykyinen yleinen velvollisuus ilmoittaa kaikista tietojenkäsittelytoimista tietosuojaviranomaisille on varsin raskas eikä sinänsä tuo henkilötietojen suojaan mitään todellista lisäarvoa rekisteröityjen kannalta. Tämä on myös yksi niistä tilanteista, joissa direktiivi jättää jäsenvaltioille tietyn liikkumavaran, sillä ne voivat itse päättää mahdollisista vapautuksista ja yksinkertaistuksista sekä noudatettavista menettelyistä.

Yhtenäinen ja yksinkertaistettu järjestelmä vähentäisi etenkin useissa jäsenvaltioissa toimivien monikansallisten yritysten kustannuksia ja hallinnollista taakkaa.

Komissio tutkii mahdollisuuksia yksinkertaistaa ja yhtenäistää nykyistä ilmoitusjärjestelmää . Yksi vaihtoehto voisi olla koko EU:ssa käytettävän yhdenmukaisen rekisteröintilomakkeen käyttöönotto.

2.2.3. Sovellettavaa lakia ja jäsenvaltioiden vastuuta koskevien sääntöjen selkeyttäminen

Komissio korosti jo vuonna 2003 laaditussa ensimmäisessä tietosuojadirektiivin täytäntöönpanoa koskevassa kertomuksessa[26], että sovellettavaa lakia koskevien säännösten[27] ”soveltaminen aiheuttaa useissa tapauksissa vaikeuksia siinä mielessä, että juuri sellaisia lainvalintaan liittyviä ongelmia saattaa ilmaantua, joita tällä artiklalla yritetään välttää”. Tilanne ei ole sittemmin parantunut, minkä vuoksi rekisterinpitäjille ja tietosuojaviranomaisille ei ole useita jäsenvaltioita koskevissa tilanteissa aina selvää, mikä jäsenvaltio on vastuussa ja mitä lakia sovelletaan. Näin on etenkin silloin kun rekisterinpitäjää koskevat eri jäsenvaltioissa eri vaatimukset, tai kun monikansallinen yritys on sijoittautunut useampaan kuin yhteen jäsenvaltioon tai kun rekisterinpitäjä ei ole sijoittautunut EU:hun, mutta tarjoaa palvelujaan EU:ssa asuville.

Monimutkaisuutta lisäävät myös globalisoituminen ja tekniikan kehitys : yhä useammat rekisterinpitäjät toimivat useassa jäsenvaltiossa ja usealla lainkäyttöalueella ja tarjoavat palveluja ja tukea ympäri vuorokauden. Internetin ansiosta Euroopan talousalueen (ETA)[28] ulkopuolelle asettautuneiden rekisterinpitäjien on entistä helpompi tarjota palvelujaan etäältä ja käsitellä henkilötietoja verkkoympäristössä. Usein on vaikea määritellä, missä henkilötiedot ja niiden käsittelyyn käytettävät laitteistot varsinaisesti sijaitsevat tiettynä ajankohtana (esim. kun sovelluksia ja palveluja käytetään pilvipalvelujen välityksellä).

Komissio katsoo kuitenkin, että se, että henkilötietoja käsittelee kolmanteen maahan asettautunut rekisterinpitäjä, ei saa riistää rekisteröidyiltä suojaa, johon he ovat oikeutettuja EU:n perusoikeuskirjan ja EU:n tietosuojalainsäädännön nojalla.

Komissio tutkii, miten sovellettavaa lakia koskevia säännöksiä voitaisiin tarkistaa ja selkeyttää . Tämä koskee mm. nykyisiä määrittelykriteerejä. Tavoitteena on parantaa oikeusvarmuutta, selkeyttää tietosuojasääntöjen soveltamista koskevaa jäsenvaltioiden vastuuta ja viime kädessä antaa kaikille EU:n rekisteröidyille samantasoinen suoja rekisterinpitäjän maantieteellisestä sijainnista riippumatta.

2.2.4. Rekisterinpitäjän vastuun tehostaminen

Hallinnon yksinkertaistamisen ei pitäisi johtaa siihen, että rekisterinpitäjien vastuuta tietosuojan toteutumisesta kaiken kaikkiaan vähennetään . Komissio on päinvastoin sitä mieltä, että rekisterinpitäjien velvollisuudet olisi määriteltävä säädöskehyksessä selkeämmin, myös suhteessa sisäisiin valvontamekanismeihin ja yhteistyöhön tietosuojaviranomaisten kanssa. Lisäksi olisi varmistettava, että vastuu koskee myös niitä rekisterinpitäjiä, joihin sovelletaan luottamuksellista tietoa koskevaa salassapitovelvollisuutta (esim. lakimiehet), ja niitä yhä yleisempiä tapauksia, joissa rekisterinpitäjä delegoi tietojenkäsittelyn muille yksiköille (esim. käsittelijät).

Komissio aikookin selvittää, miten voitaisiin varmistaa, että rekisterinpitäjät ottavat käyttöön tehokkaat menettelyt ja mekanismit, joiden avulla varmistetaan tietosuojasääntöjen noudattaminen . Tätä varten se ottaa huomioon parhaillaan käytävän keskustelun tilivelvollisuuden periaatteen ( accountability ) mahdollisesta käyttöönotosta[29]. Tarkoituksena ei ole lisätä rekisterinpitäjien hallinnollista taakkaa, vaan toimenpiteillä pyrittäisiin ennemminkin luomaan takeita ja mekanismeja, jotka tehostaisivat tietosuojasääntöjen noudattamista ja samalla vähentäisivät ja yksinkertaistaisivat eräitä hallinnollisia muodollisuuksia kuten ilmoituksia ( ks. 2.2.2 kohta edellä ).

