PÄÄTÖSLAUSELMAESITYS komission kertomuksesta yleisen tietosuoja-asetuksen täytäntöönpanosta kaksi vuotta sen soveltamisen aloittamisesta
17.3.2021 - (2020/2717(RSP))
työjärjestyksen 132 artiklan 2 kohdan mukaisesti
Juan Fernando López Aguilar
kansalaisvapauksien sekä oikeus- ja sisäasioiden valiokunnan puolesta
B9‑0211/2021
Euroopan parlamentin päätöslauselma komission kertomuksesta yleisen tietosuoja-asetuksen täytäntöönpanosta kaksi vuotta sen soveltamisen aloittamisesta
Euroopan parlamentti, joka
– ottaa huomioon Euroopan unionin perusoikeuskirjan 8 artiklan,
– ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen 16 artiklan,
– ottaa huomioon luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27. huhtikuuta 2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679[1] (yleinen tietosuoja-asetus),
– ottaa huomioon 24. kesäkuuta 2020 annetun komission julkilausuman komission tiedonannosta Euroopan parlamentille ja neuvostolle ”Tietosuojasäännöt kansalaisten vaikutusmahdollisuuksien ja EU:n digitaalisen muutoksen edistäjänä – yleistä tietosuoja-asetusta sovellettu kaksi vuotta”,
– ottaa huomioon 24. kesäkuuta 2020 annetun komission tiedonannon Euroopan parlamentille ja neuvostolle ”Tietosuojasäännöt kansalaisten vaikutusmahdollisuuksien ja EU:n digitaalisen muutoksen edistäjänä – yleistä tietosuoja-asetusta sovellettu kaksi vuotta” (COM(2020)0264),
– ottaa huomioon 24. heinäkuuta 2019 annetun komission tiedonannon ”Tietosuojasäännöt luottamuksen rakentajana EU:ssa ja sen ulkopuolella – tilannekatsaus” (COM(2019)0374),
– ottaa huomioon 18. helmikuuta 2020 hyväksytyn Euroopan tietosuojaneuvoston panoksen 97 artiklan mukaiseen yleisen tietosuoja-asetuksen arviointiin[2],
– ottaa huomioon 26. helmikuuta 2019 päivätyn tietosuojaneuvoston ensimmäisen katsauksen yleisen tietosuoja-asetuksen täytäntöönpanoon sekä kansallisten valvontaviranomaisten tehtäviin ja keinoihin[3],
– ottaa huomioon tietosuojaneuvoston yleisen tietosuoja-asetuksen 70 artiklan 1 kohdan e alakohdan mukaisesti hyväksymät suuntaviivat,
– ottaa huomioon työjärjestyksen 132 artiklan 2 kohdan,
– ottaa huomioon kansalaisvapauksien sekä oikeus- ja sisäasioiden valiokunnan päätöslauselmaesityksen,
A. ottaa huomioon, että yleistä tietosuoja-asetusta on sovellettu 25. toukokuuta 2018 lähtien; toteaa, että Sloveniaa lukuun ottamatta kaikki jäsenvaltiot ovat antaneet uutta lainsäädäntöä tai mukauttaneet kansallista tietosuojalainsäädäntöään;
B. toteaa, että perusoikeusviraston toteuttaman perusoikeusselvityksen mukaan ihmiset ovat yhä tietoisempia yleisen tietosuoja-asetuksen mukaisista oikeuksistaan; ottaa huomioon, että vaikka organisaatiot ovat ottaneet käyttöön toimenpiteitä helpottaakseen rekisteröidyn oikeuksien käyttämistä, ihmisillä on edelleen vaikeuksia, kun he yrittävät käyttää näitä oikeuksia ja erityisesti oikeutta saada pääsy tietoihin sekä oikeutta siirrettävyyteen ja parempaan läpinäkyvyyteen;
C. ottaa huomioon, että valvontaviranomaisten saamien valitusten määrä on kasvanut valtavasti sen jälkeen, kun yleistä tietosuoja-asetusta alettiin soveltaa; toteaa tämän osoittavan, että rekisteröidyt ovat entistä tietoisempia oikeuksistaan ja haluavat suojella henkilötietojaan yleisen tietosuoja-asetuksen mukaisesti; toteaa tämän osoittavan myös, että laittomia tietojenkäsittelytoimia toteutetaan edelleen paljon;
D. ottaa huomioon, että monet yritykset ovat käyttäneet yleisen tietosuoja-asetuksen voimaantulon ja soveltamisen välistä siirtymäkautta tietojen ”kevätsiivoukseen” arvioidakseen, mitä tietojenkäsittelytoimia itse asiassa toteutetaan ja millaista tietojenkäsittelyä ei välttämättä enää tarvita tai voida perustella;
E. toteaa, että monet tietosuojaviranomaiset eivät pysty selviytymään kaikista valituksista; huomauttaa, että monilla tietosuojaviranomaisilla on liian vähän henkilökuntaa ja resursseja sekä riittämätön määrä tietotekniikan asiantuntijoita;
F. ottaa huomioon, että yleisessä tietosuoja-asetuksessa todetaan, että jäsenvaltioiden lainsäädännössä olisi sovitettava yhteen sananvapautta ja tiedonvälityksen vapautta, muun muassa journalistista, akateemista, taiteellista ja kirjallista ilmaisua, koskevat säännöt ja oikeus henkilötietojen suojaan; ottaa huomioon, että 85 artiklan mukaisesti jäsenvaltioiden lainsäädännössä olisi säädettävä poikkeuksista, jotka koskevat tietojen käsittelyä journalistisia tarkoituksia tai akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten, jos ne ovat tarpeen henkilötietojen suojaa koskevan oikeuden sovittamiseksi yhteen sananvapauden ja tiedonvälityksen vapauden kanssa;
G. toteaa, että journalististen lähteiden suojelu on lehdistönvapauden kulmakivi, kuten myös Euroopan tietosuojaneuvosto on korostanut; katsoo, että yleistä tietosuoja-asetusta ei pitäisi käyttää väärin toimittajia vastaan eikä tiedonsaannin rajoittamiseksi; toteaa, että kansalliset viranomaiset eivät saisi missään tapauksessa käyttää sitä tiedotusvälineiden vapauden tukahduttamiseen;
Yleiset huomautukset
1. on ilahtunut siitä, että yleisestä tietosuoja-asetuksesta on tullut henkilötietojen suojan globaali normi ja että se osaltaan edistää lähentymistä normien kehittämisessä; pitää myönteisenä, että yleinen tietosuoja-asetus on nostanut EU:n tietosuojaa koskevien kansainvälisten keskustelujen eturintamaan ja että eräät kolmannet maat ovat mukauttaneet tietosuojalainsäädäntöään yleisen tietosuoja-asetuksen mukaiseksi; huomauttaa, että Euroopan neuvoston tietosuojayleissopimus nro 108 on mukautettu yleiseen tietosuoja-asetukseen (”yleissopimus 108+”) ja että sen on allekirjoittanut jo 42 maata; kehottaa komissiota ja jäsenvaltioita käyttämään tätä tilaisuutta hyväkseen edistääkseen YK:n, OECD:n, G8-maiden ja G20-ryhmän tasolla eurooppalaisiin arvoihin ja periaatteisiin perustuvien kansainvälisten normien luomista yleistä tietosuoja-asetusta kuitenkaan heikentämättä; korostaa, että Euroopan määräävä asema tällä alalla auttaisi maanosaamme puolustamaan paremmin kansalaistemme oikeuksia, suojelemaan arvojamme ja periaatteitamme, edistämään luotettavaa digitaalista innovointia ja nopeuttamaan talouskasvua välttämällä hajanaisuutta;
