KOMISSION YKSIKÖIDEN VALMISTELUASIAKIRJA TIIVISTELMÄ VAIKUTUSTEN ARVIOINNISTA /* SEK/2012/073 final */
KOMISSION YKSIKÖIDEN VALMISTELUASIAKIRJA TIIVISTELMÄ VAIKUTUSTEN ARVIOINNISTA Oheisasiakirja Euroopan parlamentin ja neuvoston
asetukseen yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden
tietojen vapaasta liikkuvuudesta (yleinen tietosuoja-asetus)
ja
Euroopan parlamentin ja neuvoston direktiiviin yksilöiden suojelusta
toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä
rikosten torjumista, tutkimista, selvittämistä ja syytteeseenpanoa tai
rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen
vapaasta liikkuvuudesta
1.
Johdanto
Sen jälkeen kun
EU:n nykyinen tietosuojakehys hyväksyttiin vuonna 1995, teknologian ja
yritysmaailman nopea kehitys on tuonut henkilötietojen suojaamiseen uusia
haasteita. Tietoja jaetaan ja kerätään nyt valtavan paljon suuremmassa
mittakaavassa. Teknologian kehityksen ansiosta sekä yksityiset yritykset että
viranomaiset voivat käyttää toiminnassaan henkilötietoja ennennäkemättömän
laajasti. Myös yksityiset ihmiset saattavat yhä useammin henkilötietojaan
julkisuuteen maailmanlaajuisesti, mutta eivät välttämättä täysin tiedosta tähän
liittyviä riskejä. Luottamuksen
rakentaminen verkkoympäristöön on talouden kehityksen kannalta välttämätöntä.
Luottamuksen puute saa kuluttajat epäröimään ostosten tekemistä verkossa ja
uusien palvelujen, kuten sähköisen hallinnon palvelujen, käyttöönottoa. Jos
tätä luottamusvajetta ei saada täytettyä, se hidastaa myös jatkossa uusien
teknologioiden innovatiivisten käyttötapojen kehittämistä, hidastaa
talouskasvua ja estää julkista sektoria saamasta täyttä hyötyä palvelujen
siirtämisestä verkkoon. Lisäksi Lissabonin
sopimuksen voimaantulon myötä on saatu käyttöön uusi oikeusperusta,
SEUT-sopimuksen 16 artikla, jonka ansiosta voidaan omaksua ajanmukainen ja
kattava lähestymistapa tietosuojaan ja henkilötietojen vapaaseen liikkuvuuteen
myös poliisiyhteistyön ja rikosasioissa tehtävän oikeudellisen yhteistyön
alalla.
2.
Ongelman määrittely
Vaikutustenarvioinnissa
esitellään ja analysoidaan kolme pääasiallista ongelmakenttää:
2.1.
Ongelma 1: Sääntöjen hajanaisuuden, oikeudellisen
epävarmuuden ja epäyhtenäisen täytäntöönpanon haittavaikutukset yritysten ja
viranomaisten toiminnalle
Vaikka voimassa olevan tietosuojadirektiivin
tavoitteena on varmistaa tietosuojan yhtenäinen taso EU:ssa, eri
jäsenvaltioiden säännöt poikkeavat edelleen huomattavasti toisistaan. Tämän
vuoksi EU:n rekisterinpitäjät saattavat joutua tekemisiin 27:n eri kansallisen
lainsäädännön asettamien vaatimusten kanssa. Tuloksena on hajanainen oikeudellinen
ympäristö, joka synnyttää oikeudellista epävarmuutta ja johtaa yksilöiden
tietosuojan epäyhdenmukaisuuteen. Tämä on aiheuttanut yrityksille tarpeettomia
kuluja ja hallinnollista rasitusta (perusskenaarion mukaan noin 3
miljardia euroa vuodessa). Se myös vähentää sisämarkkinoilla toimivien
yritysten ja erityisesti pienten ja keskisuurten yritysten halukkuutta
laajentaa toimintaansa yli rajojen. Lisäksi kansallisten tietosuojaviranomaisten
resurssit ja toimivaltuudet vaihtelevat huomattavasti jäsenvaltiosta toiseen.
Tämä tarkoittaa, että viranomaiset eivät aina pysty suorittamaan
lainvalvontatehtäviään tyydyttävästi. Näiden viranomaisten yhteistyö EU:n
tasolla (nykyisen neuvoa-antavan ryhmän eli tietosuojatyöryhmän puitteissa) ei
aina johda yhdenmukaiseen täytäntöönpanoon, minkä vuoksi myös sitä olisi
parannettava.
2.2.
