RSS
Aakkosellinen hakemisto
Tämä sivusto on saatavilla 23 kielellä
Uudet kielet:  BG - CS - ET - GA - LV - LT - HU - MT - PL - RO - SK - SL

We are migrating the content of this website during the first semester of 2014 into the new EUR-Lex web-portal. We apologise if some content is out of date before the migration. We will publish all updates and corrections in the new version of the portal.

Do you have any questions? Contact us.


Henkilötietojen suojelu

Direktiivi 95/46/EY muodostaa Euroopan tasolla henkilötietojen suojan alan perustan. Sen myötä otetaan käyttöön oikeudellinen kehys, jonka tarkoituksena on luoda tasapaino korkeatasoisen yksityisyyden suojan ja henkilötietojen vapaan liikkuvuuden välillä Euroopan unionissa. Tämän vuoksi direktiivissä vahvistetaan tiukat rajat henkilötietojen keruulle ja käytölle sekä kehotetaan perustamaan kuhunkin jäsenvaltioon riippumaton kansallinen elin, joka vastaa henkilötietojen suojasta.

SÄÄDÖS

Euroopan parlamentin ja neuvoston direktiivi 95/46/EY, annettu 24 päivänä lokakuuta 1995, yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta [EYVL L 281, 23.11.1995] [Ks. muutossäädökset].

TIIVISTELMÄ

Kyseistä direktiiviä sovelletaan automatisoituun tietojenkäsittelyyn (esimerkiksi tietokoneella oleviin asiakasrekistereihin) sekä sellaisten tietojen manuaaliseen käsittelyyn, jotka sisältyvät tai joiden on tarkoitus sisältyä paperiasiakirjoihin.

Direktiiviä ei sovelleta henkilötietojen käsittelyyn, kun

  • henkilötietoja käsittelee luonnollinen henkilö yksinomaan henkilökohtaisessa tai kotitalouttaan koskevassa toiminnassa
  • käsittely liittyy toimintaan, joka ei kuulu yhteisön oikeuden soveltamisalaan, kuten yleistä turvallisuutta, puolustusta ja valtion turvallisuutta koskevaan toimintaan.

Direktiivillä on tarkoitus suojella yksilöiden henkilötietojen käsittelyyn liittyviä oikeuksia ja vapauksia vahvistamalla pääperiaatteet, joita noudatetaan näiden käsittelyjen laillisuuden määrittämisessä. Nämä periaatteet koskevat seuraavia seikkoja:

  • Tietojen laatu: henkilötietoja on käsiteltävä asianmukaisesti ja laillisesti, ja niitä saa kerätä vain tiettyä selvästi määriteltyä, laillista tarkoitusta varten. Tietojen on lisäksi oltava täsmällisiä, ja niitä on tarvittaessa päivitettävä.
  • Tietojenkäsittelyn laillisuus: henkilötietojen käsittely on laillista vain, jos rekisteröity on yksiselitteisesti antanut suostumuksensa tai jos käsittely on tarpeen
    1. sellaisen sopimuksen täytäntöönpanemiseksi, jossa rekisteröity on osallisena
    2. rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi
    3. rekisteröidyn elintärkeiden etujen suojaamiseksi
    4. yleistä etua koskevan tehtävän suorittamiseksi
    5. rekisterinpitäjän oikeutetun intressin toteuttamiseksi.
  • Tietojenkäsittelyn erityiset ryhmät: rotua tai etnistä alkuperää, poliittisia mielipiteitä, uskonnollista tai filosofista vakaumusta, ammattiliittoon kuulumista sekä terveyttä ja seksuaalista käyttäytymistä koskevien tietojen käsittely on kiellettävä. Tähän säännökseen sisältyy varaumia, jotka koskevat esimerkiksi tapauksia, joissa käsittely on tarpeen rekisteröidyn elintärkeiden etujen suojaamiseksi taikka ennalta ehkäisevää lääketiedettä tai lääketieteellisiä diagnooseja koskevia tarkoituksia varten.
  • Rekisteröidylle toimitettavat tiedot: rekisterinpitäjän on toimitettava tietyt tiedot (mm. rekisterinpitäjän nimi, tietojen käsittelyn tarkoitus ja tietojen vastaanottajat) henkilölle, jota koskevia tietoja hän kerää.
  • Rekisteröidyillä on oltava oikeus saada
    1. rekisterinpitäjältä vahvistus siitä, käsitelläänkö häntä koskevia tietoja vai ei, ja käsiteltävät tiedot
    2. sellaiset tiedot oikaistuiksi, poistetuiksi tai suojatuiksi, joiden käsittely ei ole tämän direktiivin mukaista, erityisesti tietojen puutteellisen tai virheellisen luonteen vuoksi, sekä näistä muutoksista annettu ilmoitus sivullisille, joille tietoja on luovutettu.
  • Poikkeukset ja rajoitukset: tietojen laatua, rekisteröidylle toimitettavia tietoja, rekisteröidyn oikeutta tutustua tietoihin ja käsittelyjen julkisuutta koskevien periaatteiden soveltamisalaa voidaan rajoittaa, kun tämä on välttämätöntä muun muassa valtion turvallisuuden, puolustuksen, yleisen turvallisuuden, rikosten torjunnan, jäsenvaltion tai EU:n tärkeän taloudellisen tai rahoituksellisen edun taikka rekisteröidyn suojelun kannalta.
  • Oikeus vastustaa itseä koskevien henkilötietojen käsittelyä: rekisteröidyllä on oltava oikeus vastustaa perustelluista syistä häntä itseään koskevien tietojen käsittelyä. Rekisteröidyllä on lisäksi oikeus pyynnöstä ja maksutta vastustaa tietojenkäsittelyä suoramarkkinointia varten. Ennen kuin tiedot luovutetaan kolmansille osapuolille suoramarkkinointitarkoituksessa, asiasta on ilmoitettava rekisteröidylle, ja rekisteröidyn on oltava tietoinen oikeudestaan vastustaa tietojen luovuttamista.
  • Tietojenkäsittelyn luottamuksellisuus ja turvallisuus: rekisterinpitäjän tai henkilötietojen käsittelijän valtuuttamana toimiva henkilö, mukaan luettuna henkilötietojen käsittelijä itse, saa käsitellä tietoja ainoastaan rekisterinpitäjän määräyksestä. Lisäksi rekisterinpitäjän on riittävin toimenpitein suojauduttava henkilötietojen tahattomalta tai laittomalta tuhoutumiselta, tahattomalta katoamiselta, vahingoittumiselta sekä luvattomalta levittämiseltä tai käsittelyltä.
  • Käsittelystä ilmoittaminen valvontaviranomaisille: rekisterinpitäjän on ilmoitettava kansalliselle valvontaviranomaiselle käsittelytoimenpiteistä etukäteen. Ilmoituksen saatuaan valvontaviranomainen tekee ennakkotutkimuksia rekisteröityjen oikeuksia ja vapauksia mahdollisesti uhkaavista tekijöistä. Käsittelyn julkisuus on varmistettava, ja valvontaviranomaisten on pidettävä rekisteriä ilmoitetuista käsittelyistä.

Jokaisella on oltava mahdollisuus käyttää oikeussuojakeinoja, jos kyseessä olevaan käsittelyyn sovellettavien kansallisten säännösten mukaisesti hänelle kuuluvia oikeuksia loukataan. Lisäksi jokaisella, jolle aiheutuu vahinkoa häntä itseään koskevien henkilötietojen laittomasta käsittelystä, on oikeus saada korvaus aiheutuneesta vahingosta.

Henkilötietojen siirto EU:n ulkopuolisiin maihin, joissa taataan tietosuojan riittävä taso, on sallittu. Sitä vastoin tietoja ei voida siirtää maahan, jossa tätä tasoa ei taata, paitsi erikseen luetelluissa poikkeustapauksissa.

Direktiivin tavoitteena on suosia sellaisten kansallisten ja yhteisön käytännesääntöjen laatimista, joiden tarkoituksena on kansallisten ja yhteisön säädösten moitteeton soveltaminen.

Kunkin jäsenvaltion on säädettävä siitä, että jäsenvaltioiden direktiivin mukaisesti toteuttamien toimenpiteiden soveltamista valvoo yksi tai useampi riippumaton julkinen viranomainen sen alueella.

Perustetaan tietosuojatyöryhmä, joka koostuu kansallisten valvontaviranomaisten edustajista, yhteisön toimielinten ja elinten valvontaviranomaisten edustajista sekä komission edustajasta.