2. katsoo, että kaksi vuotta sen jälkeen, kun yleistä tietosuoja-asetusta alettiin soveltaa, voidaan todeta sen olleen kaiken kaikkiaan menestys, ja on komission kanssa samaa mieltä siitä, että tässä vaiheessa ei ole tarpeen päivittää tai tarkistaa lainsäädäntöä;
3. toteaa, että komission seuraavaan arviointiin saakka on keskityttävä edelleen täytäntöönpanon parantamiseen sekä toimiin, joilla lujitetaan yleisen tietosuoja-asetuksen noudattamisen valvontaa;
4. toteaa, että on valvottava tarkkaan ja tehokkaasti yleisen tietosuoja-asetuksen noudattamista suurilla digitaalisilla alustoilla, integroituneissa yrityksissä ja muissa digitaalisissa palveluissa, erityisesti verkkomainonnan, mikrokohdentamisen, algoritmisen profiloinnin sekä sisällön järjestämisen, levittämisen ja amplifioinnin aloilla;
Käsittelyn oikeusperusta
5. korostaa, että kaikki yleisen tietosuoja-asetuksen 6 artiklassa vahvistetut kuusi oikeusperustetta ovat yhtä lailla päteviä henkilötietojen käsittelyssä ja että sama käsittelytoimi voi kuulua useamman kuin yhden perusteen piiriin; kehottaa valvontaviranomaisia täsmentämään, että rekisterinpitäjien on sovellettava vain yhtä oikeusperustetta kuhunkin käsittelytoimen tarkoitukseen, ja täsmentämään, miten kutakin oikeusperustetta sovelletaan niiden käsittelytoimiin; on huolestunut siitä, että rekisterinpitäjät mainitsevat tietosuojaselosteessaan usein yleisen tietosuoja-asetuksen kaikki oikeusperusteet antamatta lisäselvityksiä ja viittaamatta kyseiseen erityiseen käsittelytoimeen; katsoo, että tällainen käytäntö estää rekisteröityjä ja valvontaviranomaisia arvioimasta, ovatko nämä oikeusperusteet asianmukaisia; muistuttaa, että erityisten henkilötietoryhmien käsittelyä varten on määritettävä 6 artiklan mukainen lainmukainen peruste ja erillinen 9 artiklan mukainen käsittelyn edellytys; muistuttaa rekisterinpitäjiä niiden lakisääteisestä velvoitteesta tehdä tietosuojaa koskeva vaikutustenarviointi, kun tietojen käsittely todennäköisesti aiheuttaa luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin;
6. muistuttaa, että yleisen tietosuoja-asetuksen soveltamisen alkamisesta lähtien ”suostumuksella” on tarkoitettu mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä rekisteröidyn tahdonilmaisua; korostaa, että tämä koskee myös sähköisen viestinnän tietosuojadirektiiviä; toteaa, että pätevän suostumuksen antamista vaarantavat vieläkin ns. pimeiden kaavojen käyttö, kaikkialle ulottuva seuranta ja muut epäeettiset käytännöt; on huolestunut siitä, että ihmisiin kohdistuu usein taloudellinen paine antaa suostumus alennuksia tai muita kaupallisia tarjouksia vastaan tai että heidät pakotetaan antamaan suostumus kytkemällä palvelun käyttö tiettyjen sopimusehtojen noudattamiseen, mikä on vastoin yleisen tietosuoja-asetuksen 7 artiklaa; palauttaa mieliin tietosuojaneuvoston yhdenmukaistetut säännöt siitä, mitä pätevällä suostumuksella tarkoitetaan, ja toteaa, että niillä korvataan monien kansallisten tietosuojaviranomaisten erilaiset tulkinnat ja vältetään hajanaisuus digitaalisilla sisämarkkinoilla; palauttaa mieliin myös tietosuojaneuvoston ja komission suuntaviivat, joissa todetaan, että kun rekisteröity on alun perin antanut suostumuksensa mutta henkilötietoja käsitellään myöhemmin eri tarkoitukseen kuin se, johon rekisteröity on antanut suostumuksensa, alkuperäinen suostumus ei voi oikeuttaa myöhempää käsittelyä, sillä suostumus voi olla pätevä vain, jos se perustuu tietoon ja koskee tiettyä käsittelytoimea; panee merkille tietosuojaneuvoston tulevat suuntaviivat, jotka koskevat henkilötietojen käsittelyä tieteellistä tutkimusta varten ja joilla täsmennetään yleisen tietosuoja-asetuksen johdanto-osan 50 kappaleen merkitystä;
7. on huolestunut siitä, että ”oikeutetut edut” mainitaan usein virheellisesti käsittelyn oikeusperusteena; huomauttaa, että rekisterinpitäjät vetoavat edelleen oikeutettuihin etuihin toteuttamatta vaadittua asiaan liittyvien etujen punnintaa, johon sisältyy perusoikeuksien arviointi; on erityisen huolestunut siitä, että eräät jäsenvaltiot ovat antamassa kansallista lainsäädäntöä, jossa määritetään oikeutettujen etujen perusteella tapahtuvan käsittelyn edellytykset säätämällä rekisterinpitäjän ja asianomaisten henkilöiden etujen tasapainottamisesta, kun taas yleisessä tietosuoja-asetuksessa velvoitetaan jokainen rekisterinpitäjä suorittamaan tällainen punninta erikseen ja hyödyntämään tätä oikeusperustetta; on huolestunut siitä, että eräissä oikeutetuista eduista tehdyissä kansallisissa tulkinnoissa ei ole otettu huomioon johdanto-osan 47 kappaletta vaan niillä tosiasiallisesti kielletään käsittely oikeutettujen etujen perusteella; on ilahtunut siitä, että tietosuojaneuvosto on jo aloittanut työn saattaakseen ajan tasalle 29 artiklan mukaisen tietosuojatyöryhmän lausunnon, joka koskee oikeutettujen etujen soveltamista käsittelyn oikeusperusteena, puuttuakseen komission kertomuksessa esille tuotuihin kysymyksiin;
Rekisteröidyn oikeudet
8. korostaa, että on tarpeen helpottaa yleisessä tietosuoja-asetuksessa säädettyjen yksilöllisten oikeuksien käyttöä, kuten tietojen siirrettävyyttä tai oikeuksia automaattisen käsittelyn yhteydessä, profilointi mukaan lukien; suhtautuu myönteisesti tietosuojaneuvoston suuntaviivoihin automaattisesta päätöksenteosta ja tietojen siirrettävyydestä; huomauttaa, että oikeutta tietojen siirrettävyyteen ei ole kaikilta osin pantu täytäntöön useilla aloilla; kehottaa tietosuojaneuvostoa kannustamaan verkkoalustoja luomaan kaikille niiden perustana oleville digitaalisille alustoille keskitetyn yhteyspisteen, josta käyttäjien pyynnöt voidaan välittää oikealle vastaanottajalle; huomauttaa, että tietojen minimoinnin periaatteen mukaisesti sillä, että pannaan täytäntöön oikeus pysyä nimettömänä, estetään tehokkaasti tietojen luvaton luovuttaminen, identiteettivarkaudet ja muut henkilötietojen väärinkäytön muodot;
