Euroopan unionin neuvosto Bryssel, 28. marraskuuta 2014 (OR. en) Toimielinten välinen asia: 2012/0011 (COD) 15656/1/14 REV 1 DATAPROTECT 170 JAI 891 MI 898 DRS 154 DAPIX 172 FREMP 210 COMIX 616 CODEC 2276 ILMOITUS Lähettäjä: Vastaanottaja: Asia: Puheenjohtajavaltio Neuvosto Ehdotus Euroopan parlamentin ja neuvoston asetukseksi yksilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta (yleinen tietosuoja-asetus) Yhden luukun järjestelmä = Periaatekeskustelu I Johdanto Yhden luukun periaate on yhdenmukaisuusmekanismin ohella yksi ehdotetun yleisen tietosuojaasetuksen keskeisistä kohdista. Oikeus- ja sisäasioiden neuvosto antoi loka- ja joulukuussa 2013 seuraavat pääsuuntaviivat yhden luukun järjestelmää koskevan työn loppuun saattamiseksi: Tärkeitä rajat ylittäviä tapauksia varten asetusehdotuksessa olisi perustettava yhden luukun järjestelmä, jotta saadaan aikaan yksi valvontapäätös, joka tehtäisiin nopeasti ja joka varmistaisi yhdenmukaisen soveltamisen, takaisi oikeusvarmuuden ja vähentäisi hallinnollista rasitetta. 15656/1/14 REV 1 mmy/ess/vl 1
Asiantuntijoiden tulisi tutkia menetelmiä "läheisyyden" lisäämiseksi yksilöiden ja päättävän valvontaviranomaisen välillä ottamalla 'paikalliset' valvontaviranomaiset mukaan päätöksentekoprosessiin. Teknisellä tasolla tehtävässä jatkotyöskentelyssä olisi tutkittava myös mahdollisuutta antaa Euroopan tietosuojaneuvostolle joissakin tapauksissa valtuudet tehdä sitovia päätöksiä korjaavista toimenpiteistä. Kesäkuussa 2014 neuvosto antoi puheenjohtajavaltion tehtäväksi jatkaa yhden luukun järjestelmän käsittelyä (...). Puheenjohtajavaltio Kreikka on pyrkinyt jatkamaan järjestelmän tehokkuutta ja päätöksenteon läheisyyttä koskevien kysymysten käsittelyä. Puheenjohtajavaltio on käsitellyt kahta jäljellä olevaa yhden luukun järjestelmään liittyvää kysymystä eli päätöksenteon läheisyyden lisäämistä yksilöihin nähden ja valtuuksien antamista tietosuojaneuvostolle, jotta se voisi tehdä sitovia päätöksiä rajoitetuissa tapauksissa (...). Siksi asetusehdotuksen VI, VII ja VIII luvuista on keskusteltu tiiviisti tietojenvaihto- ja tietosuojatyöryhmässä (DAPIX). 15656/1/14 REV 1 mmy/ess/vl 2
II Nykytilanne ei tehokkaita ratkaisuja rajatylittävissä tapauksissa Nykyisellään direktiivissä 95/46/EY ei aseteta yksityiskohtaisia velvoitteita, jotka koskisivat koordinointia tai yhteistyötä potentiaalisten asiaankuuluvien valvontaviranomaisten (= tietosuojaviranomaisten) välillä. Tästä on aiheutunut oikeudellista epävarmuutta yrityksille ja yksilöiden tietosuojan hajanaisuutta ja tehottomuutta sellaisten tietojenkäsittelytoimien tapauksessa, joilla on rajatylittäviä vaikutuksia. Esimerkiksi useassa jäsenvaltiossa toimiva yritys joutuu hoitamaan asioita usean tietosuojaviranomaisen kanssa ilman takeita siitä, että nämä toimivat koordinoidusti tai yhteistyössä päättäessään kannoistaan. Rekisteröity, johon useissa jäsenvaltioissa toimivien yritysten käsittelytoimet vaikuttavat ja joka osoittaa valituksensa paikalliselle tietosuojaviranomaiselleen pyytäen korjaavaa toimenpidettä, saattaa usein saada ratkaisuksi tietosuojavaikutukseltaan rajoitetun toimenpiteen. Toisin sanoen tietosuojaviranomaisen toimet voivat usein jäädä teholtaan ja kattavuudeltaan vajavaisiksi, jolloin niillä ei voi puuttua riittävästi yksilöiden oikeuksiin kohdistuviin vaikutuksiin. Jos rekisteröity etsii kattavampaa tietosuojaa tällaisissa rajatylittävissä tapauksissa, hän joutuu usein