EUROOPAN KOMISSIO
Bryssel 20.1.2021
COM(2021) 21 final
2021/0009(COD)
Ehdotus
EUROOPAN PARLAMENTIN JA NEUVOSTON DIREKTIIVI
direktiivin 2014/41/EU muuttamisesta sen mukauttamiseksi henkilötietojen suojaa koskeviin EU:n sääntöihin
EUROOPAN KOMISSIO
Bryssel 20.1.2021
COM(2021) 21 final
2021/0009(COD)
Ehdotus
EUROOPAN PARLAMENTIN JA NEUVOSTON DIREKTIIVI
direktiivin 2014/41/EU muuttamisesta sen mukauttamiseksi henkilötietojen suojaa koskeviin EU:n sääntöihin
PERUSTELUT
1.EHDOTUKSEN TAUSTA
•Ehdotuksen perustelut ja tavoitteet
Direktiivi (EU) 2016/680 1 (direktiivi lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta) tuli voimaan 6. toukokuuta 2016, ja jäsenvaltioiden oli saatettava se osaksi kansallista lainsäädäntöään 6. toukokuuta 2018 mennessä. Sillä kumottiin ja korvattiin neuvoston puitepäätös 2008/977/YOS 2 , mutta se on paljon kattavampi ja yleisempi tietosuojaväline. Tärkeää on, että sitä sovelletaan toimivaltaisten viranomaisten suorittamaan sekä kotimaiseen että rajat ylittävään henkilötietojen käsittelyyn rikosten ennalta ehkäisemistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia taikka rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten (1 artiklan 1 kohta).
Lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta annetun direktiivin 62 artiklan 6 kohdassa edellytetään, että komissio tarkastelee 6. toukokuuta 2019 mennessä muita EU:n säädöksiä, joilla säännellään toimivaltaisten viranomaisten lainvalvontatarkoituksessa suorittamaa henkilötietojen käsittelyä, arvioidakseen tarvetta yhdenmukaistaa ne lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta annetun direktiivin kanssa ja tehdäkseen tarvittaessa ehdotuksia niiden muuttamiseksi, jotta voidaan varmistaa yhdenmukainen henkilötietojen suoja lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta annetun direktiivin soveltamisalalla.
Komissio esitti tarkastelunsa tulokset tiedonannossaan Toimet aiemman kolmannen pilarin säännöstön yhdenmukaistamiseksi tietosuojasääntöjen kanssa 3 (24. kesäkuuta 2020), jossa määritetään kymmenen säädöstä, jotka olisi yhdenmukaistettava lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta annetun direktiivin kanssa, ja niiden toteuttamisaikataulu. Niihin kuuluu rikosoikeuden alan eurooppalaisesta tutkintamääräyksestä annettu Euroopan parlamentin ja neuvoston direktiivi 2014/41/EU 4 . Komissio ilmoitti esittävänsä kohdennettuja muutoksia mainittuun direktiiviin vuoden 2020 viimeisellä neljänneksellä. Se on tämän ehdotuksen tarkoituksena.
Aloite ei kuulu sääntelyn toimivuutta ja tuloksellisuutta koskevaan REFIT-ohjelmaan.
•Yhdenmukaisuus muiden alaa koskevien politiikkojen säännösten kanssa
Ehdotuksen tarkoituksena on saattaa direktiivin 2014/41/EU tietosuojasäännöt lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta annetussa direktiivissä vahvistettujen periaatteiden ja sääntöjen mukaisiksi vahvan ja johdonmukaisen tietosuojakehyksen luomiseksi unioniin.
•Yhdenmukaisuus unionin muiden politiikkojen kanssa
Ei sovelleta
2.OIKEUSPERUSTA, TOISSIJAISUUSPERIAATE JA SUHTEELLISUUSPERIAATE
•Oikeusperusta
Ehdotus perustuu Euroopan unionin toiminnasta tehdyn sopimuksen, jäljempänä ’SEUT-sopimus’, 16 artiklan 2 kohtaan.
Alkuperäinen säädös perustui aiemman Euroopan unionista tehdyn sopimuksen 34 artiklan 2 kohdan b alakohtaan, joka vastaa pikemminkin SEUT-sopimuksen 82 artiklan 1 kohtaa. Ehdotetun muutoksen tavoite ja sisältö rajoittuvat kuitenkin selvästi henkilötietojen suojaan.