Ongelma 2: Vaikeus valvoa henkilötietojensa käyttöä
Kansallisten tietosuojasääntöjen
epäyhtenäisyyden ja kansallisten tietosuojaviranomaisten vaihtelevien
toimivaltuuksien vuoksi yksilöiden on toisissa jäsenvaltioissa vaikeampi
käyttää tietosuojaa koskevia oikeuksiaan kuin toisissa, etenkin
verkkoympäristössä. Yksilöt ovat myös menettäneet mahdollisuuden
valvoa omia tietojaan jo siksi, että tietoja jaetaan päivittäin niin valtavia
määriä eivätkä asianomaiset aina täysin tiedosta, että heidän tietojaan
kerätään. Vaikka monet eurooppalaiset ovat sitä mieltä, että henkilötietojen
antaminen on nykyään osa normaalia elämää[1],
72 prosenttia internetin käyttäjistä Euroopassa on huolissaan siitä, että
heiltä pyydetään liikaa henkilötietoja verkkoympäristössä, eivätkä he usein
osaa käyttää oikeuksiaan verkkoympäristössä.
2.3.
Ongelma 3: Henkilötietojen suojan puutteellisuus ja
epäyhtenäisyys poliisiyhteistyössä ja rikosasioissa tehtävässä oikeudellisessa
yhteistyössä
Tietosuojadirektiivin
soveltamisala perustuu sisämarkkinoita koskevaan oikeusperustaan, minkä vuoksi
siitä on nimenomaisesti jätetty pois poliisiyhteistyö ja rikosasioissa tehtävä
oikeudellinen yhteistyö. Poliisiyhteistyöhön ja rikosasioissa tehtävään
oikeudelliseen yhteistyöhön liittyvää tietojenkäsittelyä säännellään vuonna
2008 tehdyllä puitepäätöksellä, joka perustuu ennen Lissabonin sopimuksen
voimaantuloa sovellettuun EU:n pilarirakenteeseen. Puitepäätöksen ongelmia ovat
rajoitettu soveltamisala ja monet muut puutteet, jotka usein aiheuttavat
sekä yksilöiden että lainvalvontaviranomaisten kannalta oikeudellista
epävarmuutta ja täytäntöönpanoon liittyviä käytännön hankaluuksia. Sitä paitsi
puitepäätöksellä ei yhtenäistetä yleisiä tietosuojaperiaatteita, vaan siinä
päinvastoin säädetään laajasti mahdollisuuksista poiketa niistä kansallisella
tasolla. Tästä syystä periaatteiden tarkoitus on vaarassa vesittyä, mikä
vaikuttaa kielteisesti henkilötietojen suojaa koskeviin yksilöiden
perusoikeuksiin tällä alalla. Lisäksi poikkeamat vaikeuttavat henkilötietojen
sujuvaa vaihtamista niitä tarvitsevien kansallisten viranomaisten kesken.
3.
Toissijaisuus- ja suhteellisuusperiaatteet
Edellä esitettyjen
ongelmien perusteella toissijaisuusperiaatteen analysointi osoittaa, että EU:n
tason toiminta on tarpeen seuraavista syistä: ·
Oikeus henkilötietojen suojaan vahvistetaan
perusoikeuskirjan 8 artiklassa. EU:n tietosuojasääntöjen hyväksymisen
oikeusperusta on Euroopan unionin toiminnasta tehdyn sopimuksen, jäljempänä
’SEUT-sopimus’, 16 artikla. ·
Henkilötietoja voidaan siirtää yli valtioiden
rajojen, olivatpa kyseessä sitten EU:n sisäiset rajat tai sen ulkorajat, ja
tällaisia siirtoja tehdäänkin tihenevään tahtiin. Lisäksi
tietosuojalainsäädännön täytäntöönpanon valvontaan liittyy käytännön ongelmia.
