21.7.2011   

FI

Euroopan unionin virallinen lehti

C 215/13


Euroopan tietosuojavaltuutetun lausunto ehdotuksesta Euroopan parlamentin ja neuvoston asetukseksi unionin vuotuiseen talousarvioon sovellettavista varainhoitosäännöistä

2011/C 215/05

EUROOPAN TIETOSUOJAVALTUUTETTU, joka

ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen ja erityisesti sen 16 artiklan,

ottaa huomioon Euroopan unionin perusoikeuskirjan ja erityisesti sen 7 ja 8 artiklan,

ottaa huomioon yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24 päivänä lokakuuta 1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY (1),

ottaa huomioon komission yksilöiden suojelusta yhteisöjen toimielinten ja elinten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta annetun Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 45/2001 (2) 28 artiklan 2 kohdan mukaisesti tietosuojavaltuutetulle 5. tammikuuta 2011 lähettämän lausuntopyynnön;

ON ANTANUT SEURAAVAN LAUSUNNON:

I.   JOHDANTO

1.

Komissio hyväksyi 22 päivänä joulukuuta 2010 ehdotuksen Euroopan parlamentin ja neuvoston asetukseksi unionin vuotuiseen talousarvioon sovellettavista varainhoitosäännöistä (jäljempänä ehdotus). Ehdotuksessa yhdistetään ja korvataan kaksi aikaisempaa komission ehdotusta varainhoitoasetuksen (VHA, neuvoston asetus (EY, Euratom) N:o 1605/2002 (3)) tarkistamisesta. Nämä kaksi ehdotusta koskivat toisaalta varainhoitoasetuksen kolmivuotistarkistusta ja toisaalta varainhoitoasetuksen tarkistusta Lissabonin sopimuksen huomioon ottamiseksi (4).

2.

Ehdotus toimitettiin 5. tammikuuta 2011 tietosuojavaltuutetulle asetuksen (EY) N:o 45/2001 28 artiklan 2 kohdan mukaisesti. Euroopan tietosuojavaltuutettua kuultiin epävirallisesti ennen ehdotuksen hyväksymistä. Euroopan tietosuojavaltuutettu suosittelee, että lainsäätäjä lisää ehdotetun asetuksen alkuun viittauksen Euroopan tietosuojavaltuutetun kuulemiseen.

3.

Ehdotuksella on tiettyjä vaikutuksia tietosuojaan EU:n ja kansallisella tasolla. Näitä vaikutuksia käsitellään tässä lausunnossa.

4.

Ehdotuksessa on esitetty viittaukset asiaa koskeviin tietosuojavälineisiin. Tarvitaan kuitenkin, kuten tässä lausunnossa selvitetään, lisätarkennuksia ja -selvennyksiä sen varmistamiseksi, että tietosuojalainsäädäntöä noudatetaan kaikilta osin.

II.   EHDOTUKSEN ANALYYSI

II.1   Yleiset viittaukset asiaa koskeviin EU:n tietosuojasääntöihin

5.

Ehdotettu asetus kattaa useita seikkoja, jotka koskevat EU:n toimielinten, virastojen ja elinten sekä jäsenvaltiotason yhteisöjen suorittamaa henkilötietojen käsittelyä. Näitä käsittelytoimia analysoidaan jäljempänä yksityiskohtaisemmin. Käsitellessään henkilötietoja EU:n toimielinten, virastojen ja elinten on noudatettava asetuksen (EY) N:o 45/2001 tietosuojasääntöjä. Kansallisen tason yhteisöjen on noudatettava asianomaisen jäsenvaltion kansallisia säännöksiä, joilla direktiivi 95/46/EY pannaan täytäntöön.

6.

Euroopan tietosuojavaltuutettu on tyytyväinen siihen, että viittaukset jompaankumpaan näistä kahdesta välineestä tai molempiin on sisällytetty asetusehdotukseen. (5) Ehdotuksessa ei kuitenkaan viitata näihin välineisiin järjestelmällisesti ja johdonmukaisesti. Euroopan tietosuojavaltuutettu rohkaisee näin ollen lainsäätäjää omaksumaan asetuksessa kattavamman lähestymistavan tähän asiaan.

7.

