29 ARTIKLAN MUKAINEN TIETOSUOJATYÖRYHMÄ



Samankaltaiset tiedostot
Tietosuojatyöryhmä. Työryhmän 23 päivänä helmikuuta 1999 hyväksymä. suositus 1/99

Ehdotus NEUVOSTON PÄÄTÖS

Ehdotus EUROOPAN PARLAMENTIN JA NEUVOSTON DIREKTIIVI

KOMISSION DELEGOITU ASETUS (EU) /, annettu ,

Oikeudellisten asioiden valiokunta LAUSUNTOLUONNOS. sisämarkkina- ja kuluttajansuojavaliokunnalle

Direktiivin 98/34/EY ja vastavuoroista tunnustamista koskevan asetuksen välinen suhde

Tiedote yleisen tietosuoja-asetuksen mukaisista tiedonsiirroista sopimuksettoman brexitin tapauksessa

LIITE. ETA:n SEKAKOMITEAN PÄÄTÖS N:o /2015, annettu..., ETA-sopimuksen liitteen XX (Ympäristö) muuttamisesta. asiakirjaan

Valtuuskunnille toimitetaan oheisena asiakirja COM(2018) 249 final LIITTEET 1 ja 2.

Asia C-540/03. Euroopan parlamentti vastaan Euroopan unionin neuvosto

Euroopan unionin neuvosto Bryssel, 24. marraskuuta 2016 (OR. en)

EUROOPAN KOMISSIO OIKEUS- JA KULUTTAJA-ASIOIDEN PÄÄOSASTO TIEDONANTO

Lausunto 4/2010 henkilötietojen käyttöä suoramarkkinoinnissa koskevista Euroopan suoramarkkinointiliiton (FEDMA) eurooppalaisista käytännesäännöistä

KOMISSION TÄYTÄNTÖÖNPANOASETUS (EU) /, annettu ,

LAUSUNTOLUONNOS. FI Moninaisuudessaan yhtenäinen FI. Euroopan parlamentti 2015/0068(CNS) oikeudellisten asioiden valiokunnalta

Euroopan unionin neuvosto Bryssel, 22. syyskuuta 2016 (OR. en)

Lausunto 2/2007 matkustajarekisteritietojen (PNR) siirtoa Yhdysvaltojen viranomaisille koskevien tietojen toimittamisesta matkustajille

Euroopan unionin virallinen lehti. (Muut kuin lainsäätämisjärjestyksessä hyväksyttävät säädökset) ASETUKSET

Ref. Ares(2014) /07/2014

Sisämarkkina- ja kuluttajansuojavaliokunta LAUSUNTOLUONNOS. sisämarkkina- ja kuluttajansuojavaliokunnalta

29 artiklan mukainen tietosuojatyöryhmä

Euroopan unionin neuvosto Bryssel, 1. joulukuuta 2014 (OR. en)

Euroopan unionin neuvosto Bryssel, 30. toukokuuta 2016 (OR. en) Jeppe TRANHOLM-MIKKELSEN, Euroopan unionin neuvoston pääsihteeri

12310/16 pmm/mmy/pt 1 DG F 2B

Euroopan unionin neuvosto Bryssel, 21. toukokuuta 2019 (OR. en)

KOMISSION TÄYTÄNTÖÖNPANOASETUS (EU)

KOMISSION TÄYTÄNTÖÖNPANOASETUS (EU) /, annettu ,

Valtuuskunnille toimitetaan oheisena asiakirja D045714/03.

EUROOPAN UNIONIN NEUVOSTO. Bryssel, 3. kesäkuuta 2014 (OR. en) 9412/14 Toimielinten välinen asia: 2013/0418 (NLE) LIMITE ENV 429 WTO 162

Tietosuojalainsäännön katsaus Virpi Korhonen, lainsäädäntöneuvos

Naisten oikeuksien ja sukupuolten tasa-arvon valiokunta LAUSUNTOLUONNOS. naisten oikeuksien ja sukupuolten tasa-arvon valiokunnalta

KOMISSION TÄYTÄNTÖÖNPANOASETUS (EU) /, annettu ,

FI Moninaisuudessaan yhtenäinen FI A8-0356/58. Tarkistus. József Nagy, Jeroen Lenaers PPE-ryhmän puolesta

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton tapahtumarekisterissä

toisen maksupalveludirektiivin väitettyä rikkomista koskevista valitusmenettelyistä

Henkilötietojen käsittely tietosuojalain voimaantulon viivästyessä

Ehdotus NEUVOSTON PÄÄTÖS

Ehdotus NEUVOSTON TÄYTÄNTÖÖNPANOPÄÄTÖS

FI Moninaisuudessaan yhtenäinen FI A8-0305/4. Tarkistus. Mireille D'Ornano ENF-ryhmän puolesta

FI Moninaisuudessaan yhtenäinen FI A8-0245/235. Tarkistus

KOMISSION TÄYTÄNTÖÖNPANOASETUS (EU) /, annettu , (ETA:n kannalta merkityksellinen teksti)

KOMISSION DELEGOITU ASETUS (EU) /, annettu ,

asuntoluottodirektiivin mukaisista luotonvälittäjiä koskevista notifikaatioista

Euroopan unionin neuvosto Bryssel, 27. marraskuuta 2014 (OR. en)

(ETA:n kannalta merkityksellinen teksti)

Ehdotus NEUVOSTON PÄÄTÖS

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Vähittäiskaupan tutkimussäätiössä

Ohjeet MiFID II-direktiivin liitteen I kohtien C6 ja C7 soveltamisesta

Ehdotus NEUVOSTON TÄYTÄNTÖÖNPANOPÄÄTÖS

Ehdotus NEUVOSTON PÄÄTÖS

Hallituksen esitys yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi - TIETOSUOJALAKI

Ehdotus NEUVOSTON PÄÄTÖS

Ehdotus NEUVOSTON DIREKTIIVI

Euroopan unionin neuvosto Bryssel, 16. tammikuuta 2018 (OR. en)

FI LIITE I LIITE HAKEMUS REKISTERÖIDYKSI VIEJÄKSI Euroopan unionin, Norjan, Sveitsin ja Turkin yleisiä tullietuusjärjestelmiä varten ( 1 )

EUROOPAN YHTEISÖJEN KOMISSIO. Ehdotus: NEUVOSTON PÄÄTÖS

Georg Mayer, Gilles Lebreton, Marie-Christine Arnautu, Mylène Troszczynski ENF-ryhmän puolesta

EUROOPAN YHTEISÖJEN KOMISSIO. Ehdotus NEUVOSTON ASETUS

Euroopan unionin neuvosto Bryssel, 27. lokakuuta 2014 (OR. en)

AINEISTOJEN JAKAMISEN MYYTEISTÄ JA HAASTEISTA

Talous- ja raha-asioiden valiokunta. eurooppalaisesta tilivarojen turvaamismääräyksestä

Avoin data ja tietosuoja. Kuntien avoin data hyötykäyttöön Ida Sulin, lakimies

SÄÄDÖKSET JA MUUT VÄLINEET NEUVOSTON PÄÄTÖS Euroopan unionin ja sen jäsenvaltioiden sekä Korean tasavallan välisen vapaakauppasopimuksen tekemisestä

EUROOPAN UNIONIN NEUVOSTO. Bryssel, 15. marraskuuta 2012 (15.11) (OR. en) 16273/12 TRANS 397 SAATE

Ehdotus EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS

Euroopan unionin neuvosto Bryssel, 17. lokakuuta 2017 (OR. en)

HPK Kannattajat ry. Tietosuojaseloste. EU:n tietosuoja-asetus (EU) 2016/679

Ehdotus EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS

HENKILÖTIETOJEN SUOJAA KOSKEVAN KANSALLISEN LAINSÄÄDÄNNÖN TARKISTAMINEN

LIITE. asiakirjaan. Ehdotus neuvoston päätökseksi

TILINTARKASTAJA JA EU:N TIETOSUOJA-ASETUS KYSYMYKSIÄ JA VASTAUKSIA

FI Moninaisuudessaan yhtenäinen FI. Tarkistus. Julia Reda Verts/ALE-ryhmän puolesta

TILINTARKASTAJA JA EU:N TIETOSUOJA-ASETUS KYSYMYKSIÄ JA VASTAUKSIA

KOMISSION DELEGOITU ASETUS (EU) /, annettu ,

Euroopan unionin neuvosto Bryssel, 21. maaliskuuta 2017 (OR. en)

Ehdotus NEUVOSTON PÄÄTÖS

3.1. DialOk käsittelee Käsiteltäviä tietoja sopimuksen ja Asiakkaalta saatujen kirjallisten ohjeiden mukaisesti.

NEUVOSTON JA KOMISSION YHTEINEN LAUSUMA KILPAILUVIRANOMAISTEN VERKOSTON TOIMINNASTA

Euroopan unionin neuvosto Bryssel, 8. joulukuuta 2015 (OR. en)

10425/19 eho/elv/si 1 TREE.2.A

NEUVOSTON PERUSTELUT

Ehdotus NEUVOSTON DIREKTIIVI

EUROOPAN YHTEISÖJEN KOMISSIO. Ehdotus EUROOPAN PARLAMENTIN JA NEUVOSTON DIREKTIIVI

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton uutis- ja tapahtumakirjerekisterissä

Laki. EDUSKUNNAN VASTAUS 91/2012 vp

Informaatiovelvoite ja tietosuojaperiaate

EUROOPAN YHTEISÖJEN KOMISSIO. Ehdotus: NEUVOSTON ASETUS,

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton sidosryhmärekisterissä

Ehdotus NEUVOSTON PÄÄTÖS

Liana Technologiesin palveluita koskevat henkilötietojen käsittelyn yleiset ehdot

KOODIVIIDAKKO OY:N PALVELUITA KOSKEVAT HENKILÖTIETOJEN KÄSITTELYN YLEISET EHDOT

15295/14 HG/phk DGB 3. Euroopan unionin neuvosto Bryssel, 2. joulukuuta 2014 (OR. en) 15295/14. Toimielinten välinen asia: 2014/0295 (NLE) PECHE 526

L 127. virallinen lehti. Euroopan unionin. Lainsäädäntö. 61. vuosikerta 23. toukokuuta Suomenkielinen laitos. Sisältö.

