23.6.2007   

FI

Euroopan unionin virallinen lehti

C 139/1

1.

Euroopan tietosuojavaltuutettu antoi kaksi lausuntoa (3), 19.12.2005 ja 29.11.2006, komission ehdotuksesta neuvoston puitepäätökseksi rikosasioissa tehtävässä poliisi- ja oikeudellisessa yhteistyössä käsiteltävien henkilötietojen suojaamisesta Näissä lausunnoissa hän korosti ehdotuksen merkitystä tehokkaana henkilötietojen suojaamista koskevana välineenä Euroopan unionista tehdyn sopimuksen VI osaston kattamalla alueella. Erityisesti toisessa lausunnossaan Euroopan tietosuojavaltuutettu ilmaisi huolestuneisuutensa siitä, että neuvottelujen kehitys oli johtamassa sellaiseen henkilötietojen suojan tasoon, joka ei täytä direktiivissä 95/46/EY säädettyjä vaatimuksia ja joka olisi lisäksi yhteensopimaton yleisluonteisemmin muotoillun Euroopan neuvoston yleissopimuksen 108 (4)kanssa.

2.

Puheenjohtajavaltio Saksa esitteli tammikuussa 2007 joukon suuntaviivoja ehdotuksen muuttamiseksi, jotta voimassa olevat varaumat voitaisiin poistaa ja tietosuojaa parantaa kolmannen pilarin alalla (5). Tarkistettu ehdotus (6) toimitettiin Euroopan parlamentille uutta kuulemista varten 13.4.2007.

3.

Tarkistettuun ehdotukseen sisältyvien huomattavien muutosten sekä ehdotuksen tärkeyden takia tarvitaan uusi lausunto Euroopan tietosuojavaltuutetulta. Tässä lausunnossa keskitytään Euroopan tietosuojavaltuutetun tärkeimpiin huolenaiheisiin eikä siinä toisteta kaikkia edellisten lausuntojen kohtia, sillä ne pätevät myös kyseiseen tarkistettuun ehdotukseen.

4.

Euroopan tietosuojavaltuutettu on tyytyväinen puheenjohtajavaltion Saksan pyrkimyksiin vauhdittaa tästä neuvoston puitepäätöksestä käytäviä neuvotteluja. On yleisessä tiedossa, että neuvottelut juuttuivat paikalleen neuvostossa, koska jäsenvaltioilla oli perustavia mielipide-eroja keskeisistä kysymyksistä. Sen vuoksi puheenjohtajavaltio toimi viisaasti esittäessään uuden tekstin neuvottelujen käynnistämiseksi uudelleen.

5.

Se, että puheenjohtajavaltio Saksa antoi uutta pontta neuvotteluille, on jo sinänsä positiivista. Uusimman tekstin perusteellisen tarkastelun jälkeen Euroopan tietosuojavaltuutettu on kuitenkin pettynyt sen sisältöön. Puheenjohtajavaltion Saksan esittämä teksti ei täytä odotuksia. Syitä siihen ovat seuraavat:

6.

Euroopan tietosuojavaltuutettu on hyvin perillä siitä, että yksimielisyyden saavuttaminen neuvostossa on vaikeaa. Päätöksentekoprosessi ei kuitenkaan voi oikeuttaa soveltamaan pienimpää yhteistä nimittäjää, sillä se haittaisi EU:n kansalaisten perusoikeuksia ja lainvalvonnan tehokkuutta. Tässä yhteydessä olisi suotavaa, että tietosuoja-alan asiantuntemus otettaisiin täysin huomioon ja Euroopan parlamentin päätöslauselmissaan (9) antamat suositukset sisällytettäisiin ehdotukseen asianmukaisesti.

7.

Kolmanteen pilariin kuuluva puitepäätös henkilötietojen suojasta on keskeinen tekijä vapauden, turvallisuuden ja oikeuden alueen kehittämisessä. Rikosasioissa tehtävän poliisi- ja oikeudellisen yhteistyön merkityksen lisääntyminen sekä Haagin ohjelmaan (10) perustuvat toimet ovat korostaneet henkilötietojen suojaa koskevien yhteisten vaatimusten tarpeellisuutta kolmannen pilarin alalla.

8.