SEUT-sopimuksen 16 artiklan 2 kohta on tältä osin asianmukaisin oikeusperusta. Sen avulla voidaan hyväksyä säännöt, jotka koskevat yksilöiden suojelua jäsenvaltioiden suorittamassa henkilötietojen käsittelyssä niiden toteuttaessa unionin lainsäädännön mukaisia toimia, sekä säännöt, jotka koskevat henkilötietojen vapaata liikkuvuutta.
Pöytäkirjassa N:o 22 olevan 2 a artiklan mukaan SEUT-sopimuksen 16 artiklan nojalla vahvistetut säännöt, jotka koskevat henkilötietojen käsittelyä SEUT-sopimuksen kolmannen osan IV osaston 4 ja 5 luvun soveltamisalaan kuuluvaa toimintaa toteutettaessa, eivät sido Tanskaa. Sama koskee Irlantia pöytäkirjassa N:o 21 olevan 6 a artiklan mukaisesti.
•Toissijaisuusperiaate (jaetun toimivallan osalta)
Ainoastaan unioni voi antaa säädöksen, jolla muutetaan direktiiviä 2014/41/EU.
•Suhteellisuusperiaate
Tämä ehdotus rajoittuu siihen, mikä on tarpeen direktiivin 2014/41/EU mukauttamiseksi henkilötietojen suojaa koskevaan unionin lainsäädäntöön (erityisesti lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta annettuun direktiiviin) muuttamatta direktiivin soveltamisalaa millään tavoin. Euroopan unionista tehdyn sopimuksen 5 artiklan 4 kohdan mukaisesti tässä direktiivissä ei ylitetä sitä, mikä on tarpeen aiottujen tavoitteiden saavuttamiseksi.
•Toimintatavan valinta
Sopivin väline direktiivin 2014/41/EU muuttamiseksi on direktiivi.
3.JÄLKIARVIOINTIEN, SIDOSRYHMIEN KUULEMISTEN JA VAIKUTUSTENARVIOINTIEN TULOKSET
•Jälkiarvioinnit/toimivuustarkastukset
Tämä ehdotus on jatkoa komission lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta annetun direktiivin 62 artiklan 6 kohdan nojalla tekemälle tarkastelulle, joka esitettiin tiedonannossa Toimet aiemman kolmannen pilarin säännöstön yhdenmukaistamiseksi tietosuojasääntöjen kanssa. Tiedonannossa luetellaan kohdat, joiden osalta yhdenmukaistaminen on tarpeen. Siinä todetaan erityisesti tarve selventää, että kaikkeen direktiivin 2014/41/EU mukaiseen henkilötietojen käsittelyyn sovelletaan joko lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta annettua direktiiviä tai asetusta (EU) N:o 2016/679 5 (yleinen tietosuoja-asetus – GDPR) sen mukaan, tapahtuuko käsittely rikosoikeudellisen vai muun kuin rikosoikeudellisen menettelyn yhteydessä. Yhdenmukaistamisessa olisi selvennettävä, että direktiivin 2014/41/EU nojalla saatuja tietoja voidaan käsitellä muihin tarkoituksiin kuin niihin, joita varten ne on kerätty, ainoastaan lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta annetussa direktiivissä (4 artiklan 2 kohta tai 9 artiklan 1 kohta) tai yleisessä tietosuoja-asetuksessa (6 artikla) säädetyin edellytyksin.
Ehdottamalla direktiivin 2014/41/EU 20 artiklan poistamista tämä ehdotus rajoittuu siihen, mikä on tarpeen edellä mainittujen kohtien käsittelemiseksi.
•Sidosryhmien kuuleminen
Ei sovelleta
•Asiantuntijatiedon keruu ja käyttö
Komissio otti tarkastelussaan huomioon tutkimuksen, joka tehtiin osana pilottihanketta ”EU:n tiedonkeruuvälineiden ja -ohjelmien tarkastelu perusoikeuksien kannalta” 6 . Tutkimuksessa kartoitettiin lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta annetun direktiivin 62 artiklan 6 kohdan soveltamisalaan kuuluvia unionin säädöksiä ja yksilöitiin säännöksiä, jotka mahdollisesti edellyttävät yhdenmukaistamista tietosuojakysymysten suhteen.