esittämään valituksensa useille tietosuojaviranomaisille ilman takeita siitä, että nämä toimivat koordinoidusti tai yhteistyössä saadakseen aikaan niitä kaikkia sitovan yhdenmukaisen päätöksen. Lisäksi kun pelkästään yhdessä jäsenvaltiossa sijaitsevan yrityksen suorittama tietojenkäsittely vaikuttaa rekisteröityihin muissa jäsenvaltioissa, ainoastaan sen jäsenvaltion tietosuojaviranomainen, johon yritys on sijoittautunut, voi tehdä käsittelyä koskevan päätöksen, eivätkä muut tietosuojaviranomaiset, joille kyseinen tietojenkäsittely saattaa myös kuulua, osallistu asiaan millään tavoin. 15656/1/14 REV 1 mmy/ess/vl 3
III Asetusehdotuksen mukainen tilanne Puheenjohtajavaltio on täsmentänyt edelleen tapausluokkia, joita tietosuojaviranomaisten on käsiteltävä. Tavoitteena on luoda objektiivisiin kriteereihin perustuva, todellista tilannetta vastaava järjestelmä ja varmistaa, että tehdyt päätökset ovat tehokkaita sekä yritysten paremman oikeusvarmuuden kannalta että yksilöiden korkeatasoisen tietosuojan kannalta. Tekstissä on kolmentyyppisiä tapauksia. 1. Paikalliset tapaukset (51 artikla) Puheenjohtajavaltio on täsmentänyt edelleen yleisperiaatetta, jonka mukaan sellaiset tapaukset, joissa tietojenkäsittely vaikuttaa vain yhteen jäsenvaltioon tai henkilöihin vain yhdessä jäsenvaltiossa, hoitaisi edelleen vain paikallinen tietosuojaviranomainen, eikä niihin sovellettaisi erityisiä yhden luukun järjestelmän sääntöjä. Tämänhetkisessä tekstissä 1 annetaan tarkemmin seuraavat yleiskriteerit paikallisten tapausten määrittelyä varten: kukin valvontaviranomainen hoitaa tapaukset, jotka koskevat sen oman jäsenvaltion aluetta (alueellinen toimivalta); kukin valvontaviranomainen hoitaa tapaukset, joissa rekisterinpitäjä on kyseisen jäsenvaltion viranomainen tai elin (toiminnallinen toimivalta); kukin valvontaviranomainen on toimivaltainen tietojenkäsittelyssä, joka kuuluu sen oman jäsenvaltion alueella olevan rekisterinpitäjän tai henkilötietojen käsittelijän toimipaikan toimintaan taikka vaikuttaa yksinomaan sen oman jäsenvaltion alueella oleviin rekisteröityihin (asiallinen toimivalta). Merkittävää määrää päivittäisen tietojenkäsittelyn tapauksista voitaneen pitää paikallisina tapauksina, jotka hoitaa paikallinen tietosuojaviranomainen. Paikallisten tietosuojaviranomaisten päätöksistä voidaan nostaa kanne paikallisen tietosuojaviranomaisen jäsenvaltion tuomioistuimissa. 1 Asiak. 16090/14 DATAPROTECT 180 JAI 956 MI 943 DRS 161 DAPIX 161 FREMP 218 COMIX 644 CODEC 2364. 15656/1/14 REV 1 mmy/ess/vl 4
2. Rajatylittävät tapaukset yhden luukun järjestelmä Tietojenkäsittelytoimet, joilla on rajatylittäviä vaikutuksia, ovat haasteellisia yrityksille, yksilöille ja valvontaviranomaisille. Yhden luukun järjestelmän tarkoituksena on lisätä oikeusvarmuutta, toimivuutta yritysten kannalta ja tehokasta läheisyyttä yksilöihin nähden. Järjestelmän perustana on "johtavan tietosuojaviranomaisen" ja muiden asiaankuuluvien tietosuojaviranomaisten välinen yhteistyö ja koordinointi. 2.1. Yhden luukun tapausten kriteerit (51 a artikla) Yhden luukun järjestelmää olisi käytettävä vain tärkeissä rajatylittävissä tapauksissa. Tämänhetkisessä tekstissä esitetään seuraavat kriteerit tällaisille tärkeille rajatylittäville tapauksille: 1. useammassa kuin yhdessä jäsenvaltiossa sijaitsevan rekisterinpitäjän tai henkilötietojen käsittelijän toimipaikan toimintaan kuuluva tietojenkäsittely tässä tapauksessa "johtava tietosuojaviranomainen" on rekisterinpitäjän tai henkilötietojen käsittelijän päätoimipaikan tietosuojaviranomainen 2. ainoastaan yhteen jäsenvaltioon sijoittautuneen rekisterinpitäjän tai henkilötietojen käsittelijän suorittama tietojenkäsittely, joka kuitenkin vaikuttaa tai todennäköisesti vaikuttaa merkittävästi rekisteröityihin muissa tai kaikissa jäsenvaltioissa tällöin "johtava tietosuojaviranomainen" on rekisterinpitäjän tai henkilötietojen käsittelijän ainoan toimipaikan tietosuojaviranomainen. 2.2. Asiaankuuluvia tietosuojaviranomaisia koskevat kriteerit (4 artiklan 19 a kohta) Eräs puheenjohtajavaltion edelleen vahvistama yhden luukun järjestelmän keskeinen piirre on kaikkien asiaankuuluvien tietosuojaviranomaisten osallistuminen päätöksentekoprosessiin. "Asiaankuuluvalla tietosuojaviranomaisella" tarkoitetaan joko tietosuojaviranomaisia, joiden jäsenvaltiossa on rekisterinpitäjän tai henkilötietojen käsittelijän toimipaikka, tai tietosuojaviranomaisia, joiden jäsenvaltiossa oleviin rekisteröityihin (esim. valituksen tekijöihin) tietojenkäsittely vaikuttaa merkittävästi. Kyseessä olevan tietojenkäsittelyn luonteesta riippuen (esim. Euroopan laajuinen tai vain joihinkin jäsenvaltioihin rajoittunut käsittely) kaikki tai vain jotkut tietosuojaviranomaiset voisivat osallistua yhden luukun järjestelmään. 15656/1/14 REV 1 mmy/ess/vl 5
Rekisterinpitäjän tai henkilötietojen käsittelijän on ilmoitettava päätoimipaikastaan sen jäsenvaltion valvontaviranomaiselle, jossa kyseinen päätoimipaikka sijaitsee. Tämän valvontaviranomaisen on ilmoitettava tämä tieto Euroopan tietosuojaneuvostolle. Euroopan tietosuojaneuvosto voi pitää julkista rekisteriä tällaisesta tiedosta. 2.3. Yhteistyö ja yhteinen päätöksenteko (yhteispäätökset) (54 a artikla) Johtava tietosuojaviranomainen toimii yhteistyössä muiden asiaankuuluvien tietosuojaviranomaisten kanssa yhteisymmärrykseen pääsemiseksi. Tutkittuaan tapauksen (tarvittaessa myös muiden asiaankuuluvien tietosuojaviranomaisten tuella keskinäistä avunantoa ja yhteisiä toimia koskevien sääntöjen mukaan) johtava tietosuojaviranomainen toimittaa kaikille asiaankuuluville tietosuojaviranomaisille ehdotuksen päätökseksi niiden lausuntoja varten. Mahdollisia lopputuloksia on kaksi: joko johtava tietosuojaviranomainen ja asiaankuuluvat tietosuojaviranomaiset pääsevät yhteisymmärrykseen päätöksestä tai jokin asiaankuuluva tietosuojaviranomainen laatii perustellun vastalauseen. Tapauksen johdosta suoritetun tutkinnan tulosten olisi sisällyttävä yhteisesti tehtyyn päätökseen. Tähän kuuluu sen määrittely, onko asetusta rikottu vai ei, rikkomisen johdosta toteutetut toimet (esim. jonkintyyppisen profiloinnin kieltäminen), tai valituksen hylkääminen siinä tapauksessa, että asetusta ei ole rikottu. 2.4. Kuka toteuttaa yhteisesti tehdyn päätöksen? (54 a artikla) Tämänhetkisen tekstin mukaan yhteisesti tehdyn päätöksen antaa se tietosuojaviranomainen, jolla on parhaat edellytykset huolehtia tehokkaimmin tietosuojasta niin rekisterinpitäjän ja henkilötietojen käsittelijän kuin rekisteröidynkin näkökulmasta. Puheenjohtajavaltio Italia on taannut yhden valvontapäätöksen tekemisen, mutta samalla varmistanut, että tässä yhden luukun järjestelmän vaiheessa huolehditaan riittävästä päätöksenteon läheisyydestä. Tämänhetkisessä tekstissä on erotettu toisistaan tilanteet, joissa johtava tietosuojaviranomainen antaa yhteisesti tehdyn päätöksen, ja tilanteet, joissa päätöksen antaa paikallinen tietosuojaviranomainen. Ensinnäkin jos yhteisesti tehdyssä päätöksessä todetaan valitus täysin perustelluksi ja tarkastellaan rekisterinpitäjään tai henkilötietojen käsittelijään kohdistettavia toimenpiteitä, päätöksen toteuttaa johtava tietosuojaviranomainen, jolla on parhaat edellytykset tarjota tehokkaat ja kattavat oikeussuojakeinot. Tähän kuuluvat muun muassa tapaukset, jolloin kielletään tietojenkäsittely taikka tietojen saantia, oikaisua tai poistamista koskevien oikeuksien käyttö. 15656/1/14 REV 1 mmy/ess/vl 6
Johtava tietosuojaviranomainen tekee yhden päätöksen ja ilmoittaa siitä rekisterinpitäjän tai henkilötietojen käsittelijän päätoimipaikalle tai ainoalle toimipaikalle. Sen jälkeen on yhdessä päätöksessä tarkoitetun rekisterinpitäjän tai henkilötietojen käsittelijän velvollisuus varmistaa, että kaikki sen käsittelytoimet unionissa ovat vaatimusten mukaisia. Jos rekisterinpitäjä tai henkilötietojen käsittelijä ei hyväksy päätöstä, se voi ryhtyä oikeustoimiin johtavaa tietosuojaviranomaista vastaan. Toimivaltaisia ovat silloin rekisterinpitäjän tai henkilötietojen käsittelijän päätoimipaikan tai ainoan toimipaikan jäsenvaltion tuomioistuimet. Toiseksi jos yhteisesti tehty päätös vaikuttaa haitallisesti yksilöön, erityisesti kun hänen valituksensa on hylätty, päätöksen tekee ja toteuttaa paikallinen tietosuojaviranomainen kansallisessa oikeusjärjestelmässään, koska sillä on parhaat edellytykset varmistaa asianomaista yksilöä varten tehokas suojelu ja päätöksenteon läheisyys. Jos valituksen tekijä ei hyväksy päätöstä, hän voi ryhtyä oikeustoimiin kansallisissa tuomioistuimissaan. Toimivaltaisia ovat silloin sen jäsenvaltion tuomioistuimet, jossa valitus tehtiin. Kaikissa sellaisissa tapauksissa, joissa päätös on valituksen tekijän kannalta vain osittain tyydyttävä, sen tekevät johtava tietosuojaviranomainen ja paikallinen tietosuojaviranomainen. Näin ollen päätöstä vastaan mahdollisesti aloitettujen oikeustoimien tapauksessa toimivaltaisia ovat kaikki asianomaisten osapuolten paikalliset tuomioistuimet. Paikallisen tietosuojaviranomaisen pitäisi myös pysyä toimivaltaisena kaikkien niiden toimien osalta, joihin sen alueella ryhdytään yhteisesti tehdyn päätöksen seurauksena. Erityisesti paikalliset tietosuojaviranomaiset säilyttävät toimivaltansa seurata niiden oman jäsenvaltion alueella olevan toimipaikan suorittamaa yhteisesti tehdyn päätöksen täytäntöönpanoa ja varmistaa se. Paikallinen tietosuojaviranomainen, joka on yksilön kannalta ainoa yhteyspiste, ilmoittaa yksilölle myös valituksen myönteisestä tuloksesta, joka ilmenee johtavan tietosuojaviranomaisen antamasta yhteisesti tehdystä päätöksestä. Lopuksi kiireellisissä tapauksissa paikallinen tietosuojaviranomainen voi myös hyväksyä väliaikaisen toimenpiteen turvatakseen rekisteröityjen oikeudet ja vapaudet (61 artikla). 15656/1/14 REV 1 mmy/ess/vl 7
3. Rajatylittävien tapausten riitojenratkaisujärjestelmä 3.1. Riitojenratkaisujärjestelmän käynnistämisen kriteerit Yhden luukun järjestelmä perustuu johtavan tietosuojaviranomaisen ja asiaankuuluvien tietosuojaviranomaisten väliseen tehostettuun yhteistyöhön ja koordinointiin ja sen tarkoituksena on asetuksen yhdenmukainen soveltaminen. Tässä yhteydessä yhteistyökulttuurin kehittämisen ja "vertaispaineen" vaikutuksen ansiosta yhteisymmärrykseen pitäisi päästä useimmissa tapauksissa. Näin on käynyt vastaavien järjestelmien käyttöönotossa muilla EU:n lainsäädännön aloilla. Tämänhetkiseen tekstiin on siksi otettu riitojenratkaisujärjestelmä varautumisjärjestelynä harvinaisia tilanteita varten, jos kyseessä on merkittävä rajatylittävä tapaus eikä tapausta hoitavien tietosuojaviranomaisten kesken päästä yhteisymmärrykseen. 3.2. Riitojenratkaisun skenaariot (57 artiklan 2 a kohta) Tämänhetkisessä tekstissä eritellään selvästi neljä tilannetta, joissa riitojenratkaisua pitäisi soveltaa: konfliktit, jotka koskevat johtavan tietosuojaviranomaisen nimeämistä konfliktit, jotka koskevat tietosuojaviranomaisten välisen yhteistyön sujumista (keskinäinen avunanto, yhteisten toimien tapaus) konfliktit, jotka koskevat yhden luukun järjestelmää koskevan päätösehdotuksen asiaratkaisuja ja erityisesti sitä, onko asetusta rikottu vai ei konfliktit, jotka johtuvat siitä, ettei Euroopan tietosuojaneuvoston lausuntoa ole pyydetty tai noudatettu tapauksissa, joihin sovelletaan yhdenmukaisuusmekanismia (esim. yritystä koskevat sitovat säännöt tai käytännesäännöt, joilla on rajatylittäviä vaikutuksia). 3.3. Euroopan tietosuojaneuvoston tehtävät Tämänhetkisen tekstin mukaan riitojenratkaisun asianmukainen foorumi on Euroopan tietosuojaneuvosto, joka koostuu EU:n tietosuojaviranomaisista ja jolla on oikeushenkilöys. Näin taataan tarvittava riippumattomuus ja asiantuntemus. Lisäksi tämänhetkisen tekstin mukaan tietosuojaneuvosto ratkaisee riidan neljässä edellä mainitussa tapauksessa antamalla sitovan päätöksen. 15656/1/14 REV 1 mmy/ess/vl 8
Euroopan tietosuojaneuvosto antaa päätöksensä riita-asiassa kahden kolmasosan enemmistöllä. Päätös sitoo kaikkia asiaankuuluvia tietosuojaviranomaisia. Johtava tietosuojaviranomainen tai paikallinen tietosuojaviranomainen toteuttaa tapauksen tuloksen mukaan (esim. hylätäänkö valitus vai kohdistetaanko rekisterinpitäjään tai henkilötietojen käsittelijään toimia) tietosuojaneuvoston sitovan päätöksen. Tämä malli, jossa jokaisella asiaankuuluvalla tietosuojaviranomaisella on oikeus laatia päätösehdotusta koskeva perusteltu vastalause ja vaikuttaa näin riidan tuomiseen tietosuojaneuvoston käsiteltäväksi ja jossa tietosuojaneuvostolle annetaan sitovat riidanratkaisuvaltuudet, vahvistaa entisestään kaikkien asiaankuuluvien tietosuojaviranomaisten osallistumista ja tuo siten lisänsä päätöksenteon läheisyyteen. Järjestelmällä tulisi varmistaa, että menettelyyn osallistuvilla luonnollisilla ja oikeushenkilöillä (rekisteröidyllä sekä rekisterinpitäjällä ja henkilötietojen käsittelijällä) on mahdollisuus tarkistuttaa tietosuojaneuvoston päätöksen laillisuus, kun asia koskee niitä suoraan. Tässä suhteessa tulisi täysin taata oikeusviranomaisten valtuudet tarkistaa tietosuojaneuvoston päätöksen laillisuus joko suoraan unionin tuomioistuimessa ja/tai välillisesti kansallisissa tuomioistuimissa, ja olisi varmistettava, että osapuolet voivat kyseenalaistaa tällaisen päätöksen laillisuuden missä tahansa menettelyn asianmukaisessa vaiheessa, jotta henkilötietoja koskevien perusoikeuksien tehokas oikeussuoja voidaan taata. Tätä varten vaikuttaa asianmukaiselta säätää siitä, että tietosuojaneuvoston päätös saatetaan osapuolten tietoon tavoilla, joista on vielä keskusteltava teknisellä tasolla. Periaatekeskustelu Tältä pohjalta puheenjohtajavaltio pyytää neuvostoa hyväksymään edellä esitetyt yhden luukun järjestelmän yleisrakenteen perustekijät ja antamaan ohjeita asiantuntijatyöryhmälle asian käsittelyn jatkamista varten. 15656/1/14 REV 1 mmy/ess/vl 9