Ehdotus EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS

EUROOPAN YHTEISÖJEN KOMISSIO. Luonnos. KOMISSION ASETUS (EU) N:o / annettu [ ],

Brysselin ja Luganon yleissopimusten tarkistamista käsittelevä työryhmä. Brysselin ja Luganon yleissopimusten tarkistaminen

Euroopan tietosuojavaltuutettu

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Helpdesk-palveluita

Lausunto Kuntayhtymien tehtävät puolestaan perustuvat kuntalain lisäksi kuntayhtymän perussopimukseen (kuntalaki 55 ja 56 ).

KOMISSION TÄYTÄNTÖÖNPANOASETUS (EU) /, annettu ,

Transkriptio:

29 ARTIKLAN MUKAINEN TIETOSUOJATYÖRYHMÄ 5035/01/FI/lopullinen WP 56 Valmisteluasiakirja EU:n tietosuojalainsäädännön kansainvälisestä soveltamisesta EU:n ulkopuolisten www-sivustojen suorittamaan henkilötietojen käsittelyyn Internetissä Hyväksytty 30 päivänä toukokuuta 2002 Työryhmä on perustettu direktiivin 95/46/EY 29 artiklan nojalla. Se on riippumaton EU: n neuvoa-antava elin tietosuojan ja yksityisyyden alalla. Sen tehtävistä on säädetty direktiivin 95/46/EY 30 artiklassa ja direktiivin 97/66/EY 14 artiklassa. Sihteeristö: Euroopan komission sisämarkkinoiden pääosaston linja A (Sisämarkkinoiden toiminta ja vaikutukset koordinointi tietosuoja), B- 1049 Bryssel, Belgia, toimisto C100-6/136. Internet: http://europa.eu.int/comm/privacy

TIETOSUOJATYÖRYHMÄ, joka on perustettu 24 päivänä lokakuuta 1995 annetulla Euroopan parlamentin ja neuvoston direktiivillä 95/46/EY 1, ottaa huomioon direktiivin 29 artiklan ja 30 artiklan 1 kohdan a alakohdan ja 3 kohdan, ottaa huomioon työjärjestyksensä ja erityisesti sen 12 ja 14 artiklan, on hyväksynyt tämän valmisteluasiakirjan: 1. Johdanto Tämän asiakirjan tavoitteena on käsitellä EU:n tietosuojalainsäädännön kansainvälistä soveltamista Euroopan unionin ulkopuolisten www-sivustojen suorittamaan henkilötietojen käsittelyyn, erityisesti henkilötietojen keräämiseen. 2 Tämän valmisteluasiakirjan tarkoituksena on olla hyödyllinen väline ja viiteasiakirja rekisterinpitäjille ja niille, jotka tarjoavat rekisterinpitäjille neuvontaa tapauksissa, joihin liittyy EU:n ulkopuolisten www-sivustojen suorittama henkilötietojen käsittely Internetissä. Koska kyseessä on erittäin monimutkainen alue ja koska Internet on erittäin dynaaminen ympäristö, tässä asiakirjassa ei anneta lopullisia ratkaisuja kaikkiin mahdollisiin kysymyksiin. Valmisteluasiakirjassaan "Tietosuoja Internetissä" 3 29 artiklan mukainen tietosuojatyöryhmä totesi, että on selvästi tarpeen täsmentää yleisen tietosuojadirektiivin sovellettavaa oikeutta koskevan säännöksen (4 artiklan 1 kohdan c alakohta) 4 käytännön soveltamista etenkin yhteisön ulkopuolelle sijoittautuneen rekisterinpitäjän verkossa suorittaman henkilötietojen käsittelyn osalta. Kansallisia tietosuojavalvontaviranomaisia pyydetään säännöllisesti neuvomaan yrityksiä ja henkilöitä tässä asiassa. Tarve määrittää, sovelletaanko kansallista oikeutta tilanteisiin, joissa on mukana useita maita, ei liity pelkästään tietosuojaan, Internetiin tai Euroopan unioniin. Se on kansainväliseen oikeuteen liittyvä yleinen kysymys, joka tulee esiin niin verkkoon liittyvissä kuin muissakin tilanteissa, jos läsnä on yksi tai useampi osatekijä, joka koskee useampaa kuin yhtä maata. On päätettävä, mitä kansallista oikeutta on sovellettava, ennen kuin asia voidaan ratkaista. 1 EYVL L 281, 23.11.1995, s. 31, saatavilla osoitteessa: http://europa.eu.int/comm/internal_market/en/dataprot/index.htm 2 Tietosuojadirektiivi 95/46/EY on pantu täytäntöön myös Euroopan talousalueella (ETA). Tässä asiakirjassa olevat viittaukset Euroopan unioniin viittaavat myös Euroopan talousalueeseen. 3 "Tietosuoja Internetissä Euroopan unionin yhdennetty lähestymistapa", 21.11.2000, WP 37. 4 Euroopan parlamentin ja neuvoston direktiivi 95/46/EY, annettu 24 päivänä lokakuuta 1995, yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta EYVL L 281, 23.11.1995, s. 31 50, saatavilla osoitteessa: http://europa.eu.int/eur-lex/fi/lif/dat/1995/fi_395l0046.html 2

Näissä päätöksissä on arvioitava useita tekijöitä. Ensinnäkin kunkin valtion tehtävänä on suojella kansalaistensa, valtiossa oleskelevien, teollisuuden ja muiden kansallisessa oikeudessa tunnustettujen ryhmien oikeuksia ja etuja. Monissa maissa rikoslailla (joka on vastakkainen oikeuksia ja vapauksia antaville laeille) on laajin kansainvälinen oikeusvaikutus. Merkittävät oikeustapaukset, kuten asiat Yahoo! 5 tai CompuServe 6, osoittavat, miten tuomioistuimet soveltavat kansallista rikoslakia kieltääkseen ulkomaisissa Internet-palvelimissa olevan pornografisen tai rasistisen sisällön käytön. Saksan rikosasioissa toimivaltaisen korkeimman oikeuden äskettäisessä päätöksessä tuomittiin teoksen "Auschwitz Lüge" (jossa kiistetään Auschwitzin olemassaolo) australialaisella www-sivustolla julkaissut taho, vaikka ei näytettykään toteen, että sivustoa olisi tosiasiallisesti käytetty Saksasta. 7 Tuomioistuimen mukaan kyseisen rikoksen yhteydessä oli riittävää, että Internetissä olevalla sisällöllä "kyettiin" vaikuttamaan kielteisesti Saksan yleiseen järjestykseen, eikä merkityksellistä ollut se, oliko niin tosiasiallisesti tapahtunut. Tällainen suojamääräysten kansainvälinen oikeusvaikutus on yleensä osoitus lainsäätäjän tai tuomioistuimen halusta tarvittaessa suojella kansalaisia huolimatta täytäntöönpanoon rajat ylittävissä tilanteissa liittyvistä vaikeuksista sekä soveltaa suojamääräyksiä käytännössä, jotta tavoiteltu tarkoitus saavutetaan. EU:n lainsäädännön tasolla on useita esimerkkejä tällaisesta johdonmukaisuuden pyrkimyksestä. Kilpailulainsäädännön alalla Euroopan komissio voi tehdä päätöksiä, jotka vaikuttavat EU:n ulkopuolelle sijoittautuneisiin yrityksiin, kun nämä harjoittavat liiketoimintaa EU:n alueella. Hyvä esimerkki tästä oli komission äskettäinen päätös 8, jolla estettiin kahden yhdysvaltalaisen yrityksen, General Electricin ja Honeywellin, ehdotettu sulautuma. 9 Heinäkuussa 2001 tehdyn päätöksen 1 artiklassa todettiin, että näiden kahden yrityksen sulautuma olisi luonut "yhteismarkkinoille soveltumattoman keskittymän". Komissio päätti, että näillä kahdella yrityksellä oli yhteisön alueella yli 250 miljoonan euron yhteenlaskettu liikevaihto, joten ilmoitetulla toimenpiteellä on "yhteisöulottuvuus". Yhteisön oikeuden ekstraterritoriaalinen ulottuvuus voidaan nähdä myös kuluttajalainsäädännön alalla. Etämyyntidirektiivin 10 12 artiklassa todetaan, että kuluttaja ei menetä direktiivissä annettua suojaa sen vuoksi, että sopimukseen päätetään sopimusehdon nojalla soveltaa kolmannen maan lakia, jossa annetaan vähäisempi suoja kuin EU:n lainsäädännössä. Tämä on kyseessä, jos sopimuksella on "läheinen yhteys" 5 TGI Paris, ordonnance du référé, 20. marraskuuta 2000: http://legal.edhec.com/dtic/decisions/dec_responsabilite_0.htm 6 AG München, tuomio 28.5.1998 8340 Ds 465 Js 173158/95. 7 BGH, tuomio 12.12.2000, Az: 1 StR 184/00. 8 Asia COMP/M.2220, päätös 3.7.2001, yrityskeskittymien valvonnasta annetun neuvoston asetuksen (ETY) N:o 4064/89 8 artiklan 3 kohdan mukaan. 9 Ilmoitetun sopimuksen mukaan Honeywellistä olisi tullut General Electricin kokonaan omistama tytäryhtiö. 10 Direktiivi 97/7/EY. 3

