25.5.2012   

FI

Euroopan unionin virallinen lehti

C 147/1

Euroopan tietosuojavaltuutetun lausunto komission ehdotuksesta Euroopan parlamentin ja neuvoston direktiiviksi rahoitusvälineiden markkinoista ja Euroopan parlamentin ja neuvoston direktiivin 2004/39/EY kumoamisesta sekä ehdotuksesta Euroopan parlamentin ja neuvoston asetukseksi rahoitusvälineiden markkinoista sekä OTC-johdannaisista, keskusvastapuolista ja kauppatietorekistereistä annetun asetuksen muuttamisesta

2012/C 147/01

EUROOPAN TIETOSUOJAVALTUUTETTU

ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen ja erityisesti sen 16 artiklan,

Euroopan unionin perusoikeuskirjan, erityisesti sen 7 ja 8 artiklan,

yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24 päivänä lokakuuta 1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY (1),

yksilöiden suojelusta yhteisöjen toimielinten ja elinten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 18 päivänä joulukuuta 2000 annetun Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 45/2001 (2), erityisesti sen 28 artiklan 2 kohdan, ja

ON ANTANUT SEURAAVAN LAUSUNNON:

1.   JOHDANTO

1.1   Euroopan tietosuojavaltuutetun kuuleminen

1.

Tämä lausunto kuuluu osana Euroopan tietosuojavaltuutetun neljän samana päivänä annetun rahoitusalaa koskevan lausunnon pakettiin (3).

2.

Komissio hyväksyi 20. lokakuuta 2011 ehdotuksen Euroopan parlamentin ja neuvoston direktiiviksi rahoitusvälineiden markkinoista ja Euroopan parlamentin ja neuvoston direktiivin 2004/39/EY (4) kumoamisesta (’direktiiviehdotus’) sekä ehdotuksesta Euroopan parlamentin ja neuvoston asetukseksi rahoitusvälineiden markkinoista sekä OTC-johdannaisista, keskusvastapuolista ja kauppatietorekistereistä annetun asetuksen (Euroopan markkinarakenneasetus) muuttamisesta (’asetusehdotus’) (molempiin asiakirjoihin viitataan tästedes ’ehdotuksina’).

3.

Euroopan tietosuojavaltuutettua kuultiin epävirallisesti ennen ehdotusten hyväksymistä. Euroopan tietosuojavaltuutettu panee merkille, että useita hänen huomautuksiaan on otettu huomioon ehdotuksissa.

1.2   Ehdotuksien tavoitteet ja soveltamisala

4.

Marraskuussa 2007 voimaan tullut rahoitusvälineiden markkinoista annettu direktiivi (rahoitusmarkkinadirektiivi) kuuluu EU:n finanssimarkkinoiden yhdentymisen kulmakiviin. Se koostuu tällä hetkellä puitedirektiivistä (direktiivi 2004/39/EY), täytäntöönpanodirektiivistä (direktiivi 2006/73/EY) ja täytäntöönpanoasetuksesta (asetus (EY) N:o 1287/2006).

5.

Rahoitusmarkkinadirektiivillä luodaan sääntelykehys pankkien ja sijoituspalveluyritysten rahoitusvälineiden markkinoilla tarjoamille sijoituspalveluille (kuten arvopaperivälitys, neuvonta, kaupankäynti, salkunhoito, merkintä ja niin edelleen) sekä markkinoiden ylläpitäjien toiminnalle säännellyillä markkinoilla. Siinä vahvistetaan myös kansallisten toimivaltaisten viranomaisten valtuudet ja velvollisuudet, jotka liittyvät tähän toimintaan. Käytännössä sillä poistettiin jäsenvaltioiden mahdollisuus vaatia, että kaiken rahoitusvälineillä tapahtuvan kaupankäynnin on tapahduttava vain tietyissä pörsseissä, ja mahdollistettiin Euroopan laajuinen kilpailu perinteisten pörssien ja vaihtoehtoisten kauppapaikkojen välillä.

6.

Kun rahoitusmarkkinadirektiivi on nyt ollut voimassa yli 3 vuotta, voidaan todeta, että kilpailu kauppapaikkojen välillä rahoitusvälinekaupassa on lisääntynyt ja sijoittajilla on enemmän valinnanvaraa palveluntarjoajien ja saatavilla olevien rahoitusvälineiden osalta. Esiin on kuitenkin noussut myös joitakin ongelmia. Kilpailun lisääntymisestä saadut edut eivät esimerkiksi ole jakautuneet tasapuolisesti kaikkien markkinaosapuolten välillä, eikä niitä ole aina siirretty edelleen yksityissijoittajille, olipa sitten kyse pien- tai suursijoittajista. Lisäksi monet rahoitusmarkkinadirektiivin säännökset ovat jääneet jälkeen markkinoiden ja teknologian kehityksestä ja finanssikriisi on tuonut esiin heikkoudet tiettyjen rahoitusvälineiden sääntelyssä.

7.

Rahoitusmarkkinadirektiivin tavoitteena on mukauttaa ja päivittää voimassa olevia sääntöjä ottaen huomioon markkinakehitys, finanssikriisi ja teknologian kehitys, sekä parantaa sääntöjen tehokkuutta.

1.3   Euroopan tietosuojavaltuutetun lausunnon tavoite

8.

Monet ehdotuksiin sisältyvät tekijät vaikuttavat yksilöiden oikeuksiin, jotka liittyvät heidän henkilötietojensa käsittelyyn. Näitä tekijöitä ovat 1) velvollisuus ylläpitää rekistereitä ja raportoida liiketoimista, 2) toimivaltaisten viranomaisten valtuudet (mukaan lukien valtuudet suorittaa tarkastuksia ja pyytää puhelin- ja tietoliikennettä koskevien tietojen esittämistä, 3) seuraamuksien julkistaminen, 4) rikkomuksista raportoiminen ja erityisesti ilmiantoja koskevat määräykset sekä 5) jäsenvaltioiden toimivaltaisten viranomaisten ja Euroopan tietosuojavaltuutetun välinen yhteistyö.

2.   EHDOTUSTEN ANALYYSI

2.1   Tietosuojalainsäädännön sovellettavuus

9.

Useissa ehdotusten johdanto-osan kappaleissa (5) mainitaan perusoikeuskirja, direktiivi 95/46/EY ja asetus (EY) N:o 45/2001. Johonkin ehdotusten keskeiseen artiklaan pitäisi kuitenkin lisätä viittaus sovellettavaan tietosuojalainsäädäntöön.

10.

Hyvä esimerkki tällaisesta keskeisestä säännöksestä on sisäpiirikaupoista ja markkinoiden manipuloinnista annetun Euroopan parlamentin ja neuvoston asetusehdotuksen (6) 22 artikla. Siinä määrätään nimenomaisesti yleisenä sääntönä, että ehdotuksen puitteissa henkilötietojen käsittelyyn sovelletaan direktiiviä 95/46/EY ja asetusta (EY) N:o 45/2001. Euroopan tietosuojavaltuutettu antoi hiljattain kyseisestä ehdotuksesta lausunnon, jossa hän suhtautui erittäin myönteisesti tähän yleiseen säännökseen. Euroopan tietosuojavaltuutettu ehdottaa kuitenkin, että viittausta direktiiviin 95/46/EY selvennetään täsmentämällä, että säännöksiä sovelletaan direktiivin 95/46/EY kansallisten täytäntöönpanosääntöjen mukaisesti.

11.

Euroopan tietosuojavaltuutettu kehottaa sen takia lisäämään tekstiin vastaavan keskeisen säännöksen kuin sisäpiirikaupoista ja markkinoiden manipuloinnista annetun Euroopan parlamentin ja neuvoston asetusehdotuksen (7) 22 artiklassa, niine suosituksineen, joita hän antoi kyseisestä ehdotuksesta (8), korostaen siten voimassa olevan tietosuojalainsäädännön sovellettavuutta ja selventäen viittausta direktiiviin 95/46/EY täsmentämällä, että säännöksiä sovelletaan direktiivin 95/46/EY kansallisten täytäntöönpanosääntöjen mukaisesti.

12.

Johdanto-osan kappaleissa olisi myös käytettävä johdonmukaisesti sanamuotoa, jonka mukaan jäsenvaltiot ”soveltavat” asianomaista tietosuojalainsäädäntöä, sen sijaan, että niiden ”olisi sovellettava” kyseistä lainsäädäntöä, koska lainsäädäntö on voimassa eikä sen soveltamiseen liity harkintavaltaa.

2.2   Velvollisuus ylläpitää rekistereitä ja raportoida liiketoimista

2.2.1   Asetusehdotuksen mukainen velvollisuus

13.

Asetusehdotuksen johdanto-osan 27 kappaleessa ja 21–23 artiklassa esitetään periaate, jonka mukaan toimivaltaisten viranomaisten on EAMV:n koordinoimina seurattava sijoituspalveluyritysten toimintaa varmistaakseen, että ne toimivat rehellisesti, tasapuolisesti ja ammattimaisesti sekä tavalla, joka edistää markkinoiden eheyttä. Se edellyttää, että viranomaisten on voitava mainita sijoituspäätöksen tehnyt henkilö ja sen toteutuksesta vastaavat henkilöt (johdanto-osan 28 kappale).

14.

Seurantatoimien toteuttamiseksi sijoituspalveluyritysten on 22 artiklan mukaan pidettävä toimivaltaisen viranomaisen saatavilla ainakin viiden vuoden ajan asiaankuuluvat tiedot kaikista toteuttamistaan rahoitusvälineisiin liittyvistä liiketoimista. Yrityksien on säilytettävä yksityiskohtaiset tiedot asiakkaan henkilöllisyydestä. Tiedot rahoitusvälineitä koskevista liiketoimista olisi toimitettava toimivaltaisille viranomaisille, jotta ne voivat havaita mahdolliset markkinoiden väärinkäyttötapaukset ja tutkia niitä sekä seurata markkinoiden tasapuolista ja asianmukaista toimintaa ja sijoituspalveluyritysten harjoittamaa toimintaa. EAMV voi myös pyytää oikeutta tutustua näihin tietoihin.

15.

