17.5.2006   

FI

Euroopan unionin virallinen lehti

C 116/8

1.

Komissio on lähettänyt Euroopan tietosuojavaltuutetulle 12.10.2005 päivätyllä kirjeellä ehdotuksen neuvoston puitepäätökseksi saatavuusperiaatteen mukaisesta tietojenvaihdosta. Euroopan tietosuojavaltuutettu katsoo tämän kirjeen olevan asetuksen 45/2001/EY 28 artiklan 2 kohdan mukainen pyyntö antaa asiasta lausunto yhteisön toimielimille ja elimille. Euroopan tietosuojavaltuutetun näkemys on, että tämä lausunto pitäisi mainita puitepäätöksen johdanto-osassa.

2.

Tätä lausuntoa tarkasteltaessa on otettava huomioon jäljempänä II kohdassa kuvattu konteksti. Kuten II kohdassa todetaan, on kaikkea muuta kuin todennäköistä, että nykyinen ehdotus — tai siinä saatavuuden osalta noudatettu lähestymistapa — lopulta johtaa säädöksen antamiseen. Huomattavan monet jäsenvaltiot nimittäin kannattavat muita lähestymistapoja.

3.

On kuitenkin ilmeistä, että lainvalvontatietojen saatavuus yli sisärajojen — tai laajemmin ottaen kyseisten tietojen vaihto — on jäsenvaltioille tärkeä asia niin neuvostossa kuin sen ulkopuolellakin, sekä Euroopan parlamentissa.

4.

On myös aivan yhtä ilmeistä, että asialla on erittäin suuri merkitys henkilötietojen suojaamisen kannalta, mikä käy ilmi tästä lausunnosta. Euroopan tietosuojavaltuutettu muistuttaa, että komissio esitti tämän ehdotuksen tiukasti kytkettynä rikosasioissa tehtävässä poliisi- ja oikeudellisessa yhteistyössä käsiteltävien henkilötietojen suojaamista koskevaan ehdotukseen neuvoston puitepäätökseksi, josta tietosuojavaltuutettu antoi lausuntonsa 19.12.2005.

5.

Euroopan tietosuojavaltuutettu käyttää tilaisuutta hyväkseen ja esittää tässä lausunnossa joitakin yleisiä ja perustavanlaatuisempia näkemyksiä lainvalvontatietojen vaihdosta ja asian sääntelemistä koskevista lähestymistavoista. Tietosuojavaltuutettu pyrkii tällä lausunnolla varmistamaan, että tietosuojaa koskevat näkökohdat otetaan asianmukaisesti huomioon asiasta tulevaisuudessa käytävissä keskusteluissa.

6.

Tietosuojavaltuutettua voidaan kuulla myöhemminkin tätä ehdotusta ja muita asiaan liittyviä ehdotuksia koskevan lainsäädäntöprosessin edistyessä.

7.

Saatavuusperiaate on otettu käyttöön Haagin ohjelmaan kuuluvana tärkeänä uutena oikeusperiaatteena. Se tarkoittaa sitä, että rikostorjunnassa tarvittavien tietojen olisi voitava ylittää esteettömästi EU:n sisärajat. Tämän ehdotuksen tavoitteena on panna kyseinen periaate täytäntöön oikeudellisesti sitovana välineenä.

8.

Poliisitietojen vaihto eri maiden välillä on suosittu aihe lainsäätäjien keskuudessa sekä EU:ssa että sen ulkopuolella. Euroopan tietosuojavaltuutettu on äskettäin kiinnittänyt huomionsa seuraaviin aloitteisiin.

9.

Ruotsi teki 4.6.2004 ehdotuksen puitepäätökseksi tietojen ja tiedustelutietojen vaihdon yksinkertaistamisesta Euroopan unionin jäsenvaltioiden lainvalvontaviranomaisten välillä. Neuvosto pääsi istunnossaan 1.12.2005 yhteisymmärrykseen kyseistä ehdotusta koskevasta yleisnäkemyksestä.

10.

Seitsemän jäsenvaltiota allekirjoitti Saksan Prümissä 27.5.2005 yleissopimuksen rajat ylittävän yhteistyön tehostamisesta erityisesti terrorismin, rajat ylittävän rikollisuuden ja laittoman maahanmuuton torjumiseksi. Siinä otetaan käyttöön muun muassa toimenpiteitä, joilla pyritään parantamaan DNA- ja sormenjälkitietojen vaihtoa. Yleissopimukseen voivat liittyä kaikki Euroopan unionin jäsenvaltiot. Sopimuspuolet pyrkivät sisällyttämään yleissopimuksen määräykset Euroopan unionin lainsäädäntöön.

11.

Lainvalvontatietojen saatavuutta yli Euroopan unionin sisärajojen helpotetaan myös muilla säädöksillä. Tällaisia ovat esimerkiksi toisen sukupolven Schengenin tietojärjestelmää (SIS II) koskevat ehdotukset, ehdotus pääsystä tekemään hakuja viisumitietojärjestelmästä (VIS) ja ehdotus puitepäätökseksi rikosrekisteritietojen vaihdon järjestämisestä ja sisällöstä jäsenvaltioiden välillä. Tässä suhteessa on syytä mainita myös komission 25.11.2005 antama tiedonanto eurooppalaisten tietokantojen tehokkuuden parantamisesta, yhteentoimivuuden lisäämisestä ja synergioista oikeus- ja sisäasioiden alalla.