Euroopan tietosuojavaltuutettu suosittelee, että lainsäätäjä sisällyttää asetuksen johdanto-osaan seuraavan viittauksen direktiiviin 95/46/EY ja asetukseen (EY) N:o 45/2001:

”Tämä asetus ei rajoita yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24 päivänä lokakuuta 1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY ja yksilöiden suojelusta yhteisöjen toimielinten ja elinten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 18 päivänä joulukuuta 2000 annetun Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 45/2001 vaatimusten soveltamista.”

8.

Lisäksi Euroopan tietosuojavaltuutettu suosittelee, että 57 artiklan 2 kohdan f alakohtaan lisätään viittaus direktiiviin 95/46/EY ja asetukseen (EY) N:o 45/2001, kuten ehdotuksen 31 artiklan 3 kohdassa on tehty.

II.2   Petosten ja sääntöjenvastaisuuksien ehkäisy, havaitseminen ja korjaaminen

9.

Ehdotuksen 28 artiklassa käsitellään talousarvion toteuttamisen sisäistä valvontaa. Artiklan 2 kohdan d alakohdassa säädetään, että talousarvion toteuttamisen yhteydessä sisäisellä valvonnalla tarkoitetaan prosessia, jonka avulla on tarkoitus saada kohtuullisen hyvä varmuus siitä, että petosten ja sääntöjenvastaisuuksien ehkäisy, havaitseminen ja korjaaminen ovat riittäviä.

10.

Sellaisten tapausten osalta, joissa komissio toteuttaa talousarviota välillisesti yhteistyössä jäsenvaltioiden tai muiden yhteisöjen tai henkilöiden kuin jäsenvaltioiden kanssa, 56 artiklan 2 kohdassa ja 57 artiklan 3 kohdassa todetaan, että jäsenvaltioiden sekä yhteisöjen ja henkilöiden on talousarvion toteuttamiseen liittyviä tehtäviä hoitaessaan ehkäistävä, todettava ja korjattava sääntöjenvastaisuudet ja petokset. On selvää, että tällaisten toimenpiteiden on oltava direktiivin 95/46/EY täytäntöönpanevien kansallisten säädösten mukaisia.

11.

Tältä osin ehdotuksen 56 artiklan 4 kohdan f alakohdassa (jonka pitäisi olla 4 kohdan e alakohta alakohtien loogisen järjestyksen mukaisesti) todetaan, että jäsenvaltioiden hyväksymien elinten, joilla on yksinomainen vastuu varojen moitteettomasta hallinnoinnista ja valvonnasta, on ”varmistettava, että henkilötietoja suojataan direktiivissä 95/46/EY säädettyjen periaatteiden mukaisesti”. Euroopan tietosuojavaltuutettu suosittelee, että tätä viittausta vahvistetaan korvaamalla ilmaisu seuraavalla: ”varmistettava, että henkilötietojen käsittelyssä noudatetaan kansallisia säädöksiä, joilla direktiivi 95/46/EY pannaan täytäntöön”.

12.

Muiden yhteisöjen ja henkilöiden kuin jäsenvaltioiden osalta 57 artiklan 2 kohdan f alakohdassa todetaan, että näiden yhteisöjen ja henkilöiden on ”varmistettava, että henkilötietoja suojataan asianmukaisesti”. Euroopan tietosuojavaltuutettu arvostelee voimakkaasti tätä lauseketta, sillä näyttää siltä, että se mahdollistaa tietosuojasääntöjen väljemmän soveltamisen. Euroopan tietosuojavaltuutettu suosittelee näin ollen, että myös tämä lauseke korvataan seuraavalla: ”varmistettava, että henkilötietojen käsittelyssä noudatetaan kansallisia säädöksiä, joilla direktiivi 95/46/EY pannaan täytäntöön”.

II.3   Ilmiantajat

13.

Ehdotuksen 63 artiklan 8 kohdassa käsitellään ilmiantamista. Siinä henkilöstön jäsen velvoitetaan ilmoittamaan valtuutetulle tulojen ja menojen hyväksyjälle (tai ehdotuksen 70 artiklan 6 kohdan mukaisesti perustetulle taloudellisten väärinkäytösten tutkintaelimelle), jos jäsen katsoo, että päätös, jonka hänen esimiehensä antaa hänen täytäntöönpantavakseen, on sääntöjenvastainen tai vastoin moitteettoman varainhoidon periaatteita tai ammatillisia sääntöjä, joita hänen on noudatettava. Jos kyseessä on laiton toiminta, petos tai lahjonta, joka saattaa vahingoittaa unionin etuja, henkilöstön jäsenen on ilmoitettava asiasta sovellettavassa lainsäädännössä nimetyille viranomaisille ja elimille.