Jäsenvaltioiden ja niiden viranomaisten olisi tehtävä yhteistyötä, jota olisi
koordinoitava EU:n tasolla, jotta voidaan varmistaa tarvittava yhdenmukaisuus
ja korkeatasoinen suojelu unionissa. ·
Jäsenvaltiot eivät nykytilanteessa voi korjata
näitä puutteita yksinään. Tämä koskee erityisesti niitä puutteita, jotka
johtuvat EU:n tietosuojakehyksen täytäntöönpanoa koskevien kansallisten
lainsäädäntöjen hajanaisuudesta. ·
Jäsenvaltiot voisivat toki toteuttaa toimenpiteitä
sen varmistamiseksi, ettei tätä oikeutta loukata. Lopputulos ei olisi
kuitenkaan yhdenmukainen ilman yhteisiä EU:n sääntöjä, vaan se rajoittaisi
rajatylittäviä henkilötietojen siirtoja. Suunnitellut
toimenpiteet ovat oikeasuhteisia, koska ne on
tarkoitus toteuttaa perussopimuksissa määritellyn unionin toimivallan
puitteissa ja ne ovat tarpeen, jotta voidaan varmistaa EU:n lainsäädännön
yhtenäinen soveltaminen yksilöiden perusoikeuksien tehokkaan ja yhtäläisen
suojelun toteuttamiseksi. Toiminta EU:n tasolla on välttämätöntä, jotta voidaan
edelleen varmistaa tietosuojan uskottavuus ja korkea taso globalisoituvassa
maailmassa ja turvata tietojen vapaa liikkuvuus. Sisämarkkinoiden moitteeton
toiminta edellyttää, että säännöksillä taataan talouden toimijoille tasapuoliset
toimintaedellytykset.
4.
Tavoitteet
Toiminnan kolme päätavoitetta ovat: ·
vahvistaa tietosuojan sisämarkkinaulottuvuutta vähentämällä lainsäädännön hajanaisuutta, lisäämällä yhdenmukaisuutta
ja yksinkertaistamalla sääntely-ympäristöä ja poistamalla siten tarpeettomia
kustannuksia ja keventämällä hallinnollista rasitusta; ·
parantaa tietosuojaa koskevan perusoikeuden
vaikuttavuutta ja antaa yksilöille mahdollisuus valvoa tietojaan; ·
vahvistaa EU:n tietosuojakehyksen yhtenäisyyttä myös poliisiyhteistyön ja rikosasioissa tehtävän oikeudellisen
yhteistyön alalla Lissabonin sopimuksen voimaantulo täysimääräisesti huomioon
ottaen.
5.
Toimintavaihtoehdot
5.1.
Vaihtoehto 1: Muut kuin
lainsäädäntötoimenpiteet
Tämän vaihtoehdon mukaan komissio antaisi tietosuojasääntöjen
tulkintaa koskevia tiedonantoja, kehittäisi teknisiä tukivälineitä
ja myöntäisi rahoitusta – sekä kannustaisi standardointiin ja
itsesääntelyyn – niin että voitaisiin tehostaa rekisterinpitäjien vastuulle
kuuluvaa nykyisten tietosuojasääntöjen käytännön täytäntöönpanoa ja parantaa
yksilöiden tietoisuutta tietosuojaa koskevista kysymyksistä. Komissio
ehdottaisi vain hyvin rajoitettuja lainsäädännön tarkistuksia, joilla
selkeytettäisiin voimassa olevan direktiivin käsitteitä ja säädettäisiin
erityiskysymyksistä, joihin ei voida puuttua tehokkaasti millään muulla
tavalla. Tämä toimintavaihtoehto voisi vaikuttaa ainoastaan ongelmiin 1 ja 2.
Lainsäädännön rajoitetun tarkistamisen
yhteydessä otettaisiin käyttöön läpinäkyvyyden ja tietojen tallentamisen
minimoinnin periaatteet sekä oikeusperusta yritystä koskeville sitoville
säännöille kansainvälisiä tiedonsiirtoja varten.
5.2.
Vaihtoehto 2: Säädöskehyksen uudistaminen
Komission esittämillä säädösehdotuksilla
yhdenmukaistettaisiin aineellisia sääntöjä entistä pidemmälle, selkeytettäisiin
tiettyjä säännöksiä ja puututtaisiin epäjohdonmukaisuuksiin, jotka johtuvat eri
jäsenvaltioiden erilaisista toimintatavoista. Ehdotukset vaikuttaisivat
ongelmiin 1 ja 2, koska ne helpottaisivat tiedonsiirtoja sekä EU:n sisällä
että EU:sta kolmansiin maihin ja selkeyttäisivät ja lujittaisivat
yksilön oikeuksia (mm. tiedonsaantioikeus, oikeus tulla unohdetuksi,
selkeämmät säännöt suostumuksen antamiselle ja tietoturvaloukkauksista
ilmoittamiselle) sekä lisäisivät rekisterinpitäjien ja henkilötietojen
käsittelijöiden vastuullisuutta ja tilivelvollisuutta (mm. säätämällä
velvollisuudesta nimittää tarvittaessa tietosuojavastaava ja tehdä tietosuojaa
koskevia vaikutustenarviointeja). Tämän vaihtoehdon mukaisesti
rekisterinpitäjät saisivat yhden luukun järjestelmän (eli sovellettavia
säädöksiä olisi vain yksi, kuten myös vastuuviranomaisia). Yleistä
ilmoittamisvelvollisuutta yksinkertaistettaisiin (esim. perusrekisteröinti).
