EUROPOL JOINT SUPERVISORY BODY Europolin yhteisen valvontaviranomaisen lausunto (Lausunto 10/60) Europolin ilmoituksesta tietojen käsittelystä: rekrytointi- ja valintaprosessi Europolin yhteinen valvontaviranomainen on arvioinut rekrytointi- ja valintaprosessia koskevan ilmoituksen, jonka Europol lähetti ennakkotarkastusta varten asetuksen (EY) 45/2001 periaatteiden täytäntöönpanosta tehdyn johtajan päätöksen 28 ja 30 artiklan mukaisesti. Yhteisen valvontaviranomaisen ilmoituksesta tekemät huomautukset ja suositukset esitetään ilmoituksen sovellettavien kohtien mukaisessa järjestyksessä. 1. Kohta 8 Kohdassa todetaan, ettei käsittelyn kohteena ole terveyteen, rikoksia koskeviin epäilyihin, rikoksiin, rikosasioissa annettuihin tuomioihin tai turvaamistoimiin liittyviä henkilötietoja. Europolin rekrytointiohjeiden 1 mukaan työtarjouksen ehtona kuitenkin on, että hakijalle tehdään lääkärintarkastus Europolin työterveyshuollossa ennen työn aloittamista. Jos hakijoille (muille kuin jo sopimuksen tehneille henkilöille) tehdään lääkärintarkastus, siihen liittyvä tietojen käsittely tulee mainita ilmoituksessa. Europolin rekrytointiohjeissa todetaan myös, että menestyneiden hakijoiden on haettava kansallista mainetodistusta, kun heille tehdään työtarjous. Jos hakijoiden (muiden kuin sopimuksen jo tehneiden henkilöiden) on toimitettava todistus Europolille, siihen liittyvä tietojen käsittely tulee mainita ilmoituksessa. Varmistakaa, että ilmoituksen kohdassa 8 mainitaan täsmällisesti, mitä henkilötietoja käsitellään. Muuttakaa kohtaa tarvittaessa edellä esitettyjen huomautusten mukaisesti. 2. Kohdat 10 ja 13 Kohta 10: Suostumus mainitaan oikeusperustana. Kohdassa on lueteltu myös useita muita oikeusperustoja (hallintoneuvoston päätöksiä), joita ei ole vielä hyväksytty. 1 Europol Recruitment Guidelines, 24. syyskuuta 2010, 2310-91 1
Asetuksen 45 täytäntöönpanosta tehdyssä Europolin päätöksessä suostumus on yksi tietojen käsittelyn oikeutuksen perusteista. Siinä suostumus määritellään vapaaehtoisesti annetuksi, täsmälliseksi ja tietoon perustuvaksi tahdonilmaisuksi, ja todetaan, että se on annettava yksiselitteisesti. Suostumuksen käyttäminen oikeusperustana ei itsessään ole ongelma, mutta Europolin hakulomakkeessa ei mainita, mihin eri tietoja käytetään, kuka niitä käyttää ja kuinka kauan niitä käytetään jne. Siksi on vaikea nähdä, miten suostumukseen liittyviä sääntöjä noudatetaan. Kohta 13: Kohdassa todetaan, että Europolin rekrytointisäännöt ja hakulomake sisältävät rekrytointi- ja valintamenettelyyn liittyvät tietosuojaperiaatteet. Hakulomakkeessa 2 ei ole mitään tietosuojaa koskevaa tietoa, tietosuojalauseketta. Europolin nykyisten rekrytointiohjeiden tietosuojaosiota on parannettu paljon edelliseen versioon (huhtikuu 2010) nähden. Käsittelyn oikeusperustaan viitattaessa käytetään kuitenkin termiä "sovellettavat tietosuojasäännöt". Suositukset: Hakulomakkeessa tulee olla tietosuojalauseke. Siinä lukee nyt aivan allekirjoituskohdan yläreunassa: "Olen lukenut ja ymmärtänyt rekrytointiohjeet ja hyväksyn ne." Tämä virke on muiden vakuutusten joukossa. Ottaen huomioon kerättävien tietojen luonteen tietosuojaa koskevien tietojen tulee olla itse hakulomakkeessa. Suostumuksen hankkiminen sen olettamuksen pohjalta, että henkilö on todella lukenut ohjeet, on melko epävarmaa. Lomakkeessa voisi olla selvä ja ytimekäs tietosuojalauseke, joka sisältää tärkeät tiedot ja jossa lisätietoja kaipaavat ohjataan tutustumaan rekrytointiohjeisiin tai verkkosivustoon. Viitatkaa Europolin rekrytointiohjeissa käsittelyn oikeusperustoihin niiden otsikoilla, ei yleisillä termeillä. Varmistakaa niiden kohdan 10 oikeusperustojen hyväksyntä, joita ei vielä ole hyväksytty. Hyvää käytäntöä koskeva suositus: Europolin rekrytointiohjeisiin olisi hyvä lisätä linkki yhteiseen valvontaviranomaiseen siltä varalta, että hakija haluaa ottaa meihin yhteyttä. 3. Kohta 14 Hakulomakkeessa pyydetään tietoja Europolissa työskentelevistä perheenjäsenistä (nimi, suhde hakijaan ja työtehtävä). Tämän tiedon keräämistä ei mainita ilmoituksessa. Varmistakaa, että kohdassa 14 mainitaan kaikkiin kategorioihin kuuluvat tallennetut tiedot. 2 EDOC #410765 Europol Application Form 2010 2
4. Kohta 18 Kohdassa todetaan, että niiden hakijoiden tiedot, joita ei ole palkattu, säilytetään kahden vuoden ajan ja että lopulliseen tarjoukseen liittyvistä asiakirjoista tehdään kahden vuoden jälkeen anonyymeja tilastollisia tarkoituksia varten. Suositukset: Olisi syytä tehdä ero palkattujen hakijoiden, ei-palkattavien hakijoiden ja niiden hakijoiden välillä, jotka ovat varallaololuettelossa, sekä laatia kullekin ryhmälle tietojen säilytystä koskevat säännöt, joissa otetaan huomioon tarkastukseen liittyvät vaatimukset. Esimerkki: Palkatut hakijat: Euroopan tietosuojavaltuutettu 3 pitää kohtuullisena kymmenen vuoden säilytysaikaa työsuhteen päättymisestä / viimeisestä eläkemaksusta lähtien. Yhteinen valvontaviranomainen tukee tätä kantaa. Ei-palkattavat hakijat: Huomioon tulee tietysti ottaa määräajat, joita sovelletaan valintaprosessin aikana tehtyjen päätösten mahdollisiin tarkistuksiin (esimerkiksi jos päätöksestä tehdään valitus virkamiestuomioistuimeen tai Euroopan oikeusasiamiehelle). Koska valitus voidaan esittää Euroopan oikeusasiamiehelle kahden vuoden kuluessa siitä, kun valituksen tekijä on saanut tietoonsa seikat, joihin valitus perustuu, yhteinen valvontaviranomainen pitää kahden vuoden säilytysaikaa hyväksyttävänä. Hakijat, jotka ovat varallaololuettelossa: Määritetään varallaololuettelon voimassaolon ja todellisen keston perusteella. Mainetodistuksen ja muiden arkaluonteisten tietojen säilyttämiseen on syytä kiinnittää erityistä huomiota. Yhteinen valvontaviranomainen tukee Euroopan tietosuojavaltuutetun kantaa 4, jonka mukaan mainetodistusten sisältämien tietojen käsittelyn oikeusperusta rajoittuu tiukasti palvelukseen ottamisen ehtoon, mikä tarkoittaa, että kun rekrytointiprosessi on ohi, tiedon säilyttämiselle ei ole oikeusperustaa muiden kuin vähäisten tarvittavien tietojen osalta. Tämän osalta yhteinen valvontaviranomainen suosittaa, että laadittaisiin vakiolomake, jossa todetaan, että henkilö on sovelias [hoitamaan tehtävänsä ja hänellä on täydet kansalaisoikeudet], ja että rikosrekisteriote palautetaan hakijalle heti valintaprosessin ja mahdollisen palkkauksen jälkeen. Myös muut arkaluonteiset tiedot, esimerkiksi vammaa koskevat tiedot, tulisi poistaa heti, kun niitä ei enää tarvita rekrytointiprosessissa tai korvauksia varten, tai sen jälkeen, kun mahdolliset seurantamenettelyt on saatu päätökseen. Hyväksyttyjen hakijoiden tapauksessa tiedot voidaan toimittaa eteenpäin henkilöstökansioon, jos työsuhteen aikana tarvitaan erityisjärjestelyjä. 3 4 Katso EDPS Guidelines Concerning Processing Operations in the Field of Staff Recruitment, luku 4 Katso EDPS Guidelines, joihin viitataan alaviitteessä 3 3
5. Kohta 19 Kohdassa todetaan, ettei mitään tietoja säilytetä tilastotarkoituksia varten. Tämä on ristiriidassa kohdan 18 kanssa, sillä siinä todetaan, että tiedot muutetaan kahden vuoden jälkeen anonyymeiksi tilastotarkoituksia varten ja säilytetään 30 vuoden ajan. Varmistakaa, että kohta 19 vastaa todellista tilannetta, ja esittäkää tarvittaessa asiaan liittyvä oikeusperusta. 6. Kohta 21 Kohdassa todetaan, että Europolissa tietoja vastaanottavat henkilöt ovat valintalautakuntien jäseniä, mutta vain väliaikaisesti. Vastauksen tulisi olla täsmällisempi. Määrittäkää vastaanottajat asianmukaisesti kohdassa 14. 7. Kohta 22 Kohdassa todetaan, että rajoitettujen toimien tapauksessa tietoja siirretään kolmansille osapuolille (Europolin kansallisille yksiköille). Tietojen siirroille esitettyä oikeusperustaa ei ollut hyväksytty ilmoituksen laatimisajankohtana. Varmistakaa, että oikeusperusta on nyt hyväksytty. 8. Turvallisuustoimenpiteet Ilmoituksessa ei ole riittävästi tietoa turvallisuustoimenpiteistä. Kuvatkaa ilmoituksessa käytössä olevat turvallisuus- ja luottamuksellisuustoimenpiteet. Näihin tulee sisältyä toimet, jotka ovat tarpeen asetuksen (EY) 45/2001 periaatteiden täytäntöönpanosta tehdyn johtajan päätöksen 25 ja 26 artiklan noudattamiseksi. Ilmoittakaa yhteiselle valvontaviranomaiselle yksityiskohtaisesti toimenpiteistä, jotka toteutetaan asetuksen (EY) 45/2001 periaatteiden täytäntöönpanosta tehdyn johtajan päätöksen 25 ja 26 artiklan vaatimusten täyttämiseksi. 4
9. Päätelmät Europolin yhteinen valvontaviranomainen kehottaa kommentoimaan tätä lausuntoa ja erityisesti esittämään todisteet siitä, että suositukset on toteutettu, sekä antamaan pyydetyt tiedot turvallisuustoimenpiteistä kahden kuukauden kuluessa tämän lausunnon päiväyksestä. Tehty Brysselissä 14. joulukuuta 2010 Isabel Cruz Europolin yhteisen valvontaviranomaisen puheenjohtaja (Tietosuojasihteerin allekirjoitus) 5