2.3.2018   

FI

Euroopan unionin virallinen lehti

C 81/209

Esittelijä:

Cristian PÎRVULESCU

1.1

EU:lla on perusarvojensa ja perusasiakirjojensa nojalla velvollisuus edistää perusoikeuksien kunnioittamista ja yksityisyyden ja henkilötietojen riittäväntasoista suojaa maailmanlaajuisesti. ETSK kannustaakin Euroopan komissiota edistämään aktiivisesti korkeinta mahdollista henkilötietojen suojan tasoa kahden- ja monenvälisissä suhteissa.

1.2

ETSK pitää tasapainoisina ja järkevinä neljää kriteeriä, joiden pohjalta komissio arvioi, minkä maiden kanssa on neuvoteltava suojan riittävyydestä. On kuitenkin tärkeää tulkita näitä kriteerejä ottaen huomioon kyseisten maiden hallitusten, parlamenttien ja tuomioistuinten todellinen sitoutuminen vastaavan henkilötietojen suojan tason saavuttamiseen käytännössä.

1.3

ETSK vaatii lisäämään tietosuojan riittävyyttä koskevien päätösten tekoprosessin avoimuutta ja osallistavuutta. Osallisiksi ja kuultaviksi on otettava elinkeinoelämän ja erityisesti pk-yritysten edustajia sekä kuluttajaeturyhmiä, kansalaisryhmiä ja muita kansalaisyhteiskunnan organisaatioita. ETSK on valmis avustamaan kuulemisprosessin järjestämisessä.

1.4

ETSK on tyytyväinen komission aloittamaan vuoropuheluun Itä- ja Kaakkois-Aasian keskeisten kauppakumppaneiden, myös Japanin ja Korean sekä mahdollisesti Intian, sekä sellaisten Latinalaisen Amerikan maiden ja Euroopan naapuruuspolitiikan piiriin kuuluvien maiden kanssa, jotka ovat ilmaisseet kiinnostuksensa saada ”tietosuojan tason riittävyyttä koskeva toteamus”.

1.5

ETSK toivoo, että komissio, neuvosto, jäsenvaltioiden kansalliset hallitukset ja parlamentit sekä Yhdysvaltain hallitus ja kongressi hyväksyvät EU:n ja Yhdysvaltojen Privacy Shield -järjestelyn tarjoaman suojan riittävyydestä 6. huhtikuuta 2017 annetussa Euroopan parlamentin päätöslauselmassa esitetyt ehdotukset. Euroopan parlamentti nostaa päätöslauselmassaan esiin vakavia huolenaiheita, joista monet viittaavat siihen, että sopimus ja Yhdysvaltain nykyinen lainsäädäntökehys eivät käytännössä suojele EU:n kansalaisten oikeuksia.

1.6

Tarkempi viranomaisvalvonta ja -seuranta on tarpeen teknologian nopean kehityksen ja tieto- ja viestintätekniikkainfrastruktuurin jatkuvan laajenemisen vuoksi. Vaikka tietosuojan riittävyyttä koskevat päätökset arvioidaan uudelleen neljän vuoden välein (ks. yleisen tietosuoja-asetuksen 45 artiklan 3 kohta), ETSK suosittaa pysyvän yhteydenpidon järjestämistä komission, tietosuojaviranomaisten ja kolmansien maiden viranomaisten välillä, jotta havaitaan uudet haasteet tässä erittäin nopeasti muuttuvassa teknisessä ja taloudellisessa ympäristössä.

1.7

ETSK katsoo, että Euroopan komission tulisi pitää ensisijaisena tavoitteena tietosuojanormien edistämistä monenvälisten välineiden avulla ja että tätä työtä olisi tuettava riittävin resurssein, jotta ensin varmistetaan ihmisoikeuksien todellinen suoja ja sen jälkeen tehokkaat oikeussuojakeinot aiheutuneiden vahinkojen korvaamiseksi.

1.8

Komitea korostaa, että komissio ei erottele tiedonannossa erilaisia henkilötietoluokkia tai niiden käyttötarkoituksia rikosoikeudellisia asioita lukuun ottamatta.

1.9

Euroopan neuvoston yleissopimus N:o 108 vuodelta 1981 (ja sen lisäpöytäkirja vuodelta 1999) on ainoa sitova monenvälinen väline tietosuoja-alalla. Sitä tulisi kehittää edelleen, ja useampia kolmansia maita olisi kannustettava liittymään siihen.

