Komission kertomus - Ensimmäinen kertomus tietosuojadirektiivin (EY 95/46) täytäntöönpanosta /* KOM/2003/0265 lopull. */
KOMISSION KERTOMUS - Ensimmäinen kertomus tietosuojadirektiivin (EY 95/46) täytäntöönpanosta SISÄLTÖ 1. miksi direktiivin 95/46/EY täytäntöönpanosta on laadittu kertomus ja järjestetty avoin kuuleminen 2. Tämän kertomuksen valmistelua edeltänyt avoin tarkastelumenettely 3. Tarkastelun pääasialliset tulokset 4. Tärkeimpien tulosten yksityiskohtaisempi tarkastelu 5. ääni- ja kuvamuotoisten tietojen käsittely 6. tietosuojadirektiivin tehokkaampaa soveltamista koskeva työohjelma (2003-2004) 7. Päätelmät 1. miksi direktiivin 95/46/EY täytäntöönpanosta on laadittu kertomus ja järjestetty avoin kuuleminen "Komissio antaa neuvostolle ja Euroopan parlamentille säännöllisesti kertomuksen tämän direktiivin soveltamisesta, ensimmäisen kerran enintään kolme vuotta 32 artiklan 1 kohdassa tarkoitetun päivämäärän jälkeen, ja liittää tarvittaessa kertomukseensa aiheellisia muutosehdotuksia." (direktiivin 95/46 33 artikla) Tämä kertomus on komission vastaus edellä mainittuun vaatimukseen. Komissio on viivyttänyt kertomuksen antamista 18 kuukaudella, koska jäsenvaltiot eivät ole kiirehtineet direktiivin saattamista osaksi kansallista lainsäädäntöään. [1] [1] Komissio päätti joulukuussa 1999 nostaa yhteisöjen tuomioistuimessa kanteen Alankomaita, Irlantia, Luxemburgia, Ranskaa ja Saksaa vastaan, koska ne eivät ole ilmoittaneet direktiivin 95/46 täytäntöönpanon edellyttämistä toimenpiteistä. Vuonna 2001 Alankomaat ja Saksa ilmoittivat toimenpiteistään, ja komissio lopetti niiden osalta asian käsittelyn. Ranska ilmoitti vuoden 1978 tietosuojalain, jonka tuloksena Ranskaa vastaan nostetusta ilmoitusvelvollisuuden laiminlyöntiä koskevasta kanteesta luovuttiin. Ranska ilmoitti samaan aikaan aikeistaan antaa uusi laki, jota ei ole vielä hyväksytty. Luxemburgin osalta komission toimenpide johti siihen, että yhteisöjen tuomioistuin tuomitsi kyseisen jäsenvaltion velvoitteidensa noudattamatta jättämisestä. Direktiivi pantiin tämän jälkeen täytäntöön lailla, joka tuli voimaan vuonna 2002. Irlanti ilmoitti vuonna 2001 osittaisesta saattamisesta osaksi kansallista lainsäädäntöä. Säädös on nyttemmin kokonaisuudessaan hyväksytty. Jäsenvaltioiden täytäntöönpanotilanteeseen voi tutustua www-osoitteessa Komissio on valinnut tämän kertomuksen laadintaan laajan näkökulman. Se ei ole tyytynyt pelkästään tarkastelemaan jäsenvaltioiden täytäntöönpanosäädöksiä, vaan se järjesti lisäksi avoimen julkisen keskustelun, johon sidosryhmiä kannustettiin laajasti osallistumaan. Tällainen lähestymistapa on komission heinäkuussa 2001 antamassa valkoisessa kirjassa [2] esitetyn eurooppalaisen hallintotavan mukainen, ja lisäksi lähestymistapa on perusteltavissa ensinnäkin direktiivin 95/46 erityisluonteen takia ja toiseksi tietoyhteiskunnan nopean teknisen kehityksen ja kansainvälisen kehityksen vuoksi, jotka ovat aiheuttaneet merkittäviä muutoksia sen jälkeen, kun direktiivi sai lopullisen muotonsa vuonna 1995. [2] KOM(2001) 428 lopullinen http://europa.eu.int/eur-lex/fi/com/cnc/ 2001/com2001_0428fi01.pdf 1.1. Laajavaikutteinen direktiivi Direktiiviin 95/46 sisältyy kaksi Euroopan integraatioprosessin vanhinta tavoitetta: sisämarkkinoiden toteuttaminen (tässä tapauksessa henkilötietojen vapaa liikkuvuus) ja yksilöiden perusoikeuksien ja -vapauksien suojaaminen. Kumpikin tavoite on direktiivissä yhtä tärkeä. Oikeudellisesta näkökulmasta katsoen direktiivi on kuitenkin syntynyt sisämarkkinoiden pohjalta. Oli perusteltua antaa EU-tason lainsäädäntöä, koska jäsenvaltioiden lähestymistapojen erot haittasivat henkilötietojen vapaata liikkuvuutta jäsenvaltioiden välillä [3]. Sen oikeusperusta oli siten EY:n perustamissopimuksen 100a artikla (nykyinen 95 artikla). Joulukuussa 2000 Euroopan parlamentti, neuvosto ja komissio antoivat julistuksen Euroopan unionin perusoikeuskirjasta [4], ja erityisesti sen 8 artikla, jonka mukaan tietosuoja sisällytetään perusoikeuksiin, antoi kuitenkin lisäpainoa direktiivin perusoikeusulottuvuuteen. [3] Ks. KOM (90) 314 lopullinen - SYN 287 JA 288, 13. syyskuuta 1990, s. 4: Kansallisten lähestymistapojen vaihtelu ja suojelujärjestelmän puuttuminen yhteisön tasolla ovat sisämarkkinoiden toteuttamisen esteenä. Jos rekisteröityjen perusoikeuksia, erityisesti oikeutta yksityisyyteen, ei suojella yhteisön tasolla, rajatylittävä tietojen liikkuvuus saattaa vaarantua ... [4] http://europa.eu.int/comm/justice_home/ unit/charte/index_en.html Lisäksi direktiivillä on luonteensa vuoksi hyvin laaja vaikutus. Jokaisesta yksilöstä on rekisteröityä tietoa, ja talouselämän kaikkien alojen toimijat ovat tietorekisterinpitäjiä. Vaikka siis direktiivin oikeudelliset perusteet ovat sille ominaiset, sen vaikutukset ovat hyvin laajat, ja tämä on otettava huomioon tarkasteltaessa sen soveltamista. 1.2. Tietotekniikan kehitys ja lisääntynyt huoli turvallisuudesta ovat kiihdyttäneet keskustelua tietosuojasta Sen jälkeen kun tietosuojadirektiivi annettiin vuonna 1995, kotitalouksien ja yritysten Internet-liittymien määrä on kasvanut valtavasti, ja samalla on lisääntynyt merkittävästi niiden ihmisten määrä, jotka antavat verkkoon kaikenlaisia heitä koskevia tietoja. Samaan aikaan henkilötietojen keruumenetelmät ovat muuttuneet yhä kehittyneemmiksi ja vaikeammiksi havaita: julkisten paikkojen valvontaan käytettävät suljetut TV-järjestelmät; käyttäjien selailukäyttäytymisestä tietoja keräävät urkintaohjelmistot, jotka asentuvat mikrotietokoneihin sivustoilta, joihin on oltu yhteydessä, sivustojen usein toisilleen myymät tiedot; työntekijöiden valvonta työpaikalla, mukaan luettuna sähköpostin ja Internetin käytön valvonta. Tällainen tietomäärän räjähdysmäinen kasvu herättää vääjäämättä kysymyksen siitä, selviytyykö lainsäädäntö kaikista haasteista, erityisesti perinteinen lainsäädäntö, jolla on rajattu, fyysiset rajat huomioon ottava alueellinen soveltamisala, kun taas Internetin myötä fyysiset rajat ovat yhä enenevässä määrin kadottaneet merkityksensä [5]. [5] Komission yhteisen tutkimuskeskuksen ja tekniikan tulevaisuudentutkimuksen laitoksen (IPTS) kesäkuussa 2001 laatimassa kertomuksessa "Future bottlenecks in the information society" todetaan, että muutamat kehittyvät alueet eivät ole helposti sovitettavissa direktiivin säännöksiin ja että direktiiviä saatetaan näin ollen joutua myöhemmin muuttamaan. Samalla kertomuksessa todetaan, että vaikka direktiivi on saatettu osaksi kansallista lainsäädäntöä kaikissa jäsenvaltioissa, henkilötietojen väärinkäytöstä online-tietojärjestelmissä ollaan yhä huolestuneempia. Tämän kertomuksen laadinnan yhteydessä kerätty aineisto tukee jossain määrin tällaista päätelmää. Henkilötietojen käsittelystä ja yksityisyyden suojasta televiestinnän alalla 15. joulukuuta 1997 annettu Euroopan parlamentin ja neuvoston direktiivi 97/66/EY [6] oli nimenomaan vastaus tekniikan kehitykseen, ja siinä muunnettiin direktiivissä 95/46/EY esitetyt periaatteet televiestintäalaa koskeviksi erityissäännöiksi. Direktiivi 97/66/EY ajantasaistettiin hiljattain henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla 12. heinäkuuta 2002 annetulla direktiivillä 2002/58/EY [7] sähköisen viestinnän markkinoilla ja tekniikassa tapahtuneen kehityksen, kuten Internetin, huomioon ottamiseksi, jotta taataan henkilötietojen ja yksityisyyden suojan yhdenmukainen taso käytetyistä tekniikoista riippumatta. [6] EYVL L 24, 30.1.1998, s. 1-8. [7] EYVL L 201, 31.7.2002, s. 37-47. Jäsenvaltioiden määräaika uuden direktiivin saattamiseksi osaksi kansallista lainsäädäntöä päättyy 31. lokakuuta 2003. Osaamistalouden nousu, tekniikan kehitys ja tietopääoman merkityksen kasvu ovat lisänneet työntekijöiden henkilötietojen käsittelyä työpaikoilla. Nämä kehityssuunnat ovat nostaneet esiin huolenaiheita ja vaaroja sekä kohdistaneet huomion työtekijöiden henkilötietojen tehokkaaseen suojeluun. Komissio totesi Euroopan työmarkkinaosapuolille suunnatussa toisen vaiheen kuulemisasiakirjassaan lokakuussa 2002, että tarvitaan sellaisia perustamissopimuksen 137 artiklan 2 kohdan mukaisia EU:n lainsäädäntötoimia, joiden tarkoituksena on parantaa työoloja periaatteet ja säännöt asettavalla eurooppalaisella sääntelykehyksellä. Komissio harkitsee parhaillaan kyseisen kuulemismenettelyn seurantatoimia, joista se aikoo päättää vuoden 2003 loppuun mennessä. Eurooppalainen sääntelykehys perustuisi direktiivin 95/46/EY nykyisiin yleisperiaatteisiin, mutta siinä täydennettäisiin ja selkeytettäisiin kyseisiä periaatteita, siltä osin kuin kyse on työpaikalla tapahtuvasta tietojenkäsittelystä. Kulutusluottojen osalta komissio on kuluttajille myönnettäviä luottoja koskevien jäsenvaltioiden lakien, asetusten ja hallinnollisten määräysten yhdenmukaistamisesta antamassaan ehdotuksessa Euroopan parlamentin ja neuvoston direktiiviksi [8] ehdottanut joitakin tietosuojaa koskevia erityissäännöksiä, joiden tarkoituksena