30.11.2010   

FI

Euroopan unionin virallinen lehti

C 323/1


Euroopan tietosuojavaltuutetun lausunto ehdotuksesta Euroopan parlamentin ja neuvoston asetukseksi kansalaisaloitteesta

2010/C 323/01

EUROOPAN TIETOSUOJAVALTUUTETTU, joka

ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen ja erityisesti sen 16 artiklan,

ottaa huomioon Euroopan unionin perusoikeuskirjan ja erityisesti sen 8 artiklan,

ottaa huomioon yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24 päivänä lokakuuta 1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY (1),

ottaa huomioon yksilöiden suojelusta yhteisöjen toimielinten ja elinten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 18 päivänä joulukuuta 2000 annetun Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 45/2001 (2) 28 artiklan 2 kohdan mukaisesti tietosuojavaltuutetulle 31 päivänä maaliskuuta 2010 lähetetyn lausuntopyynnön,

ON ANTANUT SEURAAVAN LAUSUNNON:

I   JOHDANTO

1.

Komissio hyväksyi 31 päivänä maaliskuuta 2010 ehdotuksen Euroopan parlamentin ja neuvoston asetukseksi kansalaisaloitteesta (3). Ehdotusta edelsi julkinen kuuleminen aiheesta 11 päivänä marraskuuta 2009 ja 31 päivänä tammikuuta 2010 välisenä aikana (4).

2.

Kansalaisaloite on yksi EU:n oikeuteen Lissabonin sopimuksella tehdyistä uudistuksista, joka antaa vähintään miljoonalle kansalaiselle merkittävässä määrässä jäsenvaltioita mahdollisuuden kehottaa komissiota tekemään säädösehdotuksen. Ehdotettu asetus perustuu SEU 11 artiklan 4 kohtaan ja SEUT 24 artiklan 1 kohtaan, joiden mukaan kansalaisaloitetta koskevat menettelyt ja edellytykset vahvistetaan tavallista lainsäätämisjärjestystä noudattaen.

3.

Ehdotus toimitettiin tietosuojavaltuutetulle asetuksen (EY) N:o 45/2001 28 artiklan 2 kohdan mukaisesti samana päivänä kuin se hyväksyttiin. Tietosuojavaltuutettua kuultiin epävirallisesti jo ennen ehdotuksen hyväksymistä. Tietosuojavaltuutettu suhtautui myönteisesti tähän epäviralliseen kuulemiseen ja pani tyytyväisenä merkille, että useimmat sen huomioista on otettu huomioon lopullisessa ehdotuksessa.

4.

Tietosuojavaltuutettu on yleisesti ottaen tyytyväinen tapaan, jolla tietosuojaa käsitellään asetusehdotuksessa. Yksityiskohtien tasolla tietosuojavaltuutetulla on muutama muutosehdotus. Niitä tarkastellaan tämän lausunnon II luvussa.

5.

Alustavana huomiona tietosuojavaltuutettu haluaa painottaa, että tietosuojasääntöjen ehdoton noudattaminen edistää merkittävästi tämän tärkeän uuden välineen luotettavuutta, vaikuttavuutta ja onnistumista.

II   EHDOTUKSEN YKSITYISKOHTAINEN ANALYYSI

6.

SEU 11 artiklan 4 kohdan ja SEUT 24 artiklan 1 kohdan mukaisesti ehdotuksessa määritellään kansalaisaloitetta koskevat menettelyt ja edellytykset. Asetusehdotuksessa vahvistetaan vähimmäismäärä jäsenvaltioita, kansalaisten vähimmäismäärä jäsenvaltiota kohden ja vähimmäisikäraja kansalaisille, jotka voivat osallistua aloitteeseen. Lisäksi ehdotuksessa määritellään asiasisältöä ja menettelyä koskevat edellytykset sille, että komissio ottaa aloitteen tutkittavaksi.

7.