9. korostaa, että tiedonsaantioikeuden noudattaminen edellyttää, että yritykset antavat tietoja tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa ja että ne välttävät juridista lähestymistapaa laatiessaan tietosuojaselosteita; on huolestunut siitä, että eräät yritykset rikkovat edelleen yleisen tietosuoja-asetuksen 12 artiklan 1 kohdan mukaisia velvoitteitaan eivätkä toimita kaikkia tietosuojaneuvoston suosittelemia merkityksellisiä tietoja, mukaan lukien luettelo niiden tahojen nimistä, joiden kanssa ne jakavat tietoja; muistuttaa, että velvoite antaa yksinkertaisia ja helposti saatavilla olevia tietoja on erityisen ehdoton, kun kyse on lapsista; on huolestunut siitä, että asianmukaisesti toimivista mekanismeista, jotka mahdollistavat rekisteröityjen pääsyn tietoihin, on yleisesti ottaen pulaa; huomauttaa, että yksittäiset ihmiset eivät usein pysty pakottamaan internetalustoja paljastamaan heille heidän käyttäytymisprofiiliaan; on huolestunut siitä, että yritykset ovat aivan liian usein tietämättömiä siitä, että myös päättelemällä saadut tiedot ovat henkilötietoja, joihin sovelletaan kaikkia yleisen tietosuoja-asetuksen mukaisia suojatoimia;
Pienet yritykset ja organisaatiot
10. panee merkille, että eräiden sidosryhmien mukaan yleisen tietosuoja-asetuksen soveltaminen on ollut erityisen haastavaa pienille ja keskisuurille yrityksille (pk-yrityksille), startup-yrityksille, järjestöille ja yhdistyksille, mukaan lukien koulut, kerhoille ja seuroille; huomauttaa kuitenkin, että monet yleisessä tietosuoja-asetuksessa olevista oikeuksista ja velvoitteista eivät ole uusia vaan ne olivat voimassa jo direktiivin 95/46/EY nojalla, joskin niiden noudattamista valvottiin vain harvoin; katsoo, että yleinen tietosuoja-asetus ja sen täytäntöönpanon valvonta eivät saa aiheuttaa sääntöjä noudattaville pienemmille yrityksille tahattomia seurauksia, joita suurille yrityksille taas ei aiheutuisi; katsoo, että kansallisten viranomaisten taholta ja komission tiedotuskampanjoissa olisi tarjottava enemmän tukea, tietoa ja koulutusta, jotta voidaan auttaa lisäämään tietämystä, parantamaan täytäntöönpanoa ja lisäämään tietoisuutta yleisen tietosuoja-asetuksen vaatimuksista ja tarkoituksesta;
11. huomauttaa, että pk-yrityksille, startup-yrityksille, järjestöille ja yhdistyksille, mukaan lukien koulut, kerhoille ja seuroille ei ole olemassa poikkeuksia vaan että ne kuuluvat yleisen tietosuoja-asetuksen soveltamisalaan; kehottaakin tietosuojaneuvostoa antamaan selkeää tietoa, jotta vältetään sekaannukset yleisen tietosuoja-asetuksen tulkinnasta, ja luomaan käytännön välineen, jolla helpotetaan yleisen tietosuoja-asetuksen täytäntöönpanoa pk-yrityksissä, startup-yrityksissä, järjestöissä ja yhdistyksissä, mukaan lukien koulut, kerhoissa ja seuroissa, joissa käsittelytoimiin liittyy vähäinen riski; kehottaa jäsenvaltioita asettamaan tietosuojaviranomaisten saataville riittävästi resursseja, jotta ne voivat levittää tietämystä näistä käytännön välineistä; kannustaa tietosuojaneuvostoa kehittämään tietosuojaselosteita varten mallipohjia, joita järjestöt voivat käyttää osoittaessaan, että ne noudattavat yleistä tietosuoja-asetusta käytännössä, ilman että niiden tarvitsee turvautua kalliisiin kolmansien osapuolten palveluihin;
Sääntöjen noudattamisen valvonta
12. ilmaisee huolensa siitä, että yleisen tietosuoja-asetuksen noudattamisen valvonta kansallisissa tietosuojaviranomaisissa on epätasaista ja toisinaan olematonta, vaikka asetusta alettiin soveltaa yli kaksi vuotta sitten, ja pitääkin valitettavana, että täytäntöönpanon valvonnan tilanne ei ole merkittävästi parantunut verrattuna direktiivin 95/46/EY aikana vallinneeseen tilanteeseen;
13. panee merkille, että eri rikkomuksista tehtiin noin 275 000 valitusta ja määrättiin 785 hallinnollista sakkoa yleisen tietosuoja-asetuksen 18 ensimmäisen soveltamiskuukauden aikana, mutta huomauttaa, että vain hyvin pieni osa tehdyistä valituksista on toistaiseksi johtanut jatkotoimiin; on tietoinen henkilötietojen tietoturvaloukkausten aiheuttamista ongelmista ja palauttaa mieliin tämänhetkisen tietosuojaneuvoston ohjeistuksen, jossa selkiytetään muun muassa tietoturvaloukkauksesta valvontaviranomaiselle ja rekisteröidylle ilmoittamisen määräaikoja sekä oikeussuojakeinoja; huomauttaa, että eurooppalainen vakiomuotoinen lomake, jolla voidaan ilmoittaa tietoturvaloukkauksesta, voisi auttaa yhdenmukaistamaan erilaisia kansallisia toimintatapoja; pitää kuitenkin valitettavana, että sakkojen määrä vaihtelee huomattavasti eri jäsenvaltioissa ja että eräät suurille yrityksille määrätyt sakot ovat liian pieniä, jotta niillä olisi haluttu pelotevaikutus tietoturvaloukkauksiin; kehottaa tietosuojaviranomaisia tehostamaan tietoturvaloukkausten valvontaa, niihin liittyviä syytetoimia ja niistä määrättäviä seuraamuksia ja hyödyntämään täysin yleisen tietosuoja-asetuksen mahdollisuuksia määrätä sakkoja ja käyttää muita korjaavia toimenpiteitä; korostaa, että käsittelyn kieltämisellä tai velvoitteella poistaa yleisen tietosuoja-asetuksen vastaisella tavalla saadut henkilötiedot voi olla yhtä suuri tai jopa suurempi pelotevaikutus kuin sakoilla; kehottaa komissiota ja tietosuojaneuvostoa yhdenmukaistamaan seuraamukset suuntaviivoilla ja selkeillä kriteereillä, kuten Saksan valvontaviranomaisten kokouksessa on tehty, jotta voidaan lisätä oikeusvarmuutta ja estää yritysten sijoittautuminen paikkoihin, joissa määrätään vähäisimmät seuraamukset;
14. on huolestunut tapausten tutkinnan kestosta eräiden tietosuojaviranomaisten kohdalla ja sen kielteisistä vaikutuksista tehokkaaseen täytäntöönpanoon ja kansalaisten luottamukseen; kehottaa tietosuojaviranomaisia nopeuttamaan tapausten ratkaisemista ja hyödyntämään kaikkia yleisen tietosuoja-asetuksen tarjoamia mahdollisuuksia erityisesti silloin, kun on kyse järjestelmällisistä ja jatkuvista rikkomuksista, myös niistä, joihin liittyy hyötymisintressi ja jotka koskevat suurta määrää rekisteröityjä;