Sijoituspalveluyrityksen on ilmoitettava toimivaltaiselle viranomaiselle tällaisista liiketoimista, asiakkaiden henkilöllisyys mukaan luettuna, mahdollisimman nopeasti (23 artikla). Jos kyseiset asiakkaat ovat luonnollisia henkilöitä, toimet edellyttävät henkilötietojen käsittelyä direktiivin 95/46/EY ja asetuksen (EY) N:o 45/2001 mukaisessa tarkoituksessa sekä mahdollisesti yleisten tietokantojen luomista.

16.

Vaikutustenarvioinnissa ei ilmeisesti tarkastella liiketoimista annettavien ilmoitusten viiden vuoden pituisen säilytysajan arviointia. Kuten direktiivin 95/46/EY 6 artiklan 1 kohdan e alakohdassa todetaan, henkilötietoja säilytetään ainoastaan sen ajan kuin on tarpeen niiden tarkoitusten toteuttamista varten, joita varten tiedot on kerätty. Tämän vaatimuksen täyttämiseksi Euroopan tietosuojavaltuutettu ehdottaa, että viiden vuoden pituinen vähimmäissäilytysaika korvataan enimmäissäilytysajalla. Valitun ajanjakson olisi oltava tarpeellinen ja suhteessa tarkoitukseen, jota varten tiedot on kerätty.

2.2.2   Direktiiviehdotuksen mukainen velvollisuus

17.

Direktiivin 16 artikla sisältää sijoituspalveluyrityksiin sovellettavia toiminnan järjestämistä koskevia vaatimuksia. Yritysten on erityisesti varmistettava, että ne ylläpitävät rekistereitä kaikista annetuista palveluista ja toteutetuista liiketoimista, jotta asianmukaiset toimivaltaiset viranomaiset voisivat valvoa, että direktiivin määräyksiä noudatetaan. Tällaisten rekisterien avulla voitaisiin tarkastaa, että sijoituspalveluyritys on täyttänyt asiakkaisiin tai potentiaalisiin asiakkaisiin liittyvät velvollisuudet. Vaikka tätä ei asiakirjassa erikseen täsmennetä, on syytä olettaa, että tällaiset tiedot kattaisivat asiakkaiden ja työntekijöiden henkilötiedot.

18.

Komissiolle annetaan 16 artiklan 12 kohdan nojalla valtuudet hyväksyä delegoituja säädöksiä kyseisessä artiklassa säädettyjen toiminnan järjestämistä koskevien käytännön vaatimusten täsmentämiseksi. Euroopan tietosuojavaltuutettu kehottaa tältä osin komissiota kuulemaan häntä, kun delegoidut säädökset hyväksytään. Tällaisilla toimenpiteillä olisi joka tapauksessa pyrittävä minimoimaan sijoitusyritysten rekisteröimien henkilötietojen säilytystä ja käsittelyä. Kuten asetuksen kohdalla jo todettiin, komission olisi myös arvioitava perusteellisesti, millainen säilytysaika olisi otettava käyttöön kyseisiä tietoja varten, jotta säilytysaika olisi asianmukainen ja oikeasuhteinen.

2.3   Puhelinkeskustelujen tai sähköisen viestinnän tallentamista koskeva velvollisuus

19.

Direktiiviehdotuksen mukaan puhelinkeskustelut tai sähköinen viestintä on tallennettava.

20.

Puhelinkeskustelujen tai sähköisen viestinnän tallenteet sisältävät yleensä viestinnän osapuolten henkilötiedot, vaikka viestintä liittyisikin liiketoimiin tai ammatilliseen toimintaan. Sähköiseen viestintään liittyvät tiedot saattavat kattaa monenlaisia henkilötietoja, kuten tietoliikennetiedot mutta myös sisällön. Lisäksi sanan ”keskustelu” käyttäminen tarkoittaa, että viestinnän sisältö tallennetaan.

21.

Sikäli kuin on kyse henkilötiedoista direktiivin 95/46/EY ja asetuksen (EY) N:o 45/2001 tarkoittamassa merkityksessä, niihin sovelletaan keskeisimpiä tietosuojelua koskevia sääntöjä ja erityisesti käyttötarkoituksen rajoittamisen, tarpeellisuuden ja oikeasuhteisuuden periaatteita sekä velvollisuutta säilyttää tietoja ainoastaan sen ajan kuin se on tarpeen.

Käyttötarkoituksen rajoittaminen

22.

Direktiivin 95/46/EY 6 artiklan 1 kohdan b alakohdan mukaan henkilötiedot on kerättävä perusteltua ja nimenomaisesti määriteltyä tarkoitusta varten, eikä niitä saa käsitellä myöhemmin tavalla, joka on yhteensopimaton näiden tarkoitusten kanssa.

23.

Direktiiviehdotuksen 16 artiklan 7 kohdassa ei määritellä yksiselitteisesti puhelinkeskustelujen ja sähköisen viestinnän tallentamisen käyttötarkoitusta. Johdanto-osan kappaleessa 42, direktiiviehdotuksen 16 artiklan 6 kohdassa, Euroopan arvopaperimarkkinavalvojien komitean (CESR) antamissa neuvoissa ja vaikutustenarvioinnissa viitataan kuitenkin useisiin erilaisiin käyttötarkoituksiin.

24.

Direktiiviehdotuksen 16 artiklan 6 kohdassa todetaan, että ”sijoituspalveluyrityksen on huolehdittava siitä, että sen suorittamista palveluista ja liiketoimista pidetään kirjaa riittävällä tavalla, jotta toimivaltainen viranomainen voi valvoa tässä direktiivissä säädettyjen vaatimusten noudattamista ja erityisesti varmistaa, että sijoituspalveluyritys on täyttänyt kaikki velvollisuutensa suhteessa asiakkaisiinsa tai potentiaalisiin asiakkaisiinsa.”

25.

Direktiiviehdotuksen johdanto-osan 42 kappaleessa selitetään, että ”asiakastoimeksiantoihin liittyvien puhelinkeskustelujen tai sähköisen viestinnän tallentaminen on […] perusteltua sijoittajansuojan lujittamiseksi, markkinoiden valvonnan parantamiseksi ja oikeusvarmuuden lisäämiseksi sijoituspalveluyritysten ja niiden asiakkaiden etujen mukaisesti.” Johdanto-osan kappaleessa viitataan myös CERS:n Euroopan komissiolle 29 päivänä heinäkuuta 2010 antamiin teknisiin lausuntoihin tällaisten tallenteiden merkityksestä (9).

26.

CESR:n antamissa neuvoissa korostetaan, että toimivaltaisten viranomaisten mukaan keskustelujen tallentaminen olisi tarpeellista, jotta i) varmistetaan, että sijoituspalveluyrityksen ja sen asiakkaiden välisten, liiketoimien ehtoihin liittyvien kiistojen ratkaisemiseksi on saatavilla näyttöä, ii) tuetaan valvontaa, joka koskee liiketoiminnan sääntöjen noudattamista ja iii) autetaan paljastamaan ja havaitsemaan markkinoiden väärinkäyttöä ja helpotetaan täytäntöönpanoa tällä alalla. Tallentaminen ei olisi ainoa keino, jolla varmistetaan viranomaisten seurantatoimien toteuttaminen, mutta siitä ”voi olla hyötyä” autettaessa toimivaltaista viranomaista tarkastamaan, että esimerkiksi asiakkaita ja potentiaalisia asiakkaita, parasta toteutusta ja asiakkaiden toimeksiantojen käsittelyä koskevia rahoitusmarkkinadirektiivin vaatimuksia noudatetaan.

27.

Vaikutustenarvioinnissa selitetään, että ”toimivaltaiset viranomaiset tarvitsevat tietoja” (eli puhelujen ja sähköisen viestinnän tallenteita) ”voidakseen taata markkinoiden eheyden ja liiketoiminnan harjoittamista koskevien sääntöjen noudattamisen” (10).

28.

Eri käyttötarkoituksia, joihin viitataan johdanto-osan 42 kappaleessa, direktiiviehdotuksen 16 artiklan 6 kohdassa, CESR:n antamissa neuvoissa ja vaikutustenarvioinnissa, ei kuvailla loogisesti ja johdonmukaisesti, vaan ne on sijoitettu ehdotuksen ja oheisasiakirjojen eri kohtiin. Direktiivin 95/46/EY 6 artiklan 1 kohdan mukaan tiedot kerätään tiettyä nimenomaista ja laillista tarkoitusta varten. Euroopan tietosuojavaltuutettu kehottaa näin ollen lainsäätäjää määrittelemään selvästi ja täsmällisesti puhelinkeskustelujen ja sähköisen viestinnän tallentamisen käyttötarkoituksen direktiiviehdotuksen 16 artiklan 7 kohdassa.

Tarpeellisuus ja suhteellisuus

29.

Direktiivin 95/46/EY 6 artiklan 1 kohdan mukaan henkilötietojen on oltava asianmukaisia, olennaisia eikä liian laajoja siihen tarkoitukseen, mihin ne on kerätty ja missä niitä myöhemmin käsitellään, joten tietojen kerääminen on rajoitettava siihen, mikä on asianmukaista asetetun tavoitteen saavuttamiseksi eikä sen pidä ylittää tavoitteen saavuttamisen edellyttämää tasoa.

30.

Direktiivin 16 artiklan 7 kohdassa viitataan puhelinkeskusteluihin tai sähköisiin viesteihin, joihin sisältyy ainakin suoritettuja liiketoimia käytäessä kauppaa omaan lukuun sekä asiakkaiden toimeksiantoja tarjottaessa palveluja toimeksiantojen vastaanottamiseksi ja välittämiseksi ja toimeksiantojen toteuttamiseksi asiakkaiden lukuun.

31.

Ensinnäkään 16 artiklan 7 kohdassa ei lukuun ottamatta nimenomaisesti mainittuja liiketoimia määritellä, millaisia puhelinkeskusteluja ja sähköisiä viestejä tallenteilla tarkoitetaan. Euroopan tietosuojavaltuutettu on ymmärtänyt niiden koskevan viestintää, joka liittyy sijoituspalveluyrityksen suorittamiin palveluihin ja liiketoimiin. Tämä olisi kuitenkin täsmennettävä selvästi. Lisäksi sanan ”ainakin” käyttö mahdollistaa monenlaisten puhelinkeskustelujen tai sähköisten viestien tallentamisen. Säännöksessä olisi päinvastoin määriteltävä selvästi, mikä viestintä tallennetaan, ja rajoittaa se sellaisiin viesteihin, jotka on tallentamisen tarkoituksen kannalta välttämätöntä tallentaa.

