|
19.6.2012 |
FI |
Euroopan unionin virallinen lehti |
C 175/1 |
Euroopan tietosuojavaltuutetun lausunto komission ehdotuksista direktiiviksi oikeudesta harjoittaa luottolaitostoimintaa sekä luottolaitosten ja sijoituspalveluyritysten vakavaraisuusvalvonnasta ja asetukseksi luottolaitosten ja sijoituspalveluyritysten vakavaraisuusvaatimuksista
(2012/C 175/01)
EUROOPAN TIETOSUOJAVALTUUTETTU, joka
ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen ja erityisesti sen 16 artiklan,
ottaa huomioon Euroopan unionin perusoikeuskirjan ja erityisesti sen 7 ja 8 artiklan,
ottaa huomioon yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24 päivänä lokakuuta 1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY (1),
ottaa huomioon yksilöiden suojelusta yhteisöjen toimielinten ja elinten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 18 päivänä joulukuuta 2000 annetun Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 45/2001 (2), ja erityisesti sen 28 artiklan 2 kohdan,
ON ANTANUT SEURAAVAN LAUSUNNON:
1. JOHDANTO
1.1 Euroopan tietosuojavaltuutetun kuuleminen
|
1. |
Tämä lausunto on osa Euroopan tietosuojavaltuutetun samana päivänä antamien rahoitusalaa koskevien neljän lausunnon kokonaisuutta (3). |
|
2. |
Komissio hyväksyi 20 päivänä heinäkuuta 2011 kaksi pankkilainsäädännön tarkistamista koskevaa ehdotusta. Ensimmäinen ehdotus koskee direktiiviä oikeudesta harjoittaa luottolaitostoimintaa sekä luottolaitosten ja sijoituspalveluyritysten vakavaraisuusvalvonnasta (jäljempänä ”direktiiviehdotus”) (4). Toinen ehdotus koskee asetusta luottolaitosten ja sijoituspalveluyritysten vakavaraisuusvaatimuksista (jäljempänä ”asetusehdotus”) (5). Ehdotukset lähetettiin samana päivänä Euroopan tietosuojavaltuutetulle lausuntoa varten. Euroopan unionin neuvosto kuuli Euroopan tietosuojavaltuutettua direktiiviehdotuksesta 18 päivänä marraskuuta 2011. |
|
3. |
Tietosuojavaltuutettua kuultiin epävirallisesti jo ennen asetusehdotuksen hyväksymistä. Euroopan tietosuojavaltuutettu panee merkille, että monet hänen esittämistään huomautuksista on otettu huomioon ehdotuksessa. |
|
4. |
Euroopan tietosuojavaltuutettu pitää myönteisenä sitä, että komissio ja neuvosto ovat pyytäneet häneltä lausuntoa, ja suosittelee, että hyväksyttyjen säädösten johdanto-osaan sisällytetään viittaus tähän lausuntoon. |
1.2 Ehdotusten tavoitteet ja soveltamisala
|
5. |
Ehdotettu lainsäädäntö sisältää kaksi säädöstä. Ne ovat direktiivi oikeudesta harjoittaa luottolaitostoimintaa sekä luottolaitosten ja sijoituspalveluyritysten vakavaraisuusvalvonnasta ja asetus luottolaitosten ja sijoituspalveluyritysten vakavaraisuusvaatimuksista. Ehdotetun tarkistuksen poliittisena tavoitteena on tiivistettynä pankkialan moitteettoman toiminnan varmistaminen ja toimijoiden ja yleisön luottamuksen palauttaminen. Säädösehdotukset korvaavat direktiivin 2006/48/EY ja direktiivin 2006/49/EY, jotka on tarkoitus kumota. |
|
6. |
Ehdotettu direktiivi sisältää uudet säännökset seuraamuksista, tehokkaista hallinnointi- ja ohjausjärjestelmistä sekä siitä, miten estetään liiallinen riippuvuus ulkoisista luottoluokituksista. Ehdotetun direktiivin on tarkoitus saada käyttöön etenkin tehokas ja oikeasuhteinen seuraamusjärjestelmä, hallinnollisten seuraamusten asianmukainen henkilöllinen soveltamisala, seuraamusten julkistaminen sekä mekanismit, joilla kannustetaan ilmoittamaan rikkomuksista. Lisäksi se pyrkii lujittamaan hallinnointi- ja ohjausjärjestelmien oikeudellisia kehyksiä ja vähentämään liiallista riippuvuutta ulkoisista luottoluokituksista (6). |
|
7. |
Asetusehdotus täydentää direktiiviehdotusta säätämällä luottolaitoksiin ja sijoituspalveluyrityksiin suoraan sovellettavista yhdenmukaisista vakavaraisuusvaatimuksista. Kuten perusteluissa todetaan, aloitteen yleisenä tavoitteena on varmistaa, että laitosten pääoman sääntely tehostuu EU:ssa ja että sen haitalliset vaikutukset rahoitusjärjestelmään voidaan pitää kurissa (7). |
