|
31.7.2012 |
FI |
Euroopan unionin virallinen lehti |
C 229/90 |
Euroopan talous- ja sosiaalikomitean lausunto aiheesta ”Ehdotus Euroopan parlamentin ja neuvoston asetukseksi yksilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta (yleinen tietosuoja-asetus)”
COM(2012) 11 final – 2012/011 COD
2012/C 229/17
Yleisesittelijä: Jorge PEGADO LIZ
Euroopan parlamentti päätti 16. helmikuuta 2012 ja neuvosto 1. maaliskuuta 2012 Euroopan unionin toiminnasta tehdyn sopimuksen 304 artiklan nojalla pyytää Euroopan talous- ja sosiaalikomitean lausunnon aiheesta
Ehdotus – Euroopan parlamentin ja neuvoston asetus yksilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta (yleinen tietosuoja-asetus)
COM(2012) 11 final – 2012/011 COD.
Euroopan talous- ja sosiaalikomitean työvaliokunta päätti 21. helmikuuta 2012 antaa asian valmistelun ”työllisyys, sosiaaliasiat, kansalaisuus” -erityisjaoston tehtäväksi.
Asian kiireellisyyden vuoksi Euroopan talous- ja sosiaalikomitea nimesi 23.–24. toukokuuta 2012 pitämässään 481. täysistunnossa (toukokuun 23. päivän kokouksessa) yleisesittelijäksi Jorge Pegado Lizin ja hyväksyi seuraavan lausunnon. Äänestyksessä annettiin 165 ääntä puolesta ja 34 vastaan 12:n pidättyessä äänestämästä.
1. Päätelmä ja suositukset
|
1.1 |
ETSK suhtautuu myönteisesti komission yleislinjaukseen, hyväksyy ehdotetun toimivaltaperustan ja hyväksyy lähtökohtaisesti ehdotuksen tavoitteet, jotka ovat pitkälti komitean lausunnon mukaisia. Tietosuojan oikeusasemaan liittyen ETSK katsoo, että sisämarkkinoiden puitteissa tapahtuvaa tietojen käsittelyä ja siirtoa on rajoitettava perusoikeuskirjan 8 artiklan ja Euroopan unionin toiminnasta tehdyn sopimuksen 16 artiklan 2 kohdan mukaisella oikeudella henkilötietojen suojaan. |
|
1.2 |
ETSK ei ole päässyt yhteisymmärrykseen siitä, onko asetus paras valinta oikeudelliseksi välineeksi suunniteltuja tavoitteita silmällä pitäen. Komitea pyytääkin komissiota osoittamaan ja perustelemaan paremmin syyt, joiden perusteella tämä väline on direktiiviä parempi tai jopa välttämätön. |
|
1.3 |
ETSK pahoittelee kuitenkin ehdotuksen liian monia poikkeuksia ja rajoituksia, jotka vahingoittavat vahvistettuja periaatteita oikeudesta henkilötietojen suojaan. |
|
1.4 |
ETSK yhtyy uudessa digitaalitalouden toimintaympäristössä komission käsitykseen, jonka mukaan ”yksilöillä on oikeus valvoa tehokkaasti henkilötietojaan”, ja toivoo lisäksi, että tämä oikeus ulotetaan eri käyttöalueisiin, joilla laaditaan yksilöprofiileja useilla eri (laillisilla ja joskus laittomilla) keinoilla kerättyjen tietojen sekä saatujen tietojen käsittelyn pohjalta. |
|
1.5 |
Asetuksella toteutettavan eri alojen yhdenmukaistamisen olisi perusoikeuksien osalta kuitenkin annettava jäsenvaltioille mahdollisuus antaa kansallisessa oikeudessaan säännöksiä, jotka puuttuvat asetuksesta tai ovat siinä säädettyjä säännöksiä myötämielisempiä. |
|
1.6 |
ETSK ei sitä paitsi voi hyväksyä kaikkia lähes systemaattisesti tehtyjä viittauksia delegoituihin säädöksiin, jotka eivät kuulu nimenomaisesti Euroopan unionin toiminnasta tehdyn sopimuksen (SEUT) 290 artiklan soveltamisalaan. |
|
1.7 |
ETSK kannattaa kuitenkin pyrkimystä luoda tehokas institutionaalinen kehys, jolla varmistetaan säännösten tosiasiallinen toimeenpano sekä yrityksissä (tietosuojavastaavat) että jäsenvaltioiden julkisessa hallinnossa (riippumattomat valvontaviranomaiset). ETSK olisi kuitenkin toivonut, että komissio olisi päätynyt kansalaisten todellisia tarpeita ja toiveita paremmin vastaavaan lähestymistapaan, jossa otetaan huomioon tiettyjen talouden ja yhteiskunnan toimialojen luonne. |
|
1.8 |
ETSK katsoo, että asetusehdotukseen on mahdollista tehdä koko joukko parannuksia ja tarkennuksia, ja esittää useista artikloista konkreettisia esimerkkejä, joiden avulla pyritään parantamaan oikeuksien määrittelyä, vahvistamaan yleisesti kansalaisten ja erityisesti työntekijöiden suojelua sekä parantamaan suostumuksen luonteen, tietojenkäsittelyn lainmukaisuuden sekä erityisesti tietosuojavastaavien tehtävien ja työsuhteita koskevien tietojen käsittelyn määrittelyä. |