Tässä lausunnossa keskitytään yksinomaan niihin säännöksiin, joilla on merkitystä tietosuojan kannalta. Niitä ovat kansalaisaloitteen rekisteröintiä koskevat säännöt (4 artikla), tuenilmausten keruuta koskevat menettelyt (5 ja 6 artikla) sekä tuenilmausten tarkastamista ja vahvistamista koskevat vaatimukset (9 artikla). Ehdotuksen 12 artiklassa kiinnitetään erityistä huomiota tietosuojaan. Lisäksi 13 artiklassa käsitellään kansalaisaloitteen järjestäjien vastuuta. Näitä säännöksiä analysoidaan jäljempänä yksityiskohtaisesti.

4 artikla –   Ehdotetun kansalaisaloitteen rekisteröinti

8.

Ennen kuin järjestäjä aloittaa tuenilmausten keruun allekirjoittajilta, sen on rekisteröitävä aloite komission sähköiseen rekisteriin. Sen on tällöin ilmoitettava asetusehdotuksen liitteessä II mainitut tiedot. Näihin tietoihin kuuluu järjestäjän henkilötietoja, kuten koko nimi, postiosoite ja sähköpostiosoite. Ehdotuksen 4 artiklan 5 kohdan mukaan ehdotettu kansalaisaloite julkaistaan rekisterissä. Vaikka asia ei käy selkeästi ilmi tekstistä, tietosuojavaltuutettu olettaa, ettei järjestäjän postiosoitetta ja sähköpostiosoitetta periaatteessa julkaista rekisterissä. Muussa tapauksessa tietosuojavaltuutettu kehottaa lainsäätäjää arvioimaan julkaisemisen tarpeellisuutta ja selittämään sitä sekä selkeyttämään 4 artiklan tekstiä tältä osin.

5 artikla –   Tuenilmausten keruuta koskevat menettelyt ja edellytykset

9.

Järjestäjä on vastuussa tarvittavien tuenilmausten keruusta allekirjoittajilta ehdotettua kansalaisaloitetta varten. 5 artiklan 1 kohdan mukaan tuenilmausten on oltava asetusehdotuksen liitteessä III vahvistetun mallin mukaisia. Mallilomakkeeseen on täytettävä joitakin allekirjoittajan (ilmeisiä) henkilötietoja, kuten etu- ja sukunimi, ja paperilomakkeessa allekirjoitus. Jotta toimivaltainen viranomainen voisi tarkastaa tuenilmauksen aitouden, tarvitaan vielä joitakin muita tietoja: allekirjoittajan asuinkaupunki ja -maa, syntymäaika ja -paikka, kansallisuus, henkilökohtainen tunnistenumero, tunnistenumeron/henkilöasiakirjan laji sekä jäsenvaltio, joka on myöntänyt kyseisen tunnistenumeron/henkilöasiakirjan. Mallilomakkeen muita kuin pakollisia kenttiä ovat katuosoite ja sähköpostiosoite.

10.

Tietosuojavaltuutetun mielestä kaikki muut mallilomakkeen pakolliset kentät kuin henkilökohtainen tunnistenumero ovat tarpeellisia kansalaisaloitteen järjestämiseksi ja tuenilmausten aitouden tarkastamiseksi. Jäsenvaltioissa säännellään eri tavoin tällaisten yksilöllisten tunnistenumeroiden käyttöä, silloin kuin sellaisia on. Tietosuojavaltuutettu ei joka tapauksessa näe, miten yksilöllinen tunniste helpottaa tuenilmauksen aitouden tarkastamista. Muiden vaadittavien tietojen voidaan katsoa riittävän tähän tarkoitukseen. Tästä syystä tietosuojavaltuutettu suosittelee kyseisen tietokentän poistamista liitteen III mallilomakkeesta.

11.

Tietosuojavaltuutettu myös epäilee muiden kuin pakollisten kenttien tarpeellisuutta vakiolomakkeessa ja suosittelee niiden poistamista liitteen III mallilomakkeesta, ellei niiden tarpeellisuutta voida osoittaa.

12.