Tätä varten voisi olla hyödyllistä edistää yksityisyyden suojaa parantavien tekniikkojen käyttöä, kuten asiaa koskevassa vuoden 2007 tiedonannossa jo todettiinkin, ja sisäänrakennetun yksityisyyden suojan periaatetta, myös tietoturvan varmistamiseksi.[30]

Komissio tutkii seuraavia seikkoja rekisterinpitäjien vastuun tehostamiseksi:

- tehdään riippumattoman tietosuojavastaavan nimittäminen pakolliseksi ja yhtenäistetään heidän tehtäviään ja toimivaltaansa koskevat säännöt[31]; lisäksi olisi pohdittava, mikä olisi tietosuojavastaavan nimittämiselle sopiva kynnysarvo, jotta voidaan välttää tarpeettoman hallinnollisen taakan aiheuttaminen erityisesti pien- ja mikroyrityksille;

- velvoitetaan säädöskehyksessä rekisterinpitäjät suorittamaan tietosuojaa koskeva vaikutustenarviointi erityistapauksissa, esimerkiksi kun käsitellään arkaluonteisia tietoja tai kun tietyntyyppiseen käsittelyyn muutoin liittyy erityisiä riskejä, etenkin käytettäessä tiettyjä tekniikoita, mekanismeja tai menettelyjä, esimerkiksi profilointia tai videovalvontaa;

- edistetään edelleen yksityisyyden suojaa parantavien tekniikkojen käyttöä ja mahdollisuuksia sisäänrakennetun yksityisyyden suojan periaatteen toteuttamiseen käytännössä.

2.2.5. Itsesääntelyaloitteiden tukeminen ja EU:n sertifiointijärjestelmien tutkiminen

Komissio on edelleen sitä mieltä, että rekisterinpitäjien itsesääntelyaloitteet voivat osaltaan edistää tietosuojasääntöjen noudattamisen valvontaa . Nykyiseen tietosuojadirektiiviin sisältyviä itsesääntelyä koskevia säännöksiä, eli käytännesääntöjen laatimisen edellytyksiä[32], on tähän mennessä sovellettu harvoin, eivätkä ne ole yksityissektorin sidosryhmien mukaan tyydyttäviä.

Komissio myös selvittää, olisiko mahdollista ottaa käyttöön EU:n sertifiointijärjestelmiä (esim. yksityisyyden suojaa koskeva tunnus) , joka myönnettäisiin yksityisyydensuojaa koskevat vaatimukset täyttäville prosesseille, tekniikoille, tuotteille ja palveluille[33]. Sen lisäksi, että rekisteröidyt saisivat tällä tavoin tietoja näiden tekniikoiden, tuotteiden ja palvelujen käyttäjinä, merkinnästä olisi hyötyä myös rekisterinpitäjien vastuun määrittämisessä: käyttämällä sertifioituja tekniikkoja, tuotteita ja palveluja rekisterinpitäjä voisi helpommin osoittaa noudattaneensa velvollisuuksiaan ( ks. 2.2.4 kohta edellä ). Olisi tietenkin ensiarvoisen tärkeää varmistaa tällaisten yksityisyyden suojaa koskevien tunnusten luotettavuus ja selvittää, miten ne soveltuvat yhteen lakisääteisten velvoitteiden ja kansainvälisten teknisten normien kanssa.

Komissio aikoo

- tutkia keinoja tukea itsesääntelyaloitteiden tekemistä , muun muassa käytännesääntöjen aktiivista edistämistä.

- selvittää mahdollisuuksia toteuttaa EU:n sertifiointijärjestelmiä yksityisyyden suojan ja tietosuojan alalla.

2.3. Rikosasioissa tehtävää poliisi- ja oikeudellista yhteistyötä koskevien tietosuojasääntöjen tarkistaminen

Tietosuojadirektiiviä sovelletaan kaikkeen jäsenvaltioissa sekä julkisella että yksityisellä sektorilla tapahtuvaan henkilötietojen käsittelyyn. Sen sijaan sitä ei sovelleta ”henkilötietojen käsittelyyn, joka suoritetaan sellaisessa toiminnassa, joka ei kuulu yhteisön oikeuden soveltamisalaan”, kuten rikosasioissa tehtävä poliisi- ja oikeudellinen yhteistyö.[34] Lissabonin sopimuksen voimaantulon myötä EU:n aiemmasta pilarirakenteesta on kuitenkin luovuttu ja käyttöön on otettu uusi kattava oikeusperusta, joka takaa henkilötietojen suojan unionin kaikilla toiminta-aloilla.[35] Tätä taustaa vasten ja EU:n perusoikeuskirjan mukaisesti komissio korosti Tukholman ohjelmaa ja sen toteuttamista koskevissa tiedonannoissa[36], että tarvitaan ”kattava suojajärjestelmä”, jonka avulla voidaan varmistaa, että ”EU:ssa omaksutaan tiukempi asenne henkilötietojen suojaamiseen kaikilla politiikanaloilla, lainvalvonta ja rikoksentorjunta mukaan luettuina”.

Rikosasioissa tehtävän poliisi- ja oikeudellisen yhteistyön alalla henkilötietojen suojaan sovellettava EU:n säädös on puitepäätös 2008/977/YOS [37]. Puitepäätös on merkittävä askel eteenpäin tällä alalla, missä yhteisiä tietosuojanormeja tarvitaan kipeästi. Sen ohella tarvitaan kuitenkin lisätoimia.