|
1.9 |
ETSK katsoo lisäksi, että ehdotukseen olisi sisällytettävä käsittelemättä jääneitä aiheita, kuten soveltamisalan laajentaminen, arkaluonteisten tietojen käsittely tai ryhmäkanteet. |
|
1.10 |
ETSK on siten sitä mieltä, että hakukoneet, joiden tuloista valtaosa saadaan käyttäjien henkilötietojen keruun avulla kohdennettavasta mainonnasta tai jopa käyttäjien profiloinnista, on sisällytettävä selvin sanoin asetuksen soveltamisalaan. Tämän pitäisi koskea myös sellaisia palvelimien sivustoja, missä tarjotaan tallennustilaa ja joissakin tapauksissa ohjelmistoja (pilvipalvelut, cloud computing), joilla kerätään tietoja käyttäjistä kaupallisiin tarkoituksiin. |
|
1.11 |
Tämän pitäisi koskea niin ikään sosiaalisissa verkostoissa julkaistuja henkilötietoja. Asianomaisen henkilön olisi voitava tiedonpoisto-oikeuden nojalla muokata verkostossa itseään koskevia tietoja tai poistaa ne tai saada halutessaan poistetuksi henkilökohtainen sivustonsa sekä linkit muihin usein käytettyihin sivustoihin, missä näitä tietoja toistetaan tai kommentoidaan. Asetusehdotuksen 9 artiklaa olisi muutettava tämän suuntaisesti. |
|
1.12 |
ETSK pyytää komissiota tarkistamaan muutamia ehdotuksen näkökohtia, joita komitea ei voi hyväksyä ja jotka koskevat arkaluonteisia kysymyksiä, kuten lasten suojelua, vastustamisoikeutta, profilointia, tiettyjä oikeuksien rajoituksia, 250 työntekijän kynnysmäärää tietosuojavastaavan nimittämiseksi tai ”yhden luukun” järjestelmään sovellettavaa sääntelytapaa. |
2. Johdanto
|
2.1 |
ETSK:lta on pyydetty lausunto ehdotuksesta Euroopan parlamentin ja neuvoston asetukseksi yksilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta (yleinen tietosuoja-asetus) (1). |
|
2.2 |
On kuitenkin huomattava, että ehdotus on osa ”pakettia”, joka käsittää myös alustavan tiedonannon (2), direktiiviehdotuksen (3) sekä komission kertomuksen, jonka se on antanut Euroopan parlamentille, neuvostolle, Euroopan talous- ja sosiaalikomitealle sekä alueiden komitealle 27. marraskuuta 2008 tehdyn neuvoston puitepäätöksen 29 artiklan 2 kohdan perusteella (4). ETSK:lta ei ole pyydetty lausuntoa kaikista säädösehdotuksista vaan ainoastaan asetusehdotuksesta, vaikka lausunto olisi pitänyt pyytää myös direktiiviehdotuksesta. |
|
2.3 |
Asetusehdotuksessa, josta ETSK:lle on esitetty lausuntopyyntö, yhdistyy komission mukaan EU:n kaksi merkittävintä oikeudellispoliittisista ja poliittistaloudellisista suuntaviivaa. |
|
2.3.1 |
Näitä ovat ensinnäkin Euroopan unionin perusoikeuskirjan 8 artikla ja SEUTin 16 artiklan 1 kohta, joissa tietosuoja vahvistetaan suojeltavaksi perusoikeudeksi. Nämä artiklat ovat pohjana Euroopan komission tiedonannoille Tukholman ohjelmasta ja toimintasuunnitelmasta sen toteuttamiseksi (5). |
|
2.3.2 |
Toisen tärkeän suuntaviivan muodostavat Euroopan digitaalistrategia ja yleisemmin Eurooppa 2020 -strategia, joissa suositellaan tietosuojaan liittyvän ”sisämarkkinaulottuvuuden” vahvistamista ja yritysten hallinnollisten rasitteiden keventämistä. |
|
2.4 |
Komission tarkoituksena on ajantasaistaa ja uudenaikaistaa konsolidoituun tietosuojadirektiiviin 95/46/EY kirjatut periaatteet yksityisyyden kunnioittamista koskevien yksilöoikeuksien varmistamiseksi digitaaliyhteiskunnassa ja sen verkostoissa. Tavoitteena on parantaa kansalaisten oikeuksia, vahvistaa EU:n sisämarkkinoita, taata korkea tietosuojan taso kaikilla aloilla (myös rikosoikeudellisessa yhteistyössä), varmistaa tässä tarkoituksessa annettujen säännösten asianmukainen soveltaminen, helpottaa valtioiden rajat ylittävää tietojenkäsittelyä ja laatia yleismaailmalliset tietosuojanormit. |
3. Yleisiä huomioita
|
3.1 |
