Tietosuoja euroopan unionissa Vuoropuhelua kansalaisten ja yritysten kanssa FI/FIN SUORA LINJA EUROOPPAN 1
SISÄLLYSLUETTELO JOHDANTO EUROOPPALAINEN TIETOSUOJADIREKTIIVI SÄÄNNÖT, JOITA REKISTERINPITÄJÄN ON NOUDATETTAVA REKISTERÖIDYN OIKEUDET MITÄ TEHDÄ, JOS OIKEUKSIA LOUKATAAN TIEDONSIIRROT MUIHIN KUIN EU-MAIHIN YHTEYSTIEDOT Ei Euroopan komissio eikä kukaan, joka toimii komission nimissä, ole vastuussa siitä, miten seuraavia tietoja käytetään. 2
JOHDANTO Jokaisella on oikeus nauttia yksityis- ja perhe-elämäänsä, kotiinsa ja kirjeenvaihtoonsa kohdistuvaa kunnioitusta. Euroopan yleissopimus ihmisoikeuksien ja perusvapauksien suojaamiseksi Henkilötietoja kerätään ja käytetään joka päivä eri tarkoituksiin. Henkilötietoja annetaan esimerkiksi haettaessa kirjastokorttia, liityttäessä kuntosalin jäseneksi, avattaessa pankkitili ja niin edelleen. Henkilötietoja voidaan kerätä suoraan henkilöltä itseltään tai tietokannasta. Näitä tietoja voidaan myöhemmin käyttää muihin tarkoituksiin ja/tai ne voidaan antaa muiden käyttöön. Henkilötietoja ovat kaikki henkilön tunnistamiseen liittyvät tiedot, kuten nimi, puhelinnumero tai valokuva. Tietotekniikan kehitys ja uudet televerkot helpottavat henkilötietojen siirtämistä yli rajojen. Sen seurauksena jonkin EU:n jäsenvaltion kansalaisia koskevia tietoja käsitellään joskus toisessa jäsenvaltiossa. Koska henkilötietoja kerätään ja vaihdetaan yhä useammin, tarvitaan tietojen siirtoa koskevaa sääntelyä. Tietosuojaa koskevissa kansallisissa laeissa edellytetään tietojen käsittelijöiltä eli rekisterinpitäjiltä yleensä hyviä tiedonhallintakäytäntöjä. Näitä ovat velvollisuus käyttää tietoja asianmukaisesti ja turvallisella tavalla sekä velvollisuus käyttää henkilötietoja ainoastaan nimenomaisiin ja laillisiin tarkoituksiin. Kansalliset lait myös takaavat yksityishenkilöille eräitä oikeuksia, kuten oikeuden saada tietää, milloin ja mistä syystä henkilötietoja on käsitelty, oikeuden saada rekistereissä olevia tietoja ja tarvittaessa oikeuden saada tiedot muutetuiksi tai poistetuiksi. Vaikka tietosuojaa koskevilla kansallisilla laeilla on pyritty takaamaan samat oikeudet, lainsäädännöissä on kuitenkin ollut joitakin eroavaisuuksia. Nämä erot ovat saattaneet aiheuttaa esteitä tiedon vapaalle liikkuvuudelle ja lisätaakkoja taloudellisille toimijoille ja kansalaisille. Eräitä näistä ongelmista olivat tarve rekisteröityä tai saada lupa tietojen käsittelemiseen valvovilta viranomaisilta useassa jäsenvaltiossa, tarve noudattaa eri standardeja ja mahdollinen kielto siirtää tietoja toiseen EU:n jäsenvaltioon. Joissakin jäsenvaltioissa ei lisäksi ollut tietosuojaa koskevia lakeja. Näistä syistä tarvittiin Euroopan tasoista toimintaa, ja tämä tapahtui EY:n direktiivien muodossa. 3
EUROOPPALAINEN TIETOSUOJALAINSÄÄDÄNTÖ Tämän alan kansallisten säännösten yhdenmukaistamiseksi kehitettiin direktiivi 95/46/EY (tietosuojadirektiivi), jonka tarkoituksena oli poistaa tietojen vapaan liikkuvuuden esteet siten, että tietosuojaa ei heikennettäisi. Direktiivin tuloksena kaikkien kansalaisten henkilötiedoilla on sama suoja kaikkialla unionissa. EU:n viidentoista jäsenvaltion oli saatettava kansallinen lainsäädäntönsä direktiivin säännösten mukaiseksi 24. lokakuuta 1998 mennessä. Direktiivi on yhteisön laki, joka on osoitettu jäsenvaltioille. Direktiivi annetaan Euroopan laajuisesti, ja kaikkien jäsenvaltioiden on varmistettava, että sitä noudatetaan niiden oikeusjärjestelmässä. Direktiivissä säädetään lopputuloksesta. Kukin jäsenvaltio voi itse päättää tavoista, miten se soveltaa direktiiviä, kunhan lopputulos on sama. Periaatteessa direktiivi tulee voimaan kansallisten täytäntöönpanotoimenpiteiden (kansallinen laki) välityksellä. On kuitenkin mahdollista, että vaikka jäsenvaltio ei vielä olisikaan saattanut direktiiviä voimaan, joillakin sen säännöksillä voi olla välitöntä vaikutusta. Tämä tarkoittaa sitä, että jos direktiivissä annetaan välittömiä oikeuksia yksityishenkilöille, yksityishenkilö voi vedota direktiiviin oikeudessa ilman, että hänen tarvitsee odottaa kansallisella lainsäädännöllä tapahtuvaa täytäntöönpanoa. Lisäksi, jos