Puitepäätöstä sovelletaan ainoastaan rajat ylittävään henkilötietojen vaihtoon EU:n alueella , eli ei jäsenvaltioiden sisällä tapahtuvaan tietojenkäsittelyyn. Käytännössä tätä eroa on vaikea ottaa huomioon, ja se voi hankaloittaa puitepäätöksen täytäntöönpanoa ja soveltamista.[38]

Lisäksi puitepäätökseen sisältyvä poikkeus tietojen käsittelytarkoituksen rajoittamisperiaatteesta on liian väljä . Puitepäätöksessä ei myöskään ole säännöksiä siitä, että eri tietoluokat olisi erotettava toisistaan niiden tarkkuuden ja luotettavuuden perusteella ja että tosiseikkoihin perustuvat tiedot olisi erotettava mielipiteisiin ja subjektiivisiin arvioihin perustuvista tiedoista[39]. Lisäksi rekisteröidyt olisi jaoteltava eri ryhmiin (rikolliset, epäillyt, uhrit, todistajat jne.), ja muita kuin epäiltyjä koskevien tietojen osalta olisi annettava erityiset takeet[40].

Puitepäätös ei myöskään korvaa erilaisia EU:n tasolla hyväksyttyjä, rikosasioissa tehtävää poliisi- ja oikeudellista yhteistyötä koskevia alakohtaisia säädöksiä [41], joista mainittakoon erityisesti Europolin, Eurojustin, Schengenin tietojärjestelmän (SIS) ja tullitietojärjestelmän (TTJ) toimintaa säätelevät säädökset[42]. Niissä joko säädetään erityisistä tietosuojajärjestelyistä ja/tai viitataan Euroopan neuvoston tietosuoja-asiakirjoihin. Poliisi- ja oikeudellisen yhteistyöhön liittyvän toiminnan osalta kaikki jäsenvaltiot ovat allekirjoittaneet Euroopan neuvoston suosituksen N:o R (87) 15, jossa vahvistetaan yleissopimuksen N:o 108 periaatteiden soveltaminen poliisiyhteistyössä. Suositus ei kuitenkaan ole velvoittava säädös.

Tilanne saattaa vaikuttaa suoraan rekisteröityjen mahdollisuuksiin käyttää tietosuojaoikeuksiaan tällä alalla (esim. sen selvittämiseksi, mitä heidän henkilötietojaan käsitellään ja vaihdetaan, kenen toimesta ja mitä tarkoitusta varten, ja kuinka he voivat käyttää oikeuksiaan, mm. oikeutta tutustua tietoihinsa).

Jotta voidaan luoda kattava ja johdonmukainen tietosuojajärjestelmä, jota sovellettaisiin sekä EU:ssa että suhteessa kolmansiin maihin, on harkittava rikosasioissa tehtävää poliisi- ja oikeudellista yhteistyötä koskevien nykyisten tietosuojasäännösten tarkistamista . Komissio korostaa, että kattavan tietosuojajärjestelmän käsite ei sulje pois mahdollisuutta antaa yleisen kehyksen puitteissa poliisi- ja oikeudellista yhteistyötä varten tietosuojaa koskevat erityissäännöt, joissa otetaan asianmukaisella tavalla huomioon tämän alan erityisluonne, kuten Lissabonin sopimukseen liitetyssä julistuksessa nro 21 todetaan. Tätä varten on esimerkiksi pohdittava, missä määrin tiettyjen rekisteröidyn tietosuojaoikeuksien käyttö voisi jossakin tietyssä tapauksessa vaarantaa rikoksen ehkäisemisen, tutkinnan, paljastamisen tai syytteeseenpanon tai rikosoikeudellisten seuraamusten täytäntöönpanon.

Komissio aikoo erityisesti

- harkita yleisten tietosuojasäännösten soveltamisen laajentamista rikosasioissa tehtävän poliisi- ja oikeudellisen yhteistyön alalle , jäsenvaltioiden sisäinen tietojenkäsittely mukaan lukien, ja tarvittaessa eräiden tietosuojaoikeuksien (mm. tiedonsaantioikeus, avoimuusperiaate) käyttöä koskevien yhdenmukaisten rajoitusten käyttöönottoa;

- tarkastella tarvetta ottaa käyttöön uuden yleisen tietosuojakehyksen puitteissa erityiset yhtenäiset säännöt , jotka koskisivat esimerkiksi rikosoikeuden tarpeita varten suoritettavaan geneettisten tietojen käsittelyyn liittyviä tietosuojavaatimuksia tai rekisteröityjen eri ryhmien erittelyä (todistajat, epäillyt jne.) rikosasioissa tehtävän poliisi- ja oikeudellisen yhteistyön alalla;

- käynnistää vuonna 2011 kaikkien sidosryhmien kuulemisen , jonka tavoitteena on selvittää paras tapa tarkistaa nykyisiä valvontajärjestelmiä rikosasioissa tehtävän poliisi- ja oikeudellisen yhteistyön alalla , jotta voidaan varmistaa tehokas ja johdonmukainen tietosuojan valvonta kaikkien unionin toimielinten, elinten ja laitosten toiminnan yhteydessä;

- arvioida tarvetta yhdenmukaistaa pitkällä aikavälillä EU:n tasolla annettuja, eri säädöksiin sisältyviä alakohtaisia erityissääntöjä, jotka koskevat rikosasioissa tehtävää poliisi- ja oikeudellista yhteistyötä , uuden tietosuojaa koskevan yleisen säädöskehyksen kanssa.

2.4. Tietosuojan globaali ulottuvuus

2.4.1. Kansainvälisiä tiedonsiirtoja koskevien sääntöjen selkeyttäminen ja yksinkertaistaminen

Yksi keino sallia henkilötietojen siirtäminen EU:n ja ETA-alueen ulkopuolelle on ns. tietosuojan tason riittävyyden arviointi . Tätä nykyä kolmannen maan tarjoaman tietosuojan riittävyyden EU:n kannalta voi arvioida joko komissio tai jäsenvaltiot.