14.

Euroopan tietosuojavaltuutettu haluaa kuitenkin korostaa, että ilmiantajien asema on arkaluonteinen. Henkilöiden, jotka saavat tällaista tietoa, on varmistettava, että ilmiantajan henkilöllisyys pysyy salassa erityisesti siihen henkilöön nähden, jonka väitetään suorittaneen rikkomuksen (6). Ilmiantajan henkilöllisyyden salassapidon varmistamisella ei pelkästään suojata tietoja antavaa henkilöä, vaan sillä myös varmistetaan ilmiantamista koskevan järjestelmän tehokkuus. Ilman riittäviä salassapitotakeita henkilöstön jäsenet eivät halua ilmoittaa sääntöjenvastaisuuksista tai laittomasta toiminnasta.

15.

Ilmiantajan henkilöllisyyden salassapitosuoja ei kuitenkaan ole absoluuttinen. Ensimmäistä sisäistä tutkimusta voi seurata menettely- tai oikeudenkäyntivaiheita, joissa vaaditaan ilmiantajan henkilöllisyyden paljastamista esimerkiksi oikeusviranomaisille. Oikeudenkäyntiä koskevia kansallisia sääntöjä on näin ollen noudatettava. (7)

16.

Voi myös olla tilanteita, joissa rikkomuksesta syytetyllä henkilöllä on oikeus saada tietää ilmiantajan nimi. Tämä on mahdollista, jos kyseinen henkilö tarvitsee ilmiantajan nimen voidakseen nostaa kanteen ilmiantajaa vastaan sen jälkeen, kun hänen on todettu antaneen vääriä tietoja henkilöstä vahingoittamistarkoituksessa (8).

17.

Euroopan tietosuojavaltuutettu suosittelee, että nykyistä ehdotusta muutetaan ja varmistetaan, että ilmiantajan henkilöllisyys pidetään salassa tutkimusten aikana, mikäli tämä ei riko oikeudenkäyntiä koskevia kansallisia sääntöjä ja mikäli rikkomuksesta syytetyllä henkilöllä ei ole oikeutta saada tietää ilmiantajan henkilöllisyyttä, sillä tätä tietoa tarvitaan, jotta ilmiantajaa vastaan voidaan nostaa kanne sen jälkeen, kun on todettu, että ilmiantaja antoi henkilöstä vääriä tietoja vahingoittamistarkoituksessa.

II.4   Talousarviosta peräisin olevien varojen saajia koskevien tietojen julkaiseminen

18.

Ehdotuksen 31 artiklan 2 kohdan (unionin varojen saajia koskevien ja muiden tietojen julkaiseminen) mukaan komissio asettaa asianmukaisella tavalla saataville hallussaan olevat tiedot talousarviosta peräisin olevien varojen saajista, kun talousarviota toteutetaan keskitetysti suoraan komission yksiköissä tai unionin edustustoissa.

19.

Ehdotuksen 31 artiklan 3 kohdassa todetaan, että kyseiset tiedot ”on asetettava saataville noudattaen asianmukaisesti luottamuksellisuutta koskevia vaatimuksia, erityisesti Euroopan parlamentin ja neuvoston direktiivissä 95/46/EY ja Euroopan parlamentin ja neuvoston asetuksessa (EY) N:o 45/2001 säädettyjä vaatimuksia henkilötietojen suojasta, sekä turvallisuutta koskevia vaatimuksia ottaen huomioon kunkin … hallintomenettelyn erityispiirteet ja noudattaen asiaa koskevia alakohtaisia säännöksiä soveltuvin osin”.

20.

Unionin tuomioistuin käsitteli EU:n varojen saajia koskevien tietojen julkaisemista marraskuussa 2010 antamassaan tuomiossa asiassa Schecke ja Eifert  (9). Menemättä kyseisen tapauksen yksityiskohtiin on korostettava, että unionin tuomioistuin arvioi huolellisesti, oliko EU:n lainsäädäntö, jossa säädetään velvollisuudesta paljastaa kyseiset tiedot, Euroopan unionin perusoikeuskirjan 7 ja 8 artiklan mukainen.

21.

Unionin tuomioistuin tutki, mitä tarkoitusta varten tieto paljastettiin ja näin ollen kyseisen toimenpiteen suhteellisuutta. Unionin tuomioistuin katsoi, että toimielimet ovat velvollisia saattamaan tasapainoon ennen luonnollista henkilöä koskevien tietojen julkaisemista unionin intressin taata toimiensa avoimuus ja loukkauksen, joka kohdistuu perusoikeuskirjan 7 ja 8 artiklassa tunnustettuihin oikeuksiin (10). Unionin tuomioistuin korosti, että henkilötietojen suojaa koskevat poikkeukset ja rajoitukset on toteutettava täysin välttämättömän rajoissa (11).

22.

Unionin tuomioistuin katsoi, että toimielinten olisi pohdittava tietojen julkaisemista koskevia yksityiskohtaisia sääntöjä, jotka olisivat tällaisen julkaisemisen tavoitteen mukaisia ja joilla samalla loukattaisiin vähemmän näiden tuensaajien oikeutta nauttia yksityiselämäänsä kohdistuvaa kunnioitusta yleensä ja erityisesti heidän oikeuttaan saada henkilötiedoilleen suojaa (12). Tapauksen erityisessä asiayhteydessä unionin tuomioistuin totesi, että tietojen, joissa mainitaan tuensaajien nimet, julkaisemista voitaisiin rajoittaa esimerkiksi ajanjaksojen, joina tukia on saatu, tukien toistuvuuden tai niiden lajin ja suuruuden mukaan (13).

23.

Euroopan tietosuojavaltuutettu korostaa jälleen kerran, että yksityisyyden suojan ja tietosuojan tehtävänä ei ole estää tietojen julkisuutta aina, kun on kyse henkilötiedoista, ja tarpeettomasti rajoittaa EU:n hallinnon avoimuutta. Euroopan tietosuojavaltuutettu tukee näkemystä, jonka mukaan avoimuusperiaate ”parantaa kansalaisten mahdollisuuksia osallistua päätöksentekomenettelyihin, ja sen avulla varmistetaan, että hallinto on demokraattisessa järjestelmässä suhteessa kansalaisiin legitiimimpää, tehokkaampaa ja vastuullisempaa”; tietojen, joissa mainitaan tuensaajien nimet, julkaiseminen internetissä, jos se tehdään asianmukaisesti, ”myötävaikuttaa siihen, että hallinto käyttää julkisia varoja asianmukaisesti” ja ”parantaa kyseessä olevien varojen käytön julkista valvontaa” (14).

24.

Tältä pohjalta Euroopan tietosuojavaltuutettu haluaa korostaa, että unionin tuomioistuimen näkökohdat, sellaisina kuin ne on mainittu edellisissä kohdissa, liittyvät suoraan nykyiseen ehdotukseen. Vaikka ehdotuksessa viitataan direktiiviin 95/46/EY ja asetukseen (EY) N:o 45/2001, ei ole varmistettu, että suunniteltu julkaiseminen täyttää vaatimukset, kuten unionin tuomioistuin totesi asiassa Schecke. Tältä osin on korostettava, että unionin tuomioistuin ei pelkästään kumonnut komission asetusta, joka sisälsi yksityiskohtaisia sääntöjä maataloustuki- ja maaseuturahastojen tuensaajia koskevien tietojen julkaisemisesta (15), vaan myös asetuksen säännöksen, joka muodostaa komission asetuksen oikeusperustan ja joka sisälsi tietojen julkaisemista koskevan yleisen vaatimuksen edellyttäen, että se koski tuensaajia, jotka ovat luonnollisia henkilöitä (16).

25.

Euroopan tietosuojavaltuutettu epäilee vahvasti sitä, täyttääkö nykyinen ehdotus kriteerit, sellaisina kuin unionin tuomioistuin on ne määritellyt asiassa Schecke. Ehdotuksen 31 artiklassa ei ole mainittu (kuten ei muissakaan artikloissa) selkeää ja hyvin määriteltyä tarkoitusta, jota varten henkilötiedot julkaistaan. Lisäksi on epäselvää, milloin ja missä muodossa tiedot julkaistaan. Näin ollen ei ole mahdollista arvioida, onko eri intressien välillä oikea tasapaino, ja tarkistaa, kuten unionin tuomioistuin nimenomaisesti korosti asiassa Schecke, onko julkaiseminen oikeasuhteista. Lisäksi on epäselvää, miten rekisteröityjen oikeudet taataan.

26.

Vaikka täytäntöönpanolainsäädäntöä suunniteltaisiinkin – mitä ei ole todettu selvästi – edellä mainitut perusselvennykset pitäisi sisällyttää oikeusperustaan, jona varainhoitoasetusta pidetään tällaisten tietojen julkaisemiselle.

27.

Euroopan tietosuojavaltuutettu suosittelee näin ollen, että lainsäätäjä selventää suunnitellun julkaisemisen tarkoitusta ja selittää sen tarpeellisuutta, osoittaa, miten ja missä määrin henkilötietoja julkaistaan, varmistaa, että tietoja julkaistaan vain, jos tämä on oikeasuhteista, ja varmistaa, että rekisteröidyt voivat vedota EU:n tietosuojalainsäädännössä säädettyihin oikeuksiinsa.

II.5   Hallinnollisia ja taloudellisia seuraamuksia koskevien päätösten tai päätösten yhteenvetojen julkaiseminen

28.

Ehdotuksen 103 artiklassa käsitellään hankintaviranomaisen mahdollisuutta määrätä hallinnollisia tai taloudellisia seuraamuksia a) toimeksisaajalle, ehdokkaalle tai tarjoajalle tilanteissa, joissa toimeksisaaja, ehdokas tai tarjoaja on syyllistynyt väärien tietojen antamiseen ilmoittaessaan hankintaviranomaiselle hankintamenettelyyn osallistumista varten vaadittuja tietoja tai ei ole toimittanut vaadittuja tietoja (katso 101 artiklan b kohta), tai (b) toimeksisaajalle, jonka on todettu rikkoneen vakavasti talousarviosta rahoitettavaan hankintaan liittyviä velvoitteitaan.

29.

Ehdotuksen 103 artiklan 1 kohdassa todetaan, että asianomaiselle on annettava tilaisuus esittää huomautuksensa. Ehdotuksen 103 artiklan 2 kohdan mukaan seuraamuksena voi olla kyseisen henkilön sulkeminen talousarviosta rahoitettavien hankintojen ja avustusten ulkopuolelle enintään kymmeneksi vuodeksi ja/tai sellaisten taloudellisia seuraamusten määrääminen, joiden määrä ei saa ylittää kyseisen sopimuksen arvoa.

30.

Verrattuna nykyiseen tilanteeseen, ehdotuksessa on uutta se, että 103 artiklan 3 kohdassa mainittu toimielin voi julkaista päätökset tai niiden yhteenvedot, joissa ilmoitetaan taloudellisen toimijan nimi, kuvataan lyhyesti tosiseikat ja ilmoitetaan poissulkemisen kesto tai taloudellisten seuraamusten määrä.

31.

Mikäli tähän sisältyy luonnollisia henkilöitä koskevien tietojen julkaiseminen, tämä säännös herättää tietosuojan näkökulmasta joitakin kysymyksiä. Ensinnäkin on selvää sanan ”voi” käytöstä, että julkaiseminen ei ole pakollista. Tämä jättää kuitenkin avoimeksi monia kysymyksiä, kun ehdotuksen teksti ei ole selkeä. Esimerkiksi, mikä on tietojen julkaisemisen tarkoitus? Mitkä ovat ne kriteerit, joiden perusteella kyseinen toimielin päättää julkaisemisesta? Miten kauan tiedot ovat julkisesti saatavilla ja missä välineessä? Kuka tarkistaa, että tiedot ovat yhä oikeita, ja kuka päivittää ne? Kuka ilmoittaa kyseessä olevalle henkilölle julkaisemisesta? Nämä ovat kysymyksiä, jotka liittyvät tietojen laatua koskeviin vaatimuksiin, sellaisina kuin ne on esitetty direktiivin 95/46/EY 6 artiklassa ja asetuksen (EY) N:o 45/2001 4 artiklassa.

32.

On korostettava, että tällaisten tietojen julkaisemisella on myös kielteisiä vaikutuksia kyseiseen henkilöön. Julkaiseminen pitäisi sallia vain, jos se on todella tarpeen suunniteltua tarkoitusta varten. Edellä osassa II.4 unionin tuomioistuimen asiassa Schecke antaman päätöksen yhteydessä esitetyt huomautukset ovat tärkeitä myös tässä yhteydessä.

33.

Nykyisessä muodossaan 103 artiklan 3 kohdassa ehdotettu teksti ei vastaa kaikilta osin tietosuojalainsäädännön vaatimuksia. Euroopan tietosuojavaltuutettu suosittelee näin ollen, että lainsäätäjä selventää suunnitellun julkaisemisen tarkoitusta ja selittää sen tarpeellisuutta, osoittaa, miten ja missä määrin henkilötietoja julkaistaan, varmistaa, että tietoja julkaistaan vain, jos tämä on oikeasuhteista, ja varmistaa, että rekisteröidyt voivat vedota EU:n tietosuojalainsäädännössä säädettyihin oikeuksiinsa.

II.6   Poissulkemista koskeva keskustietokanta

34.

Ehdotuksessa ehdotetaan myös sellaisen poissulkemista koskevan keskustietokannan (CED) perustamista, joka sisältää tiedot ehdokkaista ja tarjoajista, jotka on suljettu tarjouskilpailun ulkopuolelle (katso 102 artikla). Tällainen tietokanta on jo otettu käyttöön nykyisen varainhoitoasetuksen nojalla, ja sen toimintaa on tarkennettu komission asetuksessa (EY) N:o 1302/2008. Euroopan tietosuojavaltuutettu on arvioinut keskustietokannan yhteydessä toteutettavia henkilötietojen käsittelytoimia 26 päivänä toukokuuta 2010 antamassaan ennakkotarkastuslausunnossa (17).

35.

Keskustietokannassa olevien tietojen saajat ovat moninaisia. Asetuksen (EY) N:o 45/2001 7, 8 tai 9 artiklaa sovelletaan sen mukaan, kenellä on pääsy tietokantaan.

36.

Euroopan tietosuojavaltuutettu totesi edellä mainitussa ennakkotarkastuslausunnossa, että 7 artiklan (tietokannan käyttö muissa EU:n toimielimissä ja elimissä) ja 8 artiklan (keskustietokannan käyttö jäsenvaltioiden viranomaisissa ja tietyissä muissa elimissä) täytäntöönpanoa koskeva nykyinen käytäntö on asetuksen (EY) N:o 45/2001 mukainen.

37.

Tätä johtopäätöstä ei kuitenkaan voitu tehdä, kun tietoja siirretään kolmannen maan viranomaisille. Tätä tiedonsiirtoa säännellään asetuksen (EY) N:o 45/2001 9 artiklassa, jossa käsitellään tiedonsiirtoa kolmansien maiden viranomaisille ja/tai kansainvälisille järjestöille. Ehdotuksen 102 artiklan 2 kohdassa todetaan, että myös kolmansilla mailla on pääsy keskustietokantaan.

38.

Asetuksen (EY) N:o 45/2001 9 artiklan 1 kohdassa säädetään, että ”henkilötietoja voidaan siirtää vastaanottajille, jotka eivät ole yhteisöjen toimielimiä tai elimiä ja joihin ei sovelleta direktiivin 95/46/EY täytäntöönpanemiseksi annettua kansallista lainsäädäntöä, ainoastaan siinä tapauksessa, että vastaanottajan maassa tai vastaanottavassa kansainvälisessä järjestössä varmistetaan tietosuojan riittävä taso ja että tiedot siirretään yksinomaan sen vuoksi, että rekisterinpitäjän toimivaltaan kuuluvien tehtävien hoito tulee mahdolliseksi”. Poiketen siitä, mitä asetuksen 9 artiklan 1 kohdassa säädetään, 9 artiklan 6 kohdan mukaan tietojen siirto maihin, joissa ei ole riittävää tietosuojaa, on mahdollista, jos ”siirto on tarpeen tai laissa edellytetty tärkeän yleisen edun johdosta … ”.

39.

Edellä mainitussa ennakkotarkastuslausunnossa Euroopan tietosuojavaltuutettu korosti, että tarvitaan lisätoimia sen varmistamiseksi, että kun tietoja siirretään kolmanteen maahan tai järjestöön, vastaanottajan tietosuojan taso on riittävä. Euroopan tietosuojavaltuutettu haluaa korostaa, että tietosuojan tason riittävyys on arvioitava tapauskohtaisesti, ja arvioon pitäisi sisällyttää perusteellinen analyysi tiedonsiirtotoimen tai tiedonsiirtotoimien sarjaan liittyvistä olosuhteista. Varainhoitoasetuksessa ei voida vapauttaa komissiota tästä velvollisuudesta. Vastaavasti siirron, joka perustuu 9 artiklassa mainittuihin poikkeuksiin, on myös perustuttava tapauskohtaiseen arvioon.

40.

Tältä osin Euroopan tietosuojavaltuutettu suosittelee, että lainsäätäjä lisää 102 artiklaan uuden kohdan, jossa käsitellään nimenomaisesti henkilötietojen suojaa. Tämä kohta voidaan aloittaa 102 artiklassa olevalla ensimmäisellä virkkeellä, jonka mukaan ”komissio perustaa keskustietokannan ja hoitaa sitä henkilötietojen suojelua koskevia unionin säännöksiä noudattaen”. Tähän olisi lisättävä, että kolmansien maiden viranomaisten pääsy sallitaan vain silloin, kun asetuksen (EY) N:o 45/2001 9 artiklan edellytykset täyttyvät.

III.   PÄÄTELMÄ

41.

Nykyisellä ehdotuksella on tiettyjä tietosuojaan kohdistuvia vaikutuksia EU:n ja kansallisella tasolla, ja näitä on käsitelty tässä lausunnossa. Ehdotuksessa on esitetty viittaukset asiaa koskeviin tietosuojavälineisiin. Tarvitaan kuitenkin, kuten tässä lausunnossa on selitetty, lisätarkennuksia ja -selvennyksiä sen varmistamiseksi, että tietosuojalainsäädäntöä noudatetaan kaikilta osin. Euroopan tietosuojavaltuutettu suosittelee seuraavaa:

sisällytetään asetuksen johdanto-osaan viittaus direktiiviin 95/46/EY ja asetukseen (EY) N:o 45/2001;

lisätään 57 artiklan 2 kohdan f alakohtaan viittaus direktiiviin 95/46/EY ja asetukseen (EY) N:o 45/2001, kuten on tehty ehdotuksen 31 artiklan 3 kohdassa;

vahvistetaan viittausta direktiiviin 95/46/EY 56 artiklan 4 kohdan f alakohdassa (jonka pitäisi olla 4 kohdan e alakohta alakohtien loogisen järjestyksen mukaisesti) muuttamalla sitä seuraavasti: ”varmistettava, että henkilötietojen käsittelyssä noudatetaan kansallisia säännöksiä, joilla direktiivi 95/46/EY pannaan täytäntöön”;

korvataan 57 artiklan 2 kohdan f alakohdassa oleva lauseke ”varmistettava, että henkilötietoja suojataan asianmukaisesti” seuraavalla: ”varmistettava, että henkilötietojen käsittelyssä noudatetaan kansallisia säädöksiä, joilla direktiivi 95/46/EY pannaan täytäntöön”;

varmistetaan 63 artiklan 8 kohdassa, että ilmiantajan henkilöllisyys pidetään salassa tutkimusten aikana, mikäli tämä ei riko oikeudenkäyntiä koskevia kansallisia sääntöjä ja mikäli rikkomuksesta syytetyllä henkilöllä ei ole oikeutta saada tietää ilmiantajan henkilöllisyyttä, sillä tätä tietoa tarvitaan, jotta ilmiantajaa vastaan voidaan nostaa kanne sen jälkeen, kun on todettu, että ilmiantaja antoi syytetystä henkilöstä vääriä tietoja vahingoittamistarkoituksessa;

selvennetään 31 artiklassa suunnitellun talousarvioista peräisin olevien varojen saajia koskevien tietojen julkaisemisen tarkoitusta ja selitetään sen tarpeellisuutta, osoitetaan, miten ja missä määrin henkilötietoja julkaistaan, varmistetaan, että tietoja julkaistaan vain, jos tämä on oikeasuhteista, ja varmistetaan, että rekisteröidyt voivat vedota EU:n tietosuojalainsäädännössä säädettyihin oikeuksiinsa;

parannetaan 103 artiklan 3 kohtaa, jossa käsitellään hallinnollisia tai taloudellisia seuraamuksia koskevien päätösten tai niiden yhteenvetojen julkaisemista, selventämällä suunnitellun julkaisemisen tarkoitusta ja selittämällä sen tarpeellisuutta, osoitetaan, miten ja missä määrin henkilötietoja julkaistaan, varmistetaan, että tietoja julkaistaan vain, jos tämä on oikeasuhteista, ja varmistetaan, että rekisteröidyt voivat vedota EU:n tietosuojalainsäädännössä säädettyihin oikeuksiinsa;

lisätään 102 artiklaan henkilötietojen suojaa koskeva uusi kohta, jossa säädetään, että kolmannen maan viranomaisilla on pääsy tietoihin, kun asetuksen (EY) N:o 45/2001 9 artiklan edellytykset täyttyvät ja tapauskohtainen arviointi on tehty.

