29.12.2010   

FI

Euroopan unionin virallinen lehti

C 355/16

1.

Komissio antoi 20 päivänä heinäkuuta 2010 tiedonannon, jonka otsikkona oli ”Katsaus tiedonhallintaan vapauden, turvallisuuden ja oikeuden alueella” (jäljempänä ’tiedonanto’) (3). Euroopan tietosuojavaltuutetulta pyydettiin lausunto tiedonannosta.

2.

Euroopan tietosuojavaltuutettu pitää myönteisenä sitä, että komissio pyysi häneltä lausuntoa. Euroopan tietosuojavaltuutetulla oli mahdollisuus esittää epävirallisia huomioita jo ennen kuin tiedonanto annettiin. Monet näistä huomioista on otettu huomioon asiakirjan lopullisessa muodossa.

3.

Euroopan tietosuojavaltuutettu pitää hyvänä sitä, että tiedonannon tavoitteena on esittää ”perusteellinen katsaus EU:n tasolla toteutettuihin, keskeneräisiin tai suunnitteilla oleviin toimenpiteisiin, joilla säännellään henkilötietojen keräämistä, tallentamista ja vaihtamista valtioiden rajojen yli lainvalvontaa tai muuttoliikkeen hallintaa varten” (4). Asiakirjassa on myös tarkoitus tarjota kansalaisille yleiskatsaus siitä, mitä tietoja heistä kerätään, tallennetaan tai vaihdetaan, mihin tarkoitukseen niitä kerätään ja kuka niitä kerää. Komission mukaan asiakirjassa annetaan lisäksi avoimesti viitetietoja sidosryhmille, jotka haluavat osallistua tämän alueen tulevasta EU-politiikasta käytävään keskusteluun. Näin sen odotetaan edistävän kattavaa poliittista vuoropuhelua kaikkien sidosryhmien kanssa.

4.

Konkreettisella tasolla tiedonannossa mainitaan, että siinä on tarkoitus esitellä välineiden keskeinen tehtävä, niiden rakenne, niiden soveltamisalaan kuuluvat henkilötiedot, ”luettelo niistä viranomaisista, joilla on pääsy kyseisiin tietoihin” (5), sekä tietosuojaa ja tietojen säilyttämistä koskevat säännökset. Lisäksi liitteessä I esitetään joitakin esimerkkejä kyseisten välineiden toiminnasta käytännössä.

5.

Asiakirjassa esitetään myös yleisperiaatteet (”pysyvät periaatteet” ja ”menettelyjä koskevat periaatteet”), joita komissio aikoo noudattaa, kun se jatkossa kehittää tietojen keruun, tallennuksen ja vaihdon välineitä. Pysyvistä periaatteista komissio mainitsee muun muassa perusoikeuksien ja erityisesti yksityisyyttä ja tietosuojaa koskevien oikeuksien turvaamisen, tarpeellisuuden, toissijaisuuden ja täsmällisen riskinhallinnan. Menettelyjä koskeviin periaatteisiin kuuluvat kustannustehokkuus, alhaalta ylöspäin rakentuva politiikan laadinta, selkeä vastuunjako sekä tarkastelu- ja raukeamislausekkeet.

6.

Tiedonannon mukaan näitä periaatteita noudatetaan myös nykyisiä välineitä arvioitaessa. Komissio uskoo, että tällaisen periaatteellisen lähestymistavan soveltaminen politiikan kehittämiseen ja arviointiin lisää nykyisten ja tulevien välineiden johdonmukaisuutta ja tehokkuutta siten, että kansalaisten perusoikeuksia kunnioitetaan täysimääräisesti.

7.

Euroopan tietosuojavaltuutettu pitää tiedonantoa tärkeänä asiakirjana, jossa esitetään kattava katsaus olemassa oleviin ja (mahdollisiin) tuleviin välineisiin, joilla tietoja vaihdetaan vapauden, turvallisuuden ja oikeuden alueella. Siinä tarkennetaan Tukholman ohjelman kohtia 4.2.2 (tiedonhallinta) ja 5.1 (ulkorajojen yhdennetty rajavalvonta) (6). Sillä tulee olemaan merkittävä rooli tämän alueen kehittämisessä. Siksi Euroopan tietosuojavaltuutetun mielestä hänen on hyvä ottaa kantaa tiedonannon eri osiin, vaikka tiedonannon tekstiä ei enää muutetakaan.

8.

Euroopan tietosuojavaltuutettu tuo esiin muutaman seikan, jotka pitäisi ottaa huomioon vapauden, turvallisuuden ja oikeuden alueen kehittämisessä. Tässä lausunnossa tarkennetaan useita seikkoja, jotka Euroopan tietosuojavaltuutettu on esittänyt 10 päivänä heinäkuuta 2009 antamassaan lausunnossa tiedonannosta ”Vapauden, turvallisuuden ja oikeuden alue kansalaisia varten” (7) sekä useissa muissa lausunnoissa ja huomioissa. Siinä myös palataan hänen aiemmin esittämiinsä näkemyksiin. Tässä yhteydessä on syytä mainita vielä 28 artiklan mukaisen tietosuojatyöryhmän ja poliisi- ja oikeusasioita käsittelevän työryhmän 1 päivänä joulukuuta 2009 antama kertomus yksityisyyden suojan tulevaisuudesta. Kyseisessä kertomuksessa, joka oli työryhmien yhteinen kannanotto Euroopan komissiolle henkilötietojen perusoikeuksia koskevasta lainsäädäntökehyksestä ja jolle Euroopan tietosuojavaltuutettu antoi tukensa, esitettiin tärkeitä suuntaviivoja tietosuojan tulevaisuutta varten, ja niitä voidaan yhtä lailla soveltaa tiedonvaihtoon rikosasioissa tehtävän poliisiyhteistyön ja oikeudellisen yhteistyön alalla.