•Vaikutustenarviointi
Tämän ehdotuksen vaikutus rajoittuu toimivaltaisten viranomaisten suorittamaan henkilötietojen käsittelyyn direktiivillä 2014/41/EU säännellyissä erityistapauksissa. Lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta annetusta direktiivistä johtuvien uusien velvoitteiden vaikutusta arvioitiin lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta annettua direktiiviä valmisteltaessa. Tämän vuoksi erityinen tätä ehdotusta koskeva vaikutustenarviointi on tarpeeton.
•Sääntelyn toimivuus ja yksinkertaistaminen
Ei sovelleta
•Perusoikeudet
Oikeus henkilötietojen suojaan on vahvistettu Euroopan unionin perusoikeuskirjan 8 artiklassa ja SEUT-sopimuksen 16 artiklassa. Kuten Euroopan unionin tuomioistuin 7 on korostanut, oikeus henkilötietojen suojaan ei ole absoluuttinen, vaan sitä on tarkasteltava suhteessa sen tehtävään yhteiskunnassa. 8 Tietosuoja liittyy läheisesti myös yksityis- ja perhe-elämän kunnioittamiseen, josta määrätään perusoikeuskirjan 7 artiklassa.
Tällä ehdotuksella varmistetaan, että kaikkeen direktiivin 2014/41/EU nojalla tapahtuvaan henkilötietojen käsittelyyn sovelletaan EU:n tietosuojalainsäädännön horisontaalisia periaatteita ja sääntöjä, mikä edistää perusoikeuskirjan 8 artiklan täytäntöönpanoa. Lainsäädännöllä pyritään varmistamaan henkilötietojen korkeatasoinen suoja ja selventämään, että direktiivin (EU) 2016/680 periaatteita ja sääntöjä sovelletaan direktiivin mukaiseen tietojenkäsittelyyn, mikä vaikuttaa myönteisesti yksityisyyttä ja tietosuojaa koskeviin perusoikeuksiin.
4.TALOUSARVIOVAIKUTUKSET
Ei sovelleta
5.LISÄTIEDOT
•Toteuttamissuunnitelmat, seuranta, arviointi ja raportointijärjestelyt
Ei sovelleta
•Selittävät asiakirjat (direktiivien osalta)
Tämä ehdotus ei edellytä selittäviä asiakirjoja direktiivin saattamisesta osaksi kansallista lainsäädäntöä, koska siinä ainoastaan poistetaan yksi direktiivin 2014/41/EU artikla.
•Ehdotukseen sisältyvien säännösten yksityiskohtaiset selitykset
Direktiivin 2014/41/EU 20 artikla poistetaan 1 artiklassa. Näin tässä ehdotuksessa rajoitutaan siihen, mikä on tarpeen edellä mainittujen seikkojen käsittelemiseksi. Direktiivin 20 artiklassa edellytetään, että direktiivin mukaisessa henkilötietojen käsittelyssä noudatetaan neuvoston puitepäätöstä 2008/977/YOS sekä yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä tehdyn Euroopan neuvoston yleissopimuksen (28. tammikuuta 1981) ja sen lisäpöytäkirjan periaatteita.
Puitepäätös kumottiin lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta annetulla direktiivillä 6. toukokuuta 2018 alkaen. Lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta annetun direktiivin 59 artiklan mukaan viittauksia puitepäätökseen pidetään viittauksina lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta annettuun direktiiviin.
Lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta annetun direktiivin 2 artiklan 1 kohdan mukaan sitä sovelletaan toimivaltaisten viranomaisten sen 1 artiklan 1 kohdassa säädettyjä tarkoituksia varten suorittamaan henkilötietojen käsittelyyn, joita ovat rikosten ehkäiseminen, tutkiminen, paljastaminen tai rikoksiin liittyvät syytetoimet taikka rikosoikeudellisten seuraamusten täytäntöönpano, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu ja tällaisten uhkien ehkäiseminen. Direktiiviä 2014/41/EU sovelletaan kuitenkin myös tietyntyyppisiin muihin kuin rikosoikeudellisiin menettelyihin, joita säännellään yleisellä tietosuoja-asetuksella.