Tämä vaihtoehto myös lisäisi tietosuojaviranomaisten riippumattomuutta
ja yhdenmukaistaisi niiden toimivaltuuksia. Tietosuojaviranomaisten
yhteistyötä ja keskinäistä avunantoa lujitettaisiin muun muassa ottamalla
käyttöön ns. yhdenmukaisuusmekanismi, jossa olisivat mukana uusi
Euroopan tietosuojaneuvosto ja komissio. Poliisiyhteistyöhön ja rikosasioissa tehtävään
oikeudelliseen yhteistyöhön liittyvän tietosuojan osalta (ongelma 3) komissio
esittäisi ehdotukset puitepäätöksen korvaamiseksi uudella välineellä, jonka
soveltamisala olisi laajempi ja jossa puututtaisiin tärkeimpiin aukkoihin
ja puutteisiin niin, että voitaisiin lujittaa yksilöiden oikeuksia ja
helpottaa yhteistyötä lainvalvontaviranomaisten välillä sekä ottaa huomioon
lainvalvonnan erityisvaatimukset.
5.3.
Vaihtoehto 3: Yksityiskohtaiset säännöt
EU:n tasolla
Tämä vaihtoehto sisältäisi useimmat
vaihtoehtoon 2 kuuluvat osatekijät sekä paljon yksityiskohtaisemman EU:n
lainsäädännön eri aloilla (esim. terveydenhoidon alalla) ja keskitetyn
EU:n tason valvontaorganisaation (esim. EU:n tietosuojaviranomaisen
perustamisen). Sen myötä luovuttaisiin yleisistä ilmoitusvaatimuksista (lukuun
ottamatta vaatimusta, jonka mukaan riskialtis tietojenkäsittely on
tarkistettava ennalta) ja perustettaisiin tietosuojavaatimukset täyttävien
menettelyjen ja tuotteiden EU:n laajuinen sertifiointijärjestelmä sekä
määriteltäisiin tietosuojasäännösten rikkomisesta määrättävät yhdenmukaiset
EU:n laajuiset rikosoikeudelliset seuraamukset. Suostumus määriteltäisiin
tietojenkäsittelyn ”ensisijaiseksi perusteeksi”. Poliisiyhteistyön ja rikosasioissa tehtävän
oikeudellisen yhteistyön osalta tähän vaihtoehtoon sisältyisi (vaihtoehtoon 2
kuuluvien aineellisten toimenpiteiden lisäksi) yksilöiden tiedonsaantioikeutta
koskevien yksityiskohtaisten sääntöjen laatiminen (tämä oikeus olisi aina
henkilökohtainen). Lisäksi tähän vaihtoehtoon sisältyisi kaikkien kolmanteen
pilariin perustuvien, edelleen voimassa olevien välineiden asiaa koskevien
säännösten tarkistaminen, jotta ne voitaisiin yhdenmukaistaa uusien,
soveltamisalaltaan laajempien yhtenäisten sääntöjen kanssa.
6.
Vaikutusten arviointi
6.1.
Toimintavaihtoehto 1: Muut kuin
lainsäädäntötoimenpiteet
Direktiivin säännösten tulkintaa koskevat
komission tiedonannot eivät olisi sitovia, minkä vuoksi ne vähentäisivät
oikeudellista epävarmuutta ja kustannuksia vain rajoitetusti. EU:n tason
itsesääntelyn lisääminen voisi selkeyttää oikeudellista tilannetta
rekisterinpitäjien kannalta eri aloilla. Se ei kuitenkaan riittäisi
varmistamaan sääntöjen tehokasta ja yhtenäistä soveltamista ilman taustalla
olevaa selkeää ja yhdenmukaista EU:n oikeuskehystä. Valistuskampanjoiden avulla yksilöt saisivat tietoa heille kuuluvista tietosuojaoikeuksista ja
oppisivat käyttämään niitä paremmin. Tämä ei kuitenkaan riittäisi
takaamaan heidän oikeuksiensa toteutumista silloin, kun niitä ei ole selkeästi määritelty
laissa. Läpinäkyvyyttä, tietojen tallentamisen minimointia, tietosuojan tason
riittävyyttä ja yrityksiä koskevia sitovia sääntöjä koskevien periaatteiden
täsmentäminen lainsäädännössä lisäisi yhdenmukaisuutta ja oikeusvarmuutta
sekä yksilöiden että yritysten kannalta. Lainsäädännön täytäntöönpanon osalta komission tiedonannot eivät pystyisi vakuuttamaan jäsenvaltioita
siitä, että niiden olisi muutettava kansallisia sääntöjään, jotta
tietosuojaviranomaisten riippumattomuutta voitaisiin lisätä ja antaa niille
yhtenäiset toimivaltuudet. Tietosuojatyöryhmän koordinointityön tehostaminen ja
tietosuojaviranomaisten välinen tietojenvaihto parantaisivat sääntöjen
täytäntöönpanon yhdenmukaisuutta. Tietosuojaviranomaisten yhteistyön
parantaminen jäisi kuitenkin puolitiehen kansallisten säännösten
sisältöä ja tulkintaa koskevien eroavuuksien takia. Tämän toimintavaihtoehdon odotetut taloudelliset ja rahoitusvaikutukset ovat rajalliset,
ja havaitut ongelmat jäisivät suurelta osin ratkaisematta.