1.10

OECD:n (Taloudellisen yhteistyön ja kehityksen järjestö), G20:n ja APECin (Aasian ja Tyynenmeren alueen taloudellinen yhteistyö) monenvälistä toimintaa tulisi kehittää edelleen aidosti globaalin monenvälisen tietosuojajärjestelmän luomiseksi. Oikeutta yksityisyyteen käsittelevän YK:n erityisraportoijan kanssa tehtävän yhteistyön tulisi olla vakaalla ja toimivalla pohjalla.

1.11

ETSK kannattaa henkilötietoja koskevien vahvojen suojatoimien käyttöönottoa vaihdettaessa henkilötietoja rikosten torjunnan ja tutkinnan ja syytteiden nostamisen yhteydessä, mutta suhtautuu avoimesti myös tietosuojan tason riittävyyttä koskevien toteamusten käyttöönottoon rikosoikeudellisen lainvalvonnan alalla. Tietosuoja sekä rikosten – myös kyberrikollisuuden ja terrorismin – torjunta ja tutkinta ja syytteiden nostaminen ovat asioita, joiden on kuljettava käsi kädessä.

1.12

ETSK muistuttaa, että vammaisten henkilö-, terveys- ja kuntoutustietoja on tärkeää suojella vammaisten henkilöiden oikeuksista tehdyn YK:n yleissopimuksen 22 artiklan mukaisesti.

2.1

Henkilötietojen suoja on osa Euroopan yhteistä peruskäsitteistöä, ja se on vahvistettu EU:n perusoikeuskirjan 8 artiklassa. Aihe on ollut EU:n lainsäädännön keskeinen osa yli 20 vuotta vuoden 1995 tietosuojadirektiivin säätämisestä yleisen tietosuoja-asetuksen ja poliisidirektiivin säätämiseen vuonna 2016.

2.2

EU:n tietosuojalainsäädännön uudistuksella, joka hyväksyttiin huhtikuussa 2016, luotiin järjestelmä, joka varmistaa korkeatasoisen tietosuojan sekä EU:n sisällä että siirrettäessä henkilötietoja kansainvälisesti kaupallisessa tarkoituksessa tai lainvalvonnan tarpeisiin. Uudet säännöt tulevat voimaan toukokuussa 2018.

2.3

EU:n tietosuojasääntöjen valmistumisen jälkeen komissio laatii nyt strategiaa kansainvälisten tietosuojanormien edistämiseksi. Tiedonannossa esitellään erilaisia kansainvälisen tiedonsiirron välineitä, jotka perustuvat uudistettuihin tietosuojasääntöihin, sekä strategia, jonka mukaisesti jatkossa aloitetaan tietosuojan tason riittävyyttä koskevien päätösten teko valittujen kolmansien maiden kanssa ja edistetään tietosuojanormeja monenvälisten välineiden avulla.

2.4

Vuonna 2016 annettu yleinen tietosuoja-asetus tarjoaa valikoiman mekanismeja, jotka liittyvät henkilötietojen siirtämiseen EU:sta kolmansiin maihin: tietosuojan tason riittävyyttä koskevat päätökset, mallisopimuslausekkeet, yrityksiä sitovat säännöt, sertifiointimekanismit ja käytännesäännöt. Näiden mekanismien ensisijaisena tarkoituksena on varmistaa, että siirrettäessä eurooppalaisten henkilötietoja ulkomaille niitä koskeva suoja seuraa mukana. Kansainvälisten tiedonsiirtojen rakenne on vastaava kuin mitä säädettiin vuoden 1995 tietosuojadirektiivissä, mutta uudistuksessa yksinkertaistetaan ja laajennetaan niiden käyttöä ja otetaan käyttöön uusia välineitä kansainvälisiä siirtoja varten (esim. käytännesäännöt ja sertifiointimekanismit).

3.1

ETSK on tyytyväinen EU:n pyrkimyksiin suojata kansalaisten henkilötiedot pysyen kuitenkin avoimena ja osallisena yhä verkostoituneemmassa maailmassa.

3.2

EU:lla on perusarvojensa ja perusasiakirjojensa nojalla velvollisuus edistää perusoikeuksien kunnioittamista ja yksityisyyden ja henkilötietojen korkeatasoista suojaa maailmanlaajuisesti. ETSK kannustaakin Euroopan komissiota edistämään aktiivisesti EU:n kansalaisten ja kolmansien maiden kansalaisten henkilötietojen suojan korkeinta mahdollista tasoa kahden- ja monenvälisissä suhteissa.