Jos komissio toteaa tietosuojan tason riittäväksi, kyseiseen kolmanteen maahan voidaan siirtää henkilötietoja kaikista EU:n 27 jäsenvaltiosta ja kolmesta ETA-maasta vapaasti ilman muita turvatakeita. Tietosuojadirektiivissä ei kuitenkaan määritellä riittävän yksityiskohtaisesti vaatimuksia, joiden mukaisesti komissio voi todeta tietosuojan tason riittäväksi. Puitepäätöksessä ei myöskään säädetä tällaisesta komission tekemästä päätöksestä.

Joissain jäsenvaltioissa tietosuojan riittävyyttä arvioi ensisijaisesti se rekisterinpitäjä, joka siirtää henkilötietoja kolmanteen maahan. Toisinaan tämä tehdään vasta tietosuojaviranomaisen jälkikäteistarkastuksen yhteydessä. Tämän vuoksi kolmansien maiden tai kansainvälisten organisaatioiden tietosuojan riittävyyden arviointiin saatetaan suhtautua eri tavoin, mikä aiheuttaa riskin siitä, että rekisteröityjen tietosuojan tasoa jossakin kolmannessa maassa arvioidaan eri jäsenvaltioissa eri tavoin . Voimassa olevissa säädöksissä ei myöskään ole yksityiskohtaisia ja yhdenmukaisia vaatimuksia siitä, millaisia tiedonsiirtoja voidaan pitää lainmukaisina. Tämän vuoksi asiaa koskevat käytännöt vaihtelevat jäsenvaltiosta toiseen.

Lisäksi on todettava, että kun tietoja siirretään sellaisiin kolmansiin maihin, joissa tietosuojan taso ei ole riittävä, komission nykyisiä vakiolausekkeita henkilötietojen siirrosta rekisterinpitäjille[43] ja tietojenkäsittelijöille[44] ei ole tarkoitettu sovellettavaksi sopimuksenulkoisissa tilanteissa, minkä vuoksi niitä ei voida käyttää esimerkiksi viranomaisten välisten tiedonsiirtojen yhteydessä.

Myös EU:n tai sen jäsenvaltioiden tekemiin kansainvälisiin sopimuksiin on usein sisällytettävä tietosuojaperiaatteita ja tietosuojaa koskevia erityismääräyksiä. Tämä saattaa johtaa siihen, että tekstit ovat keskenään erilaisia ja niissä vahvistetut määräykset ja oikeudet keskenään epäyhteneviä, jolloin niitä myös tulkitaan eri tavoin, mikä ei ole rekisteröityjen edun mukaista. Komissio onkin ilmoittanut laativansa henkilötietojen suojaa koskevat keskeiset määräykset EU:n ja kolmansien maiden välillä lainvalvontatarkoituksissa tehtäviä sopimuksia varten.[45]

Muut keinot, joita on kehitetty itsesääntelyn pohjalta, kuten yritysten sisäiset käytännesäännöt eli yrityksiä koskevat sitovat säännöt[46], voivat niin ikään olla hyödyllinen väline siirtää henkilötietoja laillisesti samaan konserniin kuuluvien yritysten välillä. Sidosryhmät ovat kuitenkin ehdottaneet, että tätä mekanismia kehitettäisiin edelleen ja sen täytäntöönpanoa helpotettaisiin.

Edellä mainittujen ongelmien ratkaisemiseksi onkin olemassa yleinen tarve parantaa nykyisiä mekanismeja, jotka mahdollistavat henkilötietojen kansainväliset siirrot . Samalla on varmistettava, että henkilötiedot on suojattu asianmukaisella tavalla, kun niitä siirretään EU:n ja ETA-alueen ulkopuolelle ja käsitellään siellä.

Komissio aikoo selvittää, kuinka voidaan

- parantaa ja sujuvoittaa nykyisiä menettelyjä , jotka koskevat kansainvälisiä tiedonsiirtoja, oikeudellisesti sitovat välineet ja yrityksiä sitovat säännöt mukaan lukien, niin että voidaan varmistaa yhtenäisempi ja johdonmukaisempi EU:n lähestymistapa kolmansiin maihin ja kansainvälisiin organisaatioihin;

- selkeyttää menettelyä, jonka mukaan komissio arvioi tietosuojan riittävyyttä kolmansissa maissa tai kansainvälisissä organisaatioissa, ja täsmentää sen yhteydessä sovellettavat kriteerit ja vaatimukset;

- määrittää EU:n tietosuojaa koskevat keskeiset määräykset , joita voitaisiin käyttää kaikentyyppisissä kansainvälisissä sopimuksissa.

2.4.2. Yleisten periaatteiden edistäminen

Koska henkilötietojen käsittely on maailmanlaajuista toimintaa, on kehitettävä yleiset periaatteet yksilöiden henkilötietojen suojelemiseksi niiden käsittelyn yhteydessä.

EU:n tietosuojasäädöskehystä on usein käytetty mallina kolmansissa maissa tietosuojasäännöstön kehittämistä varten . EU:n tietosuojasäännöstön tehokkuus ja vaikutukset sekä unionin sisällä että sen ulkopuolella ovat siten olleet erittäin merkityksellisiä. Euroopan unionin on edelleen pysyteltävä johtavana voimana henkilötietojen suojaa koskevien kansainvälisten oikeudellisten ja teknisten normien kehittämisessä ja edistämisessä asiaa koskevien EU:n ja muiden eurooppalaisten tietosuojasäännösten pohjalta. Tämä on erityisen tärkeää pitää mielessä EU:n laajentumispolitiikan yhteydessä.

Komissio katsoo, että on erittäin tärkeää varmistaa standardointijärjestöjen laatimien kansainvälisten teknisten normien ja tulevan säädöskehyksen johdonmukaisuus, jotta rekisterinpitäjät voivat soveltaa tietosuojasääntöjä käytännössä yhdenmukaisella tavalla.