Lisäksi tietosuojavaltuutettu suosittelee, että mallilomakkeen loppuun lisätään vakiomuotoinen tietosuojalauseke, josta ilmenevät rekisterinpitäjä, keruun tarkoitus, muut tiedon vastaanottajat ja säilytysaika. Direktiivin 95/46/EY 10 artiklan mukaan nämä tiedot on annettava rekisteröidylle.

6 artikla –   Sähköiset keruujärjestelmät

13.

Asetusehdotuksen 6 artiklassa käsitellään tuenilmausten keruuta sähköisesti. Tässä 6 artiklassa vaaditaan, että järjestäjän on varmistettava ennen tuenilmausten keruun aloittamista, että sähköisen keruujärjestelmän tekniset ja turvallisuusominaisuudet riittävät takaamaan sen, että sähköisesti toimitetut tiedot tallennetaan turvallisesti muun muassa sen varmistamiseksi, ”että niitä ei voida muokata tai käyttää mihinkään muuhun tarkoitukseen kuin tuenilmaukseksi tietylle kansalaisaloitteelle, ja henkilötietojen suojaamiseksi vahingossa tapahtuvalta tai laittomalta tuhoamiselta, vahingossa tapahtuvalta häviämiseltä, muuttamiselta, luvattomalta luovuttamiselta tai tietojen antamiselta” (5).

14.

Lisäksi 6 artiklan 2 kohdassa todetaan, että järjestäjä voi milloin tahansa pyytää asianomaista toimivaltaista viranomaista vahvistamaan, että sähköinen keruujärjestelmä on mainittujen vaatimusten mukainen. Järjestäjän on joka tapauksessa pyydettävä tällainen vahvistus, ennen kuin se toimittaa tuenilmaukset tarkastettaviksi (ks. jäljempänä 9 artikla).

15.

Asetusehdotuksen 6 artiklan 5 kohdassa vielä velvoitetaan komissio hyväksymään tekniset eritelmät näiden turvallisuussääntöjen täytäntöönpanemiseksi ehdotuksen 19 artiklan 2 kohdassa vahvistetun komiteamenettelyn mukaisesti.

16.

Tietosuojavaltuutettu on tyytyväinen siihen, miten 6 artiklassa on painotettu sähköisten keruujärjestelmien turvallisuutta. Velvollisuus varmistaa tietojenkäsittelyn turvallisuus on yksi niistä tietosuojavaatimuksista, jotka esitetään direktiivin 95/46/EY 17 artiklassa. Tietosuojavaltuutettu panee tyytyväisenä merkille, että tietosuojavaltuutetun epävirallisten huomioiden mukaisesti komissio on saattanut ehdotuksen 6 artiklan 4 kohdan tekstin vastaamaan direktiivin 95/46/EY 17 artiklan 1 kohdan tekstiä. Tietosuojavaltuutettu suhtautuu myönteisesti siihen, että 6 artiklan 4 kohtaan on sisällytetty velvollisuus varmistaa, ettei tietoja käytetä muuhun tarkoitukseen kuin tuenilmaukseksi tietylle kansalaisaloitteelle. Tietosuojavaltuutettu kuitenkin kannustaa lainsäätäjää sisällyttämään 12 artiklaan vastaavan velvoitteen yleisesti sovellettavaksi (ks. jäljempänä 27 kohta).

17.

Tietosuojavaltuutettu suhtautuu epäilevästi asianomaisen toimivaltaisen viranomaisen tekemän vahvistamisen ajoitukseen. Järjestäjällä on velvollisuus pyytää vahvistamista ainoastaan, ennen kuin se toimittaa tuenilmaukset kyseisen viranomaisen tarkastettaviksi. Se voi pyytää vahvistamista jo aiemmin. Jos sähköisen järjestelmän vahvistamisesta on hyötyä, se pitäisi tietosuojavaltuutetun mielestä tehdä ennen tuenilmausten keruuta, jotta vähintään miljoonalta kansalaiselta ei kerättäisi henkilötietoja sellaisella järjestelmällä, jonka turvallisuus osoittautuu jälkeenpäin riittämättömäksi. Tästä syystä tietosuojavaltuutettu kehottaa lainsäätäjää sisällyttämään kyseisen velvollisuuden 6 artiklan 2 kohdan tekstiin. Samalla pitäisi tietenkin varmistaa, ettei vahvistamismenettelystä aiheudu tarpeetonta hallinnollista taakkaa järjestäjälle.

