Henkilötietojen suojelu

Direktiivi 95/46/EY muodostaa Euroopan tasolla henkilötietojen suojan alan perustan. Sen myötä otetaan käyttöön oikeudellinen kehys, jonka tarkoituksena on luoda tasapaino korkeatasoisen yksityisyyden suojan ja henkilötietojen vapaan liikkuvuuden välillä Euroopan unionissa. Tämän vuoksi direktiivissä vahvistetaan tiukat rajat henkilötietojen keruulle ja käytölle sekä kehotetaan perustamaan kuhunkin jäsenvaltioon riippumaton kansallinen elin, joka vastaa henkilötietojen valvonnasta ja kaikesta niihin liittyvästä käsittelystä.

SÄÄDÖS

Euroopan parlamentin ja neuvoston direktiivi 95/46/EY, annettu 24 päivänä lokakuuta 1995, yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta [EYVL L 281, 23.11.1995] [Ks. muutossäädökset].

TIIVISTELMÄ

Kyseistä direktiiviä sovelletaan automatisoituun tietojenkäsittelyyn (esimerkiksi tietokoneella oleviin asiakasrekistereihin) sekä sellaisten tietojen manuaaliseen käsittelyyn, jotka sisältyvät tai joiden on tarkoitus sisältyä paperiasiakirjoihin.

Direktiiviä ei sovelleta henkilötietojen käsittelyyn, kun

Direktiivillä on tarkoitus suojella yksilöiden henkilötietojen käsittelyyn liittyviä oikeuksia ja vapauksia vahvistamalla pääperiaatteet, joilla voidaan määrittää käsittelyjen laillisuus ja tietojen laatua koskevat periaatteet.

Tietojen käsittely on laillista vain seuraavissa tapauksissa:

Tietojen laatua koskevat periaatteet, joita on noudatettava kaikissa laillisissa tietojenkäsittelytoimissa, ovat seuraavat:

Rekisteröidyllä eli henkilöllä, jonka tietoja käsitellään, seuraavat oikeudet:

Muut tietojenkäsittelyn kannalta olennaiset seikat:

Jokaisella on oltava mahdollisuus käyttää oikeussuojakeinoja, jos kyseessä olevaan käsittelyyn sovellettavien kansallisten säännösten mukaisesti hänelle kuuluvia oikeuksia loukataan. Lisäksi jokaisella, jolle aiheutuu vahinkoa häntä itseään koskevien henkilötietojen laittomasta käsittelystä, on oikeus saada korvaus aiheutuneesta vahingosta.

Henkilötietojen siirto EU:n ulkopuolisiin maihin, joissa taataan tietosuojan riittävä taso, on sallittu. Vaikka tietoja ei voikaan siirtää, ellei riittävää suojausta ole taattu, direktiivissä on lueteltu muutamia poikkeuksia tähän sääntöön, esimerkiksi jos rekisteröity antaa suostumuksensa siirtoon, jos siirto on tarpeen sopimuksen tekemiseksi tai yleisen edun turvaamiseksi, tai jos jäsenvaltio on valtuuttanut sitovia yrityssääntöjä tai vakiosopimuslausekkeita.

Direktiivin tavoitteena on suosia sellaisten kansallisten ja yhteisön käytännesääntöjen laatimista, joiden tarkoituksena on kansallisten ja yhteisön säädösten moitteeton soveltaminen.

Kunkin jäsenvaltion on säädettävä siitä, että jäsenvaltioiden direktiivin mukaisesti toteuttamien toimenpiteiden soveltamista valvoo yksi tai useampi riippumaton julkinen viranomainen sen alueella.

Perustetaan tietosuojatyöryhmä, joka koostuu kansallisten valvontaviranomaisten edustajista, yhteisön toimielinten ja elinten valvontaviranomaisten edustajista sekä komission edustajasta.

VIITTEET

Asiakirja

Voimaantulo

Täytäntöönpanon määräaika jäsenvaltioissa

EUVL

Direktiivi 95/46/EY

13.12.1995

24.10.1998

EYVL L 281, 23.11.1995

Muutossäädökset

Voimaantulo

Täytäntöönpanon määräaika jäsenvaltioissa

EUVL

Asetus (EY) N:o 1882/2003

20.11.2003

-

EUVL 284, 31.10.2003

Neuvoston direktiiviin 95/46/EY tehdyt peräkkäiset muutokset ja korjaukset on sisällytetty perussäädökseen. Konsolidoitu toisinto on tarkoitettu ainoastaan dokumentointitarkoituksiin.