9.

Euroopan tietosuojavaltuutettu on tyytyväinen siihen, että tiedonannolla vastataan Euroopan unionin neuvoston kehotukseen (8) kehittää EU-tasoisia tiedonhallintavälineitä EU:n tiedonhallintastrategian mukaisesti ja pohtia eurooppalaista tiedonvaihtomallia.

10.

Euroopan tietosuojavaltuutettu tuo esiin, että tiedonantoa voidaan pitää myös vastauksena edellä mainittuun Tukholman ohjelmaan, jossa pyydetään yhtenäisyyttä ja konsolidointia tiedonvaihdon kehittämiseen EU:n sisäisen turvallisuuden alalla. Tarkemmin ottaen Tukholman ohjelman kohdassa 4.2.2 kehotetaan komissiota arvioimaan tarvetta kehittää eurooppalainen tiedonvaihtomalli, joka perustuisi nykyisten välineiden arviointiin, mukaan lukien Prüm-puitteet ja niin sanottu ruotsalainen puitepäätös. Arvioinnissa olisi määritettävä, toimivatko nämä välineet alun perin aiotulla tavalla ja vastaavatko ne tiedonhallintastrategian tavoitteita.

11.

Tässä yhteydessä on hyvä tuoda esiin, että Tukholman ohjelman mukaan vahva tietosuojajärjestelmä on EU:n tiedonhallintastrategian tärkein edellytys. Tietosuojan voimakas painottaminen noudattaa täysin Lissabonin sopimusta, joka – kuten aiemmin on mainittu – sisältää yleisen tietosuojamääräyksen, jolla annetaan kaikille – myös kolmansien maiden kansalaisille – tuomioistuimessa täytäntöönpanokelpoinen oikeus tietosuojaan ja jolla velvoitetaan neuvosto ja Euroopan parlamentti laatimaan kattava tietosuojakehys.

12.

Euroopan tietosuojavaltuutettu kannattaa myös tiedonhallintastrategiassa esitettyä vaatimusta, jonka mukaan uusia lainsäädäntötoimia, jotka helpottavat henkilötietojen tallennusta ja vaihtoa, tulisi ehdottaa vain, jos niiden tarpeellisuus voidaan osoittaa konkreettisesti. Euroopan tietosuojavaltuutettu on puolustanut tätä lähestymistapaa useissa lausunnoissa lainsäädäntöehdotuksista, jotka ovat liittyneet vapauden, turvallisuuden ja oikeuden alueeseen, kuten lausunnoissa toisen sukupolven SIS-järjestelmästä (9), lainvalvontaviranomaisten pääsystä Eurodaciin (10), Eurodac- ja Dublin-asetusten tarkistuksesta (11), komission tiedonannosta Tukholman ohjelmasta (12) ja PNR:stä (13).

13.

Kaikki nykyiset tiedonvaihtovälineet on ehdottomasti arvioitava, ennen kuin uusia ehdotetaan. Tämä on erityisen tärkeää siksikin, että nykyinen lainsäädäntökehys on monimutkainen palapeli, joka koostuu erilaisista välineistä ja järjestelmistä, joista osa on otettu käyttöön niin hiljattain, ettei niiden tehokkuutta ole vielä voitu arvioida, osaa ollaan parhaillaan ottamassa käyttöön ja osa uusista on edelleen lainsäädäntömenettelyssä.

14.

Tästä syystä Euroopan tietosuojavaltuutettu panee tyytyväisenä merkille, että tiedonannossa tuodaan selkeästi esiin sen yhteys muihin komission aloitteisiin, joilla on tarkoitus selvittää ja arvioida tilannetta asianomaisella alueella Tukholman ohjelman mukaisesti.

15.

Euroopan tietosuojavaltuutettu pitää erityisen hyvänä komission tammikuussa 2010 aloittamaa kartoitusta, joka suoritetaan tiiviissä yhteistyössä kartoituksen hankeryhmän kanssa. Hankeryhmä koostuu EU:n jäsenvaltioiden, EFTA-valtioiden, Europolin, Eurojustin, Frontexin ja Euroopan tietosuojavaltuutetun edustajista (14). Kuten tiedonannossa todetaan, komissio aikoo esittää kartoituksen tulokset neuvostolle ja Euroopan parlamentille vielä vuonna 2010. Sen jälkeen komissio aikoo esittää tiedonannon eurooppalaisesta tiedonvaihtomallista.

16.