15. on huolestunut siitä, että 21 jäsenvaltion valvontaviranomaiset yhteensä 31:stä yleistä tietosuoja-asetusta soveltavasta valtiosta, joihin kuuluvat toisin sanoen kaikki Euroopan unionin jäsenvaltiot, Euroopan talousalueen maat ja Yhdistynyt kuningaskunta, ovat nimenomaisesti todenneet, ettei niillä ole riittäviä teknisiä, taloudellisia ja henkilöresursseja, tiloja eikä infrastruktuuria, jotka ovat tarpeen niiden tehtävien suorittamiseksi ja valtuuksien käyttämiseksi tehokkaasti; on huolestunut siitä, että useimmilta valvontaviranomaisilta eri puolilla EU:ta puuttuu erityistä teknistä henkilöstöä, mikä vaikeuttaa tutkintaa ja täytäntöönpanon valvontaa; panee huolestuneena merkille, että valvontaviranomaiset ovat lujilla, koska niiden henkilötietojen suojeluun liittyvien tehtävien ja tähän käytettävissä olevien resurssien välillä on kasvava epäsuhta; huomauttaa, että digitaalisista palveluista tulee koko ajan yhä monimutkaisempia, mihin on syynä tekoälyn kaltaisten innovaatioiden lisääntyvä käyttö (mikä pahentaa tietojenkäsittelyn rajalliseen läpinäkyvyyteen liittyvää ongelmaa, erityisesti algoritmikoulutuksessa); pitääkin tärkeänä, että EU:n valvontaviranomaisilla samoin kuin tietosuojaneuvostolla on riittävät taloudelliset, tekniset ja henkilöresurssit, jotta ne pystyvät nopeasti mutta perusteellisesti käsittelemään kasvavan määrän resurssi-intensiivisiä ja monimutkaisia tapauksia ja koordinoimaan ja helpottamaan yhteistyötä kansallisten tietosuojaviranomaisten välillä, seuraamaan asianmukaisesti yleisen tietosuoja-asetuksen soveltamista ja suojelemaan perusoikeuksia ja -vapauksia; ilmaisee huolensa siitä, että tietosuojaviranomaisten erityisesti suurten teknologiayritysten tuloihin nähden riittämättömät resurssit voivat johtaa sovitteluratkaisuja koskeviin sopimuksiin, sillä tämä rajoittaa pitkien ja hankalien menettelyjen kustannuksia;
16. kehottaa komissiota arvioimaan mahdollisuutta velvoittaa suuret monikansalliset teknologiayritykset maksamaan omasta valvonnastaan ottamalla käyttöön EU:n digitaalivero;
17. panee huolestuneena merkille, että puutteet tietosuojaviranomaisten harjoittamassa valvonnassa ja se, ettei komissio ole puuttunut tietosuojaviranomaisten resurssipulaan, jättää valvontavastuun yksittäisille kansalaisille, jotka joutuvat näin saattamaan tietosuojakanteet tuomioistuimen käsiteltäväksi; on huolestunut siitä, että tuomioistuimet määräävät joskus korvauksia yksittäisille kantajille ilman, että ne määräisivät organisaatiota tai yritystä ratkaisemaan rakenteelliset ongelmat; katsoo, että yksityisoikeudellinen täytäntöönpano voi synnyttää merkittävää oikeuskäytäntöä muttei korvaa tietosuojaviranomaisten harjoittamaa täytäntöönpanon valvontaa eikä komission toimia resurssipulan korjaamiseksi; pitää valitettavana, että kyseiset jäsenvaltiot rikkovat yleisen tietosuoja-asetuksen 52 artiklan 4 kohtaa; kehottaakin jäsenvaltioita noudattamaan niillä yleisen tietosuoja-asetuksen 52 artiklan 4 kohdan nojalla olevaa lakisääteistä velvoitetta myöntää riittävät varat tietosuojaviranomaisilleen, jotta ne voivat tehdä työnsä parhaalla mahdollisella tavalla ja varmistaa Euroopassa tasapuoliset toimintaedellytykset yleisen tietosuoja-asetuksen täytäntöönpanon valvonnassa; pitää valitettavana, ettei komissio ole vielä käynnistänyt rikkomusmenettelyjä niitä jäsenvaltioita vastaan, jotka eivät ole täyttäneet yleisen tietosuoja-asetuksen mukaisia velvoitteitaan, ja kehottaa komissiota tekemään näin viipymättä; kehottaa komissiota ja tietosuojaneuvostoa toteuttamaan jatkotoimia 24. kesäkuuta 2020 annetun komission tiedonannon johdosta ja arvioimaan yleisen tietosuoja-asetuksen toimivuuden sekä sen täytäntöönpanon valvonnan;
18. pitää valitettavana, että suurin osa jäsenvaltioista päätti olla panematta täytäntöön yleisen tietosuoja-asetuksen 80 artiklan 2 kohtaa; kehottaa kaikkia jäsenvaltioita hyödyntämään 80 artiklan 2 kohtaa ja panemaan täytäntöön oikeuden tehdä valituksia ja viedä asia tuomioistuimen käsiteltäväksi ilman rekisteröidyn valtuutusta; kehottaa jäsenvaltioita selventämään valituksen tekijöiden asemaa menettelyissä valvontaviranomaisiin sovellettavassa kansallisia hallintomenettelyjä koskevassa lainsäädännössä; huomauttaa, että tällöin olisi selvennettävä, että valituksen tekijöillä ei ole pelkästään passiivista roolia menettelyssä vaan heidän olisi voitava toimia eri vaiheissa;
Yhteistyö ja yhdenmukaisuus
19. huomauttaa, että heikko täytäntöönpanon valvonta on erityisen ilmeistä rajatylittävissä valituksissa, ja pitää valitettavana, että 14 jäsenvaltiossa tietosuojaviranomaisilla ei ole asianmukaisia resursseja osallistua yhteistyö- ja yhdenmukaisuusmekanismeihin; kehottaa tietosuojaneuvostoa tehostamaan toimiaan yleisen tietosuoja-asetuksen 60 ja 63 artiklan asianmukaisen soveltamisen varmistamiseksi ja muistuttaa valvontaviranomaisia siitä, että ne voivat poikkeuksellisissa olosuhteissa käyttää 66 artiklassa säädettyä kiireellistä menettelyä ja erityisesti hyväksyä väliaikaisia toimenpiteitä;