ETSK yhtyy uudessa digitaalitalouden toimintaympäristössä komission käsitykseen, jonka mukaan ”yksilöillä on oikeus valvoa tehokkaasti henkilötietojaan”, ja toivoo lisäksi, että tämä oikeus ulotetaan eri käyttöalueisiin, joilla laaditaan yksilöprofiileja useilla eri (laillisilla ja joskus laittomilla) keinoilla kerättyjen tietojen sekä saatujen tietojen käsittelyn pohjalta. ETSK on lisäksi sitä mieltä, että perusoikeuskirjan 8 artiklaan sisältyvän henkilötietojen suojan tulee rajoittaa tietojen käsittelyä ja siirtämistä yhtenäismarkkinoilla. Kyse on unionin toimielinoikeuteen ja useimpien jäsenvaltioiden lainsäädäntöön kirjatusta perusoikeudesta. |
|
3.2 |
Perusoikeuskirjaan ja perussopimuksiin sisältyvät perusoikeudet kuuluvat siten kaikille unionin kansalaisille ja asukkaille. Ne tunnustetaan myös jäsenvaltioiden lainsäädännössä ja eräissä tapauksissa jopa niiden perustuslaissa. Muut oikeudet, kuten kuvaa koskeva oikeus tai oikeus yksityisyyden suojaan, täydentävät ja vahvistavat henkilötietojen suojaa. Näiden oikeuksien kunnioittaminen on voitava varmistaa niin, että asianomainen henkilö voi vaatia internetsivustossa olevan henkilökohtaisen profiilinsa tai palvelimen tiedoston muuttamista tai poistamista, ja jos täytäntöönpanosta kieltäydytään, on voitava saada tuomioistuimelta velvoite noudattaa vaatimusta. |
|
3.3 |
Henkilötietoja sisältävien tiedostojen ylläpitäminen on välttämätöntä julkishallinnolle (6), yritysten henkilöstöhallinnolle, kaupallisille palveluille, yhdistyksille ja ammattiliitoille, puolueille sekä sosiaalisille verkkoyhteisöille ja internetin hakukoneiden tarpeisiin, mutta tiedostoihin lainmukaisesti kirjattujen henkilöiden yksityisyyden suojaaminen edellyttää, että näihin eri tarkoituksissa laadittuihin tiedostoihin kootaan ainoastaan tiedostojen tarkoituksen kannalta oleellisia tietoja ja ettei tiedostoja liitetä tieto- ja viestintätekniikoiden avulla toisiinsa ilman syytä tai lain antamaa suojaa. Viranomaisten rajoittamaton pääsy käsiksi kaikkiin tietoihin vaarantaisi kansalaisvapaudet ja yksityisyyden suojan. |
|
3.4 |
Asianomaisilla henkilöillä on oltava oikeus tutustua yksityisoikeudellisten henkilöiden ylläpitämiin tiedostoihin, korjata niitä tai jopa poistattaa ne, kun on kyse markkinointitarkoituksissa laadituista tai sosiaalisten verkkoyhteisöjen tiedostoista. |
|
3.5 |
Julkisen tai yksityisen hallinnon ylläpitämien ja lainmukaiset velvoitteet täyttävien tiedostojen osalta asianomaisilla henkilöillä on oltava oikeus tutustua tiedostoihin, korjata virheellisiä tietoja tai jopa poistattaa tiedot asiakirjojen lainmukaisen säilytysajan päättymisen jälkeen, jos kyseisen henkilön kirjaaminen ei ole enää tarpeen, esimerkiksi rikosrekisteristä poistamisen tai työsuhteen päättymisen takia. |
|
3.6 |
ETSK suhtautuu myönteisesti komission yleislinjaukseen ja toteaa, että konsolidoidun direktiivin 95/46/EY tavoitteet ovat yhä voimassa, mutta 17 vuotta sitten annetun direktiivin perusteellinen tarkistaminen on välttämätöntä, kun otetaan huomioon kaikki digitaalisessa ympäristössä tänä aikana tapahtuneet teknologiset ja sosiaaliset muutokset. Direktiivissä 95/46/EY ei esimerkiksi käsitellä tiettyjä näkökohtia, jotka liittyvät rikoksista rankaisemisesta ja tuomioiden täytäntöönpanosta vastaavien hallintoviranomaisten väliseen rajat ylittävään tietojenvaihtoon poliisi- ja oikeudellisen yhteistyön yhteydessä. Asiaa käsitellään ”tietosuojapakettiin” sisältyvässä direktiiviluonnoksessa, josta ETSK:ta ei kuulla. |
|
3.7 |
ETSK hyväksyy lähtökohtaisesti perusoikeuksien turvaamiseen liittyvät asetusehdotuksen tavoitteet, jotka ovat pitkälti komitean lausunnon (7) mukaisia ja koskevat erityisesti seuraavaa:
|
|
3.8 |
