27.10.2007   

FI

Euroopan unionin virallinen lehti

C 255/1

1.

Komissio lähetti 7. maaliskuuta 2007 Euroopan tietosuojavaltuutetulle tiedonannon Euroopan parlamentille ja neuvostolle tietosuojadirektiivin tehokkaampaa soveltamista koskevan työohjelman seurannasta (3). Euroopan tietosuojavaltuutettu antaa tämän lausunnon asetuksen (EY) N:o 45/2001 41 artiklan mukaisesti.

2.

Tiedonannossa vahvistetaan direktiivin 95/46/EY (4) merkitys ratkaisevana käänteenä henkilötietojen suojan kehityksessä, ja siinä käsitellään direktiiviä ja sen soveltamista kolmessa luvussa: mennyt, nykyhetki ja tulevaisuus. Tiedonannon keskeinen johtopäätös on, että direktiiviä ei tulisi muuttaa. Direktiivin soveltamista olisi tehostettava edelleen muilla politiikan välineillä, joista useimmat eivät ole luonteeltaan sitovia.

3.

Euroopan tietosuojavaltuutettu noudattaa tässä lausunnossa tiedonannon rakennetta. Euroopan tietosuojavaltuutettu on ennen kaikkia samaa mieltä tiedonannon keskeisestä johtopäätöksestä, jonka mukaan direktiiviä ei tulisi muuttaa.

4.

Euroopan tietosuojavaltuutetun kanta perustuu kuitenkin myös käytännön syihin. Euroopan tietosuojavaltuutetun lähtökohdat ovat seuraavat:

5.

Nämä lähtökohdat ovat keskeisiä, koska direktiivi toimii dynaamisessa ympäristössä. Ensinnäkin Euroopan unioni muuttuu: tietojen vapaasta liikkuvuudesta jäsenvaltioiden välillä sekä jäsenvaltioiden ja kolmansien maiden välillä on tullut tärkeää ja tulee yhä tärkeämpää. Yhteiskuntakin muuttuu. Tietoyhteiskunta kehittyy, ja siinä on yhä enemmän valvontayhteiskunnan piirteitä (5). Tämän uuden todellisuuden huomioon ottaminen täysin tyydyttävällä tavalla edellyttää yhä tehokkaampaa henkilötietojen suojaa.

6.

Euroopan tietosuojavaltuutettu käsittelee tiedonantoa koskevassa arvioinnissaan seuraavia näkökohtia, jotka ovat kyseisten muutosten kannalta olennaisia:

7.

Tietosuojadirektiivin täytäntöönpanosta 15. toukokuuta 2003 annettu ensimmäinen kertomus sisälsi direktiivin tehokkaampaa soveltamista koskevan työohjelman, jossa lueteltiin kymmenen vuosina 2003 ja 2004 toteutettavaa aloitetta. Tiedonannossa kuvataan, miten kukin näistä aloitteista on pantu täytäntöön.

8.

Työohjelmaan kuuluvia toimia koskevan analyysin perusteella tiedonannossa esitetään myönteinen arvio direktiivin täytäntöönpanossa saavutetuista parannuksista. Komission arviossa, josta esitetään yhteenveto tiedonannon luvun 2 otsikoissa (tämänhetkinen tilanne), todetaan pääasiassa, että: täytäntöönpano on parantunut, vaikka eräissä jäsenvaltioissa se on kuitenkin ollut puutteellista; joskus eroja esiintyy edelleen mutta ne johtuvat lähinnä direktiivin jäsenvaltioille jättämästä liikkumavarasta eivätkä missään nimessä aiheuta todellisia ongelmia sisämarkkinoille. Direktiivin sisältämät oikeudelliset ratkaisut ovat osoittautuneet sisällöltään asianmukaisiksi tietosuojaa koskevan perusoikeuden takaamiseksi teknologian kehitys ja yleisen edun asettamat vaatimukset huomioon ottaen.

9.

Euroopan tietosuojavaltuutettu on yhtä mieltä myönteisen arvion pääkohdista. Euroopan tietosuojavaltuutettu myöntää, että rajat ylittävien tietovirtojen alalla on toteutettu merkittäviä toimia: kolmansien maiden tietosuojan riittävyyden toteavat päätökset, uudet vakiosopimuslausekkeet, konsernin sisäisten sitovien sääntöjen hyväksyminen, direktiivin 26 artiklan 1 kohdan yhtenäisemmän tulkinnan pohtiminen ja 26 artiklan 2 kohdan mukaisesti annettavien ilmoitusten parantaminen helpottavat kaikki henkilötietojen kansainvälisiä siirtoja. Yhteisöjen tuomioistuimen oikeuskäytäntö (6) on kuitenkin osoittanut, että tällä erittäin tärkeällä alalla riittää vielä tehtävää, jotta voidaan ottaa huomioon sekä teknologiassa että lain soveltamisen valvonnassa tapahtuva kehitys.

10.

Tiedonannossa osoitetaan myös, että valvonta ja tiedotus ovat keskeisiä kysymyksiä edistettäessä tehokkaampaa täytäntöönpanoa ja niitä voitaisiin hyödyntää enemmän. Lisäksi parhaiden käytäntöjen vaihdolla ja ilmoitusten ja tiedotusta koskevien säännösten yhdenmukaistamisella on onnistuttu karsimaan byrokratiaa ja vähentämään yrityksille aiheutuvia kustannuksia

11.

Lisäksi menneen analysointi vahvistaa sen, että tehostaminen ei onnistu ilman, että siihen osallistuu monia sidosryhmiä. Komissio, tietosuojaviranomaiset ja jäsenvaltiot ovat keskeisiä toimijoita useimmissa toteutetuista toimista. Yksityisillä osapuolilla on kuitenkin yhä kasvava merkitys erityisesti, kun on kyse itsesääntelyn ja eurooppalaisten käytännesääntöjen edistämisestä tai yksityisyyden suojaa parantavien teknologioiden kehittämisestä.

12.

