22.6.2011   

FI

Euroopan unionin virallinen lehti

C 181/1

1.

Komissio hyväksyi 4 marraskuuta 2010 tiedonannon ”Kattava lähestymistapa henkilötietojen suojaan Euroopan unionissa” (jäljempänä tiedonanto) (3). Euroopan tietosuojavaltuutetulta pyydettiin lausuntoa tiedonannosta. Euroopan tietosuojavaltuutettu suhtautuu myönteisesti siihen, että komissio pyysi häneltä lausuntoa asetuksen (EY) N:o 45/2001 41 artiklan mukaisesti. Euroopan tietosuojavaltuutetulla oli mahdollisuus esittää epävirallisia huomioita jo ennen kuin tiedonanto annettiin. Jotkin näistä huomioista on otettu huomioon asiakirjan lopullisessa muodossa.

2.

Tiedonannossa esitetään komission lähestymistapa henkilötietojen suojaa koskevan EU:n säädöskehyksen tarkistukseen kaikilla unionin toiminnan aloilla. Erityistä huomiota kiinnitetään globalisaation ja uusien tekniikoiden tuomiin haasteisiin (4).

3.

Euroopan tietosuojavaltuutettu suhtautuu yleisesti ottaen myönteisesti tiedonantoon, sillä hän on vakuuttunut siitä, että EU:n nykyisen tietosuojalainsäädännön tarkistus on välttämätön, jotta voidaan taata tehokas suoja edelleen kehittyvässä tietoyhteiskunnassa. Tietosuojadirektiivin täytäntöönpanosta 25. heinäkuuta 2007 antamassaan lausunnossa (5) hän katsoi, että pitkällä aikavälillä muutokset direktiivin 95/46/EY näyttävät väistämättömiltä.

4.

Tiedonanto on tärkeä askel kohti lainsäädännön muutosta, joka puolestaan on tärkein kehitys EU:n tietosuoja-alalla direktiivin 95/46/EY – jota pidetään yleisesti tietosuojan tärkeimpänä kulmakivenä Euroopan unionissa (ja laajemmin Euroopan talousalueella) – hyväksymisen jälkeen.

5.

Tiedonannossa esitetään oikea kehys hyvin kohdennetulle tarkistukselle myös sen takia, että siinä määritellään yleisesti ottaen tärkeimmät kysymykset ja haasteet. Euroopan tietosuojavaltuutettu yhtyy komission näkemykseen, jonka mukaan tulevaisuudessa tarvitaan yhä vahvaa tietosuojajärjestelmää. Tämä perustuu käsitykseen, jonka mukaan nykyiset tietosuojaa koskevat yleiset periaatteet pätevät yhä yhteiskunnassa, jossa tekniikan nopea kehitys ja globalisaatio saavat aikaan perusteellisia muutoksia. Tämä edellyttää nykyisten lainsäädäntöjärjestelyjen tarkistusta.

6.

Tiedonannossa korostetaan perustellusti haasteiden suuruutta. Euroopan tietosuojavaltuutettu yhtyy kaikilta osin tähän lausuntoon ja korostaa, että ehdotettujen ratkaisujen on myös oltava kunnianhimoisia ja niiden on tehostettava suojaa.

7.

Tässä lausunnossa arvioidaan tiedonannossa ehdotettuja ratkaisuja seuraavan kahden kriteerin perusteella: kunnianhimo ja tehokkuus. Euroopan tietosuojavaltuutettu suhtautuu tiedonantoon yleisesti ottaen myönteisesti. Euroopan tietosuojavaltuutettu kannattaa tiedonantoa, mutta on samalla kriittinen kysymyksissä, joissa kunnianhimoisempi ote johtaisi hänen mielestään tehokkaampaan järjestelmään.

8.

Euroopan tietosuojavaltuutetun lausunnon tavoitteena on edistää tietosuojalainsäädännön kehitystä edelleen. Hän odottaa komission ehdotusta, jota odotetaan vuoden 2011 puolessavälissä, ja toivoo, että hänen ehdotuksensa otetaan huomioon komission ehdotuksen laadinnassa. Hän toteaa myös, että näyttää siltä, että yleisen säädöksen ulkopuolelle jätetään tietyt alat, kuten tietojenkäsittely EU:n toimielimissä ja elimissä. Jos komissio aikoo todellakin jättää tietyt alat ulkopuolelle tässä vaiheessa – mikä olisi Euroopan tietosuojavaltuutetun mielestä valitettavaa – hän kehottaa komissiota sitoutumaan toteuttamaan täysin kattavan järjestelmän lyhyessä määräajassa.

9.

Tämä lausunto ei ole irrallaan muista asiakirjoista. Se perustuu Euroopan tietosuojavaltuutetun ja Euroopan tietosuojaviranomaisten aikaisemmin eri tilanteissa antamiin lausuntoihin. On erityisesti korostettava, että jo mainitussa 25. heinäkuuta 2007 annetussa lausunnossa yksilöitiin ja kehitettiin joitakin tulevan muutoksen pääkohtia (6). Lausunto perustuu myös muiden sidosryhmien kanssa käytyihin keskusteluihin yksityisyyden ja tietosuojan alalla. Heidän panoksensa muodostivat erittäin hyödyllisen taustan sekä tiedonannolle että tälle lausunnolle. Tältä osin voidaan todeta, että tietosuojan tehostamisen osalta on saavutettu tietty synergiataso.

10.

Tämän lausunnon yksi tärkeä osa on asiakirja nimeltä ”The Future of Privacy”, joka on direktiivin 95/46/EY 29 artiklan mukaisen tietosuojatyöryhmän ja poliisi- ja oikeusasioita käsittelevän työryhmän yhteinen kannanotto komission vuonna 2009 käynnistämään kuulemiseen (jäljempänä tietosuojatyöryhmän asiakirja yksityisyyden suojan tulevaisuudesta) (7).

11.

Äskettäin 15 marraskuuta 2010 pidetyssä lehdistökonferenssissa Euroopan tietosuojavaltuutettu esitti ensimmäiset reaktionsa käsiteltävänä olevasta tiedonannosta. Tässä lausunnossa kehitellään edelleen mainitussa lehdistökonferenssissa esitettyjä yleisiä näkemyksiä (8).

12.

Tässä lausunnossa hyödynnetään Euroopan tietosuojavaltuutetun monia aikaisempia lausuntoja sekä 29 artiklan mukaisen tietosuojatyöryhmän asiakirjoja. Näitä lausuntoja ja asiakirjoja koskevat viittaukset on tarvittaessa esitetty tämän lausunnon eri kohdissa.

13.

Tietosuojasääntöjen tarkistus tapahtuu merkittävänä historiallisena ajankohtana. Tiedonannossa kuvataan asiayhteyttä laajasti ja vakuuttavasti. Tämän kuvauksen perusteella Euroopan tietosuojavaltuutettu tunnistaa neljä keskeistä tekijää, jotka määrittelevät ympäristön, jossa tarkistusprosessi tapahtuu.

14.

Ensimmäinen tekijä on tekninen kehitys. Nykytekniikka eroaa direktiivin 95/46/EY laatimis- ja hyväksymisajankohdan tekniikasta. Tekniset ilmiöt, kuten pilvi- eli etäresurssipalvelut, käyttötottumuksia seuraava mainonta, sosiaaliset verkkoyhteisöt, tietullimaksut ja paikannuslaitteet, ovat syvästi muuttaneet tietojen käsittelytapaa ja asettavat valtavia haasteita tietosuojalle. Euroopan tietosuojasääntöjen tarkistuksessa on vastattava näihin haasteisiin tehokkaasti.

15.

Toinen tekijä on globalisaatio. Kaupan esteiden asteittainen poistaminen on antanut yrityksille yhä lisääntyvän maailmanlaajuisen ulottuvuuden. Rajat ylittävä tietojenkäsittely ja kansainväliset siirrot ovat lisääntyneet merkittävästi viime vuosina. Lisäksi tietojenkäsittelystä on tullut jokapäiväistä tieto- ja viestintätekniikan ansiosta: Internet ja tietotekniikan etäresurssipalvelut ovat mahdollistaneet suurten tietomäärien hajautetun käsittelyn maailmanlaajuisesti. Viimeksi kuluneen kymmenen vuoden aikana terrorismin ja muun kansainvälisen järjestäytyneen rikollisuuden torjuntaan tähtäävä kansainvälinen poliisi- ja oikeustoiminta on lisääntynyt, ja tätä tuetaan mittavalla lainvalvontatoimintaan liittyvällä tietojenvaihdolla. Tämä kaikki edellyttää syvällistä harkintaa siitä, miten henkilötietojen suoja voidaan varmistaa tehokkaasti globaalistuneessa maailmassa estämättä merkittävästi kansainvälisiä käsittelytoimia.

16.

Kolmas tekijä on Lissabonin sopimus. Lissabonin sopimuksen voimaantulo merkitsee uutta aikakautta tietosuojan alalla. SEUT 16 artikla ei pelkästään sisällä rekisteröidyn yksilöllisen oikeuden, vaan se myös tarjoaa suoran oikeusperustan vahvalle EU:n laajuiselle tietosuojalainsäädännölle. Lisäksi pilarirakenteen poistaminen velvoittaa Euroopan parlamenttia ja neuvostoa tarjoamaan tietosuojaa EU:n lainsäädännön kaikilla aloilla. Toisin sanoen se mahdollistaa kattavan tietosuojalainsäädännön, jota sovelletaan yksityiseen sektoriin, jäsenvaltioiden julkiseen sektoriin ja EU:n toimielimiin ja laitoksiin. Tätä osin Tukholman ohjelmassa (9) todetaan johdonmukaisesti, että unionilla on oltava kattava strategia tietojen suojaamiseksi EU:n sisällä ja sen suhteissa muihin maihin.

17.

Neljättä tekijää kuvaavat kansainvälisissä organisaatioissa tapahtuvat rinnakkaiset kehityssuunnat. Parhaillaan käydään monia eri keskusteluja, joissa keskitytään tietosuojaa koskevien voimassa olevien säädösten nykyaikaistamiseen. Tältä osin on tärkeää mainita tämänhetkiset näkemykset Euroopan neuvoston yleissopimuksen 108 (10) ja yksityisyyden suojaa koskevien OECD:n suuntaviivojen (11) tulevista tarkistuksista. Toinen tärkeä kehityssuunta on henkilötietojen suojaa ja yksityisyyden suojaa koskevien kansainvälisten standardien hyväksyminen, joka voisi mahdollisesti johtaa tietosuojaa koskevaan maailmanlaajuiseen sitovaan välineeseen. Kaikille näille aloitteille on annettava täysi tuki. Niiden yhteisenä tavoitteena on oltava tehokkaan ja johdonmukaisen suojan varmistaminen teknologiapainotteisessa ja globaalistuneessa ympäristössä.

18.

Kun otetaan huomioon tietosuojan merkitys Lissabonin sopimuksessa, erityisesti Euroopan unionin perusoikeuskirjan 8 artiklassa ja SEUT 16 artiklassa, sekä vahva yhteys perusoikeuskirjan 7 artiklaan (12), tietosuojalle on väistämättä luotava vahva kehys.

19.

Tietosuojaa koskeva vahva kehys palvelee myös laajempaa yleisöä ja yksityisiä etuja tietoyhteiskunnassa, jossa tietojenkäsittely on kaikkialla läsnä. Tietosuoja vahvistaa luottamusta, ja luottamus on olennainen tekijä yhteiskuntamme moitteettoman toiminnan varmistamiseksi. On olennaista, että tietosuojajärjestelyt on järjestetty siten, että ne mahdollisuuksien mukaan tukevat aktiivisesti muita laillisia oikeuksia ja etuja eivätkä estä niitä.

20.

Hyviä esimerkkejä muista laillisista eduista ovat vahva Euroopan talous, henkilöiden turvallisuus sekä hallitusten vastuuvelvollisuus.

21.

EU:n taloudellinen kehitys on tiivisti sidoksissa uusien tekniikoiden ja palvelujen käyttöönottoon ja markkinointiin. Tietoyhteiskunnassa luottamus on keskeinen vaikuttaja tieto- ja viestintätekniikan yleistymisessä ja onnistuneessa käyttöönotossa. Jos kansalaiset eivät luota tieto- ja viestintätekniikkaan, ne eivät todennäköisesti onnistu tehtävässään (13). Kansalaiset luottavat tieto- ja viestintätekniikkaan vain, jos heidän tietojaan suojataan tehokkaasti. Siksi tietosuojan on oltava tekniikoiden ja palvelujen olennainen osa. Tietosuojaa koskeva vahva kehys edistää Euroopan taloutta, mikäli tämä kehys ei ole pelkästään vahva vaan myös kohdennettu oikealla tavalla. Yhtenäisyyden parantaminen EU:ssa ja hallinnollisen taakan minimointi ovat tältä osin olennaisia (katso lausunnon 5 luku).

22.

Viime vuosina on puhuttu paljon yksityisyyden suojan ja turvallisuuden välisen tasapainon tarpeesta, erityisesti poliisiyhteistyön ja oikeudellisen yhteistyön alan tietosuoja- ja tiedonvaihtovälineiden osalta (14). Tietosuojaa kuvattiin melko usein virheellisesti esteeksi henkilöiden fyysisen turvallisuuden suojaamiselle (15) tai vähintään välttämättömäksi edellytykseksi, jota lainvalvontaviranomaisten oli kunnioitettava. Tämä ei kuitenkaan ole koko totuus. Tietosuojaa koskeva vahva kehys voi terävöittää ja vahvistaa turvallisuutta. Tietosuojan periaatteiden mukaisesti – jos niitä sovelletaan oikein – rekisterinpitäjien on varmistettava, että tiedot ovat oikeita ja ajantasaisia ja että tarpeettomat henkilötiedot, jotka eivät ole välttämättömiä lainvalvontaa varten, poistetaan järjestelmistä. Voidaan myös viitata velvollisuuteen toteuttaa teknisiä ja organisatorisia toimenpiteitä, joilla varmistetaan järjestelmien turvallisuus, kuten järjestelmien suojaaminen luvattomalta luovuttamiselta tai pääsyltä, kuten nämä on määritelty tietosuojan alalla.

23.