yhden tai useamman jäsenvaltion alueeseen. 11 Käsite "läheinen yhteys" liittyy vuonna 1980 tehdyn Rooman yleissopimuksen 7 artiklaan. Artiklan mukaan valtion "pakottavia säännöksiä" on sovellettava tilanteeseen, jota säännellään jonkin toisen valtion lailla, jos kyseinen tilanne on ensin mainittuun valtioon "läheisesti liittyvä". Lisäksi on olemassa oikeuskäytäntöä, joissa on tehty vastaavia päätelmiä kauppaedustajadirektiivistä 12. Euroopan yhteisöjen tuomioistuin on todennut, 13 että sellainen yhteisön ulkopuolelle sijoittautunut päämies, jonka kauppaedustaja harjoittaa toimintaansa yhteisössä, ei voi välttää direktiivin vaatimuksia sellaisen sopimusehdon avulla, jonka mukaan suhteeseen sovellettava laki on kolmannen maan laki. Yhteisöjen tuomioistuin totesi, että yhteisön lakia sovelletaan, "mikäli kyseinen tilanne liittyy läheisesti yhteisöön". Tätä käytännöllisempi esimerkki voidaan löytää ilmailuteollisuudesta. Neuvosto on antanut asetuksen tietokonepohjaisten paikanvarausjärjestelmien (TPJ) käyttöä koskevista käyttäytymissäännöistä. 14 Tätä asetusta (jolla säännellään tietokonepohjaisten paikanvarausjärjestelmien käyttötapaa) sovelletaan "tietokonepohjaisiin paikanvarausjärjestelmiin (TPJ), joita tarjotaan käytettäväksi tai käytetään yhteisön alueella lentoliikennetuotteiden jakelussa ja myynnissä, riippumatta järjestelmän toimittajan asemasta tai kansallisuudesta tai asianomaisen tietokonekeskuksen sijainnista". Kun järjestelmää voidaan käyttää EU:sta, vaikka järjestelmän keskusvälineet sijaitsevat EU:n ulkopuolella (ja järjestelmään syötetään tietoja EU:ssa olevien päätteiden kautta tai muuten), sovelletaan automaattisesti EU:n lainsäädäntöä. Kun tutkitaan EU:n lainsäädännön soveltuvuutta tapauksiin, joilla on ekstraterritoriaalinen ulottuvuus, voidaan todeta, että vastaavia perusteita sovelletaan yleisesti. Olipa kyseessä sitten vaatimus, että suhteella on "yhteisöulottuvuus" tai "läheinen yhteys" yhteisön alueeseen, Euroopan yhteisöjen tuomioistuin, Euroopan parlamentti ja neuvosto sekä Euroopan komissio katsovat tietyissä tilanteissa tarpeelliseksi soveltaa EU:n säännöksiä EU:n ulkopuolisiin tahoihin. Muissa maissa, esimerkiksi Amerikan yhdysvalloissa, tuomioistuimissa ja laeissa tehdään vastaavia päätelmiä sovellettaessa paikallisia säännöksiä ulkomaisiin wwwsivustoihin: Yhdysvalloissa vuonna 1998 annettua ns. COPPA-lakia (Children s Online Privacy Protection Act) sovelletaan myös ulkomaisiin www-sivustoihin, jotka keräävät henkilötietoja Yhdysvaltain alueella olevilta lapsilta, 15 Tämän liittovaltion lain mukaan sellaisten www-sivustojen operaattorien, joiden sivustot on suunnattu alle 13-vuotiaille lapsille (tai joiden sivustoilla on yleinen asiakaskunta mutta jotka tietävät, että sivustot keräävät henkilötietoja lapsilta), on noudatettava COPPA-lain säännöksiä. Kyseisessä 11 Kuluttajasopimusten kohtuuttomista ehdoista annetun direktiivin 93/13/ETY 6 artiklan 2 kohta ja kulutustavaroiden kauppaa ja niihin liittyviä takuita koskevista tietyistä seikoista annetun direktiivin 99/44/EY 7 artiklan 2 kohta ovat hyvin samankaltaisia kuin 12 artiklan 2 kohta. Kummassakin vaaditaan EU:n lainsäädännön soveltamista, ja kummassakin käytetään käsitettä "läheinen yhteys/liittymä". 12 Direktiivi 86/653/ETY. 13 Asia C-381/98, Ingmar GB Ltd. ja Eaton Leonard Technologies. 14 Tietokonepohjaisten paikanvarausjärjestelmien käyttöä koskevat käyttäytymissäännöt (neuvoston asetus N:o 2299/89, sellaisena kuin se on muutettuna neuvoston asetuksella N:o 3089/93, sellaisena kuin se on muutettuna asetuksella N:o 323/99). 15 15 U.S.C. 6502 (1)(A)(I), viitattu teoksessa Joel R. Reidenberg, ks. alaviite 5. 4

laissa säädetään, mitä tietoja operaattorin on annettava yksityisyydensuojaperiaatteissa, milloin ja miten operaattorin on pyydettävä vanhemmalta todennettavissa oleva suostumus sekä mitä velvollisuuksia operaattorilla on lasten yksityisyyden ja turvallisuuden suojelemiseksi verkossa. Tältä osin on kiinnostavaa, että kyseistä lakia ei sovelleta erityisesti yhdysvaltalaisiin yrityksiin vaan "Internetissä sijaitseviin yrityksiin", joten lain soveltamisalan kannalta on merkityksetöntä, missä kyseinen www-sivusto fyysisesti sijaitsee, kunhan se harjoittaa liiketoimintaa Yhdysvaltain alueella. Mikäli näin on, www-sivustoon sovelletaan Yhdysvaltain lakia tällä alueella. Kansainvälisen oikeuden tutkimus antaa ymmärtää, että valtioilla on taipumus käyttää useita vaihtoehtoisia perusteita määrittäessään laajasti kansallisen lainsäädännön soveltamisalaa, jotta lainsäädäntö kattaisi mahdollisimman monet tapaukset suojeltaessa mahdollisimman laajasti kansallisia kuluttajia ja teollisuutta. Tämä taipumus johtaa vääjäämättä siihen, että useita kansallisia lakeja sovelletaan tilanteisiin, joissa on rajat ylittävä osatekijä. Kansainvälisissä säädöksissä pyritään tämän vuoksi määrittämään asiaankuuluvat perusteet neutraalisti ja ketään syrjimättä. Uusin yritys edetä sopimuksiin sovellettavaa lakia koskevassa yleissopimusluonnoksessa Haagin konferenssin yhteydessä kuitenkin epäonnistui, koska maat eivät päässeet yksimielisyyteen ratkaisevista perusteista. Tämä on ongelman ydin sovellettavaa lakia koskevassa keskustelussa: asianomaisten maiden etujen välille on löydettävä oikeudenmukainen tasapaino. Tässä yhteydessä on todettava, että EU:n tietosuojadirektiivissä on erityinen sovellettavaa oikeutta koskeva säännös, jossa esitetään peruste. Riippumatta siitä, onko tätä säännöstä helppo ymmärtää tai käsitellä, on kuitenkin yksilöiden ja yritysten etujen mukaista, että tietosuojadirektiivissä käsitellään tätä olennaista kysymystä. 2. Direktiivin 95/46/EY sovellettavaa oikeutta koskeva 4 artikla Direktiivin 4 artikla kuuluu seuraavasti: Sovellettava kansallinen oikeus 1. Kunkin jäsenvaltion on sovellettava henkilötietojen käsittelyyn kansallisia säännöksiä, jotka se antaa tämän direktiivin mukaisesti, jos a) käsittely suoritetaan kyseisen jäsenvaltion alueella sijaitsevassa rekisterinpitäjän toimipaikassa tapahtuvan toiminnan yhteydessä; jos sama rekisterinpitäjä on sijoittautunut usean jäsenvaltion alueelle, sen on toteutettava tarvittavat toimenpiteet sen varmistamiseksi, että kussakin toimipaikassa noudatetaan sovellettavan kansallisen oikeuden mukaisia velvoitteita, b) rekisterinpitäjä ei ole sijoittautunut kyseisen jäsenvaltion alueelle, vaan paikkaan, jossa jäsenvaltion kansallista lakia sovelletaan kansainvälisen julkisoikeuden nojalla, c) rekisterinpitäjä ei ole sijoittautunut yhteisön alueelle, mutta käyttää henkilötietojen käsittelyssä automatisoituja tai muunlaisia välineitä, jotka sijaitsevat kyseisen jäsenvaltion alueella, paitsi jos näitä välineitä käytetään ainoastaan tiedonsiirtoon yhteisön alueen kautta. 2. Edellä 1 kohdan c alakohdassa tarkoitetussa tapauksessa rekisterinpitäjän on nimettävä kyseisen jäsenvaltion alueelle sijoittautunut edustaja, sanotun kuitenkaan 5

