31.8.2017

Euroopan unionin virallinen lehti

C 288/107

Euroopan talous- ja sosiaalikomitean lausunto aiheesta ”Ehdotus Euroopan parlamentin ja neuvoston asetukseksi yksilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta”

(COM(2017) 8 final – 2017/0002 (COD))

(2017/C 288/15)

Esittelijä:

Jorge PEGADO LIZ

Lausuntopyyntö	Euroopan komissio, 26.4.2017
Oikeusperusta	EU:n toiminnasta tehdyn sopimuksen 16 artiklan 2 kohta

Vastaava erityisjaosto	”liikenne, energia, perusrakenteet, tietoyhteiskunta”
Hyväksyminen erityisjaostossa	16.5.2017
Hyväksyminen täysistunnossa	31.5.2017
Täysistunnon nro	526
Äänestystulos (puolesta / vastaan / pidättyi äänestämästä)	161/0/2

1. Päätelmät ja suositukset

1.1

Tässä tarkasteltavalla ehdotuksellaan komissio vastaa yleisesti ottaen asianmukaisella ja tarkoituksenmukaisella tavalla sekä tiukan teknis-juridisesta näkökulmasta tarpeeseen mukauttaa nykyinen järjestelmä, joka perustuu Euroopan parlamentin ja neuvoston asetukseen (EY) N:o 45/2001 (1) ja Euroopan parlamentin, neuvoston ja komission päätökseen N:o 1247/2002/EY (2) henkilötietojen suojasta unionin toimielimissä, elimissä ja laitoksissa, yleiseen tietosuoja-asetukseen (3), jota ryhdytään soveltamaan EU:ssa 25. toukokuuta 2018 lähtien.

1.2

Tämä ei estä ETSK:ta palauttamasta mieliin yleistä tietosuoja-asetusta koskevasta ehdotuksesta – joka nyt on hyväksytty – esittämiään huomioita ja suosituksia. Komitea pitää valitettavana sitä, ettei niitä ole tässä lopullisessa versiossa otettu kaikilta osin huomioon. Se myös pelkää, että asetuksen hyväksymisen ja voimaantulon myöhäinen ajankohta, kun otetaan huomioon teknologian nopea kehitys tällä alalla, lisää tietojen anastamiseen sekä niiden käsittelyn ja markkinoinnin väärinkäyttöön liittyviä riskejä ja että asetuksesta tulee vanhentunut jo ennen sen täytäntöönpanoa. Koska tarkasteltavana oleva ehdotus koskee yleisen tietosuoja-asetuksen mukauttamista Euroopan unionin toimielinten toimintaan, edellä esitetyt huolenaiheet ovat edelleen soveltuvin osin aiheellisia tarkasteltavana olevan asiakirjan kannalta erityisesti, kun ajatellaan tavallisille kansalaisille heikosti avautuvan tekstin vaikeaselkoisuutta.

1.3

ETSK toteaa lisäksi, että asioiden kulun EU:n toimielimissä tulee olla mallina kansallisen tason menettelyille, ja katsoo näin ollen, että tässä tarkasteltavaa ehdotusta laadittaessa on noudatettava erityistä huolellisuutta.

1.4

Tätä varten ETSK katsoo, että tiettyjä näkökohtia olisi pitänyt käsitellä erikseen. Näistä mainittakoon esimerkkeinä tarkasteltavana olevan ehdotuksen yhteensovittaminen Euroopan unionin virkamiehiin sovellettavien henkilöstösääntöjen kanssa; häirintä-, verkkokiusaamis- ja väärinkäytösten paljastamistapausten käsittely EU:n toimielinten sisällä; asetuksen soveltaminen esineiden internetiin, massadataan ja hakukoneiden käyttöön henkilötietoihin pääsyn mahdollistamiseksi ja niiden luomiseksi tai käyttämiseksi; henkilökohtaisten tietojen julkaiseminen toimielinten sosiaalisen median sivustoilla (Facebook, Twitter, Instagram, Linkedin jne.).

1.5

Niin ikään ETSK olisi antanut arvoa sille, että ehdotuksessa olisi vaivauduttu tuomaan esille tietojen käsittelyyn käytettäviä tietojärjestelmiä koskevat turvallisuusvaatimukset sekä suojatoimet verkkohyökkäysten ja henkilötietojen tietoturvaloukkausten tai vuotojen varalle ja vahvistettu asetuksen teknologianeutraalius viittaamatta pelkästään kunkin yksikön erityisiin sisäisiin säännöksiin. Olisi myös ollut aiheellista tuoda paljon selkeämmin esiin tietosuojan sekä rikollisuuden ja terrorismin torjunnan välinen yhteys ilman että se tarkoittaisi sitä, että otetaan käyttöön suhteettomia tai liioiteltuja valvontatoimenpiteitä, joita Euroopan tietosuojavaltuutettu joka tapauksessa aina valvoo.

