6.9.2005   

FI

Euroopan unionin virallinen lehti

C 218/6

1.

Euroopan tietosuojavaltuutettu (European Data Protection Supervisor — EDPS) pitää myönteisenä sitä, että häntä on kuultu asetuksen (EY) n:o 45/2001 28 artiklan 2 kohdan mukaisesti. Tämä vahvistaa kannan, jonka Euroopan tietosuojavaltuutettu esitti toimintapoliittisessa asiakirjassaan 18.3.2005 (”Euroopan tietosuojavaltuutettu yhteisön toimielinten neuvonantajana lainsäädäntöehdotuksia ja niihin liittyviä asiakirjoja koskevissa asioissa”) siitä, että neuvontatehtävään sisältyy myös henkilötietojen käsittelyä koskevien sopimusten tekeminen EY:n ja kolmansien maiden ja/tai kansainvälisten järjestöjen välillä.

2.

Asetuksen (EY) N:o 45/2001 28 artiklan 2 kohdan pakollisesta luonteesta johtuen tämä lausunto olisi mainittava neuvoston päätöksen johdanto-osassa.

3.

Euroopan yhteisön ja Kanadan välisessä sopimuksessa otetaan sen johdanto-osan kappaleiden mukaisesti huomioon komission päätös direktiivin 95/46/EY 25 artiklan 6 kohdan nojalla, jossa asianomaisen Kanadan toimivaltaisen viranomaisen katsotaan takaavan tietosuojan riittävän tason matkustajatietojen (API)/matkustajarekisteritietojen (PNR) osalta (”Komission päätös”). Euroopan tietosuojavaltuutetun kannalta komission päätös olisi pitänyt myös lähettää kuulemista varten, koska se on osa yhteistä lainsäädäntöpakettia.

4.

Tämä on järjestyksessä toinen ehdotus Euroopan yhteisön ja Amerikan yhdysvaltojen välillä 17.5.2004 tehdyn sopimuksen (1) jälkeen, jonka laillisuuden parlamentti kiisti EY:n perustamissopimuksen 230 artiklan nojalla. Yhteisöjen tuomioistuimessa pitämässään puheenvuorossa Euroopan tietosuojavaltuutettu kannatti parlamentin päätelmiä sopimuksen peruuttamisesta.

5.

Tämä ehdotus sopimukseksi on samanlainen kuin Amerikan yhdysvaltojen kanssa tehty sopimus. Se liittyy komission päätökseen direktiivin 95/46/EY 25 artiklan 6 kohdan mukaisesti tavoitteena yleisen turvallisuuden parantaminen. Lentoyhtiö on velvollinen siirtämään tiedot kolmannelle maalle.

6.

Asiasisältö eroaa kuitenkin merkittävästi, kuten todettiin 29 artiklan mukaisen tietosuojatyöryhmän (2) kahdessa lausunnossa. Euroopan tietosuojavaltuutettu tuo esille neljä keskeistä eroavuutta, jotka vaikuttavat tähän lausuntoon. Ensinnäkin ehdotuksessa esitetään ”tarjontamenetelmää” (eikä tietoja pyytävän tahon aloitteeseen perustuvaa menettelyä), minkä ansiosta Euroopan yhteisön lentoyhtiöt voivat valvoa tietojen siirtämistä Kanadan viranomaisille. Toiseksi Kanadan viranomaisten sitoumukset ovat sitovia (sopimuksen 2 artiklan 1 kohta), minkä vuoksi ehdotus on tasapainoisempi verrattuna Amerikan yhdysvaltojen kanssa tehtyyn sopimukseen. Kolmanneksi siirrettävä PNR-tietojen luettelo on rajoitetumpi eikä sisällä matkustajatietojen ”avoimia luokkia”, joista voisi paljastua arkaluonteisia tietoja. Lopuksi sopimuksessa hyödynnetään paljon kehittyneempää tietosuojaa koskevaa lainsäädäntöjärjestelmää, joka tarjoaa suojelun henkilölle, jota tiedot koskevat, riippumattoman tietosuojavaltuutetun suorittama valvonta mukaan lukien. Kanadan lainsäädäntö ei kuitenkaan anna täydellistä suojaa Euroopan unionin kansalaisille. Kanadan viranomaisten sitoumusten tavoitteena on löytää ratkaisu kyseisten kansalaisten osalta.

7.