Monet syyt puoltavat komission johtopäätöstä, jonka mukaan nykyiset olosuhteet huomioon ottaen ja lyhyellä aikavälillä ei ole tarpeen harkita direktiivin muuttamista koskevaa ehdotusta.

13.

Komissio esittää väitteensä perusteeksi kaksi syytä. Ensinnäkin direktiivin koko potentiaalia ei ole vielä täysin hyödynnetty. Direktiivin täytäntöönpanoa jäsenvaltioiden lainkäyttöalueilla voidaan vielä huomattavasti tehostaa. Toiseksi komissio toteaa, että vaikka direktiivi jättää jäsenvaltioille liikkumavaraa, ei ole näyttöä siitä, että siitä aiheutuisi todellisia ongelmia sisämarkkinoille.

14.

Mainituista kahdesta syystä komissio muotoilee johtopäätöksensä seuraavasti. Se esittää, mitä direktiivillä pitäisi tehdä korostaen luottamuksen varmistamista, minkä jälkeen se toteaa, että direktiivi toimii myös vertailukohtana, sitä voidaan soveltaa teknologiasta riippumatta ja se tarjoaa edelleen kestävän ja tarkoituksenmukaisen ratkaisun (7).

15.

Euroopan tietosuojavaltuutettu on tyytyväinen johtopäätöksen muotoilutapaan mutta katsoo, että sitä voitaisiin lujittaa edelleen kahdella lisäperusteella:

16.

Luonnollisten henkilöiden perusoikeus henkilötietojensa suojaan tunnustetaan Euroopan unionin perusoikeuskirjan 8 artiklassa, ja se vahvistetaan muun muassa yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä 28. tammikuuta 1981 tehdyssä Euroopan neuvoston yleissopimuksessa 108. Direktiivi on yleinen kehys, joka sisältää kyseisen perusoikeuden keskeiset tekijät konkretisoiden ja laajentaen yleissopimukseen sisältyviä oikeuksia ja vapauksia (8).

17.

Perusoikeudella pyritään suojelemaan kansalaista kaikissa olosuhteissa demokraattisessa yhteiskunnassa. Perusoikeuden keskeisiä tekijöitä ei pitäisi voida helposti muuttaa yhteiskunnallisten tapahtumien tai vallassa olevien hallitusten poliittisten mieltymysten vuoksi. Esimerkiksi terroristijärjestöjen yhteiskuntaan kohdistamat uhat voivat johtaa joissakin tapauksissa erilaiseen tulokseen, koska henkilön perusoikeuteen voi olla tarpeen puuttua merkittävämmällä tavalla, mutta ne eivät koskaan saa vaikuttaa itse oikeuden keskeisiin tekijöihin tai estää yksityishenkilöä käyttämästä oikeutta tai rajoittaa sen käyttöä.

18.

Direktiivin toinen piirre on, että sillä pyritään edistämään vapaata tiedonkulkua sisämarkkinoilla. Myös tätä toista tavoitetta voidaan pitää perustavana yhä laajentuvilla sisämarkkinoilla, joilla ei ole sisärajoja. Kansallisen lainsäädännön keskeisten säännösten yhdenmukaistaminen on yksi tärkeimmistä välineistä varmistettaessa kyseisten sisämarkkinoiden toteuttaminen ja toiminta. Siinä konkretisoituu jäsenvaltioiden keskinäinen luottamus toistensa oikeusjärjestelmään. Muutoksia olisi myös näistä syistä harkittava asianmukaisesti, koska ne voivat vaikuttaa keskinäiseen luottamukseen.

19.

Direktiivin kolmas piirre on, että sitä on pidettävä yleisenä säädöskehyksenä, johon tietyt muut erityissäädökset perustuvat. Tällaisia erityissäädöksiä ovat muun maussa yleisen säädöskehyksen täytäntöönpanotoimenpiteet sekä tiettyjä aloja koskevat erityissäädökset. Sähköisen viestinnän tietosuojadirektiivi 2002/58/EY (9) on yksi tällaisista erityissäädöksistä. Yhteiskunnallisten muutosten seurauksena olisi aina mahdollisuuksien mukaan muutettava täytäntöönpanotoimenpiteitä tai erityissäädöksiä eikä niiden perustana olevaa yleistä säädöskehystä.

20.

Euroopan tietosuojavaltuutetun mukaan johtopäätös olla muuttamatta direktiiviä nyt on myös hyvää hallintoa ja lainsäädäntöpolitiikkaa koskevien yleisten periaatteiden looginen seuraus. Säädösehdotuksia — riippumatta siitä, onko niissä kyse yhteisön uusista toimialoista vai nykyisten lainsäädäntöjärjestelyjen muuttamisesta — olisi annettava vain, jos niiden tarve ja oikeasuhteisuus on riittävällä tavalla osoitettu. Säädösehdotuksia ei pitäisi antaa, jos samaan tulokseen päästäisiin käyttämällä muita välineitä, joiden vaikutukset eivät ole niin laajoja.

21.

Nykyisissä olosuhteissa tarvetta direktiivin muuttamiseen tai sen oikeasuhteisuutta ei ole osoitettu. Euroopan tietosuojavaltuutettu palauttaa mieleen, että direktiivissä säädetään yhteisön oikeuden mukaisen tietosuojan yleisestä säädöskehyksestä. Sillä on yhtäältä suojattava yksilöiden oikeudet ja vapaudet henkilötietojen käsittelyssä ja erityisesti heidän oikeutensa yksityisyyden suojaan ja toisaalta henkilötietojen vapaa liikkuvuus yhteisössä.

22.

Yleistä säädöskehystä ei pitäisi muuttaa ennen kuin jäsenvaltiot ovat panneet sen kaikilta osin täytäntöön, ellei ole olemassa selviä merkkejä siitä, että direktiivin tavoitteita ei voida saavuttaa nykyisen kehyksen mukaisesti. Euroopan tietosuojavaltuutettu katsoo, että komissio on nykytilanteessa riittävällä tavalla osoittanut, että direktiivin koko potentiaalia ei ole käytetty täysin hyväksi (ks. tämän lausunnon III luku). Vastaavasti ei ole myöskään näyttöä siitä, että tavoitteita ei voitaisi saavuttaa nykyisen kehyksen mukaisesti.

