10.4.2008   

FI

Euroopan unionin virallinen lehti

C 89/1

1.

Euroopan unionin virallisessa lehdessä julkaistiin 9. marraskuuta 2007 Saksan liittotasavallan aloite neuvoston päätöksen tekemiseksi rajatylittävän yhteistyön tehostamisesta erityisesti terrorismin ja rajatylittävän rikollisuuden torjumiseksi tehdyn päätöksen 2007/…/YOS täytäntöönpanosta (1) (”aloite”). Tätä aloitetta täydennetään 18. lokakuuta 2007 päivätyllä liitteellä, joka sisältää muita yksityiskohtia päätöksen 2007/…/YOS täytäntöönpanosta (2) (”liite”).

2.

Euroopan tietosuojavaltuutetulta ei pyydetty lausuntoa tästä täytäntöönpanopäätöstä koskevasta aloitteesta. Tämän vuoksi tietosuojavaltuutettu antaa tämän lausunnon omasta aloitteestaan samalla tavoin kuin hän antoi 4. huhtikuuta 2007 lausunnon neuvoston päätöstä koskevasta aloitteesta (3).

3.

Vaikka EU-sopimuksen VI osaston nojalla lainsäädäntötoimenpiteestä aloitteen tekevällä jäsenvaltiolla ei ole oikeudellista velvoitetta pyytää Euroopan tietosuojavaltuutetulta lausuntoa, menettely ei myöskään estä pyytämästä sitä. Lisäksi Euroopan tietosuojavaltuutettu suositti 4. huhtikuuta 2007 antamassaan lausunnossa seuraavan virkkeen lisäämistä kyseisen neuvoston päätöksen 34 artiklaan: ”Neuvosto kuulee Euroopan tietosuojavaltuutettua tällaisen täytäntöönpanotoimenpiteen toteuttamisesta”. Suositusta ei valitettavasti ole noudatettu huolimatta sen johdonmukaisista perusteista: täytäntöönpanotoimenpiteet vaikuttavat tässä tapauksessa useimmiten henkilötietojen käsittelyyn. Saksan tasavallan aloite on selkeä esimerkki tästä johdonmukaisuudesta.

4.

Euroopan tietosuojavaltuutettu ei tee sisällöllisiä johtopäätöksiä tästä tuloksesta. Tulos sopii neuvoston valitsemaan lähestymistapaan muuttaa aloitetta mahdollisimman vähän, jotta se olisi täysin yhdenmukainen joidenkin jäsenvaltioiden aiemmin allekirjoittaman Prümin sopimuksen kanssa. Euroopan tietosuojavaltuutettu käsittelee tässä lausunnossa tarkemmin tämän lähestymistavan vaikutusta demokratian kannalta.

5.

Seitsemän jäsenvaltiota allekirjoitti toukokuussa 2005 Prümin sopimuksen EU-sopimuksesta erillään. Tämän jälkeen sopimukseen on liittynyt muitakin jäsenvaltioita.

6.

Prümin sopimusta täydentämään on tehty 5. joulukuuta 2006 täytäntöönpanosopimus, joka perustuu mainitun sopimuksen 44 artiklaan. Täytäntöönpanosopimus on tarpeellinen Prümin sopimuksen toiminnan kannalta.

7.

Prümin sopimuksen keskeiset osat saatetaan osaksi Euroopan unionin lainsäädäntöä sen jälkeen kun on tehty 15 jäsenvaltion aloitetta koskeva neuvoston päätös 2007/…/YOS (Prümin aloite), josta on jo saatu aikaan poliittinen yhteisymmärrys neuvostossa. Keskeisten osien saattaminen EU-sopimuksen osaksi oli alusta alkaen sopimuspuolten tarkoituksena, mikä käy ilmi Prümin sopimuksen johdanto-osasta.

8.

Neuvoston päätöksen tekemiseen johtavan lainsäädäntöprosessin aikana ei ollut enää tarkoitus käsitellä asiakysymyksiä vaan päästä yhteisymmärrykseen Prümin sopimuksen säännöstöstä. Tämä aikomus oli sitäkin tärkeämpi, kun otetaan huomioon, että lainsäädäntöprosessin aikana sopimuksen ratifointi jatkui monissa jäsenvaltioissa ja sopimus tuli voimaan.

9.

Tässä lausunnossa käsitellään luonnosta täytäntöönpanosääntöjä koskevaksi neuvoston päätökseksi. Euroopan tietosuojavaltuutetun aiemmassa lausunnossa esitetyt huomautukset Prümin aloitetta koskevasta neuvoston päätöksestä ovat edelleen voimassa eikä niitä toisteta, ellei se ole tarpeen niiden kysymysten korostamiseksi, joihin lainsäätäjä voisi vielä puuttua täytäntöönpanosäännöissä.