rajoittamatta sellaisia toimia, jotka voitaisiin toteuttaa rekisterinpitäjää itseään vastaan. Tässä artiklassa käsitellään tapauksia, joissa ongelmana on henkilötietojen käsittelytoimiin sovellettava laki: näissä tapauksissa vähintään yksi henkilötietojen käsittelyyn liittyvä seikka tapahtuu useammassa kuin yhdessä jäsenvaltiossa. Esimerkki: suoramarkkinointiyritys kokoaa postituslistoja kuluttajista useassa jäsenvaltiossa ja käyttää niitä yhdessä jäsenvaltiossa mainonnan lähettämiseksi näille kuluttajille. Tai: yhdysvaltalainen www-sivusto lähettää EU:n alueella olevien yksilöiden henkilökohtaiselle tietokoneelle evästeen tunnistaakseen kyseisen tietokoneen ja yhdistääkseen nämä tiedot muihin tietoihin. Direktiivissä erotetaan yleisesti yhtäältä tilanteet, joissa rajat ylittävät osatekijät ovat EU:n jäsenvaltioiden alueella tai Euroopan unionin maantieteellisten rajojen ulkopuolella olevilla alueilla, joilla kuitenkin sovelletaan jäsenvaltion lakia kansainvälisen julkisoikeuden nojalla ("diplomaattitapaus") 16, ja toisaalta tilanteet, joissa käsittelyyn liittyy osatekijöitä, jotka ovat Euroopan unionin rajojen ulkopuolella. 17 Kun kyse on tilanteista yhteisön alueella, direktiivillä on kaksi tavoitetta: sillä pyritään välttämään laissa olevat aukot (mitään tietosuojalakia ei sovelleta) ja kansallisten lakien moninkertainen/kaksinkertainen soveltaminen. Koska direktiivissä käsitellään sovellettavaa oikeutta ja esitetään peruste sen lain määrittämiseksi, jolla tapaukseen saadaan ratkaisu, direktiivi itse toimii "kollisionormina", eikä muita kansainvälisessä yksityisoikeudessa olemassa olevia perusteita tarvita. Ratkaisun löytämiseksi direktiivissä käytetään perusteena tai "yhdistävänä tekijänä" rekisterinpitäjän sijoittautumispaikkaa tai toisin sanoen alkuperämaaperiaatetta, jota yleensä sovelletaan sisämarkkinoilla. Käytännössä tämä tarkoittaa seuraavaa: Jos käsittely suoritetaan kyseisen jäsenvaltion alueella sijaitsevassa rekisterinpitäjän toimipaikassa tapahtuvan toiminnan yhteydessä, käsittelyyn sovelletaan kyseisen jäsenvaltion tietosuojalainsäädäntöä. Jos sama rekisterinpitäjä on sijoittautunut usean jäsenvaltion alueelle, kussakin toimipaikassa on noudatettava kyseisessä jäsenvaltiossa sovellettavan kansallisen oikeuden mukaisia velvoitteita oman toiminnan yhteydessä suoritetun käsittelyn osalta. Tämä ei ole poikkeus alkuperämaaperiaatteeseen. Kyse on ainoastaan sen ehdottomasta soveltamisesta: kun rekisterinpitäjä on valinnut yhden toimipaikan sijasta useita toimipaikkoja, tämä ei voi hyötyä siitä edusta, että yhden lainsäädännön noudattaminen riittää tämän toimintaan kaikkialla sisämarkkinoilla. Rekisterinpitäjän on näin noudatettava samanaikaisesti kunkin toimipaikan kansallista lainsäädäntöä. Työryhmä saattaa tulevaisuudessa käsitellä tätä kysymystä. Alkuperämaaperiaatteen soveltaminen on perusteltua sisämarkkinoilla, joilla kansalliset tietosuojalait antavat yhtäläisen suojan henkilöiden tietosuojaoikeuksien sekä 16 Tätä tapausta ei käsitellä tässä asiakirjassa. On myös huomattava, että direktiiviä ja siis myös sen 4 artiklaa sovelletaan sekä yksityisen että julkisen sektorin suorittamaan henkilötietojen käsittelyyn yhteisön oikeuden mukaisesti. Tässä valmisteluasiakirjassa ei kuitenkaan käsitellä 4 artiklan soveltamista julkisen sektorin tapauksiin. 17 Tämä ero koskee lähinnä rekisterinpitäjää. Joka tapauksessa olisi täsmennettävä, että direktiivin sovellettavuuteen ei vaikuta se seikka, että EU:ssa olevalla rekisterinpitäjällä on EU:n ulkopuolinen henkilötietojen käsittelijä. Tässä tapauksessa direktiiviä sovelletaan edelleen kaikkeen käsittelyyn. 6

teollisuudelle ja muille rekisterinpitäjille henkilötietojen käsittelyssä asetettujen vaatimusten yhtenäistämisen takia. Tällä tavoin alkuperämaaperiaate, jolla tietyssä mielessä rajoitetaan jäsenvaltioiden tietosuojalakien soveltamisalaa, ei loukkaa jäsenvaltioissa oleskelevien tai teollisuuden oikeuksia ja etuja. Itse asiassa vaikka jäsenvaltioiden lakeja ei sovelletakaan kaikkeen käsittelyyn, johon liittyy kansallinen rekisteröity tai joka suoritetaan kansallisella alueella, sillä seikalla, että sovelletaan ainoastaan toisen jäsenvaltion kansallista lakia, on hyvin suppea vaikutus, koska kummatkin lait on yhtenäistetty direktiivillä ja ne vastaavat näin toisiaan. Lisäksi kansallisten tietosuojaviranomaisten yhteistyöllä varmistetaan luottamus ja tehokas täytäntöönpano riippumatta sovellettavasta oikeudesta. 18 Tilanne on erilainen sellaisten käsittelytoimien kohdalla, joissa rekisterinpitäjä on kolmannessa maassa. Näiden kolmansien maiden kansallisia lakeja ei ole yhtenäistetty, eikä direktiiviä sovelleta näissä maissa, joten yksilöiden suojelu heidän henkilötietojensa käsittelyssä saattaa puuttua tai olla heikko. Sovellettavaa lakia ei enää voida määrittää käyttämällä alkuperämaaperiaatetta, joka liittyy rekisterinpitäjän sijoittautumiseen. On välttämätöntä käyttää toista yhdistävää tekijää. Euroopan parlamentti ja neuvosto päättivät palata erääseen kansainvälisen oikeuden perinteiseen yhdistävään tekijään, joka on toimenpiteen ja oikeusjärjestelmän välinen fyysinen yhteys. EU:n lainsäätäjä valitsi maan, jonka alueella käytetyt välineet sijaitsevat. 19 Näin ollen direktiiviä sovelletaan, kun rekisterinpitäjä ei ole sijoittautunut yhteisön alueelle mutta päättää käsitellä henkilötietoja tiettyyn tarkoitukseen ja käyttää siinä automatisoituja tai muunlaisia välineitä, jotka sijaitsevat kyseisen jäsenvaltion alueella. Tämän direktiivin 95/46/EY 4 artiklan 1 kohdan c alakohdan säännöksellä pyritään estämään, että yksilöt jäävät vaille suojaa omassa maassaan suoritettavassa käsittelyssä vain siksi, että rekisterinpitäjä ei ole sijoittautunut yhteisön alueelle. Näin voisi käydä yksinkertaisesti siksi, että rekisterinpitäjällä ei periaatteessa ole mitään tekemistä yhteisön kanssa. On kuitenkin myös kuviteltavissa, että rekisterinpitäjät sijoittautuvat EU:n ulkopuolelle välttääkseen EU:n lainsäädännön soveltamisen. On syytä huomauttaa, että yksilön ei tarvitse olla EU:n kansalainen tai fyysisesti olla läsnä tai oleskella EU:ssa. Direktiivissä ei erotella yksilöitä näiden kansalaisuuden tai sijainnin vuoksi, koska sillä yhtenäistetään kaikille ihmisille kansalaisuudesta riippumatta myönnettyjä perusoikeuksia koskevia jäsenvaltioiden lakeja. Jäljempänä käsiteltävissä tapauksissa yksilö voisi siis olla vaikkapa Yhdysvaltain tai Kiinan kansalainen. EU:n tietosuojalainsäädännön soveltamisen kannalta kyseistä yksilöä suojellaan aivan samalla tavoin kuin EU:n kansalaisia. Käytettyjen käsittelyvälineiden sijainti on ratkaiseva. Yhteisön lainsäätäjän päätös soveltaa EU:n tietosuojalainsäädäntöä käsittelyyn, jossa käytetään EU:n alueella sijaitsevia välineitä, kuvastaa näin todellista halua suojella yksilöitä EU:n alueella. Kansainvälisellä tasolla tunnustetaan, että valtioilla on mahdollisuus tällaiseen suojeluun. GATS-sopimuksen XIV artiklan mukaan 18 Ks. direktiivin 95/46/EY 28 artiklan 6 kohdan ensimmäinen virke: "Riippumatta kyseessä olevaan käsittelyyn sovellettavasta kansallisesta oikeudesta valvontaviranomainen on toimivaltainen käyttämään jäsenvaltionsa alueella valtuuksia, jotka sille kuuluvat 3 kohdan mukaisesti" sekä saman kohdan viimeinen virke, joka koskee valvontaviranomaisten yhteistyövelvoitetta. 19 Näin ei kuitenkaan ole, jos näitä välineitä käytetään ainoastaan tiedonsiirtoon yhteisön alueen kautta. 7