ETSK suhtautuu myönteisesti siihen, että ehdotuksessa korostetaan perusoikeuksien suojelua, ja hyväksyy täysin ehdotetun oikeusperustan, jota käytetään ensimmäistä kertaa lainsäädännössä. ETSK painottaa myös ehdotuksen suurta merkitystä yhtenäismarkkinoiden toteuttamiselle ja sen myönteisiä vaikutuksia Eurooppa 2020 -strategian yhteydessä. Osa ETSK:n jäsenistä, ryhmästä riippumatta, on asetusmuodon valinnan osalta samaa mieltä komission kanssa ja katsoo asetuksen olevan sopivin oikeudellinen väline takaamaan yhtenäisen täytäntöönpanon ja saman korkean tietosuojan toteutumisen kaikissa jäsenvaltioissa. Toiset pitävät direktiiviä välineenä, jonka avulla voitaisiin paremmin varmistaa toissijaisuusperiaatteen toteutuminen ja suojella tietoja paremmin etenkin niissä jäsenvaltioissa, joissa tietosuojan taso on jo nyt komission ehdotuksen määritelmää korkeampi. ETSK on myös tietoinen siitä, että mielipiteet tästä aiheesta vaihtelevat jäsenvaltioidenkin välillä. Niinpä ETSK kehottaa komissiota perustelemaan ehdotuksensa paremmin ja tuomaan selkeämmin esiin ehdotuksen yhteensopivuuden toissijaisuusperiaatteen kanssa sekä ne syyt, joiden vuoksi asetuksen valinta on välttämätön suunniteltujen tavoitteiden saavuttamisen kannalta. |
|
3.8.1 |
Koska asetusta sovelletaan välittömästi ja sellaisenaan kaikissa jäsenvaltioissa eikä sitä tarvitse saattaa osaksi kansallista lainsäädäntöä, ETSK muistuttaa komissiota tarpeesta varmistaa kaikkien kielitoisintojen yhdenmukaisuus; tämä ei toteutunut ehdotuksen osalta. |
|
3.9 |
ETSK:n mielestä ehdotuksessa olisi voitu ensinnäkin suojata tehokkaammin tiettyjä – hyvin runsaslukuisten poikkeusten ja rajoitusten käytännössä kokonaan vesittämiä – oikeuksia. Toiseksi ehdotuksessa olisi pitänyt tasapainottaa eri tahojen oikeudet nykyistä paremmin. Nyt vaarana on nimittäin epäsuhta perusoikeuden muodostavaa tietoturvaa koskevien tavoitteiden ja yhtenäismarkkinoiden tavoitteiden välillä ensiksi mainitun kustannuksella. ETSK yhtyy olennaisilta osin Euroopan tietosuojavaltuutetun lausuntoon. (8) |
|
3.10 |
ETSK olisi toivonut, että komissio olisi päätynyt kansalaisten todellisia tarpeita ja toiveita paremmin vastaavaan lähestymistapaan, jossa otetaan järjestelmällisemmin huomioon tiettyjen talouden ja yhteiskunnan toimialojen, kuten verkkokaupan, suoramarkkinoinnin, työsuhteiden, viranomaisten, valvonnan ja turvatoiminnan sekä DNA-tekniikan, luonne eriyttämällä oikeudellinen järjestelmä näiden hyvin erilaisten, tietojen käsittelyyn liittyvien näkökohtien mukaan. |
|
3.11 |
Mitä tulee ehdotuksen sisältämiin eri säännöksiin (joihin kaikkiin viitataan 86 artiklassa), osa oikeudellisen välineen ja järjestelmän toiminnan kannalta erittäin keskeisistä näkökohdista on sidoksissa tuleviin delegoituihin säädöksiin (26 säädösvallan siirtoa määräämättömäksi ajaksi). ETSK:n näkemyksen mukaan tämä ylittää reilusti SEUTin 290 artiklassa vahvistetut säädösvallan siirron rajat, jotka määritellään Euroopan unionin toiminnasta tehdyn sopimuksen 290 artiklan täytäntöönpanoa käsittelevässä Euroopan komission tiedonannossa (9), mikä vaikuttaa säädöksen oikeusvarmuuteen. ETSK katsoo, että EU:n lainsäätäjä voisi vastata suoraan tietystä määrästä säädösvallan siirtoja. Osa taas voisi kuulua kansallisten valvontaviranomaisten tai niiden EU-tason yhteenliittymän toimivaltaan (10). Näin vahvistettaisiin toissijaisuusperiaatteen toteuttamista ja lisättäisiin oikeusvarmuutta. |
|
3.12 |
ETSK ymmärtää komission perustelut sille, että se keskittyy tässä ehdotuksessa ainoastaan luonnollisten henkilöiden oikeuksiin ehdotuksen erityisen oikeudellisen luonteen vuoksi, mutta komitea kehottaa komissiota kiinnittämään huomiota myös muita, etenkin oikeushenkilöitä koskeviin tietoihin. |
4. Erityisiä huomioita
Myönteiset seikat
4.1 Ehdotus on direktiivin 95/46/EY tarkoituksen ja tavoitteiden mukainen etenkin seuraavilta osin: tietyt määritelmät, tietojen laatua ja lainmukaista tietojen käsittelyä koskevien periaatteiden keskeinen sisältö, erityisiin tietoryhmiin kuuluvien tietojen käsittely sekä tietyt tiedonsaantioikeudet.