12.

Kaikkien kyseisten aloitteiden vuoksi saatavuusperiaatetta koskevaa puitepäätösehdotusta ei pitäisi käsitellä yksinään vaan myös muut lainvalvontatietojen vaihtamista koskevat lähestymistavat olisi otettava huomioon. Tämä on tärkeää etenkin sen vuoksi, että neuvosto on nykyisin pyrkinyt priorisoimaan muita tietojenvaihtoa ja saatavuusperiaatetta koskevia lähestymistapoja kuin sitä yleistä lähestymistapaa, jota komissio on tässä ehdotuksessa ehdottanut. Neuvosto ei välttämättä edes keskustele ehdotuksesta nykyisessä muodossaan.

13.

Ehdotus liittyy lisäksi läheisesti henkilötietojen suojaamista koskevaan puitepäätösehdotukseen. Kyseisestä puitepäätösehdotuksesta annettu perusteellisempi lausunto onkin otettava huomioon tämän lausunnon yhteydessä.

14.

Henkilötietojen suojaamista koskevasta puitepäätösehdotuksesta antamassaan lausunnossa Euroopan tietosuojavaltuutettu korosti, että saatavuutta koskeva säädös edellyttää välttämättä riittävän tietosuojan olemassaoloa. Tietosuojavaltuutettu katsoo, että tällaista säädöstä ei pitäisi hyväksyä antamatta keskeisiä takeita tietosuojasta.

15.

Tietosuojavaltuutetun kanta on sama myös muiden sellaisten säädösten antamiseen, joilla helpotetaan lainvalvontatietojen toimittamista EU:n sisärajojen yli. Tietosuojavaltuutettu onkin tyytyväinen, että neuvosto ja Euroopan parlamentti ovat asettaneet ensisijaiseksi edellä mainitun puitepäätösehdotuksen henkilötietojen suojaamisesta.

16.

Saatavuusperiaate on itsessään hyvin yksinkertainen. Jäsenvaltion tiettyjen viranomaisten saatavilla olevat tiedot on toimitettava myös muiden jäsenvaltioiden vastaaville viranomaisille. Jäsenvaltioiden viranomaisten välisen tietojenvaihdon tulisi olla mahdollisimman nopeaa ja helppoa, ja tietoihin olisi mieluiten oltava suora pääsy verkossa.

17.

Ongelmat johtuvat saatavuusperiaatteen toteuttamisympäristöstä:

18.

Monimutkaisesta toimintaympäristöstä riippumatta on selvää, että periaate ei voi toimia itsestään. Tarvitaan lisätoimia sen varmistamiseksi, että tietoja voidaan tosiasiassa löytää ja niihin on pääsy. Joka tapauksessa kyseisillä toimilla on helpotettava lainvalvontaviranomaisten mahdollisuuksia saada selville, onko toisten jäsenvaltioiden lainvalvontaviranomaisten saatavilla asianmukaisia tietoja ja mistä kyseiset tiedot voidaan löytää. Tällaisia lisätoimia voisivat olla käyttöliittymät, jotka tarjoavat suoran pääsyn kaikkiin tai tiettyihin muiden jäsenvaltioiden hallussa oleviin tietoihin. Saatavuutta koskevassa puitepäätösehdotuksessa otetaan tämän vuoksi käyttöön keskushakemisto, jonka sisältämiin erityistietoihin on suora pääsy yli rajojen.

19.

Yleisesti ottaen saatavuusperiaatteen pitäisi helpottaa tiedonkulkua jäsenvaltioiden välillä. Sisärajojen poistamisen myötä jäsenvaltioiden on sallittava se, että niiden omien poliisiviranomaistensa saatavilla olevat tiedot tulevat enenevässä määrin myös muiden viranomaisten saataville. Jäsenvaltiot menettävät toimivaltansa valvoa tiedonsiirtoa eivätkä ne näin ollen voi myöskään enää luottaa siihen, että niiden kansallinen lainsäädäntö olisi riittävä väline kyseisten tietojen asianmukaista suojaamista varten.

20.

Tämän vuoksi ehdotuksessa on kiinnitettävä erityistä huomiota henkilötietojen suojaamiseen. Ensinnäkin muiden jäsenvaltioiden viranomaisille on toimitettava tietoja, jotka ovat yleensä luottamuksellisia ja hyvin suojattuja. Toiseksi järjestelmän toiminta edellyttää, että perustetaan keskushakemisto, jonka on oltava muiden jäsenvaltioiden viranomaisten saatavilla. Periaatteen toteuttamisen seurauksena syntyy siis enemmän tietoa kuin mitä tällä hetkellä on saatavilla.

21.

Ensimmäiseksi on tärkeää määritellä, millaisiin tietoihin saatavuusperiaatetta sovelletaan. Periaatteen soveltamisala määritellään yleisesti ehdotuksen 2 artiklassa yhdessä 1 artiklan 1 kohdan ja 3 artiklan a alakohdan kanssa. Periaatetta sovelletaan tietoihin, jotka

Nämä ovat komission ehdotuksen kolme tärkeintä periaatteen soveltamisen osa-aluetta. Soveltamisalaa tarkennetaan 2 artiklan 1 kohdassa, jossa saatavuusperiaatteen soveltamisala rajataan ennen syytteen vireillepanoa tapahtuvaan tiedon käsittelyyn, kun taas 2 artiklan 2, 3 ja 4 kohdassa säädetään tarkemmista rajoituksista.