1.6

Komitea olisi myös toivonut, että ehdotuksessa olisi määritelty pätevyydet, koulutus ja sopivuuskriteerit, joita edellytetään tietosuojavastaavaksi, rekisterinpitäjäksi ja henkilötietojen käsittelijäksi nimitettävältä EU:n toimielimissä. Myös nämä seikat kuuluvat aina Euroopan tietosuojavaltuutetun valvonnan ja seurannan piiriin.

1.7

ETSK katsoo lisäksi, että kun otetaan huomioon kerättävien tietojen erityisluonne sekä se, että ne koskevat suoraan rekisteröityjen yksityiselämää, erityisesti kun kyseessä ovat terveys- sekä vero- ja sosiaalitiedot, ne olisi rajoitettava siihen, mikä on ehdottoman välttämätöntä niiden tarkoituksen kannalta. Olisi myös varmistettava mahdollisimman korkea suojan taso ja mahdollisimman vahvat takeet tällaisten erityisen arkaluonteisten henkilötietojen käsittelyssä tukeutumalla kansainvälisiin normeihin ja edistyksellisimpiin kansallisiin lainsäädäntöihin sekä eräiden jäsenvaltioiden parhaisiin käytäntöihin.

1.8

ETSK korostaa, että ehdotuksessa on säädettävä nimenomaisesti Euroopan tietosuojavaltuutetun resurssien vahvistamisesta sekä siitä, että varmistetaan riittävä henkilöstö, jolla on korkea teknisen tietämyksen ja osaamisen taso tietosuojan alalla.

1.9

ETSK toteaa jälleen kerran, että myös laillisesti perustettuja oikeushenkilöitä (yritykset, valtiovallasta riippumattomat organisaatiot, kaupalliset yhtiöt jne.) koskevien tietojen on kuuluttava tietosuojan piiriin tietoja kerättäessä ja käsiteltäessä.

1.10

ETSK ehdottaa lopuksi muutoksia useisiin eri säännöksiin. Jos ne hyväksytään, niiden avulla voidaan osaltaan tehostaa henkilötietojen suojaa EU:n toimielimissä paitsi EU:n virkamiesten kannalta myös niiden tuhansien unionin kansalaisten kannalta, jotka ovat toimielinten kanssa yhteydessä. Komitea kehottaakin komissiota mutta myös Euroopan parlamenttia ja neuvostoa ottamaan ne huomioon lopullista ehdotusta laadittaessa.

2. Ehdotuksen perustelut ja tavoitteet

2.1

Kuten komissio toteaa ehdotuksen perusteluissa, ehdotuksen tarkoituksena on kumota asetus (EY) N:o 45/2001 (4) ja päätös N:o 1247/2002/EY , jotka koskevat henkilötietojen suojaa unionin toimielimissä, elimissä ja laitoksissa ja joilla oli kaksi tavoitetta:

—	suojata tietosuojaa koskeva perusoikeus

—	taata henkilötietojen vapaa liikkuvuus unionissa.

2.2

Pitkän ja työlään kypsymisvaiheen jälkeen neuvosto ja parlamentti antoivat lopulta yleisen tietosuoja-asetuksen (5), jota sovelletaan koko EU:ssa 25. toukokuuta 2018 lähtien. Tämä asetus edellyttää useiden säädösten (6), etenkin asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY, mukauttamista.

2.3

Komissio ottaa laaja-alaisesti huomioon kyselyjen ja sidosryhmien kuulemisten sekä asetuksen soveltamista 15 viime vuoden aikana koskevan arviointitutkimuksen tulokset ja toteaa päätelminään erityisesti seuraavaa:

—	Asetuksen (EY) N:o 45/2001 täytäntöönpanoa voitaisiin tehostaa Euroopan tietosuojavaltuutetun määräämien seuraamusten avulla.

—	Sen valvontavaltuuksien lisääntynyt käyttö voisi johtaa tietosuojasääntöjen täytäntöönpanon tehostumiseen.

—	On tarpeen yksinkertaistaa ilmoitusjärjestelmää ja ennakkotarkastuksia tehokkuuden parantamiseksi ja hallinnollisen rasituksen vähentämiseksi.

—	Rekisterinpitäjien olisi omaksuttava riskinhallintaan perustuva lähestymistapa ja toteutettava riskienarviointeja ennen tietojen käsittelyä, jotta ne voisivat noudattaa tietojen säilyttämistä ja turvallisuutta koskevia vaatimuksia paremmin.

—	Televiestintäalaa koskevat säännöt ovat vanhentuneita, ja kyseinen luku olisi yhdenmukaistettava sähköisen viestinnän tietosuojadirektiivin kanssa.