Euroopan tietosuojavaltuutetun mielestä on erittäin hyvä, että tiedonannon ja kartoituksen välillä esitetään selkeä kytkös, koska ne selkeästi liittyvät toisiinsa. On tietenkin vielä liian aikaista arvioida näiden toimien ja yleisesti eurooppalaisesta tiedonvaihtomallista käytävien keskustelujen lopputuloksia (toistaiseksi komissio on esittänyt kartoituksen vain tilanteen arviointina). Euroopan tietosuojavaltuutettu seuraa töiden edistymistä. Hän haluaa kuitenkin jo tässä vaiheessa kiinnittää huomiota tarpeeseen luoda yhteisvaikutuksia ja välttää sitä, että komission eurooppalaisesta tiedonvaihtomallista käytävien keskustelujen puitteissa toteuttamat toimet johtaisivat toisistaan poikkeaviin lopputuloksiin.

17.

Euroopan tietosuojavaltuutettu haluaa vielä mainita meneillään olevan tietosuojalainsäädännön tarkistuksen ja erityisesti komission aikomuksen luoda kattava kehys tietosuojaa varten, mukaan lukien poliisiyhteistyö ja oikeudellinen yhteistyö rikosasioissa.

18.

Tässä yhteydessä Euroopan tietosuojavaltuutettu panee merkille, että tiedonannossa viitataan kohdassa ”Perusoikeuksien ja erityisesti yksityisyyttä ja tietosuojaa koskevien oikeuksien turvaaminen” Euroopan unionin toiminnasta tehdyn sopimuksen (SEUT) 16 artiklaan, joka tarjoaa oikeusperustan tällaisen kattavan tietosuojajärjestelmän kehittämiselle. Hän myös panee merkille, että tiedonannon mukaan siinä ei analysoida käsiteltävänä olevien välineiden erityisiä tietosuojasääntöjä, koska komissio on alkanut edellä mainitun 16 artiklan nojalla kehittää uutta kattavaa kehystä henkilötietojen suojaamiseksi EU:ssa. Euroopan tietosuojavaltuutettu toivoo, että siinä yhteydessä esitetään kattava katsaus nykyisiin ja mahdollisesti toisistaan poikkeaviin tietosuojajärjestelmiin ja että komissio tekee päätöksensä tämän katsauksen pohjalta.

19.

Viimeisenä muttei vähäisimpänä asiana Euroopan tietosuojavaltuutettu haluaa tuoda esiin, että vaikka hän suhtautuu myönteisesti tiedonannon tavoitteisiin ja pääasialliseen sisältöön, hän haluaa myös kiinnittää huomiota siihen, että tätä asiakirjaa tulisi pitää ainoastaan ensimmäisenä askeleena arviointiprosessissa ja että sen pohjalta tulisi toteuttaa konkreettisia toimenpiteitä, jotka muodostavat yhdessä kattavan, yhtenäisen ja selkeästi jäsennetyn EU:n politiikan tiedonvaihdon ja -hallinnan alalla.

20.

Tiedonannon tekstissä komissio kuvaa käyttötarkoituksen rajoittamisen periaatetta ”keskeiseksi seikaksi, joka on otettava huomioon useimpien tässä tiedonannossa käsiteltävien välineiden kohdalla”.

21.

Euroopan tietosuojavaltuutettu pitää hyvänä sitä, että tiedonannossa painotetaan käyttötarkoituksen rajoittamisen periaatetta, jonka mukaan henkilötietojen keruun tarkoitukset on täsmennettävä viimeistään silloin, kun tietoja aletaan kerätä, eikä tietoja saa käsitellä muihin kuin alkuperäisiin tarkoituksiin. Käyttötarkoituksen rajoittamisen periaatteesta saa poiketa vain poikkeustapauksissa ja vain tiukkojen ehtojen ja riittävien oikeudellisten, teknisten ja muiden suojatoimien puitteissa.

22.

Euroopan tietosuojavaltuutettu kuitenkin pahoittelee sitä, että tiedonannon mukaan tämä perustava tietosuojaperiaate on otettava huomioon vain ”useimpien tässä tiedonannossa käsiteltävien välineiden kohdalla”. Lisäksi tiedonannon sivulla 22 viitataan SIS-, SIS II-, ja VIS-järjestelmiin ja mainitaan seuraavaa: ”Näitä keskitettyjä tietojärjestelmiä lukuun ottamatta EU-tasoisia tiedonhallintatoimia näyttäisi leimaavan erityisesti se, että niillä on tietty rajattu käyttötarkoitus”.

23.

Tämän sanamuodon voidaan tulkita tarkoittavan, ettei kyseinen periaate ole ollut keskeinen seikka kaikissa tapauksissa ja kaikissa EU:ssa tapahtuvaan tiedonvaihtoon liittyvissä järjestelmissä ja välineissä. Tässä yhteydessä Euroopan tietosuojavaltuutettu tuo esiin, että kyseisestä periaatteesta voidaan poiketa ja sitä voidaan rajoittaa tarvittaessa, kuten direktiivin 95/46/EY 13 artiklassa ja puitepäätöksen 2008/977/YOS 3 artiklan 2 kohdassa (15) todetaan. Sen sijaan on pakollista varmistaa, että uusia EU:ssa tapahtuvaan tiedonvaihtoon liittyviä välineitä ehdotetaan ja hyväksytään vain, jos käyttötarkoituksen rajoittamisen periaatetta on tarkasteltu asianmukaisesti, ja että kyseiseen periaatteeseen mahdollisesti tehtävistä poikkeuksista ja rajoituksista päätetään tapauskohtaisesti ja perusteellisen arvioinnin pohjalta. Nämä näkökohdat koskevat myös SIS-, SIS II- ja VIS-järjestelmiä.