23.

Myös tulevaisuudessa on huolehdittava, että tietosuojaperiaatteet antavat tehokkaan suojan luonnollisille henkilöille ottaen huomioon direktiivin dynaamisen toimintaympäristön (ks. tämän lausunnon 5 kohta) ja tämän lausunnon 6 kohdassa esitetyt näkökohdat: soveltamisen tehostaminen, vuorovaikutus teknologian kanssa, maailmanlaajuinen yksityisyyden suoja ja lainkäyttöalue, tietosuoja ja lain noudattamisen valvonta sekä uudistussopimus. Tarve soveltaa tietosuojaperiaatteita kaikilta osin asettaa direktiivin tulevia muutoksia koskevat vaatimukset. Euroopan tietosuojavaltuutettu muistuttaa jälleen kerran, että pidemmällä aikavälillä direktiiviä on väistämättä muutettava.

24.

Tulevien toimenpiteiden sisällön osalta Euroopan tietosuojavaltuutettu esittää jo tässä vaiheessa joitakin seikkoja, jotka ovat hänen mielestään keskeisiä Euroopan unionin tulevassa tietosuojajärjestelmässä. Niihin kuuluu muun muassa seuraavaa:

25.

Tiedonannossa mainitaan uuden teknologian asettamien haasteiden osalta direktiivin 2002/58/EY meneillään oleva tarkastelu ja mahdollinen tarve antaa yksityiskohtaisempia säännöksiä, joilla ratkaistaan esim. Internet- ja RFID-teknologioihin liittyvät tietosuojakysymykset (10). Euroopan tietosuojavaltuutettu on tyytyväinen tarkasteluun ja muihin toimiin, vaikka katsookin, että niiden ei pitäisi liittyä yksinomaan teknologian kehitykseen vaan niissä olisi otettava huomioon koko dynaaminen toimintaympäristö ja pitkällä aikavälillä myös direktiivi 95/46/EY. Lisäksi toimet on keskitettävä. Tiedonanto jää valitettavan avoimeksi:

Euroopan tietosuojavaltuutettu ehdottaa, että komissio tarkentaa näitä seikkoja.

26.

Tulevien muutosten edellytyksenä on oltava, että direktiivin nykyiset säännökset on pantu kaikilta osin täytäntöön. Täytäntöönpano alkaa direktiivin oikeudellisten vaatimusten noudattamisesta. Tiedonannossa todetaan (11), että jotkut jäsenvaltiot eivät ole panneet täytäntöön eräitä tärkeitä direktiivin säännöksiä, joilla tarkoitetaan tässä yhteydessä erityisesti valvontaviranomaisten riippumattomuutta koskevia säännöksiä. Komission tehtävä on valvoa noudattamista ja tarvittaessa käyttää EY:n perustamissopimuksen 226 artiklan mukaisia toimivaltuuksiaan.

27.

Komissio suunnittelee tiedonannon antamista eräiden säännösten tulkinnasta, erityisesti sellaisten säännösten, joista voi olla seurauksena rikkomisesta johtuvan menettelyn aloittaminen EY:n perustamissopimuksen 226 artiklan mukaisesti.

28.

Lisäksi direktiivillä otetaan käyttöön muita menetelmiä, joilla soveltamista voidaan tehostaa. Erityisesti direktiivin 30 artiklassa luetellut 29 artiklan työryhmän tehtävät on suunniteltu tätä tarkoitusta varten. Niillä on tarkoitus kannustaa jäsenvaltioita soveltamaan korkeatasoista ja yhdenmukaista tietosuojan tasoa, jossa mennään pidemmälle kuin mitä direktiivin velvoitteiden noudattaminen tiukasti ottaen edellyttää. Työryhmä on tässä tehtävässä vuosien kuluessa laatinut monia lausuntoja ja muita asiakirjoja.

29.

Euroopan tietosuojavaltuutetun mielestä direktiivin täysimääräiseen täytäntöönpanoon kuuluu kaksi seikkaa:

Euroopan tietosuojavaltuutettu korostaa, että molemmat seikat olisi selvästi erotettava toisistaan niiden erilaisten oikeudellisten seurausten sekä niihin liittyvien vastuualueiden vuoksi. Yleisenä sääntönä voisi olla, että komission olisi otettava täysi vastuu ensimmäisestä seikasta, kun taas toinen seikka voisi olla pääasiassa työryhmän vastuulla.

30.

Olisi eroteltava tarkemmin käytettävissä olevat välineet, joilla voidaan tehostaa direktiivin täytäntöönpanoa. Näihin kuuluvat:

31.

Euroopan tietosuojavaltuutettu ehdottaa komissiolle, että se ilmoittaisi selvästi, miten se aikoo käyttää näitä eri välineitä politiikkansa laatimisessa tämän tiedonannon perusteella. Komission olisi tuossa yhteydessä myös tehtävä selvä ero oman vastuualueensa ja työryhmän vastuualueen välillä. Tästä riippumatta on sanomattakin selvää, että komission ja työryhmän toimiva yhteistyö on kaikissa olosuhteissa onnistumisen edellytys.

32.

Lähtökohtana on, että direktiivin säännökset muotoillaan tekniikasta riippumattomalla tavalla. Tiedonannossa teknologisen puolueettomuuden korostaminen liitetään teknologian kehitykseen, kuten Internetiin, kolmansien maiden tarjoamien palvelujen käyttämiseen, RFID:hen ja ääni- ja kuvamateriaalin yhdistämiseen perustuvaan automaattiseen tunnistukseen. Toimet ovat kahdenlaisia. Ensinnäkin erityisohjaus, joka koskee tietosuojaperiaatteiden soveltamista muuttuvassa teknologisessa ympäristössä ja jossa työryhmällä ja sen Internet-erityistyöryhmällä on merkittävä tehtävä (13). Toiseksi komissio voisi itse ehdottaa alakohtaista lainsäädäntöä.

33.