on lujittaa edelleen kuluttajansuojaa. [8] KOM (2002) 443 lopullinen, 11.9.2002. Samaan aikaan erityisesti syyskuun 11. päivän 2001 tapahtumien seurauksena kasvanut huoli turvallisuudesta on kohdistanut paineita kansalaisvapauksiin yleensä mutta varsinkin yksityisyyden ja henkilötietojen suojaan. Tämä ei ole uutta eikä yllättävää. Euroopan ihmisoikeustuomioistuin katsoi vuonna 1978 aiheelliseksi antaa seuraavan varoituksen: "valtiot eivät saa vakoilun ja terrorismin torjumisen nimissä ryhtyä sopiviksi katsomiinsa toimenpiteisiin (...) vaarana on, että demokratiaa heikennetään tai se jopa tuhotaan demokratian puolustamisen varjolla". [9] [9] Klass et al. v. Saksa, tuomio 6. syyskuuta 1978, sarja A, n:o 28. Direktiiviä ei luonnollisesti sovelleta henkilötietojen käsittelyyn niin kutsutuissa "kolmannen pilarin" toimissa [10], eikä tietosuojaa näillä aloilla sen vuoksi käsitellä tässä kertomuksessa. Tätä erottelua ei kuitenkaan aina tehdä jäsenvaltioiden lainsäädännöissä. Tämä aiheuttaa useita kysymyksiä ja ongelmia, joihin erityisesti Euroopan parlamentti on kiinnittänyt huomiota ja joita on syytä käsitellä lähemmin. [10] Direktiivin 3 artiklan 2 kohdan ensimmäisen luetelmakohdan mukaan direktiiviä ei sovelleta "toiminnassa, joka ei kuulu yhteisön oikeuden soveltamisalaan, ... ja kaikissa tapauksissa käsittely, joka koskee yleistä turvallisuutta, puolustusta, valtion turvallisuutta (myös valtion taloudellista hyvinvointia, kun käsittelyoperaatio on sidoksissa valtion turvallisuutta koskeviin kysymyksiin) ja rikosoikeuden alalla tapahtuvaa valtion toimintaa". 2. Tämän kertomuksen valmistelua edeltänyt avoin tarkastelumenettely Edellä selostetun taustan huomioon ottaen komissio on pyrkinyt järjestämään direktiivin soveltamisen tarkastelun yhteydessä avoimen keskustelun, johon osallistuvat mahdollisimman monet tahot. Kaikki sidosryhmät - viranomaiset, organisaatiot, yritys- ja kuluttajajärjestöt, jopa yksittäiset yritykset ja kansalaiset - saivat tilaisuuden osallistua kyselyyn ja ilmaista mielipiteensä [11]. Komissio pitää tällaista prosessia myönteisenä asiana. Se on kartuttanut sellaisten tiedonlähteiden määrää, joita komissio on käyttänyt tämän kertomuksen ja myöhemmin toteutettavia toimia koskevien suositusten laadintaan. Menettely on myös vahvistanut tapahtuneen mielipiteiden muutoksen, joka on ollut havaittavissa rekisterinpitäjien keskuudessa yleensä [12] ja erityisesti elinkeinoelämän edustajien joukossa: rekisterinpitäjät osallistuvat nyt rakentavasti vuoropuheluun siitä, miten varmistetaan henkilötietojen tehokas suojelu, sen sijaan että he suoralta kädeltä vastustaisivat alan sääntelyä. [11] Komissio osoitti kysymyksiä erikseen jäsenvaltioille ja valvontaviranomaisille, tilasi kaksi asiantuntijoiden suorittamaa tutkimusta, julkaisi yleisen mielenilmaisupyynnön virallisessa lehdessä ja komission verkkosivustossa, sijoitti verkkosivustoonsa yli kahden kuukauden ajaksi kaksi kyselylomaketta, joista toinen oli osoitettu rekisterinpitäjille ja toinen rekisteröidyille, järjesti kansainvälisen konferenssin, jossa keskusteltiin lukuisista aiheista kuudessa eri workshopissa. [12] Vaikka tässä kertomuksessa viitataan tavallisesti rekisterinpitäjiin puhuttaessa "elinkeinoelämästä" tai "liike-elämän edustajista" (koska kyseiset ryhmät osallistuivat keskusteluun aktiivisimmin), myös yhteisön lain puitteissa toimivat viranomaiset ovat rekisterinpitäjiä, ja tämän kertomuksen sisältämät havainnot ja suositukset koskevat luonnollisesti myös heitä. Toisaalta komissio pahoittelee kuluttajajärjestöjen vähäistä osallistumista kuulemismenettelyyn [13]. [13] Ainostaan Euroopan kuluttajajärjestö BEUC antoi kannanottonsa, jossa todettiin muun muassa vastauksena niille, jotka ovat vaatineet direktiiviä mukautettavaksi online-ympäristön vaatimuksiin, että kyseisen kuluttajajärjestön mielestä online-ympäristöä on mukautettava, jotta direktiivin periaatteiden noudattaminen voitaisiin varmistaa Tässä kertomuksessa esitetään tiivistelmä komission tekemistä havainnoista saadun palautteen pohjalta sekä toimintasuositukset. Komission näkemyksen mukaan tämä on kuitenkin vasta pidemmän prosessin alkuvaihe. 3. Tarkastelun pääasialliset tulokset 3.1. Direktiivin muuttamisen puolesta ja sitä vastaan Komission käsityksen mukaan tarkastelun tulokset puhuvat sen puolesta, että direktiiviä ei ole viisasta muuttaa tässä vaiheessa. Vain harvat kuulemiseen osallistuneet kannattivat direktiivin muuttamista. Merkittävimmän poikkeuksen tästä muodostivat Itävallan, Ruotsin, Suomen ja Yhdistyneen kuningaskunnan yhteisesti ehdottamat yksityiskohtaiset muutokset [14]. Nämä muutosehdotukset koskivat vain pientä osaa säännöksistä (erityisesti 4 artiklaa, jossa määritellään sovellettava laki, arkaluonteisia tietoja koskevaa 8 artiklaa, tiedonsaantioikeutta koskevaa 12 artiklaa, ilmoitusmenettelyä koskevaa 18 artiklaa sekä henkilötietojen siirtoa kolmansiin maihin koskevaa 25 ja 26 artiklaa), joten suurimpaan osaan direktiivin säännöksiä eikä yhteenkään periaatteeseen tehty muutosehdotuksia. Näistä ja muutamista muista säännöksistä aiheutuvia erityisongelmia tarkastellaan jäljempänä tässä kertomuksessa. [14] http://www.lcd.gov.uk/ccpd/ dpdamend.htm Myöhemmässä vaiheessa myös Alankomaat kannatti näitä ehdotuksia. Komissio uskoo, että seuraavien yleisten pohdintojen perusteella olisi ajattelematonta tehdä direktiiviin muutosehdotuksia lähitulevaisuudessa: - Toistaiseksi direktiivin täytäntöönpanosta on vain vähän kokemuksia. Harvat jäsenvaltiot saattoivat määräajassa direktiivin osaksi kansallista lainsäädäntöään. Useimmat jäsenvaltiot ilmoittivat täytäntöönpanotoimistaan komissiolle vasta vuosina 2000 tai 2001, eikä Irlanti ole vieläkään ilmoittanut viimeaikaisista täytäntöönpanotoimistaan. Muutamissa jäsenvaltioissa valmistellaan vielä tärkeitä täytäntöönpanosäädöksiä. Näin ollen kokemusperusta ei ole riittävä direktiivin muutosehdotuksen antamiseksi. - Moniin tarkastelun aikana havaittuihin ongelmiin voidaan puuttua ja ne voidaan ratkaista muuttamatta direktiiviä. Muutamissa tapauksissa, joissa vaikeudet johtuvat direktiivin virheellisestä täytäntöönpanosta, ongelmat on ratkaistava tietyillä jäsenvaltion lainsäädännön muutoksilla. Muissa tapauksissa direktiivin salliman liikkumavaran ansiosta valvontaviranomaisten tiiviimmällä yhteistyöllä voidaan lähentää käytäntöjä niin paljon kuin on tarpeen, jotta voitetaan eri jäsenvaltioiden käytäntöjen liian suurista eroista johtuvat vaikeudet. Joka tapauksessa tällaisilla keinoilla on todennäköisesti nopeampi vaikutus kuin direktiivin muutoksella, ja siten niitä on hyödynnettävä ensisijaisesti. - Sidosryhmien ehdottamien muutosten tarkoituksena on usein vähentää sääntöjen noudattamisesta rekisterinpitäjille aiheutuvaa taakkaa. Vaikka tämä on sinänsä oikeutettu tavoite, johon komissio itsekin pyrkii, komissio uskoo kuitenkin, että moniin ehdotetuista muutoksista liittyisi myös suojan tason heikentyminen. Komission käsityksen mukaan kaikkien ajan mittaan harkittavien muutosten myötä olisi pyrittävä säilyttämään suojan nykyinen taso, ja muutosten olisi oltava yhdenmukaisia nykyisten kansainvälisten välineiden muodostamaan kehykseen nähden [15]. [15] Komissaari Frederik Bolkestein totesi direktiivin täytäntöönpanosta järjestetyn konferenssin päätöstilaisuudessa seuraavasti: "Työtä ei varmasti aloiteta puhtaalta pöydältä, kun kyse on tietosuojapolitiikan määrittelystä (...) Kertomusta laadittaessa komission on ... tarpeen pitää mielessään laajemmat oikeudelliset ja poliittiset puitteet, erityisesti Euroopan neuvoston yleissopimuksen 108 periaatteet." Jäsenvaltioiden kanssa käytyjen neuvottelujen jälkeen komissio huomauttaa, että jäsenvaltioiden ja kansallisten valvontaviranomaisten enemmistö on sen kanssa samaa mieltä siitä, että direktiivin muutos ei nykyisellään ole tarpeen eikä suotavaa. Komissio katsoo, että muutamia esiin tulleita kysymyksiä, jota tässä yhteydessä käsitellään vain alustavasti, on tarkasteltava yksityiskohtaisemmin, ja myöhemmässä vaiheessa niiden pohjalta saattaa olla tarpeen tehdä direktiivin tarkistusehdotus. Siinä voitaisiin hyödyntää tällä välin saatu mittavampi kokemus direktiivin täytäntöönpanosta. Sitä paitsi, kuten edellä mainittiin, nykyisen direktiivin täytäntöönpanoa voidaan huomattavasti parantaa, ja tämä todennäköisesti ratkaisisi muutamia tarkastelun aikana esiin tulleita ongelmia, joista osaa väitettiin virheellisesti itse direktiivistä johtuviksi. Komission tarkoituksena on edelleen kohdistaa huomio alueille, joilla yhteisön oikeutta selvästi rikotaan tai joilla toisistaan eroavat tulkinnat ja/tai käytännöt haittaavat sisämarkkinoiden toimintaa. Komissio pitää ensisijaisen tärkeänä tietojen siirtoa kolmansiin maihin koskevien sääntöjen yhtenäistä soveltamista, minkä avulla helpotetaan sääntöjenmukaisia siirtoja ja vältetään tarpeettomia esteitä ja monimutkaisuutta. 