24.

Muu käytäntö rikkoisi Euroopan unionin perusoikeuskirjan 8 artiklaa ja EU:n tietosuojalainsäädäntöä (mm. direktiiviä 95/46/EY, asetusta (EY) N:o 45/2001 ja puitepäätöstä 2008/977/YOS) sekä Euroopan ihmisoikeustuomioistuimen oikeuskäytäntöä. Käyttötarkoituksen rajoittamisen periaatteen loukkaaminen saattaisi myös johtaa kyseisten järjestelmien tietojen käyttöön muuhun kuin alkuperäiseen tarkoitukseen (ns. ”function creep”) (16).

25.

Tiedonannossa viitataan (sivulla 25) Euroopan ihmisoikeustuomioistuimen oikeuskäytännössä ”suhteellisuustestin” osalta vahvistettuihin vaatimuksiin, ja siinä todetaan seuraavaa: ”Komissio aikoo kaikissa tulevissa toimintaehdotuksissaan arvioida aloitteen odotettua vaikutusta yksityisyyden- ja henkilötietojen suojaan ja esittää, miksi tällainen vaikutus on tarpeen ja miksi ehdotettu ratkaisu on oikeasuhteinen tavoitteeseen nähden, jolla pyritään sisäisen turvallisuuden säilyttämiseen Euroopan unionissa, rikollisuuden ehkäisemiseen tai muuttoliikkeen hallintaan”.

26.

Euroopan tietosuojavaltuutettu pitää edellä lainattuja toteamuksia hyvinä, sillä hän on vaatinut, että suhteellisuus- ja tarpeellisuusperiaatteiden tulisi ohjata kaikkia päätöksiä, jotka koskevat nykyisiä ja uusia henkilötietojen keruuseen ja vaihtoon liittyviä järjestelmiä. Tulevaisuutta ajatellen tämä on olennaista myös pohdittaessa EU:n tiedonhallintastrategiaa ja eurooppalaista tiedonvaihtomallia.

27.

Tätä taustaa vasten Euroopan tietosuojavaltuutettu pitää myönteisenä sitä, että toisin kuin sanamuodossa, jota komissio käytti käyttötarkoituksen rajoittamisen periaatteen yhteydessä (ks. tämän lausunnon 20–22 kohta), komissio sitoutuu tarpeellisuuden osalta arvioimaan kaikissa tulevissa toimintaehdotuksissaan aloitteen vaikutusta yksityisyyden- ja henkilötietojen suojaan.

28.

Euroopan tietosuojavaltuutettu kiinnittää kuitenkin huomiota siihen, että kaikki nämä suhteellisuutta ja tarpeellisuutta koskevat vaatimukset perustuvat voimassa olevaan EU:n lainsäädäntöön (erityisesti perusoikeuskirjaan, joka kuuluu nykyään primaarioikeuteen) ja Euroopan ihmisoikeustuomioistuimen vakiintuneeseen oikeuskäytäntöön. Toisin sanoen tiedonanto ei sisällä mitään uutta. Euroopan tietosuojavaltuutetun mielestä tiedonannossa ei kuitenkaan pitäisi tyytyä toistamaan näitä vaatimuksia, vaan siinä pitäisi esittää konkreettisia toimenpiteitä ja mekanismeja, joilla voitaisiin varmistaa, että tarpeellisuutta ja suhteellisuutta noudatetaan ja toteutetaan käytännössä kaikissa ehdotuksissa, jotka vaikuttavat yksilöiden oikeuksiin. Tämän lausunnon 38–41 kohdassa käsiteltävä yksityisyyden suojan vaikutusten arviointi voisi olla hyvä väline tähän tarkoitukseen. Arvioinnin pitäisi kattaa uusien ehdotusten lisäksi myös nykyiset järjestelmät ja mekanismit.

29.

Euroopan tietosuojavaltuutettu haluaa vielä korostaa, että kun suhteellisuutta ja tarpeellisuutta harkitaan EU:n tiedonhallintastrategian yhteydessä, tulisi painopisteeseen asettaa tarve saavuttaa oikea tasapaino tietosuojan ja lainvalvonnan välillä. Tämä tasapaino ei tarkoita, että tietosuoja voisi estää rikoksen selvittämiseen tarvittavien tietojen käytön. Kaikkia siihen tarkoitukseen tarvittavia tietoja on voitava käyttää tietosuojasääntöjen mukaisesti (17).

30.

Tukholman ohjelmassa vaaditaan kaikkien tiedonvaihtoon Euroopan unionissa liittyvien välineiden ja järjestelmien objektiivista ja kattavaa arviointia. Euroopan tietosuojavaltuutettu antaa luonnollisesti täyden tukensa tälle lähestymistavalle.

31.