6.2.
Toimintavaihtoehto 2: Säädöskehyksen uudistaminen
Oikeudellinen
epävarmuus vähenee huomattavasti sekä
yksityisten yritysten että viranomaisten kannalta. Ongelmallisiksi
osoittautuneita säännöksiä selkeytetään ja yhtenäisyys paranee, kun
tulkinnanvaraa rajoitetaan ja komissio antaa täytäntöönpanotoimia ja/tai
delegoituja säädöksiä. Kun tietojenkäsittelytoimintaa koskeva yleinen
ilmoitusvelvollisuus korvataan yksinkertaistetulla, yhtenäisellä
rekisteröintijärjestelmällä, jonka yhteydessä säilytetään velvollisuus
tarkistaa ennalta arkaluonteisten tietojen käsittely ja riskialtis
tietojenkäsittely, rekisterinpitäjät vapautuvat velvollisuudesta, jota
sovelletaan nykyään vaihtelevasti. Kun rekisterinpitäjien ja henkilötietojen
käsittelijöiden vastuullisuutta lujitetaan ottamalla käyttöön – tietyissä
tapauksissa ja selkeästi määriteltyjen ja kohdennettujen kynnysarvojen
perusteella – tietosuojavastaavat ja tietosuojaa koskevat vaikutustenarvioinnit
sekä sisäänrakennetun yksityisyydensuojan periaate, on entistä helpompi
varmistaa ja osoittaa, että lainsäädäntöä noudatetaan. Sääntöjen selkeyttäminen ja
yksinkertaistaminen antamalla yksi ainoa säädös, jota sovelletaan kaikkialla
EU:ssa, ja tietosuojaa koskevan yhden luukun järjestelmän käyttöönotto
lujittavat sisämarkkinoita muun muassa siksi, että
tietosuojaviranomaisten hallinnollisia muodollisuuksia koskevat eroavuudet
poistuvat. Näin voidaan saavuttaa noin 2,3 miljardin euron kokonaissäästöt
vuodessa pelkästään hallinnollisen rasituksen kevenemisen ansiosta. Täytäntöönpanon yhdenmukaisuutta edistetään myös lujittamalla ja yhtenäistämällä tietosuojaviranomaisten
toimivaltuuksia ja ottamalla käyttöön vahva yhteistyötä ja keskinäistä
avunantoa tukeva mekanismi sellaisia tilanteita varten, joihin liittyy EU:n
ulottuvuus, ja yhdenmukaistamalla sellaisten rikosten määritelmiä, joista
voidaan määrätä hallinnollisia seuraamuksia. EU:n laajuinen yhdenmukainen velvollisuus
ilmoittaa tietoturvaloukkauksista antaa yksilöille
paremman suojan, takaa yhdenmukaisuuden eri sektoreilla ja auttaa välttämään
kilpailukykyyn kohdistuvat haittavaikutukset. Rekisteröidyn oikeudet ja yksilön
mahdollisuus valvoa omia tietojaan paranevat huomattavasti, kun käyttöön otetaan uusia oikeuksia ja nykyisiä oikeuksia
tehostetaan ja selkeytetään. Lapset hyötyvät toimenpiteistä, joiden avulla
otetaan huomioon heidän haavoittuva asemansa. Erilaiset yhdistykset saavat
enemmän mahdollisuuksia tukea rekisteröityjä näiden oikeuksien käytössä; ne
voivat esimerkiksi panna yksilön puolesta vireille oikeustoimet tuomioistuimessa.