Nykyiset eurooppalaiset välineet eivät valitettavasti ole riittäviä, kuten Euroopan tietosuojavaltuutettu ja muut asiaankuuluvat toimijat (11) ovat toistuvasti vahvistaneet. Euroopan neuvoston yleissopimuksessa 108, joka on jäsenvaltioita sitova, vahvistetaan tietosuojan yleiset perusperiaatteet, mutta vaikka sitä on tulkittava Euroopan ihmisoikeustuomioistuimen oikeuskäytännön valossa, se ei tarjoa tarvittavaa täsmällisyyttä, kuten Euroopan tietosuojavaltuutettu on useissa tilaisuuksissa jo aikaisemmin todennut (12). Direktiivi 95/46, johon sisältyvät ja jossa täsmennettiin yleissopimuksen 108 periaatteet sisämarkkinoiden osalta, annettiin jo vuonna 1995. Tätä direktiiviä ei sovelleta toimiin, jotka kuuluvat kolmannen pilarin soveltamisalaan. Poliisi- ja oikeudellisen yhteistyön alan toimia varten kaikki jäsenvaltiot ovat hyväksyneet suosituksen N:o R (87) 15 (13), jossa yleissopimusta 108 täsmennetään tietyssä määrin poliisialan osalta, mutta tämä ei ole sitova oikeudellinen väline.

9.

Tässä yhteydessä Euroopan unionista tehdyn sopimuksen 30 artiklan 1 kohdan b alakohdassa edellytetään, että poliisiyhteistyön yhteisissä toiminnoissa, joihin liittyy lainvalvontaviranomaisten suorittama tietojen käsittely, olisi otettava huomioon ”henkilötietojen suojaa koskevat asianomaiset säännökset”. Tällaisia asianomaisia säännöksiä ei ole olemassa sisällöltään tyydyttävän neuvoston puitepäätöksen puuttuessa.

10.

Asia voidaan rinnastaa sisämarkkinoiden kehitykseen. Siinä yhteydessä katsottiin, että henkilötietojen korkeatasoinen suoja kaikkialla yhteisössä on keskeinen tekijä tavaroiden, palvelujen, pääomien ja henkilöiden vapaan liikkuvuuden esteiden poistamisessa, ja tämä johti direktiivin 95/46/EY hyväksymiseen. Vastaavasti vapauden, turvallisuuden ja oikeuden alue, jolla tiedot liikkuvat vapaasti lainvalvontaa sekä kansallisella että EU:n tasolla käsittelevien viranomaisten välillä, edellyttää henkilötietojen korkeatasoista ja yhdenmukaista suojaa kaikissa jäsenvaltioissa.

11.

Nämä näkökohdat ovat ristiriidassa nykyisen tilanteen kanssa, jossa tällaista yleistä kehystä ei ole ja jossa säännökset henkilötietojen suojasta kolmannen pilarin alalla ovat alakohtaisia ja hajautettu useisiin eri säädöksiin (14). Eräät viimeaikaiset ehdotukset (15) vahvistavat ja lisäävät alalla jo vallitsevaa tietosuojasäännösten hajanaisuutta ja vaarantavat niiden johdonmukaisuuden. Lisäksi yleisen kehyksen puuttuminen vaikeuttaa useiden poliisi- ja oikeudellisen yhteistyön alan ehdotusten nopeaa hyväksymistä.

12.

Sen vuoksi Euroopan tietosuojavaltuutettu on edellisissä lausunnoissaan tukenut vahvasti komission ehdotusta ja esittänyt asianmukaisia suosituksia sen parantamiseksi, sillä sitä tarvitaan kansalaisten suojan tarkoituksenmukaisen tason varmistamiseksi. Euroopan tietosuojavaltuutettu on jatkuvasti ollut sitä mieltä, että tietosuojan yleisessä kehyksessä kolmannen pilarin alalla on varmistettava korkeatasoiset ja johdonmukaiset tietosuojavaatimukset yleissopimuksen 108 ja direktiivin 95/46 tietosuojaperiaatteiden pohjalta ottaen myös tarvittaessa huomioon lainvalvontatoimien erityispiirteet.

13.

Tämän yleisen kehyksen olisi oltava yhdenmukainen ensimmäisen pilarin tietosuojaperiaatteiden kanssa. Tämä on erityisen tärkeää tilanteessa, jossa yksityisen sektorin lisääntyvä osuus lainvalvonnassa johtaa siihen, että henkilötiedot siirretään ensimmäisen pilarin alalta kolmannen pilarin alalle (kuten PNR-tietoja koskevassa asiassa) tai kolmannen pilarin alalta ensimmäisen pilarin alalle. Asiaa koskevia esimerkkejä on helppo osoittaa: lentokieltoluetteloiden käyttö — luettelot sisältävät henkilöt, joita ei tulisi päästää lentokoneisiin, ja ne on laadittu lentoyhtiöiden lainvalvontatarkoituksiin ensimmäisen pilarin alalla (kaupalliset tarkoitukset sekä lentoturvallisuus) — sekä yhteisen viisumipolitiikan välineeksi laadittu ehdotus lainvalvontaviranomaisten pääsystä viisumitietokantaan (16). Sen vuoksi Euroopan tietosuojavaltuutettu korostaa, että ensimmäisen pilarin tietosuojaperiaatteita on voitava soveltaa myös kolmannessa pilarissa. Lainvalvontatoimien erityispiirteet voivat kuitenkin edellyttää täydentäviä tai poikkeuksellisia säännöksiä (17).

14.

Asianmukaiset, johdonmukaiset ja laajasti sovellettavat tietosuojatoimet kolmannen pilarin alalla ovat keskeisiä sekä henkilöiden tietosuojaa koskevan perusoikeuden takaamiseksi että vapauden, turvallisuuden ja oikeuden alueella tehtävän lainvalvontayhteistyön tehostamiseksi.

15.

Edellä esitetyn perusteella tässä lausunnossa arvioidaan, missä määrin käsiteltävänä olevassa tarkistetussa ehdotuksessa on asianmukaisia henkilötietojen suojaa koskevia säännöksiä Euroopan unionista tehdyn sopimuksen 30 artiklan 1 kohdan b alakohdan mukaisesti. Arvioinnissaan Euroopan tietosuojavaltuutettu viittaa eräisiin niistä suosituksista, joita hän on esittänyt aikaisemmissa lausunnoissaan. Lausunnossa arvioidaan myös, noudattaako tarkistettu ehdotus Euroopan neuvoston yleissopimukseen 108 ja Euroopan ihmisoikeustuomioistuimen oikeuskäytäntöön perustuvia jäsenvaltioiden kansainvälisiä velvoitteita sekä henkilötietojen käytöstä poliisialalla annetussa suosituksessa N:o R (87) 15 esitettyjä periaatteita. Lisäksi Euroopan tietosuojavaltuutettu tarkastelee, missä määrin ehdotuksen säännökset vaikuttaisivat poliisi- ja oikeudellisen yhteistyön tehokkuuteen.

16.

Ehdotukseen sisältyy nyt johdanto-osan kappale, jonka mukaan jäsenvaltiot soveltavat puitepäätöksen sääntöjä valtion sisäiseen tietojenkäsittelyyn, jotta edellytykset tietojen siirtämiselle voivat täyttyä jo tietoja kerättäessä (johdanto-osan 6 a kappale). Tässä johdanto-osan kappaleessa pyritään ottamaan huomioon huolet, joita ovat ilmaisseet sekä Euroopan tietosuojavaltuutettu edellisissä lausunnoissaan että myös monet muut sidosryhmät. Euroopan parlamentti, tietosuojaviranomaisten konferenssi ja jopa yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä tehdyn Euroopan neuvoston yleissopimuksen neuvoa-antava komitea, joka koostuu Euroopan hallitusten edustajista tietosuojan alalla, ovat kaikki tehneet useissa yhteyksissä selväksi, että puitepäätöksen sovellettavuus henkilötietojen kansalliseen käsittelyyn on keskeinen edellytys sekä henkilötietojen riittävän suojan varmistamiselle että myös lainvalvontaviranomaisten välisen tehokkaan yhteistyön mahdollistamiselle. (18)

17.

Johdanto-osan kappale ei kuitenkaan sinällään voi velvoittaa sellaiseen, mistä artiklaosassa ei ole nimenomaisesti säädetty. Valitettavasti 1 artiklassa (Tarkoitus ja soveltamisala) ehdotuksen sovellettavuus rajataan koskemaan nimenomaan jäsenvaltioiden tai EU:n elinten välillä vaihdettavia tietoja, kun varmistetaan, että ”perusoikeudet ja perusvapaudet ja erityisesti asianomaisen henkilön yksityisyys suojataan laajasti, kun henkilötietoja vaihdetaan […]”.

18.

Näin ollen ehdotuksessa nykyisessä muodossaan jätetään jäsenvaltioille täysi harkintavalta yhdenmukaisten tietosuojaperiaatteiden soveltamisessa henkilötietojen kansalliseen käsittelyyn, eikä siinä velvoiteta jäsenvaltioita panemaan täytäntöön samoja yhteisiä tietosuojavaatimuksia. Tämä siis poliisi- ja oikeudellisen yhteistyön alueella, jossa sisärajat on poistettava. Edellä todetun valossa Euroopan tietosuojavaltuutettu korostaa jälleen, että mahdollisuus tietosuojan tasoeroihin eri jäsenvaltioissa kolmannen pilarin alalla olisi

19.

Euroopan tietosuojavaltuutettu kehottaa painokkaasti lainsäätäjää laajentamaan sovellettavuuden alaa velvoittamalla jäsenvaltiot — eikä vain kehottamalla niitä — soveltamaan puitepäätöstä henkilötietojen kansalliseen käsittelyyn. Sitä paitsi ei ole olemassa pakottavia oikeudellisia perusteita, jotka tukisivat näkemystä, että Euroopan unionista tehdyn sopimuksen 34 artiklan perusteella ei sallittaisi soveltamista kansallisiin tietoihin.

20.

Käyttötarkoitusten rajoittamisen periaate on yksi tietosuojan perusperiaatteita. Yleissopimuksen 108 mukaan henkilötietojen on oltava ”määriteltyihin ja laillisiin tarkoituksiin talletettuja eikä niitä saa käyttää tavalla, joka on ristiriidassa mainittujen tarkoitusten kanssa” (5 artiklan b alakohta). Poikkeukset tästä periaatteesta sallitaan vain, jos niistä on säädetty laissa ja jos ne ovat välttämättömiä demokraattisessa yhteiskunnassa muun muassa ”rikosten ehkäisemiseksi” (9 artikla). Euroopan ihmisoikeustuomioistuimen oikeuskäytäntö osoittaa, että kyseisten poikkeusten on oltava oikeasuhteisia, täsmällisiä ja ennakoitavia, Euroopan ihmisoikeussopimuksen 8 artiklan 2 kohdan mukaisesti (20).

21.

Nyt käsiteltävässä ehdotuksessa käyttötarkoituksen rajoittamista koskevat säännökset on annettu 3 ja 12 artiklassa. 3 artiklassa sallitaan tietojen käsittely edelleen tarkoituksiin, jotka ovat sen tarkoituksen mukaisia, johon tiedot kerättiin. Artikla siis tässä suhteessa tietosuojan perusperiaatteiden mukainen.

22.

3 artikla on kuitenkin aivan liian laaja, eikä se sisällä asianmukaista käyttötarkoitusten rajoittamista tallentamisen osalta, kuten myös mainitun yleissopimuksen 108 5 artiklan b kohdassa edellytetään. Yleistä viittausta Euroopan unionista tehdyn sopimuksen VI osaston mukaisiin käyttötarkoituksiin ei voida pitää viittauksena määriteltyihin ja laillisiin tarkoituksiin. Poliisi- ja oikeudellisen yhteistyön käyttötarkoitus ei ole luonnostaan laillinen (21) eikä varsinkaan määritelty.

23.

Ehdotuksen 3 artiklaan ei sisälly mitään poikkeusta, joka olisi mahdollinen yleissopimuksessa 108 olevan 9 artiklan mukaisesti. Ehdotuksen 12 artiklassa esitetään kuitenkin erittäin laaja ja ei selkeästi määritelty sarja poikkeuksia käyttötarkoituksen rajoittamisen periaatteeseen toisen jäsenvaltion siirtämien tai saataville saattamien henkilötietojen osalta. Artiklassa ei muun muassa säädetä nimenomaisesti siitä, että poikkeusten on oltava tarpeellisia. Toiseksi ei ole selvää, mitkä ovat ”muut […] hallinnolliset menettelyt” joiden osalta 12 artiklan 1 kohdan b alakohdassa sallitaan eri tarkoitukseen kerättyjen ja siirrettyjen henkilötietojen käsittely. Lisäksi 12 artiklan 1 kohdan d alakohdassa sallitaan käsittely ”muussa tarkoituksessa” ainoastaan sillä edellytyksellä, että henkilötiedot siirtänyt toimivaltainen viranomainen antaa suostumuksensa. Tässä yhteydessä on syytä panna merkille, että tiedot siirtävän viranomaisen suostumuksen ei voida missään olosuhteissa katsoa korvaavan asianomaisen henkilön suostumusta tai muodostavan oikeusperustaa poiketa käyttötarkoituksen rajoittamisen periaatteesta. Näin ollen Euroopan tietosuojavaltuutettu haluaa korostaa, että tämä laaja ja avoin poikkeus ei täytä riittävän tietosuojan perusvaatimuksia ja on jopa ristiriidassa yleissopimuksen 108 perusperiaatteiden kanssa. Siksi Euroopan tietosuojavaltuutettu suosittaa, että lainsäätäjä laatisi asiaankuuluvat säännökset uudelleen.

24.

Viimeinen huomautus koskee 12 artiklan 2 kohtaa, jossa sallitaan mahdollisuus, että kolmanteen pilariin kuuluvat neuvoston päätökset ovat ensisijaisia 1 kohdan säännöksiin nähden tapauksissa, joissa säädetään henkilötietojen käsittelyä koskevista asianmukaisista ehdoista. Euroopan tietosuojavaltuutettu toteaa, että tämän kohdan muotoilu on hyvin yleinen eikä tee oikeutta neuvoston puitepäätöksen luonteelle poliisi- ja oikeudellisen yhteistyön yleissääntönä (lex generalis). Tätä yleissääntöä olisi sovellettava kaikkeen henkilötietojen käsittelyyn tällä alalla.

25.

Euroopan tietosuojavaltuutettu uskoo, että henkilötietojen edelleenkäsittelyä koskevat tämänhetkiset säännökset rikkovat käyttötarkoituksen rajoittamisen perusperiaatetta eivätkä täytä edes yleissopimuksessa 108 määrättyä nykyistä standardia. Näin ollen Euroopan tietosuojavaltuutettu suosittaa, että lainsäätäjä laatisi asiaankuuluvat säännökset uudelleen ottaen huomioon olemassa olevat kansainväliset tietosuojasäännöt ja asiaankuuluvan tapausoikeuden.

26.

Yleissopimuksessa 108 käsitellään myös siirtoja kolmansiin maihin. Valvontaviranomaisia ja tietojen siirtoja eri maiden välillä koskevassa lisäpöytäkirjassa säädetään perusperiaatteesta — tietyin poikkeuksin, että henkilötietojen siirtäminen kolmannelle osapuolelle on sallittua ainoastaan, jos kyseinen osapuoli ”varmistaa aiotun tietojen siirron suojaamisen riittävän tason”. ”Riittävän suojan” periaate on pantu täytäntöön ja määritetty useissa Euroopan unionin oikeudellisissa välineissä, ei ainoastaan tietosuojaa koskevissa ensimmäisen pilarin välineissä, kuten direktiivissä 95/46/EY (22), vaan myös kolmanteen pilariin kuuluvissa oikeudellisissa välineissä, kuten Europolin ja Eurojustin perustavissa oikeudellisissa välineissä.

27.

Käsiteltävän ehdotuksen johdanto-osan 12 kappaleessa todetaan, että ”kolmansiin maihin tai kansainvälisille elimille lähetetyt henkilötiedot olisi periaatteessa suojattava asianmukaisesti”. Lisäksi 14 artiklassa sallitaan toisesta jäsenvaltioista siirrettyjen henkilötietojen siirto edelleen kolmanteen valtioon tai kansainväliselle elimelle, jos tiedot siirtävä viranomainen on antanut kansallisen lainsäädäntönsä mukaisen suostumuksen tietojen luovuttamiselle eteenpäin. Näin ollen ehdotuksen säännöksissä ei todeta mitään tarvetta riittävään suojaan eikä esitetä mitään yhteisiä kriteerejä tai järjestelyjä riittävyyden arvioimiseksi. Tämä tarkoittaa sitä, että kukin jäsenvaltio arvioi oman harkintansa mukaan kolmannen maan tai kansainvälisen järjestön takaaman riittävyyden tason. Tämän seurauksena luettelo riittävyyden vaatimuksen täyttävistä maista ja kansainvälisistä järjestöistä, joihin siirrot ovat mahdollisia, vaihtelee huomattavasti jäsenvaltiosta toiseen.

28.

Nämä oikeudelliset puitteet haittaisivat myös poliisi- ja oikeudellista yhteistyötä. Onhan niin, että jäsenvaltion lainvalvontaviranomaisten olisi tehdessään päätöstä jonkin kolmannen valtion esittämästä pyynnöstä saada tietyt rikokseen liittyvät tiedot otettava huomioon sekä kyseisen maan riittävyys että se, ovatko kaikki muut kyseisiä tietoja antaneet jäsenvaltiot (joita voi olla jopa 26) antaneet suostumuksensa kyseistä kolmatta maata koskevan riittävyysarviointinsa mukaisesti.

29.

Ehdotuksen 27 artikla, joka koskee suhdetta kolmansien valtioiden kanssa tehtyihin sopimuksiin, lisää tässä yhteydessä epävarmuutta, koska sen mukaan puitepäätös ei vaikuta kolmansien valtioiden kanssa tehtyjen kahden- ja/tai monenvälisten sopimusten mukaisiin jäsenvaltioiden tai Euroopan unionin velvoitteisiin ja sitoumuksiin. Euroopan tietosuojavaltuutetun mukaan tämä säännös olisi selkeästi rajoitettava koskemaan olemassa olevia sopimuksia ja siinä olisi säädettävä, että tulevien sopimusten on oltava tämän ehdotuksen säännösten mukaisia.

30.

Euroopan tietosuojavaltuutettu uskoo, että henkilötietojen siirtoja kolmansiin maihin ja kansainvälisille järjestöille koskevat nykyiset säännökset eivät olisi soveltuvia henkilötietojen suojaamiseksi eivätkä toteuttamiskelpoisia lainvalvontaviranomaisten kannalta. Näin ollen Euroopan tietosuojavaltuutettu toistaa (23), että on tarpeen turvata riittävä suojan taso siirrettäessä henkilötietoja kolmansiin maihin tai kansainvälisille järjestöille ja että on tarpeen ottaa käyttöön järjestelyt, joilla varmistetaan yhteiset standardit ja koordinoidut päätökset riittävyyden osalta. Euroopan parlamentti ja Euroopan neuvoston yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä tehdyn yleissopimuksen komitea ovat esittäneet aiemmin saman näkemyksen.

31.

Yleissopimuksessa 108 olevassa 5 artiklassa määrätään periaatteista henkilötietojen laadun varmistamiseksi. Yksityiskohtaisempia tietoja esitetään muissa ei-sitovissa välineissä kuten suosituksessa N:o R (87) 15 ja sen kolmessa tähän asti toteutetussa arvioinnissa.

32.

Verrattaessa nykyistä ehdotusta edellä mainittuihin oikeudellisiin välineisiin on selvää, että tarkistetusta versiosta puuttuu tiettyjä tärkeitä takeita, jotka oli joissain tapauksissa jo esitetty komission ehdotuksessa:

33.

Tätä taustaa vasten Euroopan tietosuojavaltuutettu katsoo, että tietojen laatua koskevat säännökset nykyisessä ehdotuksessa eivät ole asianmukaisia eivätkä täydellisiä, erityisesti ottaen huomioon suositus N:o R (87) 15, jonka kaikki jäsenvaltiot ovat hyväksyneet, eivätkä ne myöskään täytä yleissopimuksessa 108 vaadittua suojatasoa. Lisäksi on syytä muistuttaa jälleen kerran siitä, että henkilötietojen paikkansapitävyys on sekä lainvalvontaviranomaisten että henkilön etujen mukaista (27).

34.

Suosituksen N:o R (87) 15 periaatteen 5 (tietojen luovuttaminen) mukaan henkilötietojen luovuttaminen lainvalvontaviranomaisilta muille julkisille elimille tai yksityishenkilöille olisi sallittua erityisin ja tiukasti määritellyin edellytyksin. Kyseiset alkuperäisessä komission ehdotuksessa olleet säännökset, joihin Euroopan tietosuojavaltuutettu ja Euroopan parlamentti suhtautuivat myönteisesti, on poistettu tarkistetusta versiosta. Tämän vuoksi uudessa tekstissä ei säädetä erityisistä takuista, jotka koskevat henkilötietojen luovuttamista yksityishenkilöille tai muille kuin lainvalvontaviranomaisille.

35.

Lisäksi lainvalvontaviranomaisten pääsy yksityishenkilöiden valvomiin henkilötietoihin ja niiden käyttö olisi sallittava ainoastaan tarkkaan määritellyin edellytyksin ja rajoituksin. Kuten Euroopan tietosuojavaltuutettu on todennut edellisissä lausunnoissaan, lainvalvontaviranomaisten pääsy tietoihin olisi sallittava ainoastaan tapauskohtaisesti tietyissä olosuhteissa tiettyä tarkoitusta varten ja jäsenvaltioiden oikeudellisessa valvonnassa. Viimeaikainen kehitys, esimerkiksi tietojen säilyttämisestä annettu direktiivi 2006/24/EY (28), PNR-sopimus Yhdysvaltojen kanssa (29) ja lainvalvontaviranomaisten pääsy SWIFT-verkossa oleviin tietoihin (30), vahvistavat näiden takuiden perustavanlaatuisen tärkeyden. On valitettavaa, että nykyisessä ehdotuksessa ei säädetä erityistakuista, jotka koskisivat lainvalvontaviranomaisten pääsyä yksityishenkilöiden keräämiin henkilötietoihin ja niiden käyttöä edelleen.

36.

Tätä taustaa vasten Euroopan tietosuojavaltuutettu toteaa, että mitä tulee henkilötietojen vaihtoon yksityishenkilöiden ja muiden kuin toimivaltaisten viranomaisten kanssa, nykyinen ehdotus ei noudata suosituksen N:o R (87) 15 periaatteita eikä ota huomioon keskeisen tärkeää kysymystä lainvalvontaviranomaisten pääsystä yksityishenkilöiden valvomiin henkilötietoihin ja niiden käytöstä.

37.

Edellä mainittujen keskeisten kysymysten lisäksi Euroopan tietosuojavaltuutettu haluaisi lainsäätäjän kiinnittävän huomion seuraaviin seikkoihin, joita on useimmissa tapauksissa jo käsitelty yksityiskohtaisemmin edellisissä lausunnoissa:

38.

Tarkistettuun ehdotukseen sisältyy aivan uusi asia verrattuna komission ehdotukseen. Se koskee EU:n toimielinten ja elinten toimintoja kolmannen pilarin alalla (ehdotuksen 1 artiklan 2 kohta). Johdanto-osan 20 kappaleen mukaisesti tämä kattaa Europolin, Eurojustin ja kolmannen pilarin tullitietojärjestelmän suorittaman tietojenkäsittelyn. Ehdotuksen 1 artiklan 2 kohdassa mainitaan EU:n elinten lisäksi myös toimielimet, mikä tarkoittaa, että esimerkiksi neuvostossa suoritettava tietojenkäsittely edellyttäisi neuvoston puitepäätöstä. Ei ole selvää, ovatko tekstin laatijat tarkoittaneet näin suurta soveltamisalaa, vai onko heidän aikomuksenaan ollut rajoittaa ehdotuksen soveltaminen johdanto-osan 20 kappaleessa mainittuihin kolmeen elimeen. Tekstiä on joka tapauksessa täsmennettävä oikeudellisen epävarmuuden välttämiseksi.

39.

Tämä johtaa yleisempään huomautukseen. Tietosuojavaltuutetun mukaan on äärimmäisen tärkeää, että asianmukainen tietosuojan taso taataan koko kolmannen pilarin alalla, koska vapaata tiedonvaihtoa vapauteen, turvallisuuteen ja oikeuteen perustuvalla alueella ilman sisärajoja helpotetaan riittävästi vain sillä ehdolla. Tähän kuuluu tietosuojan yleisten puitteiden soveltaminen EU:n elimiin kolmannen pilarin alalla. Tietosuojavaltuutettu on korostanut tätä aiemmin lausunnossaan Europolia koskevasta neuvoston päätöksestä (lausunnon IV osa).

40.

Tehokasta lainsäädäntöä koskevista syistä tietosuojavaltuutettu epäilee kovin, kattaisiko nykyinen puitepäätös kolmannen pilarin alalla toimivien EU:n elinten toimet. Ensimmäinen perustelu tätä laajaa soveltamisalaa vastaan liittyy lainsäädäntöpolitiikkaan. Tietosuojavaltuutettu pelkää, että jos EU:n elimet sisällytetään tämänhetkiseen tekstiin, on olemassa vaara, että neuvostossa käytävissä keskusteluissa keskitytään tähän uuteen asiaan tietosuojaa koskevien oleellisten säännösten sijaan. Tämä vaikeuttaa lainsäädäntöprosessia. Toinen perustelu on luonteeltaan oikeudellinen. Ensi näkemältä tuntuu, että neuvoston puitepäätös — EY:n perustamissopimuksen mukaisesti direktiiviin verrattava väline — ei ole asianmukainen oikeudellinen väline EU:n elinten oikeuksien ja velvollisuuksien sääntelemiseksi. EU:sta tehdyn sopimuksen 34 artiklan mukaisesti kyseinen väline on jäsenvaltioiden lainsäädännön lähentämistä varten. On olemassa joka tapauksessa vakava vaara siitä, että oikeusperusta kiistetään lainsäädäntöprosessin aikana tai sen jälkeen.

41.

Tietosuojavaltuutetulla on valitun oikeudellisen välineen osalta samanlainen näkemys ehdotuksen 26 artiklasta, jossa esitetään uuden yhteisen valvontaviranomaisen perustamista kolmannen pilarin elimissä tietojenkäsittelyä valvovien viranomaisten tilalle. Aikomus tällaisen viranomaisen perustamisesta voi tuntua aivan loogiselta. Sen ansiosta valvontajärjestelmästä voisi tulla jopa tehokkaampi, ja tietosuojan tason yhdenmukaisuus kolmannen pilarin mukaisesti perustetuissa elimissä varmistuisi entisestään.

42.

Tällaisen uuden valvontaelimen perustamiseen ei kuitenkaan tällä hetkellä ole välitöntä tarvetta. Itse valvonta toimii tyydyttävästi. Lisäksi Eurojustin puheenjohtaja on vastustanut tämän valvontajärjestelmän soveltamista Eurojustiin. Puuttumatta tämän vastustuksen yksityiskohtiin on selvää, että EU:n elinten valvonnan sisällyttäminen neuvoston puitepäätökseen tekisi lainsäädäntöprosessista entistä vaikeamman. Lisäksi tämä lähestymistapa ei olisi yhdenmukainen muiden tätä alaa koskevien ehdotusten kanssa, joita käsitellään parhaillaan (31) tai jotka on hyväksytty äskettäin (32).

43.

Näin ollen tietosuojavaltuutettu kehottaa olemaan lisäämättä EU:n elinten suorittamaa tietojenkäsittelyä koskevia säännöksiä neuvoston puitepäätökseen. Tietosuojavaltuutetun kehotus johtuu tehokkaaseen lainsäädäntöön liittyvistä syistä. On tärkeää, että kaikki ponnistelut neuvostossa keskitetään tietosuojaa koskeviin oleellisiin säännöksiin, jotta kansalaisille annetaan tarpeellinen suoja.