18.

Tässä yhteydessä tietosuojavaltuutettu haluaa tuoda esiin direktiivin 95/46/EY 18 artiklan, jossa velvoitetaan rekisterinpitäjä ilmoittamaan kansalliselle tietosuojaviranomaiselle käsittelytoimet ennen niiden toteuttamista tiettyjä poikkeuksia lukuun ottamatta. On epäselvää, miten tämä ilmoitusvelvollisuus, johon on poikkeuksia, vaikuttaa asetusehdotuksen mukaiseen kansallisen toimivaltaisen viranomaisen tekemään vahvistamiseen. Hallinnollisen taakan minimoimiseksi tietosuojavaltuutettu pyytää lainsäätäjää selventämään direktiivin 95/46/EY 18 artiklan mukaisen ilmoitusmenettelyn suhdetta asetusehdotuksen 6 artiklan mukaiseen vahvistamismenettelyyn.

19.

Mitä tulee teknisten eritelmien täytäntöönpanosääntöihin, tietosuojavaltuutettu haluaa tulla kuulluksi ennen niiden hyväksymistä. Erityisesti siksi, että vihreän kirjan tuloksia käsittelevässä komission työasiakirjassa mainitaan useita julkisen kuulemisen aikana ehdotettuja järjestelmiä, joilla voidaan varmistaa sähköisten allekirjoitusten aitous ja joista yksi on sähköisen allekirjoituksen mahdollistava Euroopan kansalaisten älykortti. Tällaiseen järjestelmään liittyy tietenkin uusia tietosuojanäkökohtia (6).

9 artikla –   Tuenilmausten tarkastaminen ja vahvistaminen jäsenvaltioissa

20.

Kun järjestäjä on kerännyt allekirjoittajilta tarvittavat tuenilmaukset, sen on toimitettava ne asianomaiselle toimivaltaiselle viranomaiselle tarkastamista ja vahvistamista varten. Järjestäjä toimittaa allekirjoittajien henkilötiedot sen jäsenvaltion toimivaltaiselle viranomaiselle, joka on myöntänyt tuenilmauksessa mainitun henkilötodistuksen allekirjoittajalle. Toimivaltaisen viranomaisen on tarkastettava tuenilmaukset kolmen kuukauden kuluessa ”sopivilla tarkastuksilla” ja annettava järjestäjälle todistus (7). Todistusta tarvitaan, kun aloite toimitetaan komissiolle.

21.

Tietosuojavaltuutettu suhtautuu myönteisesti tähän hajautettuun järjestelmään, jonka takia komissio ei saa haltuunsa allekirjoittajien henkilötietoja vaan ainoastaan kansallisten toimivaltaisten viranomaisten myöntämät todistukset. Tällaisella järjestelmällä vähennetään henkilötietojen asiattoman käsittelyn riskiä, kun sillä minimoidaan tietojen vastaanottajien määrä.

22.

Tekstistä ei käy selvästi ilmi, mitä toimivaltaisen viranomaisen ”sopivilla tarkastuksilla” tarkoitetaan. Myöskään asiaan liittyvässä johdanto-osan 15 kappaleessa ei selvennetä tätä asiaa. Tietosuojavaltuutettu ihmettelee, miten toimivaltaiset viranomaiset aikovat tarkastaa tuenilmausten aitouden. Tietosuojavaltuutettua kiinnostaa erityisesti tietää, voivatko toimivaltaiset viranomaiset verrata tuenilmauksia muista lähteistä, kuten kansallisista tai alueellisista rekistereistä, saataviin kansalaisten henkilötietoihin. Tietosuojavaltuutettu kehottaa lainsäätäjää tarkentamaan tätä kohtaa.

12 artikla –   Henkilötietojen suoja

23.