Tiedonanto vaikuttaa kuitenkin olevan tältä osin hieman epätasapainossa. Siinä tunnutaan asettavan ainakin luvuissa ja tilastoissa etusijalle ne välineet, jotka ovat osoittautuneet menestyksekkäiksi ja joita pidetään ”menestystarinoina” (esim. onnistuneiden osumien määrä SIS- ja Eurodac-järjestelmissä). Euroopan tietosuojavaltuutettu ei kyseenalaista näiden järjestelmien yleistä menestyksekkyyttä. Hän haluaa kuitenkin esimerkkinä tuoda esiin, että SIS-järjestelmän yhteisen valvontaviranomaisen toimintakertomusten (18) mukaan tuntuvassa määrässä tapauksia SIS-järjestelmän kuulutukset ovat olleet vanhentuneita, väärin kirjoitettuja tai virheellisiä, mistä on aiheutunut (tai olisi voinut aiheutua) haitallisia seurauksia asianosaisille. Tämä tieto puuttuu tiedonannosta.

32.

Euroopan tietosuojavaltuutettu kehottaa komissiota harkitsemaan uudelleen tiedonannossa noudatettua lähestymistapaa. Euroopan tietosuojavaltuutettu ehdottaa, että jatkossa tiedonhallinnan alalla raportoitaisiin tasapuolisuuden nimissä myös epäonnistumisista ja heikkouksista, kuten niiden henkilöiden määrästä, jotka on pidätetty perusteettomasti tai joille on aiheutunut jotakin haittaa järjestelmän väärästä osumasta.

33.

Euroopan tietosuojavaltuutettu esimerkiksi ehdottaa, että SIS/Sirene-järjestelmää koskevia tietoja (liite 1) täydennettäisiin mainitsemalla yhteisen valvontaviranomaisen tekemä työ kuulutusten luotettavuuden ja täsmällisyyden alalla.

34.

Tiedonannon sivuilla 26–27 lueteltujen menettelyjä koskevien periaatteiden joukossa mainitaan selkeä vastuunjako, johon pitäisi kiinnittää huomiota erityisesti hallintarakenteiden suunnittelussa. Tiedonannossa viitataan tässä yhteydessä SIS II -hankkeen ongelmiin ja tulevan tietotekniikkaviraston vastuualueisiin.

35.

Euroopan tietosuojavaltuutettu haluaa korostaa, kuinka tärkeä on vastuullisuuden periaate, jota on noudatettava myös rikosasioissa tehtävässä poliisiyhteistyössä ja oikeudellisessa yhteistyössä ja joka on keskeisessä asemassa suunniteltaessa uutta ja entistä edistyneempää tiedonvaihto- ja tiedonhallintapolitiikkaa EU:hun. Vastuullisuuden periaate on nyt esillä Euroopan tietosuojakehyksen tulevaisuudesta käytävissä keskusteluissa. Sen avulla voitaisiin kannustaa rekisterinpitäjiä pienentämään sääntöjen rikkomisen riskiä ottamalla käyttöön asianmukaisia mekanismeja tehokasta tietosuojaa varten. Vastuullisuus edellyttää, että rekisterinpitäjät ottavat käyttöön sisäisiä mekanismeja ja valvontajärjestelmiä, joilla ne varmistavat sääntöjenmukaisuuden ja tuottavat siitä näyttöä – kuten tarkastuskertomuksia – ulkoisille sidosryhmille, myös valvontaviranomaisille (19). Euroopan tietosuojavaltuutettu on painottanut tällaisten toimenpiteiden tarpeellisuutta myös VIS- ja SIS II -järjestelmistä vuonna 2005 antamissaan lausunnoissa.

36.

Komissio viittaa ”sisäänrakennetun yksityisyyden suojan” käsitteeseen tiedonannon sivulla 25 (pysyvien periaatteiden alla kohdassa ”Perusoikeuksien ja erityisesti yksityisyyttä ja tietosuojaa koskevien oikeuksien turvaaminen”) ja toteaa seuraavaa: ”Kehittäessään uusia tietotekniikan käyttöön perustuvia välineitä komissio pyrkii soveltamaan ”sisäänrakennetun yksityisyyden suojan” periaatetta”.

37.

Euroopan tietosuojavaltuutettu pitää hyvänä viittausta tähän käsitteeseen (20), joka on yleistymässä sekä yksityisellä että julkisella sektorilla ja jolla on oltava keskeinen asema myös poliisi- ja oikeusasioissa (21).

38.

Euroopan tietosuojavaltuutettu uskoo, että tämä tiedonanto tarjoaa hyvän tilaisuuden pohtia sitä, mitä todellisella yksityisyyden suojan ja tietosuojan vaikutusten arvioinnilla pitäisi tarkoittaa.

39.

Euroopan tietosuojavaltuutettu panee merkille, että tätä käsitettä ei määritellä eikä aseteta vaatimukseksi sen enempää tiedonannon yleisissä ohjeissa kuin komission vaikutusten arviointeja koskevissa ohjeissakaan (22).

40.

Euroopan tietosuojavaltuutettu suositteleekin, että tulevien välineiden yksityisyyden suojaa ja tietosuojaa koskevat vaikutukset arvioitaisiin nykyistä tarkemmin ja tehokkaammin joko erillisenä arviointina tai osana yleistä perusoikeuksiin kohdistuvien vaikutusten arviointia. Erityisillä indikaattoreilla ja tekijöillä pitäisi varmistaa, että jokainen yksityisyyden suojaan ja tietosuojaan vaikuttava ehdotus tutkitaan perusteellisesti. Euroopan tietosuojavaltuutettu ehdottaa myös, että tämä asia otetaan huomioon kattavan tietosuojakehyksen kehittämisessä.