22.

Ehdotuksen seurausten ymmärtäminen edellyttää edellä mainittujen kolmen osa-alueen tarkempaa analysointia. Ensimmäiset kaksi soveltamisalan osa-aluetta ovat sinänsä suhteellisen selkeitä. Ehdotuksen 2 artiklan 2 kohdassa määritellään ”saatavilla oleva tieto” ja todetaan, että puitepäätös ei sisällä velvoitetta kerätä ja säilyttää tietoa silloin kun ainoana tarkoituksena on asettaa tieto saataville. Liitteessä olevaa luetteloa taas ei voida tulkita monella eri tavalla. Kolmatta keskeistä osa-aluetta on selvennettävä sekä sinällään että yhdessä kahden ensimmäisen osa-alueen kanssa.

23.

Ehdotuksessa ei tarkenneta, ovatko ”saatavilla olevat tiedot” ainoastaan tietoja, jotka ovat jo toimivaltaisten viranomaisten valvonnassa vai myös tietoja, joita kyseisten viranomaisten olisi mahdollista saada. Tietosuojavaltuutettu katsoo kuitenkin, että ehdotuksessa voidaan tulkita tarkoitettavan molempia tietolajeja.

24.

Vaikka soveltamisala näyttäisi 2 artiklan 2 kohdan perusteella olevan suppeampi — puitepäätös ei sen mukaan ”sisällä velvoitetta kerätä ja säilyttää tietoa […] silloin kun ainoana tarkoituksena on asettaa tieto saataville” –, antaa 3 artiklan a alakohta kuitenkin mahdollisuuden laajempaankin tulkintaan: ’tiedolla’ tarkoitetaan ”liitteessä II lueteltuja olemassa olevia tietoja”.

25.

Liitteessä II mainitaan ainakin kaksi tietoryhmää, joita yleensä valvoo jokin muu taho kuin poliisi. Ensimmäinen tietoryhmä koskee ajoneuvorekisteritietoja. Monissa jäsenvaltioissa kyseisiä tietoja sisältävät tietokannat eivät ole lainvalvontaviranomaisten valvonnassa mutta kyseiset viranomaiset kyllä käyttävät niitä säännöllisesti. Olisiko tällaisten tietojen kuuluttava ”saatavilla oleviin tietoihin”, jotka 1 artiklan mukaisesti annetaan muiden jäsenvaltioiden vastaaville toimivaltaisille viranomaisille? Toinen liitteessä II lueteltu mainitsemisen arvoinen tietoryhmä on puhelinnumerot ja muut viestintätiedot: olisivatko kyseiset tiedot ”saatavilla olevia”, vaikka niitä valvovat yksityiset yritykset eivätkä toimivaltaiset viranomaiset?

26.

Lisäksi ehdotuksen muut säännökset, erityisesti 3 artiklan d alakohta ja 4 artiklan 1 kohdan c alakohta tukevat sitä näkemystä, että ”nimetyt viranomaiset” ja jopa ”nimetyt osapuolet” voivat valvoa ”toimivaltaisten viranomaisten” saatavilla olevia tietoja. Tämä perustuu ehdotuksen tekstiin, jonka mukaan jäsenvaltion 'toimivaltaisella viranomaisella' tarkoitetaan ”Euroopan unionista tehdyn sopimuksen 29 artiklan ensimmäisen luetelmakohdan soveltamisalaan kuuluvia viranomaisia”, kun taas mitkä tahansa kansalliset viranomaiset voivat olla ”nimettyjä viranomaisia”.

27.

Euroopan tietosuojavaltuutettu katsoo, että saatavuusperiaatteen soveltaminen tietoihin, jotka ovat nimettyjen viranomaisten ja nimettyjen osapuolten valvonnassa, herättää seuraavat kysymykset:

28.

Näinkin laajan periaatteen kuin saatavuusperiaate soveltaminen edellyttää selkeää ja tarkkaa määritelmää tiedoista, joiden katsotaan olevan saatavilla. Näin ollen tietosuojavaltuutettu suosittelee, että:

29.

Ehdotuksen 2 artiklan 1 kohdan mukaan puitepäätöstä sovelletaan ennen syytteen vireillepanoa tapahtuvaan tiedon käsittelyyn. Soveltamisala on siis suppeampi kuin henkilötietojen suojaamista koskevassa puitepäätöksessä, jota sovelletaan täysimääräisesti oikeudelliseen yhteistyöhön rikosasioissa.

30.

Tietosuojavaltuutettu katsoo kuitenkin, että tällainen rajaus ei itsessään tarkoita sitä, että ehdotusta sovellettaisiin vain poliisiyhteistyöhön. Soveltamisalaan voi kuulua myös oikeudellinen yhteistyö rikosasioissa, koska joidenkin jäsenvaltioiden oikeusviranomaisilla on myös rikostutkintaan liittyviä toimivaltuuksia ennen syytteen vireillepanoa. Kuitenkin se seikka, että ehdotus perustuu yksinomaan Euroopan unionista tehdyn sopimuksen 30 artiklan 1 kohdan b alakohtaan, näyttäisi viittaavaan siihen, että sitä sovelletaan vain poliisiyhteistyöhön. Tätä seikkaa olisi siis syytä tarkentaa.