vapaakauppasääntöihin voidaan tehdä poikkeuksia henkilöiden suojaamiseksi yksityisyyden ja tietosuojan osalta sekä tämän lain täytäntöön panemiseksi. Seuraavassa selvitetään käsitteitä, jotka ovat merkityksellisiä sovellettavan oikeuden määrittämisessä: 2.1. Sijoittautuminen Sijoittautumisen käsite on merkityksellinen direktiivin 4 artiklan 1 kohdan c alakohdassa siltä osin, että rekisterinpitäjä ei ole sijoittautunut yhteisön alueelle. Paikka, jonne rekisterinpitäjä on sijoittautunut, edellyttää tosiasiallista toimintaa ja kiinteää toimipaikkaa, ja se on määritettävä Euroopan yhteisöjen tuomioistuimen oikeuskäytännön mukaisesti. Yhteisöjen tuomioistuimen mukaan sijoittautumisen käsite tarkoittaa pysyväisluonteista toiminnan tosiasiallista harjoittamista toisessa jäsenvaltiossa sijaitsevasta kiinteästä toimipaikasta käsin. 20 Tämä vaatimus täyttyy silloinkin, kun yritys perustetaan tietyksi ajaksi. Kun kyseessä on Internet-sivuston välityksellä palveluja tarjoava yritys, sijoittautumispaikka ei ole siellä, missä sivustoa tukeva teknologia sijaitsee tai missä sivusto on saatavilla, vaan paikka, jossa yritys harjoittaa toimintaansa. 21 Esimerkkejä: suoramarkkinointiyrityksen sääntömääräinen kotipaikka on Lontoossa, jossa se kehittää Euroopan laajuisia kampanjoitaan. Se seikka, että yritys käyttää www-palvelimia Berliinissä ja Pariisissa, ei muuta sitä seikkaa, että se on sijoittautunut Lontooseen. 2.2. Rekisterinpitäjä Rekisterinpitäjä on direktiivissä yleinen käsite, jolla tarkoitetaan luonnollista tai oikeushenkilöä, joka, yksin tai yhdessä toisten kanssa, määrittelee henkilötietojen käsittelyn tarkoituksen ja keinot (direktiivin 95/46/EY 2 artiklan d kohta). Määritelmä on neutraali rekisterinpitäjän sijoittautumispaikan osalta. Se on kattava, koska kaikki käsittely on voitava lukea yhdelle tai usealle rekisterinpitäjälle. Direktiivin 4 artiklan 1 kohdan c alakohdan kannalta tämä tarkoittaa, että jossakin on oltava direktiivin tarkoittama rekisterinpitäjä. Vaikuttaa myös välttämättömältä, että käsittely suoritetaan sellaisen toiminnan yhteydessä, joka kuuluu yhteisön oikeuden ja näin myös direktiivin soveltamisalaan. Direktiivin soveltamisalaan ei kuulu käsittely, jonka luonnollinen henkilö suorittaa yksinomaan henkilökohtaisessa tai kotitalouttaan koskevassa toiminnassa. Jotta direktiivin 4 artiklan 1 kohdan c alakohtaa voidaan soveltaa, rekisterinpitäjän on käytettävä henkilötietoj en käsittelyssä (eikä ainoastaan tiedonsiirtoon) välineitä, jotka sijaitsevat jonkin jäsenvaltion alueella. 22 Tämä viittaisi siihen, että rekisterinpitäjä on 20 Asia C-221/89, Factortame, tuomio 25.7.1991 (Kok. 1991, s. I-3905, 20 kohta). 21 Direktiivi 2000/31/EY, johdanto-osan 19 kappale. 22 On syytä huomata, että direktiivin 4 artiklan 1 kohdan c alakohdan englanninkielisessä toisinnossa käytetty sana "equipment" poikkeaa 4 artiklan 1 kohdan c alakohdan muissa kielitoisinnoissa käytetystä sanasta, joka vastaa pikemminkin englanninkielistä sanaa "means" (keino). Direktiivin 4 artiklan 1 kohdan c alakohdan muissa kielitoisinnoissa käytetty terminologia on johdonmukainen 2 artiklan d kohdan sanamuodon kanssa, jossa määritetään rekisterinpitäjä: henkilö, joka päättää käsittelyn tarkoituksen ja keinot. Olisi kuitenkin huomattava, että myös direktiivin englanninkielisen tekstin aiemmissa versioissa (esimerkiksi vuoden 1992 muutetussa ehdotuksessa) käytettiin sanaa "means" ja 8

aktiivinen ja että tällä on tietty aikomus. Rekisterinpitäjän päätös käsittelyn tarkoituksesta ja keinoista muodostaa siis tämän seikan. 2.3. Välineet Direktiivissä ei ole tämän termin määritelmää. Collins English Dictionaryn mukaan englanninkielisellä sanalla "equipment" tarkoitetaan välineitä tai laitteita, jotka on koottu tiettyä tarkoitusta varten. Esimerkkejä välineistä ovat henkilökohtaiset tietokoneet, päätteet ja palvelimet, joita voidaan käyttää lähes kaikkiin käsittelytoimiin. Direktiivissä täsmennetään, että välineet itsessään voivat olla automatisoituja tai muunlaisia, kunhan niitä ei käytetä ainoastaan tiedonsiirtoon yhteisön alueen kautta. Tyypillinen tapaus, jossa välineitä käytetään ainoastaan tiedonsiirtoon, ovat televiestintäverkot (kuten runkoverkot ja kaapelit), jotka ovat osa Internetiä ja joissa Internetin viestiliikenne kulkee alkupisteestä loppupisteeseen. 2.4. Välineiden käyttäminen Sen määrittäminen, milloin rekisterinpitäjä käyttää välineitä henkilötietojen käsittelyssä direktiivin 4 artiklan 1 kohdan c alakohdan mukaisesti, on tietosuojalainsäädännön soveltamisen kannalta ratkaiseva osatekijä EU:ssa. Työryhmä kannattaa varovaista lähestymistapaa tietosuojadirektiivin tämän säännöksen soveltamisessa käytännön tapauksiin. Säännöksen tarkoituksena on varmistaa, että yksilöt nauttivat kansallisten tietosuojalakien suojaa, sekä kansallisten tietosuojaviranomaisten suorittama tietojen käsittelyn valvonta niissä tapauksissa, joissa se on tarpeen ja järkevää ja joissa täytäntöönpanoaste on kohtuullinen rajat ylittävä tilanne huomioon ottaen. Näin ollen työryhmä on sitä mieltä, että kaikki vuorovaikutus EU:ssa olevan Internetin käyttäjän ja EU:n ulkopuolisen www-sivuston välillä ei välttämättä johda EU:n tietosuojalainsäädännön soveltamiseen. Työryhmä on esittänyt näkemyksen, jonka mukaan välineiden olisi oltava rekisterinpitäjän käytettävissä henkilötietojen käsittelyssä. Samalla rekisterinpitäjällä ei tarvitse olla täysimääräistä hallintaoikeutta välineisiin. Se, missä määrin välineet ovat rekisterinpitäjän käytettävissä, voi vaihdella. Tarvittava käytettävissäolon aste toteutuu, jos rekisterinpitäjä määrittäessään välineiden toimintatavan tekee oleelliset päätökset tietojen sisällöstä ja niiden käsittelytavasta. Toisin sanoen rekisterinpitäjä määrittää, mitä tietoja kerätään, tallennetaan, siirretään, muutetaan ja niin edelleen sekä miten ja mihin tarkoitukseen näin tehdään. Työryhmä katsoo, että "käyttäminen" edellyttää kahta osatekijää: jonkinlaista rekisterinpitäjän suorittamaa toimintaa ja rekisterinpitäjän aikomusta käsitellä henkilötietoja. Tämä tarkoittaa, että mikä tahansa "välineiden käyttäminen" Euroopan unionin alueella ei johda direktiivin soveltamiseen. että sana muutettiin varsin myöhäisessä vaiheessa neuvottelujen aikana sanaksi "equipment", kuten maaliskuussa 1995 hyväksytyn yhteisen kannan tekstistä voidaan nähdä. 9

Rekisterinpitäjän käytettävissäoloa ei kuitenkaan saisi sekoittaa rekisterinpitäjän tai yksilön välineitä koskevaan omistusoikeuteen. Itse asiassa direktiivissä ei anneta merkitystä välineitä koskevalle omistusoikeudelle. Työryhmän esittämä tulkinta on täysin johdonmukainen EU:n lainsäätäjän antaman direktiivin 4 artiklan 1 kohdan c alakohdan säännöksen perustelun kanssa. Johdanto-osan 20 kappaleessa todetaan, että "tietojenkäsittelyä suorittavan sijoittautuminen kolmanteen maahan ei saa olla esteenä tässä direktiivissä säädetylle yksilöiden suojelulle; tällaisessa tapauksessa tietojenkäsittelyyn on sovellettava sen jäsenvaltion lakia, jonne kyseisessä tietojenkäsittelyssä käytettävät välineet on sijoitettu, ja on taattava, että tässä direktiivissä säädettyjä oikeuksia ja velvoitteita tosiasiallisesti noudatetaan". Tämä on välttämätön seuraus direktiivin laajemman tavoitteen saavuttamiseksi, "jotta yksilö ei jäisi vaille tämän direktiivin mukaisesti taattavaa tietosuojaa". 3. Käytännön esimerkkejä Tässä luvussa pyritään muuntamaan 4 artiklan mukaiset ohjeet käytännön ratkaisuiksi tyypillisissä tapauksissa. Yksi jäljempänä käsiteltäville tapauksille yhteinen osatekijä on se, että Internetin käyttäjä ei välttämättä aina tiedä, sijaitseeko www-sivusto, jota hän käyttää ja jolle hän (joko tietämättään tai tietoisesti) antaa tietoja, EU:n alueella vai sen ulkopuolella. Verkkotunnuksia, joissa ei ole maantieteellisiä osatekijöitä, ei voida fyysisesti paikantaa ilman lisätietoja, mutta niissäkään verkkotunnuksissa, joissa on maantieteellisiä osatekijöitä, ei saada takeita siitä, että www-sivusto on tosiasiallisesti ilmoitetussa maassa olevalla palvelimella. Tapaus A: evästeet Rekisterinpitäjä päättää kerätä henkilötietoja sellaisten tekstitiedostojen (evästeiden) avulla, joita tallennetaan kääntäjän henkilökohtaisen tietokoneen kiintolevylle samalla, kun www-sivusto tai kolmas osapuoli saattaa säilyttää niistä kopion. 23 Jatkoviestinnässä www-sivusto käyttää evästeeseen (ja siis myös käyttäjän henkilökohtaiseen tietokoneeseen) tallennettuja tietoja tunnistaakseen tämän tietokoneen. Rekisterinpitäjä voi näin yhdistää kaikki aiempien istuntojen aikana keräämänsä tiedot myöhempien istuntojen aikana keräämiinsä tietoihin. Näin on mahdollista luoda varsin yksityiskohtaisia käyttäjäprofiileja. Evästeet ovat tavallinen osa HTTP-liikennettä, ja ne voivat kulkea sellaisinaan esteettömästi IP-liikenteen mukana. Evästeet sisältävät henkilöstä sellaisia tietoja, jotka ovat tiedot tallentaneen www-sivuston luettavissa. Evästetiedostossa voi olla mitä 23 Evästetiedostot (cookie) ovat tiedonosia, jotka voidaan tallentaa tekstitiedostoina Internetin käyttäjän kiintolevylle, samalla kun www-sivusto saattaa säilyttää niistä kopion. Ne ovat tavallinen osa HTTPliikennettä, ja ne voivat kulkea sellaisinaan esteettömästi IP-liikenteen mukana. Evästetiedosto voi sisältää ainutlaatuisen numeron (GUI-tunnisteen, Global Unique Identifier), joka tarjoaa dynaamisia IPosoitteita paremman keinon käyttäjien yksilöimiseen. Sen avulla www-sivusto voi seurata käyttäjän tapoja ja mieltymyksiä. Evästetiedostot sisältävät sarjan URL-osoitteita, joissa ne ovat voimassa. Kun selain tapaa nuo URLosoitteet uudelleen, se lähettää nuo tietyt evästetiedostot www-palvelimelle. Evästetiedostot voivat olla luonteeltaan erilaisia: ne voivat olla pitkäkestoisia, mutta niiden kesto voi olla myös rajallinen, ja silloin ne ovat istuntokestoisia evästetiedostoja. 10

tahansa tietoja, joita www-sivusto haluaa siihen sisällyttää: katsotut sivut, napsautetut mainokset, henkilönumero ja niin edelleen. 24 SET-COOKIE-komento sijaitsee HTTP-vastausotsakkeessa 25 eli ei-havaittavissa hyperlinkeissä. Sellainen evästetiedosto, jonka kesto on määritelty, 26 tallentuu Internetin käyttäjän kiintolevylle ja välittyy takaisin evästetiedoston luoneelle www-sivustolle (tai muille saman verkkoalatunnuksen mukaisille www-sivustoille) tuon keston ajaksi. Evästetiedosto välittyy takaisin COOKIE-kentässä, joka sisältyy edellä kuvailtuun selaimen suorittamaan ei-havaittavaan tietojenkäsittelyyn, ilman käyttäjän toimintaa. Kuten edellä on selvitetty, käyttäjän henkilökohtaista tietokonetta voidaan pitää direktiivin 95/46/EY 4 artiklan 1 kohdan c alakohdassa tarkoitettuna välineenä. Se sijaitsee jonkin jäsenvaltion alueella. Rekisterinpitäjä on päättänyt käyttää tätä välinettä henkilötietojen käsittelyyn, ja, kuten edellä on selvitetty, useat tekniset toiminnot suoritetaan rekisteröidyn valvonnan ulkopuolella. Käyttäjän väline on rekisterinpitäjän käytettävissä, eikä tätä välinettä käytetä ainoastaan tiedonsiirtoon yhteisön alueen kautta. Työryhmä on siksi sitä mieltä, että sen jäsenvaltion kansallista oikeutta, jossa tämä käyttäjän henkilökohtainen tietokone sijaitsee, sovelletaan siihen, millaisin edellytyksin käyttäjän henkilötietoja voidaan kerätä käyttäjän kiintolevylle tallennettavan evästeen avulla. Kuten työryhmän aiemmassa suosituksessa 27 todettiin, käyttäjälle olisi ilmoitettava, milloin Internet-ohjelmisto aikoo vastaanottaa, tallentaa tai lähettää evästeen. Ilmoituksessa olisi kerrottava selkeästi, mitä tietoja evästeeseen aiotaan tallentaa, mihin tarkoitukseen tietoja käytetään ja miten kauan eväste on voimassa. Käyttäjälle olisi sitten tarjottava mahdollisuus hyväksyä tai kieltää evästeen lähettäminen tai tallentaminen kokonaisuudessaan, ja käyttäjälle olisi lisäksi tarjottava mahdollisuus päättää, mitä tietoja evästeeseen olisi sisällytettävä tai mitä tietoja siitä olisi poistettava esimerkiksi evästeen voimassaolojakson tai lähettävän tai vastaanottavan www-sivuston mukaan. 28 Tapaus B: JavaScript, mainospalkit ja muut vastaavat sovellukset 24 Ks. kirja, jonka kirjoittajat ovat HAGEL III, J. ja SINGER, M., Net Worth: the emerging role of the informediary in the race for customer information, Harvard Business School Press, 1999, s. 275. 25 Teknisesti on myös mahdollista käyttää evästetiedostoja JavaScript-kielisinä tai <META-HTTP EQUIV>-kentissä, jotka sijaitsevat HTML-koodissa. 26 Evästetiedostot, joiden kestoa ei ole määritelty, ovat istuntokestoisia evästetiedostoja, ja ne katoavat, kun selain tyhjennetään tai kun portti sulkeutuu. 27 Suositus 1/99 ohjelmistojen ja laitteistojen Internetissä suorittamasta ei-havaittavasta ja automaattisesta henkilötietojen käsittelystä, WP 17. 28 Lisätietoja evästeiden luonteesta ja niiden käsittelystä on valmisteluasiakirjassa "Tietosuoja Internetissä Euroopan unionin yhdennetty lähestymistapa", 5063/00, WP 37. Sivulla 16 on yleinen kuvaus evästeistä: "Evästetiedostot (cookie) ovat tiedonosia, jotka voidaan tallentaa tekstitiedostoina Internetin käyttäjän kiintolevylle, samalla kun www-sivusto saattaa säilyttää niistä kopion." Sivulla 84 annetaan tietoja "evästetiedostojen hävittäjistä" ja käsitellään sekä teollisuuden ratkaisuja evästetiedostojen torjuntajärjestelmiä että yksityisyyden suojan aktivistien ratkaisuja itsenäisiä ohjelmia, kuten Cookie Washer, Cookie Cutter ja Cookie Master evästetiedostojen aiheuttamiin yksityisyyden suojaa koskeviin ongelmiin. 11