3.2. Yleisarvio direktiivin täytäntöönpanosta jäsenvaltioissa. Jäsenvaltioiden lainsäädäntöjen eroja koskeva ongelma. Komission yksiköt ovat tehneet kerättyjen tietojen pohjalta perusteellisen analyysin direktiivin täytäntöönpanosta 15 jäsenvaltiossa. Jäsenvaltioiden ja kansallisten valvontaviranomaisten tekemä yhteistyö on merkittävästi helpottanut työtä. Analyysin alustavat tulokset esitetään tässä kertomuksessa ja erillisenä julkaistavassa teknisessä liitteessä, mutta tiedonkeruu ja jäsenvaltioiden täytäntöönpanotoimien analysointi jatkuvat vuonna 2003. ONLINE-KYSELYLOMAKKEIDEN TULOKSET Käyttäen interaktiivista politiikan suunnitteluvälinettä, online-kuulemisvälinettä, komissio julkaisi kesäkuussa verkkosivustossaan kaksi kyselylomaketta, joihin rekisteröityjä (julkinen kuuleminen) ja rekisterinpitäjiä (kohderyhmä) pyydettiin merkitsemään tietosuojan eri aspekteja koskevat mielipiteensä. Kun kyselylomakkeet suljettiin, niihin oli vastannut 9156 yksityishenkilöä ja 982 rekisterinpitäjää. Kuulemisen täydelliset tulokset ovat saatavilla osoitteessa: http://europa.eu.int/comm/internal_market/ privacy/lawreport/consultation_en.htm Komission mielestä seuraavat tulokset ovat erityisen kiinnostavia: - Vaikka tietosuojadirektiivissä säädetty suojan taso on korkea, useimmat yksityishenkilöt (4113 vastaajaa 9156:sta eli 44,9 prosenttia) pitivät sitä vähimmäistasona. - 81 prosenttia yksityishenkilöistä arveli, että tietosuojan tunteminen on riittämätöntä, huonoa tai hyvin huonoa, mutta vain 10,3 prosenttia piti sitä riittävänä ja ainoastaan 3,46 prosenttia arveli sen hyväksi tai erittäin hyväksi. Rekisterinpitäjillä oli lähes yhtä huono kuva kansalaisten tietoudesta: useimmat vastaajat (30 prosenttia) pitivät kansalaisten tietosuojatietoutta riittämättömänä, kun vain 2,95 prosenttia arveli sen olevan erittäin hyvällä tasolla. - Yritykset ovat nykyisin aiempaa valmiimpia hyväksymään tietosuojasäännöt. Vastaajista 69,1 prosenttia (rekisterinpitäjät) esimerkiksi katsoi tietosuojavaatimusten olevan tarpeen yhteiskunnassa, mutta vain 2,64 prosenttia piti niitä täysin tarpeettomina ja poistettavina. - Suurin osa kyselyyn vastanneista rekisterinpitäjistä (62,1 prosenttia) ei pitänyt rasitteena organisaatiolle sitä, että vastataan yksityishenkilöiden pyyntöihin saada tarkastaa omat henkilötiedot. Itse asiassa useimmilla vastanneista rekisterinpitäjistä ei ollut kyseisiä lukuja saatavilla, tai tarkastuspyyntöjä oli saatu vuonna 2001 alle kymmenen. Komissio myöntää, että näitä tuloksia ei voida pitää edustavina siinä mielessä kuin tieteellisesti valittuun otantaan perustuvia tutkimustuloksia. Komissio ehdottaa, että vuonna 2003 tehdään toinen tutkimus, jotta voitaisiin testata avoimen kyselykaavakkeen tulosten luotettavuus ja saataisiin arviointiperuste, johon verrattaisiin mielipiteiden ja indikaattorien kehitystä tulevaisuudessa. Myöhäinen täytäntöönpano Tällaisen jäsenvaltioille paljon liikkumavaraa antavan mutta hyvin paljon yksityiskohtia edellyttävän direktiivin täytäntöönpano on epäilemättä vaikea tehtävä. Direktiivin täytäntöönpanon vakava viivästyminen useimmissa jäsenvaltioissa on kuitenkin ensimmäinen ja pääasiallisin puute direktiivin täytäntöönpanossa, joka komission on kirjattava ja jonka se yksiselitteisesti tuomitsee. Komissio on luonnollisesti toteuttanut EY:n perustamissopimuksen 226 artiklan mukaisia toimia, kuten edellä on kuvailtu. Tietojen vapaa liikkuvuus turvattu Vaikka direktiivin täytäntöönpanossa on aukkoja ja viiveitä, direktiivi on täyttänyt pääasiallisen tavoitteensa poistaa henkilötietojen liikkuvuuden esteet jäsenvaltioiden väliltä. Itse asiassa merkittävimmän ennen direktiivin antamista esiin nousseen ongelman aiheutti se, että vaikka useimmissa jäsenvaltioissa oli annettu tietosuojasäädöksiä, kaikissa niitä ei kuitenkaan ollut. Vuoteen 1995 mennessä ainoastaan Italiassa ja Kreikassa ei ollut tällaista lainsäädäntöä, mutta nämä kaksi olivat ensimmäisiä direktiivin voimaansaattaneita jäsenvaltioita, mikä siten poisti merkittävimmän ongelman. Direktiivin antamisen jälkeen komission tietoon ei ole tullut yhtään tapausta, jossa jäsenvaltioiden välinen henkilötietojen siirto olisi estetty tietosuojaperustein. Henkilötietojen vapaan liikkuvuuden esteet voivat tietysti olla hienovaraisempia kuin suoranaiset kiellot kansallisissa säädöksissä tai kansallisten viranomaisten estopäätökset: voi olla esimerkiksi tapauksia, joissa jonkin jäsenvaltion tarpeettoman rajoittava sääntö rajoittaa henkilötietojen sisäistä käsittelyä kyseisessä jäsenvaltiossa ja samalla myös näiden tietojen siirtoa muihin jäsenvaltioihin. Toisin sanoen vaikka komissio on yleisesti ottaen tyytyväinen siihen, miten direktiivi on vaikuttanut tietojen vapaaseen liikkuvuuteen yhteisössä, lisäkokemukset direktiivin täytäntöönpanosta saattavat tuoda esiin todisteita ongelmista, joihin on puututtava [16]. [16] Esimerkiksi oikeushenkilöiden tietosuojaa koskevat näkökulmaerot. Tietosuojan korkea taso Kuten johdanto-osan 10 kappaleessa säädetään, direktiivin mukaisten kansallisten lakien lähentämisellä on varmistettava tietosuojan korkea taso yhteisössä. Komission käsityksen mukaan tämä tavoite on saavutettu. Itse direktiivissä annetaankin joitakin maailman korkeatasoisimmista tietosuojasäännöksistä. Online-kyselyn tulokset viittaavat kuitenkin siihen, että kansalaisilla on tästä eri käsitys. Tätä ristiriitaa on tarkasteltava lähemmin. Alustavasti näyttää siltä, että ainakin osa ongelmasta selittyy sillä, että säännöksiä ei noudateta riittävästi (ks. jäljempänä jakso "Soveltamisen valvonta, vaatimustenmukaisuus ja tietoisuus"). Muut sisämarkkinapolitiikan tavoitteet saaneet vähemmän huomiota Komissiolla on pelkkää vapaata liikkuvuutta laajempi näkökulma sisämarkkinalainsäädännön avulla tavoiteltaviin yleisiin poliittisiin tavoitteisiin. Sen mukaan olisi luotava yhtäläiset toimintamahdollisuudet talouden toimijoille eri jäsenvaltioissa, autettava yksinkertaistamaan sääntely-ympäristöä hyvän hallintotavan ja kilpailukyvyn eduksi sekä pikemminkin edistettävä kuin estettävä rajatylittävää toimintaa EU:ssa. Näiden arviointiperusteiden valossa jäsenvaltioiden tietosuojalainsäädäntöjen erot ovat liian suuria. Tämä ilmeni valtaosasta vastauksia, erityisesti liike-elämän edustajilta, jotka valittivat että nykyiset erot estävät monikansallisia organisaatioita kehittämästä yleiseurooppalaista tietosuojapolitiikkaa. Komissio muistuttaa, että direktiivin tavoitteena on lähentäminen eikä täydellinen yhdenmukaisuus ja että toissijaisuusperiaatteen noudattamiseksi lähentämistä ei saa viedä pidemmälle kuin on tarpeen. Se katsoo kuitenkin, että sidosryhmät ovat oikeassa vaatiessaan säädösten ja niiden soveltamisen lähentämistä jäsenvaltioiden ja varsinkin kansallisten valvontaviranomaisten välillä. Jotkut kyselyyn vastanneista ehdottivat, että direktiiviä muutettaisiin yksityiskohtaisemmaksi tällaisen lähentymisen aikaansaamiseksi. Komission mielestä ainakin aluksi on suotavampaa käyttää muita keinoja. Sitä paitsi tämän direktiivin yleisen luonteen vuoksi, toisin sanoen koska sitä sovelletaan hyviin moniin aloihin ja tilanteisiin, näyttää puhuvan sen puolesta, että direktiiviä ei pitäisi muuttaa yksityiskohtaisempaan tai tarkempaan suuntaan. Erot jäsenvaltioiden lainsäädännöissä edellyttävät erilaisia ratkaisuja Koska jäsenvaltioiden lainsäädäntöjen erot johtuvat eri syistä ja niillä on erilaisia seurauksia, ne edellyttävät myös vaihtelevia ratkaisuja. On selvää, että jäsenvaltion ylitettyä direktiivin sallimat rajat tai jätettyä noudattamatta direktiivin vaatimuksia syntyy ero, joka on korjattava muuttamalla kyseisen jäsenvaltion lainsäädäntöä. Muutamat säännökset jättävät jäsenvaltioille vain vähän tai ei lainkaan liikkumavaraa, mutta silti niidenkin voimaansaattamisessa on eroja. Näistä voidaan mainita esimerkiksi määritelmät tai direktiivin sisältämät suljetut luettelot, kuten 7 artiklassa (laillisen käsittelyn edellytykset), 8 artiklan 1 kohdassa (arkaluonteiset tiedot), 10 artiklassa (rekisteröidyn informointi), 13 artiklassa (poikkeukset), 26 artiklassa (kolmansiin maihin tehtäviä siirtoja koskevat poikkeukset jne.). Tämä viittaa yhteisön oikeuden noudattamatta jättämiseen. Muutamissa tapauksissa myös 4 artikla (sovellettava lainsäädäntö) on saatettu puutteellisesti voimaan. Komissio on tietenkin valmistautunut käyttämään EY:n perustamissopimuksen 226 artiklan mukaisia toimivaltuuksiaan toteuttaakseen kyseiset muutokset, mutta se toivoo, ettei sen ole tarpeen ryhtyä viralliseen menettelyyn. Jäsenvaltioiden kanssa aiotaan käydä kahden- ja monenvälisiä neuvotteluja direktiivin mukaisista ratkaisuista sopimiseksi. Muut erot saattavat olla jäsenvaltion oikean täytäntöönpanon lainmukaista seurausta, jolloin ero sisältyy direktiivin sallimaan liikkumavaraan. Tässä kertomuksessa komissio tarkastelee kyseisiä eroja ainoastaan siinä tapauksessa, että niillä on merkittäviä kielteisiä seurauksia sisämarkkinoilla, tai "paremman sääntelyn" näkökulmasta, jos