Tietosuojaperiaatteiden kunnioittamisella voidaan lisäksi varmistaa, että lainvalvontaviranomaiset toimivat oikeusvaltion periaatteiden mukaisesti, mikä herättää luottamusta viranomaisten käyttäytymiseen ja näin ollen edistää laajemmin luottamusta yhteiskunnassa. Euroopan ihmisoikeussopimuksen 8 artiklan nojalla syntyneellä oikeuskäytännöllä varmistetaan, että poliisi- ja oikeusviranomaiset voivat käsitellä kaikkia niiden työhön liittyviä tietoja tietyin rajoituksin. Tietosuoja edellyttää tarkistuksia ja tasapainottelua (katso lausunnon poliisi- ja oikeusalaa koskevaa 9 lukua).

24.

Demokraattisissa yhteiskunnissa hallitukset ovat vastuussa kaikista toimistaan, mukaan lukien henkilötietojen käyttö julkisten etujen turvaamiseksi. Tämä vaihtelee tietojen julkaisemisesta Internetissä avoimuuden varmistamiseksi aina tietojen käyttöön politiikan tukena kansanterveyden, liikenteen tai verotuksen kaltaisilla aloilla tai henkilöiden valvontaan lainvalvontatarkoitusta varten. Vahva tietosuojakehys mahdollistaa sen, että hallitukset kunnioittavat velvollisuuksiaan ja vastaavat toimistaan osana hyvää hallintoa.

25.

Komissio totesi aivan oikein, että nykyisen kehyksen yksi keskeinen puute on se, että se jättää jäsenvaltioille liian paljon harkintavaltaa EU:n säännösten saattamisessa osaksi kansallista lainsäädäntöä. Yhtenäisyyden puutteella on monia kielteisiä vaikutuksia tietoyhteiskunnassa, jossa jäsenvaltioiden välisillä fyysisillä rajoilla on yhä vähemmän merkitystä (katso lausunnon 5 luku).

26.

Ensimmäinen ja virallisempi syy sille, miksi tietosuojan yleisiä periaatteita ei pitäisi eikä voida muuttaa, on luonteeltaan oikeudellinen. Näistä periaatteista on määrätty Euroopan neuvoston yleissopimuksessa 108, joka sitoo kaikkia jäsenvaltioita. Tämä yleissopimus on tietosuojan perusta EU:ssa. Lisäksi jotkin keskeiset periaatteet on nimenomaisesti mainittu Euroopan unionin perusoikeuskirjan 8 artiklassa. Näiden periaatteiden muuttaminen edellyttäisi näin ollen perussopimusten muuttamista.

27.

Tämä ei kuitenkaan ole koko totuus. On olemassa myös tärkeitä syitä, joiden vuoksi yleisiä periaatteita ei pidä muuttaa. Euroopan tietosuojavaltuutettu on vahvasti sitä mieltä, että tietoyhteiskunta ei voi eikä sen pitäisi toimia ilman riittävää yksityisyyden suojaa ja yksilöiden henkilötietojen suojaa. Kun käsiteltävien tietojen määrä lisääntyy, tarvitaan myös parempaa suojaa. Tietoyhteiskunnan, jossa käsitellään suurta määrää tietoa jokaisesta henkilöstä, on perustuttava yksilön vaikutusvallan käsitteeseen, jotta jokainen voi toimia yksilönä ja käyttää vapauksiaan, kuten ilmaisu- ja sanavapautta, demokraattisessa yhteiskunnassa.

28.

Lisäksi on vaikeaa kuvitella yksilön vaikutusvaltaa ilman rekisterinpitäjille asetettavia velvoitteita rajoittaa tietojenkäsittelyä tarpeellisuuden, oikeasuhteisuuden ja tietojen käsittelytarkoituksen rajoittamisen perusteella. On yhtä vaikeaa kuvitella yksilön vaikutusvaltaa ilman rekisteröidyn oikeuksien tunnustamista, kuten oikeus tutustua tietoihin, oikaista niitä ja poistaa tai suojata ne.

29.

Euroopan tietosuojavaltuutettu korostaa, että tietosuoja tunnustetaan perusoikeudeksi. Tämä ei tarkoita, että tietosuoja käy aina muiden tärkeiden oikeuksien ja etujen edelle demokraattisessa yhteiskunnassa, mutta se vaikuttaa EU:n lainsäädännön mukaisesti annettavan suojan luonteeseen ja laajuuteen. Tällä pyritään varmistamaan, että tietosuojavaatimukset otetaan aina riittävästi huomioon.

30.

Tärkeimmät vaikutukset voidaan määritellä seuraavasti:

Euroopan tietosuojavaltuutettu suosittelee, että komissio ottaa nämä vaikutukset huomioon, kun se ehdottaa lainsäädännöllisiä ratkaisuja.

31.

Komissio keskittyy aivan oikein tarpeeseen vahvistaa tietosuojaa koskevia lainsäädäntöjärjestelyjä. Tässä yhteydessä on järkevää palauttaa mieleen, että yksityisyyden suojan tulevaisuutta koskevassa tietosuojatyöryhmän asiakirjassa (17) tietosuojaviranomaiset korostivat tarvetta vahvistaa tietosuoja-alan eri toimijoiden, erityisesti rekisteröityjen, rekisterinpitäjien ja valvontaviranomaisten, asemaa.

32.

Sidosryhmien keskuudessa näyttää olevan laaja yhteisymmärrys siitä, että vahvemmat lainsäädäntöjärjestelyt – kun otetaan huomioon tekniikan kehitys ja globalisaatio – ovat avain kohti kunnianhimoista ja tehokasta tietosuojaa myös tulevaisuudessa. Kuten 7 kohdassa jo mainittiin, nämä ovat Euroopan tietosuojavaltuutetun arviointiperusteet ehdotetuille ratkaisuille.

33.

Kuten tiedonannossa muistutetaan, direktiiviä 95/46/EY sovelletaan kaikkeen jäsenvaltioissa sekä julkisella että yksityisellä alalla tapahtuvaan henkilötietojen käsittelyyn, lukuun ottamatta toimintaa, joka ei kuulu entisen yhteisön oikeuden soveltamisalaan (18). Vaikka tämä poikkeus oli tarpeen entisen perustamissopimuksen mukaan, tämä ei enää pidä paikkansa Lissabonin sopimuksen tultua voimaan. Lisäksi poikkeus on SEUT 16 artiklan tekstin ja joka tapauksessa hengen vastaista.

34.

Euroopan tietosuojavaltuutettu katsoo, että kattavaa tietosuojasäädöstä, joka koskee myös rikosasioissa tehtävää poliisiyhteistyötä ja oikeudellista yhteistyötä, on pidettävä yhtenä tärkeimmistä parannuksista, joita uusi lainsäädäntökehys voi tuoda mukanaan. Se on tehokkaan tietosuojan välttämätön edellytys tulevaisuudessa.

35.

Euroopan tietosuojavaltuutettu korostaa seuraavia väitteitä tämän toteamuksen tueksi:

36.

Poliisi- ja oikeusalan sisällyttäminen yleiseen säädökseen ei pelkästään antaisi kansalaisille enemmän takeita, vaan helpottaisi myös poliisiviranomaisten tehtäviä. Monien eri sääntöjen noudattaminen on raskasta, se vie tarpeettomasti aikaa ja estää kansainvälistä yhteistyötä (katso lausunnon 9 luku). Tämä puhuu myös sen puolesta, että kansallisten turvallisuuspalvelujen käsittelytoimet sisällytetään säädökseen, mikäli tämä on mahdollista voimassa olevan EU:n lainsäädännön mukaan.

37.

Direktiivin 95/46/EY vuonna 1995 tapahtuneen hyväksymisen jälkeistä jaksoa voidaan pitää tekniikan kannalta myrskyisänä. Uutta teknologiaa ja uusia laitteita otetaan jatkuvasti käyttöön. Monissa tapauksissa tämä on johtanut yksilöiden henkilötietojen käsittelytapaa koskeviin merkittäviin muutoksiin. Tietoyhteiskuntaa ei voida enää pitää rinnakkaisympäristönä, johon henkilöt voivat osallistua vapaaehtoisesti, vaan siitä on tullut olennainen osa jokapäiväistä elämäämme, esimerkiksi käsite esineiden internet (22) luo yhteyksiä fyysisten esineiden ja niihin liittyviin verkkotietojen välillä.

38.

Tekniikka kehittyy edelleen. Tällä on seurauksensa uudelle lainsäädännölle. Lainsäädännön on oltava tehokas monen vuoden ajan, mutta se ei kuitenkaan saa estää tekniikan kehitystä. Tämä edellyttää, että lainsäädäntöjärjestelyt ovat teknologisesti neutraaleja. Lainsäädännön on myös parannettava yritysten ja yksilöiden oikeusvarmuutta. Yritysten ja yksilöiden on ymmärrettävä, mitä heiltä odotetaan ja heidän on voitava käyttää oikeuksiaan. Tämä edellyttää, että lainsäädäntöjärjestelyt ovat täsmällisiä.

39.

Euroopan tietosuojavaltuutettu katsoo, että yleinen tietosuojasäädös on muotoiltava mahdollisuuksien mukaan teknologisesti neutraalisti. Tämä tarkoittaa, että eri toimijoiden oikeudet ja velvollisuudet on muotoiltava yleisellä ja neutraalilla tavalla, jotta ne ovat periaatteessa päteviä ja toteutettavissa henkilötietojen käsittelyyn valitusta tekniikasta riippumatta. Ei ole mitään muuta vaihtoehtoa, kun otetaan huomioon tekniikan kehityksen kiivas tahti nykypäivänä. Euroopan tietosuojavaltuutettu ehdottaa, että nykyisten tietosuojaperiaatteiden lisäksi otetaan käyttöön uudet ”teknologisesti neutraalit” oikeudet, joilla voisi olla erityinen merkitys nopeasti muuttuvassa sähköisessä ympäristössä (katso lähinnä 6 ja 7 luku).

40.

Direktiivi 95/46/EY on ollut tietosuojalainsäädännön keskeinen säädös EU:ssa viimeiset 15 vuotta. Se on saatettu osaksi jäsenvaltioiden lainsäädäntöä, ja eri toimijat ovat soveltaneet sitä. Soveltamisessa on vuosien aikana käytetty hyväksi käytännön kokemuksia ja komission, tietosuojaviranomaisten (kansallisella tasolla ja 29 artiklan mukaisen tietosuojatyöryhmän puitteissa) ja kansallisten ja unionin tuomioistuinten antamia lisäohjeita.

41.

On hyvä korostaa, että nämä kehitykset tarvitsevat aikaa ja että – erityisesti, koska käsittelemme yleistä säädöskehystä, jolla toteutetaan perusoikeutta – aikaa tarvitaan oikeusvarmuuden ja vakauden luomiseksi. Uutta yleistä säädöstä laadittaessa on pyrittävä siihen, että se luo oikeusvarmuutta ja vakautta pidemmälle ajalle, ja on pidettävä mielessä, että on erittäin vaikeaa ennustaa, miten tekniikka ja globalisaatio kehittyvät. Joka tapauksessa Euroopan tietosuojavaltuutettu tukee täysin tavoitetta luoda oikeusvarmuutta pidemmälle ajalle, joka on verrattavissa direktiivin 95/46/EY aikaväliin. Lyhyesti sanottuna, kun tekniikka kehittyy nopeaan tahtiin, lainsäädännön on oltava vakaa.

42.

Lyhyellä aikavälillä on olennaista varmistaa nykyisten lainsäädäntöjärjestelyjen tehokkuus ensinnäkin keskittymällä täytäntöönpanoon kansallisella ja EU:n tasolla (katso lausunnon 11 luku).

43.

Euroopan tietosuojavaltuutettu tukee kaikilta osin tietosuojaa koskevaa kattavaa lähestymistapaa, joka ei ole pelkästään tiedonannon otsikko vaan myös sen lähtökohta ja jonka mukaan tietosuojaa koskevat yleiset säännöt on ulotettava koskemaan rikosasioissa tehtävää poliisiyhteistyötä ja oikeudellista yhteistyötä (23).

44.

Hän toteaa kuitenkin myös, että komissio ei aio sisällyttää kaikkia tietojenkäsittelytoimia tähän yleiseen säädökseen. Säädöstä ei sovelleta EU:n toimielinten, elinten ja laitosten tietojenkäsittelyyn. Komissio pelkästään toteaa, että se ”arvioi, edellyttääkö tietosuojaa koskeva uusi yleinen säädöskehys muiden säädösten mukauttamista”.

45.

Euroopan tietosuojavaltuutettu sisällyttäisi mieluusti EU:n tason käsittelyn yleiseen säädöskehykseen. Hän muistuttaa, että tämä oli entisen EY 286 artiklan alkuperäinen tarkoitus. Kyseisessä artiklassa mainittiin tietosuoja ensimmäistä kertaa perustamissopimuksen tasolla. EY 286 artiklassa yksinkertaisesti todettiin, että henkilötietojen käsittelyä koskevia säädöksiä sovelletaan myös toimielimiin. Mikä tärkeämpää yhdellä säädöstekstillä vältettäisiin säännösten eroihin liittyvät riskit, ja se soveltuisi erittäin hyvin EU:n tason ja jäsenvaltioiden julkisten ja yksityisten tahojen välistä tiedonvaihtoa varten. Tällöin vältettäisiin myös riski siitä, että direktiivin 95/46/EY muuttamisen jälkeen ei ole enää poliittista tahtoa muuttaa asetusta (EY) N:o 45/2001 tai että tälle muutokselle ei anneta etusija, jotta vältetään erot voimaantuloajankohdissa.

46.

Euroopan tietosuojavaltuutettu kehottaa komissiota – mikäli se katsoo, ettei yleistä säädöstä voida soveltaa EU:n tason käsittelyyn – sitoutumaan ehdottamaan asetuksen (EY) N:o 45/2001 (eikä ”arvioimaan tarvetta”) muuttamista mahdollisimman nopeasti ja mieluiten vuoden 2011 loppuun mennessä.

47.

Yhtä tärkeää on, että komissio varmistaa, että muut alat eivät jää jälkeen, erityisesti seuraavat:

48.

Lopuksi tietosuojaa koskevaa yleistä säädöstä voidaan ja luultavasti täytyy täydentää alakohtaisilla asetuksilla ja erityisasetuksilla, esimerkiksi poliisiyhteistyötä ja oikeudellista yhteistyötä sekä muita aloja koskevilla asetuksilla (25). Nämä lisäasetukset olisi tarvittaessa annettava EU:n tasolla toissijaisuusperiaatteen mukaisesti. Jäsenvaltiot voivat laatia lisäsääntöjä erityisaloilla, jos tämä on perusteltua (katso 5.2 kohta).