44.

Euroopan tietosuojavaltuutettu panee tyytyväisenä merkille, että puheenjohtajavaltio Saksa on antanut asian käsittelyyn lisävauhtia. Kuten tietosuojavaltuutettu ja muut asiaan kuuluvat toimijat ovat useaan otteeseen korostaneet, tietosuojaa koskeva yleinen säädöskehys kolmannen pilarin alalla on oleellinen tuettaessa sellaisen vapauteen, turvallisuuteen ja oikeuteen perustuvan alueen kehittämistä, jossa kansalaisten oikeus henkilötietojen suojaan taataan yhdenmukaisesti ja lainvalvontaviranomaiset voivat toimia yhteistyössä kansallisista rajoista välittämättä.

45.

Tarkistetussa ehdotuksessa mikään näistä tavoitteista ei kuitenkaan toteudu. Korkeatasoisen ja laajasti sovellettavan tietosuojan puuttuessa ehdotus tekee tietojen vaihdon edelleen erilaisista kansallisista ”alkuperäsäännöistä” ja ”päällekkäisistä vaatimuksista” riippuvaiseksi, mikä heikentää suuresti lainvalvontayhteistyön tehokkuutta eikä paranna henkilötietojen suojaa.

46.

Tämä tarkoittaa esimerkiksi sitä, että kun kansallisella tai EU:n tasolla toimiva lainvalvontaelin käsittelee rikokseen liittyviä tietoja, jotka koostuvat erilaisista kansallisilta, muiden jäsenvaltioiden ja EU:n viranomaisilta saaduista tiedoista, sen olisi sovellettava eri tietojenkäsittelysääntöjä eri tietoja varten riippuen siitä, onko henkilötiedot kerätty kotimaassa vai ei, onko jokainen tietoja toimittanut elin antanut suostumuksensa tähän tarkoitukseen, onko tietojen tallentamisessa noudatettu kunkin tietoja toimittaneen elimen noudattamassa lainsäädännössä säädettyjä aikarajoituksia, kielletäänkö käsittely muissa kunkin tietoja toimittaneen elimen pyytämissä käsittelyrajoituksissa, ja jos pyyntö tulee kolmannesta maasta, onko jokainen tietoja toimittanut elin antanut suostumuksensa oman riittävyysarviointinsa ja/tai kansainvälisten sitoumusten mukaisesti. Lisäksi kansalaisten suoja ja oikeudet vaihtelevat suuresti ja niiden osalta myönnetään erilaisia laajoja poikkeuksia sen mukaan, missä jäsenvaltiossa käsittely tapahtuu.

47.

Lisäksi tietosuojavaltuutettu pitää valitettavana sitä, että tekstin lainsäädännöllinen laatu ei ole tyydyttävä ja että ehdotuksella lisätään asian monimutkaisuutta ulottamalla puitepäätöksen soveltamisala koskemaan Europolia, Eurojustia ja kolmannen pilarin tullitietojärjestelmää ja ehdottamalla yhteisen valvontaviranomaisen perustamista epäasianmukaisen oikeudellisen välineen pohjalta.

48.

Tietosuojavaltuutettu on huolissaan siitä, että tämänhetkisestä tekstistä on jätetty pois keskeisiä henkilötietojen suojaa koskevia, komissioon ehdotukseen sisältyneitä säännöksiä. Tällä tavoin se heikentää merkittävästi kansalaisten suojan tasoa. Ensiksikään se ei tuo sellaista lisäarvoa suhteessa Euroopan neuvoston yleissopimukseen 108, jonka ansiosta sen säännökset olisivat tietosuojan kannalta asianmukaisia SEU:n 30 artiklan 1 kohdassa tarkoitetulla tavalla. Toiseksi se ei myöskään monin osin täytä yleissopimuksessa 108 esitettyä suojan tasoa koskevaa vaatimusta. Tästä syystä tietosuojavaltuutettu uskoo, että ehdotukseen olisi tehtävä merkittäviä parannuksia ennen kuin se voisi toimia kolmannen pilarin tietosuojan asianmukaisista yleispuitteista käytävän keskustelun pohjana. Näiden parannusten avulla olisi varmistettava, että yleispuitteet

49.

Euroopan tietosuojavaltuutettu on hyvin tietoinen siitä, että yksimielisyyden saavuttaminen neuvostossa on vaikeaa. Päätöksentekoprosessi ei kuitenkaan voi oikeuttaa turvautumaan pienimmän yhteisen nimittäjän lähestymistapaan, joka haittaisi EU:n kansalaisten perusoikeuksien toteutumista ja lainvalvonnan tehokkuutta.