1.3 Euroopan tietosuojavaltuutetun lausunnon tavoitteet
|
8. |
Vaikka valtaosa säädösehdotusten säännöksistä liittyy luottolaitosten toimintaan, oikeudellisen kehyksen täytäntöönpano ja soveltaminen voi tietyissä tapauksissa vaikuttaa yksilöiden oikeuksiin henkilötietojen käsittelyn alalla. |
|
9. |
Direktiiviehdotuksen useissa säännöksissä sallitaan tiedonvaihto jäsenvaltioiden ja mahdollisesti kolmansien maiden viranomaisten välillä (8). Tiedot voivat liittyä yksittäisiin henkilöihin, kuten luottolaitosten hallintoelinten jäseniin, luottolaitosten työntekijöihin ja osakkeenomistajiin. Lisäksi direktiiviehdotuksen mukaan toimivaltaiset viranomaiset voivat määrätä seuraamuksia suoraan yksittäisille henkilöille, ja he ovat velvollisia julkistamaan langetetut seuraamukset, rikkomuksesta vastuussa olevien henkilöiden nimet mukaan lukien (9). Jotta rikkomukset havaittaisiin helpommin, ehdotuksessa esitetään, että toimivaltaisten viranomaisten on luotava mekanismit rikkomuksista ilmoittamiseksi (10). Lisäksi asetusehdotus velvoittaa luottolaitokset ja sijoituspalveluyritykset julkistamaan tiedot palkka- ja palkkiopolitiikastaan, mukaan lukien maksettuja määriä koskevat tiedot, jotka on jaoteltu henkilöstöryhmien ja palkkatason mukaan (11). Kaikki nämä säännökset voivat vaikuttaa kyseisten henkilöiden tietosuojaan. |
|
10. |
Edellä esitetyn perusteella tässä lausunnossa keskitytään seuraaviin yksityisyyttä ja tietosuojaa koskeviin näkökohtiin: 1) tietosuojalainsäädännön sovellettavuus, 2) tietojen siirtäminen kolmansiin maihin, 3) salassapitovelvollisuus ja luottamuksellisten tietojen käyttö, 4) seuraamusten julkistamisvelvollisuus, 5) mekanismit rikkomuksista ilmoittamiseksi sekä 6) palkka- ja palkkiopolitiikan julkistamista koskevat vaatimukset. |
2. EHDOTUSTEN ANALYYSI
2.1 Tietosuojalainsäädännön sovellettavuus
|
11. |
Direktiiviehdotuksen johdanto-osan 74 perustelukappaleessa viitataan tietosuojalainsäädännön täysimittaiseen soveltamiseen. Viittaus sovellettavaan tietosuojalainsäädäntöön olisi kuitenkin sisällytettävä ehdotusten aineelliseen artiklaan. Hyvä esimerkki tällaisesta aineellisesta säännöksestä on sisäpiirikaupoista ja markkinoiden manipuloinnista annetun Euroopan parlamentin ja neuvoston asetusehdotuksen 22 artikla (12), jossa säädetään nimenomaisesti, että ehdotuksen puitteissa tehtävään henkilötietojen käsittelyyn sovelletaan direktiiviä 95/46/EY ja asetusta (EY) N:o 45/2001. |
|
12. |
Tämä on erityisen tärkeää esimerkiksi henkilötietojen vaihtoa koskevien eri säännösten yhteydessä. Tällaiset säännökset ovat täysin perusteltuja, mutta niitä on sovellettava yhdenmukaisesti tietosuojalainsäädännön kanssa. On etenkin vältettävä sitä vaaraa, että säännöksillä sallitaan yleisesti kaikentyyppisten henkilötietojen vaihto. Tällaista vaaraa vähennettäisiin merkittävästi sisällyttämällä myös aineellisiin säännöksiin viittaus sovellettavaan tietosuojalainsäädäntöön. |
|
13. |
Euroopan tietosuojavaltuutettu ehdottaa siten, että ehdotukseen lisätään sisäpiirikaupoista ja markkinoiden manipuloinnista annetun Euroopan parlamentin ja neuvoston asetusehdotuksen (13) 22 artiklan kaltainen aineellinen säännös huomioon ottaen Euroopan tietosuojavaltuutetun esittämät asetusehdotusta koskevat ehdotukset (14), jotka koskevat voimassa olevan tietosuojalainsäädännön sovellettavuutta ja direktiiviä 95/46/EY koskevan viittauksen selventämistä säätämällä, että kyseisiä säännöksiä on sovellettava yhdenmukaisesti direktiivin 95/46/EY täytäntöönpanoa koskevien kansallisten sääntöjen kanssa. |
2.2 Tietojen siirtäminen kolmansiin maihin
|
14. |