3.3

EU:n tulisi tukea maailmanlaajuista henkilötietojen suojelun ohjelmaa ja sen keskeisiä periaatteita: tietosuoja on perusoikeus, ja se taataan hyväksymällä tietosuoja-alan yleissäädöksiä, vahvistamalla yksilöille kuuluvia, yksityisyyteen liittyviä täytäntöönpanokelpoisia oikeuksia sekä perustamalla riippumaton valvontaviranomainen.

3.4

Henkilötietojen suojan korkein mahdollinen taso ei ole vain oikeudellinen velvoite vaan myös suuri mahdollisuus. Digitaalitalous, kansainväliset tavara- ja palveluvirrat sekä sähköinen hallinto hyötyvät kaikki, jos kansalaiset luottavat käytössä oleviin institutionaalisiin ja sääntelyllisiin suojakeinoihin. Tietosuoja ja oikeudenmukainen kansainvälinen kauppa ovat molemmat olennaisia asioita kansalaisille, eikä niitä tulisi pitää arvoiltaan ristiriitaisina.

3.5

ETSK tukee edelleen EU:n tietosuojapolitiikan yleistä suuntaa, kuten se on tehnyt aiemmissakin lausunnoissaan, mutta korostaa tarvetta nostaa suojan tasoa. Asiakokonaisuuteen SOC/455 kuuluvassa lausunnossaan yleisestä tietosuoja-asetuksesta komitea esitti yksityiskohtaisia, artiklakohtaisia esimerkkejä siitä, miten voidaan määritellä oikeudet paremmin tai suojata tehokkaammin kansalaisia yleensä ja erityisesti työntekijöitä, kun on kyse suostumuksen luonteesta, tietojen käsittelyn laillisuudesta ja etenkin tietosuojavaltuutettujen tehtävistä ja tiedonkäsittelystä työsuhteen yhteydessä (1).

3.6

Lisäksi ETSK on korostanut luonnollisten ja oikeushenkilöiden oikeutta ilmaista suostumuksensa henkilötietojensa käytön suhteen. Asiakokonaisuuteen TEN/631 kuuluvassa lausunnossa henkilötietojen suojasta ETSK toteaa: ”käyttäjille tulee siksi jakaa tiedotusta ja koulutusta ja näiden tulee pyrkiä varovaisuuteen, sillä kun suostumus on annettu, palveluntarjoaja voi käsitellä sisältöjä ja metadataa mahdollisimman monenlaisten toimien ja mahdollisimman suuren hyödyn saavuttamiseksi. [– –] Asetuksessa [yksityiselämän kunnioittamisesta ja henkilötietojen suojasta sähköisessä viestinnässä] tulisi olla etusijalla käyttäjille suunnattu oikeuksien harjoittamiseen keskittyvä koulutus sekä anonymisointi ja salaus (2).”

3.7

ETSK kannattaa sitä, että toukokuusta 2018 lähtien sovelletaan yhtä yleiseurooppalaista säännöstöä, joka korvaa tämänhetkiset 28 kansallista lakia. Äskettäin luodulla yhden asiointipisteen mekanismilla varmistetaan, että valvontavastuu rajat ylittävistä tietojenkäsittelytoimista, joita jokin yritys toteuttaa EU:ssa, kuuluu yhdelle tietosuojaviranomaiselle. Uusien sääntöjen tulkinnan yhdenmukaisuus taataan. Varsinkin sellaisissa rajat ylittävissä tapauksissa, joissa on osallisena useampia kansallisia tietosuojaviranomaisia, annetaan ainoastaan yksi päätös, ja näin varmistetaan, että yhteisiin ongelmiin saadaan yhteisiä ratkaisuja. ETSK toivoo, että uudet menettelyt varmistavat tulkintojen yhdenmukaisuuden lisäksi myös korkeimman mahdollisen tietosuojatason.

3.8

ETSK panee merkille, että Euroopan digitaaliteknologia-alaa edustava organisaatio Digital Europe suhtautuu myönteisesti tiedonantoon ja sen keskeisiin ehdotuksiin (3).

Pilvipalvelujen yleistyminen asettaa uusia, monimutkaisia haasteita, jotka muuttuvat nopeasti teknologian kehityksen vauhdissa. Lainsäädännön tulee olla mukautettavissa teknologian ja markkinoiden uusiin kehitysvaiheisiin.