20. korostaa yhden luukun järjestelmän merkitystä oikeusvarmuuden tarjoamisessa ja niin yritysten kuin kansalaistenkin hallinnollisen taakan keventämisessä; ilmaisee kuitenkin syvän huolensa tämän järjestelmän toimivuudesta, kun on kyse etenkin Irlannin ja Luxemburgin tietosuojaviranomaisten roolista; toteaa, että nämä tietosuojaviranomaiset vastaavat suuren tapausmäärän käsittelystä, koska monet teknologiayritykset ovat rekisteröineet EU:n pääkonttorinsa Irlantiin tai Luxemburgiin; on erityisen huolissaan siitä, että Irlannin tietosuojaviranomainen yleensä päättää useimmat tapaukset sovitteluratkaisuun määräämättä seuraamuksia ja että Irlannille vuonna 2018 siirretyt tapaukset eivät ole edenneet edes yleisen tietosuoja-asetuksen 60 artiklan 3 kohdan mukaiseen päätösehdotusvaiheeseen; kehottaa näitä tietosuojaviranomaisia nopeuttamaan merkittävistä tapauksista käynnissä olevia tutkimuksia, jotta EU:n kansalaisille voidaan osoittaa, että tietosuoja on täytäntöönpanokelpoinen oikeus EU:ssa; huomauttaa, että yhden luukun järjestelmän onnistuminen riippuu siitä, miten paljon aikaa ja vaivaa tietosuojaviranomaiset voivat käyttää yksittäisten rajatylittävien tapausten käsittelyyn ja niitä koskevaan yhteistyöhön tietosuojaneuvostossa, ja että poliittisen tahdon ja resurssien puuttumisella on välittömiä seurauksia sen suhteen, missä määrin järjestelmä voi toimia asianmukaisesti;
21. panee merkille epäjohdonmukaisuudet jäsenvaltioiden suuntaviivojen ja tietosuojaneuvoston suuntaviivojen välillä; huomauttaa, että kansalliset tietosuojaviranomaiset voivat päätyä yleisen tietosuoja-asetuksen erilaisiin tulkintoihin, jotka johtavat soveltamiseroihin jäsenvaltioiden kesken; toteaa, että tämä tilanne tuo yrityksille maantieteellistä etua ja myös haittaa; kehottaa komissiota arvioimaan, haittaavatko kansalliset hallintomenettelyt yleisen tietosuoja-asetuksen 60 artiklassa tarkoitetun yhteistyön täysimääräistä tehokkuutta sekä sen tehokasta täytäntöönpanoa; kehottaa tietosuojaviranomaisia pyrkimään johdonmukaisiin tulkintoihin ja ohjeisiin tietosuojaneuvoston avulla; kehottaa erityisesti tietosuojaneuvostoa laatimaan peruslinjaukset yhteiselle hallintomenettelylle valitusten käsittelemiseksi rajatylittävissä tapauksissa 60 artiklassa tarkoitetun yhteistyön puitteissa; toteaa, että tällöin olisi noudatettava ohjeita tutkinnan toteuttamisen ja päätösten tekemisen yhteisistä määräajoista; kehottaa tietosuojaneuvostoa vahvistamaan yhdenmukaisuusmekanismia ja tekemään siitä pakollisen yleisesti sovellettavissa asioissa tai tapauksissa, joilla on rajatylittäviä vaikutuksia, jotta vältetään yksittäisten tietosuojaviranomaisten epäjohdonmukaiset toimintatavat ja päätökset, sillä tämä vaarantaisi yleisen tietosuoja-asetuksen yhdenmukaisen tulkinnan ja soveltamisen; katsoo, että tällainen yhteinen tulkinta, soveltaminen ja ohjeistus edesauttaa digitaalisten sisämarkkinoiden perustamista ja menestymistä;
22. kehottaa tietosuojaneuvostoa julkaisemaan kokoustensa esityslistat etukäteen ja toimittamaan kokouksistaan yksityiskohtaisemmat yhteenvedot kansalaisille ja parlamentille;
Yleisen tietosuoja-asetuksen hajanainen täytäntöönpano
23. pitää valitettavana, että valinnaisten täsmennyslausekkeiden käyttö jäsenvaltioissa (esimerkiksi käsittely yleisen edun mukaisesti tai viranomaisissa jäsenvaltion lainsäädännön perusteella sekä suostumuksen antamiseen vaadittava lapsen ikä) on haitannut tietosuojan täysimääräisen yhdenmukaistamisen saavuttamista ja yritysten erilaisten markkinaolosuhteiden poistamista kaikkialla EU:ssa, ja ilmaisee huolensa siitä, että tämä voi nostaa yleisen tietosuoja-asetuksen noudattamisen kustannuksia; kehottaa tietosuojaneuvostoa antamaan ohjeita siitä, miten voitaisiin puuttua valinnaisten täsmennyslausekkeiden käytön eroihin jäsenvaltioiden välillä; kehottaa komissiota käyttämään toimivaltaansa puuttuakseen tilanteeseen niissä jäsenvaltioissa, joissa kansalliset toimenpiteet, toimet ja päätökset ovat ristiriidassa yleisen tietosuoja-asetuksen hengen, tavoitteen ja kirjaimen kanssa, jotta voidaan estää kansalaisten epätasa-arvoinen suojelu ja markkinoiden vääristyminen; tuo tässä vaiheessa esille, että jäsenvaltiot ovat ottaneet käyttöön erilaisia ikärajoja vanhempien suostumukselle; kehottaakin komissiota ja jäsenvaltioita arvioimaan tällaisen hajanaisuuden vaikutusta lasten toimintaan ja heidän suojeluunsa verkossa; korostaa, että jäsenvaltion kansallisen lainsäädännön ja yleisen tietosuoja-asetuksen välisessä lainvalintatilanteessa yleisen tietosuoja-asetuksen säännökset olisi asetettava etusijalle;
24. ilmaisee syvän huolensa siitä, että eräiden jäsenvaltioiden viranomaiset käyttävät yleistä tietosuoja-asetusta väärin toimittajien ja kansalaisjärjestöjen toiminnan rajoittamiseksi; on komission kanssa vahvasti samaa mieltä siitä, että tietosuojasäännöt eivät saisi vaikuttaa sananvapauden ja tiedonvälityksen vapauden käyttämiseen etenkään siten, että niillä luodaan lamaannuttava vaikutus tai että niitä tulkitaan keinona painostaa toimittajia paljastamaan lähteensä; ilmaisee kuitenkin pettymyksensä siihen, ettei komissio ole vieläkään saanut päätökseen arviotaan henkilötietojen suojaa koskevan oikeuden tasapainottamisesta sananvapauden ja tiedonvälityksen vapauden kanssa yleisen tietosuoja-asetuksen 85 artiklan mukaisesti; kehottaa komissiota saattamaan tätä koskevan kansallisen lainsäädännön arvioinnin päätökseen ilman aiheetonta viivytystä ja käyttämään kaikkia saatavilla olevia välineitä, myös rikkomusmenettelyjä, sen varmistamiseksi, että jäsenvaltiot noudattavat yleistä tietosuoja-asetusta, ja tietosuojakehyksen hajanaisuuden rajoittamiseksi;
Sisäänrakennettu tietosuoja
25. kehottaa valvontaviranomaisia arvioimaan sisäänrakennettua ja oletusarvoista tietosuojaa koskevan 25 artiklan täytäntöönpanoa, jotta voidaan erityisesti varmistaa tarvittavat tekniset ja operatiiviset toimenpiteet tietojen minimointia ja käyttötarkoituksen rajoittamista koskevien periaatteiden täytäntöönpanemiseksi, ja määrittämään tämän säännöksen tähänastisen vaikutuksen käsittelyteknologioiden valmistajiin; on ilahtunut siitä, että tietosuojaneuvosto hyväksyi lokakuussa 2020 suuntaviivat 04/2019 sisäänrakennettua ja oletusarvoista tietosuojaa koskevasta 25 artiklasta, sillä näin parannetaan käsitteiden oikeudellista selkeyttä; kehottaa lisäksi valvontaviranomaisia arvioimaan 25 artiklan 2 kohdassa säädettyjen oletusasetusten asianmukaista käyttöä, myös suurten verkkopalvelujen tarjoajien tapauksessa; suosittaa, että tietosuojaneuvosto hyväksyy suuntaviivat, joilla määritetään, missä