Direktiivin 95/46/EY järjestelmässä tietojen siirtäminen kolmannelle maalle sisältyy henkilötietojen käsittelystä annettuun määritelmään (direktiivin 2 artiklan b kohdan mukaisesti ”kaikenlaisia sellaisia toimintoja tai toimintojen kokonaisuuksia, joita kohdistetaan henkilötietoihin”), ja näin ollen siirtoon sovelletaan direktiivin II lukua (”Yleiset säännöt henkilötietojen käsittelyn laillisuudesta”). Direktiivin 95/46 25 artiklan tarkoituksena tässä yhteydessä on antaa lisävarmuutta siirrettäessä tietoja kolmanteen maahan, koska siirtohetkestä lähtien tiedot eivät ole enää jäsenvaltion lainkäyttövallan piirissä.

8.

Ehdotus Kanadan kanssa tehtäväksi sopimukseksi, jota luetaan yhdessä komission päätöksen kanssa, velvoittaa lentoyhtiöt siirtämään tiedot Kanadaan. On selvitettävä, estääkö tämä velvoite lentoyhtiöitä täyttämästä direktiivin 95/46/EY, erityisesti luvun II, täytäntöönpanoa koskevan kansallisen lainsäädännön niille asettamia velvoitteita, ja vaikuttaako velvoite näin ollen direktiivin tehokkuuteen.

9.

Ehdotuksen 5 artiklassa velvoitetaan Euroopan lentoyhtiöt käsittelemään niiden automaattisissa varausjärjestelmissä ja lähtöselvitysjärjestelmissä säilytettyjä API/PNR-tietoja Kanadan toimivaltaisten viranomaisten Kanadan lainsäädännön mukaisesti vaatimalla tavalla. Ehdotuksessa ei määrätä, että on sovellettava yhteisön oikeutta ja erityisesti direktiivin 95/46/EY II luvussa säädettyjä henkilötietojen käsittelyä koskevia sääntöjä. Tällaisen määräyksen puuttuessa lentoyhtiöt voivat joutua käsittelemään tietoja, vaikka käsittely ei noudattaisikaan direktiivin 95/46/EY II lukua. Niiden on ainoastaan toimittava Kanadan lain asiaa koskevien säännösten mukaisesti.

10.

Vaikka, kuten aiemmin mainittiin, ja kuten myöhemmin käy ilmi tästä lausunnosta, Kanadassa on kehittynyt tietosuojaa koskeva lainsäädäntöjärjestelmä eikä ole mitään syytä todeta, että Kanadan tietosuojaa koskeva lainsäädäntö haittaisi vakavasti niiden henkilöiden etuja Euroopan yhteisössä, joita tiedot koskevat, ei ole myöskään syytä olettaa, että Kanadan lainsäädäntö noudattaisi täysimääräisesti kaikkia direktiivin 95/46/EY II luvun säännöksiä. Tällaiseen olettamukseen ei voi päästä sopimuksen tai perustelujen pohjalta. Lisäksi olettamus ei ole mahdollinen, koska Kanadan viranomaisia ei sido mikään Euroopan yhteisöjen tuomioistuimen mahdollisesti antama direktiivin (tuleva) tulkinta eikä voida taata, että Kanadan lain myöhemmät muutokset (tai Kanadan oikeusviranomaisten uudet tulkinnat) noudattaisivat yhteisön oikeutta.

11.

Tämän analyysin pohjalta Euroopan tietosuojavaltuutettu toteaa, että sopimus johtaa direktiivin 95/46/EY muuttamiseen. Tästä syystä ja riippumatta mahdollisesta, merkityksellisestä haitasta henkilölle, jota tiedot koskevat, olisi saatava Euroopan parlamentin suostumus EY:n perustamissopimuksen 300 artiklan 3 kohdan mukaisesti.

12.

Tältä osin Euroopan tietosuojavaltuutettu katsoo, että institutionaaliset kysymykset eivät yleensä kuulu hänen toimenkuvaansa. Euroopan tietosuojavaltuutettu ottaa kuitenkin tässä tapauksessa kantaa kysymykseen, koska parlamentin oikeuksien noudattamatta jättäminen johtaa direktiivin muuttamiseen ja vaikuttaa näin ollen tietosuojan tasoon Euroopan yhteisön alueella.

13.

Vaihtoehtoisesti sopimusta voitaisiin muuttaa, jotta varmistuttaisiin, että Euroopan lentoyhtiöt käsittelevät API/PNR-tietoja direktiivin 95/46 säännöksiä noudattaen. Lisäämällä asiaa koskeva säännös sopimuksesta ei enää aiheutuisi muutosta direktiiviin.