Yleisten tietosuojaperiaatteiden
soveltaminen poliisiyhteistyön ja rikosasioissa tehtävän oikeudellisen
yhteistyön alalla parantaisi EU:n tietosuojakehyksen
yhtenäisyyttä samalla kun otettaisiin huomioon lainvalvonnan
erityisvaatimukset. Yksilön oikeuksia lujittaisi erityisesti se, että
tietosuojasääntöjen soveltamisalaa laajennettaisiin tällä alalla kattamaan myös
yhden jäsenvaltion sisällä tapahtuva tietojenkäsittely. Näin voitaisiin asettaa
edellytykset tiedonsaantioikeuden käytölle ja tiukentaa tietojen
käyttötarkoitusta koskevia sääntöjä. Kun tarkastellaan taloudellisia ja
rahoitusvaikutuksia, yli 250 työntekijää työllistäviä talouden toimijoita
koskeva velvollisuus nimittää tietosuojavastaava ei aiheuta kohtuuttomia
kustannuksia, koska tietosuojavastaavat ovat tällaisissa yrityksissä jo
varsin yleisiä. Tämän velvollisuuden noudattamisesta aiheutuisi vuosittain noin
320 miljoonan euron kustannukset. Toimenpide kattaisi tarvittavan
vähimmäissegmentin rekisterinpitäjistä, sillä se koskisi pieniä ja keskisuuria
yrityksiä vain siinä tapauksessa, että niiden tietojenkäsittelytoimintaan
liittyy huomattavia tietosuojariskejä. Viranomaiset ja julkishallinnon elimet
voisivat organisaatiorakenteensa mukaisesti nimittää useita yksiköitä varten
vain yhden tietosuojavastaavan (joka kattaisi useita aloja, osastoja tai
laitoksia). Kansainvälisiä tiedonsiirtoja koskevien
sääntöjen yksinkertaistaminen (esimerkiksi yrityksiä koskevien sitovien
sääntöjen soveltamisalaa laajentamalla) parantaisi niin ikään EU:n yritysten
kansainvälistä kilpailukykyä. Tietosuojaviranomaisten riippumattomuuden ja
toimivaltuuksien lujittaminen ja jäsenvaltioiden velvoittaminen myöntämään
niille riittävät resurssit aiheuttaisi lisäkustannuksia niille viranomaisille,
joilla ei tällä hetkellä ole riittäviä toimivaltuuksia ja asianmukaisia
resursseja. Tietosuojaviranomaisten yhteistyötä ja
keskinäistä avunantoa koskeva uusi mekanismi aiheuttaisi niin ikään
lisäkustannuksia kansallisille tietosuojaviranomaisille ja Euroopan
tietosuojavaltuutetulle. Esimerkiksi Euroopan tietosuojavaltuutetulle
aiheutuisi lisätyötä tietosuojatyöryhmän korvaavan EU:n tietosuojaneuvoston
sihteeristön tehtävistä ja varsinkin osallistumisesta
yhdenmukaisuusmekanismiin. Tästä syystä tietosuojavaltuutetun nykyisiä resursseja
olisi korotettava keskimäärin kolmella miljoonalla eurolla vuosittain
ensimmäisten kuuden vuoden ajan. Tähän sisältyisivät henkilöstömäärärahat 10
kokoaikaisen työntekijän palkkaamista varten.
6.3.
Toimintavaihtoehto 3: Yksityiskohtaiset säännöt
EU:n tasolla
Uusien
yksityiskohtaisten ja alakohtaisten säännösten antaminen toimintavaihtoehdossa
2 esitettyjen toimien lisäksi vähentäisi jäsenvaltioiden välisiä eroavuuksia
mahdollisimman paljon. Jäsenvaltioille ei kuitenkaan jäisi välttämättä
riittävästi joustovaraa kansallisten erityisolosuhteiden huomioon ottamista
varten. Luopuminen
kaikista ilmoituksista (ennakkotarkastuksia lukuun ottamatta) yksinkertaistaisi
sääntely-ympäristöä huomattavasti ja keventäisi hallinnollista rasitusta. EU:n tietosuojaviraston perustaminen
parantaisi merkittävästi lainsäädännön täytäntöönpanon yhdenmukaisuutta
ja ratkaisisi yhdenmukaisuusongelmat tapauksissa, joihin liittyy selkeä
EU-ulottuvuus. Tällaisen EU:n viraston toimivaltuudet saattaisivat kuitenkin
mennä EU:n lainsäädännön kannalta liian pitkälle. Viraston perustaminen
aiheuttaisi kuitenkin suuret kustannukset EU:n talousarvioon. Myös
rikosoikeudellisten seuraamusten yhtenäistäminen lujittaisi lainsäädännön
täytäntöönpanon yhdenmukaisuutta, mutta se saattaisi niin ikään herättää
jäsenvaltioissa voimakasta vastustusta. Rekisteröityjen ja erityisesti lasten
oikeuksia voitaisiin lujittaa edelleen esimerkiksi sisällyttämällä
arkaluonteisten tietojen määritelmään lasten tiedot sekä biometriset ja
rahoitustiedot. Kanneoikeutta voitaisiin parantaa maksimaalisesti ottamalla
käyttöön oikeus nostaa ryhmäkanteita. Yksilön oikeuksia lujittaisi
todennäköisesti myös rikosoikeudellisten ja muiden seuraamusten yhtenäistäminen
EU:n tasolla. Kaikkien tietosuojasäädösten erillinen
tarkistaminen niin, että yleiset tietosuojasäännökset otettaisiin käyttöön myös
poliisiyhteistyön ja rikosasioissa tehtävän oikeudellisen yhteistyön alalla,
parantaisi sääntöjen yhtenäisyyttä ja johdonmukaisuutta tällä alalla ja
lujittaisi yksilön oikeuksia. Näin radikaali ratkaisu herättäisi kuitenkin
vastustusta jäsenvaltioissa ja olisi poliittisesti vaikeasti toteutettavissa.