ne esimerkiksi aiheuttavat perusteetonta hallinnollista taakkaa toimijoille. Yhteenveto: a) Suurta osaa komission yksiköiden havaitsemista eroista ei voida pitää yhteisön oikeuden loukkaamisena eikä sellaisina, että niillä olisi merkittävää kielteistä vaikutusta sisämarkkinoihin, mutta mikäli näin on, komissio toteuttaa tarvittavat toimet tilanteen korjaamiseksi. b) Monet havaituista eroista haittaavat kuitenkin joustavan ja yksinkertaistetun sääntelyjärjestelmän toteuttamista, ja siksi niihin on suhtauduttava vakavasti (ks. esimerkki eroista ilmoitusvaatimuksissa tai kansainvälisten siirtojen edellytyksissä). Näiden erojen käsittelemiseksi on olemassa valikoima mahdollisia toimintatapoja, kuten työohjelman kohdassa 6 todetaan. Tällaisten ratkaisujen etsiminen lähitulevaisuudessa ei kuitenkaan tarkoita sitä, että komissio ei pitäisi mahdollisena direktiivin asianmukaista muuttamista tämän jälkeen, jos ongelmat eivät ratkea. Jäsenvaltioiden valvontaviranomaisten tiiviimpää yhteistyötä ja yleistä halukkuutta vähentää erojen haittavaikutuksia on siten pidettävä yhtenä vaihtoehtona, kun taas kansallisille lainsäätäjille ja valvontaviranomaisille vähemmän liikkumavaraa antavat direktiivin muutokset olisivat toinen mahdollinen vaihtoehto. Jäsenvaltiot ja niiden valvontaviranomaiset kannattavat epäilemättä ensimmäistä vaihtoehtoa, ja sen toimivuus riippuu heistä itsestään. Soveltamisen valvonta, vaatimustenmukaisuus ja tietoisuus Ennen kuin muutamia direktiivin täytäntöönpanon ongelma-alueita tarkastellaan yksityiskohtaisemmin, on kiinnitettävä huomiota yleiseen näkökohtaan, joka koskee yleistä tietosuojalainsäädännön noudattamista EU:ssa ja siihen liittyvää kysymystä soveltamisen valvonnasta. Koska henkilötietojen käsittely on niin yleistä (tai siitä huolimatta), on vaikeaa saada tarkkoja tai täydellisiä tietoja siitä, kuinka lainmukaista käsittely on. Komission saamassa palautteessa ei ilmennyt tästä asiasta juuri mitään uutta tietoa . Muutamat komission tietoon tulleet tapaukset sekä komission saatavilla olevat faktatiedot [17] viittaavat siihen, että kyse on kolmesta toisiinsa liittyvästä ongelmasta: [17] Esimerkiksi komissio on itse saanut suhteellisen vähän kanteluja, ja sille on tullut vain pieni määrä 26 artiklan 3 kohdan mukaisia ilmoituksia kansallisten viranomaisten myöntämistä luvista tietojen siirtämiseksi kolmansiin maihin. - Soveltamisen valvonnassa on alimitoitetut resurssit, ja valvontatoimia ei pidetä ensisijaisina valvontaviranomaisten lukuisten tehtävien joukossa. - Rekisterinpitäjät noudattavat säännöksiä hyvin kirjavasti, sillä monet ovat epäilemättä haluttomia muuttamaan nykyisiä käytäntöjä noudattaakseen monimutkaisilta ja hankalilta vaikuttavia sääntöjä, kun kiinnijäämisen riski näyttää vähäiseltä. - Rekisteröidyt tietävät ilmeisen vähän omista oikeuksistaan, mikä puolestaan liittyy edellisen ilmiön syihin. Monissa jäsenvaltioissa myös valvontaviranomaiset ovat tästä huolissaan, etenkin resurssien puutteesta. Resurssiongelmat voivat vaarantaa riippumattomuuden. Riippumattomuus on järjestelmän toiminnan ehdoton edellytys. Tätä näkökulmaa on tarkasteltava lähemmin, mutta jos näiden suuntausten todetaan olevan todellisia, ne ovat hyvin huolestuttavia, ja komission, jäsenvaltioiden ja valvontaviranomaisten on määritettävä niiden syyt ja löydettävä toteuttamiskelpoisia ratkaisuja. Näiden kolmen seikan liittyminen toisiinsa merkitsee sitä, että yhden ongelman onnistuneella ratkaisemisella saattaa olla myönteisiä heijastusvaikutuksia muihin. Soveltamisen valppaampi ja tehokkaampi valvonta parantaa lakien noudattamista. Tehostunut vaatimustenmukaisuus johtaa siihen, että rekisterinpitäjät antavat rekisteröidyille enemmän ja parempaa informaatiota tietojen käsittelystä ja rekisteröityjen lainmukaisista oikeuksista. Tämä puolestaan parantaa kansalaisten yleistä tietämystä tietosuojasta. Ehdokasmaat Kööpenhaminassa asetettujen edellytysten mukaisesti ehdokasmaat ovat sitoutuneet saattamaan direktiivin 95/46/EY osaksi kansallista lainsäädäntöään unioniin liittymiseen mennessä. Tähän mennessä kaikki ovat hyväksyneet alaa koskevan lainsäädännön, paitsi Turkki jossa tietosuojasäädös on valmisteilla. Niiden kymmenen maan, jotka ovat allekirjoittaneet liittymissopimukset, valmiiseen lainsäädäntöön on sisällytetty useimmat direktiivin tärkeimmät elementit. Lisätyötä kuitenkin tarvitaan, jotta niiden lainsäädäntö vastaisi täysin direktiivin säännöksiä. Tietosuoja-asioiden riippumattoman valvontaviranomaisen perustaminen on näin ollen olennaisen tärkeää. Jotkut valvontaviranomaiset ovat esimerkillisen riippumattomia, kun taas muissa maissa niiden riippumattomuus on selvästi riittämätön. Toisaalta kaikilla valvontaviranomaisilla on puutteelliset resurssit, ja muutamilta puuttuu myös tarvittava toimivalta tietosuojalainsäädännön tehokkaan soveltamisen varmistamiseksi. 4. Tärkeimpien tulosten yksityiskohtaisempi tarkastelu [18] [18] Teknisen liitteen avulla saa tarkemman kuvan tilanteesta. Tässä kohdassa tarkastellaan yksityiskohtaisemmin ja esimerkkien valossa tärkeimpiä seikkoja, joihin komission käsityksen mukaan on perehdyttävä. 4.1. Tarve saattaa päätökseen direktiivin täytäntöönpano Direktiivin täysimittainen täytäntöönpano edellyttää tavallisesti (täytäntöönpanolakien säätämisen lisäksi) toista vaihetta, jossa lähinnä tutkitaan muuta lainsäädäntöä, joka saattaa olla ristiriidassa direktiivin vaatimusten ja/tai tiettyjen yleissääntöjen määritysten kanssa, sekä säädetään sellaisista asianmukaisista suojatoimista, joissa on käytetty direktiivissä säädettyjä poikkeuksia. Yleisesti ottaen tätä täytäntöönpanon toista vaihetta ei ole vielä edes aloitettu muutamissa jäsenvaltioissa, ja joissain alkuun päässeissä jäsenvaltioissa ei ole vielä edetty kovin pitkälle. Monissa kansallisissa laeissa viitataan julkaistaviin lisäselvennyksiin, esimerkiksi 7 artiklan f kohdan soveltamisen osalta (intressien vertailua koskeva lauseke), mutta sellaista ei ole vielä toteutettu. [19] [19] Monissa vastauksissa (ks. esim. Clifford Chancen vastaus) korostettiin tämän säännöksen merkitystä, sillä se lisää tarpeellista joustavuutta tietojen käsittelyn oikeudenmukaisuutta koskeviin edellytyksiin. Tämän säännöksen puutteellinen tai epäselvä täytäntöönpano aiheuttaa tarpeetonta jäykkyyttä sääntelykehykseen. Toinen usein puutteellisesti täytäntöönpantu säännös on 8 artiklan 2 kohdan b alakohta. Sen mukaan jäsenvaltiot voivat poiketa arkaluonteisten tietojen käsittelykieltoa koskevasta yleissäännöstä, jos käsittely on tarpeen työoikeuden alaan kuuluvien rekisterinpitäjän erityisten oikeuksien ja velvoitteiden noudattamiseksi, mutta ainoastaan sillä edellytyksellä, että käytetään riittäviä suojatoimia. Joissain jäsenvaltioissa nämä vaatimukset on täytetty säätämällä tietosuojasta työsuhteessa. Tällainen lainsäädäntö on joko hyvin kattavaa (esimerkiksi Suomessa), tai sillä säännellään tiettyjä seikkoja (esimerkiksi terveyslainsäädäntö Tanskassa ja Alankomaissa). Muissa jäsenvaltioissa tilanne ei ole yhtä selkeä. Kaikki jäsenvaltiot eivät ole antaneet suojatoimia sisältäviä säännöksiä, ja jos tällaisia säännöksiä on annettu, ne ovat usein olleet epätyydyttäviä. Tilanne on samankaltainen 8 artiklan 4 ja 5 kohdan osalta - ne koskevat arkaluonteisten tietojen käsittelyä tärkeää yleistä etua koskevasta syystä sekä rikostuomioiden yhteydessä. Suojatoimien puuttuminen merkitsee sitä, että edellytettyä yksityishenkilöiden suojan tasoa ei ole saavutettu, mistä jäsenvaltioiden olisi syytä huolestua komission tavoin. Tätä kysymystä aiotaan käsitellä erityisesti työohjelman toimen 1 yhteydessä. Lisäksi sitä voidaan käsitellä alakohtaisissa yhteisön toimissa [20], kuten työllisyyttä koskevissa toimissa, kun kyse on henkilötietojen käsittelystä tietyllä alalla tai tietyssä yhteydessä. [20] Ks. edellä oleva kohta 1.2. 