14.

Ehdotuksen hyväksymistä koskevista menettelytapavaatimuksista huolimatta Euroopan tietosuojavaltuutettu on tarkastellut, suojaako ehdotettu sopimus asiasisällöltään riittävästi henkilöä, jota tiedot koskevat, erityisesti hänen perusoikeuksiaan EU:sta tehdyn sopimuksen 6 artiklan tarkoittamassa merkityksessä.

15.

Euroopan tietosuojavaltuutettu panee merkille ehdotuksen tärkeimmät erot Amerikan yhdysvaltain kanssa tehtyyn sopimukseen verrattuna (ks. edellä kohta 6). Niistä voidaan todeta, että jälkimmäisen sopimuksen puutteet kolmen tärkeimmän kohdan osalta eivät koske tätä ehdotusta, eivät ainakaan samassa mitassa.

16.

Edelleen Euroopan tietosuojavaltuutettu toteaa, että 29 artiklan mukainen tietosuojatyöryhmä hyväksyi 19.1.2005 antamassaan lausunnossa Kanadan rajapalvelujen viraston (CBSA) tarjoaman suojan asianmukaista tasoa koskevan (ehdotetun) komission päätöksen pääkohdat. Työryhmän arvioinnissa CBSA:n sitoumuksia (komission päätöksen liite) pidetään tärkeinä. Euroopan tietosuojavaltuutettu yhtyy 29 artiklan mukaisen tietosuojatyöryhmän havaintoihin, mutta ottaa myös huomioon, että Kanadan riippumaton tietosuojavaltuutettu hyväksyy API/PNR-tietoihin pääsyä koskevat rajoitukset julkishallinnon ja lainvalvontatarkoituksissa (3).

17.

Euroopan tietosuojavaltuutettu pitää erittäin tärkeänä sitä, että eurooppalainen lentoyhtiö voi API- ja PNR-tietojen tarjontamenetelmän ansiosta valvoa tietojen käsittelyä ja siirtoa. Nämä toiminnot kuuluvat tällöin ollen jäsenvaltioiden lainkäyttövallan piiriin ja niihin sovelletaan yhteisön lainsäädäntöä.

18.

Samalla tavoin on tärkeää, että ehdotuksen 2 artiklassa nimenomaisesti todetaan, että sopimuksen osapuolet ovat sopineet API/PNR-tietojen käsittelystä sitoumusten mukaisesti. Komission päätökseen liitetyt sitoumukset ovat näin ollen sitovia.

19.

Lopuksi Euroopan tietosuojavaltuutettu pitää tärkeänä yhteisen komitean perustamista, joka muun muassa järjestäisi yhteisiä uudelleentarkasteluja. Se mahdollistaisi säädösten täytäntöönpanon seurannan. Tämä on sitäkin tärkeämpää, koska säädökset ovat uusia ja koska tämän tyyppisten säädösten täytäntöönpanosta ei ole kokemuksia.

20.

Näin ollen ja 1 kohdassa mainitun toimintapoliittisen asiakirjan kohdan 4.2 perusteella Euroopan tietosuojavaltuutettu hyväksyy ehdotuksen pääkohdat ja rajoittaa huomautuksensa muutamiin kohtiin, erityisesti seuraaviin:

21.

Ehdotuksen liite II ei sisällä arkaluonteisia tietoja direktiivin 95/46 8 artiklassa tarkoitetussa merkityksessä eikä se sisällä matkustajatietojen ”avoimia luokkia”, jotka voisivat, riippuen tavasta, jolla nämä luokat on täytetty kaavakkeessa, paljastaa kyseisiä arkaluonteisia tietoja (kuten uskonnon tai lääketieteellisiä tietoja paljastava ruokavalio).

22.

Kerättävien PNR-tietojen luettelo (ehdotuksen liite II) käsittää kuitenkin tietoja, jotka voisivat olla tärkeitä matkustajan perusoikeuksien, erityisesti hänen yksityisyytensä suojelun kannalta. Euroopan tietosuojavaltuutettu mainitsee luokan 10 (kanta-asiakastiedot), jotka voivat paljastaa tosiseikkoja matkustajan käyttäytymisestä (vaikka kaikkia kanta-asiakastietoja ei sisällytetä) ja luokan 23 (kerätyt APIS-tiedot), jotka sisältävät nimen lisäksi myös muita tietoja matkustajan passista.

23.