Se, että direktiivin 2014/41/EU 20 artiklassa viitataan puitepäätökseen, saattaa aiheuttaa sekaannusta sen suhteen, sovelletaanko lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta annettua direktiiviä myös henkilötietojen käsittelyyn, joka liittyy eurooppalaisiin tutkintamääräyksiin muissa kuin rikosoikeudellisissa menettelyissä (jotka eivät kuulu lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta annetun direktiivin soveltamisalaan). Tilanteen korjaamiseen riittää 20 artiklan poistaminen. Lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta annettua direktiiviä sovelletaan edelleen direktiivin 2014/41/EU mukaiseen henkilötietojen käsittelyyn sen soveltamisalalla.
Koska lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta annettua direktiiviä ja yleistä tietosuoja-asetusta (kutakin omalla soveltamisalallaan) sovelletaan direktiivin 2014/41/EU mukaiseen henkilötietojen käsittelyyn, tällaisten tietojen käsittely muihin kuin niihin tarkoituksiin, joita varten ne on kerätty, suoritetaan lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta annetun direktiivin (4 artiklan 2 kohta ja 9 artiklan 1 kohta) tai yleisen tietosuoja-asetuksen (6 artiklan 4 kohta) mukaisesti. Tätä varten ei tarvita uusia säännöksiä.
Direktiivin 2014/41/EU 20 artiklassa edellytetään myös, että pääsyä henkilötietoihin rajoitetaan, sanotun kuitenkaan rajoittamatta rekisteröidyn oikeuksia, ja että ainoastaan valtuutetuilla henkilöillä on pääsy tällaisiin tietoihin. Lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta annetussa direktiivissä ja yleisessä tietosuoja-asetuksessa vahvistetaan kattava kehys rekisteröityjen oikeuksille ja rekisterinpitäjän velvollisuuksille, mukaan lukien sisäänrakennettu ja oletusarvoinen tietosuoja sekä käsittelyn turvallisuus. Näin ollen 20 artiklan toinen kohta on tarpeeton.
Koska direktiivi 2014/41/EU ei sisällä erityisiä tietosuojasääntöjä, muita tietosuojaan liittyviä muutoksia ei tarvita.
Ehdotuksen 2 artiklassa asetetaan määräaika ehdotetun uuden direktiivin saattamiselle osaksi kansallista lainsäädäntöä.
Ehdotuksen 3 artiklassa vahvistetaan direktiivin voimaantulopäivä.
Ehdotuksen 4 artiklassa säädetään, että direktiivi on osoitettu kaikille jäsenvaltioille.
2021/0009 (COD)
Ehdotus
EUROOPAN PARLAMENTIN JA NEUVOSTON DIREKTIIVI
direktiivin 2014/41/EU muuttamisesta sen mukauttamiseksi henkilötietojen suojaa koskeviin EU:n sääntöihin
EUROOPAN PARLAMENTTI JA EUROOPAN UNIONIN NEUVOSTO, jotka
ottavat huomioon Euroopan unionin toiminnasta tehdyn sopimuksen ja erityisesti sen 16 artiklan 2 kohdan,
ottavat huomioon Euroopan komission ehdotuksen,
sen jälkeen kun esitys lainsäätämisjärjestyksessä hyväksyttäväksi säädökseksi on toimitettu kansallisille parlamenteille,
noudattavat tavallista lainsäätämisjärjestystä,
sekä katsovat seuraavaa:
(1)Direktiivin (EU) 2016/680 9 62 artiklan 6 kohdan mukaan komissio tarkastelee uudelleen muita unionin oikeuden säädöksiä, joilla säännellään toimivaltaisten viranomaisten mainitun direktiivin 1 artiklan 1 kohdassa säädettyjä tarkoituksia varten suorittamaa henkilötietojen käsittelyä, arvioidakseen tarvetta yhdenmukaistaa kyseiset säädökset mainitun direktiivin kanssa ja tehdäkseen tarvittaessa tarvittavat ehdotukset näiden säädösten muuttamiseksi, jotta varmistetaan johdonmukainen lähestymistapa henkilötietojen suojaan mainitun direktiivin soveltamisalalla. Tämän tarkastelun perusteella direktiivi 2014/41/EU 10 on yksi muutettavista säädöksistä.
(2)Yhdenmukaisuuden ja henkilötietojen tehokkaan suojan varmistamiseksi direktiivin 2014/41/EU mukaisessa henkilötietojen käsittelyssä olisi soveltuvin osin noudatettava direktiivissä (EU) 2016/680 vahvistettuja sääntöjä. Henkilötietojen käsittelyyn, joka liittyy direktiivin 2014/41/EU 4 artiklan b, c ja d alakohdassa tarkoitettuihin menettelyihin, olisi sovellettava asetusta (EU) 2016/679 11 , jos se ei kuulu direktiivin (EU) 2016/680 soveltamisalaan.