VIITTEET

AsiakirjaVoimaantuloTäytäntöönpanon määräaika jäsenvaltioissaEUVL
Direktiivi 95/46/EY

13.12.1995

24.10.1998

EYVL L 281, 23.11.1995

MuutossäädöksetVoimaantuloTäytäntöönpanon määräaika jäsenvaltioissaEUVL
Asetus (EY) N:o 1882/2003

20.11.2003

-

EUVL 284, 31.10.2003

Neuvoston direktiiviin 95/46/EY tehdyt peräkkäiset muutokset ja korjaukset on sisällytetty perussäädökseen. Konsolidoitu toisinto on tarkoitettu ainoastaan dokumentointitarkoituksiin.

MUUT ASIAAN LIITTYVÄT ASIAKIRJAT

TÄYTÄNTÖÖNPANOKERTOMUS

Komission tiedonanto Euroopan parlamentille ja neuvostolle, annettu 7 päivänä maaliskuuta 2007 "Tietosuojadirektiivin tehokkaampaa soveltamista koskevan työohjelman seurannasta" [KOM(2007) 87 lopull. - ei julkaistu EUVL:ssä]
Tiedonannossa tarkastellaan tietosuojadirektiivin tehokkaampaa soveltamista koskevan työohjelman yhteydessä tehtyä työtä. Tämä työohjelma sisältyy ensimmäiseen direktiiviä 95/46/EY käsittelevään kertomukseen. Komissio toteaa, että direktiivin soveltamisessa on edistytty, sillä kaikki jäsenvaltiot ovat panneet direktiivin täytäntöön. Komissio tähdentää, että toistaiseksi direktiiviä ei pitäisi muuttaa.

Lisäksi komissio

  • jatkaa työskentelyä jäsenvaltioiden kanssa ja aloittaa tarvittaessa lainsäädännön rikkomisesta seuraavat toimenpiteet
  • valmistelee tulkitsevan tiedonannon tietyistä direktiivin säännöksistä
  • jatkaa työohjelman toteuttamista
  • esittää EU:n laajuista alakohtaista lainsäädäntöä siinä tapauksessa, että teknologia kehittyy huomattavasti jollain alalla
  • jatkaa yhteistyötä ulkopuolisten kumppanien, erityisesti Yhdysvaltojen, kanssa.

Komission kertomus, annettu 15 päivänä toukokuuta 2003, "Ensimmäinen kertomus tietosuojadirektiivin (95/46/EY) täytäntöönpanosta" [KOM(2003) 265 lopullinen - ei julkaistu EUVL:ssä].
Kertomuksessa tarkastellaan erityisesti niiden kuulemisten tuloksia, joita komissio on käynyt viranomaisten, organisaatioiden, yritys- ja kuluttajajärjestöjen sekä kansalaisten kanssa direktiivin 95/46/EY arvioinnista. Kuulemisten tulokset osoittavat, että vain harvat kuulemiseen osallistuneet kannattivat direktiivin muuttamista. Komissio myös otti jäsenvaltioiden kuulemisen jälkeen huomioon sen seikan, että enemmistö jäsenvaltioista ja myös kansallisista valvontaviranomaisista, katsoo, ettei direktiivin muutos nykyisellään ole tarpeen.

Vaikka direktiivin saattamisessa osaksi kansallista lainsäädäntöä on aukkoja ja viiveitä, direktiivi on täyttänyt pääasiallisen tavoitteensa poistaa henkilötietojen liikkuvuuden esteet jäsenvaltioiden väliltä. Lisäksi komissio katsoo, että tavoite korkeatasoisen tietosuojan varmistamisesta yhteisössä on saavutettu, koska direktiivissä vahvistetaan maailmanlaajuisesti hyvin korkeatasoiset tietosuojasäännökset.

Muihin sisämarkkinapolitiikan tavoitteisiin ei kuitenkaan ole päästy yhtä hyvin. Tietosuojalainsäädännössä on vielä huomattavia eroja jäsenvaltioiden välillä. Nämä erot estävät monikansallisia organisaatioita kehittämästä yleiseurooppalaista tietosuojapolitiikkaa. Myös komissio pyrkii tekemään tarvittavan korjatakseen tämän tilanteen välttäen mahdollisimman pitkälle virallisiin menettelyihin ryhtymisen.