4.2 Ehdotus on myönteisen innovatiivinen perustavanlaatuisissa näkökohdissa, jotka koskevat uusia määritelmiä, varsinkin lapsia koskevien suostumusedellytysten tarkempaa määrittelyä ja uusien oikeuksien luokittelua. Näitä oikeuksia ovat muun muassa tietojen korjaus- ja poisto-oikeudet (erityisesti ”digitaalinen tiedonpoisto-oikeus”), vastustamisoikeus ja profilointi, rekisterinpitäjien ja henkilötietojen käsittelijöiden hyvin yksityiskohtaisesti eritellyt velvollisuudet sekä tietoturva ja pääasiassa hallinnollisten seuraamusten yleinen kehys.
4.3 ETSK kannattaa myös ehdotukseen sisältyvää pyrkimystä luoda tehokas institutionaalinen kehys, jolla varmistetaan säännösten tosiasiallinen toimeenpano sekä yrityksissä (tietosuojavastaavat) että jäsenvaltioiden julkisessa hallinnossa (riippumattomat valvontaviranomaiset) sekä yhteistyön vahvistaminen näiden viranomaisten välillä ja komission kanssa (Euroopan tietosuojaneuvoston perustaminen). Komitea huomauttaa kuitenkin, että kansallisten ja osittain alueellisten tietosuojavastaavien toimivaltuudet jäsenvaltioissa on säilytettävä.
4.4 Myönteisiä seikkoja ovat ETSK:n mukaan myös kehotus laatia käytännesäännöt sekä sertifioinnin ja tietosuojasinettien ja -merkkien rooli.
Mahdolliset parannuskohteet
4.5
4.5.1 Artiklan 2 kohdassa säädetyt soveltamisedellytykset ovat liian rajoittavia; muistutettakoon sellaisten lääkeyhtiöiden tapauksesta, joiden kotipaikka sijaitsee Euroopan ulkopuolella ja jotka haluavat kliinisiä kokeita varten käyttää EU:n alueella asuvien henkilöiden kliinisiä tietoja.
4.6
4.6.1 Koko tietosuojan luomisen perustana oleva suostumus olisi määriteltävä tarkemmin sisällöltään ja etenkin ”selkeästi suostumusta ilmaisevan toimen” luonnehdinnan osalta (tämä koskee erityisesti ranskankielistä ilmaisua).
4.6.2 Tiedonsiirron käsite, jota ei ole määritelty lainkaan, olisi määriteltävä 4 artiklassa.
4.6.3 ”Asianmukainen käsittely”, johon 5 artiklan a alakohdassa viitataan, on määriteltävä.
4.6.4 On myös määriteltävä tarkasti, mitä tarkoitetaan ’nimenomaisesti julkisiksi saatetuilla’ tiedoilla (9 artiklan 2 kohdan e alakohta).
4.6.5 Kaikkialla ehdotuksessa esiintyvä profiloinnin käsite on niin ikään määriteltävä.
4.7
4.7.1 Artiklan f alakohdassa mainittu ”rekisterinpitäjän oikeutettu etu”, johon ei viitata edellisissä alakohdissa, on käsitteenä epämääräinen ja subjektiivinen. Sitä olisi tarkennettava itse tekstissä eikä vasta delegoidussa säädöksessä (5 kohta), etenkin kun 4 kohdassa ei mainita f alakohtaa (tämä on tärkeää muun muassa postipalvelujen ja suoramarkkinoinnin kannalta (11)).
4.8
Artiklan 3 kohdassa olisi ilmoitettava, että suostumuksen peruuttaminen estää kaiken tulevan tietojen käsittelyn ja että se vaikuttaa käsittelyn lainmukaisuuteen vasta suostumuksen peruuttamisajankohdasta alkaen.
4.9
4.9.1 Artiklan 4 kohdan b alakohdassa olisi vahvistettava enimmäismääräaika.
4.10
4.10.1 Kaikentyyppisistä tietoturvaloukkauksista ilmoittamiseen liittyy se vaara, että järjestelmän toiminta häiriintyy eikä syyllisiä loppujen lopuksi saada edesvastuuseen.