Direktiiviehdotuksen 48 artiklan mukaan komissio voi toimittaa neuvostolle ehdotuksen sopimusneuvotteluista kolmannen maan kanssa, jotta varmistettaisiin muun muassa, että kolmansien maiden toimivaltaisten viranomaisten on mahdollista saada valvontaa varten tarvittavat tiedot voidakseen valvoa sellaisia emoyrityksiä, joilla on pääkonttori niiden alueella ja tytäryritys yhdessä tai useammassa jäsenvaltiossa. |
|
15. |
Siltä osin kuin tällaiset tiedot sisältävät henkilötietoja, tietojen siirtämiseen kolmansiin maihin, sovelletaan kaikilta osin direktiiviä 95/46/EY ja asetusta (EY) N:o 45/2001. Euroopan tietosuojavaltuutettu ehdottaa, että 48 artiklassa selvennetään, että tällaisissa tapauksissa sopimusten on oltava direktiivin 95/46/EY IV jaksossa ja asetuksessa (EY) N:o 45/2001 säädettyjen henkilötietojen siirtämistä kolmansiin maihin koskevien ehtojen mukaisia. Tämä koskee myös 56 artiklaa, joka koskee kolmansien maiden toimivaltaisten viranomaisten kanssa tehtäviä jäsenvaltioiden ja EPV:n välisiä yhteistyösopimuksia. |
|
16. |
Lisäksi tällaisiin siirtoihin liittyvien riskien vuoksi Euroopan tietosuojavaltuutettu suosittelee erityisten suojatoimien käyttöönottoa, kuten on tehty sisäpiirikaupoista ja markkinoiden manipuloinnista annetun Euroopan parlamentin ja neuvoston asetusehdotuksen 23 artiklassa. Kyseistä ehdotusta koskevassa lausunnossaan Euroopan tietosuojavaltuutettu suhtautuu myönteisesti siihen, että säädöksellä otetaan käyttöön asianmukaiset suojatoimet, joita ovat tapauskohtainen arviointi ja tietojen siirtämisen tarpeellisuuden ja henkilötietojen suojan riittävän tason varmistaminen henkilötiedot vastaanottavassa kolmannessa maassa. |
2.3 Salassapitovelvollisuus ja luottamuksellisen tiedon käyttö
|
17. |
Direktiiviehdotuksen 54 artiklassa todetaan, että toimivaltaisten viranomaisten palveluksessa olevien henkilöiden on noudatettava salassapitovelvollisuutta. Artiklan toisessa alakohdassa kielletään luottamuksellisten tietojen ilmaiseminen ”muutoin kuin tiivistetysti tai kootusti siten, ettei niistä voida tunnistaa yksittäisiä luottolaitoksia [– –].” Sanamuodosta ei käy ilmi, koskeeko kielto myös henkilötietojen ilmaisemista. |
|
18. |
Euroopan tietosuojavaltuutettu suosittelee, että 54 artiklan 1 kohdan toisessa alakohdassa säädettyä luottamuksellisten tietojen ilmaisemista koskevaa kieltoa laajennetaan kattamaan tapaukset, joissa henkilöt (eikä ainoastaan ”yksittäiset luottolaitokset”) voidaan tunnistaa. Toisin sanoen säännös olisi muotoiltava siten, että kielletään luottamuksellisten tietojen ilmaiseminen ”muutoin kuin tiivistetysti tai kootusti siten, ettei niistä voida tunnistaa yksittäisiä luottolaitoksia eikä henkilöitä” (korostus tässä). |
2.4 Seuraamusten julkistamista koskevat säännökset
2.4.1 Seuraamusten pakollinen julkistaminen
|
19. |
Yksi ehdotetun lainsäädäntöpaketin tärkeimmistä tavoitteista on lujittaa ja lähentää jäsenvaltioiden hallinnollisten seuraamusten ja toimenpiteiden oikeudellisia kehyksiä. Direktiiviehdotuksessa säädetään toimivaltaisten viranomaisten toimivallasta määrätä seuraamuksia paitsi luottolaitoksille myös henkilöille, jotka ovat vastuussa rikkomisesta (15). Direktiiviehdotuksen 68 artiklassa velvoitetaan jäsenvaltiot varmistamaan, että toimivaltaiset viranomaiset julkistavat ilman aiheetonta viivytystä kaikki seuraamukset tai toimenpiteet, jotka määrätään asetusehdotuksen säännösten tai direktiiviehdotuksen täytäntöönpanemiseksi annettujen kansallisten säännösten rikkomisesta, mukaan lukien tiedot rikkomuksen tyypistä ja luonteesta sekä rikkomuksesta vastuussa olevien henkilöiden nimet. |
|
20. |