erityisissä olosuhteissa ja tapauksissa (tai tapausluokissa) tieto- ja viestintätekniikan valmistajia on pidettävä yleisen tietosuoja-asetuksen 4 artiklan 7 alakohdassa tarkoitettuina rekisterinpitäjinä sikäli kuin ne määrittelevät käsittelyn keinot; huomauttaa, että tietosuojakäytännöt ovat edelleen pitkälti riippuvaisia manuaalisista tehtävistä ja sattumanvaraisista tietomuodoista ja että ne vilisevät yhteensopimattomia järjestelmiä; kehottaa tietosuojaneuvostoa laatimaan suuntaviivoja, joiden avulla tietosuojavaatimukset voidaan käytännössä panna täytäntöön, kuten suuntaviivoja, jotka koskevat tietosuojaa koskevia vaikutustenarviointeja (35 artikla), sisäänrakennettua ja oletusarvoista tietosuojaa (25 artikla), rekisteröidyille annettavia tietoja (12–14 artikla), rekisteröityjen oikeuksien käyttöä (15–18 ja 20–21 artikla) ja käsittelytoimista laadittavia selosteita (30 artikla); kehottaa tietosuojaneuvostoa varmistamaan, että tällaisia suuntaviivoja on helppo soveltaa ja ne mahdollistavat myös laitteiden välisen viestinnän rekisteröityjen, rekisterinpitäjien ja tietosuojaviranomaisten välillä (tietosuojan automatisointi); kehottaa komissiota kehittämään 12 artiklan 8 kohdan mukaisia koneellisesti luettavissa olevia kuvakkeita rekisteröidyille annettavia tietoja varten tiiviissä yhteistyössä tietosuojaneuvoston kanssa; kannustaa tietosuojaneuvostoa ja valvontaviranomaisia hyödyntämään täysimääräisesti 21 artiklan 5 kohtaa, joka koskee automaattisia keinoja vastustaa henkilötietojen käsittelyä;
Suuntaviivat
26. kehottaa tietosuojaneuvostoa yhdenmukaistamaan tietosuojavaatimusten täytäntöönpanoa käytännössä laatimalla suuntaviivoja, joissa käsitellään muun muassa tarvetta arvioida riskit, jotka liittyvät tietojenkäsittelyä koskevien tietojen antamiseen rekisteröidyille (12–14 artikla), rekisteröityjen oikeuksien käyttöön (15–18 ja 20–21 artikla) ja osoitusvelvollisuutta koskevan periaatteen täytäntöönpanoon; kehottaa tietosuojaneuvostoa antamaan suuntaviivoja, joissa luokitellaan erilaiset profiloinnin oikeutettua käyttöä koskevat tapaukset niiden rekisteröityjen oikeuksiin ja vapauksiin kohdistuvien riskien mukaan sekä annetaan suosituksia asianmukaisista teknisistä ja organisatorisista toimenpiteistä ja määritellään selvästi laitonta käyttöä koskevat tapaukset; kehottaa tietosuojaneuvostoa tarkastelemaan 10. huhtikuuta 2014 annettua tietosuojatyöryhmän lausuntoa 05/2014 anonymisointitekniikoista ja laatimaan luettelon yksiselitteisistä kriteereistä anonymisoinnin toteuttamiseksi; kannustaa tietosuojaneuvostoa selventämään henkilöresursseja koskevia tarkoituksia varten tapahtuvaa tietojenkäsittelyä; panee merkille tietosuojaneuvoston päätelmän, että yleisessä tietosuoja-asetuksessa säädetty vaatimus tietojenkäsittelyyn liittyvien riskien arvioimisesta olisi säilytettävä, sillä rekisteröidyille aiheutuvat riskit eivät liity rekisterinpitäjien kokoon; kehottaa hyödyntämään tehokkaammin mekanismia, jonka mukaisesti komissio voi pyytää tietosuojaneuvostolta neuvoa yleisen tietosuoja-asetuksen soveltamisalaan kuuluvissa asioissa;
27. huomauttaa, että covid-19-pandemia on korostanut tarvetta saada tietosuojaviranomaisilta ja tietosuojaneuvostolta selkeitä ohjeita yleisen tietosuoja-asetuksen asianmukaisesta täytäntöönpanosta ja sen valvonnasta kansanterveystoimissa; palauttaa tässä yhteydessä mieliin suuntaviivat 03/2020 terveyttä koskevien tietojen käsittelystä tieteellisiin tutkimustarkoituksiin covid-19-pandemian yhteydessä ja suuntaviivat 04/2020 sijaintitietojen käytöstä ja kontaktien jäljitysvälineistä covid-19-pandemian yhteydessä; kehottaa komissiota varmistamaan, että yhteisen eurooppalaisen terveysdata-avaruuden perustamisen yhteydessä noudatetaan kaikilta osin yhteistä tietosuoja-asetusta;
Kansainväliset henkilötietojen siirrot ja yhteistyö
28. korostaa, että on tärkeää mahdollistaa henkilötietojen vapaa liikkuvuus kansainvälisesti heikentämättä yleisessä tietosuoja-asetuksessa taattua suojan tasoa; kannattaa komission käytäntöä, jonka mukaisesti tietosuojaa ja henkilötietojen siirtoja käsitellään erillään kauppasopimuksista; katsoo, että tietosuojan alalla tehtävä kansainvälinen yhteistyö ja asiaa koskevien sääntöjen lähentäminen yhteisen tietosuoja-asetuksen suuntaan parantavat keskinäistä luottamusta, edistävät ymmärrystä teknologisista ja oikeudellisista haasteista ja viime kädessä helpottavat rajatylittäviä tietovirtoja, joilla on kansainvälisessä kaupassa keskeinen merkitys; myöntää, että todellisuudessa yrityksiin kohdistuu ristiriitaisia lakisääteisiä vaatimuksia sen mukaan, toteuttavatko ne tietojenkäsittelytoimia EU:ssa vai kolmansien maiden lainkäyttöalueilla, erityisesti Yhdysvalloissa;
29. korostaa, että tietosuojan riittävyyttä koskevien päätösten ei pitäisi olla poliittisia vaan oikeudellisia päätöksiä; kannustaa jatkamaan toimia maailmanlaajuisten oikeudellisten kehysten edistämiseksi, jotta tiedonsiirrot olisivat mahdollisia yleisen tietosuoja-asetuksen ja Euroopan neuvoston nk. yleissopimuksen 108+ perusteella; huomauttaa myös, että sidosryhmät pitävät tietosuojan riittävyyttä koskevia päätöksiä olennaisena välineenä tällaisille tietovirroille, koska niissä tietovirtoihin ei liitetä muita ehtoja tai lupia; korostaa kuitenkin, että tähän mennessä tietosuojan riittävyyttä koskeva päätös on tehty vain yhdeksästä maasta, vaikka monet muut kolmannet maat ovat hiljattain antaneet uutta tietosuojalainsäädäntöä, jossa on samankaltaisia sääntöjä ja periaatteita kuin yleisessä tietosuoja-asetuksessa; huomauttaa, että Euroopan unionin tuomioistuimessa ei ole toistaiseksi riitautettu yhtään ainoaa mekanismia, jolla taataan kaupallisten henkilötietojen laillinen siirto EU:n ja Yhdysvaltojen välillä;