4.1

Komission tekemät päätökset tietosuojan riittävyydestä ovat tällä hetkellä asianmukainen keino varmistaa EU:n kansalaisten tietosuoja suhteessa muihin valtioihin ja sekä julkisiin että yksityisiin tahoihin. Ne ovat myös hyödyllinen keino kannustaa EU:n ulkopuolisia maita pyrkimään siihen, että niiden omille kansalaisille tarjotaan vastaavantasoinen suoja, ja niiden tulisi olla ensisijainen väline henkilötietojen siirtojen suojaamiseen.

4.2

ETSK pitää tasapainoisina ja järkevinä neljää kriteeriä (4), joiden pohjalta komissio arvioi, minkä maiden kanssa on neuvoteltava suojan riittävyydestä. On kuitenkin tärkeää tulkita näitä kriteerejä ottaen huomioon kyseisten maiden hallitusten, parlamenttien ja tuomioistuinten todellinen sitoutuminen vastaavan henkilötietojen suojan tason saavuttamiseen käytännössä.

4.3

ETSK vaatii lisäämään tietosuojan riittävyyttä koskevien päätösten tekoprosessin avoimuutta ja osallistavuutta. Osallisiksi ja kuultaviksi on otettava elinkeinoelämän ja erityisesti pk-yritysten edustajia sekä kuluttajaeturyhmiä ja kansalaisyhteiskunnan organisaatioita. ETSK on valmis avustamaan kuulemisprosessin järjestämisessä.

4.4

ETSK on tyytyväinen komission aloittamaan vuoropuheluun Itä- ja Kaakkois-Aasian keskeisten kauppakumppaneiden, myös Japanin ja Korean sekä mahdollisesti Intian, sekä sellaisten Latinalaisen Amerikan maiden ja Euroopan naapuruuspolitiikan piiriin kuuluvien maiden kanssa, jotka ovat ilmaisseet kiinnostuksensa saada ”tietosuojan tason riittävyyttä koskeva toteamus”.

4.5

ETSK katsoo, että tiettyjen maiden osittainen riittävyys (eli riittävyys tietyillä aloilla tai alueilla) on ongelmallinen, koska se ei tarjoa riittäviä ja johdonmukaisia perustuslaillisia, menettelyllisiä ja institutionaalisia takeita henkilötietojen suojasta. Osittainen riittävyys voisi olla hyödyllinen välivaihe, jonka aikana EU ja kyseiset valtiot etsisivät yhteistä näkemystä ja koordinoisivat toimintaansa. Tarkoituksena on pitkällä aikavälillä päästä vakaampaan ja kattavampaan sopimukseen nykyisten kehysten pohjalta kaikissa asianomaisissa maissa (5).

4.6

ETSK suhtautuu myönteisesti pyrkimyksiin luoda vakaa ja toimiva kahdenvälinen toimintakehys Amerikan yhdysvaltojen kanssa. Hiljattain hyväksytty EU:n ja Yhdysvaltojen Privacy Shield -järjestelyä koskeva päätös, joka korvaa EU:n ja Yhdysvaltojen Safe Harbor -kehyksen, on askel eteenpäin. Sen soveltamisala on kuitenkin rajallinen, sillä se perustuu vapaaehtoiseen osallistumiseen, ja sen ulkopuolelle jää suuri joukko yhdysvaltalaisia organisaatioita.

4.7

ETSK toivoo, että komissio, neuvosto, jäsenvaltioiden kansalliset hallitukset ja parlamentit sekä Yhdysvaltain hallitus ja kongressi hyväksyvät EU:n ja Yhdysvaltojen Privacy Shield -järjestelyn tarjoaman suojan riittävyydestä 6. huhtikuuta 2017 annetussa Euroopan parlamentin päätöslauselmassa esitetyt ehdotukset. Euroopan parlamentti nostaa päätöslauselmassaan esiin vakavia huolenaiheita, joista monet viittaavat siihen, että sopimus ja Yhdysvaltain nykyinen lainsäädäntökehys eivät käytännössä suojele EU:n kansalaisten oikeuksia (6).

4.8

Vastaavia huolenaiheita ovat esittäneet useat kansalaisyhteiskuntaryhmät Euroopan unionissa ja Yhdysvalloissa (7). ETSK kannustaa kaikkia EU:n toimielimiä panemaan merkille nämä huolenaiheet.

4.9

Komitea panee merkille komission halun saada aikaan uutta dynamiikkaa mutta toteaa, että ehdotukset eivät poista oikeudellista epävarmuutta henkilöiltä, joiden oikeuksia on loukattu. Tähän vaikuttavat useat tekijät:

4.10

Tietosuojan riittävyyttä koskevan päätöksen jälkeinen seuranta on olennaisen tärkeää, jotta voidaan varmistaa, että sopimukset toimivat käytännössä. Tarkempi viranomaisvalvonta ja -seuranta on tarpeen teknologian nopean kehityksen ja tieto- ja viestintätekniikkainfrastruktuurin jatkuvan laajenemisen vuoksi. Vaikka tietosuojan riittävyyttä koskevat päätökset arvioidaan uudelleen neljän vuoden välein (ks. yleisen tietosuoja-asetuksen 45 artiklan 3 kohta), ETSK suosittaa pysyvän yhteydenpidon järjestämistä komission, tietosuojaviranomaisten ja kolmansien maiden viranomaisten välillä, jotta havaitaan uudet haasteet tässä erittäin nopeasti muuttuvassa teknisessä ja taloudellisessa ympäristössä.

4.11

ETSK kannustaa komissiota tekemään yhteistyötä sidosryhmien kanssa kehittääkseen vaihtoehtoisia henkilötietojen siirtomekanismeja, joissa otetaan huomioon eri toimialojen, liiketoimintamallien ja/tai toimijoiden erityiset tarpeet tai olosuhteet.

4.12

ETSK katsoo, että tietosuojanormien edistäminen monenvälisin välinein tulisi ottaa komission ensisijaiseksi tavoitteeksi, johon olisi osoitettava riittävästi resursseja.

4.13

Euroopan neuvoston yleissopimus N:o 108 (ja sen lisäpöytäkirja) on ainoa sitova monenvälinen väline tietosuoja-alalla. Sitä tulisi kehittää edelleen, ja useampia kolmansia maita olisi kannustettava liittymään siihen.

4.14

OECD:n, G20:n ja APECin monenvälistä toimintaa tulisi kehittää edelleen aidosti globaalin monenvälisen tietosuojajärjestelmän luomiseksi. Oikeutta yksityisyyteen käsittelevän YK:n erityisraportoijan kanssa tehtävän yhteistyön tulisi olla vakaalla ja toimivalla pohjalla.

4.15

Yhteistyön tiivistämisen yksityisyyden suojaan liittyvää valvontaa ja lainvalvontaa harjoittavien kolmansien maiden kansallisten viranomaisten kanssa tulisi olla ensisijaisen tärkeää. Vaikka OECD:n yksityisyyden suojaa koskevan lainvalvonnan maailmanlaajuinen verkosto (Global Privacy Enforcement Network, GPEN) ei aseta oikeudellisesti sitovia velvoitteita, se voi edistää yhteistyötä lainvalvonnan alalla jakamalla parhaita käytänteitä rajatylittävien haasteiden ratkaisemisen alalla ja tukemalla yhteisiä lainvalvontahankkeita ja tiedotuskampanjoita (8).

4.16

ETSK kannattaa henkilötietoja koskevien vahvojen suojatoimien käyttöönottoa vaihdettaessa henkilötietoja rikosten torjunnan ja tutkinnan ja syytteiden nostamisen yhteydessä, mutta suhtautuu avoimesti myös tietosuojan tason riittävyyttä koskevien toteamusten käyttöönottoon rikosoikeudellisen lainvalvonnan alalla. Tietosuoja sekä rikosten – myös kyberrikollisuuden ja terrorismin – torjunta ja tutkinta ja syytteiden nostaminen ovat asioita, joiden on kuljettava käsi kädessä.

4.17

Joulukuussa 2016 EU:n ja Yhdysvaltojen välillä tehty tietosuojaa koskeva puitesopimus on hyvä esimerkki siitä, miten EU:n säännöstön mukaiset tietosuojaoikeudet ja -velvoitteet voidaan sisällyttää kahdenvälisiin sopimuksiin. Samat menettelyt voivat toimia myös muilla aloilla, kuten kilpailupolitiikassa tai kuluttajansuojan alalla. ETSK kannustaa komissiota selvittämään, onko mahdollista tehdä samanlaisia puitesopimuksia muiden keskeisten lainvalvontakumppaneiden kanssa.

4.18

Komitea odottaa tuloksia tänä vuonna tehtävästä EU:n ja Yhdysvaltojen Privacy Shield -järjestelyn ensimmäisestä vuosiarvioinnista ja toivoo, että arviointi on läpikotainen ja osallistava. ETSK toivoo, että sekä EU että Yhdysvallat sitoutuvat jatkossakin edistämään yhdessä henkilötietojen korkeatasoista suojaa.