Seuraamusten julkistaminen lisäisi ennalta ehkäisevää vaikutusta, sillä näin todelliset ja mahdolliset rikkomusten tekijät pidättyisivät rikkomuksista maineelle aiheutuvien merkittävien vahinkojen välttämiseksi. Samalla lisättäisiin avoimuutta, sillä markkinatoimijat saisivat tietää tietyn henkilön syyllistyneen rikkomukseen (16). Velvollisuudesta voidaan tinkiä vain, jos julkistaminen aiheuttaisi suhteetonta vahinkoa osapuolille, ja tällöin toimivaltaiset viranomaiset julkistavat seuraamukset ilman nimiä. |
|
21. |
Euroopan tietosuojavaltuutettu ei ole vakuuttunut siitä, että seuraamusten julkistamisvelvollisuus täyttää nykymuodossaan unionin tuomioistuimen asiassa Schecke antamassa tuomiossa esittämät tietosuojalainsäädännön vaatimukset (17). Hän katsoo, ettei toimenpiteen tarkoitusta, tarpeellisuutta ja oikeasuhteisuutta ole osoitettu riittävästi ja että joka tapauksessa olisi pitänyt ottaa huomioon yksilöiden oikeuksia koskevat asianmukaiset suojatoimet. |
2.4.2 Julkistamisen tarpeellisuus ja oikeasuhteisuus
|
22. |
Unionin tuomioistuin kumosi asiassa Schecke antamassaan tuomiossa neuvoston asetuksen ja komission asetuksen säännökset, joissa säädetään maataloustukirahaston tuensaajia koskevien tietojen, tuensaajien nimet ja heidän saamansa tarkat määrät mukaan lukien, julkaisemisesta. Unionin tuomioistuin katsoi, että mainitussa julkaisemisessa on kyse henkilötietojen käsittelystä, joka kuuluu Euroopan unionin perusoikeuskirjan 8 artiklan 2 kohdan soveltamisalaan, ja siksi sillä loukataan perusoikeuskirjan 7 ja 8 artiklassa tunnustettuja oikeuksia. |
|
23. |
Unionin tuomioistuin totesi, että ”henkilötietojen suojaa koskevat poikkeukset ja rajoitukset on toteutettava täysin välttämättömän rajoissa” ja tarkasteli tämän jälkeen julkaisemisen tarkoitusta ja oikeasuhteisuutta. Se katsoi, että tarkastellussa tapauksessa mikään ei osoita, että neuvosto ja komissio olisivat kyseistä lainsäädäntöä antaessaan pohtineet tietojen julkaisemista koskevia sellaisia yksityiskohtaisia sääntöjä, jotka olisivat tällaisen julkaisemisen tavoitteen mukaisia ja joilla samalla loukattaisiin vähemmän näiden tuensaajien oikeutta. |
|
24. |
Puutteet, joita unionin tuomioistuin on korostanut asiassa Schecke antamassaan tuomiossa, näyttävät koskevan myös direktiiviehdotuksen 68 artiklaa. Arvioitaessa, onko henkilötietojen yleistä julkistamista edellyttävä säännös tietosuojavaatimusten mukainen, on ehdottoman tärkeää, että suunniteltu julkistaminen vastaa säännöksen selkeää ja hyvin määriteltyä tarkoitusta. Henkilötietojen julkistamisen tarpeellisuutta ja oikeasuhteisuutta voidaan arvioida ainoastaan selkeää ja hyvin määriteltyä tarkoitusta vasten (18). |
|
25. |
Luettuaan ehdotuksen ja liiteasiakirjat (eli vaikutustenarviointiraportin) Euroopan tietosuojavaltuutettu katsoo, ettei tämän toimenpiteen tarkoitusta ja näin ollen sen tarpeellisuutta ole osoitettu riittävästi. Niistä ei mainita mitään ehdotuksen johdanto-osassa, ja vaikutustenarviointiraportissa todetaan pelkästään, että ”seuraamusten julkistaminen on tärkeä osatekijä sen varmistamisessa, että seuraamuksilla on ennaltaehkäisevä vaikutus niiden kohteisiin, ja tarpeen sen varmistamiseksi, että seuraamuksilla on ennaltaehkäisevä vaikutus suureen yleisöön”. Raportissa ei kuitenkaan tarkastella sitä, olisiko vähemmän rajoittavilla menetelmillä varmistettu sama tulos ennaltaehkäisevän vaikutuksen osalta loukkaamatta kyseisten henkilöiden yksityisyyden suojaa. Raportissa ei selvennetä etenkään, miksi taloudelliset tai muuntyyppiset seuraamukset, joilla ei loukata yksityisyyden suojaa, eivät ole riittäviä. |
|
26. |
Vaikutustenarviointiraportissa ei myöskään oteta riittävästi huomioon vähemmän rajoittavia tietojenjulkaisumenetelmiä, kuten julkistamisen rajoittamista luottolaitosten nimeen tai julkistamistarpeen pohtimista tapauskohtaisesti. Etenkin viimeksi mainittu vaihtoehto vaikuttaisi ensi näkemältä oikeasuhteisemmalta ratkaisulta, etenkin kun pidetään mielessä, että 67 artiklan 2 kohdan a alakohdan mukaan tietojen julkistaminen on sinällään seuraamus ja että 69 artiklassa säädetään, että päättäessään seuraamusten soveltamisesta toimivaltaisten viranomaisten on otettava huomioon merkittävät olosuhteet (tapauskohtainen arviointi), kuten rikkomuksen vakavuus, henkilökohtaisen vastuun aste, aiemmat rikkomukset, kolmansille osapuolille aiheutetut tappiot jne. Direktiiviehdotuksen 68 artiklassa tarkoitettu seuraamusten yleinen julkistamisvelvollisuus on epäjohdonmukainen 67 ja 69 artiklassa säädetyn seuraamusjärjestelmän kanssa. |
|
27. |
Vaikutustenarviointiraportissa selvennetään vain muutamassa kohdassa, miksi tapauskohtaiseen arviointiin perustuva julkistaminen ei ole riittävä vaihtoehto. Siinä todetaan, että jos toimivaltaisten viranomaisten annetaan päättää ”onko julkistaminen asianmukaista”, vähennetään julkistamisen ennaltaehkäisevää vaikutusta (19). Euroopan tietosuojavaltuutettu katsoo kuitenkin, että nimenomaan tämä näkökohta – eli mahdollisuus arvioida tapausta erityisolosuhteiden perusteella – tekee tästä vaihtoehdosta oikeasuhteisemman ja siksi suositeltavan yleiseen julkistamisvelvollisuuteen verrattuna. Harkintavallan ansiosta toimivaltainen viranomainen voisi esimerkiksi jättää tiedot julkistamatta vähäpätöisiä rikkomuksia koskevissa tapauksissa, jos rikkomus ei ole aiheuttanut merkittävää vahinkoa ja jos osapuoli on ollut halukas tekemään yhteistyötä jne. |
2.4.3 Riittävien suojatoimien tarve
|
28. |
Direktiiviehdotuksessa olisi pitänyt ottaa huomioon riittävät suojatoimet, jotta varmistetaan oikea tasapaino asianomaisten etujen välillä. Ensinnäkin suojatoimet ovat välttämättömiä, jotta turvataan syytettyjen henkilöiden oikeus hakea päätökseen muutosta tuomioistuimelta ja syyttömyysolettaman periaate. Direktiiviehdotuksen 68 artikla olisi pitänyt muotoilla siten, että toimivaltaiset viranomaiset velvoitetaan ryhtymään asianmukaisiin toimenpiteisiin sellaisten tilanteiden varalta, että päätöksestä valitetaan ja että tuomioistuin mahdollisesti kumoaa päätöksen (20). |
|
29. |
Toiseksi direktiiviehdotuksen olisi varmistettava, että rekisteröityjen oikeuksia kunnioitetaan ennakoivasti. Euroopan tietosuojavaltuutettu on tyytyväinen siihen, että ehdotuksen lopullisessa versiossa säädetään mahdollisuudesta jättää tiedot julkistamatta, jos siitä aiheutuisi suhteetonta vahinkoa. Ennakoivaa lähestymistapaa sovellettaessa rekisteröidyille annettaisiin etukäteen tietoa siitä, että heitä koskeva päätös seuraamuksista julkistetaan ja että direktiivin 95/46/EY 14 artiklan nojalla heillä on oikeus vastustaa henkilötietojensa käsittelyä huomattavan tärkeiden ja perusteltujen syiden vuoksi (21). |
|
30. |
Kolmanneksi koska direktiiviehdotuksessa ei määritetä, missä välineessä tiedot olisi julkistettava, käytännössä voidaan olettaa, että valtaosa jäsenvaltiosta julkistaa tiedot internetissä. Internet-julkaisuihin liittyy erityisiä kysymyksiä ja riskejä, jotka koskevat etenkin tarvetta varmistaa, ettei tietoa säilytetä verkossa pidempään kuin on välttämätöntä eikä tietoa voida manipuloida tai muuttaa. Lisäksi käytettäessä ulkoisia hakukoneita vaarana on, että tiedot irrotetaan asiayhteydestään ja siirretään verkon ulkopuolelle, jolloin niiden valvominen on vaikeaa (22). |
|
31. |
Edellä esitetyn perusteella on välttämätöntä velvoittaa jäsenvaltiot varmistamaan, että asianomaisten henkilötietoja säilytetään verkossa vain kohtuullisen ajan, jonka jälkeen ne poistetaan järjestelmällisesti (23). Lisäksi jäsenvaltioita on vaadittava ottamaan käyttöön asianmukaiset turvatoimenpiteet ja suojatoimet, etenkin ulkoisiin hakukoneisiin liittyviltä riskeiltä suojelemiseksi (24). |
2.4.4 Julkistamista koskevat päätelmät
|
32. |
Euroopan tietosuojavaltuutettu katsoo, että seuraamusten julkistamisvelvollisuus ei – ainakaan nykymuodossaan – ole yksityisyyden suojaa ja tietosuojaa koskevan perusoikeuden mukainen. Lainsäätäjän olisi arvioitava huolellisesti ehdotetun järjestelmän tarpeellisuutta ja varmistettava, meneekö julkistamisvelvollisuus pidemmälle kuin on tarpeen tavoitellun yleistä etua koskevan tavoitteen saavuttamiseksi ja voidaanko saman tavoitteen saavuttamiseksi turvautua vähemmän rajoittaviin toimenpiteisiin. Tämän oikeasuhteisuuden tarkastelun tuloksen perusteella julkistamisvelvollisuutta olisi joka tapauksessa tuettava riittävin suojatoimin, jotta taataan syyttömyysolettamaa koskevan periaatteen noudattaminen, asianomaisten vastustusoikeus, tietojen turvallisuus/virheettömyys ja tietojen poistaminen asianmukaisen määräajan jälkeen. |
2.5 Rikkomuksista ilmoittaminen
|
33. |
Direktiiviehdotuksen 70 artikla koskee rikkomuksista ilmoittamisen mekanismeja, joita kutsutaan myös ilmiantamisjärjestelmiksi. Vaikka tällaiset järjestelmät voivat varmistaa tehokkaasti vaatimusten noudattamisen, ne herättävät tärkeitä kysymyksiä tietosuojan näkökulmasta (25). Euroopan tietosuojavaltuutettu on tyytyväinen siihen, että ehdotus sisältää erityisiä suojatoimia, joita on määrä kehittää edelleen kansallisella tasolla ja jotka liittyvät epäillyn rikkomuksen paljastavien henkilöiden suojeluun ja yleisesti henkilötietojen suojaamiseen. Euroopan tietosuojavaltuutettu on selvillä siitä, että direktiiviehdotuksessa vahvistetaan vain järjestelmän pääkohdat ja että jäsenvaltiot vastaavat järjestelmän täytäntöönpanosta. Euroopan tietosuojavaltuutettu haluaa kuitenkin kiinnittää huomiota seuraaviin näkökohtiin. |
|
34. |
Samoin kuin muissa lausunnoissaan (26) Euroopan tietosuojavaltuutettu korostaa tässä yhteydessä tarvetta sisällyttää tekstiin erityinen viittaus tarpeeseen varmistaa ilmiantajien ja tietoja antavien henkilöiden henkilöllisyyden salassapitosuoja. Euroopan tietosuojavaltuutettu korostaa kuitenkin, että ilmiantajien asema on arkaluonteinen. On taattava, että tällaisia tietoja antavien henkilöiden henkilöllisyys pysyy salassa etenkin niiltä henkilöiltä, joiden väitetään syyllistyneen rikkomukseen (27). Ilmiantajien henkilöllisyyden salassapitosuoja on taattava menettelyn kaikissa vaiheissa, mikäli tämä ei riko oikeudenkäyntiä koskevia kansallisia sääntöjä. Ilmiantajan henkilöllisyys saatetaan joutua paljastamaan lisätutkimuksissa tai myöhemmissä oikeustoimissa, jotka on aloitettu ilmiantojärjestelmässä toteutetun tutkinnan vuoksi (mukaan lukien tapaukset, joissa ilmiantajan on todettu tekevän pahansuovassa tarkoituksessa väärän ilmiannon) (28). Edellä esitetyn perusteella Euroopan tietosuojavaltuutettu suosittelee, että 70 artiklan 2 kohdan b alakohtaan lisätään seuraava säännös: ”näiden henkilöiden henkilöllisyys on pidettävä salassa menettelyn kaikissa vaiheissa, mikäli kansallisessa lainsäädännössä ei vaadita henkilöllisyyden paljastamista lisätutkimuksissa tai myöhemmissä oikeustoimissa.” |
|
35. |
Euroopan tietosuojavaltuutettu korostaa lisäksi, että on tärkeää laatia asianmukaiset säännöt, jotta turvataan syytettyjen henkilöiden tiedonsaantioikeus, joka liittyy läheisesti puolustautumisoikeuteen (29). Direktiiviehdotuksen 70 artiklan 2 kohdan a alakohdassa tarkoitetuilla erikoismenettelyillä rikkomuksia koskevien ilmoitusten vastaanottamista ja niihin liittyviä jatkotoimia varten olisi varmistettava, että syytettyjen puolustautumisoikeuksia, kuten oikeutta saada tietoa ja tutustua tutkimusaineistoon sekä syyttömyysolettamaa, kunnioitetaan asianmukaisesti ja rajoitetaan vain siinä määrin kuin on tarpeen (30). Euroopan tietosuojavaltuutettu ehdottaa tältä osin, että direktiiviehdotukseen lisätään sisäpiirikaupoista ja markkinoiden manipuloinnista annetun Euroopan parlamentin ja neuvoston asetusehdotuksen 29 artiklan 1 kohdan d alakohdassa esitetty säännös, jossa jäsenvaltioita vaaditaan ottamaan käyttöön ”asianmukaiset menettelyt, joilla taataan syytetyn henkilön puolustautumisoikeus ja oikeus tulla kuulluksi ennen häntä koskevan päätöksen tekemistä sekä oikeus käyttää oikeussuojakeinoja tuomioistuimessa häntä koskevan päätöksen tai toimenpiteen osalta”. |