31.

Tätä ehdotusta sovelletaan tietojen toimittamiseen Europolille, kun taas henkilötietojen suojaa koskevaan puitepäätösehdotuksen soveltamisalaan ei kuulu henkilötietojen käsittely Europolissa. Tietosuojavaltuutettu suosittaa rajaamaan Europolin kanssa käytävän tietojenvaihdon ainoastaan Europolin omiin tehtäviin, jotka mainitaan Europol-yleissopimuksen 2 artiklassa ja sen liitteessä. Lisäksi olisi otettava huomioon Europolin kanssa käytävää tietojenvaihtoa koskevat yksityiskohtaiset säännöt, jotka on jo vahvistettu useissa neuvoston säädöksissä.

32.

Ehdotuksen lähtökohtana on, ettei sen johdosta perusteta henkilötietoja sisältäviä uusia tietokantoja. Tässä suhteessa 2 artiklan 2 kohta on selkeä: ehdotus ei sisällä velvoitetta kerätä ja säilyttää tietoa, silloin kun ainoana tarkoituksena on asettaa tieto saataville. Tietosuojan kannalta tämä on tärkeä ja myönteinen piirre ehdotuksessa. Tietosuojavaltuutettu palauttaa tässä yhteydessä mieleen lausuntonsa ehdotuksesta Euroopan parlamentin ja neuvoston direktiiviksi sellaisten tietojen säilyttämisestä, joita käsitellään yleisten sähköisten viestintäpalvelujen yhteydessä (1), jossa korostettiin, että suuriin tietokantoihin johtavat oikeudelliset velvoitteet ovat erityisen vaarallisia rekisteröityjen kannalta muun muassa laittomaan käyttöön liittyvien vaarojen vuoksi.

33.

Mutta

34.

Ehdotuksessa säädetään suorasta ja epäsuorasta pääsystä tietoihin. Ehdotuksen 9 artiklassa säädetään suorasta pääsystä verkossa sellaiseen sähköisiin tietokantoihin sisältyvään tietoon, johon vastaavilla kansallisilla viranomaisilla on suora pääsy verkossa, kun taas 10 artiklassa säädetään epäsuorasta pääsystä. Muiden jäsenvaltioiden vastaavilla toimivaltaisilla viranomaisilla ja Europolilla on oltava suora pääsy verkossa sitä tietoa koskevaan keskushakemistoon, johon ei ole suoraa pääsyä. Jos viranomainen keskushakemistoa tutkiessaan saa hakuosuman, se voi esittää tietopyynnön ja lähettää sen nimetylle viranomaiselle saadakseen tiedon, johon keskushakemistossa viitataan.

35.

Suora pääsy ei johda uusien tietokantojen perustamiseen mutta se edellyttää muiden vastaavien toimivaltaisten järjestelmien tietokantojen yhteentoimivuutta jäsenvaltioiden välillä. Lisäksi se luo uusia tapoja käyttää jo olemassa olevia tietokantoja, koska väline, joka tähän mennessä on ollut vain kansallisten toimivaltaisten viranomaisten käytettävissä, tulee kaikkien jäsenvaltioiden toimivaltaisten viranomaisten ulottuville. Suora pääsy merkitsee ilman muuta yhä useampien pääsyä tietokantaan, minkä vuoksi siihen liittyy väärinkäytön vaara.

36.

Kun on kyse toisen jäsenvaltion toimivaltaisen viranomaisen suorasta pääsystä tietoihin, tiedot tallentaneen jäsenvaltion toimivaltaiset viranomaiset eivät voi valvoa tietoihin pääsyä ja niiden myöhempää käyttöä. Tämä ehdotuksen mukaisesta suorasta pääsystä johtuva seuraus on otettava asianmukaisesti huomioon, koska

37.

Epäsuora pääsy tietoihin keskushakemiston kautta osuma-/ei osumaa -periaatteella ei ole uusi ilmiö. Monet eurooppalaiset laajamittaiset tietojärjestelmät, kuten Schengenin tietojärjestelmä, toimivat samalla periaatteella. Keskushakemiston perustamisella on se etu, että sen ansiosta tiedot tallentaneella jäsenvaltiolla on mahdollisuus valvoa tietojenvaihtoa poliisitietokannoistaan. Jos viranomainen keskushakemistoa tutkiessaan saa hakuosuman, se voi esittää asianomaisesta rekisteröidystä tietopyynnön, jonka pyynnön saanut viranomainen voi arvioida asianmukaisesti.

38.

Asiaa on kuitenkin analysoitava perusteellisesti, koska keskushakemiston perustaminen aloilla, joilla sitä ei vielä tähän mennessä ole ollut olemassa, voi aiheuttaa rekisteröidylle uusia vaaroja. Tietosuojavaltuutettu korostaa, että vaikka keskushakemistossa ei olisikaan paljon tietoja rekisteröidystä, keskushakemistoon tehty haku saattaa tuottaa hyvin arkaluonteisen tuloksen. Haku saattaa paljastaa, että poliisin hallussa on kyseistä henkilöä koskevia rikostietoja.

39.