41.

Lisäksi tässä yhteydessä voisi olla hyvä viitata RFID-tunnisteista annetun suosituksen (23) 4 artiklaan, jossa komissio kehottaa jäsenvaltioita varmistamaan, että teollisuus kehittää yhdessä asianomaisten kansalaisyhteiskunnan sidosryhmien kanssa puitteet yksityisyyden suojan ja tietosuojan vaikutusten arvioinnille. Myös tietosuojavaltuutettujen konferenssissa marraskuussa 2009 annetussa Madridin julkilausumassa suositeltiin yksityisyyden suojan ja tietosuojan vaikutusten arviointia, ennen kuin uusia henkilötietojen käsittelyyn liittyviä tietojärjestelmiä ja -tekniikoita otetaan käyttöön tai nykyisiin tehdään olennaisia muutoksia.

42.

Euroopan tietosuojavaltuutettu panee merkille, että tiedonannossa ei käsitellä erikseen rekisteröityjen oikeuksia – tärkeää aihetta, joka on olennainen osa tietosuojaa. On ehdottomasti varmistettava, että kansalaisilla on kaikissa erilaisissa tiedonvaihtoon liittyvissä järjestelmissä ja välineissä samat oikeudet, kun heidän henkilötietojaan käsitellään. Useissa tiedonannossa mainituissa järjestelmissä on vahvistettu erityiset säännöt rekisteröityjen oikeuksille, mutta järjestelmien ja välineiden välillä on suuria eroja ilman kunnollisia perusteita.

43.

Euroopan tietosuojavaltuutettu kehottaa komissiota pohtimaan rekisteröityjen oikeuksien yhtenäistämistä EU:ssa lähitulevaisuudessa.

44.

Komissio viittaa biometristen tietojen käyttöön (24) mutta ei käsittele erikseen sitä, että biometristen tietojen käyttö on lisääntynyt EU:ssa tapahtuvan tiedonvaihdon alalla, mukaan lukien EU:n laaja-alaiset tietojärjestelmät ja muut rajavalvonnan välineet. Tiedonannossa ei myöskään anneta mitään konkreettista tietoa siitä, miten komissio aikoo tulevaisuudessa käsitellä tätä asiaa ja onko se valmistelemassa kattavaa politiikkaa tämän yleistyvän suuntauksen sääntelemiseksi. Tämä on valitettavaa, sillä aihe on erittäin tärkeä ja arka tietosuojan näkökulmasta.

45.

Tässä yhteydessä Euroopan tietosuojavaltuutettu haluaa tuoda esiin, että hän on useaan otteeseen erilaisissa tilaisuuksissa ja lausunnoissa (25) korostanut, että biometristen tietojen käytöllä on merkittäviä vaikutuksia yksilöiden oikeuksiin ja että siihen saattaa siten liittyä riskejä. Näissä tilanteissa hän on myös ehdottanut, että tiettyihin välineisiin ja järjestelmiin lisättäisiin tiukkoja suojatoimia biometristen tietojen käyttöä varten. Euroopan tietosuojavaltuutettu on myös kiinnittänyt huomiota ongelmiin, joita ovat aiheuttaneet sisäänrakennetut epätäsmällisyydet biometristen tietojen keräämisessä ja vertailussa.

46.

Näistä syistä Euroopan tietosuojavaltuutettu haluaa tässä yhteydessä pyytää komissiota kehittämään selkeän ja tiukan politiikan biometristen tietojen käytölle vapauden, turvallisuuden ja oikeuden alueella. Politiikan pitäisi perustua biometristen tietojen käytön tarpeellisuuden vakavaan harkintaan ja tapauskohtaiseen arviointiin, ja siinä pitäisi noudattaa sellaisia tietosuojan perusperiaatteita kuten suhteellisuutta, tarpeellisuutta ja käyttötarkoituksen rajoittamista.

47.

Euroopan tietosuojavaltuutettu on jo aiemmin (26) tuonut esiin useita yhteentoimivuuden käsitteeseen liittyviä huolia. Yksi järjestelmien yhteentoimivuuden seurauksista on, että se voi kannustaa ehdottamaan laaja-alaisille tietojärjestelmille uusia tavoitteita, jotka menevät niiden alkuperäistä tarkoitusta pidemmälle, ja/tai biometristen tietojen käytölle ensisijaisina tunnisteina tällä alalla. Yhteentoimivuuden eri lajeille tarvitaan erityisiä suojatoimia ja ehtoja. Euroopan tietosuojavaltuutettu on myös korostanut tässä yhteydessä, että järjestelmien yhteentoimivuuden toteuttamisessa on noudatettava tietosuojaperiaatteita ja erityisesti käyttötarkoituksen rajoittamisen periaatetta.

48.

Euroopan tietosuojavaltuutettu panee merkille, ettei tiedonannossa käsitellä erikseen järjestelmien yhteentoimivuutta. Siksi Euroopan tietosuojavaltuutettu pyytää komissiota kehittämään tätä EU:ssa tapahtuvan tiedonvaihdon olennaista näkökohtaa varten politiikan, joka tulisi sisällyttää osaksi arviointia.