10.

Tässä yhteydessä on tärkeää painottaa täytäntöönpanosääntöjen erityistä merkitystä siinä mielessä, että joidenkin hallinnollisten ja teknisten säännösten lisäksi niissä määritellään järjestelmää ja sen toimintaa koskevat keskeiset näkökohdat ja välineet. Esimerkiksi täytäntöönpanosääntöjen 1 luvussa vahvistetaan Prümin sopimusta koskevassa neuvoston päätöksessä käytettyjen termien määritelmät. Lisäksi täytäntöönpanosäännöissä vahvistetaan tietojenvaihtoa koskevat yhteiset säännökset (2 luku) ja määritellään DNA- (3 luku), sormenjälki- (4 luku) ja ajoneuvorekisteritietojen vaihdon (5 luku) erityispiirteet. 6 luvun loppusäännökset sisältävät tärkeitä säännöksiä, jotka koskevat käsikirjoissa annettavia muita täytäntöönpanosääntöjä ja päätöksen soveltamisen arviointia.

11.

Lisäksi käsitellään liitettä, koska se auttaa tai sen pitäisi auttaa määrittelemään ehdotetun järjestelmän ominaispiirteet ja rekisteröityjen suojan takeet.

12.

Euroopan tietosuojavaltuutettu toteaa, että tässäkin tapauksessa Prümin yleissopimuksen osalta jo voimassa olevat täytäntöönpanosäännöt näyttävät vähentävän huomattavasti neuvostolle jätettyä todellista liikkumavaraa. Aloitteen johdanto-osan 3 ja 18 kappaleessa todetaan, että sekä täytäntöönpanopäätös että käsikirjat perustuvat 5. joulukuuta 2006 Prümin sopimuksen hallinnollisesta ja teknisestä täytäntöönpanosta sovittuihin täytäntöönpanosäännöksiin. Tämän vuoksi aloite edellyttää kaikkien 27 jäsenvaltion noudattavan Prümin sopimuksen allekirjoittaneiden seitsemän jäsenvaltion jo määrittelemää polkua.

13.

Lähestymistapa häiritsee aidosti avoimen ja demokraattisen lainsäädäntöprosessin kehittämistä, koska se vähentää huomattavasti mahdollisuutta järjestää laajamittaista keskustelua ja ottaa tosiasiallisesti huomioon Euroopan parlamentin lainsäädäntötehtävä sekä muiden toimielinten, kuten Euroopan tietosuojavaltuutetun, neuvoa-antava tehtävä. Euroopan tietosuojavaltuutettu suosittaa, että aloitteesta ja sen liitteestä keskustellaan avoimesti hyödyntäen tosiasiallisesti kaikkien institutionaalisten toimijoiden näkemykset, ottaen myös huomioon Euroopan parlamentin asema täysivaltaisena lainsäätäjänä tällä alalla, kunhan Lissabonissa 13. joulukuuta 2007 allekirjoitettu uudistussopimus tulee voimaan.

14.

Tietosuojaan sovellettava säädöskehys on monimutkainen ja vaihteleva. Prümin sopimusta koskevan neuvoston aloitteen 6 luvussa vahvistetaan joitakin tietosuojaa koskevia takeita ja erityissääntöjä. Nämä erityissäännöt eivät kuitenkaan toimi muista irrallaan, vaan niiden asianmukainen toiminta edellyttää, että ne perustuvat kehittyneeseen yleiseen kehykseen, jolla suojataan poliisin ja oikeusviranomaisten käsittelemiä henkilötietoja. Käsiteltävänä olevan Prümin sopimusta koskevan neuvoston aloitteen 25 artiklassa viitataan Euroopan neuvoston yleissopimuksen 108 artiklaan. Euroopan tietosuojavaltuutettu on kuitenkin toistuvasti painottanut, että yleissopimuksen 108 artiklaan sisältyviä periaatteita on tarkennettava ja siten varmistettava korkeatasoinen ja yhdenmukainen tietosuojan taso, joka takaa sekä kansalaisten oikeudet että tehokkaan lainvalvonnan vapauden, turvallisuuden ja oikeuden alueella (4).

15.

Tässä suhteessa komissio antoi jo lokakuussa 2005 ehdotuksen yleisestä välineestä eli ehdotuksen neuvoston puitepäätökseksi poliisiyhteistyössä ja rikosasioissa tehtävässä oikeudellisessa yhteistyössä käsiteltävien henkilötietojen suojaamisesta (kolmannen pilarin tietosuojaa koskeva puitepäätösehdotus). Neuvosto ei ole vielä hyväksynyt ehdotusta, vaan sen käsittely on vielä kesken ja siihen tehdään mahdollisesti muutoksia, mikä viivästyttää sen antamista ja täytäntöönpanoa. Tähän mennessä on kuitenkin selvää, että tätä puitepäätöstä, sellaisena kuin se tällä hetkellä on, sovellettaisiin vain toisten jäsenvaltioiden kanssa vaihdettuihin henkilötietoihin eikä kansalliseen tietojenkäsittelyyn (5).

16.

Lisäksi kolmannen pilarin tietosuojaa koskevan puitepäätösehdotuksen nykyinen versio edellyttää vain vähimmäistason yhdenmukaistamista ja takeita siitä huolimatta, että sen tavoitteena on varmistaa korkeatasoinen tietosuoja. Tämä tarkoittaa sitä, että joissakin välineissä, kuten käsiteltävänä olevassa aloitteessa, joille tietosuojaa koskevasta kattavasta yleisestä kehyksestä olisi ollut hyötyä, on nyt otettava huomioon kolmannen pilarin tietosuojaa koskevan puitepäätösehdotuksen puutteet.

17.

Tämän vuoksi Euroopan tietosuojavaltuutettu toisaalta toistaa, että Prümin sopimusta koskevien neuvoston päätösten ei pitäisi tulla voimaan ennen kuin jäsenvaltiot ovat panneet täytäntöön kolmannen pilarin tietosuojaa koskevan yleisen puitepäätöksen. Tämä edellytys olisi nimenomaisesti vahvistettava aloitteessa, ja tietojenvaihtojärjestelmän tietosuojatakeiden toimivuus olisi tarkastettava ennakolta asianmukaisesti. Tässä yhteydessä on myös hyvin tärkeää taata, että säädösten välisiä suhteita selvennetään sen varmistamiseksi, että kolmannen pilarin tietosuojaa koskeva puitepäätös toimii yleisenä säädöksenä (lex generalis), samalla kun muita Prümin sopimusta koskevassa neuvoston aloitteessa vahvistettuja erityistakeita ja räätälöityjä tiukempia vaatimuksia voidaan soveltaa (6).

18.

Lainsäätäjän pitäisi toisaalta tarkentaa, että Prümin sopimusta koskevan neuvoston aloitteen 6 luvussa olevia DNA-, sormenjälki- ja ajoneuvorekisteritietoja koskevia erityisiä tietosuojasääntöjä sovelletaan paitsi mainittujen tietojen vaihtoon, myös niiden keräämiseen, tallentamiseen ja kansalliseen käsittelyyn sekä muuhun henkilötietojen toimittamiseen neuvoston päätöksen soveltamisalan puitteissa. Tällainen tarkennus olisi yhdenmukainen Prümin sopimusta koskevan neuvoston aloitteen 24 artiklan 2 kohdan kanssa sekä johdonmukainen seuraus jäsenvaltioiden velvoitteesta kerätä, tallentaa ja jakaa edellä mainitunlaisia tietoja.

19.

Tämän merkitys korostuu entisestään, kun otetaan huomioon, että kolmannen pilarin tietosuojaa koskevaa puitepäätösehdotusta ei todennäköisesti sovelleta henkilötietojen kansalliseen käsittelyyn. Neuvosto teki tämän päätöksen mutta samanaikaisesti tarkensi, että valinta ei rajoita oikeusperustan mahdollista käyttöä tämänkaltaiseen käsittelyyn. Edellä esitetty huomioon ottaen ja koska nykyinen aloitekokonaisuus, johon kuuluvat Prümin sopimusta koskeva neuvoston aloite ja täytäntöönpanosäännöt, velvoittaa perustamaan ja ylläpitämään tiettyjä tietokantoja, kuten DNA-tietokanta, sen olisi myös sisällettävä keräämisestä ja tallentamisesta — erityisesti DNA-tunnisteiden keräämisestä ja tallentamisesta — johtuvia käsittelyä koskevia takeita. Jos näitä säädöksiä on määrä soveltaa vain vaihdettuihin tietoihin, niissä ei olisi asianmukaisia henkilötietojen suojaa koskevia säännöksiä, joita olisi sovellettava kaikkiin toimiin, jotka perustuvat EU-sopimuksen 30 artiklan 1 kohdan b alakohtaan.

20.

Euroopan tietosuojavaltuutettu kehottaa lainsäätäjää varmistamaan EU-sopimuksen 30 artiklan 1 kohdan b alakohdan mukaisesti, että tietosuojaa koskeva selkeä, tehokas ja kattava säädöskehys, joka koostuu erilaisista yleisiä säännöksiä ja erityistakeita sisältävistä säädöksistä, on toiminnassa ennen käsiteltävänä olevan aloitteen voimaantuloa.

21.

Euroopan tietosuojavaltuutettu viittaakin tässä lausunnossaan tarvittaessa niihin kysymyksiin, joita ei ole vielä (täysin) käsitelty kolmannen pilarin tietosuojaa koskevassa puitepäätösehdotuksessa ja jotka olisi sen vuoksi otettava huomioon käsiteltävänä olevalla aloitteella perustettavan järjestelmän täytäntöönpanossa.

22.

Euroopan tietosuojavaltuutettu painottaa, että avoimuudella on tärkeä osa sekä päätöksentekoprosessissa että sääntöjen täytäntöönpanossa. Avoimuudella voidaan yhtäältä auttaa kaikkia asianomaisia institutionaalisia toimijoita osallistumaan prosessiin täysimääräisesti ja tehokkaasti sekä toisaalta edistää julkista keskustelua ja riittävää tiedotusta kansalaisille.

23.

Valitettavasti tässä tapauksessa tietyt olosuhteet vaikuttavat avoimuuteen: ehdotuksessa ei ole perusteluosaa, jossa selvitettäisiin ehdotettujen toimenpiteiden taustalla olevia syitä, niiden tehokkuutta ja mahdollisia toimintapoliittisia vaihtoehtoja; liitteen teksti on edelleen puutteellinen — sitä ei esimerkiksi ole vielä julkaistu Euroopan unionin virallisessa lehdessä eikä käännetty kaikille virallisille kielille, artiklaviittaukset ja terminologia ovat usein epätarkkoja, DNA-tietokantojen sisältöä koskevia jäsenvaltioiden ilmoituksia ei ole saatavilla; itse aloitteessa ei säädetä velvoitteista tai mekanismeista, joiden avulla kansalaisille voidaan antaa asianmukaista tietoa toteutetuista toimenpiteistä ja niihin tehdyistä muutoksista.

24.

Euroopan tietosuojavaltuutettu suosittaa siksi lisäämään toimenpiteiden avoimuutta toimittamalla liitteen lopullisen version mahdollisimman pian ja laatimalla mekanismeja, joiden avulla kansalaisille tiedotetaan järjestelmien ominaisuuksista, kansalaisten oikeuksista ja niiden käytöstä. Viimeksi mainituista tiedotuskampanjoista olisi nimenomaisesti säädettävä aloitteessa tai sen liitteessä.

25.

Käsiteltävänä olevassa aloitteessa noudatetaan pitkälti Prümin sopimuksen nojalla laadittuja täytäntöönpanosääntöjä. Mutta kuten Prümin sopimusta koskevasta neuvoston aloitteesta annetussa lausunnossa (33–35 kohta) jo todettiin, muutaman jäsenvaltion välistä tietojenvaihtoa varten suunnitellut mekanismit eivät välttämättä sovellu paljon laajempaan järjestelmään, kuten 27 jäsenvaltion väliseen tietojenvaihtoon, minkä johdosta niitä joudutaan ehkä muuttamaan.

26.

Pienimuotoisuus mahdollistaa järjestelmään osallistuvien jäsenvaltioiden väliset tiiviit yhteydet sekä lainvalvonnassa että asianomaisten henkilöiden henkilötietojen suojaan kohdistuvien riskien valvonnassa. Tämä ei toimi laajemmassa järjestelmässä, jossa tietojen keräämistä, tallentamista ja käsittelyä koskevat kansalliset käytännöt ja oikeusjärjestelmät eroavat pitkälti toisistaan erityisesti DNA-tunnisteiden ja sormenjälkien osalta. Lisäksi eri kielten ja erilaisten oikeudellisten käsitteiden käyttö voi vaikuttaa tietojenvaihdon tarkkuuteen sellaisten maiden välillä, joilla on erilaiset oikeudelliset perinteet. Siksi Euroopan tietosuojavaltuutettu pyytää lainsäätäjää ottamaan asianmukaisesti huomioon järjestelmän laajuuden käsiteltävänä olevan aloitteen käsittelyssä varmistamalla, että osallistuvien jäsenvaltioiden lukumäärän kasvu ei heikennä sen tehokkuutta. Erityisesti olisi vahvistettava tietojenvaihtoa varten erityismallit täytäntöönpanosäännöissä, ottaen myös huomioon kielten eroavuudet, ja tietojenvaihdon tarkkuutta olisi valvottava jatkuvasti.

27.

Aloitteessa olisi tunnustettava itsenäisten valvontaviranomaisten tärkeä asema laajamittaisessa rajatylittävässä tietojenvaihdossa, ja niille olisi annettava sellainen asema, että ne voivat tosiasiassa suorittaa tehtävänsä.

28.

Nykyisessä säädöskehyksessä ei ensinnäkään säädetä toimivaltaisten valvontaviranomaisten kuulemisesta tai osallistumisesta, kun on kyse muutosten tekemisestä täytäntöönpanosääntöihin ja niiden liitteisiin (aloitteen 18 artikla), tietosuojasääntöjen täytäntöönpanosta jäsenvaltioissa (20 artikla) tai tietojenvaihdon arvioinnista (21 artikla). Erityisen valitettavaa on esimerkiksi, että liitteen IV luvussa, jossa vahvistetaan täytäntöönpanon arvioimista koskevat yksityiskohtaiset säännöt, toimivaltaisia tietosuojaviranomaisia ei mainita ollenkaan. Euroopan tietosuojavaltuutettu suosittaa, että mainittujen viranomaisten keskeinen neuvoa-antava tehtävä ja asema mainitaan nimenomaisesti edellä mainituissa artikloissa.

29.

Toiseksi aloitteessa olisi varmistettava, että jäsenvaltiot antavat tietosuojaviranomaisille tarvittavat (lisä) resurssit, jotta ne voivat suorittaa ehdotetun järjestelmän täytäntöönpanosta johtuvat valvontatehtävät.

30.

Kolmanneksi aloitteessa olisi edellytettävä, että toimivaltaisten tietosuojaviranomaisten on kokoonnuttava säännöllisesti EU:n tasolla koordinoidakseen toimiaan ja yhdenmukaistaakseen näiden välineiden soveltamista. Tästä mahdollisuudesta olisi nimenomaisesti säädettävä aloitteessa sikäli kuin kolmannen pilarin tietosuojaa koskevassa puitepäätöksessä ei perusteta yleisempää tietosuojaviranomaisten foorumia EU:n tasolla.

31.

Aloitteen 2 artiklassa annetaan joukko määritelmiä, jotka osittain noudattelevat neuvoston päätökseen sisältyviä määritelmiä. Ensinnäkin korostettakoon sitä, että aloitteen 2 artiklaan sisältyvät määritelmät eivät vastaa täsmälleen neuvoston päätöksessä ja erityisesti sen 24 artiklassa vahvistettuja määritelmiä. Lainsäätäjän olisi mukautettava näiden tekstien sanamuoto täytäntöönpano-ongelmien välttämiseksi.

32.

Toiseksi Euroopan tietosuojavaltuutettu pahoitteli jo Prümin sopimusta koskevasta aloitteesta antamassaan lausunnossa henkilötietoja koskevan selkeän määritelmän puutetta (41–43 kohta). Tämä puute on vieläkin valitettavampi täytäntöönpanosäännöissä, joita ehdotetaan tilanteessa, jossa on jo selvää, että kolmannen pilarin tietosuojaa koskevaa puitepäätöstä ei aikanaan sovelleta henkilötietojen ja erityisesti DNA-tunnisteiden kansalliseen keräilyyn ja käsittelyyn. Euroopan tietosuojavaltuutettu kehottaa tämän vuoksi jälleen lainsäätäjää ottamaan käyttöön selkeän ja kokonaisvaltaisen henkilötietojen määritelmän.

33.

Tässä suhteessa täytäntöönpanosäännöissä olisi myös selvennettävä tietosuojasääntöjen sovellettavuutta tunnistamattomiin DNA-tunnisteisiin, joita ei ole vielä yhdistetty tunnistettuun henkilöön. Itse asiassa kyseisiä tietoja kerätään, vaihdetaan ja ristiinvertaillaan niiden yhdistämiseksi henkilöihin, joihin ne kuuluvat. Koska järjestelmän tavoitteena on tunnistaa kyseiset henkilöt ja koska nämä tiedot ovat tunnistamatta periaatteessa vain väliaikaisesti, niihin olisi siten myös sovellettava useimpia, ellei kaikkia henkilötietoihin sovellettavia säännöksiä ja takeita (7).

34.

Euroopan tietosuojavaltuutettu palauttaa myös DNA:n koodaamatonta osaa koskevan määritelmän (2 artiklan e kohta) osalta jälleen kerran mieleen (8), että mahdollisuudet saada joidenkin kromosomialueiden osalta tietoja organismin perinnöllisistä ominaisuuksista voivat parantua tieteen kehityksen myötä. Koodaamatonta osaa koskevan määritelmän olisi näin ollen oltava dynaaminen niin että siihen sisältyisi velvoite olla käyttämättä enää sellaisia DNA-markkereita, joista voidaan tieteen kehityksen ansiosta saada tietoja erityisistä perinnöllisistä ominaisuuksista (9).

35.

Aloitteen 8 artiklassa säännellään DNA-tunnisteiden automaattista hakua ja vertailua, ja siinä todetaan, että automaattinen ilmoitus vastaavuudesta ”toimitetaan vain silloin, kun automaattisessa haussa tai vertailussa on löytynyt vastaavuus DNA-kohtien vähimmäismäärälle”. Tämä vähimmäismäärä esitetään liitteen I luvussa: kunkin jäsenvaltion on varmistettava, että saataville annettujen DNA-tunnisteiden on sisällettävä vähintään kuusi seitsemästä DNA:n eri kohtia koskevasta EU:n standardijoukosta (liitteen I luvun 1.1 kohta); vertailu tehdään pyydettyihin ja saatuihin DNA-tunnisteisiin yleisesti sisältyvien vertailtavien kohteiden arvojen välillä (1.2 kohta); vastaavuus on olemassa, jos kaikki vertailtavien kohtien arvot ovat samat (täysi vastaavuus) tai jos vain yksi arvo on poikkeava (läheinen vastaavuus) (1.2 kohta); sekä täysistä että läheisistä vastaavuuksista raportoidaan (1.3 kohta).

36.

Euroopan tietosuojavaltuutettu toteaa tästä mekanismista, että vastaavuuden on oltava ehdottoman tarkka. Mitä suurempi toisiaan vastaavien DNA-kohtien lukumäärä on, sitä epätodennäköisempää on, että vertailtujen DNA-tunnisteiden välinen vastaavuus on väärä. Nykyisellään Euroopan unionin eri maissa on olemassa vaihtelevassa määrin ja rakenteeltaan erilaisia DNA-tietokantoja. Eri maissa käytetään eri numeroita ja erilaisia standardijoukkoja. Liitteessä toisiaan vastaavien DNA-kohtien lukumääräksi asetetaan vähintään kuusi antamatta tietoa tälle järjestelmälle suunnitellusta virhetasosta. Euroopan tietosuojavaltuutettu toteaa tältä osin, että monissa maissa käytetään useampia DNA-kohtia vastaavuustarkkuuden parantamiseksi ja väärien vastaavuuksien vähentämiseksi (10). Tämän takia suunnitellun järjestelmän tarkkuuden arvioimisen kannalta olisi keskeisen tärkeää, että annetaan tietoja kunkin vertaillun DNA-kohdan suunnitellusta virhetasosta.

37.

Tämä tarkoittaa myös sitä, että DNA-kohtien vähimmäismäärä on tärkeä tekijä, josta olisi säädettävä käsiteltävänä olevassa aloitteessa eikä liitteessä (jota neuvosto voi aloitteen 18 artiklan mukaisesti muuttaa määräenemmistöllä Euroopan parlamenttia kuulematta), jotta vältetään se, että DNA-kohtien lukumäärän vähentäminen voi vaikuttaa tarkkuuteen. Virheiden ja väärien vastaavuuksien mahdollisuus olisi otettava asianmukaisesti huomioon edellyttämällä, että läheisistä vastaavuuksista raportoidaan nimenomaisesti sellaisina (jolloin vastaanottavat viranomaiset ovat tietoisia siitä, että kyseinen vastaavuus ei ole yhtä luotettava kuin täysi vastaavuus).

38.

Lisäksi aloitteessa itsessäänkin myönnetään mahdollisuus siihen, että haut ja vertailut voivat tuottaa useita vastaavuuksia, mistä nimenomaisesti säädetään aloitteen DNA-tunnisteita koskevassa 8 artiklassa ja ajoneuvoja koskevassa liitteen 3 luvussa (1.2 kohta). Kaikissa näissä tapauksissa olisi tehtävä lisätarkistuksia ja — varmistuksia sen määrittämiseksi, mistä useat vastaavuudet johtuvat ja mikä niistä on oikea, ennen kuin kyseisen vastaavuuden perusteella vaihdetaan muita henkilötietoja.

39.