—	Eräitä asetuksen keskeisiä määritelmiä on selkiytettävä. Näitä ovat muun muassa unionin toimielimissä, elimissä ja laitoksissa toimivien rekisterinpitäjien yksilöinti, vastaanottajien määritelmä ja luottamuksellisuutta koskevan velvoitteen laajentaminen ulkopuolisiin käsittelijöihin.

2.4

Aiempiin säädöksiin tehtävien muutosten luonteen ja laajuuden johdosta komissio päätti kumota säädökset kokonaisuudessaan ja korvata ne tässä lausunnossa tarkasteltavalla asetuksella, joka on johdonmukainen muiden edellä mainittujen toimenpiteiden kanssa. Tämän asetuksen on määrä tulla voimaan samanaikaisesti asetuksen (EU) N:o 2016/679 kanssa sen 98 artiklan mukaisesti.

3. Yleistä

3.1

Tiukan teknis-juridisesta näkökulmasta katsottuna ETSK on periaatteessa samaa mieltä seuraavista seikoista:

—	tässä tarkasteltavan aloitteen tarpeellisuus ja oikea-aikaisuus

—	valittu säädös – asetus

—	päätös kumota nykyiset säädökset kokonaisuudessaan

—	asetuksen antamista varten valittu oikeusperusta

—	suhteellisuus- ja toissijaisuusperiaatteiden sekä tilivelvollisuutta (accountability) koskevien kriteerien ilmeinen noudattaminen

—	säännösten selkeys ja rakenne

—	pätevän suostumuksen kaltaisten tiettyjen käsitteiden selkeämpi määrittely

—	johdonmukaisuus muiden säädösten kanssa, joihin asetus on yhteydessä, erityisesti asetus (EU) N:o 2016/679, asetusehdotus COM(2017) 10 final ja komission tiedonanto ”Euroopan datavetoisen talouden rakentaminen” (7)

—	asetukseen ensimmäistä kertaa sisältyvä mahdollisuus määrätä nimenomaisesti sakkoja sääntöjen mahdollisesta noudattamatta jättämisestä ja rikkomisesta

—	Euroopan tietosuojavaltuutetun valtuuksien lisääminen

—	se, ettei tätä aloitetta ole sisällytetty REFIT-ohjelmaan

—

ilmeinen pyrkimys varmistaa, että asetus on yhteensopiva muiden, erityisesti Euroopan perusoikeuskirjassa vahvistettujen perusoikeuksien kanssa: sananvapaus (11 artikla); teollis- ja tekijänoikeuksien turvaaminen (17 artiklan 2 kohta); rotuun, etniseen alkuperään, geneettisiin ominaisuuksiin, uskontoon tai vakaumukseen, poliittisiin tai muihin mielipiteisiin, vammaisuuteen tai sukupuoliseen suuntautumiseen perustuvan syrjinnän kielto (21 artikla); lapsen oikeudet (24 artikla); oikeus ihmisten terveyden korkeatasoiseen suojeluun (35 artikla); oikeus tutustua asiakirjoihin (42 artikla); oikeus tehokkaisiin oikeussuojakeinoihin ja puolueettomaan tuomioistuimeen (47 artikla).

3.2

Edellä todettu ei tee tyhjäksi ETSK:n yleistä tietosuoja-asetusta koskevasta ehdotuksesta (8) – joka nyt on hyväksytty (9) – esittämiä huomioita ja suosituksia, joita ei ole otettu lopullisessa versiossa kaikilta osin huomioon. Kun otetaan huomioon teknologian nopea kehitys tällä alalla, komitea pelkää, että sen hyväksymisen ja voimaantulon myöhäinen ajankohta lisää tietojen anastamiseen sekä niiden käsittelyn ja markkinoinnin väärinkäyttöön liittyviä riskejä, sillä asetus saattaa olla vanhentunut jo ennen sen täytäntöönpanoa. Koska tarkasteltavana oleva ehdotus koskee yleisen tietosuoja-asetuksen mukauttamista Euroopan unionin toimielinten toimintaan, edellä esitetyt huolenaiheet ovat edelleen soveltuvin osin aiheellisia tarkasteltavana olevan asiakirjan kannalta erityisesti, kun ajatellaan tavallisille kansalaisille heikosti avautuvan tekstin vaikeaselkoisuutta. Olisikin ollut parempi, että tässä tarkasteltava ehdotus olisi esitelty ja sitä olisi käsitelty samanaikaisesti yleistä tietosuoja-asetusta koskevan ehdotuksen kanssa.

3.3

Kun lisäksi otetaan huomioon, että asioiden kulun EU:n toimielimissä tulee olla mallina kansallisen tason menettelyille, ETSK katsoo, että tiettyjä kysymyksiä olisi pitänyt käsitellä tässä tarkasteltavassa ehdotuksessa.