30. suhtautuu myönteisesti ensimmäisen EU:n ja Japanin välisen tietosuojan vastavuoroista riittävyyttä koskevan päätöksen hyväksymiseen ja toteaa, että näin on luotu maailman suurin alue, jolla data liikkuu vapaasti ja turvallisesti; kehottaa komissiota kuitenkin ottamaan huomioon kaikki parlamentin esille tuomat kysymykset tämän välineen ensimmäisessä uudelleentarkastelussa ja asettamaan tulokset julkisesti saataville mahdollisimman pian, sillä uudelleentarkastelu olisi pitänyt hyväksyä viimeistään tammikuussa 2021;
31. kehottaa komissiota julkaisemaan kriteerit, joiden avulla määritetään, katsotaanko kolmannen maan tarjoavan suojan tason, joka ”vastaa olennaisilta osiltaan” EU:ssa annettavaa suojaa, erityisesti kun on kyse oikeussuojakeinojen saatavuudesta ja viranomaisten pääsystä tietoihin; korostaa, että on varmistettava yleisen tietosuoja-asetuksen 48 artiklassa tarkoitettuja siirtoja ja luovutuksia, joita ei sallita unionin lainsäädännössä, koskevien säännösten tehokas soveltaminen ja noudattaminen, erityisesti kun on kyse kolmansien maiden viranomaisten pyynnöistä saada pääsy henkilötietoihin unionissa, ja kehottaa tietosuojaneuvostoa ja tietosuojaviranomaisia antamaan ohjeita ja valvomaan näiden säännösten täytäntöönpanoa, myös henkilötietojen siirtomekanismien arvioinnissa ja kehittämisessä;
32. kehottaa komissiota hyväksymään delegoituja säädöksiä, joilla täsmennetään vaatimukset, jotka on otettava huomioon yleisen tietosuoja-asetuksen 42 artiklan 1 kohdassa tarkoitetuissa tietosuojaa koskevissa sertifiointimekanismeissa, jotta voidaan edistää viimeksi mainittujen käyttöä yhdessä kolmannen maan rekisterinpitäjän tai henkilötietojen käsittelijän sitovien ja täytäntöönpanokelpoisten sitoumusten kanssa asianmukaisten suojatoimien soveltamiseksi, myös rekisteröityjen oikeuksiin, kansainvälisissä siirroissa käytettävänä keinona 46 artiklan 2 kohdan f alakohdassa säädetyllä tavalla;
33. toistaa, että joukkovalvonnan ohjelmat, joihin sisältyy valikoimatonta tiedonkeruuta, estävät tietosuojan riittävyyden toteamisen; kehottaa komissiota soveltamaan unionin tuomioistuimen asioissa Schrems I[4], Schrems II[5] ja Privacy International sekä muissa asioissa vuonna 2020[6] antamia ratkaisuja kaikkiin tietosuojan riittävyyttä koskevien päätösten uudelleentarkasteluihin sekä käynnissä oleviin ja tuleviin neuvotteluihin; muistuttaa, että yleisen tietosuoja-asetuksen 49 artiklan 1 kohdan mukaisiin erityistilanteita koskeviin poikkeuksiin perustuvien siirtojen olisi jatkossakin oltava poikkeuksellisia; suhtautuu myönteisesti tietosuojaneuvoston ja tietosuojaviranomaisten tästä asiasta antamiin suuntaviivoihin ja kehottaa niitä varmistamaan johdonmukaiset tulkinnat tällaisten poikkeusten soveltamisessa ja valvonnassa tietosuojaneuvoston suuntaviivojen 02/2018 mukaisesti;
34. kehottaa tietosuojaviranomaisia ja komissiota arvioimaan järjestelmällisesti, sovelletaanko tietosuojasääntöjä käytännössä kolmansissa maissa unionin tuomioistuimen oikeuskäytännön mukaisesti;
35. kehottaa komissiota julkaisemaan ilman aiheetonta viivytystä vuoden 1995 direktiivin nojalla tehtyjen tietosuojan riittävyyttä koskevien päätösten uudelleentarkastelun; korostaa, että tietosuojan riittävyyttä koskevan päätöksen puuttuessa mallisopimuslausekkeet ovat laajimmin käytetty väline kansainvälisissä tiedonsiirroissa; huomauttaa, että unionin tuomioistuin vahvisti mallisopimuslausekkeita koskevan päätöksen 2010/87/EU[7] pätevyyden samalla, kun se velvoitti tekemään arvioinnin kolmanteen maahan siirrettyjä tietoja koskevan suojan tasosta ja kyseisen kolmannen maan oikeusjärjestelmän asiaan liittyvistä näkökohdista, kun on kyse viranomaisten pääsystä siirrettyihin henkilötietoihin; kehottaa komissiota nopeuttamaan kansainvälisiin tiedonsiirtoihin sovellettavia nykyaikaistettuja mallisopimuslausekkeita koskevaa työtään, jotta varmistetaan pk-yritysten tasapuoliset toimintaedellytykset kansainvälisellä tasolla; suhtautuu myönteisesti siihen, että komissio on julkaissut mallisopimuslausekkeiden luonnoksen, sekä tavoitteeseen tehdä mallisopimuslausekkeista käyttäjäystävällisempiä ja puuttua nykyisissä vaatimuksissa havaittuihin puutteisiin;
36. palauttaa mieliin tietosuojaneuvoston suuntaviivat 01/2019 asetuksen 2016/679 mukaisista käytännesäännöistä ja valvontaelimistä; myöntää, että tätä välinettä ei nykyisin hyödynnetä tarpeeksi, vaikka sen avulla voidaankin varmistaa yleisen tietosuoja-asetuksen noudattaminen silloin, kun sitä käytetään yhdessä kolmannen maan rekisterinpitäjän tai henkilötietojen käsittelijän sitovien ja täytäntöönpanokelpoisten sitoumusten kanssa asianmukaisten suojatoimien soveltamiseksi; korostaa tämän välineen tarjoamia mahdollisuuksia parannettaessa pk-yrityksille annettavaa tukea ja lisättäessä oikeusvarmuutta kansainvälisten tiedonsiirtojen yhteydessä eri aloilla;
Unionin tuleva lainsäädäntö
37. katsoo, että yleinen tietosuoja-asetus tarjoaa vakaan sääntelykehyksen kehittyville teknologioille, koska se on teknologianeutraali; katsoo kuitenkin, että lisätoimet ovat tarpeen, jotta voidaan käsitellä yleisemmin digitalisaatioon liittyviä kysymyksiä, kuten monopolitilanteita ja voimasuhteiden epätasapainoa, erityissääntelyn avulla ja tarkastella perusteellisesti yleisen tietosuoja-asetuksen suhdetta kuhunkin uuteen lainsäädäntöaloitteeseen ja siten varmistaa yhdenmukaisuus ja korjata lainsäädännössä olevat aukot; muistuttaa komissiota sen velvoitteesta varmistaa, että lainsäädäntöehdotusten, kuten ehdotettujen datahallintoa, dataa ja digitaalisia palveluja koskevien säädösten tai tekoälyä koskevan sääntelyn, on aina oltava kaikilta osin yleisen tietosuoja-asetuksen ja lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta annetun direktiivin[8] mukaisia; katsoo, että lainsäätäjien toimielinten välisissä neuvotteluissa hyväksymissä lopullisissa teksteissä on noudatettava täysimääräisesti tietosuojaa koskevaa säännöstöä; pitää kuitenkin valitettavana, että komissio ei lainsäädäntöehdotuksissaan itse aina noudata tietosuojan suhteen johdonmukaista lähestymistapaa; korostaa, että viittaus yleisen tietosuoja-asetuksen soveltamiseen tai ilmaisu ”sanotun kuitenkaan rajoittamatta yleisen tietosuoja-asetuksen soveltamista” ei automaattisesti tee ehdotuksesta yleisen tietosuoja-asetuksen mukaista; kehottaa komissiota kuulemaan Euroopan tietosuojavaltuutettua ja tietosuojaneuvostoa annettuaan ehdotuksen lainsäätämisjärjestyksessä hyväksyttäväksi säädökseksi, jolla on vaikutuksia yksilöiden oikeuksien ja vapauksien suojeluun henkilötietojen käsittelyssä; kehottaa komissiota myös ehdotuksia tai suosituksia laatiessaan pyrkimään kuulemaan tietosuojavaltuutettua, jotta voidaan varmistaa tietosuojasääntöjen yhdenmukaisuus kaikkialla unionissa, ja tekemään aina vaikutustenarvioinnin;