49.

Tiedonannossa käsitellään komission tulevia säädösehdotuksia. Niiden yhteydessä mainitaan muun muassa rekisteröityjen matkustajien ohjelmaa koskeva ehdotus sekä maahantulo- ja maastapoistumisjärjestelmään liittyvä ehdotus. Euroopan tietosuojavaltuutettu haluaa esittää muutaman huomion kummastakin edellä mainitusta ehdotuksesta, joista komissio on tiedonannon mukaan jo tehnyt päätöksensä.

50.

Kuten tämän lausunnon 3 kohdassa tuotiin esiin, tiedonannon tavoitteena on esittää ”perusteellinen katsaus EU:n tasolla toteutettuihin – toimenpiteisiin, joilla säännellään henkilötietojen keräämistä, tallentamista ja vaihtamista valtioiden rajojen yli lainvalvontaa tai muuttoliikkeen hallintaa varten”.

51.

Euroopan tietosuojavaltuutettu ihmetteleekin, mikä rekisteröityjen matkustajien ohjelman lopullinen tavoite tulee olemaan ja miten tämä ehdotus, jota komissio parhaillaan tarkastelee, tulee kuulumaan lainvalvonnan ja muuttoliikenteen hallinnan piiriin. Tiedonannon sivulla 20 todetaan seuraavaa: ”Tämän ohjelman ansiosta tietyt EU:hun toistuvasti matkustavat kolmansien maiden henkilöt voisivat saapua unionin alueelle hyödyntäen kevennettyjä rajatarkastuksia automatisoiduilla tarkastuslinjoilla”. Välineen tarkoituksena vaikuttaa siis olevan toistuvasti matkustavien henkilöiden matkanteon helpottaminen, eikä sillä olisi mitään (suoraa tai selkeää) kytköstä lainvalvonnan ja maahanmuuton hallinnan tarkoituksiin.

52.

EU:n tulevan maahantulo- ja maastapoistumisjärjestelmän yhteydessä tiedonannossa mainitaan (sivu 20) ”laillisen oleskeluajan ylittäneiden henkilöiden” ongelma ja todetaan, että nämä henkilöt ”muodostivat laittomien maahanmuuttajien suurimman ryhmän EU:ssa”. Jälkimmäinen väite annetaan syyksi sille, miksi komissio päätti ehdottaa, että EU:hun enintään kolmeksi kuukaudeksi tuleville kolmansien maiden kansalaisille otettaisiin käyttöön maahantulo- ja maastapoistumisjärjestelmä.

53.

Tiedonannossa jatketaan vielä: ”Tämä järjestelmä rekisteröisi saapumisajan ja -paikan sekä luvallisen oleskelun keston ja lähettäisi toimivaltaisille viranomaisille automaattisia ilmoituksia henkilöistä, joiden on havaittu ylittäneen laillisen oleskeluajan. Se perustuisi biometristen tietojen varmentamiseen ja käyttäisi samaa biometristä tunnistusjärjestelmää ja laitteistoa kuin VIS- ja SIS II -järjestelmät”.

54.

Euroopan tietosuojavaltuutetun mielestä on tärkeää tarkentaa laillisen oleskeluajan ylittäneiden henkilöiden kohderyhmää viittaamalla olemassa olevaan oikeudelliseen määritelmään tai esittämällä sen tueksi luotettavia lukuja tai tilastoja. Tämä on erityisen tärkeää siksi, että kaikki laskelmat laillisen oleskeluajan ylittäneiden henkilöiden määrästä EU:ssa perustuvat nykyään pelkkiin arvioihin. Lisäksi olisi tarkennettava, mihin toimenpiteisiin näiden laillisen oleskeluajan ylittäneiden henkilöiden suhteen ryhdyttäisiin sen jälkeen, kun järjestelmä olisi tunnistanut heidät, kun otetaan huomioon, ettei EU:ssa ole selkeää ja kattavaa menettelyä henkilöille, jotka ylittävät laillisen oleskeluajan EU:n alueella.

55.

Lisäksi tiedonannon sanamuoto viittaa siihen, että komissio olisi jo päättänyt ottaa järjestelmän käyttöön, vaikka tiedonannossa myös mainitaan, että komissio tekee parhaillaan vaikutusten arviointia. Euroopan tietosuojavaltuutettu painottaa, ettei tällaisen monimutkaisen ja yksityisyyttä loukkaavan järjestelmän käyttöönotosta saisi päättää, ennen kuin siitä on tehty erityinen vaikutusten arviointi, jonka tuloksena saadaan konkreettista näyttöä ja tietoa järjestelmän tarpeellisuudesta ja siitä, miksi olemassa oleviin järjestelmiin perustuvia vaihtoehtoisia ratkaisuja ei ole voitu harkita.

56.