4.11
4.11.1 Tietosuojavastaavien tehtäviin liittyvät edellytykset olisi määriteltävä nykyistä selkeämmin. Tämä koskee erityisesti irtisanomissuojaa, joka on määriteltävä selkeästi ja jonka on kestettävä pidempään kuin ajanjakso, jonka asianomainen henkilö hoitaa kyseistä tehtävää. Lisäksi tulee määritellä tarkemmin seuraavat: perusedellytykset, joihin on liitettävä selkeät tämän toiminnan harjoittamista koskevat vaatimukset; tietosuojavastaavan vapauttaminen kaikesta vastuusta silloin, kun tämä on ilmoittanut sääntöjenvastaisuuksista työnantajalle tai kansallisille tietosuojaviranomaisille; henkilökunnan edustajien mahdollisuus osallistua suoraan tietosuojavastaavan nimittämiseen sekä edustajien oikeus saada säännöllisesti tietoja (12) havaituista ongelmista ja niiden ratkaisusta. Tehtäväkohtaisia resursseja koskevaa kysymystä olisi niin ikään tarkennettava.
4.12
4.12.1 Sertifioinnin olisi oltava osa komission tehtäviä.
4.13
4.13.1 Ehdotuksen 82 artiklasta puuttuu selkeä viittaus suorituksen arviointiin (jota ei mainita myöskään profilointia käsittelevässä 20 artiklassa). Täsmentämättä jää myös se, sovelletaanko valtuutusta myös tietosuojavaltuutettua koskevien säännösten laatimiseen. Työntekijöitä koskevan profiloinnin kieltoa olisi niin ikään täsmennettävä tietosuojaa koskevan vaikutustenarvioinnin osalta (33 artikla).
4.14
4.14.1 Ilmaus ”– – tässä asetuksessa asetetuissa rajoissa – –” tulisi muuttaa muotoon ”– – tämän asetuksen nojalla – –”.
Puuttuvat seikat, jotka olisi lisättävä asetukseen
4.15
4.15.1 Jäsenvaltioiden olisi eri aloilla tehtävän yhdenmukaistamisen yhteydessä voitava antaa perusoikeuksien osalta kansallisessa oikeudessaan säännöksiä, jotka puuttuvat asetuksesta tai ovat siinä säädettyjä säännöksiä myötämielisempiä, kuten on jo vahvistettu 80–85 artiklassa tarkoitettujen alojen osalta.
4.15.2 Henkilöiden IP-osoitteet olisi asetuksessa sisällytettävä selvästi turvattaviin henkilötietoihin eikä pelkästään johdanto-osan kappaleisiin.
4.15.3 Hakukoneet, jotka saavat pääosan tuloistaan mainonnasta ja keräävät henkilötietoja käyttäjistään kaupallisiin tarkoituksiin, on sisällytettävä asetuksen soveltamisalaan eikä pelkästään johdanto-osan kappaleisiin.
4.15.4 Asetuksessa olisi täsmennettävä, että sosiaaliset verkostot kuuluvat sen soveltamisalaan, eikä pelkästään silloin, kun on kyse kaupallisessa tarkoituksessa tapahtuvasta profiloinnista.
4.15.5 Koska tietyillä valvonta- ja suodatusmenetelmillä pyritään torjumaan väärennöksiä ja koska niillä on tarkoitus profiloida tiettyjä verkonkäyttäjiä, rekisteröidä heidät ja valvoa heidän kaikkia liikkeitään ilman nimenomaista oikeuden lupaa, myös niiden on kuuluttava asetuksen soveltamisalaan.
4.15.6 Olisi lisäksi toivottavaa, että EU:n toimielimet ja elimet velvoitettaisiin noudattamaan asetuksen velvoitteita.
4.16
4.16.1 Paras toimintatapa olisi, että määritellään erityisjärjestelmät tietojen käsittelyn olosuhteiden, tilanteiden ja päämäärien mukaan. Näille aloille on lisättävä profilointikielto.
4.16.2 Tilastollisiin tarkoituksiin käytettävien arkaluonteisten tietojen käsittelyssä tulee soveltaa syrjintäkiellon periaatetta.