yksityishenkilö on mielestään kärsinyt vahinkoa, koska kansalliset viranomaiset eivät ole panneet direktiiviä täytäntöön oikein, hänellä saattaa olla oikeus vaatia vahingonkorvauksia. Vahingonkorvauksia voidaan tuomita vain kansallisissa tuomioistuimissa. Tietosuojadirektiiviä sovelletaan toimintoihin tai toimintojen kokonaisuuksiin, joita kohdistetaan henkilötietoihin, mitä kutsutaan tietojen käsittelyksi. Tällaisia toimintoja ovat mm. henkilötietojen kerääminen, niiden säilyttäminen ja luovuttaminen. Direktiiviä sovelletaan tietoihin, joita käsitellään automaattisesti (esimerkiksi tietokoneella oleva asiakasrekisteri), ja tietoihin, jotka ovat osa tai joiden on tarkoitus muodostaa osa eiautomaattista rekisteröintijärjestelmää, josta ne ovat saatavilla tiettyjen kriteerien mukaisesti. (Tällaisia ovat esimerkiksi perinteiset paperikortistot, joissa asiakastiedot ovat aakkosjärjestyksessä nimen perusteella.) Tietosuojadirektiiviä ei sovelleta tietoihin, joita käsitellään pelkästään henkilökohtaisista syistä tai kotitalouden tarpeisiin (esimerkiksi sähköisessä muodossa oleva henkilökohtainen päiväkirja tai perheenjäsenten ja ystävien tiedot sisältävä kortisto). Sitä ei myöskään sovelleta sellaisilla aloilla kuin yleinen turvallisuus, puolustus tai rikosoikeus, jotka eivät kuulu EY:n toimivaltaan ja jotka ovat edelleen kansallisia etuoikeuksia. Kansallisessa lainsäädännössä on yleensä säädetty yksityishenkilön suojasta näissä asioissa. Lisäksi on olemassa erillinen direktiivi 97/66/EY, jossa käsitellään erityisesti yksityisyyden suojaa televiestinnässä. Direktiivissä säädetään, että jäsenvaltioiden on taattava viestinnän luottamuksellisuus kansallisen lainsäädännön avulla. Tämä tarkoittaa sitä, että kaikki luvaton kuuntelu, salakuuntelu, tallentaminen tai muunlainen viestien sieppaaminen tai valvominen on laitonta. Jos käyttäjälle on tarjolla kutsuvan linjan tunnistuspalvelu, käyttäjälle on annettava mahdollisuus olla käyttämättä tätä palvelua tai estää tunnistus heidän soittaessaan puhelimella. Vastaavasti palvelun käyttäjillä on oltava mahdollisuus olla vastaanottamatta tulevia puheluita soittajilta, jotka ovat estäneet tunnistuksen. Lisäksi direktiivissä säädetään, 4
että tilaajalla on periaatteessa veloituksetta oikeus siihen, että häntä ei mainita mahdollisissa painetuissa tai sähköisessä muodossa olevissa puhelinluetteloissa. 5
KUKA VOI OLLA REKISTERÖITY? OLEMME KAIKKI REKISTERÖITYJÄ. AINA KUN VARAAMME LENNON, HAEMME TYÖPAIKKAA, KÄYTÄMME LUOTTOKORTTIA TAI INTERNETIÄ, PALJASTAMME JOITAKIN TIETOJA ITSESTÄMME. 6
SÄÄNNÖT, JOITA REKISTERINPITÄJÄN ON NOUDATETTAVA Kuka voi olla rekisterinpitäjä? Rekisterinpitäjä on henkilö tai yhteisö, joka määrittelee henkilötietojen käsittelyn tarkoituksen ja keinot sekä julkisella että yksityisellä sektorilla. Lääkäri on yleensä potilastietojen rekisterinpitäjä; yritys on sen asiakkaita ja työntekijöitä koskevien tietojen rekisterinpitäjä; urheiluseura pitää rekisteriä jäsenistään ja yleinen kirjasto pitää rekisteriä käyttäjistään. Rekisterinpitäjien on kunnioitettava useita periaatteita. Periaatteiden tarkoituksena ei ole vain rekisteröityjen suojelu, vaan ne ovat myös osoitus hyvistä liikekäytännöistä, jotka myötävaikuttavat luotettavaan ja tehokkaaseen tietojenkäsittelyyn. Kaikkien rekisterinpitäjien on noudatettava sijaintijäsenvaltionsa tietojenkäsittelyä koskevia sääntöjä, vaikka käsitellyt tiedot koskisivatkin toisessa valtiossa asuvaa henkilöä. Jos rekisterinpitäjä ei ole sijoittautunut yhteisön alueelle (esimerkiksi ulkomainen yhtiö), sen on noudatettava jäsenvaltion lainsäädäntöä, jos käsittelylaitteisto (esimerkiksi tietojenkäsittelykeskus) sijaitsee Euroopan yhteisössä. SÄÄNNÖISSÄ SANOTAAN, ETTÄ: Tietoja on käsiteltävä asianmukaisella ja lainmukaisella tavalla. Tiedot on kerättävä nimenomaisia ja laillisia tarkoituksia varten ja käytettävä sen mukaisesti. Tietojen on oltava olennaisia eikä liian laajoja siihen tarkoitukseen, jota varten niitä käsitellään. Tietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä. Rekisterinpitäjien on tarjottava rekisteröidyille riittävä mahdollisuus