32.

Toiseksi säännöksessä ei täsmennetä, mihin luokkiin kuuluvat tiedot säilytetään. Kuten on jo mainittu, sähköisiin viesteihin liittyvät tiedot saattavat sisältää paljon henkilökohtaisia tietoja, kuten puhelun soittajan ja vastaanottajan henkilöllisyyden, puhelun ajankohdan ja keston, käytetyn verkon, kannettavien laitteiden tapauksessa käyttäjän maantieteellisen sijainnin ja niin edelleen. Näin mahdollistetaan myös pääsy viestien sisältöön. Lisäksi viittaus ”keskusteluihin” antaa ymmärtää, että viestinnän sisältö tallennetaan. Suhteellisuusperiaatteen mukaisesti puhelinkeskustelujen ja sähköisten viestien tallenteiden sisältämä henkilötietojen tallentaminen on rajoitettava siihen, mikä on tarpeen sen tavoitteen saavuttamiseksi, jota varten tiedot on kerätty.

33.

Jos esimerkiksi viestien tallentamisen tarkoituksena on kerätä näyttöä liiketoimista, vaikuttaa siltä, että ei ole muuta vaihtoehtoa kuin tallentaa viestien sisältö, jotta voitaisiin saada näyttöä liiketoimista. Viestien sisällön tallentaminen markkinoiden väärinkäytön havaitsemiseksi tai direktiiviehdotuksen määräyksien noudattamisen valvomiseksi olisi kuitenkin kohtuutonta ja suhteetonta. Tässä suhteessa direktiiviehdotuksen 71 artiklan 2 kohdan d alakohta, jonka nojalla toimivaltainen viranomainen voi pyytää sijoituspalveluyrityksen hallussa olevia tallenteita puheluista ja tietoliikenteestä, jos voidaan perustellusti epäillä, että ehdotettua direktiiviä on rikottu, sulkee viestin sisällön nimenomaisesti soveltamisalansa ulkopuolelle. Viestinnän sisältö jätetään samalla tavalla sisäpiirikaupoista ja markkinoiden manipuloinnista annetun Euroopan parlamentin ja neuvoston asetusehdotuksen (11) 17 artiklan 2 kohdan f alakohdan soveltamisalan ulkopuolelle; siinä toimivaltaisille viranomaisille annetaan samat tutkintavaltuudet sisäpiirikauppojen tai markkinoiden manipuloinnin osoittamiseksi toteen.

34.

Euroopan tietosuojavaltuutettu suosittelee tästä syystä painokkaasti, että direktiiviehdotuksen 16 artiklan 7 kohdassa täsmennetään, millaisia puhelinkeskusteluja ja sähköisiä viestejä sekä millaisia keskusteluihin ja viesteihin liittyviä tietoja tallennetaan. Tietojen on oltava tarpeellisia ja asiaan liittyviä eivätkä ne saa olla liian laajoja samaan tarkoitukseen nähden.

Tietojen säilytysaika

35.

Direktiivin 95/46/EY 6 artiklan 1 kohdan e alakohdan mukaisesti henkilötiedot on säilytettävä muodossa, josta tietojen kohteet ovat tunnistettavissa ainoastaan sen ajan kuin on tarpeen sen tarkoituksen toteuttamista varten, joita varten tiedot on kerätty (12). 16 artiklan 7 kohdassa mainittu säilytysaika on kolme vuotta. Vaikutustenarvioinnissa todetaan, että kaikkien alalla toteutettavien toimien olisi oltava direktiivissä 95/46/EY esitettyjen EU:n tietosuojasääntöjen mukaisia. Vaikutustenarvioinnissa korostetaan kuitenkin, että säilytysaikaa määriteltäessä olisi otettava huomioon EU:n voimassa oleva lainsäädäntö, joka koskee yleisesti saatavilla olevien sähköisten viestintäpalvelujen tai yleisten viestintäverkkojen yhteydessä tuotettavien tai käsiteltävien tietojen säilyttämistä vakavan rikollisuuden torjumiseksi. Vaikutustenarvioinnin mukaan kolmen vuoden enimmäisajan on havaittu olevan tarpeellisuuden ja suhteellisuuden periaatteiden mukainen, mitä lainmukainen puuttuminen perusoikeuteen edellyttää (13).

36.

Euroopan tietosuojavaltuutettu pitää toimenpiteen keston tarpeellisuutta ja suhteellisuutta koskevaa analyysia epäasianmukaisena. Vakavan rikollisuuden torjuntaa ei mainita yhdessäkään eri käyttötarkoituksista (jossakin määrin epäselvistä), jotka liittyvät puhelinkeskustelujen ja sähköisten viestien tallentamiseen ja joihin viitataan 16 artiklan 6 kohdassa sekä johdanto-osan 42 kappaleessa, vaikutustenarvioinnissa tai CESR:n antamissa neuvoissa.

37.

Arviointi on toteutettava tallentamisen tarkoitusten mukaisesti direktiiviehdotuksen puitteissa. Jos tarkoituksena on esimerkiksi varmistaa, että sijoitusyrityksen ja sen asiakkaiden välisten, liiketoimien ehtoihin liittyvien kiistojen ratkaisemiseksi on saatavilla näyttöä (14), vaikutustenarvioinnissa olisi arvioitava, miten kauan tietoja on säilytettävä ottaen huomioon säännöt niiden oikeuksien vanhentumisesta, joiden perusteella tällaisia kiistoja voi syntyä.

38.

Euroopan tietosuojavaltuutettu kehottaa näin ollen lainsäätäjää arvioimaan perusteellisesti, millainen säilytysaika on tarpeen puhelinkeskustelujen ja sähköisen viestinnän tallentamiseksi erityisesti ehdotuksen soveltamisalalla.

2.4   Toimivaltaisten viranomaisten valtuudet

39.

Direktiivin 71 artiklassa luetellaan toimivaltaisten viranomaisten valvonta- ja tutkintavaltuudet.

40.

Direktiivin 71 artiklan 4 kohdassa viitataan direktiiviin 95/46/EY: siinä todetaan, että valvonta- ja tutkintatoimien yhteydessä kerättyjen henkilötietojen käsittelyssä on joka tapauksessa noudatettava yksityisyyttä ja tietosuojaa koskevia perusoikeuksia. Euroopan tietosuojavaltuutettu suhtautuu myönteisesti kyseiseen säännökseen, jossa otetaan nimenomaisesti huomioon viranomaisten valvojan roolin ja heidän tehtäviinsä kuuluvan henkilötietojen käsittelyn välinen yhteys.

2.4.1   Valtuudet suorittaa tarkastuksia paikalla

41.

Direktiivin 71 artiklan 2 kohdan c alakohdassa määrätään toimivaltaisten viranomaisten valtuuksista paikalla suoritettaviin tarkastuksiin. Toisin kuin ehdotuksessa Euroopan parlamentin ja neuvoston asetukseksi sisäpiirikaupoista ja markkinoiden manipuloinnista (15) kyseisessä säännöksessä ei viitata toimivaltaisten viranomaisten valtuuksiin ”päästä yksityistiloihin asiakirjojen takavarikoimiseksi”. Tämä saattaisi antaa ymmärtää, että tutkintavaltuudet rajoittuvat sijoituspalveluyrityksien tiloihin eivätkä kata yksityistiloja. Selvyyden nimissä ehdotamme näin ollen rajoituksen yksiselitteistä selventämistä asiakirjassa. Mikäli komissio aikoo sen sijaan sallia yksityistiloissa suoritettava tarkastukset, Euroopan tietosuojavaltuutettu viittaa asiassa esittämäänsä lausuntoon edellä mainitusta ehdotuksesta (16); hän katsoo siinä, että yleinen vaatimus, joka koskee oikeusviranomaiselta saatavaa ennakkolupaa kaikissa tapauksissa riippumatta siitä, mitä kansallinen lainsäädäntö edellyttää, olisi perusteltu ottaen huomioon kyseiseen valtuuteen liittyvän mahdollisen yksityisyyteen puuttumisen.

2.4.2   Puhelu- ja tietoliikennetietojen pyytämistä koskevat valtuudet

42.

Direktiiviehdotuksen 71 artiklan 2 kohdan d alakohdassa valtuutetaan toimivaltaiset viranomaiset pyytämään ”sijoituspalveluyrityksen hallussa olevia puhelu- ja tietoliikennetietoja”. Siinä selvennetään, että pyynnön esittäminen edellyttää, että ”voidaan perustellusti epäillä”, että ”tallenteilla voi olla merkitystä todistettaessa, että sijoituspalveluyritys on rikkonut tämän direktiivin mukaisia velvoitteitaan.” Tallenteet eivät kuitenkaan saa missään tapauksessa koskea ”sen viestinnän sisältöä, johon ne liittyvät”. Euroopan tietosuojavaltuutettu arvostaa sitä, että tekstissä määritellään toimivaltaisen viranomaisen valtuudet vaatimalla, että tallenteisiin tutustuminen edellyttää toimivaltaiselta viranomaiselta perusteltuja epäilyjä rikkomuksesta, ja epäämällä toimivaltaisten viranomaisten oikeuden tutustua viestien sisältöön.

43.

Direktiiviehdotuksessa ei kuitenkaan määritellä käsitettä ”puhelu- ja tietoliikennetiedot”. Direktiivissä 2002/58/EY (sähköisen viestinnän tietosuojadirektiivi) viitataan ainoastaan ”liikennetietoihin”, mutta ei ”puhelu- ja tietoliikennetietoihin”. Sanomattakin on selvää, että näiden käsitteiden täsmällinen merkitys määrittää, miten tutkintavaltuudet voivat vaikuttaa yksityisyyden ja henkilötietojen suojaan. Euroopan tietosuojavaltuutettu suosittaa, että käytetään jo direktiivissä 2002/58/EY käytettyä terminologiaa ”liikennetietojen” määrittelemiseen.

44.

Sähköisen viestinnän käyttöön liittyvät tiedot voivat sisältää paljon henkilökohtaisia tietoja, kuten puhelun soittajan ja vastaanottajan henkilöllisyyden, puhelun ajankohdan ja keston, käytetyn verkon, kannettavien laitteiden tapauksessa käyttäjän maantieteellisen sijainnin ja niin edelleen. Tietyt internetin ja sähköpostin käyttöä koskevat tietoliikennetiedot (esimerkiksi luettelo verkkosivuista, joilla on käyty) voivat lisäksi paljastaa merkittäviä yksityiskohtia viestinnän sisällöstä. Tietoliikennetietojen käsittely on myös ristiriidassa kirjesalaisuuden kanssa. Tämän osalta direktiivissä 2002/58/EY on vahvistettu periaate, jonka mukaan liikennetiedot on poistettava tai tehtävä nimettömiksi, kun niitä ei enää tarvita viestinnän välittämiseen (17). Direktiivin 15 artiklan 1 kohdan mukaan jäsenvaltiot voivat sisällyttää kansalliseen lainsäädäntöön rajoituksia tiettyjen oikeudellisten tarkoitusten vuoksi, mutta niiden on oltava välttämättömiä, asianmukaisia ja oikeasuhteisia demokraattisen yhteiskunnan tavoitteiden saavuttamiseksi (18).

45.

Euroopan tietotuojavaltuutettu myöntää, että komission luottoluokituslaitoksista annetussa asetuksessa tavoittelemat päämäärät ovat oikeutettuja. Tietosuojavaltuutettu ymmärtää tarpeen toteuttaa aloitteita, joilla lujitetaan finanssimarkkinoiden valvontaa markkinoiden vakauden säilyttämiseksi sekä sijoittajien ja koko talouden suojelun parantamiseksi. Koska liikennetietoihin suoraan kohdistuvat tutkintavaltuudet voivat loukata yksityisyyden suojaa, niiden on perustuttava tarpeellisuuden ja oikeasuhteisuuden periaatteisiin. Tutkintavaltuuksien on toisin sanoen sovelluttava niille asetettujen tavoitteiden saavuttamiseen, eikä niillä saa ylittää sitä, mikä on tarpeen näiden tavoitteiden saavuttamiseksi (19). Tästä näkökulmasta tarkasteltuna on tärkeää, että tutkintavaltuudet muotoillaan selkeästi määrittämällä niiden henkilöllinen ja aineellinen soveltamisala sekä se, missä tilanteissa ja millä edellytyksillä niitä voidaan käyttää. Lisäksi olisi säädettävä riittävistä suojatoimista väärinkäytön riskiä vastaan.

46.

Puhelu- ja tietoliikennetiedot sisältävät ilman muuta direktiivissä 95/46/EY, direktiivissä 2002/58/EY ja asetuksessa (EY) N:o 45/2001 tarkoitettuja henkilötietoja. Tämän vuoksi on varmistettava, että direktiiveissä ja asetuksessa esitetyt henkilötietojen oikeudenmukaisen ja laillisen käsittelyn edellytykset täyttyvät.

47.

Euroopan tietosuojavaltuutettu panee merkille, että 71 artiklan 3 kohdan mukaan luvan hankkiminen oikeusviranomaiselta on pakollista silloin, kun kansallisessa lainsäädännössä sellaista vaaditaan. Euroopan tietosuojavaltuutettu katsoo kuitenkin, että yleinen vaatimus, joka koskee luvan hankkimista oikeusviranomaiselta ennakolta kaikissa tapauksissa riippumatta siitä, mitä kansallinen lainsäädäntö edellyttää, olisi perusteltu ottaen huomioon kyseiseen valtuuteen mahdollisesti liittyvän yksityisyyteen puuttumisen. Tämä olisi eduksi myös lainsäädännön kaikissa EU:n jäsenvaltioissa yhdenmukaisen soveltamisen kannalta. On myös otettava huomioon, että jäsenvaltioiden eri laeissa säädetään kodin loukkaamattomuutta koskevista erityistakeista suhteettomien ja epätarkasti säänneltyjen tarkastusten, etsintöjen ja takavarikkojen varalta, erityisesti kun niitä toteuttavat luonteeltaan hallinnolliset instituutiot.

48.

Lisäksi Euroopan tietosuojavaltuutettu suosittaa sellaisen vaatimuksen käyttöönottoa, jonka mukaan EAMV:n on pyydettävä puhelu- tai tietoliikennetietoja virallisella päätöksellä, jossa esitetään pyynnön oikeusperusta ja tarkoitus sekä se, mitä tietoja pyydetään, määräaika, johon mennessä tiedot on toimitettava, sekä vastaanottajan oikeus saattaa päätös tuomioistuimen tarkasteltavaksi.

49.

Ilmaisu ”hallussa olevat puhelu- ja tietoliikennetiedot” ei vaikuta riittävän selvältä. Puhelu- ja tietoliikennetietoja ei ole määritelty, vaikka ehdotuksen rahoitusmarkkinadirektiiviksi 71 artiklan 2 kohdan 2 alakohdassa täsmennetään, että niillä tarkoitetaan ainoastaan ”sijoituspalveluyrityksien hallussa” olevia tietoja. Sijoituspalveluyrityksien hallussa olevat tiedot ovat todennäköisesti 16 artiklan 6 ja 7 kohdassa mainittuja tietoja, joita tarkastellaan edellä. Tämä tarkoittaisi, että teksti sulkee ulkopuolelle tiedot, jotka ovat kyseisen sijoituspalveluyrityksen kanssa hankintasopimuksen tehneiden sähköisten viestintäpalvelujen tarjoajien hallussa. Euroopan tietosuojavaltuutettu suosittelee selvyyden nimissä, että on selvennettävä, mihin sijoituspalveluyrityksen hallussa oleviin puhelu- ja tietoliikennetietoihin viitataan.

2.5   Seuraamusten tai muiden toimenpiteiden julkistaminen

2.5.1   Seuraamusten pakollinen julkistaminen

50.

Direktiiviehdotuksen 74 artiklassa velvoitetaan jäsenvaltiot varmistamaan, että toimivaltaiset viranomaiset julkistavat viipymättä kaikki asetusehdotuksen tai direktiiviehdotuksen täytäntöön panemiseksi hyväksyttyjen kansallisten säännösten rikkomisesta määrättävät seuraamukset ja toimenpiteet, mukaan lukien rikkomisen tyyppi ja luonne sekä rikkomisesta vastuussa olevien henkilöiden nimet, paitsi siinä tapauksessa, että julkistaminen uhkaa vakavasti rahoitusmarkkinoiden vakautta. Tätä velvoitetta lievennetään ainoastaan tapauksessa, jossa julkistaminen tuottaisi tapauksessa mukana oleville tahoille ”suhteetonta vahinkoa”, jolloin toimivaltaisten viranomaisten on julkistettava seuraamukset nimiä paljastamatta.

51.

Seuraamusten julkistaminen lisäisi varoittavaa vaikutusta, koska se estäisi todellisia ja mahdollisia rikoksentekijöitä syyllistymästä rikkomuksiin välttääkseen maineensa vahingoittumista. Vastaavasti lisättäisiin avoimuutta, koska markkinatoimijat saisivat tietoonsa, että tietty henkilö on syyllistynyt rikkomukseen (20). Tätä velvoitetta lievennetään ainoastaan tapauksessa, jossa julkistaminen tuottaisi tapauksessa mukana oleville tahoille suhteetonta vahinkoa, jolloin toimivaltaisten viranomaisten on julkistettava seuraamukset nimiä paljastamatta. Lisäksi, vaikka vaikutustenarvioinnissa myönnetään, että seuraamusjärjestelmän käyttöön ottaminen (joko vähimmäistasoisesti tai täysin yhteensovitettuna) vaikuttaisi perusoikeuksiin, kuten EU:n perusoikeuskirjan 7 artiklaan (yksityis- ja perhe-elämän kunnioittaminen) ja 8 artiklaan (henkilötietojen suoja) sekä mahdollisesti myös 47 artiklaan (oikeus tehokkaisiin oikeussuojakeinoihin ja puolueettomaan tuomioistuimeen) ja 48 artiklaan (syyttömyysolettama ja oikeus puolustukseen) (21), ei näytä siltä, että vaikutustenarvioinnissa tarkasteltaisiin seuraamuksien julkistamisen mahdollisia vaikutuksia kyseisiin oikeuksiin.

52.

Toimivaltaisten viranomaisten seuraamusvaltuuksiin kuuluu jo 75 artiklan 2 kohdan a alakohdan nojalla valtuus julkistaa rikkomukseen syyllistyneen henkilön nimi ja rikkomuksen luonne (22). On epäselvää, miten 74 artiklan mukainen julkistamisvelvoite on sovitettavissa yhteen 75 artiklan 2 kohdan a alakohdan mukaisen valtuuden kanssa, joka koskee julkisen lausunnon antamista. Julkisen lausunnon antamista koskevan valtuuden sisällyttäminen 75 artiklan 2 kohdan a alakohtaan osoittaa, että julkistaminen on jo itsessään todellinen seuraamus, jota olisi arvioitava tapauskohtaisesti ottaen huomioon 76 artiklan mukainen oikeasuhteisuusperuste (23).

53.

Tietosuojavaltuutettu ei ole vakuuttunut siitä, että seuraamusten pakollinen julkistaminen nykyisessä muodossaan täyttää tietosuojalainsäädännön vaatimukset sellaisina kuin unionin tuomioistuin on ne täsmentänyt asiassa Schecke antamassaan tuomiossa (24). Hän katsoo, että toimenpiteen tarkoitusta, tarpeellisuutta ja oikeasuhteisuutta ei ole osoitettu riittävästi ja että joka tapauksessa on tarjottava asianmukaiset takeet yksilön oikeuksiin kohdistuvia riskejä vastaan.

2.5.2   Julkistamisen tarpeellisuus ja oikeasuhteisuus

54.

Asiassa Schecke antamassaan tuomiossa unionin tuomioistuin kumosi neuvoston asetuksen ja komission asetuksen säännökset, jotka koskivat maatalousrahaston tuensaajia koskevien tietojen, myös henkilötietojen ja saatujen määrien, julkistamista. Tuomioistuin katsoi, että julkistaminen oli Euroopan perusoikeuskirjan 8 artiklan 2 kohdassa tarkoitettua henkilötietojen käsittelyä ja näin ollen puuttumista perusoikeuskirjan 7 ja 8 artiklassa tunnustettuihin oikeuksiin.

55.

Katsottuaan jo aiemmin, että ”henkilötietojen suojaa koskevat poikkeukset ja rajoitukset on toteutettava täysin välttämättömän rajoissa”, tuomioistuin analysoi julkistamisen tarkoitusta ja sen oikeasuhteisuutta. Se totesi, että mikään ei osoita, että neuvosto ja komissio olisivat kyseistä lainsäädäntöä antaessaan pohtineet, millaiset tuensaajia koskevien tietojen julkistamisen menetelmät olisivat tällaisen julkistamisen tavoitteen mukaisia ja joilla samalla loukattaisiin vähemmän näiden tuensaajien oikeutta.

56.

Direktiiviehdotuksen 74 artiklaan vaikuttaa liittyvän samoja ongelmia kuin mitä unionin tuomioistuin korosti asiassa Schecke antamassaan tuomiossa. On pidettävä mielessä, että arvioitaessa henkilötietojen julkistamista edellyttävän säännöksen tietosuojavaatimusten mukaisuutta on ratkaisevan tärkeää, että määritetään selkeästi ja tarkasti tarkoitus, johon julkistamisella pyritään. Vain selkeän ja hyvin määritellyn tarkoituksen avulla voidaan arvioida, onko henkilötietojen julkistaminen todella tarpeen ja oikeasuhteista (25).

57.

Luettuaan ehdotuksen ja sen oheisasiakirjat (eli vaikutustenarviointikertomuksen) Euroopan tietosuojavaltuutettu katsoo, että toimenpiteen tarkoitusta ja näin ollen myöskään sen tarpeellisuutta ei ole osoitettu selvästi. Ehdotuksen johdanto-osan kappaleissa asiasta vaietaan, ja vaikutustenarviointikertomuksessa mainitaan ainoastaan, että ”seuraamusten julkistaminen on tärkeä tekijä varmistettaessa, että seuraamukset vaikuttavat ennaltaehkäisevästi vastaanottajiin ja varmistettaessa, että seuraamukset vaikuttavat ennaltaehkäisevästi suureen yleisöön” (26). Tällainen yleinen toteamus ei tunnu riittävältä ehdotetun toimenpiteen tarpeellisuuden osoittamiseksi. Jos yleisenä tarkoituksena on lisätä ennaltaehkäisevää vaikutusta, näyttää siltä, että komission olisi pitänyt selittää varsinkin, miksi suuremmat taloudelliset rangaistusseuraamukset (tai muut seuraamukset kuin nimien julkistaminen) eivät olisi olleet riittäviä.

58.

Vaikutustenarviointikertomuksessa ei ilmeisesti myöskään oteta riittävästi huomioon lievempiä menetelmiä, kuten se, että julkistamista rajoitettaisiin koskemaan luottolaitoksia tai että julkistamisesta päätettäisiin tapauskohtaisesti. Erityisesti jälkimmäinen vaihtoehto vaikuttaisi alustavasti oikeasuhteisemmalta ratkaisulta, varsinkin kun otetaan huomioon, että – kuten 75 artiklan 2 kohdan a alakohdassa tunnustetaan – julkistaminen on seuraamus, jota on näin ollen arvioitava tapauskohtaisesti ottaen huomioon kaikki asiaan liittyvät seikat, kuten rikkomisen vakavuus, henkilökohtaisen vastuun laajuus, rikoksen uusiminen, kolmansien osapuolien menetykset ja niin edelleen (27).

59.

Euroopan tietosuojavaltuutettu katsoo, että mahdollisuus arvioida tapausta asiaan liittyvien seikkojen valossa lisää ratkaisun oikeasuhteisuutta ja on näin ollen parempi vaihtoehto verrattuna pakolliseen julkistamiseen kaikissa tapauksissa. Harkintavalta olisi esimerkiksi antanut toimivaltaiselle viranomaiselle mahdollisuuden välttää julkistamista tapauksissa, joissa on tapahtunut vähemmän vakavia rikkomuksia, joissa rikkomus ei ole aiheuttanut merkittävää haittaa, joissa osapuoli on osoittanut yhteistyöhalua ja niin edelleen.

60.

Asetusehdotuksen 35 artiklan 6 kohdan nojalla EAMV julkaisee verkkosivustollaan tiedotteen kaikista sellaisista päätöksistä, joilla rajoitetaan henkilön mahdollisuutta tehdä sopimuksia hyödykejohdannaisista tai uusitaan tällainen rajoitus. Tiedotteessa on näin ollen oltava yksityiskohtaiset tiedot henkilöistä, joiden sopimismahdollisuuksia EAMV on rajoittanut, sovellettavista rahoitusvälineistä, asianomaisista määrällisistä toimenpiteistä, kuten niiden sopimusten enimmäismäärästä, jotka kyseinen henkilö tai henkilöryhmä voi tehdä, sekä syistä, joiden vuoksi kyseiset enimmäismäärät on asetettu. Toimenpide tulee voimaan, kun tiedote julkaistaan (35 artiklan 7 kohta). Direktiivin määräyksiin liittyvien perustelujen pohjalta Euroopan tietosuojavaltuutettu kehottaa lainsäätäjää pohtimaan, milloin julkistaminen on tarpeellista ja milloin olisi mahdollista käyttää vähemmän rajoittavia keinoja tapauksissa, joihin liittyy luonnollisia henkilöitä.

2.5.3   Riittävien takeiden tarve

61.

Direktiiviehdotuksessa olisi pitänyt suunnitella riittävät takeet oikeudenmukaisen tasapainon takaamiseksi kaikkien erilaisten etujen välillä. Ensinnäkin takeita tarvitaan siitä, että syytetyllä henkilöllä on oikeus riitauttaa päätös tuomioistuimessa sekä oikeus syyttömyysolettamaan. Direktiiviehdotuksen 74 artiklan tekstissä olisi pitänyt käyttää tämän osalta erityistä ilmaisua, jossa toimivaltaiset viranomaiset velvoitettaisiin toteuttamaan tarvittavat toimenpiteet sekä tapauksissa, joissa päätökseen haetaan muutosta, että silloin, kun tuomioistuin kumoaa sen (28).

62.

Toiseksi direktiiviehdotuksessa olisi varmistettava, että tietojen kohteena olevan henkilön oikeuksia kunnioitetaan ennakoivasti. Euroopan tietosuojavaltuutettu arvostaa sitä, että ehdotuksen lopullisessa versiossa esitetään mahdollisuus luopua julkistamisesta, jos se aiheuttaisi suhteetonta vahinkoa. Ennakoivan lähestymistavan mukaisesti tietojen kohteena olevalle henkilölle olisi kuitenkin ilmoitettava etukäteen siitä, että seuraamuspäätös julkistetaan ja että hänellä on direktiivin 95/46/EY 14 artiklan mukaan oikeus vastustaa tätä tärkeiden ja perusteltujen syiden vuoksi (29).

63.

Kolmanneksi, vaikka direktiiviehdotuksessa ei täsmennetä, missä tiedot julkistettaisiin, käytännössä on ymmärrettävissä, että useimmissa jäsenvaltioissa ne julkistettaisiin internetissä. Julkistamiseen internetissä liittyy erityisiä kysymyksiä ja riskejä, jotka koskevat erityisesti tarvetta varmistaa, että tieto on saatavilla verkossa vain niin pitkään kuin se on tarpeellista ja että tietoja ei voida manipuloida tai muuttaa. Ulkoisten hakukoneiden käyttöön voi myös liittyä se riski, että tieto irrotetaan asiayhteydestään ja sitä ohjataan verkossa ja sen ulkopuolella tavoilla, jotka eivät ole helposti valvottavissa (30).

64.

Edellä esitetyt seikat huomioon ottaen jäsenvaltiot on velvoitettava varmistamaan, että asianomaisten henkilöiden henkilötiedot säilytetään verkossa vain kohtuullisen ajan, minkä jälkeen ne järjestelmällisesti poistetaan (31). Lisäksi jäsenvaltioita on vaadittava varmistamaan, että noudatetaan asianmukaisia turvatoimenpiteitä ja -takeita erityisesti ulkoisten hakukoneiden käyttöön liittyviltä riskeiltä suojautumiseksi (32).

2.5.4   Julkistamista koskevat päätelmät

65.

Euroopan tietosuojavaltuutettu katsoo, että säännös seuraamusten pakollisesta julkistamisesta ei nykymuodossaan ole yksityisyyttä ja tietosuojaa koskevan perusoikeuden mukainen. Lainsäätäjän on arvioitava huolellisesti ehdotetun järjestelmän tarpeellisuutta ja tarkistettava, ylittääkö julkistamisvelvoite sen, mikä on tarpeen julkista etua koskevan tavoitteen saavuttamiseksi, ja olisiko käytettävissä vähemmän rajoittavia toimenpiteitä saman tavoitteen saavuttamiseksi. Tämän oikeasuhteisuuden arvioinnin perusteella julkistamisvelvoitetta olisi joka tapauksessa tuettava riittävillä takeilla, jotta varmistettaisiin syyttömyysolettama, asianomaisen henkilön oikeus esittää vastalause, tietoturva ja tietojen paikkansapitävyys sekä tietojen poistaminen riittävän ajan kuluttua.

2.6   Rikkomuksista ilmoittaminen

66.

Direktiiviehdotuksen 77 artiklassa tarkastellaan rikkomuksista ilmoittamisen mekanismeja, jotka tunnetaan myös ilmiantojärjestelminä. Vaikka nämä voivat olla tehokkaita keinoja varmistaa sääntöjen noudattaminen, järjestelmät herättävät merkittäviä huolia tietosuojan kannalta (33). Euroopan tietosuojavaltuutettu on tyytyväinen siihen, että asetusehdotukseen sisältyy erityisiä takeita, joita on kehitettävä edelleen kansallisella tasolla, mitä tulee epäillystä rikkomuksesta ilmoittavan henkilön suojeluun ja yleisemmin henkilötietojen suojaan. Vaikutustenarvioinnissa mainitaan ilmiantojärjestelmät yhtenä vaihtoehtona, jolla seuraamukset voidaan ottaa mukaan perusoikeuksia koskevaan arviointiin (34), ja muistutetaan tarpeesta panna täytäntöön lainsäädäntöä tietosuojan periaatteiden ja tietosuojaviranomaisten osoittamien kriteerien noudattamiseksi. Tietosuojavaltuutettu on tietoinen siitä, että direktiivissä esitetään vain pääelementit järjestelmästä, jonka jäsenvaltiot toteuttavat. Tietosuojavaltuutettu haluaa kuitenkin kiinnittää huomiota myös seuraaviin seikkoihin.

67.

Euroopan tietosuojavaltuutettu korostaa, kuten muissakin lausunnoissaan (35), tarvetta sisällyttää tekstiin erityinen viittaus siihen, että ilmiantajien ja tietojen ilmoittajien henkilöllisyys on salattava. Euroopan tietosuojavaltuutettu korostaa, että ilmiantajien asema on arkaluontoinen. Henkilöille, jotka toimittavat tietoja, on varmistettava, että ilmiantajan henkilöllisyys pysyy salassa erityisesti siihen henkilöön nähden, jonka väitetään syyllistyneen rikkomukseen (36). Ilmiantajan henkilöllisyys on pidettävä salassa tutkimusten aikana, mikäli tämä ei riko oikeudenkäyntiä koskevia kansallisia sääntöjä. Ilmiantajan henkilöllisyyden paljastamista voidaan kuitenkin vaatia lisätutkimuksissa tai selvityksen seurauksena aloitetussa oikeudellisessa menettelyssä (esimerkiksi, jos käy ilmi, että ilmiantaja on antanut henkilöstä vääriä tietoja vahingoittamistarkoituksessa) (37). Edellä esitetyn valossa Euroopan tietosuojavaltuutettu suosittaa, että asetusehdotuksen 77 artiklan 1 kohdan b alakohtaan lisätään seuraava säännös: ”näiden henkilöiden henkilöllisyys on pidettävä salassa menettelyn kaikissa vaiheissa, mikäli seuraavia menettely- tai oikeudenkäyntivaiheita koskevassa kansallisessa lainsäädännössä ei vaadita sen paljastamista.”

68.

Lisäksi Euroopan tietosuojavaltuutettu korostaa, että on tärkeää laatia asianmukaisia sääntöjä, joilla suojellaan syytettyjen henkilöiden oikeutta tutustua asiakirjoihin; nämä oikeudet ovat tiiviisti sidoksissa puolustautumisoikeuteen (38). Ilmoituksen vastaanottamisen menettelyillä ja niihin liittyvillä jatkotoimilla, joihin viitataan 77 artiklan 1 kohdan a alakohdassa, olisi varmistettava, että syytettyjen puolustautumisoikeuksia, kuten oikeutta saada tietoa, oikeutta tutustua tutkinta-asiakirjoihin ja syyttömyysolettamaa, kunnioitetaan asianmukaisesti ja rajoitetaan ainoastaan siinä määrin kuin se on tarpeellista (39). Euroopan tietosuojavaltuutettu ehdottaa tältä osin, että direktiiviehdotukseen lisätään komission ehdotuksen Euroopan parlamentin ja neuvoston asetukseksi sisäpiirikaupoista ja markkinoiden manipuloinnista 29 artiklan d alakohdan määräys, jonka mukaan jäsenvaltioiden on otettava käyttöön ”asianmukaiset menettelyt, joilla taataan syytetyn henkilön puolustautumisoikeus ja oikeus tulla kuulluksi ennen häntä koskevan päätöksen tekemistä sekä oikeus käyttää oikeussuojakeinoja tuomioistuimessa häntä koskevan päätöksen tai toimenpiteen osalta”.

69.

Lopuksi Euroopan tietosuojavaltuutettu on tyytyväinen siihen, että 77 artiklan 1 kohdan c alakohdassa velvoitetaan jäsenvaltiot varmistamaan rikkomustapauksista ilmoittavan henkilön ja syytetyn henkilön henkilötietojen suojeleminen direktiivissä 95/46/EY säädettyjen periaatteiden mukaisesti. Tietosuojavaltuutettu ehdottaa kuitenkin sanojen ”säädettyjen periaatteiden” poistamista, jotta viittaus direktiivin olisi kattavampi ja sitovampi. Todettakoon tietosuojalainsäädännön noudattamisen tarpeesta näiden järjestelmien käytännön toteutuksessa, että Euroopan tietosuojavaltuutettu haluaa korostaa erityisesti 29 artiklan mukaisen tietosuojatyöryhmän vuonna 2006 ilmiannoista antamassa lausunnossa esitettyjä suosituksia. Kansallisten järjestelmien toteutuksessa on muun muassa otettava huomioon oikeasuhteisuuden periaate rajoittamalla mahdollisuuksien mukaan henkilöryhmää, joka voi ilmiantojärjestelmän välityksellä ilmoittaa epäilyistään, henkilöryhmää, josta voidaan tehdä ilmoitus, sekä rikkomuksia, joista henkilöitä voidaan syyttää. On suosittava mieluummin omalla nimellä esitettyjä ja luottamuksellisia ilmoituksia kuin nimettömiä ilmoituksia. Ilmiantajan henkilöllisyys on paljastettava, jos käy ilmi, että ilmiantaja on tehnyt pahansuovassa tarkoituksessa väärän ilmiannon. Tietojen säilyttämisessä on noudatettava tiukkoja määräaikoja.

2.7   Jäsenvaltioiden toimivaltaisten viranomaisten ja EAMV:n välinen yhteistyö

2.7.1   Direktiiviehdotuksen mukainen yhteistyö

70.

Ehdotuksen 83 artiklassa säädetään jäsenvaltioiden toimivaltaisten viranomaisten velvoitteesta tehdä yhteistyötä keskenään ja EAMV:n kanssa. Erityisesti 83 artiklan 5 kohdassa velvoitetaan toimivaltaiset viranomaiset ilmoittamaan EAMV:lle ja muille viranomaisille yksityiskohtaiset tiedot a) kaikista pyynnöistä, jotka on esitetty kokonaisriskiä koskevia tietoja toimittaneelle henkilölle ja jotka koskevat toimien toteuttamista kokonaisriskin pienentämiseksi (72 artiklan 1 kohdan f alakohdan mukaisesti) ja b) rajoituksista, jotka kohdistuvat henkilöiden mahdollisuuteen tehdä sopimuksia hyödykejohdannaisista (72 artiklan 1 kohdan g alakohdan mukaisesti). Ilmoituksen on sisällettävä sen henkilön nimi, jolle toimenpiteet on osoitettu, sekä tiedot rajoituksien laajuudesta, asianmukaisten rahoitusvälineiden tyypistä ja muita tietoja.

71.

Lisäksi määrätään, että jäsenvaltion toimivaltainen viranomainen, joka vastaanottaa edellä mainitun kaltaisen ilmoituksen, ”voi toteuttaa toimenpiteitä 72 artiklan 1 kohdan f tai g alakohdan mukaisesti, jos se katsoo toimenpiteen tarpeelliseksi kyseisen toisen toimivaltaisen viranomaisen tavoitteen saavuttamiseksi”. Euroopan tietosuojavaltuutettu haluaa korostaa, että tällaisten toimivaltaisen viranomaisen tekemien päätöksien saatetaan katsoa täyttävän ”automatisoidun yksittäispäätöksen” kriteerit direktiivin 95/46/EY 15 artiklan mukaisesti. Tulkintaa tukee se seikka, että 72 artiklan mukaan vastaanottavan toimivaltaisen viranomaisen on varmistettava, onko kyseinen toimenpide tarpeellinen toisen toimivaltaisen viranomaisen tavoitteen saavuttamiseksi. Ilmoituksen vastaanottavaa jäsenvaltion toimivaltaista viranomaista ei näin ollen vaadita toteuttamaan riippumatonta analyysia tapaukseen liittyvistä seikoista – myös kohteen henkilötietojen perusteella – jotta kyseinen viranomainen voisi määrätä kohteen oikeuksia rajoittavasta toimenpiteestä. Direktiivin 95/46/EY 15 artiklan mukaan jäsenvaltioiden on turvattava kenelle tahansa henkilölle oikeus olla joutumatta sellaisen päätöksen kohteeksi, josta aiheutuisi hänelle oikeudellisia vaikutuksia tai joka vaikuttaisi häneen merkittävästi ja joka olisi tehty ainoastaan automaattisen tietojenkäsittelyn perusteella ja joka olisi tarkoitettu hänen tiettyjen henkilökohtaisten ominaisuuksiensa, kuten muun muassa hänen ammatillisen suorituskykynsä, luottokelpoisuutensa, luotettavuutensa ja käyttäytymisensä arviointiin. Tarkasteltavana olevassa asiayhteydessä direktiivin 95/46/EY 15 artiklan 2 kohta on erityisen merkittävä: sen mukaan henkilö voi joutua edellä tarkoitetun kaltaisen päätöksen kohteeksi, jos tällainen päätös ”perustuu lakiin” ja rekisteröidyn oikeutetun edun takaavat toimenpiteet on toteutettu. Kansalliset säännökset, joilla direktiivi pannaan täytäntöön, muodostaisivat oikeusperustan direktiivin 95/46/EY 15 artiklan 2 kohdan mukaiselle poikkeukselle, joskaan erityisiä toimenpiteitä ei ole toteutettu rekisteröityjen oikeutetun edun takaamiseksi.

72.

Näyttää siis siltä, että direktiiviehdotuksessa säädetään mahdollisuudesta tehdä automatisoituja yksittäispäätöksiä, jotka vaikuttavat sellaisessa jäsenvaltiossa, joka on eri jäsenvaltio kuin missä seuraamusta alun perin sovellettiin, sijaitsevan viranomaisen mahdollisuuteen tehdä sopimuksia. Ottaen huomioon, miten tällainen päätös saattaa vaikuttaa henkilöön, joka harjoittaa ammattinsa vuoksi investointitoimintaa, Euroopan tietosuojavaltuutettu painottaa, että asiakirjassa olisi erityisesti viitattava oikeuteen vastustaa automatisoituja yksittäispäätöksiä direktiivin 95/46/EY 15 artiklan nojalla. Siinä olisi otettava yksiselitteisesti käyttöön suojatoimenpiteitä sen takaamiseksi, että rekisteröity olisi tietoinen vastaanottavan toimivaltaisen viranomaisen käynnistämään prosessiin, jonka tavoitteena on tehdä kyseinen päätös, liittyvistä siirroista ja sen olemassaolosta, jotta rekisteröity voisi tosiasiallisesti käyttää vastustamisoikeuttaan.

2.7.2   Asetusehdotuksen mukainen yhteistyö

73.

Asetuksen 34 artiklan 2 kohdassa vahvistetaan, että saatuaan ilmoituksen direktiivin 83 artiklan 5 kohdan mukaisista toimenpiteistä EAMV kirjaa toimenpiteen ja syyt sen toteuttamiseen. EAMV ylläpitää ja julkaisee verkkosivustollaan direktiivin 72 artiklan 1 kohdan f ja g alakohdan mukaisia toimenpiteitä koskevaa tietokantaa, jossa on tiivistelmät voimassa olevista toimenpiteistä, ”mukaan lukien tiedot kyseisestä henkilöstä tai henkilöryhmästä”.

74.

Tällaiseen julkaisutoimintaan liittyy myös henkilötietojen käsittelyä. Tässä tapauksessa voidaan esittää samoja huomautuksia kuin edellä luvussa 2.5, jossa tarkasteltiin seuraamuksien julkistamista. Näyttää siltä, että vaikutustenarvioinnissa ei ole arvioitu, miten tällainen julkaiseminen internetissä vaikuttaa perusoikeuksiin. Euroopan tietosuojavaltuutettu kannustaa näin ollen lainsäätäjää pohtimaan toimenpiteen tosiasiallista tarpeellisuutta ja oikeasuhteisuutta.

2.8   Tietojen vaihtaminen kolmansien maiden kanssa

75.

Euroopan tietosuojavaltuutettu panee merkille viittauksen direktiiviin 95/46/EY, erityisesti sen 4 artiklaan, sekä asetukseen (EY) N:o 45/2001 direktiiviehdotuksen 92 artiklassa.

76.

Ottaen kuitenkin huomioon tällaisiin siirtoihin liittyvät riskit Euroopan tietosuojavaltuutettu suosittelee erityisten takeiden käyttöön ottamista. Niitä ovat esimerkiksi tapauskohtainen arviointi, siirron tarpeellisuuden varmistaminen, se, että toimivaltaisen viranomaisen on varmistettava, että tietoja ei siirretä kolmannelle maalle tai toiselle kolmannelle maalle, jollei sille ole annettu nimenomaista kirjallista lupaa, ja se, että henkilötietoja voidaan siirtää ainoastaan sellaiselle kolmannelle maalle, joka takaa henkilötietojen riittävän suojan.

77.

Sisäpiirikauppoja ja markkinoiden manipulointia koskevan Euroopan parlamentin ja neuvoston asetuksen 23 artikla (40) on hyvä esimerkki asianmukaisia suojatoimenpiteitä sisältävästä määräyksestä.

3.   PÄÄTELMÄT

78.

Euroopan tietosuojavaltuutettu esittää seuraavat suositukset:

Ehdotuksiin sisällytetään keskeinen määräys, jonka sanamuoto kuuluu seuraavasti: ”Toimivaltaisten viranomaisten on sovellettava direktiivin 95/46/EY säännöksiä henkilötietojen käsittelyyn, jota jäsenvaltiot suorittavat tämän asetuksen puitteissa. EAMV soveltaa asetuksen (EY) N:o 45/2001 säännöksiä henkilötietojen käsittelyyn, jota se suorittaa tämän asetuksen puitteissa.”

Korvataan asetusehdotuksen 22 artiklan viiden vuoden pituinen vähimmäissäilytysaika enimmäissäilytysajalla.

Täsmennetään direktiiviehdotuksen 16 artiklan 7 kohdassa, i) miksi puhelinkeskusteluja ja sähköisiä viestejä tallennetaan ja ii) millaisiin puhelinkeskusteluihin ja sähköisiin viesteihin siinä viitataan, samoin kuin se, millaiset keskusteluihin ja viesteihin liittyvät tiedot tallennetaan.

Selvennetään direktiiviehdotuksen 71 artiklan 2 kohdan c alakohdassa, että tutkintavaltuudet rajoittuvat sijoituspalveluyritysten tiloihin eivätkä kata yksityistiloja.

71 artiklan 2 kohdan d alakohtaan, joka koskee valtuuksia pyytää puhelu- ja tietoliikennetietoja, olisi sisällytettävä yleisenä vaatimuksena oikeusviranomaisten antama ennakkolupa sekä vaatimus virallisesta päätöksestä, jossa täsmennetään i) oikeusperusta, ii) pyynnön tarkoitus, iii) mitä tietoja pyydetään, iv) määräaika, jossa tiedot on toimitettava sekä v) vastaanottajan oikeus saattaa päätös unionin tuomioistuimen tarkasteltavaksi.

Selvennetään, mihin puhelu- ja tietoliikennetietojen tallenteisiin 71 artiklan 2 kohdan d alakohdassa viitataan.

Arvioidaan ehdotetun seuraamusten pakollisen julkistamisen järjestelmän tarpeellisuutta ja oikeasuhteisuutta tässä lausunnossa esitettyjen huolten valossa. Tämän tarpeellisuuden ja oikeasuhteisuuden arvioinnin perusteella olisi joka tapauksessa huolehdittava asianmukaisista takeista, jotta varmistetaan syyttömyysolettama, kyseisen henkilön oikeus esittää vastalause, tietoturva ja tietojen paikkansapitävyys sekä niiden poistaminen riittävän ajan kuluttua.

77 artiklan 1 kohtaan i) b alakohtaan olisi lisättävä määräys, että asianomaisten henkilöiden henkilötietoja olisi suojeltava kaikissa menettelyn vaiheissa, paitsi jos niiden paljastamista edellytetään kansallisessa lainsäädännössä lisätutkimuksien tai myöhempien oikeudellisten menettelyjen yhteydessä, ii) olisi lisättävä d alakohta, jossa jäsenvaltioita vaaditaan ottamaan käyttöön asianmukaiset menettelyt, joilla taataan syytetyn henkilön puolustautumisoikeus ja oikeus tulla kuulluksi ennen häntä koskevan päätöksen tekemistä sekä oikeus käyttää oikeussuojakeinoja tuomioistuimessa häntä koskevan päätöksen tai toimenpiteen osalta ja iii) säännöksen c alakohdasta olisi poistettava ”vahvistetut periaatteet”.

Tehty Brysselissä 10 päivänä helmikuuta 2012.

Giovanni BUTTARELLI

Euroopan apulaistietosuojavaltuutettu

(1)  EYVL L 281, 23.11.1995, s. 31.

(2)  EYVL L 8, 12.1.2001, s. 1.

(3)  Euroopan tietosuojavaltuutetun 10. helmikuuta 2012 antamat lausunnot pankkilainsäädännön tarkistamisesta, luottoluokituslaitoksista, rahoitusvälineiden markkinoista (rahoitusvälineiden markkinoista annettu direktiivi/MiFID) ja markkinoiden manipuloinnista annetusta lainsäädäntöpaketista.

(4)  EUVL L 145, 30.4.2004, s. 1.

(5)  Katso asetusehdotuksen johdanto-osan 20, 30 ja 45 kappaleet sekä direktiiviehdotuksen johdanto-osan 41, 43, 69 ja 103 kappaleet.

(6)  COM(2011) 0651.

(7)  Komission ehdotus Euroopan parlamentin ja neuvoston asetukseksi sisäpiirikaupoista ja markkinoiden manipuloinnista, COM(2011) 0651.

(8)  Katso Euroopan tietosuojavaltuutetun 10 päivänä helmikuuta 2012 antama lausunto ehdotuksesta Euroopan parlamentin ja neuvoston asetukseksi sisäpiirikaupoista ja markkinoiden manipuloinnista, COM(2011) 0651.

(9)  CESR:n Euroopan komissiolle rahoitusmarkkinadirektiivin tarkistamisen yhteydessä antamat tekniset neuvot – sijoittajien suojelu ja välittäjät, 29. heinäkuuta 2010, CESR/10-417 s. 7, http://www.esma.europa.eu/system/files/10_417.pdf

(10)  Vaikutustenarviointi, s. 150.

(11)  COM(2011) 0651 final.

(12)  Direktiivin 95/46/EY 6 artiklan 1 kohdan e alakohta.

(13)  Vaikutustenarviointi, s. 150.

(14)  Katso CESR:n toteuttama tutkimus edellä 26 kohdassa.

(15)  COM(2011) 0651.

(16)  Katso Euroopan tietosuojavaltuutetun 10 päivänä helmikuuta 2012 antama lausunto ehdotuksesta Euroopan parlamentin ja neuvoston asetukseksi sisäpiirikaupoista ja markkinoiden manipuloinnista.

(17)  Katso direktiivin 2002/58/EY 6 artiklan 1 kohta (EYVL L 201, 31.7.2002, s. 37).

(18)  Direktiivin 2002/58/EY 15 artiklan 1 kohdan mukaan rajoitusten on oltava ”välttämättömiä, asianmukaisia ja oikeasuhteisia demokraattisen yhteiskunnan toimenpiteitä kansallisen turvallisuuden (valtion turvallisuus) sekä puolustuksen, yleisen turvallisuuden tai rikosten tai sähköisen viestintäjärjestelmän luvattoman käytön torjunnan, tutkinnan, selvittämisen ja syyteharkinnan varmistamiseksi direktiivin 95/46/EY 13 artiklan 1 kohdan mukaisesti. Tätä varten jäsenvaltiot voivat muun muassa hyväksyä lainsäädännöllisiä toimenpiteitä, joissa säädetään tietojen säilyttämisestä sellaiseksi rajoitetuksi ajaksi, joka on perusteltua tässä kohdassa säädetyistä syistä”.

(19)  Katso esimerkiksi yhdistetyt asiat C-92/09 ja C-93/09, Volker und Markus Schecke GbR (C-92/09) ja Hartmut Eifert (C-93/09) v. Land Hessen, ei vielä julkaistu oikeustapauskokoelmassa, tuomion 74 kohta.

(20)  Katso vaikutustenarviointi, s. 42 et seq.

(21)  Katso myös sivu 43 – arvio vähimmäistason yhteensovittamisen vaikutuksesta perusoikeuksiin: tämä vaihtoehto on ristiriidassa EU:n perusoikeuskirjan 7 artiklan (yksityis- ja perhe-elämän kunnioittaminen) ja 8 artiklan (henkilötietojen suoja) sekä mahdollisesti myös 47 artiklan (oikeus tehokkaisiin oikeussuojakeinoihin ja puolueettomaan tuomioistuimeen) ja 48 artiklan (syyttömyysolettama ja oikeus puolustukseen) kanssa. Kyseisessä vaihtoehdossa rajoitetaan näitä lainmukaisia oikeuksia kunnioittaen kuitenkin niiden perusolemusta. Oikeuksia on rajoitettava, jotta saavutetaan yleisen edun mukainen tavoite eli taataan rahoitusmarkkinadirektiivin sääntöjen noudattaminen oikeudenmukaisen ja asianmukaisen liike- ja sijoitustoiminnan suojan varmistamiseksi. Määrättyjen hallinnollisten toimenpiteiden ja seuraamuksien lainmukaisuus edellyttää, että niiden on oltava oikeasuhteisia rikkomukseen nähden sekä noudatettava periaatetta, jonka mukaan henkilöä ei voida syyttää tai rangaista oikeudenkäynnissä kahdesti samasta rikoksesta, syyttömyysolettamaa, oikeutta puolustukseen ja oikeutta tehokkaisiin oikeussuojakeinoihin ja puolueettomaan oikeudenkäyntiin kaikissa oloissa.

(22)  Katso Euroopan tietosuojavaltuutetun 10. helmikuuta 2012 antama lausunto ehdotuksesta direktiiviksi oikeudesta harjoittaa luottolaitostoimintaa sekä luottolaitosten ja sijoituspalveluyritysten vakavaraisuusvalvonnasta ja ehdotuksesta asetukseksi luottolaitosten ja sijoituspalveluyritysten vakavaraisuusvaatimuksista.

(23)  ”Jäsenvaltioiden on varmistettava, että toimivaltaiset viranomaiset hallinnollisten seuraamusten tai toimenpiteiden tyyppiä sekä hallinnollisten taloudellisten seuraamusten tasoa määrittäessään ottavat huomioon kaikki asiaan vaikuttavat olosuhteet, mukaan lukien seuraavat: a) rikkomuksen vakavuus ja ajallinen kesto, b) vastuussa olevan luonnollisen henkilön tai oikeushenkilön syyllisyyden aste, c) vastuussa olevan luonnollisen henkilön tai oikeushenkilön taloudellinen vahvuus vastuussa olevan oikeushenkilön kokonaisliikevaihdon tai vastuussa olevan luonnollisen henkilön vuositulojen perusteella, d) vastuussa olevan luonnollisen henkilön tai oikeushenkilön saamien voittojen tai välttämien tappioiden merkitys siinä määrin kuin ne voidaan todeta, e) rikkomuksen kolmansille osapuolille aiheuttamat tappiot siinä määrin kuin ne voidaan todeta, f) vastuussa olevan luonnollisen henkilön tai oikeushenkilön toimivaltaisen viranomaisen kanssa tekemän yhteistyön määrä, g) vastuussa olevan luonnollisen henkilön tai oikeushenkilön aiemmat rikkomukset.”.

(24)  Yhdistetyt asiat C-92/09 ja C-93/09, Schecke, 56–64 kohta.

(25)  Katso tämän osalta myös Euroopan tietosuojavaltuutetun 15. huhtikuuta 2011 antama lausunto ehdotuksesta Euroopan parlamentin ja neuvoston asetukseksi unionin vuotuiseen talousarvioon sovellettavista varainhoitosäännöistä (EUVL C 215, 21.7.2011, s. 13).

(26)  Katso edellä alaviite 11.

(27)  Direktiiviehdotuksen 74 artiklan mukaisesti, jossa vahvistetaan seuraamusten määrittämisen kriteerit.

(28)  Kansalliset viranomaiset voisivat tarkastella esimerkiksi seuraavia toimenpiteitä: julkistamisen lykkääminen kanteen hylkäämiseen saakka tai, kuten vaikutustenarviointikertomuksessa esitetään, sen selkeä ilmoittaminen, että päätöksestä voidaan valittaa ja että henkilö oletetaan syyttömäksi lopulliseen päätökseen saakka, ja oikaisun julkaiseminen tapauksissa, joissa tuomioistuin kumoaa päätöksen.

(29)  Katso Euroopan tietosuojavaltuutetun 10. huhtikuuta 2007 antama lausunto yhteisen maatalouspolitiikan rahoituksesta (EUVL C 134, 16.6.2007, s. 1).

(30)  Katso tämän osalta Italian tietosuojaviranomaisen julkaisema asiakirja ”Personal Data As Also Contained in Records and Documents by Public Administrative Bodies: Guidelines for Their Processing by Public Bodies in Connection with Web-Based Communication and Dissemination”, joka on saatavilla Italian tietosuojaviranomaisen sivustolta osoitteesta http://www.garanteprivacy.it/garante/doc.jsp?ID=1803707

(31)  Nämä huolet liittyvät myös yleiseen oikeuteen tulla unohdetuksi, minkä sisällyttämisestä henkilötietojen suojaamista koskevaan uuteen lainsäädäntökehykseen keskustellaan parhaillaan.

(32)  Toimenpiteitä ja takeita voivat olla esimerkiksi tietoindeksoinnin poissulkeminen ulkoisissa hakukoneissa.

(33)  Artiklan 29 nojalla perustettu työryhmä julkaisi vuonna 2006 tällaisista järjestelmistä lausunnon, jossa tarkasteltiin ilmiön tietosuojaan liittyviä näkökohtia: EU:n tietosuojasääntöjen soveltamista sisäisiin ilmiantojärjestelmiin kirjanpidon, sisäisten kirjanpitotarkastusten, tilintarkastusten, lahjonnan torjumisen sekä pankki- ja talousrikosten alalla koskeva lausunto 1/2006 (tietosuojatyöryhmän lausunto ilmiantojärjestelmistä). Lausunto on saatavilla 29 artiklan tietosuojatyöryhmän verkkosivuilla osoitteessa http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm

(34)  Katso vaikutustenarviointi, s. 137–138: ”ilmiantojärjestelmien” käyttöön ottamiseen liittyen esille nousee kysymyksiä, jotka koskevat henkilötietojen suojelemista (EU:n perusoikeuskirjan 8 artikla ja SEUT:n 16 artikla) ja EU:n perusoikeuskirjan syyttömyysolettaman ja puolustautumisoikeuden (48 artikla) suojelemista. Tästä syystä ilmiantojärjestelmiä täytäntöön pantaessa on noudatettava ja kunnioitettava EU:n tietosuojaviranomaisten antamia tietosuojaperiaatteita ja -kriteerejä ja varmistettava perusoikeuskirjan noudattamisen takeet.

(35)  Katso esimerkiksi 15. huhtikuuta 2011 annettu lausunto unionin vuotuiseen talousarvioon sovellettavista varainhoitosäännöistä ja 1. kesäkuuta 2011 annettu lausunto Euroopan petostentorjuntaviraston (OLAF) tutkimuksista, jotka ovat molemmat saatavilla osoitteessa http://www.edps.europa.eu

(36)  Euroopan tietosuojavaltuutettu on jo korostanut Euroopan oikeusasiamiehelle 30. heinäkuuta 2010 asiasta 2010-0458 lähettämässään kirjeessä, että on tärkeää salata ilmiantajien henkilöllisyys (saatavilla Euroopan tietosuojavaltuutetun verkkosivuilta osoitteessa http://www.edps.europa.eu). Katso myös Euroopan tietosuojavaltuutetun 23. kesäkuuta 2006 antama lausunto OLAFin sisäisistä tutkimuksista (asia 2005-0418) ja 4. lokakuuta 2007 antama lausunto OLAFin ulkoisista tutkimuksista (asiat 2007-47, 2007-48, 2007-49, 2007-50, 2007-72).

(37)  Katso 15. huhtikuuta 2011 annettu lausunto unionin vuotuiseen talousarvioon sovellettavista varainhoitosäännöistä, saatavilla osoitteessa http://www.edps.europa.eu

(38)  Katso tältä osin Euroopan tietosuojavaltuutetun antamat ohjeet, jotka koskevat henkilötietojen käsittelyä unionin instituutioiden ja elinten toteuttamien hallinnollisten tutkimusten ja kurinpitomenettelyjen yhteydessä, ottaen huomioon tiiviin yhteyden, joka vallitsee tietojen kohteena olevien tahojen oikeuden tutustua asiakirjoihin ja syytettyjen henkilöiden puolustautumisoikeuden välillä (katso s. 8 ja 9): http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Supervision/Guidelines/10-04-23_Guidelines_inquiries_EN.pdf

(39)  Katso 29 artiklan mukaisen työryhmän lausunto ilmiannoista, s. 13–14.

(40)  Komission ehdotuksen Euroopan parlamentin ja neuvoston asetukseksi sisäpiirikaupoista ja markkinoiden manipuloinnista (COM(2011) 0651) 23 artiklassa todetaan:

”1.   Jäsenvaltion toimivaltainen viranomainen voi siirtää henkilötietoja kolmanteen maahan, jos direktiivin 95/46/EY ja erityisesti sen 25 tai 26 artiklan vaatimukset täyttyvät, ja ainoastaan tapauskohtaisesti. Jäsenvaltion toimivaltaisen viranomaisen on varmistettava, että siirto on tarpeen tämän asetuksen soveltamiseksi. Toimivaltaisen viranomaisen on varmistettava, että kyseinen kolmas maa ei siirrä tietoja toiselle kolmannelle maalle, jollei sille ole annettu nimenomaista kirjallista lupaa ja jollei se noudata jäsenvaltion toimivaltaisen viranomaisen määrittämiä ehtoja. Henkilötietoja voidaan siirtää ainoastaan sellaiselle kolmannelle maalle, joka takaa henkilötietojen riittävän suojan.

2.   Jäsenvaltion toimivaltainen viranomainen saa luovuttaa toisen jäsenvaltion toimivaltaiselta viranomaiselta saamansa tiedot kolmannen maan toimivaltaiselle viranomaiselle ainoastaan, jos se on saanut nimenomaisen suostumuksen tiedot toimittaneelta toimivaltaiselta viranomaiselta, ja tietyissä tapauksissa ainoastaan sellaisia tarkoituksia varten, jotka kyseinen toimivaltainen viranomainen on hyväksynyt.

3.   Yhteistyösopimuksessa määrätyssä henkilötietojen vaihdossa on noudatettava direktiiviä 95/46/EY.”.