MUUT ASIAAN LIITTYVÄT ASIAKIRJAT

TÄYTÄNTÖÖNPANOKERTOMUS

Komission tiedonanto Euroopan parlamentille ja neuvostolle, annettu 7 päivänä maaliskuuta 2007 ”Tietosuojadirektiivin tehokkaampaa soveltamista koskevan työohjelman seurannasta” [ KOM(2007) 87 lopull. - ei julkaistu EUVL:ssä]

Tiedonannossa tarkasteltiin tietosuojadirektiivin tehokkaampaa soveltamista koskevan työohjelman yhteydessä tehtyä työtä. Tämä työohjelma sisältyy ensimmäiseen direktiiviä 95/46/EY käsittelevään kertomukseen. Komissio totesi, että kaikki jäsenvaltiot ovat panneet direktiivin täytäntöön. Komissio tähdensi, että toistaiseksi direktiiviä ei pitäisi muuttaa.

Lisäksi komissio

Komission kertomus, annettu 15 päivänä toukokuuta 2003, ”Ensimmäinen kertomus tietosuojadirektiivin (95/46/EY) täytäntöönpanosta” [ KOM(2003) 265 lopullinen - ei julkaistu EUVL:ssä].

Kertomuksessa tarkasteltiin erityisesti niiden kuulemisten tuloksia, joita komissio on käynyt viranomaisten, organisaatioiden, yritys- ja kuluttajajärjestöjen sekä kansalaisten kanssa direktiivin 95/46/EY arvioinnista. Kuulemisten tulokset osoittivat, että vain harvat kuulemiseen osallistuneet kannattivat direktiivin muuttamista. Komissio myös otti jäsenvaltioiden kuulemisen jälkeen huomioon sen seikan, että enemmistö jäsenvaltioista ja myös kansallisista valvontaviranomaisista katsoo, ettei direktiivin muutos nykyisellään ole tarpeen.

Vaikka direktiivin saattamisessa osaksi kansallista lainsäädäntöä on aukkoja ja viiveitä, direktiivi on täyttänyt pääasiallisen tavoitteensa poistaa henkilötietojen liikkuvuuden esteet jäsenvaltioiden väliltä. Lisäksi komissio katsoi, että tavoite korkeatasoisen tietosuojan varmistamisesta yhteisössä on saavutettu, koska direktiivissä vahvistetaan maailmanlaajuisesti hyvin korkeatasoiset tietosuojasäännökset.

Muihin sisämarkkinapolitiikan tavoitteisiin ei kuitenkaan ole päästy yhtä hyvin. Tietosuojalainsäädännössä on vielä huomattavia eroja jäsenvaltioiden välillä. Nämä erot estävät monikansallisia organisaatioita kehittämästä yleiseurooppalaista tietosuojapolitiikkaa. Myös komissio ilmoitti siten pyrkivänsä tekemään tarvittavan korjatakseen tämän tilanteen välttäen mahdollisimman pitkälle virallisiin menettelyihin ryhtymisen.

Yleisen tietosuojalainsäädännön noudattamisen yhteydessä EU:ssa on ratkaistava kolme ongelmaa:

Tietosuojadirektiivin paremman soveltamisen varmistamiseksi komissio on hyväksynyt työohjelman, joka sisältää joitakin toimia, jotka on määrä toteuttaa tämän kertomuksen hyväksymispäivän ja vuoden 2004 lopun välillä. Nämä toimet kattavat seuraavat aloitteet:

SÄHKÖISEN VIESTINNÄN TIETOSUOJADIREKTIIVI

Euroopan parlamentin ja neuvoston direktiivi 2002/58/EY , annettu 12 päivänä heinäkuuta 2002, henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla (sähköisen viestinnän tietosuojadirektiivi) [EYVL L 201, 31.7.2002].