korjata, poistaa tai jäädyttää heitä koskevat virheelliset tiedot. Tietoja, joiden perusteella henkilö voidaan tunnistaa, ei pidä säilyttää kauemmin kuin on tarpeen. Direktiivissä säädetään, että kaikissa jäsenvaltioissa on oltava yksi tai useampi viranomainen, jonka tehtävä on valvoa direktiivin soveltamista. Yksi valvontaviranomaisen velvollisuuksista on pitää ajan tasalla olevaa julkista rekisteriä, josta kaikki voivat saada tietoonsa kaikkien rekisterinpitäjien nimet ja heidän suorittamiensa käsittelyjen laadun. Periaatteessa kaikkien rekisterinpitäjien on ilmoitettava valvontaviranomaiselle tietojen käsittelystä. Jäsenvaltiot voivat sallia, että tietyt tietojen käsittelyn tyypit, joihin ei liity erityisiä riskejä, vapautetaan ilmoitusmenettelystä tai menettelyä voidaan yksinkertaistaa. Vapauttaminen ja yksinkertaistaminen voidaan sallia myös, jos rekisterinpitäjä on kansallista lakia noudattaen nimennyt riippumattoman tietosuojasta vastaavan henkilön. Jäsenvaltiot voivat vaatia, että valvontaviranomaiset tarkistavat ennakolta tietojen 7
käsittelyt, joihin liittyy erityisiä riskejä. Jäsenvaltioiden on päätettävä, mihin tietojen käsittelyyn liittyy erityisiä riskejä. Milloin henkilötietoja voidaan käsitellä? Henkilötietoja voidaan käsitellä (eli kerätä ja käyttää) ainoastaan siinä tapauksessa, että * Rekisteröity on yksiselitteisesti antanut suostumuksensa eli jos hän on riittävästi asiasta tietoja saatuaan vapaasti ja nimenomaisesti hyväksynyt tietojen käsittelyn. * Tietojen käsittely on tarpeen rekisteröidyn toivoman sopimuksen täytäntöön panemiseksi tai sopimuksen tekemiseksi; esimerkiksi tietojen käsittely laskutuksen yhteydessä tai työpaikan tai lainan hakijaan liittyvien tietojen käsittely. * Laki edellyttää tietojen käsittelyä. * Tietojen käsittely on tarpeen rekisteröidyn elintärkeän edun suojelemiseksi. Tästä on esimerkki auto-onnettomuuden yhteydessä lääkintähenkilökunnan tajuttomalle henkilölle tekemä verikoe, jos sitä pidetään tarpeellisena rekisteröidyn hengen pelastamiseksi. * Tietojen käsittely on tarpeen yleisen edun mukaisten tehtävien suorittamiseksi tai viranomaisten (kuten valtion viranomaiset, veroviranomaiset, poliisi ja niin edelleen) tehtävien täyttämiseksi. * Tietoja voidaan myös käsitellä aina, kun rekisterinpitäjällä tai kolmannella osapuolella on oikeutettu syy siihen. Syy ei kuitenkaan voi ylittää rekisteröidyn perusoikeuksia ja erityisesti oikeutta yksityisyyden suojaan. Tällä määräyksellä vakiinnutetaan tarve päästä kohtuulliseen tasapainoon käytännössä rekisterinpitäjien liike-edun ja rekisteröityjen yksityisyyden välillä. Tasapainoa arvioi ensisijaisesti tietosuojaviranomaisten valvonnassa toimiva rekisterinpitäjä, vaikka tuomioistuimilla on tarvittaessa lopullinen päätösvalta. Arkaluontoiset tiedot Arkaluontoisten tietojen käsittelyä koskevat erittäin tiukat säännöt. Tällaisia tietoja ovat rodulliseen tai etniseen alkuperään, poliittisiin mielipiteisiin, uskonnolliseen tai filosofiseen vakaumukseen, ammattiyhdistysten jäsenyyteen, terveyteen tai seksuaaliseen käyttäytymiseen liittyvät tiedot. Periaatteessa näitä tietoja ei voida käsitellä. Poikkeuksia voidaan sallia hyvin erityisin edellytyksin. Tällaisia edellytyksiä ovat se, että rekisteröity on antanut nimenomaisen suostumuksensa siihen, tietojen käsittely työllisyyslain puitteissa, tapaukset joissa rekisteröidyn on mahdotonta antaa suostumusta (esim. liikenneonnettomuuden uhrille tehtävä verikoe), julkisesti ilmoitettujen henkilötietojen käsittely tai ammattiyhdistysten, poliittisten puolueiden tai kirkkojen tekemä jäsentensä tietojen käsittely. Jäsenvaltiot voivat tietyissä tapauksissa määrätä lisää poikkeuksia elintärkeiden yleisten etujen suojelemiseksi. Koskeeko direktiivi tietojen siirtoa Internetissä? 8
Internetin kaltaisen merkittävän siirtovälineen jättäminen pois tietosuojadirektiivin soveltamisalasta olisi sekä epäloogista että oikeudellisesti perusteetonta. Koska Internetin välityksellä siirretään suuria määriä erilaisia henkilötietoja kaikkialla maailmassa, myös maihin, joissa tietosuojan taso ei ole riittävä, kysymykseen on kiinnitettävä erityistä huomiota. Tietosuojadirektiivi on sen vuoksi teknisesti neutraali: sitä sovelletaan aina henkilötietojen käsittelyssä käytetystä teknisestä menetelmästä riippumatta. Direktiivi koskee esimerkiksi henkilötietojen näkymätöntä keräämistä Internetissä (esim. käyttäjien surffailutapojen seurannassa käytetyt evästeet). Jos toisaalta henkilötietoja kerätään näkyvällä tavalla, voidaan katsoa, että omia tietojaan siirtävä yksityishenkilö on antanut suostumuksensa sellaiseen siirtoon, jos hänelle on riittävästi tiedotettu siihen liittyvistä riskeistä. Kysymys: Yksityishenkilö saa jatkuvasti ei-toivottuja sähköpostiviestejä. Miten tämä voidaan estää, kun viestit tulevat useasta eri lähteestä? Vastaus: Yksityishenkilöllä on oikeus kieltäytyä häntä koskevien henkilötietojen käsittelystä suoramarkkinointitarkoituksiin. Lisäksi yksityishenkilö voi vaatia Internet-palvelujen tarjoajaansa asentamaan postisuodattimia tai ottaa yhteyttä johonkin yhdistykseen, joka on erikoistunut ei-toivottujen sähköpostien estämiseen (CAUCE, Privacy International ja niin edelleen). On myös muita palveluja, jotka auttavat yksityishenkilöitä estämään ei-toivottuja viestejä, kuten www.spamfree.org. Jos ongelma jatkuu, henkilö voi ottaa yhteyttä kansalliseen valvontaviranomaiseen. 9
REKISTERÖIDYN OIKEUDET Rekisteröidyllä on oikeus saada tietää kaikesta häntä koskevien tietojen käsittelystä. Rekisterinpitäjien on ilmoitettava keruusta rekisteröidylle aina rekisteröidyn henkilötietoja kerätessään, ellei rekisteröidylle ole jo ilmoitettu asiasta. Rekisteröidyllä on oikeus tietää, kuka on rekisterinpitäjä, mitä tarkoitusta varten tietoja käsitellään, esimerkiksi kuka tiedot saa ja mitä erityisiä oikeuksia rekisteröidyillä on. Rekisteröidyllä on oikeus saada nämä tiedot siitä riippumatta, onko tiedot saatu suoraan tai välillisesti kolmansilta osapuolilta. Viimeksi mainittuun tapaukseen saattaa liittyä poikkeuksia, jos tämän tiedon antaminen osoittautuu mahdottomaksi tai äärimmäisen vaikeaksi tai jos laki sitä vaatii. Rekisteröidyllä on oikeus tutustua itseään koskeviin tietoihin. Rekisteröity voi tiedustella keneltä tahansa rekisterinpitäjältä, käsitteleekö tämä rekisteröityä koskevia henkilötietoja, saada kopion tiedoista selkeäkielisessä muodossa ja saada kaikki käytettävissä olevat tiedot niiden lähteistä. Jos henkilötiedot ovat virheellisiä tai niitä on käsitelty laittomasti, rekisteröidyllä on oikeus pyytää tietojen korjaamista, poistamista tai jäädyttämistä. Sellaisissa tapauksissa rekisteröity voi myös vaatia, että rekisterinpitäjä ilmoittaa asiasta virheelliset tiedot nähneille kolmansille osapuolille, ellei tämä osoittaudu mahdottomaksi. Tietoihin tutustumisesta voidaan joissakin tapauksissa periä kohtuullinen maksu. Rekisteröidyllä on myös oikeus saada tietoonsa perusteet, joihin automaattiset päätökset perustuvat. Rekisteröityyn merkittävästi vaikuttavat päätökset, kuten päätökset lainan tai vakuutuksen myöntämisestä, saatetaan tehdä pelkästään automaattisen tietojen käsittelyn pohjalta. Sen vuoksi rekisterinpitäjän on noudatettava asianmukaisia suojatoimenpiteitä, esimerkiksi annettava rekisteröidylle mahdollisuus keskustella kerättyjen tietojen taustalla olevista syistä ja kyseenalaistaa päätökset, jotka perustuvat virheellisiin tietoihin. Poikkeukset ja rajoitukset Oikeus yksityisyyteen saattaa joskus olla ristiriidassa ilmaisunvapauden kanssa ja erityisesti lehdistön ja muiden tiedotusvälineiden vapauden kanssa. Jäsenvaltioiden on sen vuoksi tietosuojaa koskevissa laeissaan säädettävä poikkeuksista, jotta näiden erilaisten mutta yhtä lailla perustavanlaatuisten oikeuksien välillä saavutettaisiin tasapaino. Kansallisissa laeissa voidaan sallia myös muita poikkeuksia direktiiviin. (Näitä ovat velvollisuus tiedottaa rekisteröidylle, tiedonkäsittelyn julkistaminen ja velvollisuus kunnioittaa hyvän tiedonhallinnon perusperiaatteita.) Poikkeukset sallitaan, jos ne ovat muun muassa tarpeen kansallisen turvallisuuden, puolustuksen, rikosten selvittämisen tai rikoslain täytäntöönpanon vuoksi tai rekisteröityjen suojelemiseksi tai muiden oikeuksien ja vapauksien puolustamiseksi. Lisäksi voidaan myöntää poikkeus oikeudesta tutustua tietoihin, jotka on käsitelty tieteellisiä tai tilastointitarkoituksia varten. 10