4.2. Kohtuullisen ja joustavan tulkinnan tarve Monissa vastauksissa peräänkuulutettiin tiettyjen direktiivin säännösten kohtuullista ja joustavaa tulkintaa [21]. Arkaluonteiset tiedot ovat tästä hyvä esimerkki [22]. On tarpeen löytää tulkinta, joka on johdonmukainen sekä direktiivissä tälle tietoryhmälle säädetyn tehostetun suojan suhteen että yrityselämän arkitodellisuuden, rutiinimaisen tietojenkäsittelyn ja sellaisten todellisten vaarojen suhteen, joita tietyt tietojenkäsittelyt aiheuttavat yksityishenkilöiden perusoikeuksien ja -vapauksien suojaamiselle. [23] [21] European Privacy Officers Forumin (EPOF) vastaus on tässä mielessä erityisen kiinnostava: esimerkiksi käsitteiden "anonyymit tiedot" ja "arkaluonteiset tiedot" kohtuullisen tulkinnan tarve. [22] Esimerkiksi Euroopan suoramarkkinointiliiton (FEDMA) vastaus sisältää muutamia käytännön esimerkkejä kyseisen käsitteen erilaisista tulkinnoista jäsenvaltioissa, kuten Yhdistyneessä kuningaskunnassa, Ranskassa ja Portugalissa. [23] Kohtuullista tulkintaa koskeva toivomus löytyy myös Itävallan, Suomen, Ruotsin ja Yhdistyneen kuningaskunnan ehdottamasta muutoksesta johdanto-osan 33 kappaleeseen. Direktiivin 12 artiklassa (rekisteröityjen oikeus tutustua heitä itseään koskeviin tietoihin) on toinen säännös, jota on pyydetty tulkitsemaan joustavasti suhteessa tiedonsaantioikeuden ja kieltäytymismahdollisuuden käyttämiseen. On esitetty väite, että hyvin suurissa ja monimutkaisissa tietoverkoissa käsiteltyjä tietoja koskevien tiedonsaantipyyntöjen täyttäminen saattaa olla rekisterinpitäjälle erittäin vaikeaa ja kallista. Itävallan, Ruotsin, Suomen ja Yhdistyneen kuningaskunnan vastauksessa esitetään direktiiviin muutosta, jonka avulla kävisi selväksi, että tiedonsaantipyynnön koskiessa äärimmäisen vaikeasti löydettävissä olevaa tietoa, joka ei selvästi sisälly rekisterinpitäjän tavallisesti suorittamiin tietojenkäsittelyihin, rekisterinpitäjä voi pyytää rekisteröityä auttamaan organisaatiota häntä itseään koskevien tietojen etsinnässä. [24] Komissio muistuttaa, että mahdollisuus pyytää tällaista apua on jo nykyisen direktiivin mukainen. Komissio ei ole vakuuttunut siitä, että direktiivin kyseisen säännöksen soveltaminen aiheuttaa käytännössä vakavia ongelmia. Joka tapauksessa tiedonsaantipyyntöjen määrä näyttää pysyvän alhaisena. [25] Komission käsityksen mukaan kansallisten valvontaviranomaisten tähän asti antamat tulkintoja ja neuvontaa on pidettävä hyvin kohtuullisina. [24] Tällaisesta avusta on jo säädetty Yhdistyneen kuningaskunnan ja Itävallan laissa. [25] Ks. edellä olevat lukumäärät ja rekisterinpitäjien vastaukset online-kyselyyn. Direktiivin 5 artiklassa todetaan, että jäsenvaltioiden on määriteltävä henkilötietojen käsittelyn laillisuuden edellytykset II luvun (6-21 artikla) säännösten rajoissa. Komissio on pannut merkille, että Ruotsi on meneillään olevan kansallisen lainsäädäntönsä uudistamisen yhteydessä ilmaissut huolensa tietosuojaperiaatteiden soveltamisesta teksti- tai ääni- ja kuvamuotoiseen materiaalivirtaan. Komissio katsoo, että tietojenkäsittelyn ehdot ovat helpommin yksinkertaistettavissa - kun tällainen tietojenkäsittely ei merkittävästi vaaranna yksilön oikeuksia - hyödyntämällä 7 artiklan f kohdan sekä 9 ja 13 artiklan tarjoamia mahdollisuuksia direktiivin liikkumavaran puitteissa. 4.3. Yksityisyyden suojaa parantavan tekniikan edistäminen ja käytön kannustaminen Yksityisyyden suojaa edistävän tekniikan ajatuksena on luoda tieto- ja viestintäjärjestelmiä, joissa minimoidaan henkilötietojen keruu ja käyttö sekä estetään tietojen laiton käsittely. Komission käsityksen mukaan asianmukaiset tekniset toimenpiteet täydentävät olennaisesti oikeudellisia keinoja, ja niiden olisi kuuluttava kiinteänä osana kaikkiin toimiin, joiden tavoitteena on saavuttaa riittävä yksityisyyden suojan taso. Teknisiä tuotteita olisi aina kehitettävä tietosuojasääntöjen mukaisesti. Vaatimustenmukaisuus on kuitenkin vasta ensimmäinen askel. Tavoitteena olisi oltava tuotteet, jotka ovat paitsi yksityisyyden suojan takaavia ja yksityisyyden suojan kannalta mahdollisimman tehokkaita, myös yksityisyyden suojaa parantavia [26]. [26] Ks. 29 artiklan mukaisen työryhmän marraskuussa 2000 antaman asiakirjan WP 37 päätelmät: "Tietosuoja Internetissä - Euroopan unionin yhdennetty lähestymistapa". Yksityisyyden suojan takaavat tuotteet on kehitetty vastaamaan täysin direktiivin vaatimuksia, yksityisyyden suojan kannalta mahdollisimman tehokkaat tuotteet taas menevät askeleen pidemmälle siten, että niissä on helpommin käytettäviä yksityisyyteen liittyviä elementtejä, esimerkiksi antamalla rekisteröidylle hyvin helppokäyttöistä tietoa tai hyvin yksinkertaisia tapoja käyttää oikeuksia. Yksityisyyden suojaa parantavat tuotteet puolestaan on suunniteltu siten, että niiden avulla voidaan käsitellä mahdollisimman suuria määriä aidosti anonyymia tietoa. Yksityisyyden suojaa parantavaa tekniikkaa koskeneessa komission konferenssissa vuonna 2002 käydyissä keskusteluissa tuotiin esiin se, että tiettyjen teknisten välineiden käytön vuoksi lain noudattaminen on mahdotonta rekisterinpitäjille. Toinen esiin tullut ongelma on se, miten tunnistetaan aidosti yksityisyyden suojaa parantava tekniikka. Jotkut vastaajat toivoivat jonkinlaista sertifiointia tai laatumerkintää, joka perustuu tuotteen riippumattomaan tarkastamiseen. Nykyisin jotkut itseään yksityisyyden suojaa parantavina mainostavat järjestelmät eivät ole edes yksityisyyden suojaa koskevien vaatimusten mukaisia. Tärkeimpänä ongelmana ei siten ole se, miten luoda yksityisyyden suojaa aidosti parantavaa tekniikkaa, vaan se, miten tällainen tekniikka identifioidaan ja miten käyttäjät tunnistavat sen. Sertifiointijärjestelmillä on tässä keskeinen asema, ja komissio seuraa edelleen tilanteen kehittymistä [27]. [27] Esimerkiksi Kanadassa liittovaltion hallituksesta tuli ensimmäinen kansallinen hallitus, joka teki yksityisyyden suojaan kohdistuvien vaikutusten arvioinnin pakolliseksi kaikissa liittovaltion ministeriöissä ja virastoissa kaikkien sellaisten ohjelmien ja palvelujen osalta, joissa yksityisyyden suojaa koskevat kysymykset saattavat aiheuttaa ongelmia. Virastojen on politiikan mukaan aloitettava kyseinen arviointi jo ohjelman tai palvelun suunnittelun tai uudistamisen alkuvaiheessa, jotta kehittämisprosessiin voitaisiin vaikuttaa ja samalla varmistaa, että yksityisyyden suoja kuuluu sen keskeisiin kysymyksiin. Saksan osavaltio Schleswig-Holsteinin on ottanut käyttöön sertifiointijärjestelmän, johon osallistuu samalla tavoin sekä julkinen että yksityinen sektori. Komissio katsoo, että tällaisia järjestelmiä olisi ehdottomasti edistettävä ja edelleen kehitettävä. Tavoitteena ei ole pelkästään luoda parempia yksityisyyden suojaa koskevia käytäntöjä, vaan myös lisätä avoimuutta ja siten käyttäjien luottamusta sekä antaa luottamusta lisääville ja yksityisyyden suojaa parantaville toimijoille mahdollisuus osoittaa suorituskykynsä ja hyödyntää sitä kilpailukyvyssään. 4.4. Tiettyjä säännöksiä koskevia kommentteja Tässä kertomuksessa käsitellään ainoastaan kunkin tapauksen tärkeimpiä seikkoja. Yksityiskohtaisempi käsittely seuraa erikseen julkaistavassa teknisessä liitteessä [28]. [28] www.europa.eu.int/comm/privacy 4.4.1. Direktiivin 4 artikla: Sovellettava oikeus Tämä on sisämarkkinoiden kannalta tärkeimpiä direktiivin säännöksiä, ja sen oikea soveltaminen on ratkaisevan tärkeää järjestelmän toiminnalle. Sen soveltaminen aiheuttaa useissa tapauksissa vaikeuksia siinä mielessä, että juuri sellaisia lainvalintaan liittyviä ongelmia saattaa ilmaantua, joita tällä artiklalla yritetään välttää. Joidenkin jäsenvaltioiden on muutettava lainsäädäntöään näiltä osin. Kyseinen säännös sai tarkastelussa osakseen hyvin paljon kritiikkiä. Vastauksissa kannatettiin alkuperämaata koskevaa sääntöä, jonka avulla monikansalliset organisaatiot voisivat toimia yhden säännöstön pohjalta kaikkialla EU:ssa. Lisäksi monien mielestä "välineiden käyttäminen" ei ole asianmukainen eikä käyttökelpoinen kriteeri määriteltäessä, sovelletaanko EU:n oikeutta EU:n ulkopuolelle sijoittautuneisiin rekisterinpitäjiin. Mitä tulee alkuperämaasääntöön, direktiivin mukaan on mahdollista järjestää tietojen käsittely yhden rekisterinpitäjän valvonnassa, mikä merkitsee sitä, että on noudatettava ainoastaan rekisterinpitäjän sijoittautumisvaltion tietosuojalainsäädäntöä. Tätä ei luonnollisesti sovelleta silloin, kun yritys on päättänyt käyttää sijoittautumisvapauttaan useammassa kuin yhdessä jäsenvaltiossa. Komissio on tietoinen siitä, että "välineiden käyttämistä" koskeva kriteeri ei välttämättä ole käytännössä helppokäyttöinen ja että sitä on selkeytettävä. Jos käsitteen selkeyttäminen ei riitä takaamaan sen soveltamista, saattaa osoittautua aiheelliseksi antaa muutosehdotus, jolla luodaan uusi yhdistävä tekijä sovellettavan lain määrittämiseksi. Komission ensisijaisena tavoitteena on kuitenkin varmistaa, että jäsenvaltiot panevat nykyisen säännöksen täytäntöön oikein. Tarvitaan lisää harkintaa ja direktiivin soveltamiskokemusta, tekniikan kehitys huomioon ottaen, ennen kuin 4 artiklan 1 kohdan c alakohtaan voidaan ehdottaa minkäänlaista muutosta. Vaikka lisäharkinta on tarpeen, olisi virheellistä antaa sellainen kuva, että koko 4 artikla on asetettu kyseenalaiseksi. Päin vastoin suuri osa sen soveltamista ei ole aiheuttanut kiistaa, ja tietosuojaviranomaiset ja komissio ovat kyseisistä osista yksimielisiä. 4.4.2. Direktiivin 6 ja 7 artikla: Tietojen laatu ja lainmukaisen käsittelyn edellytykset Kansallisen lainsäädännön tarkastelussa käy ilmi, että näiden säännösten täytäntöönpano on joskus puutteellista. Direktiivin 6 artiklan 1 kohdan b alakohdan mukaan tietojen myöhempi käsittely historiantutkimusta taikka tilastollisia tai tieteellisiä tarkoituksia varten on mahdollista, mutta ainoastaan sillä edellytyksellä, että käytetään tarvittavia suojatoimia. Suojatoimista ei ole säädetty kaikissa jäsenvaltioissa, kun taas tällainen myöhempi käsittely on yleensä sallittua. Direktiivin 7 artiklassa esitetyn luettelon osalta, joka sisältää lainmukaisen tietojenkäsittelyn edellytykset, jotkut jäsenvaltiot ovat joko menneet pidemmälle tai panneet luettelon puutteellisesti täytäntöön, ja kyseisten jäsenvaltioiden on muutettava lainsäädäntöään. "Yksiselitteisen suostumuksen" käsitettä (7 artiklan a kohta), erityisesti verrattuna artiklassa 8 olevaan "nimenomaisen suostumuksen" käsitteeseen, on tarpeen selkeyttää yhdenmukaisemman tulkinnan saavuttamiseksi. Toimijoiden on erityisesti online-toiminnoissa tiedettävä, mitä pidetään pätevänä suostumuksena. 