4.17
|
— |
henkilöstön edustajien osallistuminen kaikilla kansallisilla ja unionin tasoilla ”yritystä koskevien sitovien sääntöjen” laadintaan; sääntöjen olisi vastedes oltava tietojen kansainvälisen siirron edellytys (43 artikla) |
|
— |
eurooppalaisen yritysneuvoston informointi ja kuuleminen työntekijöitä koskevien tietojen kansainvälisten siirtojen yhteydessä etenkin, kun siirrot suuntautuvat kolmansiin maihin |
|
— |
eurooppalaisten työmarkkinaosapuolten sekä kuluttaja-asioiden tai ihmisoikeuksien puolustamisen parissa toimivien eurooppalaisten kansalaisjärjestöjen informointi ja osallistuminen Euroopan tietosuojaneuvoston jäsenten nimittämiseen; tietosuojaneuvoston on määrä korvata nykyinen 29 artiklan mukainen tietosuojatyöryhmä |
|
— |
näiden työmarkkinaosapuolten ja edellä mainittujen kansalaisjärjestöjen informointi ja osallistuminen kansallisten tietosuojaviranomaisten jäsenten nimittämiseen kansallisella tasolla, mitä ei myöskään ole otettu huomioon. |
4.18
4.18.1 Suurin osa tietosuojaloukkauksista on kollektiivisia: kun tietosuojaloukkaus ilmenee, rikkomus ei kohdistu ainoastaan yhteen henkilöön vaan rekisteröityjen henkilöiden ryhmään tai joukkoon. Yksilöiden tavanomaiset oikeussuojakeinot eivät riitä vastaamaan tämäntyyppisiin loukkauksiin. Vaikka ehdotetun asetuksen 76 artiklalla valtuutetaan kaikki elimet, järjestöt tai yhdistykset, joiden tavoitteena on suojella asianomaisten henkilöiden oikeuksia, aloittamaan 74 ja 75 artiklassa tarkoitetut menettelyt yhden tai useamman henkilön puolesta, näin ei ole vahingonkorvauskanteiden tapauksissa, sillä 77 artiklassa tämä mahdollisuus annetaan ainoastaan yksittäisille henkilöille, eikä siinä sallita kollektiivisia oikeudenkäyntejä tai ryhmäkanteita.
4.18.2 ETSK muistuttaa tämän vuoksi siitä, mitä se on ajanut jo vuosikausia useissa lausunnoissaan, eli kiireellisestä tarpeesta luoda EU:hun yhdenmukaistettu eurooppalainen oikeudellinen ryhmäkanneväline, jollaista tarvitaan monilla EU:n oikeuden aloilla ja jollainen on jo käytössä useissa jäsenvaltioissa.
Seikat, joita ETSK ei voi hyväksyä
4.19
4.19.1 ”Lapsiksi” määritellään kaikki alle 18-vuotiaat henkilöt (4 artiklan 18 kohta) New Yorkin yleissopimuksen mukaisesti, joten ei voida hyväksyä, että 8 artiklan 1 kohdassa 13-vuotiaille lapsille annetaan mahdollisuus ”suostua” henkilötietojensa käsittelyyn.
4.19.2 Vaikka ETSK ymmärtää tarpeen määrittää pk-yrityksiä koskevat erityissäännöt, se ei voi hyväksyä, että komissio voisi delegoidulla säädöksellä yksinkertaisesti vapauttaa pk-yritykset niiden velvollisuudesta noudattaa lasten oikeuksia.
4.20
4.20.1 Myöskään 9 artiklan 2 kohdan a alakohdassa ei ole perusteltua, että lapset voisivat ”suostua” sellaisten henkilötietojensa käsittelyyn, jotka koskevat heidän kansallista alkuperäänsä, poliittisia mielipiteitään, uskonnollista vakaumustaan, terveyttään, seksuaalista käyttäytymistään tai rikostuomioitaan.
4.20.2 Asianomaisten henkilöiden itse vapaaehtoisesti esimerkiksi Facebookissa antamia tietoja ei pidä jättää tietoturvan ulkopuolelle, kuten voidaan päätellä 9 artiklan e alakohdasta, vaan niihin on sovellettava ainakin tiedonpoisto-oikeutta.
4.21
4.21.1 Virkkeen lopussa oleva poikkeus – ”paitsi jos tämä osoittautuu mahdottomaksi tai vaatii kohtuutonta vaivaa” – ei ole perusteltu eikä hyväksyttävä.
4.22
4.22.1 Artiklan 5 kohdan b alakohtaan sisältyvää vastaavanlaista poikkeusta ei niin ikään voida hyväksyä.
4.23
4.23.1 Poikkeukseksi tarkoitettu epämääräinen ilmaisu ”pakottava perusteltu syy” ei ole hyväksyttävä ja tekee tyhjäksi oikeuden vastustaa henkilötietojen käsittelyä.
4.24
4.24.1 Profiloinnin kieltämistä ei pidä rajoittaa ”automatisoituun” tietojenkäsittelyyn (13).
4.24.2 Artiklan 2 kohdan a alakohtaan sisältyvä ilmaus ”– – toteutettu asianmukaiset toimenpiteet – –” on korvattava ilmauksella ”– – otettu käyttöön asianmukaiset toimenpiteet – –”.
4.25
4.25.1 Artiklan 1 kohdan c alakohdan sanamuotoa ei voida mitenkään hyväksyä, koska se sisältää epämääräisiä ja tarkemmin määrittelemättömiä ilmauksia kuten ”taloudellinen tai rahoituksellinen etu”, ”talousarviota, rahaa tai verotusta koskevat asiat” sekä ”markkinoiden vakaus ja eheys”, joista viimeksi mainittu on lisätty direktiiviin 95/46/EY.