MITÄ TEHDÄ, JOS OIKEUKSIA LOUKATAAN? Jos rekisteröity epäilee, että hänen oikeuksiaan on loukattu, hänen olisi rekisterinpitäjän selvittääkseen ensimmäiseksi otettava yhteyttä henkilöön, joka näyttäisi olevan vastuussa loukkaamisesta. Ellei tämä tuota tyydyttävää tulosta, rekisteröity voi ottaa yhteyttä paikalliseen tietosuojaviranomaiseen. Direktiivin mukaan kaikkien jäsenvaltioiden on nimettävä yksi tai useampi viranomainen, jonka tehtävä on varmistaa tietosuojalain asianmukainen noudattaminen. Tämä viranomainen, josta käytetään usein nimitystä valvontaviranomainen, on toimivaltainen käsittelemään kenen tahansa yksityishenkilön tai yrityksen tekemiä valituksia. Valvontaviranomaisen on tutkittava valitus, ja se voi tilapäisesti kieltää tietojen käsittelyn. Jos valvontaviranomainen toteaa, että tietosuojalakia on rikottu, valvontaviranomainen voi määrätä poistamaan tai tuhoamaan tiedot ja/tai kieltää niiden enemmän käsittelyn. Kysymys: Televiestintäyhteyden tarjoaja on antanut tietoja rekisteröidyn puhelin- tai sähköpostitilistä toiselle yhtiölle. Sen tuloksena rekisteröity saa eitoivottuja puheluja tai sähköpostiviestejä. Mitä tehdä? Vastaus: Jos henkilötiedot on kerätty ainoastaan laskutusta varten ja rekisteröity ei ole antanut suostumusta häntä koskevien tietojen välittämiseksi edelleen, rekisteröidyllä on oikeus olla hyväksymättä henkilötietojen siirtoa kolmansille osapuolille. Ensimmäinen askel on kirjoittaa palvelun tarjoajalle ja ilmaista selkeästi valituksen aihe. Jos valitukseen ei tule tyydyttävää vastausta, rekisteröidyn olisi otettava yhteyttä kansalliseen valvontaviranomaiseen. Kysymys: Rekisteröidylle ei myönnetä lainaa, koska pankin tiedostot ovat virheellisiä. Rekisteröity on esittänyt pankille tutustumisvaatimuksen saadakseen selville, mitä häntä koskevia luottokelpoisuustietoja on talletettu pankin tietokoneelle. Pankki ei kuitenkaan ole vastannut tutustumisvaatimukseen. Rekisteröity on soittanut useita asiaa koskevia puheluita pankkiin, mutta tuloksetta. Mitä tehdä? Vastaus: Direktiivissä sanotaan, että rekisteröidyllä on oikeus tutustua kaikkiin häntä koskeviin henkilötietoihin ilman aiheetonta viivytystä. Jos tiedot ovat virheellisiä, rekisteröidyllä on oikeus korjata ne. Ellei rekisteröity saa vastausta pankilta kohtuullisen ajan kuluessa, hän voi siis valittaa suoraan kansalliselle valvontaviranomaiselle. Direktiivin mukaan kansallisen valvontaviranomaisen on tutkittava valitus ja ilmoitettava valittajalle tutkimuksen tuloksista. Kun rekisteröity ottaa yhteyttä valvontaviranomaiseen, hänen olisi kuvailtava ongelma (mieluiten kirjallisesti) ja annettava riittävästi tietoja, jotta ongelman laatu selviää. Joissakin jäsenvaltioissa valvontaviranomaisella on vakiomuotoisia lomakkeita, joilla valitus tehdään. Jos lomakkeita on saatavilla, niitä olisi käytettävä, koska se nopeuttaa tapauksen käsittelyä ja rekisteröity saa vastauksen nopeammin. Joissakin jäsenvaltioissa valitus voidaan tehdä sähköpostitse. Toisissa se ei vielä ole mahdollista. Ellei tämä johda tyydyttävään tulokseen, rekisteröidyn on ehkä vietävä asia oikeuteen. Jos näin tapahtuu, on hyvä turvautua asianajajaan. Asian vieminen oikeuteen saattaa olla tarpeen myös, jos rekisteröidylle on koitunut vahinkoa oikeuksien loukkaamisen vuoksi, jolloin hänellä saattaa olla oikeus vahingonkorvaukseen. 11