4.4.3. Direktiivin 10 ja 11 artikla: Rekisteröityjen informointi Direktiivin 10 ja 11 artiklan soveltamisessa on eroja. Jossain määrin ne johtuvat virheellisestä täytäntöönpanosta, esimerkiksi jos laissa säädetään, että rekisteröidyille on aina annettava lisätietoja, direktiivissä säädetystä välttämättömyyttä koskevasta vaatimuksesta huolimatta. Toisaalta erot johtuvat myös valvontaviranomaisten vaihtelevista tulkinnoista ja käytännöistä. Vastauksissa korostettiin vaikeuksia, joita tällaisista eroista aiheutuu yleiseurooppalaisella tasolla toimiville monikansallisille yrityksille. [29] [29] Ks. esimerkiksi EPOF:n mielipiteet (European Privacy Officers Forum): 4.4.4. Direktiivin 18 ja 19 artikla: Ilmoitusta koskevat vaatimukset Monissa vastauksissa korostetaan tarvetta yksinkertaistaa ja lähentää jäsenvaltioiden vaatimuksia, jotka liittyvät rekisterinpitäjän velvollisuuteen ilmoittaa käsittelytoimista. Komissio on tästä samaa mieltä, mutta muistuttaa, että direktiivin mukaan jäsenvaltioiden on jo nyt mahdollista myöntää poikkeuksia ilmoitusvelvollisuudesta tapauksissa, joihin liittyy vain vähäinen riski tai joissa rekisterinpitäjä nimeää henkilötietojen suojaamisesta vastaavan henkilön. Näiden poikkeusten avulla saadaan aikaan riittävää joustavuutta vaarantamatta direktiivin takaamaa suojan tasoa. Muutamat jäsenvaltiot eivät valitettavasti ole käyttäneet näitä mahdollisuuksia. Komissio on kuitenkin samaa mieltä siitä, että nykyisten poikkeusmahdollisuuksien laajemman käytön lisäksi säännösten yksinkertaistaminen edelleen olisi hyödyllistä ja sen pitäisi olla mahdollista ilman, että voimassa olevia artikloja muutetaan. 4.4.5. Direktiivin 25 ja 26 artikla: Ulkoinen ulottuvuus Näiden kahden säännöksen soveltamisen osalta jäsenvaltioiden lainsäädännöissä on kohtuuttoman suuria eroja. Joissain jäsenvaltioissa omaksuttu lähestymistapa, jonka mukaan tietojen vastaanottajan suorittama suojan riittävyyden arviointi katsotaan rekisterinpitäjän tehtäväksi, ja kyseinen valtio tai kansallinen valvontaviranomainen valvoo tiedonsiirtoa vain rajoitetusti, ei näytä täyttävän 25 artiklan 1 kohdassa jäsenvaltioille asetettua vaatimusta [30]. [30] "Jäsenvaltioiden on säädettävä siitä, että (...) henkilötietojen siirto kolmanteen maahan voidaan suorittaa ainoastaan, jos kyseisessä kolmannessa maassa taataan tietosuojan riittävä taso". Myös muutamien muiden jäsenvaltioiden käytäntö, jonka mukaan kaikkiin siirtoihin kolmansiin maihin on hankittava hallinnollinen lupa [31], näyttää olevan ristiriidassa direktiivin IV luvun kanssa, jossa pyritään takaamaan sekä henkilötietojen siirrot kolmansiin maihin että kyseisten tietojen riittävä suoja, ilman tarpeettomia rasitteita. Direktiivin 19 artiklan nojalla voidaan edellyttää ilmoitusta kansallisille valvontaviranomaisille, mutta ilmoitukset eivät voi käytännössä muuttua luviksi tapauksissa, joissa siirto kolmanteen maahan on selvästi sallittu joko siitä syystä, että vastaanottaja on kohde, jonka katsotaan antavan riittävän suojan sellaisena kuin se on määritelty sitovassa komission päätöksessä, tai siksi että vastaanottaja on osapuolena komission hyväksymissä mallisopimuslausekkeissa tai että rekisterinpitäjä vakuuttaa siirron kuuluvan direktiivin 26 artiklan mukaisiin poikkeuksiin. Vaikka tietosuojaviranomainen saattaa perustellusti edellyttää tällaisten siirtojen ilmoittamista [32], kyseisille siirroille ei tarvita lupaa, koska ne ovat jo yhteisön oikeuden nojalla sallittuja. [31] Joissain jäsenvaltioissa edellytetään lupa siirroille, jotka kuuluvat 26 artiklan 1 kohdassa tarkoitettuihin poikkeuksiin, tai jopa sellaisille muihin jäsenvaltioihin suoritettaville siirroille, joiden antaman suojan tason Euroopan komissio on ilmoittanut riittäväksi. [32] Esimerkiksi tarkistaakseen, että mallisopimus vastaa täysin komission hyväksymää mallia tai että suojan riittävyyttä koskeva päätös tosiasiallisesti kattaa vastaanottajan. Joidenkin jäsenvaltioiden löyhä asenne on direktiivin vastainen ja uhkaa heikentää suojaa koko EU:ssa, koska direktiivin takaaman vapaan liikkuvuuden myötä tiedonsiirrot todennäköisesti ohjautuvat hallinnollisesti keveimpiin rajanylityspaikkoihin. Äärimmäisen tiukkaa lähestymistapaa noudatettaessa jätettäisiin kuitenkin huomiotta kansainvälisen kaupan tarpeet, maailmanlaajuisten televiestintäverkkojen todellisuus sekä se vaara, että aiheutetaan kuilu lain ja käytännön välille, mikä vahingoittaisi direktiivin ja koko yhteisön oikeuden uskottavuutta. Kansainväliset siirrot näyttävät itse asiassa olevan yksi niistä alueista, joilla täytäntöönpanotoimien puuttuminen aiheuttaa tällaisen kuilun. Kansallisten viranomaisten oletetaan ilmoittavan komissiolle, kun ne antavat siirroille direktiivin 26 artiklan 2 kohdan mukaisen luvan. Direktiivin tultua voimaan vuonna 1998 komissio on vastaanottanut hyvin vähän kyseisiä ilmoituksia. Vaikka 26 artiklan 2 kohdan lisäksi on muitakin lainmukaisia siirtoväyliä, saatujen ilmoitusten määrä on häviävän pieni siihen nähden, mitä voitaisiin perustellusti odottaa. Muut samansuuntaiset todisteet [33] viittaavat siihen, että tietoja siirretään luvattomasti ja mahdollisesti laittomasti kohteisiin tai vastaanottajille, jotka eivät takaa riittävää suojaa. Silti valvontaviranomaiset ovat vain vähäisessä määrin jos lainkaan ryhtyneet soveltamisen valvontatoimiin. [33] Tietosuojaviranomaisten kevätkonferenssissa vuonna 2001 hyväksytystä raportista kävi ilmi, että useimmat kansalliset valvontaviranomaiset eivät pystyneet ilmoittamaan sellaisten tietojenkäsittelyjen määrää, joihin liittyi kansainvälisiä tiedonsiirtoja. Jos luvut olivat saatavilla, ne olivat merkityksettömän pieniä (600 siirtoa Ranskasta, 1352 Espanjasta ja 150 Tanskasta). Luvan ja ilmoituksen edellyttävät siirrot aiheuttavat luonnollisesti melkoisen hallinnollisen rasitteen sekä tietojen viejille että valvontaviranomaisille. Siksi on suotavaa, että käytetään enemmän direktiivin 25 artiklan 6 kohdan ja 26 artiklan 4 kohdan mukaisia "pakettilupia". Tähän mennessä ne ovat tuottaneet vain neljä kappaletta kolmansiin maihin liittyviä riittävää tietosuojaa koskevia päätöksiä (Unkari, Sveitsi, Kanada ja Yhdysvaltojen Safe Harbor [34]) ja kaksi sarjaa mallisopimuslausekkeita: yksi joka koskee siirtoja rekisterinpitäjille kolmansiin maihin ja toinen tietojen käsittelijöille suoritettaviin siirtoihin. Kansainvälisten siirtojen ehtoja on vielä tarpeen yksinkertaistaa. [34] Komission päätös Argentiinaa koskevasta riittävästä tietosuojasta on myös valmistumassa. 5. ääni- ja kuvamuotoisten tietojen käsittely Direktiivin valmisteluvaiheessa jotkut olivat huolissaan siitä, että direktiivi ei selviytyisi tekniikan kehityksen aiheuttamasta haasteesta. Tulevan kehityksen laajuus oli epäselvä, mutta lähinnä tekstin käsittelyä varten laadittu direktiivi voi osoittautua hankalaksi, kun sitä sovelletaan ääni- ja kuvamuotoisten tietojen käsittelyyn. Tästä syystä 33 artikla sisältää selkeäsanaisen viittauksen ääni- ja kuvamateriaalia sisältävien tietojen käsittelyyn. Komissio on laatinut tämän kertomuksen ulkopuolisen alihankkijan tekemän, jäsenvaltioiden tilannetta analysoivan tutkimuksen pohjalta sekä niiden vastausten perusteella, joita on saatu jäsenvaltioilta itseltään samoin kuin kansallisilta valvontaviranomaisilta. Saadusta tiedosta käy ilmi, että ääni- ja kuvamuotoisen materiaalin käsittely kuuluu direktiivin kaikkien kansallisten täytäntöönpanosäädösten soveltamisalaan ja että direktiivin soveltaminen kyseisiin käsittelytyyppeihin ei ole osoittautunut erityisen ongelmalliseksi. Useimmissa jäsenvaltioissa samoja (yleisiä) säännöksiä sovelletaan ääni- ja kuvamuotoisten tietojen käsittelyyn samalla tavoin kuin muidenkin henkilötietojen käsittelyyn. Vain kaksi jäsenvaltioita (Saksa ja Luxemburg) ovat sisällyttäneet täytäntöönpanosäädöksiinsä ääni- ja kuvamuotoisen tiedon käsittelyä koskevia erityissäännöksiä. Kolmella jäsenvaltiolla (Tanska, Ruotsi ja Portugali) on erillisissä laeissa erityissäännöksiä videovalvonnasta. Direktiivin suunnitteluvaiheessa esitetyistä epäilyistä huolimatta jäsenvaltiot siis katsovat, että direktiivi on saavuttanut tavoitteensa olla sitoutumatta tiettyyn tekniikkaan, ainakin niiltä osin kuin kyse on ääni- ja kuvamuotoisen tiedon käsittelystä. Yksikään jäsenvaltio tai muu kyselyyn osallistunut taho ei ehdottanut tätä kysymystä koskevaa muutosta