49.

Yhtenäisyys on erittäin tärkeää EU:n tietosuojalainsäädännölle. Tiedonannossa korostettiin aivan oikein, että tietosuojaan liittyy vahva sisämarkkinaulottuvuus, koska on varmistettava jäsenvaltioiden välinen henkilötietojen vapaa liikkuvuus sisämarkkinoilla. Nykyisessä direktiivissä yhtenäisyyden tason on arvioitu olevan epätyydyttävä. Tiedonannossa todetaan, että tämä on sidosryhmien yksi toistuvista ja suurimmista ongelmista. Sidosryhmät korostavat erityisesti tarvetta parantaa oikeusvarmuutta, vähentää hallinnollista taakkaa ja varmistaa tasapuoliset toimintaedellytykset taloudellisille toimijoille. Kuten komissio aivan oikein toteaa, tämä koskee erityisesti rekisterinpitäjiä, jotka ovat sijoittautuneet eri jäsenvaltioihin ja joiden on noudatettava kansallisten tietosuojasäädösten (mahdollisesti erilaisia) vaatimuksia (26).

50.

Yhtenäisyys ei ole tärkeää pelkästään sisämarkkinoille vaan myös riittävän tietosuojan varmistamiseksi. SEUT 16 artiklassa todetaan, että ”jokaisella” on oikeus henkilötietojensa suojaan. Jotta tätä oikeutta kunnioitettaisiin tehokkaasti, koko EU:ssa on taattava tietosuojan yhdenmukainen taso. Yksityisyyden suojan tulevaisuutta koskevassa tietosuojatyöryhmän asiakirjassa korostettiin, että monia rekisteröityjen asemaa koskevia säännöksiä ei ole pantu täytäntöön tai tulkittu yhdenmukaisesti kaikissa jäsenvaltioissa (27). Globaalistuneessa ja verkottuneessa maailmassa nämä erot voivat heikentää tai rajoittaa yksilöiden suojelua.

51.

Euroopan tietosuojavaltuutettu katsoo, että yhtenäisyyden lisääminen ja parantaminen on tarkistusprosessin yksi päätavoitteista. Euroopan tietosuojavaltuutettu suhtautuu myönteisesti komission sitoumukseen tutkia, miten parantaa tietosuojan yhtenäisyyttä EU:n tasolla. Hän kuitenkin pitää jokseenkin yllättävänä, ettei tiedonannossa esitetä konkreettisia vaihtoehtoja tässä vaiheessa. Siksi hän tuo esiin joitakin aloja, joilla on pikaisesti tehostettava lähentymistä (katso 5.3 kohta). Näillä aloilla yhtenäisyyttä ei lisätä pelkästään vähentämällä kansallisen lainsäädännön liikkumavaraa, vaan myös estämällä jäsenvaltioiden virheellistä täytäntöönpanoa (katso myös 11 luku) ja varmistamalla yhdenmukaisempi ja koordinoidumpi täytäntöönpano (katso myös 10 luku).

52.

Direktiivi sisältää monia säännöksiä, jotka on muotoiltu väljästi ja jotka siksi jättävät merkittävästi tilaa erilaisille täytäntöönpanoille. Direktiivin johdanto-osan 9 kappaleessa nimenomaisesti vahvistetaan, että jäsenvaltioille annetaan tietty liikkumavara ja että tämän liikkumavaran rajoissa direktiivin täytäntöönpanossa voi esiintyä eroavaisuuksia. Jäsenvaltioissa useiden säännösten, myös joidenkin keskeisten säännösten, täytäntöönpanossa on eroja (28). Tämä tilanne ei ole tyydyttävä, ja yhtenäisyyttä on parannettava.

53.

Tämä ei tarkoita että eroavuudet olisi poistettava kokonaan. Tietyillä aloilla joustavuutta voidaan tarvita perusteltujen erityispiirteiden, tärkeiden yleisten etujen tai jäsenvaltioiden institutionaalisen itsemääräämisoikeuden säilyttämiseksi. Euroopan tietosuojavaltuutetun mielestä jäsenvaltioiden väliset eroavuudet ovat mahdollisia seuraavissa erityistilanteissa:

54.

Määritelmät (Direktiivin 95/46/EY 2 artikla). Määritelmät ovat säädöskehyksen kulmakiviä, ja niitä on tulkittava yhdenmukaisesti kaikissa jäsenvaltioissa ilman täytäntöönpanoon liittyvää harkintavaltaa. Nykyisessä kehyksessä on esiintynyt tulkintaeroja, esimerkiksi rekisterinpitäjää koskevan käsitteen osalta (29). Euroopan tietosuojavaltuutettu ehdottaa, että 2 artiklan luetteloon lisätään uusia käsitteitä oikeusvarmuuden lisäämiseksi, esimerkiksi nimetön tieto, salanimellä julkaistu tieto, oikeudellinen tieto, tiedonsiirto ja tietosuojasta vastaava henkilö.

55.

Käsittelyn laillisuus (5 artikla). Uuden säädöksen on oltava mahdollisimman tarkka tietojenkäsittelyn laillisuuden määrittelevien keskeisten tekijöiden osalta. Direktiivin 5 artiklaa, (kuten myös johdanto-osan 9 kappaletta), jossa jäsenvaltioille annetaan valtuudet määrittää tietojenkäsittelyn laillisuuden edellytykset, ei ehkä enää tarvita tulevassa kehyksessä.

56.

Tietojenkäsittelyn perusteet (7 ja 8 artikla). Tietojenkäsittelyn edellytysten määritelmä on tietosuojalainsäädännön keskeinen tekijä. Jäsenvaltioiden ei pitäisi voida ottaa käyttöön käsittelyn lisäperusteita tai muuttaa tai poistaa näitä perusteita. Poikkeuksien mahdollisuus pitäisi sulkea pois tai niitä pitäisi rajoittaa (erityisesti arkaluonteisten tietojen osalta (30)). Uudessa säädöksessä tietojenkäsittelyn perusteet on muotoiltava selkeästi, ja siten vähennetään harkintavaltaa soveltamisessa tai täytäntöönpanossa. Erityisesti suostumuksen käsitettä on ehkä tarpeen tarkentaa edelleen (katso 6.5 kohta). Lisäksi peruste, joka perustuu rekisterinpitäjän oikeutettuun intressiin (7 artiklan f kohta), mahdollistaa hyvin erilaiset tulkinnat sen joustavan luonteen takia, joten tarkennuksia tarvitaan. Toinen säännös, jota on myös mahdollisesti tarkennettava, on 8 artiklan 2 kohdan b alakohta, jossa sallitaan arkaluonteisten tietojen käsittely, jos se on tarpeen rekisterinpitäjän erityisten oikeuksien ja velvoitteiden noudattamiseksi työoikeuden alalla (31).

57.

Rekisteröidyn oikeudet (10–15 artikla). Tämä on yksi niistä aloista, joissa direktiivin kaikkia osia ei ole pantu täytäntöön ja tulkittu johdonmukaisesti jäsenvaltioissa. Rekisteröidyn oikeudet ovat keskeinen tekijä tehokkaan tietosuojan varmistamiseksi. Näin ollen liikkumavaraa on merkittävästi vähennettävä. Euroopan tietosuojavaltuutettu suosittelee, että rekisterinpitäjien rekisteröidyille antamien tietojen on oltava yhdenmukaisia kaikkialla EU:ssa.

58.

Kansainväliset siirrot (25–26 artikla). Tätä alaa on arvosteltu laajasti, koska koko EU:ssa ei ole olemassa yhdenmukaista käytäntöä. Sidosryhmät arvostelivat sitä, että komission tietosuojan riittävyyttä koskevia päätöksiä tulkitaan ja pannan täytäntöön hyvin eri tavalla eri jäsenvaltioissa. Euroopan tietosuojavaltuutettu suosittelee lisäksi, että yrityksiä sitovien sääntöjen (BCR) yhtenäistämistä lisätään (9 luku).

59.

Kansalliset tietosuojaviranomaiset (28 artikla). Kansallisiin tietosuojaviranomaisiin sovelletaan hyvin erilaisia sääntöjä 27 jäsenvaltiossa, erityisesti niiden asemaan, resursseihin ja toimivaltuuksiin. Direktiivin 28 artikla on osittain vaikuttanut näihin eroavuuksiin artiklan epätarkkuuden takia (32), ja sitä pitäisi täsmentää unionin tuomioistuimen asiassa C-518/07 (33) antaman tuomion mukaisesti (katso lisätietoja 10 luku).

60.

Ilmoitusta koskevat vaatimukset (direktiivin 95/46/EY 18–21 artikla) on toinen ala, jolla jäsenvaltioille on tähän mennessä annettu merkittäviä vapauksia. Tiedonannossa todetaan aivan oikein, että yhtenäinen järjestelmä vähentäisi rekisterinpitäjien kustannuksia ja hallinnollista taakkaa (34).

61.

Tämä on ala, jossa yksinkertaistaminen pitäisi olla päätavoite. Tietosuojalainsäädännön tarkistaminen on ainutlaatuinen mahdollisuus yksinkertaistaa edelleen ja/tai rajoittaa nykyisten ilmoitusvaatimusten alaa. Tiedonannossa tunnustetaan, että sidosryhmät ovat yleisesti yhtä mieltä siitä, että nykyinen ilmoitusjärjestelmä on varsin raskas eikä itsessään tuo henkilötietojen suojaan mitään todellista lisäarvoa rekisteröityjen kannalta (35). Euroopan tietosuojavaltuutettu suhtautuu näin ollen myönteisesti komission sitoumukseen tutkia eri mahdollisuuksia yksinkertaistaa nykyistä ilmoitusjärjestelmää.

62.

Euroopan tietosuojavaltuutetun mielestä tämän yksinkertaistamisen lähtökohta on siirtyminen järjestelmästä, jossa ilmoittaminen on sääntö – jollei toisin ilmoiteta (esimerkiksi ”vapautusjärjestelmä”) – kohdennetumpaan järjestelmään. Vapautusjärjestelmä osoittautui tehottomaksi, sillä sitä toteutettiin epäjohdonmukaisesti jäsenvaltioissa (36). Euroopan tietosuojavaltuutettu ehdottaa seuraavia vaihtoehtojen harkitsemista:

Lisäksi voitaisiin ottaa käyttöön vakiomallinen yleiseurooppalainen ilmoituslomake, jolla varmistetaan yhtenäinen lähestymistapa pyydettyihin tietoihin.

63.

Nykyisen ilmoitusjärjestelmän tarkistuksen ei pitäisi rajoittaa ennakkotarkastusvelvollisuuksien parantamista sellaisten tiettyjen käsittelytoimien osalta, joihin todennäköisesti liittyy erityisiä riskejä (kuten laajamittaiset tietojärjestelmät). Euroopan tietosuojavaltuutettu suosittelee, että uuteen säädökseen sisällytetään ei-tyhjentävä luettelo tapauksista, joissa ennakkotarkastusta vaaditaan. Yksilöiden suojelusta yhteisöjen toimielinten ja elinten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta annetussa asetuksessa (EY) N:o 45/2001 on hyödyllinen malli tätä tarkoitusta varten (37).

64.

Lopuksi Euroopan tietosuojavaltuutettu katsoo, että tarkistusprosessi tarjoaa myös mahdollisuuden harkita tietosuojasäädöksen tyyppiä. Asetus, yksittäinen säädös, joka on suoraan sovellettavissa jäsenvaltioissa, on tehokkain tapa suojata tietosuojaa koskevaa perusoikeutta ja luoda todelliset sisämarkkinat, joissa henkilötiedot voivat liikkua vapaasti ja joissa suojan taso on yhtäläinen maasta tai tietojenkäsittelyalasta riippumatta.

65.

Asetus vähentäisi ristiriitaisia tulkintoja ja perusteettomia eroja lainsäädännön täytäntöönpanossa ja soveltamisessa. Se vähentäisi myös EU:ssa suoritettaviin käsittelytoimiin sovellettavan lainsäädännön määrittelyn – joka on yksi nykyisen järjestelmän kiistanalaisimpia näkökohtia (katso 9 luku) – merkitystä.

66.

Tietosuojan alalla asetus on sitäkin perustellumpi, koska

67.

Asetuksen valinta yleiseksi säädökseksi mahdollistaa tarvittaessa suoraan jäsenvaltioille osoitetut säännökset, joissa tarvitaan joustoa. Se ei myöskään vaikuta jäsenvaltioiden toimivaltaan hyväksyä tarvittaessa tietosuojaa koskevia lisäsääntöjä EU:n oikeuden mukaisesti.

68.

Euroopan tietosuojavaltuutettu antaa täyden tukensa tiedonannolle siltä osin, kun siinä ehdotetaan yksilöiden oikeuksien lujittamista, koska voimassa olevissa säädöksissä ei kaikilta osin anneta tehokasta suojaa, jota tarvitaan yhä monimutkaisemmassa digitaalisessa maailmassa.

69.

Toisaalta digitaalisen maailman kehittyminen merkitsee henkilötietojen keräämisen, käytön ja edelleen siirron nopeaa lisääntymistä erittäin monimutkaisella ja vaikeaselkoisella tavalla. Yksilöt eivät usein ole tietoisia tai he eivät ymmärrä, miten tämä tapahtuu, kuka kerää heitä koskevia tietoja tai miten valvoa omia tietoja. Esimerkiksi verkkomainosten tarjoajat seuraavat evästeiden tai vastaavia keinojen avulla yksilöiden verkkokäyttäytymistä voidakseen tarjota heille kohdennettua mainontaa. Kun käyttäjät käyvät verkkosivuilla, he eivät odota, että näkymättömät kolmannet osapuolet kirjaavat tällaiset käynnit ja luovat käyttäjärekistereitä, jotka perustuvat tietoihin, joista käy ilmi heidän elämäntyylinsä tai mieltymyksensä.

70.

Toisaalta kehitys rohkaisee yksilöitä jakamaan aktiivisesti henkilökohtaisia tietojaan, esimerkiksi sosiaalisista verkkoyhteisöistä. Yhä nuoremmat henkilöt ovat osa sosiaalista verkkoyhteisöä, ja he ovat kanssakäymisissä muiden nuorten kanssa. On epävarmaa, tietävätkö (nuoret) henkilöt tietojensa luovuttamisesta ja toimiensa pitkän aikavälin vaikutuksista.

71.

Avoimuus on erittäin tärkeää kaikissa tietosuojajärjestelmissä, ei pelkästään siksi, että se on itsessään arvokasta vaan myös siksi, että se mahdollistaa muiden tietosuojaperiaatteiden soveltamisen. Vain silloin, kun yksilöt tietävät tietojenkäsittelystä, he voivat käyttää oikeuksiaan.

72.

Direktiivin 95/46/EY useissa säännöksissä käsitellään avoimuutta. Direktiivin 10 ja 11 artiklassa mainitaan velvoite ilmoittaa yksilöille heitä koskevien tietojen keräämisestä. Lisäksi 12 artiklassa tunnustetaan oikeus saada jäljennös omista henkilötiedoista itselleen ymmärrettävässä muodossa (tiedonsaantioikeus). Direktiivin 15 artiklassa tunnustetaan oikeus saada tietää sellaisiin automatisoituihin päätöksiin, joilla on oikeusseuraamuksia, liittyvä logiikka. Lisäksi 6 artiklan 1 kohdan a alakohta, jossa edellytetään, että henkilötietoja käsitellään asianmukaisesti, sisältää myös avoimuutta koskevan vaatimukseen. Henkilötietojen käsittelylle ei saa olla piileviä tai salaisia syitä.

73.

Tiedonannossa ehdotetaan, että säädöskehykseen lisätään avoimuutta koskeva yleisperiaate. Vastauksena tähän ehdotukseen Euroopan tietosuojavaltuutettu korostaa, että avoimuuden käsite on jo olennainen osa nykyistä tietosuojalainsäädäntöä, vaikka epäsuorasti. Tämä voidaan päätellä avoimuutta koskevista eri säännöksistä, kuten edellisessä kappaleessa mainittiin. Euroopan tietosuojavaltuutettu katsoo, että nimenomaisen avoimuutta koskevan periaatteen – joka joko liittyisi oikeudenmukaista käsittelyä koskevaan säännökseen tai sitten ei – sisällyttämisellä voisi olla lisäarvoa. Tämä lisäisi oikeusvarmuutta ja myös vahvistaisi, että rekisterinpitäjän on kaikissa olosuhteissa käsiteltävä henkilötietoja avoimesti, ei pelkästään pyydettäessä tai kun erityssäädöksellä niin edellytetään.

74.

On kuitenkin ehkä tärkeämpää lujittaa avoimuutta koskevia voimassa olevia säännöksiä, kuten direktiivin 95/46/EY 10 ja 11 artiklaa. Näissä säännöksissä määritetään annettavat tiedot mutta ei todeta tarkasti, missä muodossa tiedot on annettava. Konkreettisemmin Euroopan tietosuojavaltuutettu ehdottaa voimassa olevien säännösten vahvistamista seuraavasti:

75.

Euroopan tietosuojavaltuutettu tukee tiedonannossa esitettyä ehdotusta sisällyttää yleiseen säädökseen velvoite ilmoittaa henkilötietosuojan loukkauksista. Yleisessä säädöksessä kyseistä velvoitetta laajennettaisiin koskemaan kaikkia rekisterinpitäjiä, kun taas tarkistetussa sähköisen viestinnän tietosuojadirektiivissä kyseinen velvoite koskee vain tiettyjä toimijoita, nimittäin sähköisen viestinnän palvelujen tarjoajia (puhelintoimintapalvelujen (mukaan lukien VoIP) ja Internet-palvelujen tarjoajia). Velvoite ei koske muita rekisterinpitäjiä. Velvoitteen perusteita voidaan kaikilta osin soveltaa muihinkin rekisterinpitäjiin kuin sähköisen viestinnän palvelujen tarjoajiin.

76.

Tietosuojaloukkauksia koskevien ilmoitusten tarkoitukset ja tavoitteet vaihtelevat. Ilmeisin tavoite, jota tiedonannossa korostetaan, on toimia tiedonhankintavälineenä, jotta yksilöt olisivat tietoisia henkilötietojen vaarantumisen riskeistä. Tämä voi auttaa heitä toteuttamaan tarvittavia toimenpiteitä tällaisten riskien vähentämiseksi. Esimerkiksi, kun henkilölle ilmoitetaan loukkauksista, jotka vaikuttavat heidän taloudellisiin tietoihinsa, henkilöt voivat muun muassa muuttaa salasanansa tai lopettaa tilinsä. Lisäksi tietosuojaloukkauksia koskevat ilmoitukset edistävät osaltaan direktiivin muiden periaatteiden ja velvollisuuksien tehokasta soveltamista. Esimerkiksi tietosuojaloukkauksia koskevat ilmoitukset kannustavat rekisterinpitäjiä parantamaan suojatoimenpiteitä loukkausten estämiseksi. Tietosuojaloukkaus on myös väline vahvistaa rekisterinpitäjien velvollisuutta, erityisesti lisätä vastuuta (katso 7 luku). Sitä voidaan myös käyttää tietosuojaviranomaisten täytäntöönpanovälineenä. Loukkauksesta ilmoittaminen tietosuojaviranomaisille voi johtaa rekisterinpitäjän yleisiä käytäntöjä koskevaan tutkintaan.

77.

Tarkistetun sähköisen viestinnän tietosuojadirektiivin tietosuojaloukkauksia koskevista erityissäännöistä keskusteltiin laajasti lainsäädäntökehyksen parlamenttikäsittelyn aikana, joka edelsi sähköisen viestinnän tietosuojadirektiivin hyväksymistä. Tässä keskustelussa otettiin huomioon 29 artiklan mukaisen tietosuojatyöryhmän ja Euroopan tietosuojavaltuutetun lausunnot sekä sidosryhmien näkemykset. Säännöt ilmentävät eri sidosryhmien näkemyksiä. Ne edustavat etujen tasapainoa: ilmoitusvelvollisuuden käynnistävät perusteet ovat periaatteessa riittäviä yksilöiden suojelemiseksi mutta eivät aseta liian raskaita vaatimuksia, joista ei ole hyötyä.

78.

Tietosuojadirektiivin 7 artiklassa luetellaan kuusi oikeusperustaa henkilötietojen käsittelylle. Asianomaisen suostumus on yksi niistä. Rekisterinpitäjä voi käsitellä henkilötietoja siinä määrin kuin yksilöt ovat antaneet tietoon perustuvan suostumuksen kerätä ja käsitellä itseään koskevia tietoja.

79.

Käytännössä käyttäjät pystyvät vain rajoitetusti valvomaan itseään koskevia tietoja erityisesti teknologisessa ympäristössä. Yksi toisinaan käytetyistä menetelmistä on implisiittinen suostumus, jolla tarkoitetaan johdettua suostumusta. Se voidaan johtaa yksilön suorittamasta toimesta (esimerkiksi verkkosivuston käyttöä pidetään suostumuksena saada käyttää käyttäjän tietoja markkinointitarkoituksiin). Se voidaan myös johtaa vaikenemisesta tai toimimattomuudesta (rastin poistamatta jättämistä pidetään suostumuksena).

80.

Direktiivin mukaan, jotta suostumus olisi pätevä, sen täytyy olla tietoon perustuva ilmaisu, vapaaehtoinen ja yksilöity. Sen täytyy olla tietoinen tahdon ilmaisu, jolla asianomainen hyväksyy henkilötietojensa käsittelyn. Suostumuksen antamistavan on oltava yksiselitteinen.

81.

Suostumus, joka on johdettu toimesta, erityisesti vaikenemisesta tai toimimattomuudesta, ei useinkaan ole yksiselitteinen suostumus. Ei kuitenkaan ole aina selvää, mikä muodostaa aidon yksiselitteisen suostumuksen. Jotkin rekisterinpitäjät käyttävät hyväkseen tätä epävarmuutta turvautumalla keinoihin, jotka eivät sovellu aidon, yksiselitteisen suostumuksen antamiseen.

82.

Edellä esitetyn valossa Euroopan tietosuojavaltuutettu yhtyy komission näkemykseen, jonka mukaan on tarpeen selkeyttää suostumuksen edellytyksiä ja varmistaa, että ainoastaan suostumusta, jota tulkitaan todelliseksi, pidetään suostumuksena. Tässä yhteydessä Euroopan tietosuojavaltuutettu ehdottaa seuraavaa (39):

83.

Tietojen siirrettävyys ja oikeus tulla unohdetuksi ovat kaksi toisiinsa liittyvää käsitettä, jotka on esitetty tiedonannossa rekisteröidyn oikeuksien vahvistamiseksi. Ne täydentävät direktiivissä jo mainittuja periaatteita, antavat rekisteröidylle oikeuden kieltää henkilötietojensa edelleenkäsittely ja velvoittavat rekisterinpitäjää tuhoamaan tiedot heti, kun ne eivät enää ole tarpeen käsittelyn tarkoitusta varten.

84.

Näillä kahdella käsitteellä on lisäarvoa tietoyhteiskunnassa, jossa yhä enemmän tietoa säilytetään automaattisesti määrittämättömän ajan. Käytäntö osoittaa, että vaikka rekisteröity itse lataa tiedot, hän pystyy käytännössä valvomaan henkilötietojaan vain rajoitetusti. Tämä pitää erityisesti paikkansa, kun otetaan huomioon Internetin valtava muisti. Lisäksi taloudellisesta näkökulmasta rekisterinpitäjälle tulee kalliimmaksi tuhota tietoja kuin säilyttää niitä. Yksilön oikeuksien käyttö olisi näin ollen luonnollisen taloudellisen kehityksen vastaista.

85.

Sekä tietojen siirrettävyys että oikeus tulla unohdetuksi voivat osaltaan vaikuttaa siihen, että tasapaino siirtyy rekisteröidyn eduksi. Tietojen siirrettävyyden tavoitteena on antaa yksilölle enemmän mahdollisuuksia valvoa omia henkilötietojaan, kun taas oikeudella tulla unohdetuksi varmistetaan, että tiedot tuhotaan automaattisesti tietyn ajan kuluttua, vaikka rekisteröidy ei ryhdy toimiin tai ei ole edes tietoinen siitä, että tietoja oli tallennettu.

86.

Tietojen siirrettävyydellä tarkoitetaan tarkemmin käyttäjän oikeutta muuttaa mieltymystään henkilötietojensa käsittelystä erityisesti uusien teknologiapalvelujen yhteydessä. Tämä koskee yhä enemmän palveluja, jotka edellyttävät tietojen, myös henkilötietojen säilyttämistä, kuten matkapuhelinpalveluja ja palveluja, joissa säilytetään kuvia, sähköpostiviestejä ja muita tietoja, tosinaan etäresurssipalvelujen avulla.

87.

Yksilöiden on voitava helposti ja vapaasti muuttaa tarjoajaa ja siirtää henkilötietonsa toiselle palveluntarjoajalle. Euroopan tietosuojavaltuutettu katsoo, että nykyisiä direktiivissä 95/46/EY säädettyjä oikeuksia voitaisiin vahvistaa sisällyttämällä siirrettävyysoikeus erityisesti tietoyhteiskuntapalveluihin. Siten autetaan yksilöitä varmistamaan, että palveluntarjoajat ja muut asianomaiset rekisterinpitäjät antavat heidän tutustua omiin henkilötietoihinsa ja samalla varmistetaan, että vanhat palveluntarjoajat ja rekisterinpitäjät poistavat kyseiset tiedot, vaikka ne haluaisivatkin pitää ne omia laillisia tarkoituksia varten.

88.

Äskettäin kodifioidulla ”oikeudella tulla unohdetuksi” varmistettaisiin henkilötietojen poistaminen ja niiden edelleen käyttöä koskeva kielto ilman, että rekisteröityä vaaditaan toimimaan, sillä edellytyksellä, että kyseisiä tietoja on jo säilytetty tietyn ajan. Tiedoille osoitettaisiin toisin sanoen jonkinlainen päättymispäivä. Tämä periaate on jo vahvistettu kansallisten tuomioistuinten tapauksissa tai sitä sovelletaan tietyillä aloilla, esimerkiksi poliisitiedostojen, rikosrekisterien tai kurinpitotietojen osalta. Joidenkin kansallisten säädösten mukaan yksilöitä koskevat tiedot poistetaan automaattisesti tai niitä ei enää käytetä tai levitetä erityisesti tietyn ajanjakson jälkeen tarvitsematta suorittaa etukäteen tapauskohtaista analyysia.

89.

Tässä mielessä uusi ”oikeus tulla unohdetuksi” pitäisi yhdistää tietojen siirrettävyyteen. Sen tuoma lisäarvo on se, että tietojen poistaminen ei edellytä rekisteröidyltä erillisiä toimia, sillä tämä pitäisi tehdä objektiivisesti ja automaattisesti. Ainoastaan erityisolosuhteissa, jossa tarve säilyttää tietoja pitempään voidaan vahvistaa, rekisterinpitäjällä voisi olla oikeus säilyttää tietoja. Kyseinen ”oikeus tulla unohdetuksi” siirtäisi täten todistustaakan yksilöltä rekisterinpitäjälle, ja henkilötietojen käsittelyn oletusasetuksena olisi yksityisyyden suojaaminen.

90.

Euroopan tietosuojavaltuutettu katsoo, että oikeus tulla unohdetuksi voi osoittautua erityisen hyödylliseksi tietoyhteiskuntapalvelujen yhteydessä. Velvoite poistaa tai olla levittämättä tietoja tietyn ajanjakson jälkeen on järkevää erityisesti tiedotusvälineissä tai Internetissä ja varsinkin sosiaalisissa verkkoyhteisöissä. Päätelaitteiden osalta olisi myös hyödyllistä, että tietokoneisiin ja mobiililaitteisiin tallennetut tiedot poistettaisiin tai suojattaisiin automaattisesti tietyn ajanjakson jälkeen, kun ne eivät enää ole yksilön hallussa. Siinä mielessä oikeus tulla unohdetuksi voidaan kääntää sisäänrakennetun yksityisyyden suojaa koskevaksi velvoitteeksi.

91.

Kaiken kaikkiaan Euroopan tietosuojavaltuutettu katsoo, että tietojen siirrettävyys ja oikeus tulla unohdetuksi ovat hyödyllisiä käsitteitä. Niiden sisällyttäminen säädökseen voisi olla hyödyllistä, mutta niiden käyttö olisi todennäköisesti rajoitettava sähköiseen ympäristöön.

92.

Direktiivissä 95/46/EY ei ole erityissääntöjä lasten henkilötietojen käsittelystä. Siinä ei tunnusteta lasten erityissuojelun tarvetta erityisissä olosuhteissa lasten haavoittuvuuden takia, ja tämä aiheuttaa oikeudellista epävarmuutta, erityisesti seuraavilla aloilla:

93.

Euroopan tietosuojavaltuutettu katsoo, että lasten erityisiä etuja suojattaisiin paremmin, jos uuteen säädökseen lisättäisiin säännöksiä, jotka koskisivat lapsia koskevien tietojen keräämistä ja edelleen käsittelyä. Tällaiset erityissäännöt toisivat myös oikeusvarmuutta tälle eritysalalle, ja niistä olisi hyötyä rekisterinpitäjille, joihin kohdistuu tällä hetkellä erilaisia oikeudellisia vaatimuksia.

94.

Euroopan tietosuojavaltuutettu ehdottaa, että seuraavat säännökset sisällytetään säädökseen:

95.

Yksilön oikeuksien sisällön vahvistaminen olisi merkityksetöntä, jollei olisi tehokkaita prosessuaalisia menettelyjä näiden oikeuksien täytäntöönpanemiseksi. Tässä yhteydessä Euroopan tietosuojavaltuutettu suosittelee, että EU:n lainsäädäntöön sisällytetään tietosuojasääntöjen rikkomista koskevia kollektiivisia oikeussuojakeinoja. Erityisesti kollektiiviset oikeussuojakeinot, joissa parannetaan kansalaisryhmien valmiuksia yhdistää kanteensa yhdeksi kanteeksi, voivat muodostaa erittäin tehokkaan välineen, jolla helpotetaan tietosuojasääntöjen täytäntöönpanoa (42). Tietosuojaviranomaiset tukevat myös tätä innovaatiota yksityisyyden suojan tulevaisuutta koskevassa tietosuojatyöryhmän asiakirjassa.

96.

Tapauksissa, joissa vaikutus on vähäisempi, on epätodennäköistä, että tietosuojasääntöjen rikkomusten uhrit nostaisivat yksittäisiä kanteita rekisterinpitäjiä vastaan, kun otetaan huomioon niihin liittyvät kustannukset, viivästykset, epävarmuustekijät, riskit ja rasitukset. Nämä vaikeudet voitettaisiin tai ne vähenisivät merkittävästi, jos käytössä olisi kollektiivisia oikeussuojakeinoja, joiden avulla rikkomusten uhrit voivat yhdistää yksittäiset kanteet yhdeksi kanteeksi. Euroopan tietosuojavaltuutettu suosii myös oikeutettujen yksiköiden, kuten kuluttajajärjestöjen tai julkisten elinten, valmiuksien parantamista, jotta nämä voivat nostaa vahingonkorvauskanteita tietosuojarikkomusten uhrien puolesta. Nämä kanteet eivät rajoittaisi rekisteröidyn oikeutta nostaa yksittäisiä kanteita.

97.

Kollektiiviset kanteet ovat tärkeitä täyden korvauksen varmistamiseksi tai muun korjaavan toimenpiteen varmistamiseksi, mutta niillä on myös epäsuorasti ehkäisyä tehostava vaikutus. Kalliiden kollektiivisten vahingonkorvausten riski tällaisissa kanteissa kannustaisi rekisterinpitäjiä varmistamaan tehokkaasti sääntöjen noudattamisen. Tältä osin kollektiivisilla oikeussuojakeinoilla tehostettu yksityinen täytäntöönpano täydentäisi julkista täytäntöönpanoa.

98.

Tiedonannossa ei oteta kantaa tähän aiheeseen. Euroopan tietosuojavaltuutettu on tietoinen Euroopan tasolla käynnissä olevasta keskustelusta kuluttajien kollektiivisten oikeussuojakeinojen käyttöönotosta. Hän on myös tietoinen näihin mekanismeihin liittyvistä ylilyöntiriskeistä muista oikeusjärjestelmissä saatujen kokemusten perusteella. Nämä tekijät eivät kuitenkaan hänen mielestään muodosta riittävää perustetta estää tai siirtää niiden sisällyttämistä tietosuojalainsäädäntöön, kun otetaan huomioon niiden mukanaan tuomat edut (43).

99.

Euroopan tietosuojavaltuutettu katsoo, että yksilöiden oikeuksien vahvistamisen lisäksi tietosuojaa koskevan nykyaikaisen säädöksen on sisällettävä tarvittavat välineet rekisterinpitäjien vastuun tehostamiseksi. Säädöskehyksen on erityisesti sisällettävä kannustimia yksityisellä ja julkisella alalla toimiville rekisterinpitäjille, jotta nämä ottavat liiketoimissaan käyttöön ennakoivia tietosuojatoimenpiteitä. Nämä välineet olisivat ensinnäkin hyödyllisiä koska, kuten jo aiemmin todettiin, tekninen kehitys on johtanut henkilötietojen keräämisen, käytön ja edelleen siirron merkittävään lisääntymiseen, mikä korostaa yksilöiden yksityisyyden suojaan ja henkilötietojen suojaan liittyvä riskejä, joita olisi korvattava tehokkaasti. Toiseksi nykyisessä säädöskehyksessä – lukuun ottamatta joitakin tarkasti yksilöityjä säännöksiä (katso jäljempänä) – ei ole tällaisia välineitä, ja rekisterinpitäjät voivat omaksua reagoivan lähestymistavan tietosuojaan ja yksityisyyden suojaan ja reagoida vasta ongelman syntymisen jälkeen. Tämä lähestymistapa näkyy tilastoissa, joista käy ilmi, että sääntöjen noudattamisen laiminlyönti ja tietojen häviämiset ovat toistuvia ongelmia.

100.

Euroopan tietosuojavaltuutetun mukaan nykyinen kehys ei riitä suojamaan henkilötietoja tehokkaasti nykyisissä ja tulevissa olosuhteissa. Mitä suuremmat riskit, sitä suurempi tarve toteuttaa konkreettisia toimia, joilla suojataan tietoja käytännön tasolla ja annetaan tehokasta suojaa. Jollei ennakoivia toimenpiteitä tosiasiallisesti toteuteta, virheet, vahingot ja laiminlyönnit jatkuvat todennäköisesti ja vaarantavat yksilöiden yksityisyyden suojan yhä digitaalisemmassa yhteiskunnassa. Tietojen tehokkaan suojan varmistamiseksi Euroopan tietosuojavaltuutettu ehdottaa seuraavia toimenpiteitä.

101.

Euroopan tietosuojavaltuutettu suosittelee, että säädökseen lisätään uusi säännös, jossa rekisterinpitäjiä vaaditaan toteuttamaan asianmukaisia ja tehokkaita toimenpiteitä säädöksen periaatteiden ja velvoitteiden toteuttamiseksi ja osoittamaan tämän pyynnöstä.

102.

Tämäntyyppinen säännös ei ole aivan uusi. Direktiivin 95/46/EY 6 artiklan 2 kohdassa viitataan tiedon laatua koskeviin periaatteisiin ja todetaan, että ”rekisterinpitäjän on huolehdittava 1 kohdan noudattamisesta”. Vastaavasti 17 artiklan 1 kohdassa vaaditaan, että rekisterinpitäjän on toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet. Näiden säännösten soveltamisala on kuitenkin rajoitettu. Vastuuta koskevan yleisen säännöksen lisääminen kannustaisi rekisterinpitäjiä ottamaan käyttöön ennakoivia toimenpiteitä, jotta ne voivat noudattaa tietosuojalainsäädännön kaikkia osia.

103.

Vastuusäännöksen seurauksena rekisterinpitäjiä vaadittaisiin ottamaan käyttöön sisäisiä mekanismeja ja valvontajärjestelmiä, joiden avulla varmistetaan säädöskehyksen periaatteiden ja velvoitteiden noudattaminen. Tämä edellyttäisi esimerkiksi korkeimman johdon osallistumista tietosuojapolitiikkaan, kartoitusmenettelyjä, joilla varmistetaan kaikkien tietojenkäsittelytoimien asianmukainen määrittäminen, sitovaa tietosuojapolitiikkaa, jota on jatkuvasti tarkistettava ja päivitettävä uusien tietosuojatoimien kattamiseksi, tietojen laatua, ilmoittamista, turvallisuutta ja tietojen saantia koskevien periaatteiden noudattamista jne. Se edellyttäisi myös, että rekisterinpitäjät säilyttävät todisteita, joilla ne osoittavat viranomaisille noudattavansa sääntöjä. Tietyissä tapauksissa myös suurelle yleisölle on osoitettava, että sääntöjä noudatetaan. Tämä voidaan tehdä esimerkiksi vaatimalla rekisterinpitäjiä sisällyttämään tietosuoja julkisiin (vuosi)raportteihin, kun tällaiset raportit ovat pakollisia muista syistä.

104.

Toteutettavien sisäisten ja ulkoisten toimenpidetyyppien on tietysti oltava tarkoituksenmukaisia, ja ne on määriteltävä kunkin yksittäisen tapauksen tosiseikkojen ja olosuhteiden perusteella. On eri asia, käsitteleekö rekisterinpitäjä muutaman sadan asiakkaan tietoja, jotka sisältävät lähinnä nimiä ja osoitteita, vai käsitteleekö rekisterinpitäjä miljoonien potilaiden tietoja, mukaan lukien potilastietoja. Tämä koskee myös niitä erityistapoja, joilla toimenpiteiden tehokkuutta on arvioitava. Tarvitaan laajennettavuutta.

105.

Kattavassa yleisessä tietosuojasäädöksessä ei pitäisi määrittää vastuuta koskevia erityisvaatimuksia vaan pelkästään sen keskeiset tekijät. Tiedonannossa mainitaan tiettyjä rekisterinpitäjän vastuuta tehostavia tekijöitä, joihin tietosuojavaltuutettu suhtautuu myönteisesti. Euroopan tietosuojavaltuutettu tukee kaikilta osin ehdotusta, jonka mukaan tehdään tietosuojavastaavan nimittäminen ja yksityisyyden suojaa koskeva vaikutustenarviointi pakolliseksi tietyin edellytyksin.

106.

Lisäksi Euroopan tietosuojavaltuutettu suosittelee toimivaltuuksien siirtämistä komissioille SEUT 290 artiklan nojalla, jotta voidaan täydentää perusvaatimuksia, jotka ovat tarpeen vastuuvelvollisuuden täyttämiseksi. Näiden toimivaltuuksien käyttö vahvistaisi rekisterinpitäjien oikeusvarmuutta ja yhtenäistäisi sääntöjen noudattamista koko EU:ssa. Näiden erityisvälineiden laadinnassa kuultaisiin 29 artiklan mukaista tietosuojatyöryhmää ja Euroopan tietosuojavaltuutettua.

107.

Lopuksi tietosuojaviranomaiset voisivat myös määrätä täytäntöönpanovaltuuksiensa yhteydessä rekisterinpitäjille tarkoitettuja konkreettisia vastuuvelvollisuustoimia. Jotta ne voivat tehdä näin, tietosuojaviranomaisille pitäisi antaa uusia toimivaltuuksia, joiden avulla ne voisivat määrätä korjaavia toimenpiteitä tai seuraamuksia. Esimerkkeinä mainittakoon sisäisten sääntöjen noudattamista koskevien ohjelmien laatiminen, sisäänrakennetun yksityisyyden suojan toteuttaminen tietyissä tuotteissa ja palveluissa jne. Korjaavia toimenpiteitä pitäisi määrätä vain, jos ne ovat tarkoituksenmukaisia, oikeasuhteisia ja tehokkaita ja niillä varmistetaan sovellettavien ja täytäntöönpanokelpoisten oikeusnormien noudattaminen.

108.

Sisäänrakennetulla yksityisyyden suojalla tarkoitetaan tietosuojan ja yksityisyyden suojan yhdistämistä sellaisten uusien tuotteiden, palvelujen ja menettelyjen suunnitteluvaiheessa, joihin sisältyy henkilötietojen käsittelyä. Euroopan tietosuojavaltuutetun mukaan sisäänrakennettu yksityisyyden suoja on osa vastuuvelvollisuutta. Näin ollen rekisterinpitäjien on myös tarvittaessa osoitettava, että ne ovat toteuttaneet sisäänrakennettua yksityisyyden suojaa. Äskettäin pidetyssä tietosuojavaltuutettujen 32. kansainvälisessä konferenssissa (International Conference of Data Protection and Privacy Commissioners) annettiin päätöslauselma, jossa sisäänrakennettu yksityisyyden suoja tunnustettiin keskeiseksi osaksi yksityisyyden perussuojaa (44).

109.

Direktiivi 95/46/EY sisältää joitakin säännöksiä, joissa edistetään sisäänrakennettua yksityisyyden suojaa (45), mutta siinä ei tunnusteta nimenomaisesti tällaista velvollisuutta. Euroopan tietosuojavaltuutettu on tyytyväinen siihen, että tiedonannossa hyväksytään sisäänrakennettu yksityisyyden suoja välineenä varmistaa tietosuojasääntöjen noudattaminen. Hän ehdottaa, että säädökseen sisällytetään sitova säännös, jossa säädetään ”sisäänrakennetun yksityisyyden suojaa” koskevasta velvoitteesta, joka voisi perustua direktiivin 95/46/EY johdanto-osan 46 kappaleen sanamuotoon. Säännöksessä olisi nimenomaisesti vaadittava, että rekisterinpitäjät toteuttavat teknisiä ja organisatorisia toimenpiteitä käsittelyjärjestelmän suunnitteluvaiheessa ja itse käsittelyvaiheessa henkilötietoja suojaamisen ja luvattoman käsittelyn estämisen varmistamiseksi (46).

110.

Tällaisen säännöksen perusteella rekisterinpitäjiä vaadittaisiin muun muassa varmistamaan, että tietojenkäsittelyjärjestelmät suunnitellaan siten, että ne käsittelevät mahdollisemman vähän henkilötietoja, niiden oletusasetuksena on sisäänrakennetun yksityisyyden suoja, esimerkiksi sosiaalisissa verkkoyhteisöissä, niissä yksilöiden profiilit pidetään oletusarvoisesti erillään ja otetaan käyttöön välineitä, joilla käyttäjät voivat tehostaa henkilötietojensa suojaa (esimerkiksi käyttöoikeuksien valvonta, salausvälineet).

111.

Lyhyesti voidaan todeta, että nimenomaisella viittauksella sisäänrakennettuun yksityisyyden suojaan on seuraavat edut:

112.

Tämä velvoite lisäisi sisäänrakennetulla yksityisyyden suojalla varustettujen tuotteiden ja palvelujen kysyntää, mikä puolestaan kannustaisi teollisuutta täyttämään tämän kysynnän. Lisäksi olisi harkittava uusien tuotteiden ja palvelujen suunnittelijoita ja valmistajia koskevaa erillistä velvoitetta, joka todennäköisesti vaikuttaisi tietosuojaan ja yksityisyyden suojaan. Euroopan tietosuojavaltuutettu ehdottaa, että säädökseen sisällytetään tällainen erillinen velvoite, joka voisi auttaa rekisterinpitäjiä täyttämään omat velvoitteensa.

113.

Sisäänrakennetun yksityisyyden suojan kodifiointia voitaisiin täydentää säännöksellä, jossa säädetään sisäänrakennettua yksityisyyden suojaa koskevista yleisistä vaatimuksista, joita sovellettaisiin eri aloilla, eri tuotteisiin ja eri palveluihin, esimerkiksi varmistetaan käyttäjän vaikutusvallan lisäämistä edistävät toimet, jotka hyväksytään tämän periaatteen mukaisesti.

114.

Lisäksi Euroopan tietosuojavaltuutettu suosittelee toimivaltuuksien siirtämistä komissiolle SEUT 290 artiklan nojalla, jotta sisäänrakennettua yksityisyyden suojaa koskevia perusvaatimuksia voidaan tarvittaessa täydentää tiettyjen tuotteiden ja palvelujen osalta. Näiden toimivaltuuksien käyttäminen lisäisi rekisterinpitäjien oikeusvarmuutta ja yhtenäistäisi sääntöjen noudattamista kaikkialla EU:ssa. Tällaisten erityisvälineiden laadinnassa olisi kuultava 29 artiklan mukaista tietosuojatyöryhmää ja Euroopan tietosuojavaltuutettua (katso vastaavasti 106 kohta vastuuvelvollisuudesta).

115.

Lopuksi tietosuojaviranomaisille pitäisi antaa valtuudet toteuttaa korjaavia toimenpiteitä tai seuraamuksia 107 kohdassa mainituissa olosuhteissa, joissa rekisterinpitäjät eivät ole ryhtyneet konkreettisiin toimiin tapauksissa, joissa näitä toimia tarvittaisiin.

116.

Tiedonannossa tunnustetaan tarve selvittää, onko mahdollista ottaa käyttöön EU:n sertifiointijärjestelmiä yksityisyydensuojaa koskevat vaatimukset täyttäville tuotteille ja palveluille. Euroopan tietosuojavaltuutettu tukee kaikilta osin tätä tavoitetta ja ehdottaa että lisätään säännös, jossa säädetään sertifiointijärjestelmien perustamisesta ja mahdollisista vaikutuksista koko EU:ssa ja jota voidaan myöhemmin kehittää muussa lainsäädännössä. Säännöksen olisi täydennettävä vastuuvelvollisuutta ja sisäänrakennettua yksityisyyden suojaa koskevia säännöksiä.

117.

Vapaaehtoisilla sertifiointijärjestelmillä voidaan tarkistaa, että rekisterinpitäjä on ottanut käyttöön toimenpiteitä säädöksen noudattamiseksi. Lisäksi rekisterinpitäjät – tai jopa tuotteet tai palvelut – jotka hyötyvät sertifiointimerkinnöistä, saavat todennäköisesti kilpailuetua muihin verrattuna. Tällaiset järjestelmät auttavat myös tietosuojaviranomaisia niiden valvonta- ja täytäntöönpanotehtävissä.

118.

Kuten 2 luvussa aiemmin mainittiin, henkilötietojen siirto EU:n rajojen ulkopuolelle on kasvanut räjähdysmäisesti, mikä johtuu uusien tekniikoiden kehityksestä, monikansallisten yritysten roolista ja hallitusten lisääntyneestä vaikutusvallasta henkilötietojen käsittelyssä ja vaihdossa kansainvälisellä tasolla. Tämä on yksi keskeinen syy, jolla perustellaan nykyisen säädöksen tarkistamista. Näin ollen tämä on yksi niistä aloista, joissa Euroopan tietosuojavaltuutettu pyytää kunnianhimoisempaa otetta ja tehokkuutta, sillä on olemassa selkeä tarve parantaa suojan yhtenäisyyttä, kun tietoja käsitellään EU:n ulkopuolella.

119.

Euroopan tietosuojavaltuutetun mukaan tarvitaan enemmän investointeja kansainvälisen sääntöjen kehittämiseen. Henkilötietojen suojatason yhtenäistäminen koko maailmassa selkeyttäisi huomattavasti noudatettavien periaatteiden sisältöä ja tiedonsiirron edellytyksiä. Näissä maailmanlaajuisissa säännöissä tietosuojan korkeaa tasoa koskeva vaatimus – mukaan lukien EU:n tietosuojaa koskevat keskeiset tekijät – on sovitettava yhteen alueellisten erityispiirteiden kanssa.

120.

Euroopan tietosuojavaltuutettu tukee tietosuojavaltuutettujen kansainvälisen konferenssin puitteissa tähän mennessä tehtyä työtä niin kutsuttujen ”Madridin standardien” kehittämiseksi ja levittämiseksi ja haluaa sisällyttää ne sitovaan säädökseen ja mahdollisesti käynnistää kansainvälisen konferenssin (47). Hän kehottaa komissiota käynnistämään tarvittavat aloitteet tämän tavoitteen saavuttamisen helpottamiseksi.

121.

Euroopan tietosuojavaltuutettu katsoo, että on myös tärkeää varmistaa yhtenäisyys tämän kansainvälisiä standardeja koskevan aloitteen, EU:n tietosuojasäädöksen nykyisen tarkistuksen ja muiden kehityssuuntien, kuten yksityisyyden suojaa koskevien OECD:n suuntaviivojen ja Euroopan neuvoston yleissopimuksen 108 (jonka kolmannet maat voivat allekirjoittaa, katso myös 17 kohta) nykyisen tarkistuksen, kanssa. Euroopan tietosuojavaltuutettu katsoo, että komissiolla on tältä osin erityinen rooli, kun se määrittää, miten edistää tällaista yhtenäisyyttä OECD:ssä ja Euroopan neuvostossa käytävissä neuvotteluissa.

122.

Koska täydellistä johdonmukaisuutta ei voida helposti saavuttaa, EU:n lainsäädäntöjen välillä tulee olemaan jonkin verran eroja – ainakin lähitulevaisuudessa – ja varsinkin EU:n rajojen ulkopuolella. Euroopan tietosuojavaltuutettu katsoo, että uudessa säädöksessä on selvennettävä kriteerejä, joilla määritellään sovellettava laki ja varmistettava tiedonsiirtoja koskevat yksinkertaiset mekanismit sekä tiedonsiirtoihin osallistuvien toimijoiden vastuuvelvollisuus.

123.

Ensinnäkin säädöksellä on varmistettava, että EU:n lainsäädäntöä voidaan soveltaa, kun henkilötietoja käsitellään EU:n rajojen ulkopuolella, jos on perusteltu syy soveltaa EU:n lainsäädäntöä. EU:ssa asuville tarkoitetut muut kuin eurooppalaiset etäresurssipalvelut on esimerkki siitä, miksi tätä tarvitaan. Ympäristössä, jossa tietoja ei fyysisesti säilytetä ja käsitellä kiinteässä paikassa, jossa eri maihin sijoittautuneet palveluntarjoajat ja käyttäjät vaikuttavat tietoihin, on erittäin vaikeaa määrittää, kuka vastaa kunkin tietosuojaperiaatteen noudattamisesta. Erityisesti tietosuojaviranomaiset antavat ohjeita siitä, miten tulkita ja soveltaa direktiiviä 95/46/EY tällaisissa tapauksissa, mutta pelkästään ohjeilla ei voida varmistaa oikeusvarmuutta tässä uudessa ympäristössä.

124.

Direktiivin 29 artiklan mukaisen tietosuojatyöryhmän äskettäin antamassa lausunnossa korostettiin, että EU:n alueella tarvitaan täsmällisempää säädöskehystä ja yksinkertaisia kriteerejä sovellettavan lain määrittämiseksi (48).

125.

Euroopan tietosuojavaltuutetun mukaan paras oikeudellinen väline olisi asetus, jonka seurauksena kaikissa jäsenvaltioissa sovellettaisiin samanlaisia sääntöjä. Asetuksen myötä sovellettavan lain määrittämisen tarve ei olisi niin tärkeä. Tämä on yksi syy siihen, että Euroopan tietosuojavaltuutettu suosii asetuksen antamista. Asetus antaisi myös jäsenvaltioille jonkin verran liikkumavaraa. Jos uudessa välineessä säilytetään merkittävä liikkumavara, Euroopan tietosuojavaltuutettu tukee tietosuojatyöryhmän ehdotusta, jonka mukaan siirrytään eri kansallisten lakien distributiivisesta soveltamisesta yhden säädöksen keskitettyyn soveltamiseen kaikissa jäsenvaltioissa, joissa rekisterinpitäjällä on toimipaikka. Hän kehottaa myös tehostamaan yhteistyötä ja koordinaatiota tietosuojaviranomaisten välillä kansainvälisissä tapauksissa ja valituksissa (katso 10 luku).

126.

Yhtenäisyyden ja esikuvan tarve on otettava huomioon sekä maailmanlaajuisissa tietosuojaperiaatteissa että kansainvälisissä siirroissa. Euroopan tietosuojavaltuutettu kannattaa kaikilta osin komission tavoitetta yksinkertaistaa kansainvälisten tiedonsiirtojen nykyisiä menettelyjä ja varmistaa yhtenäisempi ja johdonmukaisempi lähestymistapa kolmansiin maihin ja kansainvälisiin organisaatioihin.

127.

Tiedonsiirtomekanismeihin sisältyvät yksityisellä sektorilla tapahtuvat tiedonsiirrot, mukaan lukien erityisesti sopimuslausekkeet tai yrityksiä sitovat säännöt, ja viranomaisten väliset tiedonsiirrot. Yrityksiä sitovien sääntöjen osalta yhtenäisempi ja yksinkertaisempi lähestymistapa on toivottavaa. Euroopan tietosuojavaltuutettu suosittelee, että uudessa oikeudellisessa välineessä käsitellään selkeästi yrityksiä sitovia sääntöjä koskevia edellytyksiä (49) seuraavasti:

128.

Komissio on toistuvasti korostanut tietosuojan vahvistamisen tärkeyttä lainvalvonnassa ja rikoksentorjunnassa, joissa henkilötietojen vaihto ja käyttö on merkittävästi lisääntynyt. Myös Eurooppa-neuvoston hyväksymän Tukholman ohjelman mukaan vahva tietosuojajärjestelmä on EU:n tämän alan tiedonhallintostrategian tärkein edellytys (50).

129.

Tietosuojaa koskevan yleisen säädöskehyksen tarkistus tarjoaa erinomaisen tilaisuuden edetä tältä osin varsinkin, kun tiedonannossa aivan oikein kuvataan puitepäätöstä 2008/977/YOS riittämättömäksi (51).

130.

Euroopan tietosuojavaltuutettu totesi tämän lausunnon kohdassa 3.2.5, miksi poliisiyhteistyö ja oikeudellinen yhteistyö pitäisi sisällyttää yleiseen säädökseen. Poliisiyhteistyön ja oikeudellinen yhteistyön sisällyttämisellä on monia lisäetuja. Se tarkoittaa, että sääntöjä ei enää sovelleta pelkästään rajat ylittävään tiedonvaihtoon (52), vaan myös jäsenvaltioiden sisäiseen käsittelyyn. Kolmansien maiden kanssa tapahtuvaa henkilötietojen vaihtoa koskeva riittävä suoja taataan paremmin, myös kansainvälisten sopimusten osalta. Lisäksi tietosuojaviranomaisilla on samat laajat ja yhdenmukaiset valtuudet poliisi- ja oikeusviranomaisiin nähden kuin muihin rekisterinpitäjiin nähden. Lopuksi nykyistä 13 artiklaa, jossa jäsenvaltioille annetaan valtuudet antaa lainsäädännöllisiä toimenpiteitä, joilla rajoitetaan yleisen säädöksen mukaisia velvollisuuksia ja oikeuksia yleisen edun vuoksi, on sovellettava yhtä rajoitetusti kuin muilla aloilla. Yleisessä säädöksessä annettuja tämän alan erityisiä takeita on sovellettava myös poliisiyhteistyön ja oikeudellisen yhteistyön alan kansallisessa lainsäädännössä.

131.

Poliisiyhteisyön ja oikeudellisen yhteistyön sisällyttäminen säädökseen ei kuitenkaan sulje pois mahdollisuutta antaa erityissääntöjä ja poikkeuksia, joissa otetaan asianmukaisella tavalla huomioon tämän alan erityisluonne Lissabonin sopimukseen liitetyn julkistuksen 21 mukaisesti. Rekisteröidyn oikeuksien käyttöä koskevat rajoitukset voivat olla mahdollisia, mutta niiden on oltava välttämättömiä ja oikeasuhteisia eivätkä ne saa muuttaa itse oikeuden keskeisiä tekijöitä. Tässä yhteydessä on korostettava, että direktiiviä 95/46/EY, myös sen 13 artiklaa, sovelletaan tällä hetkellä eri alojen (esimerkiksi verotus, tulli, petostentorjunta) lainvalvontatoimiin, jotka eivät eroa olennaisesti monista poliisi- ja oikeusalan toimista.

132.

Lisäksi on otettava käyttöön erityisiä takeita, joiden mukaan rekisteröidyllä on oikeus saada korvausta ja lisäsuojaa alalla, jossa henkilötietojen käsittelyssä voidaan puuttua enemmän yksityisyyteen.

133.

Edellä esitetyn valossa Euroopan tietosuojavaltuutettu katsoo, että uuteen säädöskehykseen pitäisi sisällyttää ainakin seuraavat tekijät yleissopimuksen 108 ja Euroopan neuvoston ministerikomitean suosituksen N:o R (87) 15 mukaisesti:

134.

Tiedonannossa todetaan, että ”puitepäätös ei myöskään korvaa erilaisia EU:n tasolla hyväksyttyjä, rikosasioissa tehtävää poliisiyhteistyötä ja oikeudellista yhteistyötä koskevia alakohtaisia säädöksiä, joista mainittakoon Europolin, Eurojustin, Schengenin tietojärjestelmän (SIS) ja tullitietojärjestelmän (TTJ) toimintaa säätelevät säädökset. Niissä joko säädetään erityisistä tietosuojajärjestelyistä ja/tai viitataan Euroopan neuvoston tietosuoja-asiakirjoihin”.

135.

Euroopan tietosuojavaltuutetun mielestä uuden säädöskehyksen on oltava mahdollisuuksien mukaan selkeä, yksinkertainen ja johdonmukainen. Jos esimerkiksi Europoliin, Eurojustiin, Schengenin tietojärjestelmään ja Prümiin sovellettavat eri järjestelmät leviävät nopeasti, sääntöjen noudattaminen on tai siitä tulee entistäkin monimutkaisempaa. Tämä on yksi syy siihen, miksi Euroopan tietosuojavaltuutettu suosii kaikkia aloja koskevaa kattavaa säädöstä.

136.

Euroopan tietosuojavaltuutettu ymmärtää kuitenkin, että eri järjestelmiin sisältyvien sääntöjen yhdenmukaistaminen vaatii paljon huolellista työtä. Euroopan tietosuojavaltuutettu katsoo, että tiedonannossa mainittu asteittainen lähestymistapa on järkevä, kunhan sitoumus varmistaa tietosuojan korkea taso yhdenmukaisella ja tehokkaalla tavalla on selkeä ja näkyvä. Konkreettisemmin sanottuna:

137.

Euroopan tietosuojavaltuutettu tukee kaikilta osin komission tavoitetta ratkaista tietosuojaviranomaisten (DPA) asemaa koskeva kysymys ja tarkemmin vahvistaa niiden riippumattomuutta, resursseja ja täytäntöönpanovaltaa.

138.

Euroopan tietosuojavaltuutettu korostaa myös tarvetta selkeyttää uudessa säädöksessä tietosuojaviranomaisten riippumattomuutta koskevaa keskeistä käsitettä. Euroopan unionin tuomioistuin on äskettäin antanut tätä kysymystä koskevan päätöksen asiassa C-518/07 (54), jossa se korosti, että riippumattomuus tarkoittaa ulkopuolisen vaikuttamisen puuttumista. Tietosuojaviranomainen ei saa pyytää tai ottaa vastaan ohjeita keneltäkään. Euroopan tietosuojavaltuutettu ehdottaa, että nämä riippumattomuutta koskevat tekijät mainitaan nimenomaisesti säädöksessä.

139.

Tehtäviensä suorittamiseksi tietosuojaviranomaisilla on oltava käytössään tarvittava henkilöstö ja rahoitus. Euroopan tietosuojavaltuutettu ehdottaa, että tämä vaatimus sisällytetään säädökseen (55). Hän korostaa lopuksi tarvetta varmistaa, että viranomaisilla on täysin yhdenmukaistetut valtuudet tutkinnan sekä ehkäisevien ja korjaavien toimenpiteiden ja seuraamusten määräämisen osalta. Tämä lisäisi rekisteröityjen ja rekisterinpitäjien oikeusvarmuutta.

140.

Tietosuojaviranomaisten riippumattomuuden, resurssien ja toimivaltuuksien vahvistamisen on liityttävä yhteistyön tehostamiseen monenvälisellä tasolla, erityisesti kun otetaan huomioon tietosuojakysymysten kasvu Euroopan tasolla. Tämän yhteistyön tärkein väline on luonnollisesti 29 artiklan mukainen tietosuojatyöryhmä.

141.

Historia osoittaa, että työryhmän perustamisesta vuonna 1997 tähän päivään saakka työryhmän toiminta on kehittynyt. Siitä on tullut riippumattomampi, eikä se ole enää käytännössä pelkästään komissiolle neuvoja antava työryhmä. Euroopan tietosuojavaltuutettu ehdottaa lisäparannuksia tietosuojatyöryhmän toimintaan, myös sen infrastruktuuriin ja riippumattomuuteen.

142.

Euroopan tietosuojavaltuutettu katsoo, että työryhmän vahvuus liittyy olennaisesti sen jäsenten riippumattomuuteen ja toimivaltuuksiin. Tietosuojatyöryhmän itsenäistä päätösvalta on vahvistettava uudessa säädöskehyksessä Euroopan unionin tuomioistuimen asiassa C-518/07 vahvistamien tietosuojaviranomaisten täydellistä riippumattomuutta koskevien kriteerien mukaisesti. Euroopan tietosuojavaltuutettu katsoo, että tietosuojatyöryhmälle on myös annettava riittävät resurssit ja talousarvio ja vahvempi sihteeristö sen toiminnan tukemiseksi.

143.

Tietosuojatyöryhmän sihteeristön osalta Euroopan tietosuojavaltuutettu pitää arvossa sitä, että se kuuluu oikeusasioiden pääosaston tietosuojayksikköön. Tämän etuna on se, että työryhmä voi hyötyä tehokkaista ja joustavista yhteyksistä ja tietosuojan kehitystä koskevista ajantasaisista tiedoista. Toisaalta hän kyseenalaistaa sen, että komissio (tarkemmin sanottuna tietosuojayksikkö) toimii samanaikaisesti jäsenenä, sihteeristönä ja tietosuojatyöryhmän lausuntojen vastaanottajana. Tämän perusteella sihteeristön riippumattomuutta voitaisiin lisätä. Euroopan tietosuojavaltuutettu rohkaisee komissiota arvioimaan – kuultuaan sidosryhmiä – miten tämä riippumattomuus voidaan parhaiten varmistaa.

144.

Lopuksi tietosuojaviranomaisten valtuuksien vahvistaminen edellyttää myös tietosuojatyöryhmän valtuuksien vahvistamista sekä sääntöjen ja takeiden parantamista ja avoimuuden lisäämistä. Näitä kehitetään tietosuojatyöryhmän neuvoa-antavan tehtävän ja täytäntöönpanotehtävän osalta.

145.

Tietosuojatyöryhmän kannanotot on pantava tehokkaasti täytäntöön, kun otetaan huomioon työryhmän tehtävä komission neuvonantajana, erityisesti direktiivin periaatteiden ja muiden tietosuojasäädösten tulkinnan ja soveltamisen osalta, toisin sanoen työryhmän kannanottojen arvovallan varmistamiseksi. Tietosuojaviranomaisten kesken tarvitaan jatkokeskusteluja sen määrittämiseksi, miten tämä sisällytetään säädökseen.

146.

Euroopan tietosuojavaltuutettu suosittelee ratkaisuja, joissa työryhmän lausunnoille annetaan enemmän merkitystä muuttamatta merkittävästi sen toimintatapaa. Euroopan tietosuojavaltuutettu ehdottaa, että tietosuojaviranomaisten ja komission on otettava mahdollisimman tarkasti huomioon työryhmän lausunnot ja yhteiset kannat sähköisen viestinnän sääntelyviranomaisten yhteistyöelimen (BEREC) (56) lausuntoja koskevan mallin mukaisesti. Lisäksi uudessa säädöksessä työryhmälle voidaan antaa tehtäväksi antaa ”tulkintasuosituksia”. Näissä vaihtoehtoisissa ratkaisuissa työryhmän kannanotoille annettaisiin vahvempi asema, myös tuomioistuimissa.

147.

Voimassa olevan säädöksen mukaan 27 tietosuojaviranomaista huolehtii tietosuojalainsäädännön täytäntöönpanosta jäsenvaltioissa, ja niiden keskinäinen koordinaatio tapausten käsittelyssä on erittäin vähäistä. Jos kyse on tapauksista, jotka koskevat useampaa jäsenvaltiota tai joilla on selvästi globaalinen ulottuvuus, yritysten kustannukset moninkertaistuvat, sillä niiden on neuvoteltava eri julkisten viranomaisten kanssa saman toimen osalta, ja tämä lisää epäyhtenäisen soveltamisen riskiä. Poikkeuksellisissa tapauksissa toinen tietosuojaviranomainen voi pitää käsittelytoimia laillisina, kun taas toinen katsoo, että ne ovat kiellettyjä.

148.

Joillakin tapauksilla on strateginen ulottuvuus, ja näitä tapauksia olisi käsiteltävä keskitetysti. Direktiivin 29 artiklan mukainen tietosuojatyöryhmä helpottaa tietosuojaviranomaisten välisiä koordinointi- ja täytäntöönpanotoimia (57) tärkeissä tietosuojakysymyksissä, joilla on kansainvälisiä seurauksia. Näin tapahtui sosiaalisten verkkoyhteisöjen ja hakukoneiden osalta (58) sekä eri jäsenvaltioissa toteutettujen televiestintä- ja sairausvakuutusasioita koskevien koordinoitujen tarkistusten osalta.

149.

Voimassa olevan säädöksen mukaan tietosuojatyöryhmän täytäntöönpanotoimiin liittyy kuitenkin rajoituksia. Työryhmä voi antaa yhteisiä kantoja, mutta ei ole olemassa välinettä, jolla varmistetaan, että nämä kannat pannaan käytännössä tehokkaasti täytäntöön.

150.

Euroopan tietosuojavaltuutettu ehdottaa, että säädökseen lisätään säännöksiä, joilla tuetaan koordinoitua täytäntöönpanoa erityisesti:

151.

Euroopan tietosuojavaltuutettu ei suosittele tehokkaampien toimenpiteiden käyttöönottoa, kuten 29 artiklan mukaisen tietosuojatyöryhmän kannanottojen tekeminen oikeudellisesti sitoviksi. Tämä heikentäisi yksittäisten tietosuojaviranomaisten riippumatonta asemaa, jonka jäsenvaltioiden on taattava kansallisella lailla. Jos työryhmän päätöksillä on suora vaikutus kolmansiin osapuoliin, kuten rekisterinpitäjiin, on säädettävä uusista menettelyistä, myös avoimuudesta, oikeussuojakeinoista ja mahdollisesti kanteen nostamisesta unionin tuomioistuimessa.

152.

Euroopan tietosuojavaltuutetun ja tietosuojatyöryhmän välistä yhteistyötä voitaisiin myös hienosäätää. Euroopan tietosuojavaltuutettu on tietosuojatyöryhmän jäsen, ja hän vaikuttaa osaltaan työryhmän sisällä EU:n keskeisiä strategisia kehityssuuntia koskeviin kantoihin ja samalla varmistaa johdonmukaisuuden suhteessa omiin kantoihin. Euroopan tietosuojavaltuutettu pane merkille yksityisyyden suojaa koskevien kysymysten määrän kasvun sekä yksityisellä että julkisella sektorilla. Yksityisyyden suojaa koskevien kysymysten määrän kasvulla on kansallisen tason vaikutuksia monissa jäsenvaltioissa, ja työryhmällä on tämän osalta erityinen rooli.

153.

Euroopan tietosuojavaltuutetulla on täydentävä tehtävä antaa EU:n kehitystä koskevia neuvoja, ja tämä tehtävä olisi säilytettävä. EU:n elimenä hän käyttää neuvoa-antavia valtuuksiaan EU:n toimielimiin nähden samalla tavalla kuin kansalliset tietosuojaviranomaiset neuvovat hallituksiaan.

154.

Euroopan tietosuojavaltuutettu ja tietosuojatyöryhmä toimivat eri näkökulmista, jotka täydentävät toisiaan. Näistä syistä on tarpeen säilyttää tietosuojatyöryhmän ja Euroopan tietosuojavaltuutetun välinen koordinaatio ja mahdollisesti parantaa sitä sen varmistamiseksi, että nämä työskentelevät yhdessä tärkeimmissä tietosuojakysymyksissä, esimerkiksi koordinoimalla esityslistoja säännöllisesti (61) ja varmistamalla avoimuus kysymyksissä, joilla on kansallinen tai erityinen EU:hun liittyvä näkökohta.

155.

Koordinointia ei mainita nykyisessä direktiivissä siitä yksinkertaisesta syystä, että Euroopan tietosuojavaltuutettua ei ollut olemassa silloin, kun direktiivi hyväksyttiin, mutta kuuden vuoden toiminnan jälkeen Euroopan tietosuojavaltuutetun ja tietosuojatyöryhmän täydentävyys on ilmeistä, ja se voitaisiin tunnustaa virallisesti. Euroopan tietosuojavaltuutettu muistuttaa, että asetuksen (EY) N:o 45/2001 mukaan hänen velvollisuutensa on tehdä yhteistyötä kansallisten tietosuojaviranomaisten kanssa ja osallistua tietosuojatyöryhmän toimintaan. Euroopan tietosuojavaltuutettu suosittelee, että uudessa säädöksessä nimenomaisesti mainitaan yhteistyö ja että sitä voidaan tarvittaessa jäsentää esimerkiksi säätämällä yhteistyömenettelystä.

156.

Näitä näkökohtia sovelletaan myös aloilla, joissa valvonnan on oltava koordinoitua EU:n ja kansallisen tason välillä. Tämä koskee EU:n elimiä, jotka käsittelevät suuria määriä kansallisten viranomaisten toimittamia tietoja, tai laajamittaisia tietojärjestelmiä, joihin liittyy eurooppalainen tai kansallinen ulottuvuus.

157.

Joitakin EU:n elimiä koskeva nykyinen järjestelmä ja laajamittaiset tietojärjestelmät – esimerkiksi Europolilla, Eurojustilla ja ensimmäisen sukupolven Schengenin tietojärjestelmällä (SIS) on yhteiset valvontaviranomaiset kansallisten tietosuojaviranomaisten edustajien kanssa – ovat jäänteitä hallitustenvälisestä yhteistyöstä Lissabonia edeltävältä aikakaudelta, eivätkä ne noudata EU:n institutionaalista rakennetta, johon Europol ja Eurojust kuuluvat nyt olennaisena osana ja johon ”Schengenin säännöstö” on sisällytetty (62).

158.

Tiedonannossa todetaan, että komissio käynnistää vuonna 2011 sidosryhmien kuulemisen näiden valvontajärjestelmien tarkistuksesta. Euroopan tietosuojavaltuutettu kehottaa komissiota ottamaan mahdollisimman pian kantaa (lyhyessä määräajassa, katso edellä) valvonnasta käytävään keskusteluun. Euroopan tietosuojavaltuutettu omaksuu tältä osin seuraavan kannan:

159.