Kysymys: Rekisteröidyn työnantaja on antanut rekisteröidyn terveydentilaa koskevat tiedot rekisteröidyn pankille ilman hänen lupaansa. Terveydentilaa koskevat tiedot ovat ehkä aiheuttaneet sen, että pankki kieltäytyy myöntämästä rekisteröidylle asuntolainaa. Onko rekisteröidyllä oikeus vahingonkorvaukseen? Vastaus: Rekisteröidyllä on oikeus vahingonkorvaukseen, jos hän on kärsinyt vahinkoa henkilötietojen laittoman paljastamisen johdosta. Näin saattaa olla, jos terveydentilaa koskevia tietoja on luovutettu ilman hänen lupaansa. Kuka tahansa yksityishenkilö tai yritys voi tehdä komissiolle valituksen jäsenvaltion väitetystä yhteisön lainsäädännön rikkomisesta. Euroopan komission tehtävänä on varmistaa, että jäsenvaltiot noudattavat yhteisön lainsäädäntöä. Tarvittaessa komissio muistuttaa jäsenvaltioita niiden velvollisuudesta soveltaa yhteisön lainsäädäntöä ajallaan ja asianmukaisesti. Jos jäsenvaltio ei täytä näitä velvoitteitaan, komission täytyy joissakin tapauksissa ehkä viedä asia Euroopan yhteisöjen tuomioistuimeen, joka ratkaisee, onko yhteisön lakeja rikottu. Valittajan ei tarvitse todistaa, että väitetyllä rikkomisella on välitöntä vaikutusta häneen. Komissio ei kuitenkaan voi ratkaista yksityisten osapuolten välisiä kiistoja. Valituksen tekeminen on maksutonta ja valitus voidaan tehdä ilman asianajajaa. Valitukseen on muistettava sisällyttää asiaan liittyvät tiedot ja asiakirjat (esim. asiaa koskevat kansalliset lait). Valitus voidaan tehdä komissiolle kirjoittamalla osoitteeseen: Euroopan yhteisöjen komissio (pääsihteerin tietoon / for the attention of the Secretary-General) Rue de la Loi 200, B-1049 Bruxelles. tai käyttämällä vakiomuotoista lomaketta, jonka saa pyynnöstä komission edustustoista jäsenvaltioissa ja Internetistä osoitteesta http://europa.eu.int/comm/sg/lexcomm 12
TIEDONSIIRROT MUIHIN KUIN EU-MAIHIN Jos tietoja siirretään maihin, jotka eivät ole EU:n jäsenvaltioita, saattaa olla tarpeen ryhtyä erityisiin varotoimenpiteisiin, jos tietosuojan taso kyseisessä maassa ei vastaa yhteisön lainsäädännön vaatimaa tasoa. Ilman erityisiä sääntöjä direktiivin tarjoama korkealaatuinen tietosuoja murenisi nopeasti, koska tietoja voidaan nykyään siirtää helposti kansainvälisissä verkoissa. Direktiivin periaate on, että henkilötietoja voidaan siirtää ainoastaan sellaisiin EU:n ulkopuolisiin maihin, jotka takaavat tietosuojan riittävän tason. Parhaillaan tutkitaan eri maiden tietosuojalakeja ja käydään neuvotteluja EU:n tärkeimpien kauppakumppanien kanssa, jotta voitaisiin päättää, missä maissa tietosuojan taso on riittävä. Jos tietyssä kolmannessa maassa ei taata tietosuojan riittävää tasoa, tarkemmin määritellyt tietojensiirrot on direktiivin mukaan estettävä. Jäsenvaltioiden on ilmoitettava komissiolle kaikista sellaisista estämistoimenpiteistä, jonka jälkeen yhteisön toimenpiteellä varmistetaan, että jäsenvaltion päätös estää tietojen siirtäminen joko laajennetaan koskemaan kaikkia kyseisenlaisia EU:sta tehtäviä tietojen siirtoja tai perutaan. Mitä EU:n ulkopuolisten maiden yhtiöt voivat tehdä? Henkilötietojen siirtämisen estäminen on viimeisenä käyttöön otettava keino. Tietojen riittävä suojaus voidaan varmistaa muilla tavoin häiritsemättä kansainvälisiä tiedonsiirtoja ja liiketoimia, joihin tiedot liittyvät. Jos EU:n yritykset ovat epävarmoja siitä, tarjoaako EU:n ulkopuolisen maan lainsäädäntö tai muut säännöt tietosuojan riittävän tason, niiden kannattaa hoitaa tietosuoja itse. Se voidaan tehdä tiedot lähettävän yhtiön ja tiedot vastaanottavan EU:n ulkopuolisen maan yhtiön välisellä sopimuksella. Sopimuksen tarkoituksena on antaa riittävät takeet henkilöiden yksityisyyden suojasta ja perusoikeuksien ja -vapauksien suojasta sekä vastaavien oikeuksien soveltamisesta. Jos toteutetaan asianmukaisia suojatoimenpiteitä, EU:n jäsenvaltiolla ei pitäisi olla syytä estää sen kansalaisia koskevien tietojen siirtämistä. YHTEYSTIEDOT 13
TIETOSUOJAKYSYMYKSISTÄ VASTAAVAT VIRANOMAISET JÄSENVALTIOISSA Itävalta: Österreischische Datenschutzkommission Ballhausplatz, 1 A-1014 WIEN P. (43-1) 531 15 26 79 F. (43-1)531 15 26 90 Ei www-sivustoa Tanska: Datatilsynet Christians Brygge, 28 4 DK-1559 KØBENHAVN V P. (45-33) 14 38 44 http://www.datatilsynet.dk/ dt@datatilsynet.dk Ranska: Commission Nationale de l Informatique et des Libertés Rue Saint Guillaume, 21 F-75340 PARIS Cedex 7 P. (33-1) 53 73 22 22 http://www.cnil.fr/ Kreikka: Hellenic Data Protection Authority 8 Omirou Street GR-106 54 Athens, Greece P. (301-33) 526 04/5 F. (301-33) 526 17 http://www.dpa.gr Contact@dpa.gr Italia: Garante per la protezione dei dati personali Largo del Teatro Valle, 6 I-00186 ROMA P. (39) 06 68 18 61 Ei www-sivustoa Alankomaat: College Bescherming Persoonsgegevens Prins Clauslaan 20 Postbus 93374 NL-2509 AJ s-gravenhage P. (31-70) 381 13 00 http://www.cbpweb.nl/ Espanja: Agencia de Protección de Datos Paseo de la CasP.lana, N 41, 5a planta E-28046 MADRID P. (34) 913 08 40 17 http://www.ag-protecciondatos.es/ Belgia: Commission de la protection de la vie privée Postiosoite: Ministère de la Justice Bd. de Waterloo, 115 B-1000 BRUXELLES Käyntiosoite: Avenue de la Porte de Hall, 5-8 B-1060 BRUXELLES P. (32-2) 542 72 00 F. (32-2) 542 72 12 Sähköposti: privacy@euronet.be http://www.privacy.fgov.be/ Suomi: Tietosuojavaltuutetun toimisto PL 315 FIN-00181 HELSINKI P. (358-9) 182 51 http://www.tietosuoja.fi/ Saksa: Der Bundesbeauftragte für den Datenschutz Postfach 20 01 12 D-53131 BONN (Bad Godesberg) P. (49-228) 81 99 50 http://www.bfd.bund.de/ Irlanti: Data Protection Commissioner Irish Life Centre, Block 4 Talbot Street DUBLIN 1-IRL P. (353-1) 874 85 44 Ei www-sivustoa Luxemburg: Commission à la Protection des Données Nominatives Ministère de la Justice Boulevard Royal, 15 L-2934 LUXEMBOURG P. (352) 478 45 46 Ei www-sivustoa Portugali: Comissão Nacional de Protecção de Dados Pessoais Informatizados R. de S. Bento, 148 3º P-1200-821 LISBOA P. (351-21) 392 84 00 http://www.cnpd.pt Ruotsi: Datainspektionen Fleminggatan, 14 9th Floor Box 8114 S-104 20 STOCKHOLM P. (46-8) 657 61 00 http://www.datainspektionen.se/ 14
Yhdistynyt kuningaskunta: Data Protection Commissioner Water Lane Wycliffe House UK-WILMSLOW CHESHIRE SK9 5AF P. (44-1625) 54 57 45 http://www.dataprotection. gov.uk EFTAmaat Islanti: Ministry of Justice Data Protection Commission Arnarhvoll IS-150 REYKJAVIK P. (354) 560 90 10 Ei www-sivustoa Norja: Datatilsynet The Data Inspectorate P.B. 8177 Dep N-0034 OSLO P. (47-22) 42 19 10 Http://www.datatilsynet.no/ EUROOPAN KOMISSION SUOMEN EDUSTUSTO Pohjoisesplanadi 31 PL 1250 FIN-00100 Helsinki P. (358-9) 622 65 44 Puhelinpalvelu klo 9 11.30 / P. (358-9) 62 26 54 82 Käsikirjasto avoinna klo 12 15 Julkaisutilaukset myös F. (358-9) 62 68 71 YHTEYSPISTE SISÄMARKKINAONGELMIEN RATKAISEMISEKSI Kauppa- ja teollisuusministeriön markkinaosastolla toimii yhteyspiste, jonne yritykset ja kansalaiset voivat tehdä vapaamuotoisen ilmoituksen, mikäli kohtaavat ongelmia sisämarkkinoilla. Ongelmat voivat liittyä esimerkiksi tavaroiden vapaaseen liikkuvuuteen tai oikeuteen työskennellä toisessa jäsenvaltiossa. Yhteyspiste toimii yhteistyössä Suomen viranomaisten, muiden jäsenvaltioiden yhteyspisteiden sekä tarvittaessa Euroopan komission kanssa ongelmien selvittämiseksi. Kauppa- ja teollisuusministeriö Markkinaosasto / Tutkija Petri Kuurma PL 230 FIN-00171 Helsinki P. (358-9) 160 36 27 F. (358-9) 160 40 22 Internet: petri.kuurma@ktm.vn.fi VUOROPUHELU KANSALAISTEN JA YRITYSTEN KANSSA Suora Linja Eurooppaan -ohjelman maksuton palvelunumero: 08001 131 91 Internet: http://europa.eu.int/citizens http://europa.eu.int/business Tämän numeron tai Internet-sivujen kautta voi myös saada apua oikeuksien käyttöön liittyvissä ongelmissa ilmaisesta vastauspalvelustamme ( Signpost Service ). Kysymykseen vastataan kolmen työpäivän kuluessa, ja tarvittaessa samalla myös neuvotaan, mihin on parasta ottaa seuraavaksi yhteyttä ongelman ratkaisemiseksi. 15
Suuri määrä muuta tietoa Euroopan unionista on käytettävissä Internetissä Europa-palvelimen kautta (http://europa.eu.int). Luxemburg: Euroopan yhteisöjen virallisten julkaisujen toimisto, 2000 Euroopan yhteisöt, 2000 Tekstin jäljentäminen on sallittua, kunhan lähde mainitaan. Printed in Belgium PAINETTU KLOORIVALKAISEMATTOMALLE PAPERILLE Euroopan komissio Tietosuoja Euroopan unionissa Luxemburg: Euroopan yhteisöjen virallisten julkaisujen toimisto 2000 22 s. 14,8 x 21 cm 16