|
36. |
Lopuksi Euroopan tietosuojavaltuutettu on tyytyväinen siihen, että kyseisen artiklan 2 kohdan c alakohdassa jäsenvaltioita vaaditaan varmistamaan sekä rikkomuksesta syytetyn henkilön että siitä ilmoittavan henkilön henkilötietojen suoja direktiivissä 95/46/EY vahvistettujen periaatteiden mukaisesti. Euroopan tietosuojavaltuutettu ehdottaa kuitenkin, että tekstistä poistetaan ilmaisu ”vahvistetut periaatteet”, jotta direktiiviä koskevasta viittauksesta tehdään kattavampi ja sitovampi. Tarkasteltaessa tarvetta kunnioittaa tietosuojalainsäädäntöä järjestelmien käytännön toteutuksessa Euroopan tietosuojavaltuutettu haluaa korostaa etenkin 29 artiklan mukaisen tietosuojatyöryhmän vuonna 2006 antamassa ilmiantojärjestelmiä koskevassa lausunnossa esittämiä suosituksia. Kun asianomaiset tahot panevat täytäntöön kansallisia järjestelmiä, niiden on pidettävä mielessä muun muassa seuraavat tarpeet: tarve kunnioittaa oikeasuhteisuutta rajoittamalla mahdollisuuksien mukaan niiden henkilöiden ryhmää, jotka ovat oikeutettuja tekemään ilmoituksen ja joista voidaan tehdä ilmoitus, sekä rikkomuksia, joista henkilöitä voidaan syyttää; tarve edistää omalla nimellä esitettyjä ja luottamuksellisia ilmoituksia nimettömien ilmoitusten sijaan; tarve paljastaa ilmiantajan henkilöllisyys, jos ilmianto on tehty pahansuovassa tarkoituksessa, sekä tarve noudattaa tietojen säilyttämistä koskevia tiukkoja määräaikoja. |
3. PÄÄTELMÄT
|
37. |
Euroopan tietosuojavaltuutettu suosittelee seuraavaa:
|
Tehty Brysselissä 10 päivänä helmikuuta 2012.
Giovanni BUTTARELLI
Euroopan apulaistietosuojavaltuutettu
(1) EYVL L 281, 23.11.1995, s. 31.
(2) EYVL L 8, 12.1.2001, s. 1.
(3) Euroopan tietosuojavaltuutetun 10 päivänä helmikuuta 2012 antamat lausunnot pankkilainsäädännön tarkistamista koskevasta lainsäädäntöpaketista, luottoluokituslaitoksista, rahoitusvälineiden markkinoista (rahoitusmarkkinadirektiivi/rahoitusmarkkina-asetus) ja markkinoiden väärinkäytöstä.
(4) KOM(2011) 453.
(5) KOM(2011) 452.
(6) Direktiiviehdotuksen perustelut, s. 2–3.
(7) Asetusehdotuksen perustelut, s. 2–3.
(8) Ks. etenkin direktiiviehdotuksen 24, 48 ja 51 artikla.
(9) Direktiiviehdotuksen 65 artiklan 2 kohta ja 68 artikla.
(10) Direktiiviehdotuksen 70 artikla.
(11) Asetusehdotuksen 435 artikla.
(12) Komission ehdotus Euroopan parlamentin ja neuvoston asetukseksi sisäpiirikaupoista ja markkinoiden manipuloinnista, KOM(2011) 654.
(13) Katso alaviite 12.
(14) Ks. 10 päivänä helmikuuta 2012 annettu lausunto komission ehdotuksista Euroopan parlamentin ja neuvoston asetukseksi sisäpiirikaupoista ja markkinoiden manipuloinnista ja Euroopan parlamentin ja neuvoston direktiiviksi sisäpiirikaupoista ja markkinoiden manipuloinnista määrättävistä rikosoikeudellisista seuraamuksista, KOM(2011) 654.
(15) Seuraamusten henkilöllistä soveltamisalaa selvennetään ehdotetun direktiivin 65 artiklassa, jonka mukaan jäsenvaltioiden on varmistettava, että velvoitteiden koskiessa laitoksia, rahoitusalan holdingyhtiöitä, rahoitusalan sekaholdingyhtiöitä ja monialan holding-yhtiöitä, seuraamuksia voidaan rikkomistapauksessa soveltaa hallintoelimen jäseneen ja keneen tahansa henkilöön, joka on kansallisen lainsäädännön mukaan vastuussa rikkomisesta.
(16) Ks. vaikutustenarviointiraportti, s. 42 ja sitä seuraavat sivut.
(17) Yhdistetyt asiat C-92/09 ja C-93/09, Schecke, kohdat 56–64.
(18) Ks. myös tältä osin Euroopan tietosuojavaltuutetun 15 päivänä huhtikuuta 2011 antama lausunto unionin vuotuiseen talousarvioon sovellettavista varanhoitosäännöistä (EUVL C 215, 21.7.2011, s. 13).
(19) Ks. s. 44–45.
(20) Kansalliset viranomaiset voivat harkita esimerkiksi seuraavia toimenpiteitä: tietojen julkistamista lykätään, kunnes valitus hylätään tai, kuten vaikutustenarviointiraportissa ehdotetaan, ilmoitetaan selkeästi, että päätöstä koskevan valituksen käsittely on edelleen kesken ja että asianomaisen oletetaan olevan syytön, kunnes päätöksestä tulee lopullinen, tai julkaistaan oikaisu, jos tuomioistuin kumoaa päätöksen.
(21) Ks. Euroopan tietosuojavaltuutetun 10 päivänä huhtikuuta 2007 antama lausunto yhteisen maatalouspolitiikan rahoituksesta (EUVL C 134, 16.6.2007, s. 1).
(22) Ks. tältä osin Italian tietosuojaviranomaisten julkaisema asiakirja Personal Data As Also Contained in Records and Documents by Public Administrative Bodies: Guidelines for Their Processing by Public Bodies in Connection with Web-Based Communication and Dissemination, jonka saa Italian tietosuojaviranomaisten verkkosivustolta, http://www.garanteprivacy.it/garante/doc.jsp?ID=1803707
(23) Nämä huolenaiheet liittyvät myös yleiseen oikeuteen tulla unohdetuksi, ja sen sisällyttämistä henkilötietojen suojaa koskevaan uuteen lainsäädäntökehykseen tarkastellaan parhaillaan.
(24) Nämä toimenpiteet ja suojatoimet voivat koskea esimerkiksi ulkoisten hakukoneiden avulla tehtävän tietojen indeksoinnin poissulkemista.
(25) 29 artiklan mukainen tietosuojatyöryhmä antoi vuonna 2006 ilmiantojärjestelmiä koskevan lausunnon, jossa tarkastellaan ilmiön tietosuojaan liittyviä näkökohtia: EU:n tietosuojasääntöjen soveltamista sisäisiin ilmiantojärjestelmiin kirjanpidon, sisäisten kirjanpitotarkastusten, tilintarkastusten, lahjonnan torjumisen sekä pankki- ja talousrikosten alalla koskeva lausunto 1/2006. (Tietosuojatyöryhmän lausunto ilmiantojärjestelmistä). Lausunto on saatavilla 29 artiklan mukaisen tietosuojatyöryhmän verkkosivuilla osoitteessa http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm
(26) Ks. esim. Euroopan tietosuojavaltuutetun lausunto unionin vuotuiseen talousarvioon sovellettavista varanhoitosäännöistä, 15 päivänä huhtikuuta 2011 (EUVL C 215, 21.7.2011, s. 13) ja lausunto Euroopan petostentorjuntaviraston (OLAF) tutkimuksista, 1 päivänä kesäkuuta 2011 (EUVL C 279, 23.9.2011, s. 11).
(27) Euroopan tietosuojavaltuutettu on jo korostanut ilmiantajan henkilöllisyyden salassapidon tärkeyttä Euroopan oikeusasiamiehelle 30. heinäkuuta 2010 lähettämässään kirjeessä tapauksessa 2010-0458, joka on nähtävillä Euroopan tietosuojavaltuutetun verkkosivustolla (http://www.edps.europa.eu). Katso myös Euroopan tietosuojavaltuutetun 23 päivänä kesäkuuta 2006 antama ennakkotarkastuslausunto Euroopan petostentorjuntaviraston (OLAF) sisäisistä tutkimuksista (tapaus 2005-0418) ja 4 päivänä lokakuuta 2007 antama ennakkotarkastuslausunto OLAFin ulkoisista tutkimuksista (tapaukset 2007-47, 2007-48, 2007-49, 2007-50, 2007-72).
(28) Ks. Euroopan tietosuojavaltuutetun 15.4.2011 antama lausunto unionin vuotuiseen talousarvioon sovellettavista varanhoitosäännöistä, saatavilla osoitteessa http://www.edps.europa.eu
(29) Ks. tältä osin Euroopan tietosuojavaltuutetun laatimat suuntaviivat Euroopan unionin toimielinten ja elinten hallinnollisissa tutkimuksissa ja kurinpitomenettelyissä suorittamaa henkilötietojen käsittelyä varten. Suuntaviivoissa korostetaan rekisteröityjen tiedonsaantioikeuden ja syytettyjen henkilöiden puolustautumisoikeuden välistä läheistä suhdetta (ks. s. 8 ja 9) http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Supervision/Guidelines/10-04-23_Guidelines_inquiries_EN.pdf
(30) Ks. 29 artiklan mukaisen tietosuojatyöryhmän lausunto ilmiantamisesta, s. 13–14.
(31) Katso alaviite 12.