Näin ollen on erittäin tärkeää, että yhteisön lainsäätäjä vahvistaa asianmukaiset säännöt ainakin keskushakemiston perustamisesta, sen tiedostojen hallinnasta ja keskushakemistoon pääsyn asianmukaisesta organisoinnista. Tietosuojavaltuutettu katsoo, että ehdotus ei ole näiltä osin tyydyttävä, ja tekee tässä vaiheessa seuraavat huomautukset:

40.

Tietojenvaihto ei estä jäsenvaltioita vaatimasta oikeusviranomaisten antamaa ennakkolupaa tietojen toimittamiseksi niitä pyytäneelle viranomaiselle, jos tiedot ovat pyynnön saaneen valtion oikeusviranomaisten valvonnassa. Tämä on tärkeää siksi, että poliisiviranomaisten valtuuksia henkilötietojen vaihdossa koskevan kyselyn (2) mukaan kaikkien jäsenvaltioiden poliisiviranomaiset eivät pääse itsenäisesti kyseisiin tietoihin. Tietosuojavaltuutetun mukaan saatavuusperiaate ei saisi heikentää kansallisen lainsäädännön mukaista velvoitetta hankkia tietojen toimittamista koskeva ennakkolupa, tai ainakin olisi voitava laatia kaikissa jäsenvaltioissa sovellettavat erityissäännöt niistä tietoryhmistä, joiden osalta on hankittava ennakkolupa.

41.

Kyseistä velvoitetta olisi tulkittava yhdessä henkilötietojen suojaamista koskevan puitepäätösehdotuksen 11 artiklan 2 kohdan kanssa, jossa säädetään myös siitä, että tiedot toimittavalla jäsenvaltiolla on mahdollisuus vaikuttaa siihen, miten tietoja käytetään jäsenvaltiossa, johon ne on toimitettu. Tietosuojavaltuutettu toteaa, että kyseinen periaate on tärkeä, koska sillä varmistetaan, että saatavuusperiaatteella ei kierretä henkilötietojen myöhempää käyttöä koskevaa kansallista rajoittavaa lainsäädäntöä.

42.

Kyseiset osa-alueet edellyttävät korkeatasoista tietosuojaa. Erityistä huomiota olisi kiinnitettävä tietojen käyttötarkoituksen rajaamista ja edelleenkäsittelyä koskevien periaatteiden varmistamiseen sekä saatujen tietojen virheettömyyteen ja luotettavuuteen (katso tietosuojavaltuutetun lausunto henkilötietojen suojaamista koskevasta puitepäätöksestä, kohdat IV.2 ja IV.6).

43.

Ruotsin ehdotusta ei sovelleta vain tietynlaisiin tietoihin vaan se kattaa kaikki tiedot ja tiedustelutiedot, jopa sellaiset tiedot ja tiedustelutiedot, jotka ovat muiden kuin lainvalvontaviranomaisten hallussa. Ehdotuksella edistetään yhteistyötä siten, että siinä asetetaan määräajat tietopyyntöihin vastaamiseksi ja poistetaan yhden jäsenvaltion sisällä tehtävän tietojenvaihdon ja rajat ylittävän tietojenvaihdon välinen erottelu. Siinä ei säädetä lisätoimenpiteistä sen varmistamiseksi, että tietoihin tosiasiassa päästään. Tästä syystä on ymmärrettävää, että komissio ei ollut tyytyväinen Ruotsin ehdotukseen eikä pitänyt sitä asianmukaisena välineenä saatavuusperiaatteen toteuttamiseksi. (3)

44.

Ruotsin ehdotuksessa noudatetulla lähestymistavalla on tietosuojan kannalta seuraavat yleiset vaikutukset:

45.

Prümin yleissopimuksessa saatavuusperiaatteen täytäntöönpanoon sovelletaan toisenlaista lähestymistapaa. Siinä lähestymistapa on asteittainen, kun taas tässä puitepäätösehdotuksessa sovelletaan yleistä lähestymistapaa — siinä ei vahvisteta vain tietynlaisten tietojen vaihtoon sovellettavia erityisiä sääntöjä, vaan sääntöjä sovelletaan kaikenlaisten tietojen vaihtoon, kunhan tiedot on lueteltu liitteessä II (ks. tämän lausunnon 21–28 kohta).

46.

Tätä lähestymistapaa kutsutaan joskus ”tietokenttäkohtaiseksi lähestymistavaksi” (data field by data field approach). Sitä sovelletaan tiettyihin erityistietoihin (DNA-, sormenjälki- ja ajoneuvorekisteritiedot) ja se velvoittaa ottamaan huomioon tietojen erityisluonteen. Yleissopimuksessa velvoitetaan avaamaan ja ylläpitämään DNA-analyysitietokantoja rikostutkintaa varten. Vastaava velvoite koskee sormenjälkitietoja. Ajoneuvorekisteritietojen osalta on myönnetty suora pääsy muiden jäsenvaltioiden kansallisiin yhteyspisteisiin.

47.

Prümin yleissopimuksessa noudatetusta lähestymistavasta voidaan esittää kolme huomautusta.

48.