Vastaavasti Euroopan tietosuojavaltuutettu suosittaa, että etenkin DNA-vertailuja ja -hakuja tekeville lainvalvontaviranomaisille tiedotettaisiin tehokkaammin siitä, että DNA-tunnisteet eivät ole yksilöllisiä tunnisteita: edes tiettyjen DNA-kohtien täysi vastaavuus ei sulje pois mahdollisuutta saada vääriä vastaavuuksia eli esimerkiksi sitä, että henkilö yhdistetään väärin johonkin DNA-tunnisteeseen. DNA-tunnisteiden vertailuissa ja hauissa saattaa esiintyä virheitä eri vaiheissa: DNA-näytteiden huono laatu näytteenottohetkellä, DNA-analyysin mahdolliset tekniset virheet, tallennusvirheet tai pelkkä satunnainen vastaavuus tietyissä vertailussa huomioon otetuissa DNA-kohdissa. Viimeksi mainitun kohdan osalta virhetaso on todennäköisesti suurempi, kun DNA-kohtien lukumäärä vähenee ja tietokanta laajenee.

40.

Sormenjälkien vastaavuuden tarkkuutta voidaan tarkastella vastaavalla tavalla. Aloitteen 12 artiklan mukaan sormenjälkitietojen digitalisoinnissa ja niiden lähettämisessä käytetään liitteen II luvussa määriteltyä yhdenmukaista tallennusmuotoa. Lisäksi jäsenvaltioiden on varmistettava, että sormenjälkitiedot ovat riittävän hyvälaatuisia, jotta niitä voidaan verrata sormenjälkien automaattisissa tunnistusjärjestelmissä (AFIS: Automated Fingerprint Identification System). Liitteen 2 luvussa annetaan joitakin tarkempia tietoja käytettävästä tallennusmuodosta. Edellä esitetty huomioon ottaen Euroopan tietosuojavaltuutettu toteaa, että vastaavuusprosessin tarkkuuden varmistamiseksi aloitteessa ja sen liitteessä olisi yhdenmukaistettava mahdollisimman pitkälle jäsenvaltioissa käytössä olevat erilaiset AFIS-järjestelmät ja niiden käyttötapa, erityisesti väärin perustein tapahtuvan hylkäämisen asteen osalta. Euroopan tietosuojavaltuutetun mukaan nämä tiedot olisi sisällytettävä aloitteen 18 artiklan 2 kohdan nojalla laadittavaan käsikirjaan.

41.

Toinen keskeinen kysymys on se, että DNA- (ja sormenjälki-) tietokannat olisi määriteltävä tarkasti, koska niihin voi jäsenvaltioista riippuen sisältyä erilaisten rekisteröityjen (mm. rikollisten, epäilyksenalaisten ja muiden rikospaikalla läsnä olleiden) DNA-tunnisteita tai sormenjälkiä. Näistä eroavuuksista huolimatta käsiteltävänä olevassa aloitteessa ei määritellä, millaisia tietokantoja kussakin jäsenvaltiossa käytetään eikä asiaa koskevia ilmoituksia ole vielä liitteessä. Siksi vastaavuuksia voi löytyä epäyhtenäisille ja usein merkityksettömille rekisteröityjen ryhmille kuuluvien DNA- ja sormenjälkitietojen välillä.

42.

Euroopan tietosuojavaltuutetun mukaan aloitteessa olisi tarkennettava, minkä tyyppisiä rekisteröityjä tietojenvaihto koskee ja miten heidän erilainen asemansa ilmoitetaan muille jäsenvaltioille vertailun tai haun yhteydessä. Aloitteessa voitaisiin esimerkiksi asettaa velvoite toimittaa vastaavuusraportissa tietoja siitä, minkä tyyppistä rekisteröityä DNA-tietojen tai sormenjälkien vastaavuus koskee sikäli kuin nämä tiedot ovat pyynnön vastaanottaneiden viranomaisten saatavilla.

43.

Tietojenvaihdon arviointi aloitteen 21 artiklan ja liitteen 4 luvun nojalla on hyvä asia. Näissä säännöksissä käsitellään kuitenkin lähinnä automaattisen tietojenvaihdon hallinnollista, teknistä ja rahoitusta koskevaa täytäntöönpanoa edes mainitsematta tietosuojasääntöjen täytäntöönpanon arviointia.

44.