Euroopan tietosuojavaltuutettu ei ole vakuuttunut siitä, että näiden luokkien mukaan ottaminen on tarpeen ja oikeassa suhteessa, ja ehdottaakin harkitsemaan uudelleen, olisiko nämä luokat lisättävä sopimuksen liitteeseen. Se, että nämä luokat on merkitty tietoja koskevaan luetteloon, ei sinänsä ole niin vakavaa, että se vaatisi sopimuksen uudelleen neuvottelemista eikä sen pitäisi Euroopan tietosuojavaltuutetun mielestä johtaa sopimuksen peruuntumiseen.

24.

Kuten aiemmin näimme oikeudellisten välineiden osalta, jotka edellyttävät henkilötietojen käsittelyä terrorismin torjunnan takia, lainsäätäjä ei ole rajoittanut käsittelyn tarkoitusta terrorismiin sellaisenaan, vaan on laajentanut käsittelyn sallivat tarkoitukset koskemaan muita vakavia rikoksia tai joissakin tapauksissa jopa lainvalvontaa yleensä.

25.

Tässä ehdotuksessa mainitaan muiden luonteeltaan kansainvälisten vakavien rikosten, myös järjestäytyneen rikollisuuden, torjunta. CBSA:n (osasto 12) sitoumusten mukaisesti tietoja voidaan antaa ainoastaan Kanadan hallituksen muille ministeriöille näitä tarkoituksia varten. Tietoja voidaan antaa kolmansien maiden viranomaisille ainoastaan näihin tarkoituksiin ja niin kauan kuin direktiivin 95/46 25 artiklan mukainen riittävä taso toteutuu kyseisessä kolmannessa maassa. Tämä tarkoituksen rajoittaminen ei itsessään ole direktiivin säännösten eikä sen perustana olevien periaatteiden vastainen.

26.

Sopimus sisältää nimenomaisia määräyksiä, joiden tarkoituksena on suojella sen henkilön etua, jota tiedot koskevat. Euroopan tietosuojavaltuutettu tuo nimenomaisesti esiin sopimuksen 3 artiklan tietojen saannista, korjaamisesta ja huomautusten tekemisestä. Tämän määräyksen mukaan henkilö, jota tiedot koskevat ja joka asuu Euroopan unionin alueella, voi käyttää tietojen saantia, korjaamista ja huomautusten tekemistä koskevia oikeuksia samoin edellytyksin kuin Kanadassa asuvat henkilöt.

27.

Näiden oikeuksien myöntäminen ei sinänsä anna tarpeellista suojaa henkilölle, jota tiedot koskevat. On varmistettava, että oikeuksia voi tosiasiallisesti käyttää.

28.

Näiden oikeuksien soveltamisalue ja asiasisältö määritellään Kanadan lainsäädännössä. Tarpeellisen suojan antamiseksi eurooppalaiselle henkilölle, jota tiedot koskevat, asianomaisen henkilön on päästävä tutustumaan asiaa koskevaan lainsäädäntöön ja hänelle siitä aiheutuvien seurausten on oltava ennakoitavissa. Tämän velvoitteen täyttämiseksi 29 artiklan mukainen tietosuojatyöryhmä ehdotti asiaa koskevan Kanadan sääntelykehyksen lisäämistä komission päätöksen liitteeseen.

29.

Tätä ehdotusta ei toteutettu, mutta komission päätös ja CBSA:n antamat sitoumukset antavat asianmukaista oikeudellista kehystä koskevan selvityksen. Sitoumusten asiaa koskevat osat antavat matkustajille mahdollisuuden panna merkille oikeutensa.

30.

Euroopan tietosuojavaltuutettu toteaa, että sen lisäksi, että Euroopan yhteisössä asuvilla lentomatkustajilla on mahdollisuus tutustua säädösteksteihin, yhtä tärkeätä on, että heillä on tosiasiallinen mahdollisuus turvautua oikeuskeinoihin.

31.

Euroopan tietosuojavaltuutettu hyväksyy tältä osin sitoumusten osassa 31 mainitun menettelyn. Tämän menettelyn mukaan Kanadan tietosuojavaltuutettu voi käsitellä valituksia, jotka jäsenvaltioiden tietosuojaviranomaiset ovat sille välittäneet Euroopan unionin asukkaiden puolesta. Euroopan tietosuojavaltuutetun mukaan tällainen menettely voisi käytännössä olla tehokkaampikin kuin Euroopan asukkaiden virallinen kanneoikeus (ius standi) Kanadan tuomioistuimissa.

32.

Euroopan tietosuojavaltuutettu toteaa lopuksi, että: