25.10.2008   

FI

Euroopan unionin virallinen lehti

C 270/1

1.

Sisämarkkinoiden tietojenvaihtojärjestelmä (IMI) on tietotekniikan väline, jonka avulla jäsenvaltioiden toimivaltaiset viranomaiset voivat vaihtaa tietoja keskenään pannessaan täytäntöön sisämarkkinoita koskevaa lainsäädäntöä. IMI rahoitetaan HVTYK-ohjelmasta (yleiseurooppalaisten sähköisten viranomaispalveluiden yhteentoimiva toimittaminen julkishallinnolle, yrityksille ja kansalaisille) (1).

2.

IMI on suunniteltu yleiseksi järjestelmäksi, jolla tuetaan monia sisämarkkinalainsäädännön aloja, ja sen käyttöä on tarkoitus tulevaisuudessa laajentaa tukemaan useitakin lainsäädäntöaloja. Alussa IMI:ä käytetään direktiivin 2005/36/EY (direktiivi ammattipätevyyden tunnustamisesta) (2) keskinäistä avunantoa koskevien säännösten tukemiseen. Joulukuusta 2009 alkaen IMI:ä käytetään myös direktiivin 2006/123/EY (palveludirektiivi) hallinnollista yhteistyötä koskevien säännösten tukemiseen (3).

3.

Keväällä 2007 Euroopan komissio pyysi 29 artiklan mukaiselta tietosuojatyöryhmältä lausuntoa IMI:n tietosuojavaikutuksista. 29 artiklan mukainen tietosuojatyöryhmä antoi lausuntonsa IMI:in liittyvistä tietosuojan näkökohdista 20. syyskuuta 2007 (4). Työryhmän lausunnossa kannatetaan komission aikomusta tehdä päätös, jolla säännellään IMI:n tietosuojanäkökohtia, ja antaa täsmällisempi oikeusperusta tietojenvaihdolle IMI:n puitteissa.

4.

Euroopan tietosuojavaltuutettu on tyytyväinen siihen, että komissio pyysi 29 artiklan mukaisen tietosuojatyöryhmän lausuntoa ennen IMI-päätöksen luonnostelua. Euroopan tietosuojavaltuutettu osallistui aktiivisesti IMI:ä käsittelevän alatyöryhmän työskentelyyn ja kannattaa 29 artiklan mukaisen tietosuojatyöryhmän lausunnossa esitettyjä päätelmiä. Lisäksi hän on tyytyväinen siihen, että komissio kuuli epävirallisesti Euroopan tietosuojavaltuutettua ennen IMI-päätöksen tekemistä. Tämä tarjosi mahdollisuuden tehdä ehdotuksia jo ennen päätöksen tekemistä, mikä oli erityisen tarpeellista siksi, että menettely koski komission omaa päätöstä eikä sellaista komission ehdotusta, jota seuraisi neuvoston ja Euroopan parlamentin lainsäädäntömenettely.

5.

Komissio teki 12. joulukuuta 2007 päätöksensä 2008/49/EY sisämarkkinoiden tietojenvaihtojärjestelmän (IMI) täytäntöönpanosta henkilötietojen suojelun osalta (IMI-päätös). Päätöksessä otettiin huomioon joitakin Euroopan tietosuojavaltuutetun ja 29 artiklan mukaisen tietosuojatyöryhmän suosituksia. Lisäksi siinä täsmennettiin oikeusperusta.

6.

Euroopan tietosuojavaltuutetun yleinen näkemys IMI:stä on myönteinen. Tietosuojavaltuutettu tukee tietojenvaihtoon tarkoitetun sähköisen järjestelmän perustamiseen ja sen tietosuojanäkökohtien sääntelyyn liittyviä komission tavoitteita. Tällaisen rationalisoidun järjestelmän avulla voidaan sekä tehostaa yhteistyötä että myös varmistaa sovellettavan tietosuojalainsäädännön noudattaminen, koska se tarjoaa selkeät puitteet sille, mitä tietoja voidaan vaihtaa, kenen kanssa ja millä ehdoilla.

7.

Keskitetyn sähköisen järjestelmän perustaminen aiheuttaa kuitenkin myös tiettyjä vaaroja. Vaarana on erityisesti se, että tietoja voidaan jakaa enemmän ja laajemmin kuin tehokasta yhteistyötä varten olisi ehdottoman välttämätöntä ja että tiedot, myös mahdolliset vanhentuneet ja virheelliset tiedot, voivat jäädä sähköiseen järjestelmään pitemmäksi aikaa kuin olisi tarpeen. Lisäksi 27 jäsenvaltiossa käytettävissä olevan tietokannan turvallisuus on myös arkaluontoinen kysymys, koska järjestelmä on vain niin turvallinen kuin sen verkoston heikoin lenkki on.

8.

Sen vuoksi on erittäin tärkeää, että tietosuojaan liittyviä huolenaiheita käsitellään oikeudellisesti sitovassa yhteisön säädöksessä mahdollisimman tyhjentävästi ja yksiselitteisesti.

9.

Euroopan tietosuojavaltuutettu on tyytyväinen siihen, että komissio määrittelee ja rajaa selkeästi IMI:n soveltamisalan ja luettelee liitteessä asiaankuuluvat yhteisön säädökset, joiden perusteella tietoja voidaan vaihtaa. Nykyisellään näihin kuuluvat vain direktiivi ammattipätevyyden tunnustamisesta sekä palveludirektiivi; IMI:n soveltamisalaa on kuitenkin tarkoitus laajentaa tulevaisuudessa. Kun annetaan uutta lainsäädäntöä, jossa säädetään tietojenvaihdosta IMI:ä käyttäen, liite on samanaikaisesti ajantasaistettava. Euroopan tietosuojavaltuutettu on tyytyväinen tähän menettelytapaan, koska se i) rajaa selkeästi IMI:n soveltamisalan; ja ii) varmistaa avoimuuden, samalla kuitenkin; iii) mahdollistaen joustavuuden, mikäli IMI:ä tulevaisuudessa käytetään muuhunkin tietojenvaihtoon. Lisäksi näin varmistetaan, että tietojenvaihtoa ei voida harjoittaa IMI:n avulla ilman i) asiaankuuluvaa oikeusperustaa tietyssä sisämarkkinalainsäädännössä, joka sallii tietojenvaihdon tai antaa siihen valtuudet; ja ii) viittausta kyseiseen oikeusperustaan IMI-päätöksen liitteessä.

10.

Euroopan tietosuojavaltuutettu ei kuitenkaan ole tyytyväinen i) IMI-päätöksen oikeusperustan valintaan, mistä johtuu, että IMI-päätös perustuu nykyisellään epävarmoihin oikeudellisiin perusteisiin (ks. tämän lausunnon 2 osa); eikä ii) siihen, että useat tarvittavat säännökset, joilla IMI:n tietosuojanäkökohtia säännellään yksityiskohtaisesti, eivät sisälly asiakirjaan (ks. lausunnon 3 osa).

11.

Komission omaksuma ratkaisu merkitsee valitettavasti käytännössä sitä, että vastoin Euroopan tietosuojavaltuutetun ja 29 artiklan mukaisen tietosuojatyöryhmän odotuksia IMI-päätöksellä ei nykyisellään säännellä kattavasti kaikkia tärkeimpiä IMI:n tietosuojanäkökohtia — mukaan luettuna erityisesti tapaa, jolla yhteiset rekisterinpitäjät jakavat vastuun rekisteröidyille ilmoittamisesta ja tiedonsaantioikeuden antamisesta rekisteröidyille — tai erityisiä käytännön suhteellisuuskysymyksiä. Euroopan tietosuojavaltuutettu pahoittelee myös sitä, että komissiota ei erityisesti vaadita julkaisemaan verkkosivuillaan ennalta määriteltyjä kysymyksiä ja tietokenttiä, mikä lisäisi avoimuutta ja oikeusvarmuutta.

12.

IMI-päätöksen oikeusperusta, joka mainitaan itse päätöksessä, on yleiseurooppalaisten sähköisten viranomaispalveluiden yhteentoimivasta toimittamisesta julkishallinnoille, yrityksille ja kansalaisille (”HVTYK-päätös”) 21 päivänä huhtikuuta 2004 tehty Euroopan parlamentin ja neuvoston päätös 2004/387/EY (5) ja erityisesti sen 4 artikla.

13.