VUOROPUHELUA KANSALAISTEN JA YRITYSTEN KANSSA SUORA LINJA EUROOPPAAN Tämä palvelu tarjoaa Euroopan unionia ja sen yhtenäismarkkinoita käsitteleviä oppaita. Niihin liittyy tietosivuja, joissa kerrotaan, kuinka oikeuksiaan voi käyttää kussakin EU-maassa. Muut Kansalaisena Euroopassa -sarjaan kuuluvat oppaat ja tietosivut ovat Internet-osoitteestamme http://europa.eu.int/citizens Voit myös tilata niitä käyttämällä tähän oppaaseen sisältyvää tilauslomaketta. 4 6 8 PF-39-99-014-FI-C Jos et löydä oikeuksiesi käyttämistä koskevaa käytännön tietoa tästä oppaasta, neuvoja voit saada vastauspalvelusta ( signpost service ). Vastauspalveluun saat yhteyden joko soittamalla maksuttomaan palvelunumeroon Suora linja Eurooppaan: cfr. http://europa.eu.int/europedirect/ tai Internet-osoitteestamme. EUROOPAN KOMISSIO PÄÄOSASTO Sisämarkkinat PÄÄOSASTO Koulutus ja kulttuuri EUROOPAN YHTEISÖJEN VIRALLISTEN JULKAISUJEN TOIMISTO L-2985 Luxembourg 17
VUOROPUHELU KANSALAISTEN JA YRITYSTEN KANSSA Tilauslomake Suora linja Eurooppaan -palvelu tarjoaa Euroopan unionia ja sen yhtenäismarkkinoita käsitteleviä oppaita. Niihin liittyy tietosivuja, joissa kerrotaan, kuinka oikeuksiaan voi käyttää kussakin EUmaassa. Merkitkää rastilla haluamanne oppaat ja tietosivut. Ilmoittakaa tietosivuja tilatessanne sen maan tunnus, josta olette kiinnostunut. Belgia (B), Tanska (DK), Saksa (D), Kreikka (EL), Espanja (E), Ranska (F), Irlanti (IRL), Italia (I), Luxemburg (L), Alankomaat (NL), Itävalta (A), Portugali (P), Suomi (FIN), Ruotsi (S), Yhdistynyt kuningaskunta (UK) Jokaiseen aiheeseen liittyy opas sekä tietosivuja. Oppaat on merkitty tummennetuin suuraakkosin, tietosivut normaalein kirjaimin. TIETOSUOJA EUROOPAN UNIONISSA Oppaaseen ei liity tietosivuja. NAISTEN JA MIESTEN YHTÄLÄISET OIKEUDET JA MAHDOLLISUUDET EUROOPAN UNIONISSA KUINKA TURVATA OIKEUTENSA YHTENÄISMARKKINOILLA Sisäinen muutoksenhaku viranomaisilta Muutoksenhaku muutoin kuin oikeusteitse Muutoksenhaku oikeusteitse Oikeudellinen neuvonta / oikeusapu... (maatunnus) Oppaaseen ei liity tietosivuja. TYÖSKENTELY TOISESSA EUROOPAN UNIONIN MAASSA Oikeus työnsaantiin Työpaikan etsiminen Oleskeluoikeus ( 1 ) Sosiaaliturva Sosiaaliedut Verotus ( 1 ) Rajatyöntekijät Kansallisen koulutusjärjestelmän perusteet ( 1 ) Tutkintojen tunnustaminen -tietosivut: merkitkää haluamanne tietosivut viereisessä ruudussa olevaan Opiskelu-oppaaseen liittyvään listaan. TAVAROIDEN JA PALVELUIDEN OSTAMINEN EUROOPAN SISÄMARKKINOILLA Tuoteturvallisuus Harhaanjohtava mainonta Kotimyynti Kohtuuttomat sopimusehdot Pankkitilin avaaminen toisessa jäsenvaltiossa Liikennevakuutukset Ylivaratut lennot ( 1 ) Valmismatkat ( 1 ) Lomaosakkeita koskevat sopimukset (time-sharing)... (maatunnus) OPAS TYÖNHAKIJOILLE EU:SSA... (maatunnus)... (maatunnus) 18
OPISKELU, KOULUTUS JA TUTKIMUS TOISESSA EUROOPAN UNIONIN MAASSA Kansallisen koulutusjärjestelmän perusteet ( 1 ) Tutkijankoulutus ja tutkijoiden liikkuvuus Euroopassa Oleskeluoikeus ( 1 ) Tutkintojen tunnustaminen, valitkaa ammatti, joka kiinnostaa teitä (vain yksi ammatti): Terveydenhoitoalan ammatit Opettajat Insinöörit Asianajajat Yleis- ja erikoislääkärit Apteekkarit Hammaslääkärit Kätilöt Eläinlääkärit Yleissairaanhoitajat Arkkitehdit Muut säännellyt ammatit (yleinen järjestelmä)... (maatunnus) OLESKELU JA ASUMINEN TOISESSA EUROOPAN UNIONIN MAASSA Oleskeluoikeus ( 1 ) Verotus ( 1 ) Äänioikeus ja vaalikelpoisuus Euroopan parlamentin vaaleissa Ajokortti Ajoneuvojen verotus Ajoneuvojen tyyppihyväksyntä ja rekisteröinti... (maatunnus) MATKUSTAMINEN TOISESSA EUROOPAN UNIONIN MAASSA Ilmoittaminen oleskelusta toisessa unionin maassa Viisumin hankinta perheenjäsenille, jotka eivät ole jonkin Euroopan unionin jäsenvaltion kansalaisia Ylivaratut lennot Valmismatkat ( 1 ) Konsuliapu Euroopan unionin kansalaisille ( 1 )... (maatunnus) Jos käytössänne on Internet, kaikki yllä oleva tieto löytyy Internet-osoitteesta: http://europa.eu.int/citizens Saat kaiken tilaamasi tiedon suomeksi. Merkitse rasti ruutuun, jos haluat tiedot myös valitsemasi maan virallisella kielellä (virallisilla kielillä): ( 1 ) Eri oppaisiin liittyvät samannimiset tietosivut ovat sisällöltään täysin samanlaisia. Merkitkää vain yksi rasti. 19
Täytetään suuraakkosin tai kirjoituskoneella tai käyttäen osoitetarraa. Nimi Lähiosoite Postinumero ja postitoimipaikka Maa Asiakasnumero (mikäli tiedossa) Lähettäkää tilauslomake seuraavaan osoitteeseen: Euroopan komissio Suora linja Eurooppaan P.O. Box 1712 L-1017 LUXEMBOURG 20