JavaScript-ohjelmat ovat ohjelmistosovelluksia, joita www-sivusto lähettää käyttäjän tietokoneeseen ja joiden avulla etäpalvelimet voivat suorittaa sovelluksia käyttäjän henkilökohtaisessa tietokoneessa. Ohjelmiston sisällöstä riippuen JavaScript-ohjelmia voidaan käyttää tiedon esittämiseen www-sivulla mutta myös virusten lataamiseen tietokoneeseen (ns. haitallinen Java) ja/tai tietokoneella olevien henkilötietojen keräämiseen tai käsittelyyn. Rekisterinpitäjä, joka päättää käyttää näitä välineitä henkilötietojen keräämiseen ja käsittelyyn, käyttää välineitä direktiivissä tarkoitetulla tavalla, joten tämän on noudatettava EU:n lainsäädännön säännöksiä. Mainontayritys määrää sivustojen (esimerkiksi hakukonesivustojen) omistajien kanssa tehdyn sopimuksen perusteella rekisteröidyn selaimen (laajemmin ymmärrettynä tietokoneen) yhdistymään halutun hakukoneen lisäksi mainontayrityksen palvelimeen. Tällä tavoin mainontayritys voi paitsi lähettää mainospalkkeja 29 rekisteröidyn näytölle myös käyttäjän selainta käyttäen kerätä yksilön hakukoneelle lähettämät osoite- ja sisältötiedot. Mainospalkit sijoitetaan pyydetylle www-sivustolle mainontayritykseen johtavan ei-havaittavan hyperlinkin välityksellä. 30 Rekisterinpitäjällä on siten siitä paikasta, jossa tämä sijaitsee, hallintaoikeus selaimen toimintaan, koska rekisterinpitäjä voi määrätä selaimen yhdistymään kolmanteen osapuoleen tai välittämään sille tietoja. Tarjotakseen asiakkaalle "sopivimman" mainospalkin verkkomainostajat luovat lisäksi profiileja evästetiedostoilla, jotka välitetään ei-havaittavan hyperlinkin välityksellä. Sen mukaan, miten selaimen asetukset on määritetty, käyttäjä voi tietää evästetiedoston lähettämisestä ja voi antaa siihen suostumuksensa. Asiakkaan profiili yhdistetään mainontayrityksen evästetiedoston tunnistenumeroon, jotta profiilia voitaisiin laajentaa aina, kun asiakas käy sillä www-sivustolla, jolla on sopimus mainostajan kanssa. Tällä tavoin käyttäjältä kerätään lisää henkilötietoja tämän tietokoneen kautta ja ilman tämän toimintaa aina, kun Internetin käyttäjä käy mainospalkin sisältävällä www-sivustolla. Direktiiviä olisi sovellettava myös tietoihin, jotka kerätään urkintatekniikoiden avulla; nämä ohjelmistot asennetaan salaa yksilön tietokoneeseen esimerkiksi ladattaessa suurempaa ohjelmistoa (esimerkiksi musiikintoisto-ohjelmistoja) rekisteröityyn liittyvien henkilötietojen (esimerkiksi yksilön kuuntelemien kappaleiden nimien) palauttamiseksi. Tällaiset ohjelmistot tunnetaan yleisesti "ET-sovelluksina", koska ne toimivat käyttäjän tietokoneeseen majoituttuaan ja sieltä haluamansa tiedot saatuaan kuten Steven Spielbergin avaruusolento: ne soittavat kotiin. 31 Tällaisissa uusissa tarkkailuohjelmistosovelluksissa käytetään usein JavaScriptiä ja muita vastaavia tekniikoita, ja niissä käytetään selkeästi rekisteröidyn välineitä (tietokonetta, selainta, kiintolevyä ja niin edelleen) tietojen keräämiseen ja palauttamiseen muualle. Koska näitä tekniikoita käytetään nimensä mukaisesti ilmoittamatta siitä käyttäjälle (tältä osin urkintatekniikka on selkeä sana), ne ovat osa ei-havaittavaa ja laitonta käsittelyä. ***** 29 Mainospalkit ovat pieniä graafisia ruutuja, jotka ilmestyvät www-sivuston sisällön yläpuolelle tai jotka sisällytetään tuohon sisältöön. 30 Lisätietoja, ks. valmisteluasiakirjan "Tietosuoja Internetissä", WP 37, luku 8, Verkkomarkkinointi. 31 Ks. Time-lehdessä 31. heinäkuuta 2000 ollut Adam Cohenin kirjoittama pääkirjoitus: How to protect your privacy: who's watching you? They're called E.T. programs. They spy on you and report back by "phoning home". Millions of people are unwittingly downloading them. 12

29 artiklan mukainen työryhmä on tietoinen siitä, että edellä mainittujen kahden esimerkin lisäksi on muitakin Internetiin liittyviä käytännön tapauksia, joihin saattaa liittyä tulkintavaikeuksia osittain tiettyjen järjestelmien teknisen monimutkaisuuden takia. Työryhmä pohtii edelleen asiaa ja saattaa ottaa esille muita käytännön tapauksia kansallisten kokemusten ja mahdollisesti tärkeän tulevan teknisen kehityksen perusteella. Työryhmä haluaisi korostaa, että niissäkin tapauksissa, joissa direktiivin soveltaminen ei ole täysin selvää, se on sitoutunut jatkamaan vuoropuhelua henkilötietoja Euroopan unionissa keräävien kolmansien maiden yritysten ja organisaatioiden kanssa edistääkseen rekisteröityjä koskevia asianmukaisia tietosuojastandardeja. 4. Mitä tämä tarkoittaa käytännössä? a) Henkilötietojen keräämistä koskevien periaatteiden soveltaminen Kaikissa näissä tapauksissa EU:n tietosuojalainsäädännön soveltaminen tarkoittaa muun muassa seuraavaa: - Rekisterinpitäjän on selkeästi määriteltävä käsittelyn tarkoitus, jotta henkilötietojen kerääminen olisi asianmukaista ja laillista. - Rekisterinpitäjän on myös varmistettava, että tiedot ovat asianmukaisia, olennaisia eivätkä liian laajoja siihen tarkoitukseen, mihin ne on kerätty. - Keräämisellä on oltava laillinen peruste (yksiselitteinen suostumus, sopimuksen täytäntöönpano, laillisen velvoitteen noudattaminen, rekisterinpitäjän oikeutetun intressin toteuttaminen ja niin edelleen), ja yksilöllä on oltava oikeus saada henkilötietonsa sekä oikeus niiden oikaisuun tai poistamiseen. - Yksilölle on ilmoitettava vähintään rekisterinpitäjän henkilöllisyys ja tarvittaessa hänen edustajansa henkilöllisyys, keräämisen tarkoitus, tietojen vastaanottajat ja tämän omat oikeudet. 32 - Toinen tärkeä seikka on käsittelyn turvallisuus, jonka takia rekisterinpitäjä voi joutua keräämisestä alkaen toteuttamaan tietyt tekniset ja organisatoriset toimenpiteet tietojen suojaamiseksi vahingossa tapahtuvalta tai laittomalta tuhoamiselta, vahingossa tapahtuvalta häviämiseltä, muuttamiselta, luvattomalta luovuttamiselta tai tietojen antamiselta, erityisesti jos tietoja siirretään verkossa. Näin on taattava asianmukainen turvallisuuden taso suhteessa riskeihin ja tietojen luonteeseen. - Arkaluonteisten tietojen keräämistä säännellään turvallisuusvaatimuksia koskevilla erityisillä säännöksillä. 33 32 Direktiivin 10 artiklassa säädetään, että lisätietoja on annettava siltä osin kuin ne ovat tarpeen rekisteröidyn kannalta asianmukaisen tietojenkäsittelyn takaamiseksi. Kun kyseessä ovat evästeet, yksilöllä olisi oltava mahdollisuus hyväksyä tai torjua eväste, ja lisäksi hänellä olisi oltava mahdollisuus määrittää, mitä tietoja hän haluaa evästeen käsittelevän ja mitä ei. 13