Itse HVTYK-päätös on Euroopan yhteisön perustamissopimuksen (”EY:n perustamissopimus”) XV osaston (Euroopan laajuiset verkot) mukainen väline. EY:n perustamissopimuksen 154 artiklan mukaan yhteisö myötävaikuttaa Euroopan laajuisten verkkojen perustamiseen ja kehittämiseen liikenteen, teletoiminnan ja energian infrastruktuurien aloilla. Kyseisellä toiminnalla pyritään edistämään kansallisten verkkojen yhteenliittämistä ja yhteentoimivuutta sekä pääsyä tällaisiin verkkoihin. 155 artiklassa luetellaan ne toimenpiteet, jotka yhteisö voi vahvistaa tässä yhteydessä. Näitä ovat i) suuntaviivat; ii) kaikki toimet, jotka saattavat osoittautua tarpeellisiksi verkkojen yhteentoimivuuden turvaamiseksi, erityisesti teknisen standardoinnin alalla; sekä iii) hankkeiden tukeminen. HVTYK-päätös perustuu 156 artiklan 1 kohtaan, joka käsittelee vahvistusmenettelyä.

14.

HVTYK-päätöksen 4 artiklassa todetaan muun muassa, että yhteisö panee täytäntöön yhteistä etua palvelevia hankkeita. Nämä hankkeet on sisällytettävä säännöllisesti tarkistettavaan työohjelmaan, ja täytäntöönpanossa on noudatettava HVTYK-päätöksen 6 ja 7 artiklan periaatteita. Kyseisissä periaatteissa kannustetaan pääasiassa laajaa osallistumista, ehdotetaan kestävää ja puolueetonta menettelyä ja määrätään teknisestä standardoinnista. Lisäksi niissä pyritään varmistamaan taloudellinen luotettavuus ja hankkeiden toteuttamiskelpoisuus.

15.

Kuten edellä todettiin, alkuvaiheessa sisämarkkinoiden tietojenvaihtojärjestelmää käytetään henkilötietojen vaihtoon seuraavan kahden direktiivin yhteydessä:

16.

Palveludirektiivin 34 artiklan 1 kohdassa säädetään erityisestä oikeusperustasta sähköisen järjestelmän perustamiseksi jäsenvaltioiden välistä tietojenvaihtoa varten direktiivissä tarkoitettuna rinnakkaistoimenpiteenä. 34 artiklan 1 ohdan mukaan ”Komissio perustaa yhteistyössä jäsenvaltioiden kanssa sähköisen järjestelmän jäsenvaltioiden välistä tietojenvaihtoa varten ottaen huomioon olemassa olevat tietojärjestelmät”.

17.

Ammattipätevyyden tunnustamista koskevassa direktiivissä ei edellytetä erityistä sähköistä järjestelmää tietojenvaihtoa varten, mutta useissa säännöksissä vaaditaan selkeästi, että tietoja vaihdetaan. Tietojenvaihtoa koskeviin keskeisiin säännöksiin kuuluu direktiivin 56 artiklan mukaan jäsenvaltioiden toimivaltaisten viranomaisten on toimittava tiiviissä yhteistyössä ja huolehdittava keskinäisestä avunannosta direktiivin soveltamisen helpottamiseksi. 56 artiklan toisen kohdan mukaan tiettyjä arkaluonteisia tietoja käsitellään tietosuojalainsäädäntöä noudattaen. Lisäksi 8 artiklan mukaan vastaanottavan jäsenvaltion toimivaltaiset viranomaiset voivat pyytää sijoittautumisjäsenvaltion toimivaltaisilta viranomaisilta kaikkia sellaisia tietoja, jotka koskevat palvelun tarjoajan sijoittautumisen laillisuutta ja moitteetonta toimintaa sekä sitä, että ammatillisia kurinpito- tai rikosoikeudellisia seuraamuksia ei ole sovellettu. Lopuksi 50 artiklan 2 kohdassa säädetään, että jos on aihetta epäilyksiin, vastaanottava jäsenvaltio voi vaatia jäsenvaltion toimivaltaisilta viranomaisilta vahvistusta annettujen todistusten ja muodollista pätevyyttä osoittavien asiakirjojen ja koulutuksen aitoudesta.

18.

Henkilötietojen suoja katsotaan perusoikeudeksi Euroopan unionin perusoikeuskirjan 8 artiklassa ja Euroopan ihmisoikeussopimuksen 8 artiklaan liittyvässä oikeuskäytännössä.

19.