3.4

Ei ole ensinnäkään selvää, onko ehdotettu asetus asianmukaisesti sopusoinnussa Euroopan unionin virkamiehiin sovellettavien henkilöstösääntöjen (asetus (ETY) N:o 31 (10)) kanssa, sillä siitä puuttuvat erityiset säännökset, joilla varmistetaan, että toimielinten virkamiesten ja muun henkilöstön henkilötietojen suojaa tehostetaan palvelukseen ottamisen, urakehityksen, sopimuksen keston ja mahdollisen jatkamisena sekä heitä koskevien arviointien yhteydessä.

3.4.1

Tarkasteltavana olevaan säädösehdotukseen tai muuhun säädökseen tulisi sisältyä yleisiä säännöksiä, joita täsmennetään säännöillä virkamiesten ja heidän perheenjäsentensä terveydentilaa koskevien tietojen kirjaamisesta, virkamiesten luomien tai käyttämien tietojen sekä heidän geneettisten tietojensa suojaamisesta, sähköpostitse lähetettyjen viestien käsittelystä ja suojaamisesta – on kyse sitten kansalaisten EU:n elimille lähettämistä viesteistä tai näissä elimissä toimivien virkamiesten toisilleen lähettämistä tai ulkopuolisen tahon kanssa vaihtamista viesteistä – sekä sähköpostiviestien sisällöstä ja internetsivuista, joilla virkamiehet ovat vierailleet (11).

3.4.2

Niin ikään häirintä-, verkkokiusaamis- ja väärinkäytösten paljastamistilanteita EU:n toimielinten sisällä olisi aiheellista käsitellä erikseen 68 artiklan säännöksistä huolimatta.

3.4.3

ETSK pohtii myös tässä tarkasteltavan ehdotuksen sekä asetuksen (EU) N:o 2016/679 soveltamisen ehtoja, kun kyse on esineiden internetistä, massadatasta ja hakukoneiden käytöstä henkilötietoihin pääsyn mahdollistamiseksi ja niiden luomiseksi tai käyttämiseksi, sekä henkilökohtaisten tietojen julkaisemisesta toimielinten sosiaalisen median sivustoilla (Facebook, Twitter, Instagram, Linkedin jne.) asianomaisen henkilön nimenomaisesta suostumuksesta riippumatta.

3.5

ETSK olisi antanut arvoa sille, että – sen lisäksi, että komission ehdotuksessa viitataan sähköisen viestinnän luottamuksellisuuteen 34 artiklassa – siinä olisi vaivauduttu tuomaan esille tietojen käsittelyyn käytettäviä tietojärjestelmiä koskevat turvallisuusvaatimukset sekä suojatoimet verkkohyökkäysten ja henkilötietojen tietoturvaloukkausten tai vuotojen varalle (12) ja vahvistettu asetuksen teknologianeutraalius viittaamatta pelkästään kunkin yksikön erityisiin sisäisiin säännöksiin. Olisi myös ollut aiheellista tuoda paljon selkeämmin esiin tietosuojan sekä rikollisuuden ja terrorismin torjunnan välinen yhteys ilman että se tarkoittaisi sitä, että otetaan käyttöön suhteettomia tai liioiteltuja valvontatoimenpiteitä, jotka kuuluvat joka tapauksessa aina Euroopan tietosuojavaltuutetun valvonnan piiriin.

3.6

ETSK korostaa, ettei henkilötietojen yhdistämistä EU:n elinten sisällä voida jättää yksinomaan johdanto-osan 16 kappaleessa mainitun tilivelvollisuuden periaatteen varaan, ja kehottaakin komissiota ottamaan käyttöön erityisen säännön, joka edellyttää, että yhdistäminen voidaan toteuttaa vasta sitten, kun Euroopan tietosuojavaltuutettu on antanut siihen luvan, jota rekisterinpitäjä tai tämä yhdessä henkilötietojen käsittelijän kanssa hakee.

3.7

Komitea olisi myös toivonut, että komissio olisi – tämän rajoittamatta sitä, mitä todetaan johdanto-osan 51 kappaleessa ja 44 artiklan 3 kohdassa – määritellyt pätevyydet, koulutuksen ja sopivuuskriteerit, joita edellytetään tietosuojavastaavaksi, rekisterinpitäjäksi ja henkilötietojen käsittelijäksi nimitettävältä EU:n toimielimissä (13). Näiden vastuuhenkilöiden toiminnallisia velvollisuuksia koskevista mahdollisista rikkomuksista olisi määrättävä todella varoittavia kurinpidollisia sekä siviili- ja rikosoikeudellisia seuraamuksia, jotka mainitaan ehdotuksessa ja jotka kuuluvat aina Euroopan tietosuojavaltuutetun valvonnan ja seurannan piiriin.

3.8

Vaikka ETSK myöntää, että tässä tarkasteltava ehdotus merkitsee tietosuojan tason paranemista suhteessa nykyiseen asetukseen (EY) N:o 45/2001, se katsoo, että kun otetaan huomioon kerättävien tietojen erityisluonne sekä se, että ne koskevat suoraan rekisteröityjen yksityiselämää, erityisesti kun kyseessä ovat terveys-, vero- ja sosiaalitiedot, ne olisi rajoitettava ehdotuksessa siihen, mikä on ehdottoman välttämätöntä niiden tarkoituksen kannalta. Olisi myös varmistettava mahdollisimman korkea suojan taso ja mahdollisimman vahvat takeet henkilötietojen käsittelyssä tukeutumalla kansainvälisiin normeihin ja edistyksellisimpiin kansallisiin lainsäädäntöihin sekä eräiden jäsenvaltioiden parhaisiin käytäntöihin (14).

3.9

Vaikka ETSK on tietoinen siitä, että asetusta (EU) N:o 2016/679 ja tässä tarkasteltavaa ehdotusta sovelletaan yksinomaan luonnollisia henkilöitä koskeviin tietoihin, se toteaa jälleen, että myös laillisesti perustettuja oikeushenkilöitä (yritykset, valtiovallasta riippumattomat organisaatiot, kaupalliset yhtiöt jne.) koskevien tietojen on kuuluttava tietosuojan piiriin tietoja kerättäessä ja käsiteltäessä.

4. Erityistä

4.1

EU:n perusoikeuskirjassa vahvistettujen yksityisyyden suojaa koskevien perusperiaatteiden sekä suhteellisuuden ja ennalta varautumisen periaatteiden valossa ehdotetun asetuksen yksityiskohtaisessa tarkastelussa tulee esiin eräitä epäselvyyksiä ja varaumia.

4.2 3 artikla

Unionin toimielimet ja elimet määritellään 2 kohdan a alakohdassa unionin toimielimiksi, elimiksi ja laitoksiksi, jotka on perustettu Euroopan unionista tehdyllä sopimuksella, Euroopan unionin toiminnasta tehdyllä sopimuksella tai Euroopan atomienergiayhteisön perustamissopimuksella tai niiden perusteella. ETSK pohtii, käsittääkö tämä määritelmä myös mm. työryhmät, neuvoa-antavat toimikunnat, komiteat, foorumit ja muut ryhmät sekä kansainväliset tietotekniikkaverkostot, joihin toimielimet kuuluvat mutta jotka eivät ole niiden omistuksessa.

4.3 4 artikla

4.3.1

Kun otetaan huomioon, että tässä tarkasteltavaa asetusta sovelletaan EU:n toimielimissä käsiteltäviin tietoihin, ETSK toivoisi, että syrjintäkiellon periaate mainittaisiin erikseen, kun otetaan huomioon käsiteltävien tietojen luonne.

4.3.2

Kun on kyse 4 artiklan 1 kohdan b alakohdan mukaisesta tietojen käsittelystä yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten, tähän on saatava etukäteen Euroopan tietosuojavaltuutetun hyväksyntä, mistä ei säädetä 58 artiklassa.

4.3.3

Niin ikään komitea katsoo, että asetukseen tulisi sisältyä nykyisen asetuksen (EY) N:o 45/2001 7 artiklaa vastaava nimenomainen säännös, joka koskee tietojen siirtoa EU:n toimielinten välillä.

4.4 5 artikla

4.4.1

Komitea ei ymmärrä, miksi ehdotetun asetuksen 5 artiklan 1 kohdan b alakohtaan ei sovelleta samaisen artiklan 2 kohtaa. Tämä on ristiriidassa yleisen tietosuoja-asetuksen 6 artiklan c ja e alakohdan kanssa, joihin kumpaankin sovelletaan kyseisen artiklan 3 kohtaa.

4.4.2

ETSK katsoo, että d alakohtaan on lisättävä, että suostumukseen tulee soveltaa vilpittömän mielen periaatetta.

4.5 6 artikla

4.5.1

Tämän artiklan soveltamisen tulee aina edellyttää Euroopan tietosuojavaltuutetun antamaa lupaa.

4.5.2

Tällaisissa tapauksissa rekisteröidylle on aina ilmoitettava etukäteen tästä mahdollisuudesta tietoja kerättäessä tai kun asiasta tehdään uusi päätös, ja hän voi mahdollisesti pyytää tietojen oikaisemista tai poistamista taikka vastustaa käsittelyä tai vaatia käsittelyn rajoittamista.

4.6 8 artikla

4.6.1

ETSK katsoo, että poikkeus (13–16 vuotta) jo sinänsä epätavalliseen sääntöön, joka koskee alle 16-vuotiaiden lasten suostumuksen pätevyyttä, voidaan sallia ainoastaan jäsenvaltioille kansalliseen lainsäädäntöön liittyvien kulttuuristen syiden johdosta (yleisen tietosuoja-asetuksen 8 artikla). Sitä ei tulisi kuitenkaan sallia sääntönä EU:n toimielimille, jotka asettavat ikärajaksi 13 vuotta (8 artiklan 1 kohta).

4.6.2

Ehdotetussa asetuksessa ei niin ikään täsmennetä, millä tavoin Euroopan tietosuojavaltuutetun tulee erityisesti kiinnittää huomiota lapsiin, mihin viitataan 58 artiklan 1 kohdan b alakohdassa, etenkin kun kyse on 36 artiklassa mainituista käyttäjäluetteloista, joiden tiedot ovat yleisön saatavilla.

4.7 10 artikla

4.7.1

Artiklan 1 kohtaan on sisällytettävä myös puolueeseen kuuluminen (joka ei ole sama asia kuin poliittinen mielipide) ja yksityiselämä.

4.7.2

Artiklan 2 kohdan b alakohdassa tietojen käsittelystä on aina ilmoitettava etukäteen rekisteröidylle, vaikka käsittely suoritetaan rekisteröidyn velvoitteiden ja erityisten oikeuksien noudattamiseksi.

4.7.3

Artiklan 2 kohdan d alakohdassa käsittely voidaan suorittaa vain rekisteröidyn suostumuksella.

4.7.4

Artiklan 2 kohdan e alakohdan tulee muodostaa poikkeus vain, jos rekisteröidyn antamista ilmoituksista voidaan legitiimisti päätellä, että suostumus tietojen käsittelemiseen on annettu.

4.8 14 artikla

Koska EU:n toimielimet eivät saa periä maksuja tarjotuista palveluista, kieltäytymistä toimimasta pyynnöstä on sovellettava vain viime kädessä.

4.9 15, 16 ja 17 artikla

4.9.1

Ehdotetun asetuksen 15 artiklan 2 kohdassa tarkoitettujen lisätietojen osalta on lisättävä vielä vaatimus, jonka mukaan rekisteröidylle ilmoitetaan rekisterinpitäjän vastauksen pakollisuudesta tai vapaaehtoisuudesta sekä vastaamatta jättämisen mahdollisista seurauksista.

4.9.2

Kerättäessä tietoja avoimista verkoista asianomaiselle henkilölle on aina ilmoitettava, että hänen henkilötietonsa ovat mahdollisesti verkoissa saatavilla ilman turvallisuusjärjestelyjä ja että vaarana on, että asiaankuulumattomat ulkopuoliset tahot voivat nähdä ne ja käsitellä niitä.

4.9.3

Oikeutta, josta säädetään 17 artiklan 1 kohdassa, on voitava käyttää vapaasti ja rajoituksetta, kohtuullisin väliajoin, nopeasti tai välittömästi ja ilman kustannuksia.

4.9.4

ETSK ehdottaa, että rekisteröidylle myös velvoitettaisiin antamaan vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä.

4.9.5

17 artiklan 1 kohdassa tarkoitetut tiedot on annettava ymmärrettävällä ja selkeällä tavalla erityisesti, kun kyse on käsiteltävistä tiedoista sekä kaikista näiden tietojen alkuperää koskevista tiedoista.

4.10 21 artikla

Se, ettei ehdotettuun asetukseen ole sisällytetty säännöksiä, jotka vastaavat yleisen tietosuoja-asetuksen 21 artiklan 2 ja 3 kohtaa, tarkoittanee komitean käsityksen mukaan sitä, ettei henkilötietoja voida koskaan käsitellä suoramarkkinointia varten, mikä olisi erittäin myönteistä. Tätä epävarmaa tulkintaa olisi kuitenkin nimenomaisesti selkiytettävä säännöksen sanamuodossa.

4.11 24 artikla

4.11.1

ETSK katsoo, että 2 kohdan c alakohtaan olisi lisättävä, että tällainen suostumus voidaan antaa vasta, kun on nimenomaisesti ilmoitettu päätösten rekisteröityä koskevat oikeusvaikutukset, sillä vain tällä tavoin voidaan varmistaa, että suostumus annetaan asianmukaisiin tietoihin perustuen.

4.11.2

Samaisen artiklan 3 kohdan osalta ETSK katsoo, että rekisterinpitäjän sijaan Euroopan tietosuojavaltuutetun olisi määriteltävä asianmukaiset toimenpiteet.

4.12 25 artikla

4.12.1

ETSK pelkää, että ehdotetun asetuksen 25 artiklan sanamuoto on liian laaja tulkinta yleisen tietosuoja-asetuksen 23 artiklasta, kun kyse rekisteröityjen perusoikeudet vahvistavien periaatteiden soveltamista koskevista rajoituksista. Komitea suosittaa, että artiklaa tarkistetaan kriittisessä hengessä analysoimalla perusteellisesti eri kohtia ja mahdollisesti rajaamalla niiden soveltamisalaa erityisesti, kun kyse rajoituksesta, joka koskee perusoikeuskirjan 7 artiklan mukaista oikeutta sähköisen viestinnän verkkojen luottamuksellisuuteen. Tähän luottamuksellisuuteen viitataan nykyisessä sähköisen viestinnän tietosuojadirektiivissä, ja se mainitaan asetusehdotuksessa, josta on parhaillaan laadittavana toinen ETSK:n lausunto.

4.12.2

ETSK vastustaa jyrkästi 25 artiklan 2 kohdassa säädettyä mahdollisuutta, jonka mukaan unionin toimielimet ja elimet voivat rajoittaa sellaisten rajoitusten soveltamista rekisteröityjen oikeuksiin, jotka eivät perustu rajoitukset salliviin erillisiin säädöksiin. Sama koskee 34 artiklaa.

4.13 26 artikla

On selvennettävä, että henkilörekisterinpitäjiä, henkilötietojen käsittelijöitä sekä henkilöitä, jotka tehtäviä hoitaessaan saavat käsiteltävät henkilötiedot tietoonsa, sitoo salassapitovelvollisuus myös heidän tehtäviensä päättymisen jälkeen ja kohtuullisen ajan.

4.14 29 ja 39 artikla

Koska on ilmeistä, ettei yleisen tietosuoja-asetuksen 24 artiklan 3 kohdan ja 40 artiklan sekä sitä seuraavien artiklojen säännöksiä (käytännesäännöt) ole sisällytetty ehdotettuun asetukseen, kuten nimenomaisesti mainitaan 26 artiklaa koskevassa perustelukappaleessa, ei vaikuta tarkoituksenmukaiselta, että ehdotetun asetuksen 29 artiklan 5 kohdassa ja 39 artiklan 7 kohdassa hyväksytään se, että pelkkää pitäytymistä yleisen tietosuoja-asetuksen 40 artiklassa tarkoitetuissa käytännesääntöissä voidaan pitää riittävänä takeena henkilötietojen käsittelijän tehtävien suorittamisesta, kun käsittelijä ei ole unionin toimielin tai elin.

4.15 31 artikla

ETSK katsoo, että 31 artiklan 5 kohtaan sisältyvä pelkkä ”mahdollisuus” on ennemminkin muunnettava ”velvollisuudeksi” säilyttää tietojen käsittelyä koskevat selosteet keskusrekisterissä, joka asetetaan julkisesti saataville.

4.16 33 artikla

ETSK ehdottaa lisäksi, että rekisterinpitäjän ja henkilötietojen käsittelijän on huolehdittava tietovälineiden sekä tietojen tallentamisen, käytön ja siirron valvonnasta, ja että niiden on näin ollen

—	estettävä asiaankuulumattomilta henkilöiltä tietojen käsittelyyn käytettävien laitteiden käyttö

—	estettävä asiaankuulumattomia henkilöitä lukemasta, jäljentämästä, muuttamasta ja poistamasta tietovälineitä

—	estettävä tietojen luvaton sisällyttäminen sekä tallennettujen henkilötietojen luvaton katseleminen, muuttaminen tai poistaminen

—	estettävä se, että henkilöt, joilla ei ole siihen lupaa, pääsisivät käyttämään automaattisen tietojenkäsittelyn järjestelmiä tiedonsiirtolaitteiden avulla

—	huolehdittava siitä, että tarkistetaan tahot, joille voidaan siirtää henkilötietoja

—	varmistettava, että valtuutetuilla henkilöillä on pääsy yksinomaan tietoihin, joita varten on saatu ennakkolupa.

4.17 34 artikla

ETSK toivoo, että tämä artikla saatetaan sopusointuun sähköisen viestinnän tietosuoja-asetusta koskevan ehdotuksen säännösten kanssa ja että Euroopan tietosuojavaltuutettu valvoo EU:n toimielimiä ja elimiä sähköisen viestinnän luottamuksellisuuden osalta.

4.18 42 artikla

ETSK pelkää, että 1 kohtaan sisältyvällä ilmauksella ”sen jälkeen” voidaan ymmärtää tarkoitettavan vasta säädöksen hyväksymisen jälkeistä kuulemisvelvollisuutta ja ettei kuulemista enää toteuteta edes epävirallisesti, kuten asian laita on nykyisin.

4.19 44 artikla

ETSK katsoo, että periaatteessa vain virkamiehiä tulisi nimittää tietosuojavastaaviksi. Mikäli tämä ei poikkeustapauksessa ole mahdollista, tulisi heidät ottaa tehtävään palvelusopimuksella, johon sovelletaan julkisia hankintoja koskevia sääntöjä ja joka annetaan Euroopan tietosuojavaltuutetun arvioitavaksi.

4.20 45 artikla

4.20.1

Edellä todetusta huolimatta tietosuojavastaava, joka ei ole virkamies, tulee tehtävänsä luonteen vuoksi olla mahdollista erottaa milloin tahansa, mihin riittää Euroopan tietosuojavaltuutetun puoltava lausunto (asetuksen 45 artiklan 8 kohta).

4.20.2

Komitea katsoo, että tietosuojavastaavan toimikauden pituudeksi on vahvistettava 5 vuotta, ja sama henkilö voidaan nimittää uudeksi toimikaudeksi vain kerran.

4.21 56 artikla

Toimielinten johtaviin virkamiehiin liittyvien viimeaikaisten tunnettujen tapausten johdosta komitea suosittaa, että vahvistetaan yhteensopimattomuutta ja esteellisyyttä koskevat kriteerit, jotka koskevat tiettyjen tehtävien hoitamista erityisesti yksityisissä yrityksissä kohtuullisen pituisen ajanjakson henkilön toimikauden päättymisen jälkeen.

4.22 59 artikla

Eräissä kielissä, erityisesti englanninkielisen toisinnon 5 kohdassa käytetty ilmaisu actions on liian suppea, ja se on korvattava ilmaisulla proceedings (portugalinkielisessä versiossa ilmaisu on käännetty asianmukaisesti).

4.23 63 artikla

Artiklan 3 kohdan osalta ja kun otetaan huomioon tässä tarkasteltavassa ehdotuksessa käsiteltävän aiheen arkaluonteisuus, ETSK katsoo, että hiljaisen hylkäävän päätöksen periaate on käännettävä toisinpäin velvoittamalla Euroopan tietosuojavaltuutettu vastaamaan nimenomaisesti kaikkiin hänelle osoitettuihin valituksiin, sillä muussa tapauksessa ne katsotaan hyväksytyiksi.

4.24 65 artikla

Kuten asetukseen (EU) N:o 2016/679 johtaneesta ehdotuksesta laaditussa ETSK:n lausunnossa todetaan, komitea korostaa tarvetta säätää ehdotetussa asetuksessa 67 artiklassa todetun ohella mahdollisuudesta vastata henkilötietojen tietoturvaloukkaukseen ryhmäkanteella ilman yksittäisen valtuutuksen tarvetta, kun otetaan huomioon, että yleensä tällaisten tietoturvaloukkausten tapahtuessa ne eivät kohdistu vain yhteen henkilöön vaan useisiin henkilöihin, joiden lukumäärää ei toisinaan kyetä määrittämään.

4.25

Ehdotetussa asetuksessa on lukuisia epäselviä ja subjektiivisia ilmaisuja ja käsitteitä, jotka tulisi tarkistaa ja korvata. Niistä voidaan esimerkkeinä mainita ”mahdollisuuksien mukaan”, ”jos tämä on mahdollista”, ”viipymättä”, ”korkea riski”, ”asianmukaisesti huomioon”, ”kohtuullisen ajan kuluessa” ja ”erityisesti”.

Bryssel 31. toukokuuta 2017.

Euroopan talous- ja sosiaalikomitean puheenjohtaja

Georges DASSIS

(1) EUVL L 8, 12.1.2001, s. 1.

(2) EUVL L 183, 12.7.2002, s. 1.

(3) Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 (EUVL L 119, 4.5.2016, s. 1).

(4) ETSK:n lausunto (EYVL C 51, 23.2.2000, s. 48).

(5) Asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016.

(6) COM(2017) 10 final, COM(2017) 9 final.

(7) COM(2017) 9 final.

(8) EUVL C 229, 31.7.2012, s. 90.

(9) Asetus (EU) N:o 2016/679.

(10) EYVL L 45, 14.6.1962, s. 1385/62 ja myöhemmät muutokset.

(11) Esimerkkinä tästä mainittakoon kokoelma lausuntoja ja suosituksista yksityisyydensuojasta työpaikalla (Avis et Recommandations de la Commission de la Vie privé de la Belgique sur la vie privé sur le lieu de travail), tammikuu 2013.

(12) Kuten todetaan esim. yksityisyyden suojaa käsittelevän belgialaisen komitean suosituksessa aloitteeksi, joka koskee turvallisuustoimenpiteitä tietovuotojen estämiseksi (Recommandation d’initiative relative aux mesures de sécurité à respecter afin de prévenir les fuites de données), 1/2013, 21. tammikuuta 2013.

(13) Kuten todetaan esimerkiksi asiakirjassa Guidelines on Data Protection Officers, 29 artiklan nojalla perustettu työryhmä WP 243, 13. joulukuuta 2016.

(14) Ks. esimerkiksi Portugalin tietosuojalaki (26. lokakuuta annettu laki 67/98).