direktiiviin. Itävallan, Ruotsin, Suomen ja Yhdistyneen kuningaskunnan yhteisesti esittämissä ehdotuksissa oltiin jossain määrin huolestuneita siitä, selviytyykö direktiivi tietyistä tekniikan kehityssuunnista, mutta ne eivät sisällä tähän liittyviä konkreettisia ehdotuksia. Direktiivin täytäntöönpanosta järjestetyn konferenssin yhteydessä olleista workshopeista yhdessä käsiteltiin pelkästään tätä kysymystä. Pääaiheena oli videovalvonta, joka on kansallisten valvontaviranomaisten tähän asti eniten kommentoima aihe (seuraavaksi suosituin on biometriikka). Osallistujien käsityksen mukaan tähän asti ei ole käyty riittävää julkista keskustelua rajoista, jotka on tarpeen asettaa videovalvonnan käytölle, jotta turvattaisiin tietyt oikeudet ja vapaudet demokraattisessa yhteiskunnassa. Myös 29 artiklan mukainen työryhmä on käyttänyt paljon voimavaroja käsitellessään tätä aihetta ja on hyväksynyt valmisteluasiakirjan luonnoksen, joka on julkaistu komission tietosuojasivustossa ja johon pyydetään sidosryhmiltä kommentteja. Lisäksi on useita ääni- ja kuvamuotoisia tietoja koskevia oikeudellisia ja käytännön kysymyksiä, jotka liittyvät direktiivin soveltamiseen jäsenvaltioissa ja jotka aiheuttavat epävarmuutta säädöksiä soveltaville alan toimijoille samoin kuin yksityishenkilöille, jotka pyrkivät käyttämään tietosuojaa koskevia oikeuksiaan. Epävarmuutta on esimerkiksi direktiivin sisältämistä määritelmistä, missä määrin esimerkiksi yksittäistä kuvaa tai sormenjälkeä voidaan pitää henkilötietona niissä tapauksissa, joissa rekisterinpitäjä ei pysty tai ei hyvin todennäköisesti pysty tunnistamaan yksilöä, onko pelkää valvonta tietojen käsittelemistä tai miten arkaluonteisten tietojen käsitettä on kohtuullisesti tulkittava. Komissio myöntää, että kansallisissa täytäntöönpanosäädöksissä on vastaukset kaikkiin näihin kysymyksiin, mutta se katsoo, että asiassa tarvitaan lisää ohjausta. Tällaisen ohjauksen on oltava realistista ja käytännönläheistä, jos sen halutaan edistävän sääntöjen noudattamista, ja se olisi koordinoitava mahdollisimman pitkälti jäsenvaltioiden välillä. Komissio on tyytyväinen 29 artiklan mukaisen työryhmän tähänastiseen työhön tällä alalla ja kannustaa sitä sidosryhmien palautteen tukemana antamaan edelleen hyödyllisiä ohjeita. 6. tietosuojadirektiivin tehokkaampaa soveltamista koskeva työohjelma (2003-2004) Tämän kertomuksen sisältämä täytäntöönpanon analyysi jäsenvaltioissa osoittaa, mitkä ongelmat on ratkaistava, jotta direktiivillä olisi kaikki sen aiotut vaikutukset. Analyysia seuraava työsuunnitelma koostuu toimista, jotka toteutetaan ajanjaksolla tämän kertomuksen hyväksymisestä vuoden 2004 loppuun ja jotka edellyttävät Euroopan komission, jäsenvaltioiden (ehdokasmaat mukaan luettuina) ja niiden kansallisten valvontaviranomaisten ja joissain tapauksissa myös rekisterinpitäjien edustajien yhteisiä ponnistuksia. Edellä mainittu vakava ja yleinen huolenaihe on se, että vaatimustenmukaisuuden taso, soveltamisen valvonta ja tietoisuus eivät näytä oleva hyväksyttävällä tasolla. Komissio aikoo kaikkien jäljempänä lueteltavien aloitteiden osalta tehdä yhteistyötä jäsenvaltioiden, valvontaviranomaisten ja sidosryhmien kanssa näiden ongelmien syiden ja mahdollisten ratkaisujen löytämiseksi. Komission aloitteet Toimi 1: Jäsenvaltioiden ja tietosuojaviranomaisten kanssa käytävät keskustelut Vuonna 2003 komission yksiköt pitävät kahdenvälisiä kokouksia jäsenvaltioiden kanssa päätarkoituksenaan neuvotella kansallisiin lainsäädäntöihin tarvittavista muutoksista, jotta säädökset vastaisivat täysin direktiivin vaatimuksia. Toimivaltaisen tietosuojaviranomaisen osallistuminen saattaa olla tarpeen joissain kysymyksissä. Myös soveltamisen tehostetun valvonnan tarve voi olla näiden kahdenvälisten keskustelujen aiheena. Lisäksi olisi käsiteltävä valvontaviranomaisille osoitettujen resurssien puutetta. Kyseisiä kokouksia voidaan täydentää direktiivin virheellistä täytäntöönpanoa koskevilla keskusteluilla, joita käydään komission pääsihteeristön ja/tai sisämarkkinoiden pääosaston määräajoin järjestämissä "pakettikokouksissa" jäsenvaltioiden kanssa. Direktiivin 29 artiklan mukaisen työryhmän ja 31 artiklan mukaisen komitean keskusteluissa voidaan käsitellä monenvälisesti useita jäsenvaltioita koskevia tiettyjä kysymyksiä, mutta on itsestään selvää, että kyseiset keskustelut eivät missään tapauksessa voi käytännössä johtaa direktiivin muutokseen. Komissio ehdottaa, että tiettyjä asioita koskevien tapauskohtaisten keskustelujen lisäksi kukin ryhmä keskittyisi yhdessä kokouksessa käsittelemään tätä kysymystä vuoden 2003 aikana. Toimi 2: Ehdokasmaiden osallistuminen direktiivin soveltamista tehostaviin ja yhtenäistäviin toimiin Tässä kertomuksessa on keskitytty lähes pelkästään tilanteeseen 15 jäsenvaltiossa. Ennen kuin työsuunnitelma on saatettu päätökseen, 10 uutta jäsenvaltiota on liittynyt unioniin. Useiden ehdokasmaiden valvontaviranomaisten edustajat ovat osallistuneet 29 artiklan mukaisen työryhmän kokouksiin vuodesta 2002. Unioniin liittyvät maat kutsutaan liittymissopimusten allekirjoittamisesta alkaen kaikkiin kyseisen työryhmän ja 31 artiklan mukaisen komitean kokouksiin. Kahdenvälisiä keskusteluja ja ehkä myös vertaisarviointeja jatketaan mahdollisimman laajasti jäseneksi liittymiseen asti ja myös sen jälkeen, jotta uusien jäsenvaltioiden lainsäädäntö olisi mahdollisimman pitkälti direktiivin mukainen ja jotta rikkomisesta johtuvien menettelyjen määrä jäisi mahdollisimman pieneksi. Toimi 3: Direktiivin täytäntöönpanosäädöksiä ja direktiivin 26 artiklan 2 kohdan mukaisesti myönnettyjä lupia koskevien ilmoitusten tehostaminen Komission yksiköt jatkavat direktiivin soveltamista koskevien tietojen keräämistä tiiviissä yhteistyössä tietosuojaviranomaisten ja jäsenvaltioiden kanssa sekä aikovat erityisesti tunnistaa ne aihealueet, joilla ilmoitetuissa täytäntöönpanosäädöksissä on selviä aukkoja, ja paikata tällaiset aukot mahdollisimman nopeasti. Komissio tukee tarvittaessa parhaiden käytäntöjen vaihtoa. Komission käyttää perustamissopimuksen 226 artiklan mukaisia virallisia valtuuksiaan, jos tällainen yhteistoiminta (6.1, 6.2 ja 6.3 kohta) ei tuota tarvittavia tuloksia. Myös jäsenvaltioiden ja niiden valvontaviranomaisten on ryhdyttävä tarvittaviin toimiin ilmoittaakseen (direktiivin 26 artiklan 3 kohdan mukaisesti) direktiivin 26 artiklan 2 kohdan mukaisista kansallisista luvista kansainvälisille siirroille. Komissio keskustelee tästä jäsenvaltioiden ja niiden valvontaviranomaisten kanssa sekä varmistaa parhaiden käytäntöjen vaihdon. Komissio avaa verkkosivustoonsa uuden sivun [35], johon se liittää jäsennellysti kaikki tämän kertomuksen laadintaa varten kerätyt tiedot sekä tämän työsuunnitelman puitteissa toteutettavia toimia koskevat tiedot. Lisäksi se aikoo pyytää, että kansalliset valvontaviranomaiset antaisivat verkkosivustoon liitettäviksi tietosuojaviranomaisten päätökset ja suositukset ja niiden antamat tärkeät ohjeet. Tässä painotetaan aihealueita, joilla tarvitaan yhtenäisempää lain tulkintaa ja soveltamista. [35] www.europa.eu.int/comm/privacy Direktiivin 29 artiklan mukaisen työryhmän osuus [36] [36] Tämä luettelo, joka ei vaikuta 29 artiklan mukaisen työryhmän yleiseen työohjelmaan, on saatavissa osoitteessa http://europa.eu.int/comm/internal_market/ privacy/docs/wpdocs/2003/wp71_en.pdf Komissio suhtautuu myönteisesti työryhmän saavutuksiin direktiivin yhtenäisemmäksi soveltamiseksi. Se haluaa muistuttaa avoimuuden merkityksestä tässä prosessissa ja kannustaa työryhmää jatkamaan avoimuutta lisääviä pyrkimyksiään. Toimi 4: Soveltamisen valvonta Komissio kehottaa 29 artiklan mukaista työryhmää järjestämään määräajoin keskusteluja paremmasta soveltamisen valvonnasta yleensä. Tämän pitäisi johtaa muun muassa parhaiden käytäntöjen vaihtoon ja käyttöönottoon. Työryhmän olisi lisäksi harkittava alakohtaisten tutkimusten aloittamista EU:n tasolla sekä aiheeseen liittyvien normien lähentämistä. Tällaisten yhteistutkimusten tavoitteena olisi antaa tarkempi kuva tietosuojadirektiivin täytäntöönpanosta yhteisössä ja antaa sovittuja suosituksia ja käytännön ohjeita asianomaisille aloille, jotta parannetaan direktiivin noudattamista mahdollisimman kevein keinoin. Toimi 5: Tietojenkäsittelystä ilmoittaminen ja käsittelyn julkistaminen Euroopan komissio on pitkälti samaa mieltä rekisterinpitäjien esittämästä kritiikistä, joka koskee heidän sisällöltään erilaista ilmoitusvelvollisuuttaan. Komissio suosittelee, että käytettäisiin useammin poikkeuksia ja erityisesti 18 artiklan 2 kohdassa tarkoitettua mahdollisuutta eli nimetään henkilötietojen suojaamisesta vastaava henkilö, mikä muodostaa poikkeuksen ilmoitusta koskeviin vaatimuksiin. Komissio kehottaa 29 artiklan mukaista työryhmää edistämään direktiivin yhtenäisempää soveltamista antamalla ehdotuksia, jotka koskevat ilmoitusvaatimusten merkittävää yksinkertaistamista jäsenvaltioissa ja monissa jäsenvaltioissa