Euroopan tietosuojavaltuutettu katsoo, että tämä lähestymistapa on tärkeä ensiaskel. Pitkällä aikavälillä saatetaan kuitenkin tarvita muita perustavampia toimia. Tällä tiedonannolla voitaisiin aloittaa tällainen pitkän aikavälin lähestymistapa. Euroopan tietosuojavaltuutettu ehdottaa, että lähestymistavasta keskusteltaisiin tiedonannon jatkotoimena. Lähestymistapa voisi koostua muun muassa seuraavasta:

34.

Ensinnäkin vuorovaikutus teknologian kanssa on kaksisuuntaista. Yhtäältä uusi kehittyvä teknologia saattaa edellyttää tietosuojaa koskevan säädöskehyksen muuttamista. Toisaalta yksilöiden henkilötietojen tehokas suoja voi myös edellyttää uusia rajoituksia tai asianmukaisia suojatoimia tiettyjen teknologioiden käytölle, millä on vieläkin kauaskantoisempia vaikutuksia. Uutta teknologiaa voitaisiin kuitenkin myös käyttää tehokkaasti yksityisyyden suojaa edistävällä tavalla.

35.

Toiseksi voidaan tarvita joitakin erityisrajoituksia, jos valtion viranomaiset käyttävät uutta teknologiaa julkisissa tehtävissään. Hyvänä esimerkkinä tästä voidaan mainita yhteentoimivuutta ja tietojen saatavuutta koskevat keskustelut, joita käydään vapauden, turvallisuuden ja oikeuden aluetta koskevan Haagin ohjelman täytäntöönpanon yhteydessä (14).

36.

Kolmanneksi suuntauksena on käyttää yhtä laajemmin esimerkiksi mutta ei pelkästään DNA-tietojen kaltaisia biometrisiä tietoja. Kyseisistä tiedoista poimittujen henkilötietojen käyttöä koskevilla kysymyksillä voi olla seurauksia tietosuojalainsäädäntöön.

37.

Neljänneksi on tunnustettava, että yhteiskunta muuttuu ja saa yhä enemmän valvontayhteiskunnan piirteitä (15). Tästä kehityksestä on keskusteltava perinpohjaisesti. Keskustelussa tulisi pohtia lähinnä sitä, onko kehitys väistämätöntä, onko Euroopan unionin lainsäätäjän tehtävänä puuttua kehitykseen ja asettaa sille rajoja ja voisiko Euroopan unionin lainsäätäjä toteuttaa tehokkaita toimenpiteitä.

38.

Maailmanlaajuista yksityisyyden suojaa ja lainkäyttöaluetta koskeva näkökulma on tiedonannossa vähäisessä asemassa. Tässä yhteydessä todetaan vain, että komissio seuraa edelleen alan kansainvälistä kehitystä ja osallistuu kansainväliseen toimintaan varmistaakseen, että jäsenvaltioiden antamat kansainväliset sitoumukset ovat yhdenmukaisia niille tietosuojadirektiivissä asetettujen velvoitteiden kanssa. Tämän lisäksi tiedonannossa luetellaan joitakin toimia, joita on toteutettu kansainvälisiä siirtoja koskevien vaatimusten yksinkertaistamiseksi (ks. tämän lausunnon III luku).

39.

Euroopan tietosuojavaltuutettu on pahoillaan siitä, että tätä näkökulmaa ei ole korostettu enemmän tiedonannossa.

40.

Direktiivin IV luvussa (25 ja 26 artikla) otetaan käyttöön tietojen siirtoa kolmansiin maihin koskeva erityisjärjestely tietosuojaa koskevien yleisten sääntöjen lisäksi. Erityisjärjestely on muotoutunut vuosien kuluessa, ja sen tavoitteena on saattaa oikeudenmukaiseen tasapainoon niiden henkilöiden suojelu, joiden tietoja siirretään kolmansiin maihin, ja muun muassa kansainvälisen kaupan asettamat vaatimukset ja maailmanlaajuisten televiestintäverkkojen todellisuus. Komissio ja työryhmä (16) sekä esimerkiksi myös kansainvälinen kauppakamari ovat pyrkineet monin tavoin tekemään järjestelmästä toimivan muun muassa tietosuojan riittävyyden toteavin päätöksin, vakiosopimuslausekkein ja konsernin sisäisin sitovin säännöin.

41.

Järjestelmän soveltamisessa Internetiin yhteisöjen tuomioistuimen tuomiolla asiassa Lindqvist  (17) on ollut erityinen merkitys. Yhteisöjen tuomioistuin korostaa Internetin tietojen ubiikkisuutta ja katsoo, että tietojen laittaminen Internet-sivulle ei sinällään merkitse niiden siirtämistä kolmanteen maahan, vaikka tiedot saatetaankin tällä tavoin sellaisten kolmansissa maissa olevien henkilöiden saataville, joilla on tähän tarvittavat tekniset välineet.

42.

Tämä järjestelmä, joka on Euroopan unionin aluerajoista johtuva looginen ja välttämätön seuraus, ei suojaa täydellisesti eurooppalaista rekisteröityä verkottuneessa yhteiskunnassa, jonka fyysisillä rajoilla ei ole enää merkitystä (ks. tämän lausunnon kohdassa 6 mainitut esimerkit). Internetin tiedot ovat ubiikkeja mutta Euroopan unionin lainsäätäjän lainkäyttöalue ei.

43.

Haasteena on löytää käytännön ratkaisuja, joissa sovitetaan yhteen Euroopan unionin rekisteröityjen suojelu sekä Euroopan unionin ja sen jäsenvaltioiden aluerajat. Euroopan tietosuojavaltuutettu on komission tiedonannosta ”Vapauden, turvallisuuden ja oikeuden alueen ulkoista ulottuvuutta koskeva strategia” antamissaan huomautuksissa jo rohkaissut komissiota edistämään ennakoivasti henkilötietojen suojaa kansainvälisellä tasolla tukemalla kahden- ja monenvälisiä lähestymistapoja kolmansien maiden kanssa yhteistyössä muiden kansainvälisten järjestöjen kanssa (18).

44.