7.
Vaihtoehtojen vertailu
Toimintavaihtoehto 1 ei juuri aiheuttaisi sääntöjen
noudattamisesta johtuvia eikä hallinnollisia kustannuksia etenkään yksityisille
rekisterinpitäjille, vaan valtaosan lisäkustannuksista joutuisivat maksamaan
kansalliset ja EU:n viranomaiset. Toisaalta tämä toimintavaihtoehto edistäisi
havaittujen ongelmien ja toimintatavoitteiden saavuttamista vain rajoitetusti.
Poliittisen toteuttamiskelpoisuuden osalta on
todettava, että vaikka ehdotukset eivät ole kiistanalaisia, sidosryhmät
todennäköisesti vastustaisivat tätä toimintavaihtoehtoa, koska sen
soveltamisala ja vaikutus ongelmiin jäävät rajallisiksi, minkä vuoksi sitä ei pidettäisi
kyllin kunnianhimoisena. Toimintavaihtoehto 2 vähentää lainsäädännön hajanaisuutta ja oikeudellista epävarmuutta
merkittävästi. Sen voidaan odottaa edistävän havaittujen ongelmien
korjaamista ja toimintatavoitteiden saavuttamista selvästi paremmin. Tähän
toimintavaihtoehtoon liittyvät lainsäädännön noudattamisesta ja hallinnosta
aiheutuvat kustannukset ovat todennäköisesti kohtuulliset, kun otetaan
huomioon siihen liittyvät edut ja hallinnollisen rasituksen kevenemisestä
johtuvat noin 2,3 miljardin euron vuotuiset säästöt. Tämä on yrityksille
erittäin tärkeää. Tämä vaihtoehto varmistaa kaiken kaikkiaan paremman ja
yhdenmukaisemman lainsäädännön täytäntöönpanon. Ilmoitusten korvaaminen
ottamalla niiden sijasta käyttöön paljon yksinkertaisempi perusrekisteröintijärjestelmä
yksinkertaistaisi niin ikään sääntely-ympäristöä ja keventäisi hallinnollista
rasitusta. Sidosryhmien vastaanoton osalta voidaan
todeta, että talouden toimijat ja viranomaiset suhtautuisivat tähän
vaihtoehtoon yleensä ottaen myönteisesti, koska se vähentäisi niille
lainsäädännön noudattamisesta aiheutuvia kustannuksia, etenkin nykyisestä
hajanaisesta tilanteesta johtuvia kustannuksia. Tietosuojasta vastaavat
toimijat, etenkin tietosuojaviranomaiset, suhtautuisivat tietosuojaoikeuksien
lujittamiseen myönteisesti. Tämä toimintavaihtoehto edistäisi kolmannen
yleistavoitteen toteutumista, sillä sen avulla voitaisiin parantaa
tietosuojasääntöjen yhtenäisyyttä ja johdonmukaisuutta poliisiyhteistyön ja
rikosasioissa tehtävän oikeudellisen yhteistyön alalla kumoamalla
puitepäätös ja mukauttamalla sitä Lissabonin sopimuksen edellyttämällä tavalla,
jolloin voitaisiin tukkia sen säännöksissä olevat aukot ja erityisesti
laajentaa sen soveltamisala kattamaan myös yhden jäsenvaltion sisällä tapahtuva
tietojenkäsittely. Toimintavaihtoehto 3 sisältää useimmat toimintavaihtoehtoon 2 sisältyvät toimet, mutta
menee monessa suhteessa pidemmälle. Sen vuoksi se edistäisi merkittävästi
sekä lainsäädännön hajanaisuudesta johtuvien kustannusten vähentämistä että
yksilön oikeuksien lujittamista. Lisäksi se takaisi entiseen kolmanteen
pilariin perustuvien tietosuojasääntöjen mahdollisimman suuren yhtenäisyyden ja
johdonmukaisuuden ja parantaisi tietosuojanormeja tältä osin. Joidenkin tämän
vaihtoehdon mukaisten toimenpiteiden noudattamisesta aiheutuisi kuitenkin
kohtuuttoman suuria kustannuksia tai toimenpiteet herättäisivät todennäköisesti