On sanomattakin selvää, että tietosuojavaltuutettu ei hyväksy sitä, että tämä yleissopimus tehtiin Euroopan unionin toimielinkehyksen ulkopuolella, minkä vuoksi komissiolla ei ollut merkittävää osaa sen valmistelussa. Lisäksi tämä tarkoittaa sitä, että Euroopan parlamentti ei voi harjoittaa demokraattista valvontaa eikä yhteisöjen tuomioistuin oikeudellista valvontaa. Näin ollen kaikkien (yleisten) etujen tasapuolisesta huomioon ottamisesta on olemassa vähemmän varmuutta. Asia liittyy myös tietosuojaan. Euroopan unionin toimielimillä ei toisin sanoen ole mahdollisuutta arvioida ennen järjestelmän perustamista, miten poliittiset valinnat vaikuttavat henkilötietojen suojaamiseen.

49.

On myös ilmeistä, että Prümin yleissopimus on joiltakin piirteiltään rekisteröidyn kannalta selvästi tunkeilevampi kuin saatavuutta koskeva puitepäätösehdotus. Yleissopimus johtaa välttämättä uusien tietokantojen perustamiseen, missä on sinänsä riskejä henkilötietojen suojaamisen kannalta. Olisi myös osoitettava, että kyseisten uusien tietokantojen perustamiseen on olemassa tarve samoin kuin se, että perustaminen on oikeasuhteista. Henkilötietojen riittävä suoja olisi myös taattava.

50.

Yleissopimuksessa noudatetaan edellä todetun mukaisesti tietokenttäkohtaista lähestymistapaa. Tietosuojavaltuutettu mainitsi aiemmin ne ongelmat ja epävarmuustekijät, jotka liittyvät saatavuusperiaatteen toteuttamisympäristöön. Näissä olosuhteissa tietosuojavaltuutettu katsoo, että olisi parempi olla perustamatta monia eri tietoja sisältävää järjestelmää vaan aloittaa varovaisemmin ja perustaa vain yhdenlaista tietoa sisältävä järjestelmä ja tämän jälkeen seurata, missä määrin saatavuusperiaate voi todella tukea lainvalvontaa, sekä henkilötietojen suojaamiseen liittyviä erityisiä vaaroja. Saatujen kokemusten perusteella järjestelmää voitaisiin mahdollisesti laajentaa muunlaisiin tietoihin ja/tai muuttaa sen tehostamiseksi.

51.

Tietokenttäkohtainen lähestymistapa täyttäisi myös paremmin suhteellisuusperiaatteen vaatimukset. Tietosuojavaltuutettu katsoo, että tarve parantaa rajat ylittävää tietojenvaihtoa lainvalvontatarkoituksia varten saattaisi olla peruste hyväksyä oikeudellinen väline EU:n tasolla mutta oikeasuhteisuus edellyttää, että väline soveltuu asetetun tavoitteen saavuttamiseen. Tätä taas voidaan arvioida asianmukaisesti vasta sen jälkeen, kun asiassa on saatu käytännön kokemuksia. Välineen ei myöskään pitäisi aiheuttaa suhteetonta vahinkoa rekisteröidylle. Vain ehdottoman välttämättömiä tietoja olisi vaihdettava, nimettömän tiedonvaihdon olisi oltava mahdollista ja tiedonvaihdossa olisi noudatettava tiukkoja tietosuojavaatimuksia.

52.

Lisäksi tietosuojavaltuutetun ehdottamaan varovaisempaan lähestymistapaan voisi mahdollisesti tietokenttäkohtaisen lähestymistavan lisäksi kuulua se, että saatavuusperiaatteen soveltaminen aloitetaan käyttämällä vain epäsuoraa pääsyä keskushakemiston kautta. Tietosuojavaltuutettu katsoo, että tätä kysymystä voitaisiin harkita lainsäädäntöprosessin jatkuessa.

53.

Liitteessä II luetellaan tietoryhmät, jotka voidaan saada puitepäätösehdotuksen nojalla. Kaikki kuusi lueteltua tietoryhmää ovat useimmissa tilanteissa henkilötietoja, koska ne liittyvät jollain tavalla joko tunnistettuun tai tunnistettavissa olevaan henkilöön.

54.

Ehdotuksen 3 artiklan g alakohdan mukaan keskushakemistolla tarkoitetaan tietohakemistoa, jonka tarkoituksena on yksilöidä selvästi sen sisältämä tieto ja jossa voidaan suorittaa hakuja erityisen hakutoiminnon avulla sen selvittämiseksi, onko tieto saatavilla. Asiakirjassa ”Saatavuusperiaatteen toteuttamista koskeva lähestymistapa” (4) katsotaan, että keskushakemisto voisi sisältää seuraavat tiedot

Keskushakemisto voisi sisältää myös DNA-profiileja. Kyseinen luettelo keskushakemiston sisältämistä tiedoista paljastaa, että keskushakemisto saattaa sisältää henkilötietoja ja edellyttää siten riittävän suojan.

55.

Tietosuojavaltuutettu haluaa puuttua erityisesti DNA-profiileja koskevaan kysymykseen. DNA-analyysi on osoittautunut erittäin hyödylliseksi rikosten tutkinnassa, ja DNA-tietojen tehokas vaihto saattaa olla ensiarvoisen tärkeää rikostorjunnassa. DNA-tietojen käsite on kuitenkin määriteltävä selkeästi ja kyseisten tietojen ominaispiirteet otettava asianmukaisesti huomioon. Tietosuojan kannalta katsoen DNA-näytteiden ja DNA-profiilien välillä on nimittäin suuri ero.

56.