Komissio aikoo

- jatkaa tiukkojen oikeudellisten ja teknisten tietosuojanormien kehittämistä kolmansissa maissa ja kansainvälisellä tasolla;

- pyrkiä toteuttamaan tietosuojan vastavuoroisuuden periaatetta unionin kansainvälisissä toimissa ja erityisesti silloin kun kyseessä ovat rekisteröidyt, joiden tietoja siirretään EU:sta kolmansiin maihin;

- tehostaa tällä alalla tehtävää yhteistyötä kolmansien maiden ja kansainvälisten organisaatioiden , kuten OECD:n, Euroopan neuvoston, Yhdistyneiden kansakuntien ja muiden alueellisten organisaatioiden, kanssa ;

- seurata tiiviisti kansainvälisten teknisten normien kehittämistä mm. Euroopan standardointikomitean (CEN) ja Kansainvälisen standardisoimisjärjestön (ISO) toimesta sen varmistamiseksi, että nämä normit täydentävät oikeussääntöjä hyödyllisellä tavalla ja takaavat keskeisten tietosuojavaatimusten operatiivisen ja tehokkaan täytäntöönpanon.

2.5. Tietosuojasääntöjen täytäntöönpanon valvonnan tehostaminen institutionaalisia järjestelyjä lujittamalla

Tietosuojaperiaatteiden ja -sääntöjen täytäntöönpano ja sen valvonta on yksilön oikeuksien kunnioittamisen kannalta olennaisen tärkeää.

Tietosuojaviranomaisilla on tietosuojasääntöjen täytäntöönpanon valvonnassa keskeinen asema . Tietosuojaviranomaiset valvovat itsenäisesti perusoikeuksien ja vapauksien toteutumista henkilötietojen suojelun yhteydessä, ja rekisteröidyt voivat vedota niihin varmistaakseen henkilötietojensa suojelun ja tietojenkäsittelytapahtumien lainmukaisuuden. Tästä syystä komissio katsookin, että tietosuojaviranomaisten asemaa olisi vahvistettava, erityisesti kun otetaan huomioon niiden riippumattomuutta koskeva viimeaikainen Euroopan unionin tuomioistuimen oikeuskäytäntö[47]. Tietosuojaviranomaisille olisi annettava tarvittavat valtuudet ja resurssit hoitaa tehtäviään asianmukaisella tavalla sekä kansallisella tasolla että muiden jäsenvaltioiden tietosuojaviranomaisten kanssa tehtävässä yhteistyössä.

Komissio katsoo myös, että tietosuojaviranomaisten olisi vahvistettava yhteistyötään ja koordinoitava toimintaansa paremmin , erityisesti silloin kun ne joutuvat käsittelemään valtioiden rajat ylittäviä kysymyksiä. Tämä koskee etenkin tilanteita, joissa useaan jäsenvaltioon asettautuneet monikansalliset yritykset harjoittavat toimintaansa kaikissa näissä maissa tai kun tarvitaan Euroopan tietosuojavaltuutetun koordinointiapua[48].

Tässä yhteydessä tärkeässä asemassa on myös tietosuojatyöryhmä [49], joka pyrkii neuvoa-antavan tehtävänsä[50] ohella edistämään EU:n tietosuojasääntöjen yhdenmukaista soveltamista kansallisella tasolla. Tietosuojaviranomaiset kuitenkin soveltavat ja tulkitsevat EU:n tietosuojasääntöjä jatkuvasti eri tavoin siitä huolimatta, että tietosuojaan kohdistuvat haasteet ovat kaikkialla EU:ssa samat. Tämän vuoksi on aiheellista vahvistaa tietosuojatyöryhmän asemaa tietosuojaviranomaisten kannanottojen koordinoijana ja varmistaa siten, että tietosuojasääntöjä sovelletaan kansallisella tasolla nykyistä yhdenmukaisemmin niin, että tietosuojan taso on kaikkialla EU:ssa yhtäläinen.

Komissio selvittää,

- miten uudessa säädöskehyksessä voitaisiin lujittaa, selkeyttää ja yhdenmukaistaa kansallisten tietosuojaviranomaisten asemaa ja toimivaltuuksia , toiminnan ”täydellisen itsenäisyyden” periaatteen täysimääräinen toteuttaminen mukaan lukien[51];

- miten voidaan parantaa tietosuojaviranomaisten keskinäistä yhteistyötä ja koordinointia ;

- miten voidaan varmistaa EU:n tietosuojasääntöjen johdonmukaisempi soveltaminen kansainvälisillä markkinoilla. Tätä varten voidaan muun muassa vahvistaa kansallisten tietosuojaviranomaisten asemaa, parantaa niiden toiminnan koordinointia tietosuojatyöryhmän kautta (jonka toiminnan olisi oltava läpinäkyvämpää) ja/tai luoda mekanismi, jonka avulla voidaan varmistaa tietosuojan johdonmukaisuus sisämarkkinoilla Euroopan komission johdolla .

3. Päätelmät: tuleva toiminta

Tekniikan kehityksen myötä menetelmät, joilla henkilötietojamme käsitellään ja jaetaan yhteiskunnassa, muuttuvat lakkaamatta. Tämä luo lainsäätäjille haasteen laatia säädöskehys, joka kestää ajan hammasta. Uudistusprosessin tuloksena EU:n tietosuojasääntöjen olisi edelleen pystyttävä takaamaan korkeatasoinen suoja ja antamaan yksilöille, julkishallinnon laitoksille ja sisämarkkinoilla toimiville yrityksille oikeusvarmuus useiden sukupolvien ajan. Riippumatta siitä, miten monimutkainen tilanne on tai miten kehittynyttä tekniikkaa käytetään, ei saa olla epäselvyyttä sen suhteen, mitä sääntöjä ja normeja kansallisten viranomaisten ja toisaalta yritysten ja tekniikan kehittäjien on noudatettava. Rekisteröidyille ei pitäisi jäädä epäselväksi, mitkä ovat heidän oikeutensa.

Komission kattava lähestymistapa ongelmien ratkaisemiseen ja tässä tiedonannossa esitettyjen keskeisten tavoitteiden saavuttamiseen tarjoaa pohjan jatkokeskusteluille muiden EU:n toimielimien ja muiden sidosryhmien kanssa, niin että sen pohjalta voidaan myöhemmin laatia konkreettisia säädösehdotuksia ja muita toimenpiteitä. Komissio pyytääkin palautetta tässä tiedonannossa esitettyihin kysymyksiin.

Myöhemmin laadittavan vaikutusten arvioinnin ja EU:n perusoikeuskirjan huomioon ottaen komissio laatii tältä pohjalta vuonna 2011 säädösehdotuksia , joiden avulla tietosuojan oikeudellista kehystä tarkistetaan niin, että EU:ssa omaksutaan tiukempi asenne henkilötietojen suojaamiseen kaikilla politiikanaloilla, lainvalvonta ja rikoksentorjunta mukaan luettuina ja näiden alojen erityispiirteet huomioon ottaen. Rinnan säädösehdotusten kanssa esitetään myös muita toimenpiteitä, esimerkiksi kannustetaan itsesääntelyä ja selvitetään yksityisyyden suojaa koskevan EU:n tunnuksen toteuttamisedellytyksiä.

Seuraavassa vaiheessa komissio arvioi, edellyttääkö tietosuojaa koskeva uusi yleinen säädöskehys muiden säädösten mukauttamista . Tämä koskee ennen muuta asetusta (EY) N:o 45/2001, jonka säännökset on yhdenmukaistettava uuden yleisen säädöskehyksen kanssa. Myös vaikutusta muihin alakohtaisiin säädöksiin on tarkasteltava huolellisesti myöhemmin.

Komissio huolehtii myös jatkossa siitä, että tätä alaa koskeva EU:n oikeus pannaan täytäntöön asianmukaisella tavalla. Jos EU:n tietosuojasääntöjä ei ole pantu täytäntöön ja sovellettu oikein, se käynnistää aktiivisesti rikkomusmenettelyjä . Vireillä oleva tietosuojasäädösten tarkistus ei vaikuta jäsenvaltioiden velvollisuuteen panna täytäntöön ja soveltaa voimassa olevia henkilötietojen suojaa koskevia säädöksiä[52] asianmukaisella tavalla.

Korkeatasoinen ja yhdenmukainen tietosuoja EU:ssa on paras tapa vahvistaa ja edistää EU:n tietosuojanormien leviämistä maailmanlaajuisesti.

[1] Euroopan parlamentin ja neuvoston direktiivi 95/46/EY, annettu 24 päivänä lokakuuta 1995, yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (EYVL L 281, 23.11.1995, s. 31).

[2] Study on the economic benefits of privacy enhancing technologies, London Economics, heinäkuu 2010 (http://ec.europa.eu/justice/policies/privacy/docs/studies/final_report_pets_16_07_10_en.pdf), s. 14.

[3] Ks. vastaukset komission julkiseen kuulemiseen:http://ec.europa.eu/justice/news/consulting_public/news_consulting_0003_en.htm. Vuonna 2010 kuultiin kohdennetusti eri sidosryhmiä. Varapuheenjohtaja Viviane Redingin johdolla järjestettiin myös korkean tason kokoontuminen sidosryhmille 5. lokakuuta 2010 Brysselissä. Lisäksi komissio kuuli tietosuojatyöryhmää, joka toimitti vuoden 2009 julkiseen kuulemiseen kattavan lausunnon (WP 168) ja antoi heinäkuussa 2010 erityislausunnon tilivelvollisuuden käsitteestä (WP 173).

[4] Selvityksen Study on the economic benefits of privacy enhancing technologies (alaviite 2) ohella ks. Comparative study on different approaches to new privacy challenges, in particular in the light of technological developments , tammikuu 2010(http://ec.europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_en.pdf). Lisäksi tekeillä on vaikutustenarviointi henkilötietojen suojaa koskevan EU:n säädöskehyksen tulevaisuudesta.

[5] Euroopan parlamentin ja neuvoston direktiivi 2002/58/EY, annettu 12 päivänä heinäkuuta 2002, henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla (sähköisen viestinnän tietosuojadirektiivi) (EYVL L 201, 31.7.2002, s. 37).

[6] Tietosuojadirektiivillä 95/46/EY vahvistetut tietosuojanormit koskevat kaikkia EU:n säädöksiä, myös sähköisen viestinnän tietosuojadirektiiviä 2002/58/EY (sellaisena kuin se on muutettuna direktiivillä 2009/136/EY; EUVL L 337, 18.12.2009, s. 11). Sähköisen viestinnän tietosuojadirektiiviä sovelletaan henkilötietojen käsittelyyn, joka liittyy yleisesti saatavilla olevien sähköisen viestinnän palvelujen tarjoamiseen yleisissä viestintäverkoissa. Siinä muutetaan tietosuojadirektiivissä vahvistetut periaatteet sähköisen viestinnän alalla sovellettaviksi erityissäännöiksi. Direktiiviä 95/46/EY sovelletaan muun muassa ei-julkisiin viestintäpalveluihin.

[7] Europol ja Eurojust toimittivat kuulemisen päätyttyä erilliset lausunnot, joissa ne vaativat, että säädöksessä olisi kuitenkin otettava huomioon niiden työhön eli lainvalvonnan koordinointiin ja rikostentorjuntaan liittyvät erityispiirteet.

[8] Ks. Euroopan unionin toiminnasta tehdyn sopimuksen (SEUT-sopimus) 16 artikla.

[9] Ks. SEUT-sopimuksen 16 artiklan 2 kohdan viimeinen alakohta ja Euroopan unionista tehdyn sopimuksen (SEU-sopimus) 39 artikla.

[10] Ks. esim. Euroopan yhteisöjen tuomioistuimen asia C-101/01, Bodil Lindqvist, Kok. 2003, s. I-1297, 96 ja 97 kohta, ja asia C-275/06, Productores de Música de España (Promusicae) v. Telefónica de España SAU, Kok. 2008, s. I-271. Ks. myös Euroopan ihmisoikeustuomioistuimen oikeuskäytäntö asioissa S. ja Marper v. Yhdistynyt kuningaskunta, 4.12.2008 (kanteet nro 30562/04 ja 30566/04) ja Rotaru v. Romania, tuomio 4.5.2000; kanne nro 28341/95, 55 kohta, ECHR 2000-V.

[11] Käsitteet ’rekisterinpitäjä’ ja ’henkilötietojen käsittelijä’ määritellään direktiivin 95/46/EY 2 artiklan d ja e alakohdassa.

[12] Direktiivin 95/46/EY johdanto-osan 26 kappale.

[13] Ks. esimerkiksi IP-osoitteita koskeva tapaus, jota tietosuojatyöryhmä on tarkastellut henkilötietojen käsitettä koskevassa lausunnossaan 4/2007 (WP 136).

[14] Ks. esim. Saksan liittovaltion perustuslakituomioistuimen (Bundesverfassungsgericht) tuomio 27.2.2008, 1 BvR 370/07.

[15] Ks. direktiivin 95/46/EY 10 ja 11 artikla.

[16] Vuonna 2009 tehdyn Eurobarometri-kyselyn vastaajista noin puolet piti verkkosivujen tietosuojailmoituksia ”erittäin” tai ”melko epäselvinä” (ks. Flash Eurobarometri nro 282:http://ec.europa.eu/public_opinion/flash/fl_282_en.pdf).

[17] Ks. laatututkimus Safer Internet for Children , joka koski 9–10- ja 12–14-vuotiaita lapsia. Tutkimuksen mukaan lapset yleensä aliarvioivat internetin käyttöön liittyviä riskejä ja vähättelevät riskikäyttäytymisensä seurauksia (tutkimus on saatavilla osoitteessahttp://ec.europa.eu/information_society/activities/sip/surveys/qualitative/index_en.htm).

[18] ”Komissio panee merkille Euroopan parlamentin tahdon, jonka mukaan velvollisuus ilmoittaa henkilötietojen loukkauksista ei koskisi pelkästään sähköisen viestinnän alaa vaan myös sellaisia toimijoita kuin tietoyhteiskuntapalvelujen tarjoajia […]. Komissio aikoo sen vuoksi aloittaa viipymättä tarvittavat valmistelut, kuten sidosryhmien kuulemisen, voidakseen tarpeen mukaan esittää asiaa koskevia ehdotuksia vuoden 2011 loppuun mennessä.” Teksti on saatavilla osoitteessa http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P6-TA-2009-0360+0+DOC+XML+V0//EN. Ks. myös sähköisen viestinnän tietosuojadirektiivin 2002/58/EY muuttamisesta annetun direktiivin 2009/136/EY johdanto-osan 59 kappale: ”Käyttäjien intressi ilmoituksen saamiseen ei selvästikään rajoitu pelkkään sähköisen viestinnän alaan, minkä vuoksi yhteisön tasolla olisi pikaisesti otettava käyttöön kaikilla aloilla sovellettavia täsmällisiä ja pakollisia ilmoitusvelvoitteita.”

[19] Direktiivin 2009/136/EY 4 artikla.

[20] Ks. Flash Eurobarometri nro 225 – Tietosuoja Euroopan unionissa:http://ec.europa.eu/public_opinion/flash/fl_225_en.pdf.

[21] Direktiivin 95/46/EY 2 artiklan h alakohta.

[22] Direktiivin 95/46/EY 8 artikla.

[23] Euroopan yhteisöjen tuomioistuimen tuomio asiassa C-101/01, Bodil Lindqvist, Kok. 2003, s. I-1297, 96 ja 97 kohta.

[24] Ks. edellä mainitun tuomion 97 kohta sekä direktiivin 95/46/EY johdanto-osan 9 kappale.

[25] Ks. direktiivin 95/46/EY 18 artikla.

[26] Komission kertomus - Ensimmäinen kertomus tietosuojadirektiivin (EY 95/46) täytäntöönpanosta, KOM(2003) 265.

[27] Ks. direktiivin 95/46/EY 4 artikla.

[28] Euroopan talousalueeseen kuuluvat myös Norja, Liechtenstein ja Islanti.

[29] Ks. erityisesti tietosuojatyöryhmän lausunto 3/2010, 13.7.2010.

[30] Ks. komission tiedonanto Euroopan parlamentille ja neuvostolle tietosuojan vahvistamisesta yksityisyyden suojaa parantavilla tekniikoilla, KOM(2007) 228. ”Sisäänrakennetun yksityisyydensuojan” periaate tarkoittaa, että yksityisyys ja tietosuoja on otettu huomioon tekniikoiden elinkaaren kaikissa vaiheissa varhaisesta suunnitteluvaiheesta käyttöönottoon, käyttöön ja käytöstä poistamiseen. Periaatetta selostetaan muun muassa komission tiedonannossa ”Euroopan digitaalistrategia”, KOM(2010) 245.

[31] Rekisterinpitäjällä on nykyäänkin mahdollisuus nimittää tietosuojavastaava, jonka tehtävänä on riippumattomasti varmistaa, että kansallisia ja EU:n tietosuojasääntöjä noudatetaan, ja avustaa rekisteröityjä. Mahdollisuus on otettu käyttöön useissa jäsenvaltioissa (esim. Saksassa ”Beauftragter für den Datenschutz” ja Ranskassa ”correspondant informatique et libertés (CIL)”).