Lisätietoja tietosuojadirektiivien soveltamisesta www-sivustojen suorittamaan tietojen käsittelyyn annetaan työryhmän suosituksessa 2/2001 Euroopan unionissa verkossa tapahtuvaan henkilötietojen keruuseen sovellettavista tietyistä vähimmäisvaatimuksista. 34 b) Menettelyihin liittyvät näkökohdat Direktiivin 95/46/EY 4 artiklan 2 kohdan mukaan rekisterinpitäjän on lisäksi nimettävä sen jäsenvaltion alueelle sijoittautunut edustaja, jossa välineet sijaitsevat. Tiedot rekisterinpitäjän henkilöllisyydestä ja hänen edustajansa henkilöllisyydestä voitaisiin helposti sisällyttää www-sivuston yksityisyydensuojaperiaatteisiin tai wwwsivustosta vastaavan yleisiin tunnistetietoihin, jotta www-sivustosta vastaava rekisterinpitäjä voidaan helposti tunnistaa ja tavoittaa. Voitaisiin suositella laajasti käytettäväksi sellaista mahdollisuutta, että yksi edustaja toimii usean rekisterinpitäjän puolesta, tai kehittää muita käytännöllisiä ratkaisuja. Direktiivissä annetaan useita vaihtoehtoja aiottujen käsittelytoimien (nimittäin tietojen keräämisen) ilmoittamiseen kansallisille tietosuojaviranomaisille. Direktiivin 18 artiklan 1 kohdan mukaan rekisterinpitäjän tai hänen edustajansa on tehtävä ilmoitus valvontaviranomaiselle, ennen kuin toteutetaan käsittely tai tällaisten käsittelyjen sarja. Direktiivin 19 artiklan 1 kohdan a alakohdassa säädetään, että ilmoituksessa on annettava muun muassa rekisterinpitäjän nimi ja osoite ja hänen edustajansa nimi ja osoite. Direktiivin 18 artiklan 2 kohdan toisen luetelmakohdan mukaan jäsenvaltiot voivat säätää ilmoitusmenettelyn yksinkertaistamisesta tai siitä poikkeamisesta kahdessa tapauksessa: jos käsittelytoimet eivät todennäköisesti loukkaa rekisteröityjen oikeuksia ja vapauksia tai jos rekisterinpitäjä nimeää henkilötietojen suojaamisesta vastaavan henkilön, jonka on itsenäisesti varmistettava tietosuojalainsäädännön sisäinen soveltaminen. 35 Työryhmä on tietoinen siitä, että näiden säännösten soveltaminen voi aiheuttaa käytännön ongelmia, ja se saattaa tarkastella näitä kysymyksiä lähemmin myöhemmässä vaiheessa. c) Täytäntöönpano On selvää, että säännösten kansainvälinen täytäntöönpano ei ole yhtä helppoa kuin niiden täytäntöönpano tietyn maan alueella. Kansalaisten on oltava tietoisia (kansalaisille on 33 Joissakin jäsenvaltioissa vaaditaan ennakkotarkastus, ennen kuin arkaluonteisten tietojen käsittely voi alkaa. 34 Ks. suositus 2/2001 Euroopan unionissa verkossa tapahtuvaan henkilötietojen keruuseen sovellettavista tietyistä vähimmäisvaatimuksista, WP 43. Olisi keskusteltava siitä, sovelletaanko kaikkia asiakirjassa WP 43 mainittuja osatekijöitä myös EU:n ulkopuolelle sijoittautuneiden rekisterinpitäjien verkossa suorittamaan tietojen keruuseen. 35 Tämän direktiivin artiklan mukaisesti säädetyt kansalliset oikeussäännökset, ks. http://europa.eu.int/comm/internal_market/en/dataprot/law/impl.htm 14

kerrottava) tästä. On kuitenkin olemassa useita mahdollisuuksia, ja mahdollisuuksia voidaan kehittää, jotta saavutettaisiin kohtuullinen täytäntöönpanoaste. Hyvä noudattamisaste edellyttäisi ensiksikin, että niin eurooppalaisille kuin kansainvälisillekin organisaatioille kerrotaan direktiivin vaatimuksista, jotka koskevat tietojen keräämistä Euroopan unionissa. Tämän suosituksen mahdollisimman laaja levittäminen on vasta ensimmäinen askel. Siihen kuuluisi myös sellaisia teknisiä ratkaisuja, joissa tarjotaan valmis rakenne henkilötietojen keräämistä varten ja joissa kuvatut vaatimukset sisällytetään henkilötietojen keräämiseen tarkoitettuihin ohjelmistotyökaluihin. Työryhmä on jo viitannut mahdollisuuteen kehittää tuotehyväksyntämenettelyjä, joissa tarkastettaisiin henkilötietojen suojaan liittyvien laillisten vaatimusten täyttäminen. Eurooppalainen merkintä- tai www-sinettijärjestelmä, joka olisi avoinna myös EU:n ulkopuolisille www-sivustoille, voisi olla tällaisen toiminnan kulmakivi. Lisäksi sellainen Euroopan unionissa oleva yksilö, jolla on ongelmia EU:n ulkopuolisen www-sivuston kanssa, voisi saattaa asiansa toimivaltaisen kansallisen tietosuojavalvontaviranomaisen käsiteltäväksi. Tämä viranomainen määrittäisi, sovelletaanko direktiiviä vai vastaavaa kansallista tietosuojalainsäädäntöä. Jos sovelletaan direktiiviä, viranomainen voisi ottaa yhteyttä ulkomaiseen www-sivustoon ongelman ratkaisemiseksi. Jos asia saatetaan sen jäsenvaltion tuomioistuimen käsiteltäväksi, jossa yksilö oleskelee, tuomioistuin päättää, onko sillä toimivalta asian ratkaisemiseen (sillä voisi olla toimivalta kansainvälisen prosessioikeuden mukaan, koska asianosainen on samalla alueella kuin tuomioistuin). Kun tuomioistuimella on toimivalta asian ratkaisemiseen, se soveltaa direktiivin 95/46/EY 4 artiklaa tai direktiivin täytäntöön panemiseksi säädettyä kansallista lakia ja saattaa todeta, että ulkopuolinen www-sivusto oli käsitellyt yksilön henkilötietoja laittomasti ja epäasianmukaisesti. Monissa kolmansissa maissa on jo mahdollista tunnustaa tuomio ja panna se täytäntöön, mutta vaikka näin ei olisikaan, on olemassa esimerkkejä siitä, että ulkopuolinen wwwsivusto voi silti noudattaa tuomiota ja muuttaa tietojen käsittelyään hyvien liikekäytäntöjen kehittämiseksi ja hyvän kaupallisen mielikuvan säilyttämiseksi. Niissä kolmansissa maissa, joissa on tietosuojaa koskevia säännöksiä ja viranomaisia, täytäntöönpano on luonnollisesti helpompaa. 5. Päätelmät 29 artiklan mukainen tietosuojatyöryhmä on sitä mieltä, että tässä valmisteluasiakirjassa esitetty kansallisten lakien tulkinta olisi hyödyllisin oikeusvarmuuden saavuttamiseksi Euroopan unionin ulkopuolisten www-sivustojen osalta. Työryhmä on vakuuttunut siitä, että yksilöiden suojelun korkea taso voidaan varmistaa vain, jos, kuten tässä valmisteluasiakirjassa selvitetään, Euroopan unionin ulkopuoliset mutta EU:n alueella sijaitsevia välineitä käyttävät www-sivustot kunnioittavat henkilötietojen käsittelyä ja erityisesti niiden keräämistä koskevia takeita sekä Euroopan tasolla tunnustettuja ja kaikkiin Euroopan unionissa oleviin www-sivustoihin sovellettavia yksilöiden oikeuksia. 29 artiklan mukainen tietosuojatyöryhmä katsoo, että sellaisen ohjelman kehittäminen, jossa edistetään käytännöllisesti eurooppalaisia tietosuojasäännöksiä, auttaisi myös kolmansissa maissa olevia rekisterinpitäjiä entistä paremmin ymmärtämään, toteuttamaan ja osoittamaan yksityisyyden suojan vaatimusten 15

mukaisuutta. Eurooppalainen merkintä- tai www-sinettijärjestelmä, joka olisi avoinna myös EU:n ulkopuolisille www-sivustoille, voisi olla tällaisen toiminnan kulmakivi. 29 artiklan mukainen tietosuojatyöryhmä kehottaa komissiota ottamaan tämän valmisteluasiakirjan huomioon tulevassa työssään. Tehty Brysselissä 30 päivänä toukokuuta 2002 Työryhmän puolesta Puheenjohtaja Stefano RODOTA 16