(Lainvalvontaviranomaisten usein keräämiä ja tallentamia) DNA-näytteitä olisi pidettävä erityisen arkaluonteisina, koska ne todennäköisemmin sisältävät koko ”DNA-kuvan”. Niistä voi saada henkilön geneettisiä ominaisuuksia ja terveydentilaa koskevaa tietoa, joka saattaa olla tarpeen aivan erilaisissa tilanteissa, kuten annettaessa lääketieteellisiä neuvoja yksittäisille henkilöille tai nuorille pareille.

57.

DNA-profiilit sitä vastoin sisältävät joitakin DNA-näytteestä poimittuja DNA-tietojen osia, joita voidaan käyttää henkilöllisyyden tunnistamisessa mutta jotka eivät periaatteessa paljasta henkilön geneettisiä ominaisuuksia. Alan tieteellinen edistys voi kuitenkin lisätä DNA-profiileista saatavan tiedon määrää: tiettynä ajankohtana ”viattomana” pidetty DNA-profiili voi myöhemmin paljastaa paljon odotettua ja tarvittua enemmän tietoa ja erityisesti henkilön geneettisiä ominaisuuksia koskevia tietoja. DNA-profiileista saatavia tietoja olisikin näin ollen pidettävä dynaamisina.

58.

Tässä suhteessa tietosuojavaltuutettu panee merkille, että sekä Prümin yleissopimuksella että komission ehdotuksella edistetään DNA-tietojen vaihtoa lainvalvontaviranomaisten välillä mutta siinä, miten vaihtoa edistetään, on suuria eroja.

59.

Tietosuojavaltuutettu on tyytyväinen siihen, että komission ehdotuksessa ei aseteta velvoitetta kerätä DNA-tietoja ja että siinä DNA-tietojen vaihto rajataan tarkasti DNA-profiilien vaihtoon. Liitteessä II DNA-profiilit määritellään jäsenvaltioiden rikostutkinnassa tehdyissä DNA-analyyseissä käytettyjen DNA-markkereiden alustavan yhteisen luettelon avulla. Tämä luettelo, joka perustuu DNA-analyysitulosten vaihdosta 25 päivänä kesäkuuta 2001 annetun neuvoston päätöslauselman (5) liitteessä I määriteltyyn eurooppalaiseen standardijoukkoon (ESS) kuuluvaan seitsemään DNA-markkeriin, takaa, että DNA-profiilit eivät niiden tekoajankohtana sisällä tietoja erityisistä perinnöllisistä ominaisuuksista

60.

Tietosuojavaltuutettu korostaa, että kyseinen neuvoston päätöslauselma vahvistaa joitakin hyvin tärkeitä suojatoimia, jotka liittyvät erityisesti DNA-profiilien dynaamiseen luonteeseen. Päätöslauselman III osassa, jossa paitsi ensin rajoitetaan DNA-analyysin tulosten vaihto ”niihin kromosomialueisiin, […] joiden ei tiedetä sisältävän tietoja erityisistä perinnöllisistä ominaisuuksista”, myös suositellaan jäsenvaltioille, etteivät ne enää käyttäisi sellaisia DNA-markkereita, joiden voidaan alan tutkimuksen kehittyessä todeta sisältävän tietoja erityisistä perinnöllisistä ominaisuuksista.

61.

Prümin yleissopimuksen lähestymistapa on toisenlainen. Siinä sopimuspuolet velvoitetaan avaamaan ja ylläpitämään DNA-analyysitiedostoja rikosten tutkintaa varten. Se tarkoittaa siis uusien DNA-tietokantojen perustamista ja DNA-tietojen keräämistä entistä laajemmin. On myös epäselvää, millaisia tietoja DNA-analyysitiedostoihin tallennetaan. Yleissopimuksessa ei myöskään oteta huomioon DNA-profiilien dynaamista kehitystä.

62.

Tietosuojavaltuutettu huomauttaa, että DNA-tietojen vaihtoa koskevissa säädöksissä olisi:

63.

Tässä suhteessa Euroopan tietosuojavaltuutettu vahvistaa ja liittää mukaan huomautukset, jotka hän antoi jo henkilötietojen suojaamista koskevasta puitepäätöksestä antamassaan lausunnossa (kohta 80). Kyseisessä lausunnossa tietosuojavaltuutettu huomauttaa DNA-tietojen osalta, että olisi säädettävä erityisistä suojatoimista, joilla varmistetaan, että saatavilla olevaa tietoa saadaan käyttää vain yksilöiden tunnistamiseksi rikosten ehkäisemistä, havaitsemista ja tutkintaa varten. DNA-profiilien virheettömyyden aste otetaan huolellisesti huomioon ja rekisteröity voi asettaa virheettömyyden kyseenalaiseksi helposti saatavilla olevin keinoin. On myös varmistettava aukottomasti, että yksilön ihmisarvoa kunnioitetaan (6).

64.

Edellä esitettyjen huomioiden perusteella voidaan tehdä se johtopäätös, että DNA-tiedostojen perustamista ja kyseisten tiedostojen sisältämien tietojen vaihtoa koskevaa lainsäädäntöä olisi annettava vasta sen jälkeen, kun on tehty vaikutusarviointi, jossa edut ja vaarat on voitu arvioida asianmukaisesti. Tietosuojavaltuutettu suosittelee, että kyseisessä lainsäädännössä velvoitettaisiin arvioimaan lainsäädäntöä säännöllisesti sen voimaantulon jälkeen.