Asetusehdotuksen 12 artikla on kokonaan omistettu henkilötietojen suojalle. Tässä säännöksessä korostetaan, että niin järjestäjän kuin toimivaltaisen viranomaisenkin on noudatettava direktiiviä 95/46/EY ja sen nojalla annettuja kansallisia säännöksiä. Johdanto-osan 20 kappaleessa viitataan myös asetuksen (EY) N:o 45/2001 sovellettavuuteen silloin, kun komissio käsittelee henkilötietoja aloitteen järjestäjän rekisteröinnin yhteydessä. Tietosuojavaltuutettu pitää näitä lausumia hyvinä.

24.

Tässä säännöksessä tehdään yksiselitteisesti selväksi, että järjestäjä ja toimivaltainen viranomainen katsotaan rekisterinpitäjiksi, kun ne käsittelevät henkilötietoja. Tietosuojavaltuutettu on tyytyväinen tähän tarkennukseen. Rekisterinpitäjä on ensisijaisesti vastuussa tietosuojasääntöjen noudattamisesta. Ehdotuksen 12 artiklalla vältetään kaikki epäselvyys siitä, kenet on katsottava rekisterinpitäjäksi.

25.

Asetusehdotuksen 12 artiklassa säädetään myös enimmäisajat kerättyjen henkilötietojen säilyttämiselle. Järjestäjälle enimmäisaika on kuukausi siitä, kun se on toimittanut aloitteen komissiolle, tai ainakin 18 kuukautta siitä, kun ehdotettu kansalaisaloite on rekisteröity. Toimivaltaisen viranomaisen on tuhottava tiedot viimeistään kuukauden kuluttua siitä, kun se on antanut todistuksen. Tietosuojavaltuutettu pitää näitä rajoituksia hyvinä, sillä ne varmistavat direktiivin 95/46/EY 6 artiklan 1 kohdan e alakohdan noudattamisen.

26.

Tietosuojavaltuutettu on lisäksi tyytyväinen siihen, että 12 artiklassa toistetaan direktiivin 95/46/EY 17 artiklan 1 kohdan teksti tietojen käsittelyn turvallisuudesta. Näin tehdään selväksi, ettei kyseisiä velvoitteita sovelleta ainoastaan silloin, kun käytetään sähköistä järjestelmää (ks. edellä 13 kohta ja sitä seuraavat kohdat), vaan kaikissa asetusehdotuksen kattamissa tilanteissa.

27.

Kuten edellä 16 kohdassa esitettiin, tietosuojavaltuutettu suosittelee lainsäätäjälle uuden kohdan lisäämistä 12 artiklaan sen varmistamiseksi, ettei järjestäjän (sähköisesti tai muulla tavalla) keräämiä henkilötietoja käytetä mihinkään muuhun tarkoitukseen kuin tuenilmaukseksi tietylle kansalaisaloitteelle ja että toimivaltaisen viranomaisen vastaanottamia tietoja käytetään vain tiettyyn kansalaisaloitteeseen saatujen tuenilmausten aitouden tarkastamiseen.

13 artikla –   Vastuu

28.

Asetusehdotuksen 13 artiklassa velvoitetaan jäsenvaltiot varmistamaan, että niiden alueella asuvat tai niiden alueelle sijoittautuneet järjestäjät ovat niiden kansallisten siviili- tai rikoslakien nojalla vastuussa asetusehdotuksen rikkomisesta, erityisesti puutteista sähköisen keruujärjestelmän vaatimustenmukaisuudessa ja tietojen väärinkäytöstä. Johdanto-osan 19 kappaleessa viitataan direktiivin 95/46/EY III lukuun, jossa käsitellään oikeuskeinoja, vastuuta ja sanktioita, ja todetaan, että kyseistä lukua sovelletaan kaikilta osin, kun tietoja käsitellään asetusehdotuksen mukaisesti. Ehdotuksen 13 artiklan on katsottava täydentävän tätä siten, että – toisin kuin direktiivin 95/46/EY III luvussa – siinä mainitaan selkeästi jäsenvaltioiden siviili- ja rikoslait. Tietosuojavaltuutettu on tietenkin tyytyväinen tähän säännökseen.

III   PÄÄTELMÄT JA SUOSITUKSET

29.

Kuten johdannossa todettiin ja kuten tämän lausunnon II luvun analyysistä käy ilmi, tietosuojavaltuutettu on yleisesti ottaen tyytyväinen tapaan, jolla tietosuojaa on käsitelty kansalaisaloitteesta valmistellussa asetusehdotuksessa. Tietosuoja on selkeästi otettu huomioon, ja ehdotus on muotoiltu siten, että siinä noudatetaan varmasti tietosuojasääntöjä. Tietosuojavaltuutettu on erityisen tyytyväinen 12 artiklaan, joka on kokonaan omistettu tietosuojalle ja jossa esitetään selvästi vastuut ja säilytysajat. Tietosuojavaltuutettu haluaa painottaa, että tietosuojasääntöjen ehdoton noudattaminen edistää merkittävästi tämän tärkeän uuden välineen luotettavuutta, vaikuttavuutta ja onnistumista. Vaikka tietosuojavaltuutettu on yleisesti ottaen tyytyväinen ehdotukseen, siinä on vielä parannettavaakin.

30.

Tietosuojavaltuutettu suosittelee, että lainsäätäjä muuttaa 6 artiklaa siten, että järjestäjän on pakko pyytää sähköisen keruujärjestelmän turvallisuuden vahvistamista, ennen kuin se alkaa kerätä tuenilmauksia. Tällaiset vahvistamismenettelyt eivät saisi muodostaa tarpeetonta hallinnollista taakkaa järjestäjälle. Tietosuojavaltuutettu kehottaa lisäksi selventämään direktiivin 95/46/EY 18 artiklan mukaisen ilmoitusmenettelyn suhdetta asetusehdotuksen 6 artiklan mukaiseen vahvistamismenettelyyn.

31.

Ehdotuksen parantamiseksi entisestään tietotuojavaltuutettu suosittelee, että lainsäätäjä

arvioi tarvetta julkaista aloitteen järjestäjän postiosoite ja sähköpostiosoite ja selventää ehdotuksen 4 artiklan tekstiä, jos julkaiseminen katsotaan tarpeelliseksi,

poistaa liitteen III mallilomakkeesta henkilökohtaisen tunnistenumeron pyynnön ja muut kuin pakolliset tietokentät,

lisää liitteen III mallilomakkeeseen vakiomuotoisen tietosuojalausekkeen, joka varmistaa direktiivin 95/46/EY 10 artiklan noudattamisen,

selventää, mitä ovat 9 artiklan 2 kohdan mukaiset sopivat tarkastukset, jotka toimivaltaisen viranomaisen on toteutettava, kun se tarkastaa tuenilmausten aitouden,

lisää 12 artiklaan kohdan, joka varmistaa, ettei järjestäjän keräämiä henkilötietoja käytetä mihinkään muuhun tarkoitukseen kuin tuenilmaukseksi tietylle kansalaisaloitteelle ja että toimivaltaisen viranomaisen vastaanottamia tietoja käytetään vain tiettyyn kansalaisaloitteeseen saatujen tuenilmausten aitouden tarkastamiseen.

Tehty Brysselissä 21 päivänä huhtikuuta 2010.

Peter HUSTINX

Euroopan tietosuojavaltuutettu


(1)  EYVL L 281, 23.11.1995, s. 31.

(2)  EYVL L 8, 12.1.2001, s. 1.

(3)  Ks. KOM(2010) 119 lopullinen ja siihen liittyvä komission työasiakirja, jossa kuvaillaan eurooppalaisesta kansalaisaloitteesta laaditun vihreän kirjan pohjalta pidetyn julkisen kuulemisen tuloksia, SEC(2010) 730.

(4)  Vihreän kirjan osalta ks. KOM(2009) 622.

(5)  Ks. ehdotuksen 6 artiklan 4 kohta.

(6)  Ks. SEC(2010) 730, s. 4.

(7)  Ks. ehdotuksen 9 artiklan 2 kohta.