IMI-päätöksen 1 artiklassa eritellään IMI-toimijoiden ja IMI-käyttäjien toiminnot, oikeudet ja velvollisuudet tietosuojavaatimusten osalta. Euroopan tietosuojavaltuutettu toteaa johdanto-osan 7 kappaleen perusteella, että IMI-päätöksellä on tarkoitus täsmentää direktiivin 95/46/EY ja asetuksen (EY) N:o 45/2001 määrittelemää yhteisön yleisiä tietosuojapuitteita. Siinä käsitellään erityisesti rekisterinpitäjien määritelmää ja heidän velvollisuuksiaan, tietojen säilyttämisaikoja ja rekisteröityjen oikeuksia. IMI-päätöksessä käsitellään siten perusoikeuksien rajoituksia/täsmennyksiä ja siinä pyritään tarkentamaan kansalaisten subjektiivisia oikeuksia.

20.

Euroopan ihmisoikeussopimuksen mukaisen oikeuskäytännön pohjalta ei pitäisi olla epäilyksiä perusoikeuksia rajoittavien säännösten oikeudellisesta luonteesta. Kyseisistä säännöksistä on säädettävä oikeudellisella välineellä EY:n perustamissopimuksen perusteella, johon voidaan vedota tuomioistuimessa. Jos näin ei ole, tämä johtaisi oikeudelliseen epävarmuuteen rekisteröidyn kannalta, koska hän ei voi luottaa siihen, että hän voi vedota sääntöihin tuomioistuimessa.

21.

Kysymys oikeudellisesta epävarmuudesta on sitäkin huomattavampi, kun EY:n perustamissopimuksen järjestelmän mukaisesti kansallisilla tuomareilla on ensisijaisesti harkintavalta päättää, missä määrin ne ottavat huomioon IMI-päätöksen. Tämä saattaa johtaa erilaisiin tuloksiin eri jäsenvaltioissa ja jopa yhden jäsenvaltion sisällä. Tällaista oikeudellista epävarmuutta ei voida hyväksyä.

22.

Oikeussuojakeinon (ja sitä koskevan varmuuden) puuttuminen olisi joka tapauksessa Euroopan ihmisoikeussopimuksen 6 artiklan, jossa määrätään oikeudesta oikeudenmukaiseen oikeudenkäyntiin, sekä kyseiseen artiklaan liittyvän oikeuskäytännön vastaista. Kyseisessä tilanteessa yhteisö ei täyttäisi Euroopan unionista tehdyn sopimuksen 6 artiklan mukaisia velvoitteitaan. Kyseissä artiklassa edellytetään, että unioni pitää arvossa perusoikeuksia sellaisena, kuin ne taataan Euroopan ihmisoikeussopimuksessa.

23.

Euroopan tietosuojavaltuutettu on syvästi huolissaan siitä, että valitsemalla HVTYK-päätöksen 4 artikla päätöksen oikeusperustaksi komission päätöksen laatijat eivät mahdollisesti ole vastanneet edellä kuvattuun oikeudellista varmuuden vaatimukseen. Euroopan tietosuojavaltuutettu mainitsee seuraavat seikat, jotka voivat herättää epäilyksiä IMI-päätöksen oikeusperustan valinnan asianmukaisuudesta:

24.

IMI-päätös tarvitsee vankan oikeusperustan edellä mainituista syistä. Voidaan vakavasti epäillä, täyttääkö IMI-päätöksen oikeusperusta oikeusvarmuuden vaatimuksen. Tietosuojavaltuutettu suosittaa, että komissio tarkastelisi uudelleen tätä oikeusperustaa ja yrittäisi löytää ratkaisuja valitun oikeusperustan puutteiden korjaamiseksi mahdollisesti sillä seurauksella, että IMI-päätös korvataan oikeusvarmuusvaatimuksen täyttävällä oikeudellisella välineellä.

25.

Tässä yhteydessä tarkoituksenmukaisin ratkaisu voisi olla mahdollisuus, että neuvosto ja Euroopan parlamentti hyväksyvät erillisen IMI-järjestelmää koskevan oikeudellisen välineen, joka muistuttaa Schengenin tietojärjestelmää, viisumitietojärjestelmää ja muita suuria tietotekniikkapohjaisia tietokantoja.

26.

Euroopan tietosuojavaltuutettu ehdottaa tämän vaihtoehdon analysointia. Kyseisessä erillisessä välineessä voitaisiin sitten käsitellä IMI-toimijoiden ja IMI:n käyttäjien tehtäviä, oikeuksia ja velvoitteita tietosuojavaatimusten osalta (IMI-päätöksessä määritelty kohde) sekä myös IMI-järjestelmän perustamiseen ja toimintaan liittyvien muiden vaatimusten osalta.

27.

Toisena vaihtoehtona voisi olla oikeusperustan valitseminen eri sisämarkkinavälineistä. Siltä osin kuin IMI-päätöstä sovelletaan henkilötietojen vaihtoon palveludirektiivin yhteydessä, olisi analysoitava edelleen, voisiko kyseinen direktiivi itse — ja erityisesti sen 34 artikla — tarjota tarvittavan oikeusperustan. Siltä osin kuin IMI-päätöstä sovelletaan henkilötietojen vaihtoon ammattipätevyysdirektiivin yhteydessä, vastaavanlainen lähestymistapa voisi soveltua siihenkin: täsmällinen ja selkeä oikeusperusta voidaan luoda myös muuttamalla direktiiviä itseään.

28.

Mitä tulee muuhun sisämarkkinalainsäädäntöön, joka voi tulevaisuudessa edellyttää tietojenvaihtoa jäsenvaltioiden toimivaltaisten viranomaisten kesken, erityinen oikeusperusta voidaan joka kerta hyväksyä kyseisessä erityisessä uudessa säädöksessä.

29.

Tässä lausunnon jaksossa Euroopan tietosuojavaltuutettu käsittelee IMI-päätökseen sisältyviä IMI:n tietosuojanäkökohtia koskevia säännöksiä. Euroopan tietosuojavaltuutetun ehdotukset voitaisiin sisällyttää uuteen, IMI-päätöksen korvaavaan säädökseen, kuten edellä on ehdotettu. Muussa tapauksessa ehdotukset voitaisiin sisällyttää itse IMI-päätökseen sen jälkeen, kun sitä on muutettu.

30.

Lisäksi IMI-toimijat voivat jo nyt soveltaa käytännössä eräitä näistä ehdotuksista ilman, että päätöstä muutetaan. Euroopan tietosuojavaltuutettu odottaa komission ottavan huomioon tässä lausunnossa esitetyt suositukset ainakin operatiivisella tasolla siltä osin, kuin ne liittyvät komission toimintaan IMI-toimijana ja siten Euroopan tietosuojavaltuutetun valvonnan alaisena.

31.

Euroopan tietosuojavaltuutettu on tyytyväinen siihen, että komissio on julkaissut IMI-sivustolla ensimmäisen sarjan ennalta määriteltyjä kysymyksiä ja muita tietokenttiä. Ne liittyvät ammattipätevyyden tunnustamisesta annetun direktiivin nojalla tapahtuvaan tietojenvaihtoon.

32.

Jotta komissio velvoitettaisiin selvästi noudattamaan tätä hyvää käytäntöä ja siten varmistettaisiin avoimuus ja lisättäisiin sitä entisestään, Euroopan tietosuojavaltuutettu suosittelee, että IMI-säädöksessä asetetaan komissiolle velvollisuus julkaista ennalta määritellyt kysymykset ja muut tietokentät IMI-sivustolla.

33.

Suhteellisuuden osalta IMI-säädöksessä olisi täsmennettävä, että ennalta määriteltyjen kysymysten ja muiden tietokenttien on oltava riittäviä ja olennaisia eikä liiallisia. Euroopan tietosuojavaltuutetulla on lisäksi kaksi erityistä suhteellisuutta koskevaa suositusta:

34.

IMI-päätöksen 3 artiklan mukainen vastuunjako on epäselvä ja moniselitteinen. Tietosuojavaltuutettu myöntää, että IMI-päätöksessä ei välttämättä ole mahdollista määritellä erikseen jokaista yksittäistä käsittelytointa ja eritellä tarkasti niitä koskevaa vastuunjakoa komission ja kunkin jäsenvaltion toimivaltaisen viranomaisen osalta. IMI-päätöksessä olisi kuitenkin pitänyt antaa jonkin verran ohjausta edes tärkeimpien rekisterinpitäjän tietosuojavelvoitteiden osalta.

35.

Tietosuojavaltuutettu suosittaa erityisesti, että IMI-säädöksessä täsmennetään seuraavaa:

36.

Tietosuojavaltuutettu suosittaa, että IMI-säädökseen olisi sisällytettävä uusi kohta, jossa käsiteltäisiin rekisteröidyille ilmoittamista koskevaa vastuunjakoa yhteisen rekisterin pitäjien kesken monitasoisen lähestymistavan mukaan. Tekstissä olisi otettava huomioon erityisesti seuraavat asiat:

37.

Tietosuojavaltuutettu suosittaa myös uuden kohdan lisäämistä, jotta täsmennettäisiin:

38.

Lisäksi olisi täsmennettävä, että komissio voi antaa pääsyn vain sellaisiin tietoihin, joihin sillä itsellään on laillinen pääsy. Siksi komissio ei ole velvoitettu antamaan pääsyä toimivaltaisten viranomaisten väliseen tiedonvaihtoon. Jos rekisteröity kuitenkin esittää komissiolle tällaisen pyynnön, komissio ohjaa viipymättä rekisteröidyn sellaisten viranomaisten puoleen, joilla on pääsy tietoihin, ja antaa rekisteröidylle tarvittavat neuvot.

39.

IMI-päätöksen 4 artiklan 1 kohdan mukaan tietoja on säilytettävä vielä kuusi kuukautta sen jälkeen, kun tietojenvaihto on virallisesti päättynyt.

40.

Euroopan tietosuojavaltuutettu katsoo, että toimivaltaisilla viranomaisilla pitää olla tiettyä joustavuutta tietojen säilyttämisessä, koska alkuperäisen kysymyksen ja vastauksen lisäksi toimivaltaisten viranomaisten kesken voidaan tehdä samaa tapausta koskevia lisäkysymyksiä. Kun 29-artiklan työryhmä laati lausuntoa, komissio selittikin, että hallintomenettelyt, jotka saattavat edellyttää tietojen vaihtoa, saatetaan yleensä päätökseen parin kuukauden kuluessa ja kuuden kuukauden säilyttämisajan tarkoituksena oli varmistaa joustavuus odottamattomien viivästysten varalle.

41.

Euroopan tietosuojavaltuutettu epäilee kuitenkin komission selitysten perusteella, onko olemassa laillista syytä tietojen säilyttämiselle IMI-järjestelmässä vielä kuusi kuukautta tietojenvaihdon virallisen päättämisen jälkeen. Tästä syystä tietosuojavaltuutettu suosittaa, että tietojen automaattiselle poistamiselle asetettu kuuden kuukauden määräaika alkaa siitä päivästä, jona pyynnön esittänyt viranomainen ottaa ensimmäistä kertaa yhteyttä vastaavia tehtäviä hoitavaan viranomaiseen tietyn tietojenvaihdon osalta. Parempi tapa lähestyä asiaa olisikin asettaa automaattinen tietojen poistamista koskeva määräpäivä sen perusteella, minkä tyyppinen tietojenvaihto on kyseessä (määräaika lasketaan aina tietojenvaihdon alkamisesta). Kun esimerkiksi kuuden kuukauden säilytysaika saattaa olla sopiva ammattipätevyyden tunnustamista koskevan direktiivin mukaiseen tietojenvaihtoon, se ei ehkä sovellu muuhun tietojenvaihtoon tulevan sisämarkkinalainsäädännön yhteydessä.

42.

Tietosuojavaltuutettu toteaa lisäksi, että jos hänen suosituksiaan ei oteta huomioon, olisi vähintään selvennettävä, mitä tarkoitetaan tietojenvaihdon ”virallisella päättämisellä”. Ennen kaikkea on varmistettava, että tietokantaan ei voi jäädä mitään tietoja pidempään kuin on tarpeen pelkästään siitä syystä, että toimivaltainen viranomainen ei ole päättänyt asian käsittelyä.

43.

Lisäksi tietosuojavaltuutettu suosittaa, että poistamista ja säilyttämistä koskeva järkeily olisi käännettävä 4 artiklan toisessa kohdassa.Komission olisi joka tapauksessa noudatettava poistamispyyntöjä 10 työpäivän kuluessa riippumatta siitä, haluaako toinen viranomainen säilyttää tiedot IMI-järjestelmässä. Olisi kuitenkin oltava automaattinen järjestely toiselle viranomaiselle ilmoittamiseen, jotta kyseinen viranomainen ei kadota tietoja ja voi halutessaan ladata tai tulostaa tiedot ja tallentaa ne omiin tarkoituksiinsa IMI-järjestelmän ulkopuolelle ottaen huomioon omat tietosuojasääntönsä. Ilmoittamista koskeva kymmenen päivän määräaika vaikuttaa kohtuulliselta sekä vähimmäis- että enimmäismääräaikana. Komission olisi vain pystyttävä poistamaan tiedot ennen tämän kymmenen päivän määräajan päättymistä, jos molemmat viranomaiset vahvistavat haluavansa, että kyseiset tiedot poistetaan.

44.

Tietosuojavaltuutettu suosittaa lisäksi sen täsmentämistä, että turvatoimet on toteutettava jäsenvaltioiden parhaiden käytäntöjen mukaisesti riippumatta siitä, vastaako niistä komissio vai vastaavatko niistä toimivaltaiset viranomaiset.

45.

Koska IMI-järjestelmän puitteissa tapahtuvaan tietojenvaihtoon sovelletaan useita kansallisia tietosuojalakeja ja kyseistä tietojenvaihtoa valvovat monet kansalliset tietosuojaviranomaiset (asetuksen (EY) N:o 45/2001 soveltamisen ja tietojenkäsittelyn tiettyjä näkökohtia koskevien tietosuojavaltuutetun valvontavaltuuksien lisäksi), tietosuojavaltuutettu suosittaa, että IMI-järjestelmää koskevassa oikeudellisessa välineessä on oltava selkeät säännökset, jotka helpottavat mukana olevien eri tietosuojaviranomaisten suorittamaa IMI:n yhteistä valvontaa. Tämä yhteinen valvonta voitaisiin toteuttaa samalla tavalla, kuin toisen sukupolven Schengenin tietojärjestelmän (SIS II) perustamista, toimintaa ja käyttöä koskevissa säädöksissä (8).

46.

Tietosuojavaltuutettu tukee tietojenvaihtoon tarkoitetun sähköisen järjestelmän perustamiseen ja sen tietosuojanäkökohtien sääntelyyn liittyviä komission tavoitteita.

47.

IMI-päätös tarvitsee vankan oikeusperustan edellä mainituista syistä. Tietosuojavaltuutettu suosittaa, että komissio tarkastelisi uudelleen oikeusperustan valintaa ja yrittäisi löytää ratkaisuja valitun oikeusperustan puutteiden korjaamiseksi mahdollisesti sillä seurauksella, että IMI-päätös korvataan oikeusvarmuusvaatimuksen täyttävällä oikeudellisella välineellä.

48.

Tietosuojavaltuutettu ehdottaa parhaimpana ratkaisuna, että tutkittaisiin mahdollisuutta hyväksyä erillinen IMI-järjestelmää koskeva neuvoston ja Euroopan parlamentin säädös, joka muistuttaa Schengenin tietojärjestelmää, viisumitietojärjestelmää ja muita suuria tietokantoja koskevia säädöksiä.

49.

Vaihtoehtona voitaisiin tutkia, voisivatko palveludirektiivin 34 artikla ja vastaavat muun sisämarkkinalainsäädännön osalta hyväksyttävät säännökset tarjota tarvittavan oikeusperustan.

50.

Lisäksi lausunto sisältää monia ehdotuksia IMI:n tietosuojanäkökohtia koskeviksi säännöksiksi, jotka on sisällytettävä uuteen oikeudelliseen välineeseen, joka korvaa edellä ehdotetun IMI-päätöksen, tai jotka tällaisen uuden välineen puuttuessa on sisällytettävä itse IMI-päätökseen sen jälkeen, kun sitä on muutettu.

51.

IMI-toimijat voivat jo nyt soveltaa käytännössä eräitä näistä ehdotuksista ilman, että päätöstä muutetaan. Euroopan tietosuojavaltuutettu odottaa komission ottavan mahdollisuuksien mukaan huomioon tässä lausunnossa esitetyt suositukset ainakin operatiivisella tasolla siltä osin, kuin ne liittyvät komission toimintaan IMI-toimijana.

52.

Kyseiset suositukset liittyvät avoimuuteen, suhteellisuuteen, yhteisvastuuseen ja toimivaltajakoon, rekisteröidylle ilmoittamiseen, tiedonsaantioikeuteen, vastustukseen ja oikaisuun, tietojen säilyttämiseen, turvatoimiin ja yhteiseen valvontaan.