4.26
4.26.1 Tiettyjen turvasäännösten, kuten tietosuojavastaavaa koskevien säännösten, sovellettavuuden määrittävä 250 työntekijän kynnysmäärä johtaisi siihen, että vain hieman alle 40 prosenttia palkansaajista voisi hyötyä säännöksestä. Dokumentointivelvollisuuteen liitettynä sama kynnysmäärä aiheuttaisi sen, että palkansaajien enemmistö menettäisi kaikki mahdollisuudet valvoa henkilötietojensa käyttöä, jolloin valvontaa ei enää olisi lainkaan. ETSK kehottaa harkitsemaan mahdollisuutta soveltaa matalampaa kynnystä, joka vastaisi esimerkiksi sitä määrää työntekijöitä, joka hyväksytään yleensä jäsenvaltioissa henkilöstön edustuksen kokoonpanossa. Voitaisiin myös harkita jotakin muuta objektiivisiin kriteereihin perustuvaa lähestymistapaa, jossa lähtökohtana olisi esimerkiksi tietyn ajanjakson kuluessa käsiteltyjen tietoturva-asioiden määrä yrityksen tai palvelun koosta riippumatta.
4.27
4.27.1 Niin sanottu yhden luukun periaate on luotu helpottamaan yritysten toimintaa ja tehostamaan tietosuojajärjestelmiä, mutta se saattaa huonontaa merkittävästi yleensä kansalaisia koskevien tietojen suojaa ja erityisesti työntekijöiden henkilötietosuojaa, mikä tekisi tyhjäksi nykyisen velvollisuuden varmistaa, että henkilötietojen siirroista tehdään yrityskohtainen sopimus ja että kansallinen tietosuojalautakunta (14) on hyväksynyt ne.
4.27.2 Järjestelmä näyttää lisäksi olevan vastoin lähihallinnoinnin tavoitetta, ja se saattaa viedä kansalaisilta mahdollisuuden saada valituksensa lähimmän ja helpoimmin lähestyttävän valvontaviranomaisen käsiteltäväksi.
4.27.3 Näin ollen voidaan pitää perusteltuna säilyttää toimivalta valituksen tekijän asuinjäsenvaltion viranomaisella.
Bryssel 23. toukokuuta 2012
Euroopan talous- ja sosiaalikomitean puheenjohtaja
Staffan NILSSON
(1) COM(2012) 11 final.
(2) COM(2012) 9 final.
(3) COM(2012) 10 final.
(4) COM(2012) 12 final.
(5) Näissä tiedonannoissa painotetaan, että EU:n ”on kehitettävä kattava järjestelmä henkilötietojen suojaamiseksi kaikilla unionin toimivaltaan kuuluvilla aloilla” sekä ”varmistettava, että tietosuojaa koskevaa perusoikeutta noudatetaan johdonmukaisesti” niin, että luonnolliset henkilöt voivat tosiasiallisesti valvoa itseään koskevien tietojen käyttöä.
(6) Ks. ETSK:n lausunto CESE aiheesta ”Julkisen sektorin hallussa olevien tietojen uudelleenkäyttö”, EUVL C 191, 29.6.2012, s. 129.
(7) Ks. ETSK:n lausunto, EUVL C 248, 25.8.2011, s. 123.
(8) Euroopan tietosuojavaltuutetun 7. maaliskuuta 2012 antama lausunto tietosuojapaketista.
(9) COM(2009) 673 final, 9.12.2009.
(10) Vrt. Ranskan senaatin esittämä vastalause toissijaisuusperiaatteen loukkaamisesta.
(11) Suorasta kirjemarkkinoinnista olisi saatava tarkempaa tietoa, sillä asetuksen soveltaminen sellaisenaan johtaisi suoran kirjemarkkinoinnin kieltämiseen, vaikka se on varsin tahdikas ja kohdennettu keino etsiä uusia asiakkaita.
(12) Voidaan esimerkiksi laatia säännöllisesti tietosuojavastaavan toimintakertomus ja toimittaa se henkilökunnan edustajille tai palkansaajien edustajille hallintoneuvostossa taikka kansallisessa ja/tai Euroopan tason valvontaneuvostossa, mikäli sellaisia on.
(13) Ks. Euroopan neuvoston ministerikomitean 23. marraskuuta 2010 antama suositus CM/Rec(2010)13.
(14) Erityisesti mainitaan henkilörekistereiden perustamisen sallimisesta ja valvomisesta vastaavat riippumattomat hallintoviranomaiset, joiden toimivaltaa olisi päinvastoin laajennettava digitaalisessa yhteiskunnassa ja sosiaalisissa verkostoissa, kun otetaan huomioon yksilöprofiilien vaihtoarvo markkinoinnissa.
LIITE
Euroopan talous- ja sosiaalikomitean lausuntoon
Seuraava muutosehdotus, joka sai äänestyksessä tuekseen vähintään neljänneksen annetuista äänistä, hylättiin keskustelussa (työjärjestyksen 54 artiklan 3 kohta):
Poistetaan kohdat 4.25 ja 4.25.1.
|
” |
| ” |
Äänestystulos
|
Puolesta |
: |
87 |
|
Vastaan |
: |
89 |
|
Pidättyi äänestämästä |
: |
26 |