65.

Lopuksi mainittakoon, että liite II sisältää muita tietoryhmiä, joita voidaan vaihtaa. Niihin kuuluu yksityisiltä tahoilta peräisin olevia tietoja, koska puhelinnumerot ja muut viestintätiedot sekä teleliikennetiedot ovat yleensä teleoperaattoreiden hallussa. Perusteluissa vahvistetaan, että jäsenvaltiot velvoitetaan varmistamaan, että lainvalvontaan liittyvät tiedot, joita tähän tehtävään nimetyt viranomaiset tai yksityiset tahot valvovat, annetaan muiden jäsenvaltioiden vastaaville toimivaltaisille viranomaisille ja Europolille. Koska ehdotusta sovelletaan yksityisiltä tahoilta peräisin oleviin henkilötietoihin, asiaan sovellettavan lainsäädännön olisi tietosuojavaltuutetun mielestä sisällettävä rekisteröidyn suojaamiseksi muita suojatoimia, jotta varmistetaan tietojen virheettömyys.

66.

Neuvoston puitepäätösehdotuksessa ei nimenomaisesti vahvisteta henkilötietojen suojaa koskevia sääntöjä, kun taas muissa välineissä, kuten Prümin yleissopimuksessa tai Ruotsin ehdotuksessa, on joitakin henkilötietojen suojaa koskevia erityisiä säännöksiä. Se, ettei saatavuutta koskevassa ehdotuksessa ole henkilötietojen suojaa koskevia erityisiä sääntöjä, on hyväksyttävissä ainoastaan, jos tietosuojaa koskevaan kolmannen pilarin puitepäätösehdotukseen sisältyviä yleisiä sääntöjä sovelletaan täysimääräisesti ja jos ne tarjoavat riittävän suojan. Lisäksi tietyissä välineissä, kuten Ruotsin ehdotuksessa ja Prümin yleissopimuksessa, vahvistetut henkilötietojen suojaa koskevat säännöt eivät saisi alentaa yleisessä lainsäädännössä varmistetun suojan tasoa. Tietosuojavaltuutettu suosittelee, että lisättäisiin erityinen lauseke tietosuojaa koskevien erilaisten sääntöjen välisistä mahdollisista ristiriitaisuuksista.

67.

Tässä vaiheessa tietosuojavaltuutettu palauttaa mieleen henkilötietojen suojaamista koskevasta puitepäätöksestä antamansa lausunnon ja korostaa jälleen kerran, että lainvalvontayhteistyön kannalta on tärkeää, että on olemassa kaikenlaiseen tietojen käsittelyyn sovellettavia johdonmukaisia ja kattavia tietosuojasääntöjä. Tietosuojavaltuutettu toistaa kyseisessä lausunnossa mainitut muut kohdat. Tässä kohdassa korostetaan seuraavia tietosuojaa koskevia kysymyksiä:

68.

Tietosuojavaltuutettu käyttää tilaisuutta hyväkseen ja esittää tässä lausunnossa joitakin yleisiä ja perustavanlaatuisempia näkemyksiä lainvalvontatietojen vaihdosta ja asian sääntelemistä koskevista lähestymistavoista. Tietosuojavaltuutettua voidaan kuulla myöhemminkin tätä ehdotusta ja muita asiaan liittyviä ehdotuksia koskevan lainsäädäntöprosessin edistyessä.

69.

Tietosuojavaltuutetun mukaan saatavuusperiaate olisi pantava täytäntöön oikeudellisesti sitovassa välineessä noudattaen varovaisempaa ja asteittaisempaa lähestymistapaa, joka koskisi vain yhdenlaisia tietoja ja jossa seurattaisiin, missä määrin saatavuusperiaate voi todella tukea lainvalvontaa ja mitä erityisiä vaaroja henkilötietojen suojaamiselle aiheutuu. Tähän varovaisempaan lähestymistapaan voisi kuulua se, että saatavuusperiaatteen soveltaminen aloitetaan asettamalla tiedot saataville ainoastaan epäsuorasti keskushakemiston kautta. Saatujen kokemusten perusteella järjestelmää voitaisiin laajentaa muunlaisiin tietoihin ja/tai muuttaa sen tehostamiseksi.

70.

Saatavuusperiaatteen täytäntöönpanoa koskevia säädöksiä ei pitäisi antaa ennen sellaisten tietosuojaa koskevien keskeisten suojatoimien hyväksymistä, jotka sisältyvät henkilötietojen suojaamista koskevaan puitepäätösehdotukseen.

71.

Euroopan tietosuojavaltuutettu suosittaa selventämään saatavuusperiaatteen soveltamisalaa seuraavasti:

72.

Euroopan tietosuojavaltuutettu tekee seuraavat huomautukset toisen jäsenvaltion toimivaltaisen viranomaisen suorasta pääsystä tietokantoihin:

73.

Puitepäätöksen olisi oltava tarkempi keskushakemiston perustamisen osalta. Erityisesti:

74.

Tietosuojavaltuutettu huomauttaa DNA-tietojen vaihdon osalta, että ehdotuksessa olisi

75.

Euroopan tietosuojavaltuutettu neuvoo rajaamaan tietojenvaihdon Europolin kanssa ainoastaan Europolin tehtäviin, jotka mainitaan Europol-yleissopimuksen 2 artiklassa ja sen liitteissä.