Lähtökohtaisesti on taattava, että kaikki valvontaelimet täyttävät riippumattomuutta, resursseja ja täytäntöönpanovaltuuksia koskevat välttämättömät kriteerit. Lisäksi on varmistettava, että EU:n tason näkökulmat ja asiantuntemus otetaan huomioon. Tämä tarkoittaa, että yhteistyötä on tehtävä ei pelkästään kansallisten viranomaisten välillä vaan myös Euroopan tietosuojaviranomaisen (tällä hetkellä Euroopan tietosuojavaltuutetun) kanssa. Euroopan tietosuojavaltuutetun mielestä on tarpeellista seurata mallia, joka täyttää nämä vaatimukset (63).

160.

Viime vuosina on kehitetty ”koordinoitua valvontaa” koskeva malli. Tämä valvontamalli, joka on nyt käytössä Eurodacissa ja tullitietojärjestelmän joissakin osissa, ulotetaan pian koskemaan viisumitietojärjestelmää (VIS) ja toisen sukupolven Schengenin tietojärjestelmää (SIS II). Tässä mallissa on kolme tasoa: 1) tietosuojaviranomaiset varmistavat valvonnan kansallisella tasolla; 2) Euroopan tietosuojavaltuutettu varmistaa valvonnan EU:n tasolla; 3) koordinointi varmistetaan Euroopan tietosuojavaltuutetun koolle kutsumissa säännöllisissä kokouksissa. Tietosuojavaltuutettu toimii myös tämän koordinointimekanismin sihteeristönä. Tämä malli on osoittautunut toimivaksi ja tehokkaaksi, ja sitä pitäisi tulevaisuudessa harkita muihin tietojärjestelmiin.

161.

Samalla kun tarkistusprosessi on käynnissä, on pyrittävä varmistamaan, että voimassa olevat säännöt pannaan täytäntöön täysimääräisesti ja tehokkaasti. Näitä sääntöjä sovelletaan, kunnes uusi kehys hyväksytään ja saatetaan osaksi jäsenvaltioiden kansallista lainsäädäntöä. Tämän osalta voidaan määrittää useita toimintalinjoja.

162.

Ensinnäkin komission on edelleen valvottava, että jäsenvaltiot noudattavat direktiiviä 95/46/EY, ja tarvittaessa käytettävä SEUT 258 artiklan mukaisia valtuuksiaan. Äskettäin käynnistettiin rikkomusmenettelyt, koska direktiivin 28 artiklaa ei ollut pantu asianmukaisesti täytäntöön tietosuojaviranomaisten riippumattomuutta koskevan edellytyksen osalta (64). Myös muilla aloilla on valvottava, että direktiiviä noudatetaan täysimääräisesti (65). Euroopan tietosuojavaltuutettu pitää näin ollen myönteisenä ja kannattaa kaikilta osin komission sitoumusta käynnistää aktiivisesti rikkomusmenettelyjä. Komission on myös jatkettava täytäntöönpanoa koskevaa rakenteellista vuoropuhelua jäsenvaltioiden kanssa (66).

163.

Toiseksi kansallisen tason täytäntöönpanoa on rohkaistava tietosuojasääntöjen käytännön soveltamisen varmistamiseksi, myös uusien teknisten ilmiöiden ja maailmanlaajuisten toimijoiden osalta. Tietosuojaviranomaisten on hyödynnettävä kaikilta osin tutkintaa ja seuraamusten määräämistä koskevia valtuuksiaan. On myös tärkeää, että rekisteröityjen nykyiset oikeudet, erityisesti oikeus tutustua tietoihin, pannaan käytännössä täysimääräisesti täytäntöön.

164.

Kolmanneksi täytäntöönpanon koordinoinnin parantaminen näyttää välttämättömältä lyhyellä aikavälillä. Direktiivin 29 artiklan mukaisen tietosuojatyöryhmän rooli ja sen tulkinta-asiakirjat ovat tältä osin erittäin tärkeitä, mutta myös tietosuojaviranomaisten on tehtävä parhaansa niiden toteuttamiseksi käytännössä. EU:n laajuisten tai maailmanlaajuisten tapausten toisistaan poikkeavia tuloksia on vältettävä ja tietosuojatyöryhmän on omaksuttava yhteisiä lähestymistapoja. Tietosuojatyöryhmän valvonnassa suoritetut EU:n laajuiset koordinoidut tutkinnat voivat myös tuottaa merkittävää lisäarvoa.

165.

Neljänneksi tietosuojaperiaatteet pitäisi sisällyttää ennakoivasti uusiin säännöksiin, jotka voivat suoraan tai epäsuorasti vaikuttaa tietosuojaan. EU:n tasolla Euroopan tietosuojavaltuutettu pyrkii monin tavoin edistämään Euroopan lainsäädännön parantamista, ja tällaisia pyrkimyksiä on toteutettava myös kansallisella tasolla. Tietosuojaviranomaisten on näin ollen hyödynnettävä täysimääräisesti neuvoa-antavia valtuuksiaan tällaisen ennakoivan lähestymistavan varmistamiseksi. Tietosuojaviranomaisilla, mukaan lukien Euroopan tietosuojavaltuutettu, voi olla ennakoiva rooli teknisen kehityksen valvonnassa. Valvonta on tärkeää, jotta voidaan varhaisessa vaiheessa tunnistaa uudet kehityssuunnat, korostaa tietosuojaan kohdistuvia mahdollisia vaikutuksia, tukea tietosuojaa edistäviä ratkaisuja ja lisätä sidosryhmien tietoisuutta.

166.

Lopuksi on aktiivisesti edistettävä eri toimijoiden välistä yhteistyötä kansainvälisellä tasolla. Siksi on tärkeää vahvistaa kansainvälisiä yhteistyövälineitä. Madridin standardien ja Euroopan neuvoston ja OECD:n kanssa tehtävän yhteistyön kaltaiset aloitteet ansaitsevat täyden tuen. Tässä yhteydessä on erittäin myönteistä, että myös Yhdysvaltojen liittovaltion kilpailuviranomainen (US Federal Trade Commission) osallistuu tietosuojavaltuutettujen kansainväliseen konferenssiin.

167.

Euroopan tietosuojavaltuutettu suhtautuu yleisesti ottaen myönteisesti komission tiedonantoon, koska hän on vakuuttunut siitä, että nykyisen tietosuojaa koskevan kehyksen tarkistus on välttämätön tehokkaan suojan varmistamiseksi jatkuvasti kehittyvässä ja globalisoituneessa tietoyhteiskunnassa.

168.

Tiedonannossa määritellään tärkeimmät kysymykset ja haasteet. Euroopan tietosuojavaltuutettu yhtyy komission näkemykseen, jonka mukaan vahvaa tietosuojajärjestelmää tarvitaan yhä tulevaisuudessa, mikä perustuu siihen näkemykseen, että nykyiset yleiset tietosuojaperiaatteet ovat yhä voimassa yhteiskunnassa, jossa tapahtuu perusteellisia muutoksia. Euroopan tietosuojavaltuutettu yhtyy tiedonannossa esitettyyn toteamukseen, jonka mukaan haasteet ovat valtavat, ja korostaa, että ehdotettujen ratkaisujen on myös oltava kunnianhimoisia ja tehostettava suojaa. Näin ollen hän pyytää kunnianhimoisempaa lähestymistapaa moneen kohtaan.

169.

Euroopan tietosuojavaltuutettu kannattaa kaikilta osin kattavaa lähestymistapaa tietosuojaan. Hän kuitenkin pahoittelee sitä, että tiedonannossa yleisen säädöksen ulkopuolelle jätetään tietyt alat, kuten tietojenkäsittely EU:n toimielimissä ja elimissä. Jos komissio aikoo jättää nämä alat ulkopuolelle, Euroopan tietosuojavaltuutettu kehottaa komissiota hyväksymään EU:n tason ehdotuksen mahdollisimman pian, mutta mieluiten vuoden 2011 loppuun mennessä.

170.

Euroopan tietosuojavaltuutetun tarkistusprosessin lähtökohdat ovat seuraavat:

171.

Euroopan tietosuojavaltuutettu ottaa tyytyväisenä vastaan komission sitoumuksen tutkia keinoja tietosuojan yhdenmukaistamiseksi edelleen EU:n tasolla. Euroopan tietosuojavaltuutettu määrittelee alat, joilla yhdenmukaistamisen lisääminen ja parantaminen on kiireellistä: määritelmät, tietojenkäsittelyn perusteet, rekisteröityjen oikeudet, kansainväliset siirrot ja tietosuojaviranomaiset.

172.

Euroopan tietosuojavaltuutettu ehdottaa seuraavien vaihtoehtojen harkitsemista ilmoitusvaatimusten soveltamisalan yksinkertaistamiseksi ja/tai rajoittamiseksi:

173.

Euroopan tietosuojavaltuutetun mukaan asetus, yksi säädös, jota sovelletaan suoraan jäsenvaltioihin, on tehokkain tapa suojata tietosuojaa koskevaa perusoikeutta ja saada aikaan jatkuvaa lähentymistä sisämarkkinoilla.

174.

Euroopan tietosuojavaltuutettu tukee tiedonantoa siltä osin kuin siinä ehdotetaan yksilöiden oikeuksien vahvistamista. Hän esittää seuraavat ehdotukset:

175.

Uudessa säädöskehyksessä on oltava kannustimia rekisterinpitäjille, jotta ne sisällyttävät ennakoivasti tietosuojatoimenpiteitä liiketoimintaprosesseihinsa. Euroopan tietosuojavaltuutettu ehdottaa vastuuvelvollisuutta ja ”sisäänrakennettua yksityisyyden suojaa” koskevien yleisten säännösten käyttöönottoa. On myös otettava käyttöön säännös yksityisyyden huomioon ottamista koskevista sertifiointijärjestelmistä.

176.

Euroopan tietosuojavaltuutettu tukee tietosuojavaltuutettujen kansainvälisen konferenssin puitteissa tehtyä kunnianhimoista työtä niin kutsuttujen ”Madridin standardien” kehittämiseksi ja haluaa sisällyttää ne sitovaan säädökseen ja mahdollisesti käynnistää kansainvälisen konferenssin. Euroopan tietosuojavaltuutettu kehottaa komissiota toteuttamaan konkreettisia toimenpiteitä tämän saavuttamiseksi läheisessä yhteistyössä OECD:n ja Euroopan neuvoston kanssa.

177.

Uudessa säädöksessä on selvennettävä sovellettavan lain määrittämistä koskevat kriteerit. On varmistettava, että EU:n rajojen ulkopuolella käsiteltävät tiedot ovat EU:n lainkäyttövallan alaisia, kun on olemassa oikeutettu peruste soveltaa EU:n lainsäädäntöä. Jos säädös olisi asetuksen muodossa, kaikissa jäsenvaltioissa olisi samanlaiset säännöt ja sovellettavan lain määrittäminen ei olisi yhtä tärkeää (EU:n sisällä).

178.

Euroopan tietosuojavaltuutettu tukee kaikilta osin tavoitetta varmistaa yhtenäisempi ja johdonmukaisempi lähestymistapa kolmansiin maihin ja kansainvälisiin organisaatioihin. Säädökseen on sisällytettävä yrityksiä sitovat säännöt (BCR).

179.

Kattava säädös, mukaan lukien poliisi- ja oikeusala, voi mahdollistaa erityissäännöt, joissa otetaan asianmukaisesti huomioon alan erityispiirteet Lissabonin sopimukseen liitetyn julistuksen 21 mukaisesti. On otettava käyttöön erityiset takeet, joiden mukaan rekisteröidyllä on oikeus saada korvausta ja lisäsuojaa alalla, jossa henkilötietojen käsittely on luonnostaan enemmän yksityisyyteen puuttuvaa.

180.

Uuden säädöksen on mahdollisuuksien mukaan oltava selkeä, yksinkertainen ja johdonmukainen. On vältettävä esimerkiksi Europoliin, Eurojustiin, Schengenin tietojärjestelmään ja Prümiin sovellettavien eri järjestelmien nopeaa leviämistä. Euroopan tietosuojavaltuutettu ymmärtää, että eri järjestelmiä koskevien sääntöjen yhdenmukaistaminen on tehtävä huolellisesti ja asteittain.

181.

Euroopan tietosuojavaltuutettu tukee kaikilta osin komission tavoitetta käsitellä tietosuojaviranomaisten asemaa koskevaa kysymystä ja vahvistaa tietosuojaviranomaisten riippumattomuutta, resursseja ja täytäntöönpanovaltuuksia. Hän suosittelee seuraavia toimia:

182.

Euroopan tietosuojavaltuutettu ehdottaa lisäparannuksia 29 artiklan mukaisen tietosuojatyöryhmän toimintaan, mukaan lukien sen riippumattomuus ja infrastruktuuri. Työryhmälle on myös annettava riittävät resurssit, ja sen sihteeristöä on vahvistettava.

183.

Euroopan tietosuojavaltuutettu ehdottaa, että työryhmän neuvoa-antavaa roolia vahvistetaan ottamalla käyttöön tietosuojaviranomaisia ja komissiota koskeva velvoite ottaa mahdollisimman tarkasti huomioon työryhmän lausunnot ja yhteiset kannat. Euroopan tietosuojavaltuutettu ei kannata sitä, että työryhmän kannanotoille annetaan sitova vaikutus erityisesti, kun otetaan huomioon yksittäisten tietosuojaviranomaisten riippumaton asema. Euroopan tietosuojavaltuutettu suosittelee, että komissio sisällyttää uuteen säädökseen erityssäännöksiä yhteistyön tehostamiseksi Euroopan tietosuojavaltuutetun kanssa.

184.

Euroopan tietosuojavaltuutettu kehottaa komissiota ottamaan mahdollisimman nopeasti kantaa EU:n toimielinten ja laajamittaisten tietojärjestelmien valvontaa koskevaan kysymykseen ottaen huomioon, että kaikkien valvontaelinten on täytettävä riippumattomuutta, riittäviä resursseja ja täytäntöönpanovaltuuksia koskevat välttämättömät kriteerit ja että on varmistettava, että EU:n näkökanta otetaan asianmukaisesti huomioon. Euroopan tietosuojavaltuutettu tukee ”koordinoidun valvonnan” mallia.

185.

Euroopan tietosuojavaltuutettu kannustaa komissiota