38. huomauttaa, että vaikka profilointi sallitaan yleisen tietosuoja-asetuksen 22 artiklassa ainoastaan tiukoin ja suppeasti rajatuin ehdoin, sitä käytetään kasvavassa määrin, sillä ihmisten toiminnasta verkossa voi saada syvällistä tietoa heidän psykologiastaan ja yksityiselämästään; toteaa, että koska profiloinnin avulla on mahdollista manipuloida henkilöiden käyttäytymistä, digitaalisten palvelujen käyttöä koskevien henkilötietojen kerääminen ja käsittely olisi rajoitettava siihen, mikä on ehdottoman välttämätöntä palvelun tarjoamiseksi ja käyttäjien laskuttamiseksi; kehottaa komissiota ehdottamaan tiukkaa alakohtaista tietosuojalainsäädäntöä arkaluonteisille henkilötietoryhmille, jos se ei ole vielä tehnyt niin; vaatii valvomaan tiukasti yleisen tietosuoja-asetuksen noudattamista henkilötietojen käsittelyssä;
39. kehottaa lisäämään kuluttajien vaikutusmahdollisuuksia niin, että he voivat tehdä tietoon perustuvia päätöksiä uusien teknologioiden käytön yksityisyyden suojaan liittyvistä vaikutuksista, ja kehottaa varmistamaan tietojen oikeudenmukaisen ja läpinäkyvän käsittelyn tarjoamalla helppokäyttöisiä vaihtoehtoja suostumuksen antamiseksi henkilötietojen käsittelyyn yleisen tietosuoja-asetuksen mukaisesti ja sen peruuttamiseksi;
Direktiivi lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta
40. on huolestunut siitä, että lainvalvontatarkoituksiin käytettävät tietosuojasäännöt eivät ole pysyneet läheskään lainvalvontaa varten äskettäin luotujen toimivaltuuksien tasalla; kehottaakin komissiota arvioimaan lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta annettua direktiiviä ennen siinä säädettyä määräaikaa ja asettamaan uudelleentarkastelun julkisesti saataville;
Sähköisen viestinnän tietosuoja-asetus
41. ilmaisee syvän huolensa siitä, etteivät jäsenvaltiot ole panneet täytäntöön sähköisen viestinnän tietosuojadirektiiviä[9], kun otetaan huomioon yleisellä tietosuoja-asetuksella käyttöön otetut muutokset; kehottaa komissiota nopeuttamaan arviointiaan ja käynnistämään rikkomusmenettelyjä niitä jäsenvaltioita vastaan, jotka eivät ole panneet sähköisen viestinnän tietosuojadirektiiviä asianmukaisesti täytäntöön; on erittäin huolestunut siitä, että sähköisen viestinnän tietosuojaa koskevan uudistuksen pitkittyminen useilla vuosilla johtaa EU:ssa hajanaiseen oikeudelliseen ympäristöön, joka haittaa sekä yrityksiä että kansalaisia; muistuttaa, että sähköisen viestinnän tietosuoja-asetuksen[10] tarkoituksena oli täydentää ja täsmentää yleistä tietosuoja-asetusta ja sen piti osua ajallisesti yleisen tietosuoja-asetuksen soveltamisen alkamisajankohtaan; tähdentää, että sähköisen viestinnän tietosuojasääntöjen uudistus ei saa johtaa siihen, että yleisessä tietosuoja-asetuksessa ja sähköisen viestinnän tietosuojadirektiivissä taattua nykyistä suojan tasoa madalletaan; pitää valitettavana, että neuvostolta kesti lopulta neljä vuotta hyväksyä neuvottelukanta sähköisen viestinnän tietosuoja-asetusta koskevaan ehdotukseen, kun taas parlamentti hyväksyi neuvottelukantansa lokakuussa 2017; muistuttaa, että on tärkeää päivittää vuosina 2002 ja 2009 annetut sähköisen viestinnän tietosuojasäännöt, jotta voidaan parantaa kansalaisten perusoikeuksien suojelua ja yritysten oikeusvarmuutta yleistä tietosuoja-asetusta täydentäen;
°
° °
42. kehottaa puhemiestä välittämään tämän päätöslauselman komissiolle, Eurooppa-neuvostolle, jäsenvaltioiden hallituksille ja kansallisille parlamenteille, Euroopan tietosuojaneuvostolle ja Euroopan tietosuojavaltuutetulle.
- [1] EUVL L 119, 4.5.2016, s. 1.
- [2] https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_contributiongdprevaluation_20200218.pdf
- [3] https://edpb.europa.eu/sites/edpb/files/files/file1/19_2019_edpb_written_report_to_libe_en.pdf
- [4] Unionin tuomioistuimen tuomio 6.10.2015, Maximilian Schrems v. Data Protection Commissioner, C-362/14, ECLI:EU:C:2015:650.
- [5] Unionin tuomioistuimen tuomio 16.7.2020, Data Protection Commissioner v. Facebook Ireland Ltd ja Maximillian Schrems, C-311/18, ECLI:EU:C:2020:559.
- [6] Tuomiot asiassa C-623/17, Privacy International, sekä yhdistetyissä asioissa C-511/18, La Quadrature du Net ym., C-512/18, French Data Network ym., ja C-520/18, Ordre des barreaux francophones et germanophone ym.
- [7] Komission päätös 2010/87/EU, annettu 5. helmikuuta 2010, Euroopan parlamentin ja neuvoston direktiivin 95/46/EY mukaisista mallisopimuslausekkeista henkilötietojen siirtoa varten kolmansiin maihin sijoittautuneille henkilötietojen käsittelijöille, sellaisena kuin se on muutettuna 16. joulukuuta 2016 annetulla komission täytäntöönpanopäätöksellä (EU) 2016/2297 (EUVL L 344, 17.12.2016, s. 100).
- [8] Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680, annettu 27. huhtikuuta 2016, luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta (EUVL L 119, 4.5.2016, s. 89).
- [9] Euroopan parlamentin ja neuvoston direktiivi 2002/58/EY, annettu 12. heinäkuuta 2002, henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla (EYVL L 201, 31.7.2002, s. 37).
- [10] Ehdotus Euroopan parlamentin ja neuvoston asetukseksi yksityiselämän kunnioittamisesta ja henkilötietojen suojasta sähköisessä viestinnässä ja direktiivin 2002/58/EY kumoamisesta (COM(2017)0010).