voimakasta vastustusta sidosryhmien keskuudessa. Sitä
paitsi kaikkien entiseen kolmanteen pilariin perustuvien välineiden samanaikainen
tarkistaminen olisi erittäin monimutkainen ja poliittisia ristiriitoja
herättävä hanke. Parhaaksi arvioitu vaihtoehto: Parhaaksi arvioitu vaihtoehto muodostuu vaihtoehdosta 2, johon yhdistetään –
ilmoittamisvelvollisuuksien poistaminen vaihtoehdon
3 mukaisesti, ja –
osa vaihtoehtoon 1 sisältyvistä muista kuin
lainsäädäntötoimenpiteistä: yksityisyydensuojaa parantavien teknologioiden ja
sertifiointijärjestelmien käytön tukeminen sekä tiedotuskampanjat. Parhaaksi arvioidun vaihtoehdon avulla voidaan
todennäköisimmin saavuttaa toimintatavoitteet ilman säännösten noudattamisesta
aiheutuvia kohtuuttomia kustannuksia. Sen sijaan hallinnollista rasitusta
voidaan keventää tuntuvasti. Uudistettujen tietosuojasääntöjen
noudattamisesta odotetaan aiheutuvan jonkin verran lisäkustannuksia erityisesti
riskialttiista tietojenkäsittelystä vastaaville rekisterinpitäjille. Vahva
tietosuojakehys tarjoaa kuitenkin EU:n taloudelle kilpailuedun, koska
korkeatasoinen tietosuoja ja odotettavissa oleva tietoturvaloukkausten
väheneminen lisäävät kuluttajien luottamusta. Eurooppalaisille yrityksille voi
olla pitkällä aikavälillä etua siitä, että niitä vaaditaan noudattamaan
korkeatasoisen tietosuojan asettamia vaatimuksia, koska näin niistä voi tulla
yksityisyydensuojaa parantavien teknologioiden tai sisäänrakennettuun
yksityisyydensuojaan liittyvien ratkaisujen alalla maailmanlaajuisesti johtavia
toimijoita, jotka houkuttelevat Euroopan unioniin liiketoimintaa, työpaikkoja
ja pääomaa. Lisäksi tietosuojasäännösten tehostettu yhtenäistäminen
tekee henkilötietojen rajatylittävästä käsittelystä EU:n sisämarkkinoilla
toimivien yritysten kannalta yksinkertaisempaa ja halvempaa. Tämän odotetaan
muodostavan tällaisille yrityksille huomattavan kannustimen laajentaa
rajatylittävää toimintaansa ja hyödyntää sisämarkkinoiden tarjoamia etuja,
mistä hyötyvät sekä kuluttajat että Euroopan talous yleensä. Parhaaksi arvioitu vaihtoehto käsittää tasapainoisen ratkaisun myös
ongelmaan 3, sillä sen myötä lujitetaan yksilön oikeuksia, tukitaan tietosuojan
aukot ja vähennetään sen epäyhtenäisyyttä poliisiyhteistyön ja rikosasioissa
tehtävän oikeudellisen yhteistyön alalla samalla kun helpotetaan
lainvalvontayhteistyötä ja otetaan huomioon tämän alan erityisvaatimukset ja
operatiiviset tarpeet.
8.
Seuranta ja arviointi
Parhaaksi
arvioidun vaihtoehdon vaikutusten seurannassa ja arvioinnissa keskitytään
sellaisiin tekijöihin kuin uudistuksen myötä käyttöön otettujen uusien
välineiden käyttö, kansallisten tietosuojaviranomaisten toimivaltuudet ja
resurssit, tietosuojasäännösten rikkomisesta määrätyt seuraamukset,
rekisterinpitäjien säännösten noudattamiseen käyttämä aika ja tästä aiheutuvat
kustannukset sekä se, miten yksilöiden luottamus heidän henkilötietojensa
suojaan verkkoympäristössä kehittyy. [1] Ks. Erityiseurobarometritutkimus 359 tietosuojasta ja
sähköisestä henkilöllisyydestä Euroopan unionissa: Attitudes on Data
Protection and Electronic Identity in the European Union, kesäkuu 2011, s.
23.