Tehty Brysselissä 15 päivänä huhtikuuta 2011.

Giovanni BUTTARELLI

Euroopan apulaistietosuojavaltuutettu


(1)  EYVL L 281, 23.11.1995, s. 31.

(2)  EYVL L 8, 12.1.2001, s. 1.

(3)  EYVL L 248, 16.9.2002, s. 1.

(4)  Katso KOM(2010) 260 lopullinen ja KOM(2010) 71 lopullinen.

(5)  Katso ehdotuksen 31 artiklan 3 kohta ja 56 artiklan 4 kohta. Lisäksi johdanto-osan 36 kappaleessa on yleinen viittaus ”tietosuojavaatimuksiin”, 57 artiklan 2 kohdan f alakohdassa ”henkilötietojen suojeluun” ja 102 artiklan 1 kohdassa ”henkilötietojen suojelua koskeviin unionin säännöksiin”.

(6)  Euroopan tietosuojavaltuutettu on jo korostanut ilmiantajan henkilöllisyyden salassapidon tärkeyttä Euroopan oikeusasiamiehelle 30. heinäkuuta 2010 lähettämässään kirjeessä tapauksessa 2010-0458, joka on nähtävillä Euroopan tietosuojavaltuutetun verkkosivuilla (http://www.edps.europa.eu). Myös 29 artiklan mukainen tietosuojatyöryhmä on korostanut 1 päivänä helmikuuta 2006 antamassaan lausunnossa 1/2006 EU:n tietosuojasääntöjen soveltamisesta ilmiantamiseen liittyviin sisäisiin järjestelmiin tilinpidon, tilinpidon sisäisen valvonnan, tilintarkastusasioiden sekä lahjonnan ja pankki- ja rahoitustoimintaan liittyvän rikollisuuden torjunnan aloilla. Lausunto on saatavilla 29 artiklan mukaisen tietosuojatyöryhmän verkkosivuilta (http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm).

(7)  Katso myös Euroopan tietosuojavaltuutetun 23 päivänä kesäkuuta 2006 antama ennakkotarkastuslausunto OLAFin sisäisistä tutkimuksista (tapaus 2005-0418) ja 4 päivänä lokakuuta 2007 antama ennakkotarkastuslausunto OLAFin ulkoisista tutkimuksista (tapaukset 2007-47, 2007-48, 2007-49, 2007-50, 2007-72), jotka ovat saatavilla Euroopan tietosuojavaltuutetun verkkosivuilta (http://www.edps.europa.eu).

(8)  Katso tältä osin edellä mainittu 29 artiklan mukaisen tietosuojatyöryhmän lausunto 1/2006.

(9)  Unionin tuomioistuin, tuomio 9.11.2010, Schecke ja Eifert, yhdistetyt asiat C-92/09 ja C-93/09.

(10)  Unionin tuomioistuin, Schecke, 85 kohta.

(11)  Unionin tuomioistuin, Schecke, 86 kohta.

(12)  Unionin tuomioistuin, Schecke, 81 kohta.

(13)  Katso alaviite 12.

(14)  Unionin tuomioistuin, Schecke, 68, 69, 75 ja 76 kohta.

(15)  Komission asetus (EY) N:o 259/2008, EUVL L 76, 19.3.2008, s. 28.

(16)  Asetuksen (EY) N:o 1290/2005 (EUVL L 209, 11.8.2005, s. 1), sellaisena kuin se on muutettuna, 44 a artikla.

(17)  Katso Euroopan tietosuojavaltuutetun 26 päivänä toukokuuta 2010 antama ennakkotarkastuslausunto henkilötietojen käsittelytoimista, jotka koskevat rekisteröidyn rekisteröimistä poissulkemista koskevaan keskustietokantaan (prior check Opinion of 26 May 2010 regarding the processing operation on personal data concerning the ”Registration of a Data Subject in the Central Exclusion Database”) (asia 2009-0681), joka on saatavilla Euroopan tietosuojavaltuutetun verkkosivuilta (http://www.edps.europa.eu).