[32] Ks. direktiivin 95/46/EY 27 artikla.

[33] Ks. myös em. tiedonanto yksityisyyden suojaa parantavista tekniikoista, alaviite 30.

[34] Ks. direktiivin 95/46/EY 3 artiklan 2 kohdan ensimmäinen luetelmakohta.

[35] Ks. SEUT-sopimuksen 16 artikla.

[36] Ks. KOM(2009) 262, 10.6.2009, ja KOM(2010) 171, 20.4.2010.

[37] Neuvoston puitepäätös 2008/977/YOS, tehty 27 päivänä marraskuuta 2008, rikosasioissa tehtävässä poliisi- ja oikeudellisessa yhteistyössä käsiteltävien henkilötietojen suojaamisesta (EUVL L 350, 30.12.2008, s. 60). Puitepäätöksessä pyritään tietosuojanormien yhtenäistämisessä vain vähimmäistasoon.

[38] Tällaista eroa ei ole otettu huomioon mm. seuraavissa asiaa koskevissa Euroopan neuvoston asiakirjoissa: Yleissopimus yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä (CETS nro 108), yleissopimukseen liitetty, valvontaviranomaisia ja rajat ylittäviä tietovirtoja koskeva lisäpöytäkirja (ETS nro 181) ja Euroopan neuvoston ministerikomitean suositus R (87) 15, annettu 17 päivänä syyskuuta 1987, henkilötietojen käytön sääntelemisestä poliisialalla.

[39] Tämä vaatimus perustuu suosituksen N:o R (87) 15 periaatteeseen 3.2.

[40] Toisin kuin suosituksen N:o R (87) 15 periaatteessa 2 ja suosituksen arviointikertomuksissa vaaditaan.

[41] Yleiskatsaus näistä säädöksistä esitetään komission tiedonannossa ”Katsaus tiedonhallintaan vapauden, turvallisuuden ja oikeuden alueella”, KOM(2010) 385.

[42] Eri säädöksillä on perustettu yhteisiä valvontaviranomaisia, joiden tehtävänä on varmistaa tietosuojan valvonta ja täydentää siten Euroopan tietosuojavaltuutetun yleistä valvontavaltaa, joka koskee EU:n toimielinten, elinten ja laitosten toimintaa asetuksen (EY) N:o 45/2001 nojalla.

[43] Komission päätös 2001/497/EY, tehty 15 päivänä kesäkuuta 2001, direktiivin 95/46/EY mukaisista mallisopimuslausekkeista henkilötietojen kolmansiin maihin siirtoa varten (EYVL L 181, 4.7.2001, s. 19); komission päätös 2002/16/EY, tehty 27 päivänä joulukuuta 2001, direktiivin 95/46/EY mukaisista mallisopimuslausekkeista henkilötietojen siirtoa varten kolmansiin maihin sijoittautuneille henkilötietojen käsittelijöille (EYVL L 6, 10.1.2002, s. 52); komission päätös 2004/915/EY, tehty 27 päivänä joulukuuta 2004, päätöksen 2001/497/EY muuttamisesta vaihtoehtoisten mallisopimuslausekkeiden ottamiseksi käyttöön henkilötietojen kolmansiin maihin siirtoa varten (EUVL L 385, 29.12.2004, s. 74).

[44] Komission päätös, annettu 5 päivänä helmikuuta 2010, Euroopan parlamentin ja neuvoston direktiivin 95/46/EY mukaisista mallisopimuslausekkeista henkilötietojen siirtoa varten kolmansiin maihin sijoittautuneille henkilötietojen käsittelijöille (EUVL L 39, 12.2.2010, s. 5).

[45] Tukholman ohjelman toteuttamista koskeva toimintasuunnitelma (ks. alaviite 36).

[46] ”Yrityksiä koskevat sitovat säännöt” ovat eurooppalaisiin tietosuojanormeihin perustuvia käytännesääntöjä, joita monikansalliset organisaatiot laativat ja noudattavat vapaaehtoisesti varmistaakseen riittävät takeet henkilötietojen tai tiettyjen tietoluokkien siirroille samaan konserniin kuuluvien yritysten välillä, joita sitovat samat säännöt. Ks.:http://ec.europa.eu/justice/policies/privacy/docs/international_transfers_faq/international_transfers_faq.pdf.

[47] Euroopan unionin tuomioistuimen asia C-518/07, komissio v. Saksa, tuomio 9.3.2010.

[48] Tämä koskee parhaillaan laaja-alaisia tietojärjestelmiä, kuten SIS II:ta (ks. asetuksen (EY) N:o 1987/2006 46 artikla, EUVL L 318, 28.12.2006, s. 4) ja viisumitietojärjestelmää (VIS) (ks. asetuksen (EY) N:o 767/2008 43 artikla, EUVL L 218, 13.8.2008, s. 60).

[49] Tietosuojatyöryhmä on neuvoa-antava elin, jossa on yksi kunkin jäsenvaltion tietosuojaviranomaisen edustaja sekä Euroopan tietosuojavaltuutetun ja komission edustaja (komission edustajalla ei ole äänioikeutta). Työryhmän sihteeristötehtävistä huolehtii komissio. Ks.:http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm.

[50] Tietosuojatyöryhmän tehtävänä on antaa komissiolle neuvoja tietosuojan tasosta EU:ssa ja kolmansissa maissa sekä mistä tahansa muista henkilötietojen käsittelyyn liittyvistä toimenpiteistä.

[51] Euroopan unionin tuomioistuimen asia C-518/07, komissio v. Saksa, tuomio 9.3.2010.

[52] Tämä koskee myös neuvoston puitepäätöstä 2008/977/YOS: jäsenvaltioiden on toteutettava puitepäätöksen noudattamisen edellyttämät toimenpiteet 27. marraskuuta 2010 mennessä.