Tällaisia käytännön ratkaisuja ovat muun muassa:

45.

Mikään näistä ratkaisuista ei ole uusi. Tarvitaan kuitenkin näkemys siitä, kuinka näitä välineitä voidaan tosiasiassa käyttää tehokkaimmin ja kuinka varmistetaan, että tietosuojastandardit, jotka Euroopan unioni on määritellyt perusoikeuksiksi, toimivat myös maailmanlaajuisessa verkottuneessa yhteiskunnassa. Euroopan tietosuojavaltuutettu kehottaa komissiota aloittamaan tällaisen näkemyksen kehittämisen yhdessä tärkeimpien sidosryhmien kanssa.

46.

Tiedonannossa kiinnitetään laajalti huomiota yleisen edun asettamiin vaatimuksiin, etenkin turvallisuuden osalta. Siinä selitetään direktiivin 3 artiklan 2 kohtaa ja yhteisöjen tuomioistuimen kyseiselle säännökselle esittämää tulkintaa PNR-tuomiossa (19), sekä direktiivin 13 artiklaa, joka liittyy muun muassa Euroopan ihmisoikeustuomioistuimen oikeuskäytäntöön. Tiedonannossa lisäksi korostetaan, että pyrkiessään varmistamaan, että turvallisuuden takaamiseksi toteutettavat toimenpiteet ovat oikeassa suhteessa toimenpiteisiin, joilla taataan välttämättömien perusoikeuksien kunnioittaminen, komissio varmistaa, että se suojaa henkilötietoja Euroopan ihmisoikeussopimuksen 8 artiklan mukaisesti. Tätä lähtökohtaa sovelletaan myös Yhdysvaltojen kanssa käytävään transatlanttiseen vuoropuheluun.

47.

Euroopan tietosuojavaltuutettu katsoo, että komission on tärkeää toistaa selkeästi SEU:n 6 artiklasta johtuvat unionin velvoitteet pitää arvossa perusoikeuksia, jotka on taattu Euroopan ihmisoikeussopimuksessa. Tämän toteaminen on entistä tärkeämpää nyt, kun Eurooppa-neuvosto on päättänyt, että uudistussopimuksen myötä Euroopan unionin perusoikeuskirjasta pitäisi tulla oikeudellisesti sitova. Perusoikeuskirjan 8 artiklan mukaan jokaisella on oikeus henkilötietojensa suojaan.

48.

Yleisesti tiedetään, että lainvalvontaviranomaisten pyynnöt henkilötietojen yhä laajemmasta käytöstä rikosten torjunnassa, terrorismin torjunnasta puhumattakaan, saattavat heikentää kansalaisen tietosuojan tasoa jopa Euroopan ihmisoikeussopimuksen 8 artiklassa ja/tai Euroopan neuvoston yleissopimuksessa 108 taatun tason alapuolelle (20). Nämä kysymykset olivat keskeisessä asemassa 27. huhtikuuta 2007 annetussa Euroopan tietosuojavaltuutetun kolmannessa lausunnossa, joka koski ehdotusta neuvoston puitepäätökseksi poliisiyhteistyössä ja rikosasioissa tehtävässä oikeudellisessa yhteistyössä käsiteltävien henkilötietojen suojaamisesta.

49.

Tässä yhteydessä on keskeistä, että kansalaisen suoja perustuu direktiivissä säädettyyn tietosuojan tasoon myös silloin, kun on kyse lainvalvontaviranomaisten pyynnöistä. Euroopan ihmisoikeussopimuksessa ja yleissopimuksessa 108 säädetään vähimmäistason suojasta, mutta ne eivät ole riittävän täsmällisiä. Tämän lisäksi tarvittiin lisätoimenpiteitä riittävän suojan tarjoamiseksi kansalaiselle. Tämä tarve oli yksi niistä tekijöistä, jotka johtivat direktiivin antamiseen vuonna 1995 (21).

50.

On myös olennaista, että suojan taso todella taataan kaikissa tilanteissa, joissa henkilötietoja käsitellään lainvalvontatarkoituksiin. Vaikka tässä tiedonannossa ei käsitellä kolmanteen pilariin kuuluvaa tietojenkäsittelyä, siinä aivan oikein käsitellään tilannetta, jossa kaupallisiin tarkoituksiin kerättyjä (ja käsiteltyjä) tietoja käytetään lainvalvontatarkoituksiin. Kyseessä on yhä yleisempi tilanne, koska poliisin työ perustuu yhä useammin kolmansien osapuolten hallussa olevien tietojen saatavuuteen. Direktiivi 2006/24/EY (22) on kuvaava esimerkki tästä suuntauksesta: direktiivissä sähköisten viestintäpalvelujen tarjoajat velvoitetaan säilyttämään kaupallisiin tarkoituksiin keräämiään (ja tallentamiaan) tietoja (kauemmin) lainvalvontatarkoituksiin. Euroopan tietosuojavaltuutettu katsoo, että direktiivin soveltamisalan puitteissa kerättyjä ja käsiteltyjä henkilötietoja on suojeltava asianmukaisesti, jos niitä käytetään yleisen edun mukaisiin tarkoituksiin ja erityisesti turvallisuustarkoituksiin tai terrorismin torjuntaa varten. Joissakin tapauksissa kuitenkin viimeksi mainittu saattaa jäädä direktiivin soveltamisalan ulkopuolelle.

51.

Näiden huomautusten johdosta komissiolle ehdotetaan seuraavaa:

52.

Tiedonannossa komissio käsittelee perustuslakisopimuksen valtaisaa vaikutusta tietosuojan alalla. Sopimus, joka on nykyisin nimeltään uudistussopimus, on ratkaisevan tärkeä tällä alalla. Sopimuksen myötä pilarirakenne häviää, tietosuojaa koskevia säännöksiä (nykyisen EY:n perustamissopimuksen 286 artikla) selvennetään ja unionin perusoikeuskirjasta, jonka 8 artiklaan sisältyy säännös tietosuojasta, tulee sitova.

53.

Hallitustenvälisen konferenssin toimeksiannossa kiinnitetään erityistä huomiota tietosuojaan. Sen 19 kohdan f alakohdassa todetaan pääasiassa kolme seikkaa. Tietosuojaa koskevat yleiset säännöt eivät ensinnäkään vaikuta YUTP-osastossa (nykyinen toinen pilari) hyväksyttyihin erityissääntöihin; toiseksi annetaan julistus tietosuojasta poliisiyhteistyön ja rikosasioissa tehtävän oikeudellisen yhteistyön alalla (nykyinen kolmas pilari) ja kolmanneksi asiaa koskeviin pöytäkirjoihin tehdään erityismainintoja yksittäisten jäsenvaltioiden asemasta (tämä liittyy lähinnä Yhdistyneen kuningaskunnan erityisasemaan poliisiyhteistyössä ja oikeudellisessa yhteistyössä rikosasioissa).

54.

Toista seikkaa (julistusta) on selvennettävä HVK:ssa. Pilarirakenteen häviämistä ja direktiivin mahdollista soveltamista poliisiyhteistyöhön ja oikeudelliseen yhteistyöhön rikosasioissa on harkittava asianmukaisesti, jotta varmistetaan direktiiviin sisältyvien tietosuojaperiaatteiden mahdollisimman laaja soveltaminen. Tässä lausunnossa ei kuulu tarkastella asiaa sen lähemmin. Euroopan tietosuojavaltuutettu on esittänyt julistusta koskevia ehdotuksia HVK:n puheenjohtajalle lähettämässään kirjeessä (25).

55.

Tiedonannossa viitataan erilaisiin välineisiin ja toimiin, joita voidaan käyttää direktiivin soveltamisen tehostamiseen tulevaisuudessa. Euroopan tietosuojavaltuutettu haluaa esittää niistä huomautuksia ja samalla tarkastella muita lisävälineitä, joita ei mainita tiedonannossa.

56.

Joissakin tapauksissa voidaan tarvita erityisiä lainsäädäntötoimia EU:n tasolla. Alakohtaista lainsäädäntöä voidaan tarvita erityisesti silloin, kun halutaan mukauttaa direktiivin periaatteita jonkin teknologian aiheuttamiin kysymyksiin, mistä oli kyse televiestinnän tietosuojaa koskevissa direktiiveissä. Erityislainsäädännön käyttöä olisi harkittava huolellisesti sellaisilla aloilla kuin RFID-teknologian käyttö.

57.

Tehokkain tiedonannossa mainittu väline on rikkomisesta johtuva menettely. Tiedonannossa esitellään yksi huolta herättävä alue, eli tietosuojaviranomaisten riippumattomuus ja niiden toimivaltuudet, ja mainitaan vain yleisesti muut alueet. Euroopan tietosuojavaltuutettu on yhtä mieltä siitä, että rikkomisesta johtuvat menettelyt ovat keskeinen ja väistämätön väline, mikäli jäsenvaltiot eivät pane direktiiviä kaikilta osin täytäntöön erityisesti, kun otetaan huomioon, että direktiivin täytäntöönpanon määrärajasta on kulunut lähes yhdeksän vuotta ja että työsuunnitelman mukainen suunnitelmallinen vuoropuhelu on jo käyty. Tähän mennessä yhteisöjen tuomioistuimen käsiteltäväksi ei ole kuitenkaan saatettu yhtään tapausta, jossa olisi kyse direktiivin 95/46/EY rikkomisesta.

58.

Kaikkia niitä tapauksia, joissa epäillään (26), että direktiivin saattaminen osaksi kansallista lainsäädäntöä on ollut virheellistä tai puutteellista, koskevasta vertaileva analyysi ja selittävä tiedonanto saattaa varmasti johdonmukaistaa komission tehtävää perussopimusten valvojana. Kyseisten välineiden valmistelu, joka saattaa edellyttää jonkin verran aikaa ja vaivaa, ei saisi viivästyttää rikkomisesta johtuvien menettelyjen aloittamista alueilla, joilla komissio on jo selkeästi todennut, että saattaminen osaksi kansallista lainsäädäntöä on ollut virheellistä tai puutteellista.

59.

Euroopan tietosuojavaltuutettu kannustaakin komissiota tehostamaan edelleen direktiivin täytäntöönpanoa tarvittaessa rikkomisesta johtuvin menettelyin. Tässä yhteydessä Euroopan tietosuojavaltuutettu käyttää väliintulovaltuuksiaan yhteisöjen tuomioistuimessa ollakseen tarvittaessa väliintulijana rikkomisesta johtuvissa menettelyissä, jotka liittyvät direktiivin 95/46/EY tai muiden henkilötietojen suojaa koskevien säädösten täytäntöönpanoon.

60.

Tiedonannossa mainitaan myös selittävä tiedonanto joistakin direktiivin säännöksistä, joiden tulkintaa komissio selkiyttää, koska niiden täytäntöönpanossa on ollut ongelmia, jotka voivat olla syynä rikkomisesta johtuviin menettelyihin. Euroopan tietosuojavaltuutettu on tässä yhteydessä tyytyväinen siihen, että komissio aikoo ottaa huomioon työryhmän esittämät tulkinnat. On todellakin keskeisen tärkeää, että työryhmän kanta otetaan asianmukaisesti huomioon tulevaa selittävää tiedonantoa laadittaessa ja työryhmää kuullaan asianmukaisesti, jotta voidaan hyödyntää sen asiantuntemusta direktiivin soveltamisesta kansallisella tasolla.

61.

Lisäksi Euroopan tietosuojavaltuutettu vahvistaa olevansa komission käytettävissä kaikissa henkilötietojen suojaan liittyvissä asioissa. Tämä koskee myös komission tiedonantojen kaltaisia välineitä, jotka eivät ole sitovia mutta joiden tarkoituksena on kuitenkin määritellä komission politiikkaa henkilötietojen suojelun alalla. Jotta neuvoa-antavasta tehtävästä olisi tiedonantojen osalta hyötyä, Euroopan tietosuojavaltuutettua olisi kuultava ennen selittävän tiedonannon hyväksymistä (27). Sekä 29 artiklan työryhmän että Euroopan tietosuojavaltuutetun neuvoa-antava tehtävä tuo lisäarvoa tiedonannolle, ja komissio voi samalla edelleen päättää itsenäisesti, aloittaako virallisesti direktiivin täytäntöönpanoon liittyvä rikkomisesta johtuva menettely.