Yleisen tietosuojalainsäädännön noudattamisen yhteydessä EU:ssa on ratkaistava kolme ongelmaa:

  • täytäntöönpanon alimitoitetut resurssit
  • rekisterinpitäjien kirjavat lainnoudattamistavat
  • rekisteröityjen ilmeisen heikko tietämys oikeuksistaan, mikä puolestaan voi johtua edellisestä seikasta

Tietosuojadirektiivin paremman soveltamisen varmistamiseksi komissio on hyväksynyt työohjelman, joka sisältää joitakin toimia, jotka on määrä toteuttaa tämän kertomuksen hyväksymispäivän ja vuoden 2004 lopun välillä. Nämä toimet kattavat seuraavat aloitteet:

  • jäsenvaltioiden ja tietosuojaviranomaisten kanssa käytävät keskustelut kansallisiin säädöksiin tehtävistä muutoksista, jotta säädökset vastaisivat täysin direktiivin vaatimuksia
  • ehdokasmaiden osallistuminen direktiivin soveltamista tehostaviin ja yhtenäistäviin toimiin
  • direktiivin täytäntöönpanosäädöksiä koskevien ilmoitusten tehostaminen
  • tietojen kansainvälisiä siirtoja koskevien ehtojen yksinkertaistaminen
  • yksityisyyden suojaa parantavien tekniikoiden edistäminen
  • itsesääntelyn ja eurooppalaisten käytännesääntöjen edistäminen.

SÄHKÖISEN VIESTINNÄN TIETOSUOJADIREKTIIVI

Euroopan parlamentin ja neuvoston direktiivi 2002/58/EY, annettu 12 päivänä heinäkuuta 2002, henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla (sähköisen viestinnän tietosuojadirektiivi) [EYVL L 201, 31.7.2002].
Tämä direktiivi hyväksyttiin vuonna 2002 samaan aikaan sähköisen viestinnän alan sääntelemiseksi annetun uuden säädöksen kanssa. Siinä säädetään joistakin varsin arkaluonteisista aiheista, kuten yhteystietojen säilyttämisestä jäsenvaltioiden poliisivalvontatarkoituksiin, ei-toivottujen sähköpostiviestien lähettämisestä, evästeiden (cookies) käytöstä ja henkilökohtaisten tietojen sisällyttämisestä julkisiin luetteloihin.

MALLISOPIMUSLAUSEKKEET HENKILÖTIETOJEN KOLMANSIIN MAIHIN SIIRTOA VARTEN

Komission päätös 2004/915/EY, tehty 27 päivänä joulukuuta 2004, päätöksen 2001/497/EY muuttamisesta vaihtoehtoisten mallisopimuslausekkeiden ottamiseksi käyttöön henkilötietojen kolmansiin maihin siirtoa varten [EUVL L 385, 29.12.2004].
Euroopan komissio on hyväksynyt uudet mallisopimuslausekkeet, joita yritykset voivat käyttää riittävien takeiden varmistamiseksi siirrettäessä henkilötietoja EU:sta EU:n ulkopuolisiin maihin. Nämä uudet lausekkeet lisätään niihin, jotka sisältyvät komission kesäkuussa 2001 tekemään päätökseen (ks. jäljempänä).

Komission päätös 2001/497/EY, tehty 15 päivänä kesäkuuta 2001, direktiivin 95/46/EY mukaisista mallisopimuslausekkeista henkilötietojen kolmansiin maihin siirtoa varten [EYVL L 181, 4.7.2001].
Päätöksessä määritellään mallisopimuslausekkeet, jotka takaavat riittävän suojan EU:sta kolmansiin maihin siirrettäville henkilötiedoille. Päätös velvoittaa jäsenvaltiot tunnustamaan, että yritykset ja elimet, jotka käyttävät sopimuksissaan tällaisia lausekkeita henkilötietojen kolmansiin maihin siirtoa varten, takaavat tietosuojan riittävän tason.

TIETOSUOJA YHTEISÖN TOIMIELIMISSÄ JA ELIMISSÄ

Euroopan parlamentin ja neuvoston asetus (EY) N:o 45/2001, annettu 18 päivänä joulukuuta 2000, yksilöiden suojelusta yhteisöjen toimielinten ja elinten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta [EYVL L 8, 12.1.2001].
Asetuksella pyritään takaamaan henkilötietojen suojelu Euroopan unionin toimielimissä ja elimissä. Tekstissä säädetään

  • säännöistä, joilla taataan yhteisön toimielinten ja elinten käsittelemien henkilötietojen korkeatasoinen suojelu
  • kyseisten säännösten soveltamista valvovan riippumattoman valvontaviranomaisen perustamisesta.
Viimeisin päivitys 01.02.2011
Oikeudellinen huomautus | Tietoa sivustosta | Haku | Yhteydenotot | Sivun alkuun