toimivien monikansallisten yritysten tekemiä ilmoituksia helpottavia yhteistyöjärjestelmiä. Kyseisiin ehdotuksiin saattaa olla tarpeen sisällyttää kansallisen lainsäädännön muutosehdotuksia. Komissio on valmistautunut esittämään ehdotuksia itse, jos työryhmä ei kykene niitä antamaan kohtuullisen ajan (12 kuukauden) kuluessa. Toimi 6: Yhtenäisemmät informointia koskevat säännökset Komissio on samaa mieltä siitä, että nykyinen kirjava tilanne, jossa rekisterinpitäjien rekisteröidyille antamaa informaatiota koskevat vaatimukset vaihtelevat ja ovat päällekkäisiä, on talouden toimijoille tarpeettoman raskas parantamatta silti suojan tasoa. Rekisterinpitäjille asetettujen informointivaatimusten ollessa ristiriidassa direktiivin kanssa tilanteen toivotaan korjaantuvan nopeasti jäsenvaltioiden kanssa käytävän vuoropuhelun ja niiden tekemien korjaavien lainsäädäntötoimien avulla. Lisäksi komissio kehottaa 29 artiklan mukaista työryhmää yhteistyöhön 10 artiklan yhtenäisemmän tulkinnan saavuttamiseksi. Toimi 7: Kansainvälisiä siirtoja koskevien vaatimusten yksinkertaistaminen Samaan aikaan kun käydään keskusteluja, joiden tarkoituksena on saada aikaan direktiivin paremman noudattamisen edellyttämät muutokset jäsenvaltioiden lainsäädäntöihin, komissio kehottaa 29 artiklan mukaista työryhmää käyttämään kansainvälisen valitusten käsittelyä koskevan workshopin tuoreinta kertomusta seuraavien keskustelujen pohjana, jotta jäsenvaltioiden nykyisiä käytäntöjä voitaisiin lähentää merkittävästi ja yksinkertaistaa kansainvälisten tiedonsiirtojen ehtoja. Komissio itse aikoo käyttää laajemmin 25 artiklan 6 kohdan ja 26 artiklan 4 kohdan mukaisia valtuuksiaan. Kyseiset säännökset sisältävät parhaat keinot yksinkertaistaa sääntelykehystä talouden toimijoille ja samalla varmistaa EU:n ulkopuolelle siirrettyjen tietojen riittävä suoja. Komissio toivoo edistystä seuraavilla neljällä aihealueella tehdessään yhteistyötä 29 artiklan mukaisen työryhmän ja 31 artiklan mukaisen komitean kanssa: a) direktiivin 25 artiklan 6 kohdan mukaisten, kolmansien maiden antamaa riittävää suojaa koskevien päätelmien laajempi käyttö, unohtamatta kuitenkaan tasapuolista lähestymistapaa kolmansiin maihin EU:n WTO-velvoitteita noudattaen b) direktiivin 26 artiklan 4 kohtaan perustuvat lisäpäätökset, jotta talouden toimijoilla olisi käytössään laajempi vakiosopimuslausekkeiden valikoima, joka perustuu mahdollisimman pitkälti elinkeinoelämän edustajien, esimerkiksi kansainvälisen kauppakamarin tai muiden yritysjärjestöjen esittämiin lausekkeisiin c) sitovien yrityssääntöjen asema (säännöt jotka sitovat yritysryhmittymiä eri lainkäyttöalueilla sekä EU:ssa että sen ulkopuolella) yritysryhmittymän sisäisten henkilötietojen siirtojen asianmukaisissa suojatoimissa d) direktiivin 26 artiklan 1 kohdan (sallitut poikkeukset kolmansiin maihin tehtävien siirtojen riittävään suojan tasoon) sekä sen kansallisten täytäntöönpanosäädösten yhtenäisempi tulkinta. Työ olisi suoritettava noudattaen asianmukaista avoimuutta ja ottaen huomioon sidosryhmien määräajoin antamat palautteet. Muut aloitteet Toimi 8: Yksityisyyden suojaa parantavan tekniikan edistäminen Komissio on jo aloittanut työskentelyn yksityisyyden suojaa edistävän tekniikan alalla ja erityisesti tutkimuksen tasolla, esimerkiksi RAPID- [37] ja PISA [38]-hankkeet. [37] Roadmap for Advanced Research in Privacy and Identity Management. [38] Privacy-Enhancing Intelligent Software Agents. Komissio ehdottaa teknisen workshopin järjestämistä vuonna 2003, jotta parannettaisiin yksityisyyden suojaa parantavan tekniikan tuntemusta ja järjestettäisiin tilaisuus keskustella perusteellisesti mahdollisista toimenpiteistä, joiden avulla voitaisiin edistää yksityisyyden suojaa parantavan tekniikan kehittämistä ja käyttöä, esimerkiksi laatumerkintöjen, sertifiointijärjestelmien ja yksityisyyden suojaan kohdistuvien vaikutusten arviointien (PIAs) [39] mahdollista asemaa Euroopassa. [39] Privacy Impact Assessments. Komissio kehottaa työryhmää jatkamaan yksityisyyden suojaa parantavaa tekniikkaa koskevia keskusteluja ja pohtimaan toimenpiteitä, joihin kansalliset valvontaviranomaiset voisivat ryhtyä edistääkseen kansallisella tasolla kyseisen tekniikan käyttöä. Teknisen workshopin ja saadun palautteen jälkeen komissio antaa yksityisyyden suojaa parantavaa tekniikkaa koskevia yhteisötason lisäehdotuksia. Kyseisissä ehdotuksissa kiinnitetään erityistä huomiota tarpeeseen kannustaa valtioita ja julkisen sektorin instituutioita olemaan hyvänä esimerkkinä käyttämällä yksityisyyden suojaa parantavaa tekniikkaa omissa tietojen käsittelyissä, esimerkiksi sähköisen hallinnon sovelluksissa. Toimi 9: Itsesääntelyn ja eurooppalaisten käytännesääntöjen edistäminen Komissio on pettynyt siihen, että niin harvat organisaatiot ovat esittäneet alakohtaisia käytännesääntöjä, joita voitaisiin käyttää yhteisön tasolla. Komissio pyrkii edelleen kannustamaan tällaisten käytännesääntöjen laadintaa ja antaa ohjeita ehdotuksille, jotka esitetään 29 artiklan mukaiselle työryhmälle [40] (käytettävissä olevien resurssien sallimissa rajoissa). Se kannustaa elinkeinoelämän sektoreita ja sidosryhmiä olemaan merkittävästi aiempaa aktiivisempia, koska se katsoo, että itsesääntelyn ja erityisesti käytännesääntöjen olisi oltava merkittävämmässä asemassa tietosuoja-alalla EU:ssa ja sen ulkopuolella varsinkin kohtuuttoman yksityiskohtaisen lainsäädännön välttämiseksi. [40] Direktiivin 29 artiklan mukainen työryhmä harkitsee parhaillaan seuraavia ehdotuksia: Euroopan suoramarkkinointiliiton (FEDMA) esittämät suoramarkkinoinnin käytännesäännöt; AESC:n (Association of Executive Search Consultants) ehdottamat käytännesäännöt kykyjenetsijöiden (head-hunters) suorittamaan tietojenkäsittelyyn; tieto- ja viestintätekniikka-alan Euroopan tason yhteistyöfoorumi ETP:n (European Telecommunications Platform) esittämät kutsuvan tilaajan tunnistusta koskevat yleiseurooppalaiset käytännesäännöt. Kansainvälisen lentokuljetusliiton (IATA) aiempi ehdotus ei täyttänyt direktiivin 27 artiklan mukaisia vaatimuksia, mutta 29 artiklan mukainen työryhmä suhtautui siihen myönteisesti 13. syyskuuta 2001 antamassaan lausunnossa WP 49. http://europa.eu.int/comm/internal_market/ privacy/docs/wpdocs/2001/wp49en.pdf Samaan asiaan liittyen komissio ilmaisi työmarkkinaosapuolille osoittamassaan tietosuojaa työpaikoilla koskevassa kuulemisasiakirjassa pitävänsä erittäin tärkeänä, että nämä aloittavat neuvottelut alan eurooppalaisen sopimuksen saavuttamiseksi. Komissio pahoittelee sitä, että työmarkkinaosapuolet eivät ole sopineet tämän alan neuvotteluista, ja toivoo, että jatkossa tarkastellaan mahdollisuutta tehdä alaa koskevia työehtosopimuksia. Toimi 10: Tietoisuuden lisääminen Komissio aikoo aloittaa Eurobarometri-selvityksen, joka noudattaa vuonna 2002 järjestetyn online-kuulemisen kysymysten päälinjoja. Komissio toivoo, että jotkut tietosuojaviranomaiset osallistuvat tähän hankkeeseen ja että tietosuojaa koskevat kysymykset nostetaan yhteisvoimin julkisen keskustelun aiheeksi. Se kannustaa jäsenvaltioita käyttämään enemmän resursseja tietoisuuden lisäämiseen, erityisesti kansallisten valvontaviranomaisten talousarvion puitteissa. 7. Päätelmät Tämä kertomus on ensimmäinen vaihe direktiivin 95/46/EY soveltamista koskevan tiedon tarkastelussa ja niiden toimien määrittämisessä, jotka ovat tarpeen esiin tulleiden pääasiallisten ongelmien ratkaisemiseksi. Komissio toivoo, että tämä analyysi auttaa valtioita, tietosuojaviranomaisia ja alan toimijoita saamaan selkeämmän kuvan siitä, mitä on tehtävä, jotta direktiiviä sovellettaisiin tehokkaammin EU:ssa, painottaen tarmokkaampaa soveltamisen valvontaa, parempaa vaatimustenmukaisuutta sekä omien oikeuksien ja velvoitteiden parempaa tuntemusta rekisteröityjen ja rekisterinpitäjien piirissä. Komissio odottaa, että jäsenvaltiot muuttavat tarpeen mukaan lainsäädäntöään direktiivin säännösten mukaisiksi antavat riittävät resurssit valvontaviranomaisten käyttöön. Lisäksi komissio odottaa, että jäsenvaltiot ja valvontaviranomaiset ryhtyvät kohtuullisiin toimenpiteisiin luodakseen ympäristön, jossa rekisterinpitäjät - myös muut kuin yleiseurooppalaisella ja/tai kansainvälisellä tasolla toimivat - kykenevät täyttämään velvoitteensa yksinkertaisemmalla ja vähemmän rasitteita aiheuttavalla tavalla, sekä välttääkseen sellaisten vaatimusten asettamista, jotka voitaisiin poistaa vahingoittamatta vakavasti direktiivin takaamaa korkeatasoista suojaa. Komissio kannustaa kansalaisia käyttämään laissa säädettyjä oikeuksiaan sekä rekisterinpitäjiä suorittamaan toimet, jotka ovat tarpeen lainsäädännön noudattamisen takaamiseksi. Komissio seuraa tiiviisti tekniikan kehitystä ja tässä kertomuksessa esitetyn työohjelman tuloksia sekä tekee seurantaa koskevia ehdotuksia vuoden 2004 loppuun mennessä, jolloin sekä komissiolla että jäsenvaltioilla on nykyistä paljon enemmän kokemusta tietosuojadirektiivin täytäntöönpanosta.