62.

Euroopan tietosuojavaltuutettu on tyytyväinen siihen, että tiedonannossa käsitellään vain tiettyjä artikloita, minkä ansiosta voidaan keskittyä arkaluonteisempiin kysymyksiin. Euroopan tietosuojavaltuutettu haluaa kiinnittää komission huomion seuraaviin kysymyksiin selittävässä tiedonannossa:

63.

Muilla kuin sitovilla välineillä olisi ennakoivasti edistettävä tietosuojaperiaatteiden noudattamista erityisesti uusissa teknologiaympäristöissä. Kyseisten toimenpiteiden olisi perustuttava ”sisäänrakennetun yksityisyyden suojan” käsitteeseen sen varmistamiseksi, että tietosuojaperiaatteet otetaan asianmukaisesti huomioon uuden teknologian suunnittelussa ja kehittämisessä. Yksityisyyden suojan takaavien teknologiatuotteiden edistämisen tulisi olla keskeistä tilanteessa, jossa sulautettu tietotekniikka kehittyy nopeasti.

64.

Sidosryhmien tiiviimpi osallistuminen tietosuojalainsäädännön noudattamisen valvontaan liittyy läheisesti tähän asiaan. Toisaalta Euroopan tietosuojavaltuutettu tukee tietosuojaviranomaisten perustavaa tehtävää direktiivin periaatteiden noudattamisen valvonnassa käyttäen täysin toimivaltuuksiaan ja 29 artiklan työryhmän koordinointimahdollisuuksia. Direktiivin noudattamisen tehokkaampi valvonta on myös yksi ”Lontoon aloitteen” tavoitteista.

65.

Toisaalta Euroopan tietosuojaviranomainen korostaa, että tietosuojaperiaatteiden noudattamista yksityisellä sektorilla olisi toivottavaa edistää itsesääntelyn ja kilpailun avulla. Alaa olisi kannustettava noudattamaan tietosuojaperiaatteita ja kilpailemaan kehittyvillä, yksityisyyden suojan takaavilla tuotteilla ja palveluilla, jotka ovat keino laajentaa yritysten markkina-asemia niiden pyrkiessä vastaamaan yksityisyyttään suojaavien kuluttajien odotuksiin. Tästä hyvänä esimerkkinä voidaan mainita yksityisyyden suojaa koskevat tunnukset, jotka voidaan liittää tuotteisiin ja palveluihin, jotka ovat läpäisseet hyväksymismenettelyn (29).

66.

Euroopan tietosuojavaltuutettu haluaa myös kiinnittää komission huomion muihin välineisiin, joita ei ole mainittu tiedonannossa mutta joista saattaisi olla hyötyä direktiivin täytäntöönpanon tehostamisessa. Seuraavassa esimerkkejä välineistä, joiden avulla tietosuojaviranomaiset pystyisivät paremmin valvomaan tietosuojalainsäädännön noudattamista:

67.

Euroopan tietosuojavaltuutettu ottaa lopuksi esille muut välineet, joita ei tiedonannossa mainita mutta joita voitaisiin harkita joko direktiivin tulevan muuttamisen yhteydessä tai sisällyttää muuhun horisontaaliseen lainsäädäntöön, erityisesti:

68.

Erilaisilla institutionaalisilla toimijoilla on direktiivin täytäntöönpanoon liittyviä tehtäviä. Jäsenvaltioiden valvontaviranomaiset ovat direktiivin 28 artiklan mukaan vastuussa niiden kansallisten säännösten soveltamisen valvonnasta, joilla direktiivi saatetaan osaksi jäsenvaltioiden kansallista lainsäädäntöä. 29 artiklassa perustetaan valvontaviranomaisten työryhmä ja 30 artiklassa luetellaan sen tehtävät. Jäsenvaltioiden hallitusten edustajien komitea avustaa 31 artiklan mukaan komissiota yhteisön tasolla toteutettavissa täytäntöönpanotoimenpiteissä (komiteamenettely).

69.

Tarve määritellä paremmin erilaisten toimijoiden vastuualueet koskee erityisesti työryhmää (sen toimintaa). 30 artiklan 1 kohdassa luetellaan työryhmän neljä tehtävää, jotka ovat lyhyesti direktiivin mukaisesti toteutettujen kansallisten toimenpiteiden soveltamisen tutkinta, jotta toimenpiteitä voitaisiin soveltaa yhdenmukaisesti, lausuntojen antaminen yhteisössä tapahtuneesta kehityksestä sekä tietosuojan taso, säädösehdotukset ja käytännesäännöt. Luettelo osoittaa, että työryhmän vastuualue tietosuojan alalla on laaja, mikä käy ilmi myös työryhmän vuosien mittaan laatimista asiakirjoista.

70.

Tiedonannon mukaan työryhmällä ”on ratkaisevan tärkeä merkitys pyrittäessä entistä parempaan ja yhtenäisempään täytäntöönpanoon”. Euroopan tietosuojavaltuutettu allekirjoittaa täysin kyseisen väitteen mutta katsoo myös tarpeelliseksi tarkentaa joitakin vastuualueeseen liittyviä erityisseikkoja.

71.

Tiedonannossa ensinnäkin kehotetaan tehostamaan työryhmän toimintaa, koska kansallisten tietosuojaviranomaisten olisi pyrittävä mukauttamaan kansallisia käytänteitään yhteisiin toimintaperiaatteisiin (30). Euroopan tietosuojaviranomainen on tyytyväinen tähän aikomukseen mutta varoittaa mahdollisesta vastuualueiden sekaannuksesta. Komission tehtävänä on EY:n perustamissopimuksen 211 artiklan mukaan valvoa direktiivin noudattamista jäsenvaltioissa, myös sitä, miten valvontaviranomaiset sitä noudattavat. Työryhmä on riippumaton neuvonantaja, jota ei voida pitää vastuussa siitä, soveltavatko kansalliset viranomaiset sen antamia lausuntoja.