(3)Euroopan unionista tehtyyn sopimukseen ja Euroopan unionin toiminnasta tehtyyn sopimukseen liitetyssä, Yhdistyneen kuningaskunnan ja Irlannin asemasta vapauden, turvallisuuden ja oikeuden alueen osalta tehdyssä pöytäkirjassa N:o 21 olevien 1, 2 ja 4 a artiklan 1 kohdan mukaisesti Irlanti ei osallistu tämän direktiivin hyväksymiseen, direktiivi ei sido Irlantia eikä sitä sovelleta Irlantiin, sanotun kuitenkaan rajoittamatta mainitun pöytäkirjan 4 artiklan soveltamista.
(4)Euroopan unionista tehtyyn sopimukseen ja Euroopan unionin toiminnasta tehtyyn sopimukseen liitetyssä, Tanskan asemasta tehdyssä pöytäkirjassa N:o 22 olevien 1 ja 2 artiklan mukaisesti Tanska ei osallistu tämän direktiivin hyväksymiseen, direktiivi ei sido Tanskaa eikä sitä sovelleta Tanskaan.
(5)Sen vuoksi direktiiviä 2014/41/EU olisi muutettava.
(6)Euroopan tietosuojavaltuutettua on kuultu asetuksen (EU) 2018/1725 12 42 artiklan mukaisesti ja hän on antanut lausunnon XX päivänä XXXX 13 ,
OVAT HYVÄKSYNEET TÄMÄN DIREKTIIVIN:
1 artikla
Direktiivin 2014/41/EU muuttaminen
Poistetaan direktiivin 2014/41/EU 20 artikla.
2 artikla
1.Jäsenvaltioiden on saatettava tämän direktiivin noudattamisen edellyttämät lait, asetukset ja hallinnolliset määräykset voimaan viimeistään [yhden vuoden kuluttua sen antamisen jälkeen]. Niiden on viipymättä toimitettava nämä säännökset kirjallisina komissiolle.
Näissä jäsenvaltioiden antamissa säädöksissä on viitattava tähän direktiiviin tai niihin on liitettävä tällainen viittaus, kun ne julkaistaan virallisesti. Jäsenvaltioiden on säädettävä siitä, miten viittaukset tehdään.
2.Jäsenvaltioiden on toimitettava tässä direktiivissä säännellyistä kysymyksistä antamansa keskeiset kansalliset säännökset kirjallisina komissiolle.
3 artikla
Tämä direktiivi tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.
4 artikla
Tämä direktiivi on osoitettu jäsenvaltioille perussopimusten mukaisesti.
Tehty Brysselissä
Euroopan parlamentin puolesta Neuvoston puolesta
Puhemies Puheenjohtaja
Pilottihankkeen tilasi Euroopan parlamentti, sitä hallinnoi komissio ja sen toteutti ulkopuolinen toimeksisaaja (ryhmä riippumattomia asiantuntijoita). Komissio valitsi toimeksisaajan parlamentin määrittämien kriteerien perusteella. Hankkeen tuotokset kuvastavat vain toimeksisaajan näkemyksiä ja mielipiteitä, eikä komissio ole vastuussa niiden sisältämien tietojen käytöstä. Tulokset on julkaistu osoitteessa http://www.fondazionebrodolini.it/en/projects/pilot-project-fundamental-rights-review-eu-data-collectioninstruments-and-programmes .
Unionin tuomioistuimen tuomio, 9.11.2010, Volker und Markus Schecke ja Eifert, yhdistetyt asiat C-92/09 ja C-93/09 (ECLI:EU:C:2009:284, 48 kohta).
Perusoikeuskirjan 52 artiklan 1 kohdan mukaan tietosuojaoikeuden käyttämiselle voidaan asettaa sellaisia rajoituksia, joista säädetään lailla, joissa kunnioitetaan kyseisten oikeuksien ja vapauksien olennaista sisältöä ja jotka ovat (suhteellisuusperiaatteen mukaisesti) välttämättömiä ja vastaavat tosiasiallisesti unionin tunnustamia yleisen edun mukaisia tavoitteita tai tarvetta suojella muiden henkilöiden oikeuksia ja vapauksia.