Lopuksi komissio vaikuttaa kytkevän tämän tulevan järjestelmän SIS II- ja VIS-järjestelmien biometriseen tunnistusjärjestelmään ja laitteistoon. Se ei kuitenkaan mainitse, ettei sen enempää SIS II- kuin VIS-järjestelmäkään ole vielä käytössä eikä vielä edes tiedetä, milloin ne tarkkaan ottaen tullaan ottamaan käyttöön. Toisin sanoen maahantulo- ja maastapoistumisjärjestelmä olisi pitkälti riippuvainen biometrisistä ja toiminnallisista järjestelmistä, jotka eivät ole vielä käytössä ja joiden suorituskykyä ja toimivuutta ei siis ole mitenkään voitu vielä arvioida kunnolla.

57.

Komission selvitettävien aloitteiden – eli niiden, joista komissio ei ole vielä tehnyt lopullista päätöstä – yhteydessä tiedonannossa mainitaan Tukholman ohjelmassa esitetyn pyynnön pohjalta kolme aloitetta: EU:n terrorismin rahoituksen jäljittämisjärjestelmä (joka vastaisi Yhdysvaltojen TFTP-ohjelmaa), sähköinen matkustuslupajärjestelmä (ESTA-järjestelmä) ja eurooppalainen poliisirekisteritietojärjestelmä (EPRIS-järjestelmä).

58.

Euroopan tietosuojavaltuutettu seuraa tarkasti näiden aloitteiden edistymistä ja esittää tarvittaessa huomioita ja ehdotuksia.

59.

Euroopan tietosuojavaltuutettu antaa täyden tukensa tiedonannolle, jossa esitetään kattava katsaus olemassa oleviin ja suunniteltuihin tiedonvaihtojärjestelmiin EU:ssa. Euroopan tietosuojavaltuutettu on useissa lausunnoissa ja huomioissa puolustanut tarvetta arvioida kaikki olemassa olevat tiedonvaihtovälineet, ennen kuin uusia ehdotetaan.

60.

Euroopan tietosuojavaltuutettu pitää hyvänä sitä, että tiedonannossa viitataan SEUT 16 artiklan pohjalta parhaillaan kehitettävään kattavaan tietosuojakehykseen, joka tulisi ottaa huomioon myös tarkasteltaessa tiedonhallintaa EU:ssa.

61.

Euroopan tietosuojavaltuutettu pitää tätä tiedonantoa ensimmäisenä askeleena arviointiprosessissa. Sen pohjalta pitäisi toteuttaa todellinen selvitys, jonka tuloksena saadaan kattava, yhtenäinen ja selkeästi jäsennetty EU:n politiikka tiedonvaihdon ja -hallinnan alalla. Tässä yhteydessä Euroopan tietosuojavaltuutettu panee tyytyväisenä merkille kytköksen muihin aloitteisiin, joilla komissio on vastannut Tukholman ohjelmaan, erityisesti kartoitukseen, jonka komissio suorittaa tiiviissä yhteistyössä kartoituksen hankeryhmän kanssa.

62.

Euroopan tietosuojavaltuutettu ehdottaa, että jatkossa tiedonhallinnan alalla raportoitaisiin myös epäonnistumisista ja heikkouksista, kuten niiden henkilöiden määrästä, jotka on pidätetty perusteettomasti tai joille on aiheutunut jotakin haittaa järjestelmän väärästä osumasta.

63.

Käyttötarkoituksen rajoittamisen periaatteen pitäisi olla keskeinen seikka kaikissa EU:ssa tapahtuvaan tiedonvaihtoon liittyvissä välineissä, ja uusia välineitä saisi ehdottaa vain, jos käyttötarkoituksen rajoittamisen periaatetta on asianmukaisesti tarkasteltu ja noudatettu valmisteluvaiheessa. Sama koskee välineiden täytäntöönpanoa.

64.

Euroopan tietosuojavaltuutettu kannustaa komissiota varmistamaan konkreettisilla toimenpiteillä ja mekanismeilla, että tarpeellisuuden ja suhteellisuuden periaatteita noudatetaan ja toteutetaan käytännössä kaikissa uusissa ehdotuksissa, jotka vaikuttavat yksilöiden oikeuksiin. Myös olemassa olevat järjestelmät on arvioitava tältä osin.

65.

Euroopan tietosuojavaltuutettu uskoo, että tiedonanto tarjoaa erinomaisen tilaisuuden käynnistää keskustelu siitä, mitä yksityisyyden suojan ja tietosuojan vaikutusten arvioinnilla todella tarkoitetaan, ja tarkentaa tätä käsitettä.

66.

Hän myös kehottaa komissiota laatimaan johdonmukaiset ja yhtenäiset ohjeet biometristen tietojen käytön edellytyksille, kehittämään politiikan järjestelmien toimivuudelle ja yhtenäistämään rekisteröityjen oikeuksia EU:n tasolla.

67.

Euroopan tietosuojavaltuutettu pitää hyvänä viittausta sisäänrakennetun yksityisyyden suojan käsitteeseen, joka on yleistymässä sekä yksityisellä että julkisella sektorilla ja jolla on siten oltava keskeinen asema myös poliisi- ja oikeusasioissa.

68.

Viimeisenä muttei vähäisimpänä asiana Euroopan tietosuojavaltuutettu pyytää kiinnittämään huomiota hänen kohdassa ”Komission säädösehdotukset” esittämiinsä huomioihin ja huoliin maahantulo- ja maastapoistumisjärjestelmästä ja rekisteröityjen matkustajien ohjelmasta.