Tämä direktiivi hyväksyttiin vuonna 2002 samaan aikaan sähköisen viestinnän alan sääntelemiseksi annetun uuden säädöksen kanssa. Siinä säädetään joistakin varsin arkaluonteisista aiheista, kuten yhteystietojen säilyttämisestä jäsenvaltioiden poliisivalvontatarkoituksiin, ei-toivottujen sähköpostiviestien lähettämisestä, evästeiden (cookies) käytöstä ja henkilökohtaisten tietojen sisällyttämisestä julkisiin luetteloihin.

Asetuksessa (EU) N:o 611/2013 on määritetty yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoajille säännöt tietoturvaloukkausten ilmoittamisesta tapauksissa, joissa heidän asiakkaidensa henkilötiedot katoavat, varastetaan tai muutoin vaarantuvat.

Jos tietoturvaloukkaus tapahtuu ja henkilötiedot vaarantuvat, direktiivin 2002/58/EY mukaan palveluntarjoajien on ilmoitettava toimivaltaisille kansallisille tietoturvaviranomaisille loukkauksesta. Asetuksessa (EU) 611/2013 esitellään ”teknisiä täytäntöönpanotoimenpiteitä”, jotka selventävät näiden velvoitteiden noudattamista.

Palveluntarjoajilta edellytetään muun muassa seuraavaa:

MALLISOPIMUSLAUSEKKEET HENKILÖTIETOJEN KOLMANSIIN MAIHIN SIIRTOA VARTEN

Komission päätös 2004/915/EY , tehty 27 päivänä joulukuuta 2004, päätöksen 2001/497/EY muuttamisesta vaihtoehtoisten mallisopimuslausekkeiden ottamiseksi käyttöön henkilötietojen kolmansiin maihin siirtoa varten [EUVL L 385, 29.12.2004].

Euroopan komissio on hyväksynyt uudet mallisopimuslausekkeet, joita yritykset voivat käyttää riittävien takeiden varmistamiseksi siirrettäessä henkilötietoja EU:sta EU:n ulkopuolisiin maihin. Nämä uudet lausekkeet lisätään niihin, jotka sisältyvät komission kesäkuussa 2001 tekemään päätökseen (ks. jäljempänä).

Komission päätös 2001/497/EY , tehty 15 päivänä kesäkuuta 2001, direktiivin 95/46/EY mukaisista mallisopimuslausekkeista henkilötietojen kolmansiin maihin siirtoa varten [EYVL L 181, 4.7.2001].

Päätöksessä määritellään mallisopimuslausekkeet, jotka takaavat riittävän suojan EU:sta kolmansiin maihin siirrettäville henkilötiedoille. Päätös velvoittaa jäsenvaltiot tunnustamaan, että yritykset ja elimet, jotka käyttävät sopimuksissaan tällaisia lausekkeita henkilötietojen kolmansiin maihin siirtoa varten, takaavat tietosuojan ”riittävän tason”.

Komission päätös 2010/87/EU Euroopan parlamentin ja neuvoston direktiivin 95/46/EY mukaisista mallisopimuslausekkeista henkilötietojen siirtoa varten kolmansiin maihin sijoittautuneille henkilötietojen käsittelijöille [EUVL L 39, 12.2.2010].

Komission päätökset, joilla vahvistetaan tietosuojan riittävä taso useissa kolmansissa maissa 25 (6) artiklan mukaan:Komissio on toistaiseksi todennut, että Andorra, Argentiina, Australia, Kanada (kaupalliset organisaatiot), Sveitsi, Färsaaret, Guernsey, Israel, Mansaari, Jersey, Uusi-Seelanti, Uruguay ja Yhdysvaltojen kauppaministeriön safe harbour -periaatteet tarjoavat riittävän suojan.

TIETOSUOJA YHTEISÖN TOIMIELIMISSÄ JA ELIMISSÄ

Euroopan parlamentin ja neuvoston asetus (EY) N:o 45/2001 , annettu 18 päivänä joulukuuta 2000, yksilöiden suojelusta yhteisöjen toimielinten ja elinten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta [EYVL L 8, 12.1.2001].

Asetuksella pyritään takaamaan henkilötietojen suojelu Euroopan unionin toimielimissä ja elimissä. Tekstissä säädetään

Viimeisin päivitys: 08.03.2014