72.

Toiseksi komissio on varmasti tietoinen erilaisista tehtävistään työryhmässä, sillä se ei ole vain työryhmän jäsen vaan myös toimii sen sihteeristönä. Sihteeristönä toimiessaan sen on tuettava työryhmää siten, että työryhmä voi toimia riippumattomasti. Tämä tarkoittaa periaatteessa kahta asiaa: Komission on annettava työryhmälle tarvittavat resurssit, ja sihteeristön on toimittava työryhmän ja sen puheenjohtajan toiminnan sisältöä ja laajuutta sekä sen tuloksia koskevien ohjeiden mukaisesti. Komission toiminta sen täyttäessä muita EY-lainsäädännössä sille säädettyjä tehtäviä ei yleisesti ottaen saisi vaikuttaa sen käytettävyyteen sihteeristönä.

73.

Kolmanneksi, vaikka painopisteiden valinta on työryhmän itsensä harkittavissa, komissio voisi ilmoittaa, mitä se työryhmältä odottaa ja miten sen mielestä saatavilla olevat resurssit olisi parasta käyttää.

74.

Neljänneksi Euroopan tietosuojavaltuutettu pahoittelee, että tiedonannossa ei anneta selkeitä tietoja komission ja työryhmän tehtävien jakautumisesta. Hän kehottaa komissiota esittämään työryhmälle asiakirjan, jossa kyseiset tiedot annetaan. Euroopan tietosuojavaltuutettu tekee seuraavat ehdotukset asioista, joita kyseisessä asiakirjassa olisi käsiteltävä:

75.

Euroopan tietosuojavaltuutettu jakaa tiedonannon keskeisen johtopäätöksen, jonka mukaan direktiiviä ei tulisi muuttaa lyhyellä aikavälillä. Tätä johtopäätöstä voitaisiin lujittaa ottamalla huomioon myös direktiivin luonne ja unionin lainsäädäntöpolitiikka.

76.

Euroopan tietosuojavaltuutetun lähtökohdat ovat seuraavat:

77.

Tulevan muutoksen pääkohdat ovat muun muassa:

78.

Euroopan tietosuojavaltuutettu ehdottaa, että komissio tarkentaa seuraavaa: tiedonannon 3 luvussa esitettyjen toimien aikataulu; direktiivin soveltamisesta myöhemmin annettavan kertomuksen määräaika; toimeksianto, jotta voidaan mitata suunniteltujen toimien toteuttamista; ohjeet pidemmän aikavälin toimia varten.

79.

Euroopan tietosuojavaltuutettu on tyytyväinen teknologiaa koskevaan lähestymistapaan ensimmäisenä tärkeänä askeleena ja ehdottaa, että aloitetaan pitkän aikavälin lähestysmistapaa koskeva keskustelu, jossa käydään muun muassa perusteellinen vuoropuhelu valvontayhteiskunnan kehityksestä. Hän on myös tyytyväinen direktiivin 2002/58/EY meneillään olevaan tarkasteluun ja mahdollisiin erityissäännöksiin, joilla ratkaistaan Internetin ja RFID-teknologioiden kaltaisiin uusiin teknologioihin liittyvät tietosuojakysymykset. Kyseisissä toimissa olisi otettava huomioon koko dynaaminen toimintaympäristö ja pitkällä aikavälillä myös direktiivi 95/46/EY.

80.

Euroopan tietosuojavaltuutettu pahoittelee, että maailmanlaajuista yksityisyyden suojaa ja lainkäyttöaluetta koskeva näkökulma on tiedonannossa vähäisessä asemassa, ja pyytää etsimään käytännön ratkaisuja, joissa sovitetaan yhteen Euroopan unionin rekisteröityjen suojelu sekä Euroopan unionin ja sen jäsenvaltioiden aluerajat, kuten: Yleismaailmallisen tietosuojakehyksen kehittäminen edelleen; tietojen siirtoa kolmansiin maihin koskevan erityisjärjestelyn kehittäminen edelleen; tuomioistuinten toimivaltaa koskevat kansainväliset sopimukset tai vastaavat sopimukset kolmansien maiden kanssa; panostaminen sääntöjen maailmanlaajuista noudattamista koskeviin menetelmiin, kuten konsernin sisäisten sitovien sääntöjen käyttö monikansallisissa yrityksissä.

Euroopan tietosuojavaltuutettu kehottaa komissiota aloittamaan tällaisen näkemyksen kehittämisen yhdessä tärkeimpien sidosryhmien kanssa.

81.

Lain noudattamisen valvonnan osalta Euroopan tietosuojavaltuutettu esittää komissiolle seuraavat ehdotukset:

82.

Direktiivin täysi täytäntöönpano tarkoittaa, että 1) on varmistettava, että jäsenvaltiot noudattavat kaikilta osin Euroopan unionin lainsäädännössä niille asetettuja velvoitteita ja 2) hyödynnetään täysin muita kuin sitovia välineitä, joilla voidaan edistää korkeatasoista ja yhdenmukaista tietosuojan tasoa. Euroopan tietosuojavaltuutettu pyytää komissiota ilmoittamaan selvästi, miten se aikoo käyttää eri välineitä ja erottaa oman vastuualueensa työryhmän vastuualueesta.

83.

Kyseisten välineiden osalta:

84.

Euroopan tietosuojavaltuutettu kehottaa komissiota esittämään työryhmälle asiakirjan, jossa annetaan selkeät tiedot komission ja työryhmän tehtävien jakautumisesta ja muun muassa seuraavista kysymyksistä:

85.

Uudistussopimuksen seurauksia on asianmukaisesti tarkasteltava sen varmistamiseksi, että direktiiviin sisältyviä tietosuojaperiaatteita noudatetaan mahdollisimman laajalti. Euroopan tietosuojavaltuutettu on esittänyt ehdotuksia HVK:n puheenjohtajalle lähettämässään kirjeessä.