Sen vuoksi Euroopan tietosuojavaltuutettu ehdottaa, että korostetaan erityisesti tietojenvaihdon tietosuojanäkökohtien arviointia ja kiinnitetään erityistä huomiota niihin tarkoituksiin, joita varten tietoja on vaihdettu, menetelmiin, joilla rekisteröidyistä ilmoitetaan, vaihdettujen tietojen tarkkuuteen ja vääriin vastaavuuksiin, henkilötietojen saantia koskeviin pyyntöihin, säilyttämisaikojen pituuteen ja turvatoimenpiteiden tehokkuuteen. Tässä yhteydessä olisi varmistettava asiaankuuluvien tietosuojaviranomaisten ja asiantuntijoiden asianmukainen osallistuminen esimerkiksi edellyttämällä, että tietosuoja-asiantuntijat osallistuvat liitteen 4 luvussa edellytettyihin arviointikäynteihin ja että tietosuojaviranomaiset saavat aloitteen 20 artiklassa ja liitteen 4 luvussa tarkoitetun arviointiraportin.

45.

Aloitteen 4 artiklassa edellytetään, että kaikki sähköinen tietojenvaihto tapahtuu käyttäen TESTA II -tietoliikenneverkkoa. Tältä osin 54 kohdassa liitteen sivulla 76 mainitaan, että järjestelmä noudattaa asetuksessa (EY) N:o 45/2001 (21, 22 ja 23 artikla) ja direktiivissä 95/46/EY säädettyjä tietosuojaseikkoja. Euroopan tietosuojavaltuutettu suosittaa, että näitä tietoja selvennetään myös siihen nähden, mikä asema yhteisön toimielimillä tulee järjestelmässä olemaan. Tässä yhteydessä olisi otettava täysin huomioon asetukseen (EY) N:o 45/2001 perustuvat Euroopan tietosuojavaltuutetun valvonta- samoin kuin neuvonanto tehtävät.

46.

Lisäksi Euroopan tietosuojavaltuutettu harkitsee, kunhan liite on viimeistelty ja sisältää kaikki järjestelmien ominaisuuksia selventävät tiedot ja ilmoitukset, onko järjestelmän teknisemmistä näkökohdista annettava lisäneuvoja.

—

Euroopan tietosuojavaltuutettu suosittaa, että aloitteesta ja sen liitteestä keskustellaan avoimesti ottaen tosiasiallisesti huomioon kaikkien institutionaalisten toimijoiden näkemykset ja myös Euroopan parlamentin asema täysivaltaisena lainsäätäjänä tällä alalla, kunhan Lissabonissa 13. joulukuuta 2007 allekirjoitettu uudistussopimus tulee voimaan.

—

Euroopan tietosuojavaltuutettu kehottaa lainsäätäjää varmistamaan EU-sopimuksen 30 artiklan 1 kohdan b alakohdan mukaisesti, että tietosuojaa koskeva selkeä, tehokas ja kattava säädöskehys, joka koostuu erilaisista yleisiä säännöksiä ja erityistakeita sisältävistä säädöksistä, on toiminnassa ennen käsiteltävänä olevan aloitteen voimaantuloa.

—

Euroopan tietosuojavaltuutettu suosittaa lisäämään toimenpiteiden avoimuutta toimittamalla liitteen lopullisen version mahdollisimman pian ja laatimalla mekanismeja, joiden avulla kansalaisille tiedotetaan järjestelmien ominaisuuksista, kansalaisten oikeuksista ja näiden oikeuksien käytöstä.

—

Euroopan tietosuojavaltuutettu pyytää lainsäätäjää ottamaan asianmukaisesti huomioon järjestelmän laajuuden käsiteltävänä olevan aloitteen käsittelyssä varmistamalla, että osallistuvien jäsenvaltioiden lukumäärän kasvu ei heikennä sen tehokkuutta. Täytäntöönpanosäännöissä olisi vahvistettava erityisesti tietojenvaihtoa varten erityismallit ottaen myös huomioon kielten eroavuudet, ja tietojenvaihdon tarkkuutta olisi valvottava jatkuvasti.

—

Euroopan tietosuojavaltuutettu suosittaa, että asiaankuuluvien tietosuojaviranomaisten keskeinen neuvoa-antava tehtävä mainitaan nimenomaisesti artikloissa, jotka koskevat täytäntöönpanosääntöjen ja niiden liitteiden muutoksia (18 artikla), tietosuojasääntöjen täytäntöönpanoa jäsenvaltioissa (20 artikla) ja tietojenvaihdon arviointia (21 artikla). Lisäksi aloitteessa olisi varmistettava, että jäsenvaltiot antavat tietosuojaviranomaisille tarvittavat (lisä) resurssit, jotta ne voivat suorittaa ehdotetun järjestelmän täytäntöönpanosta johtuvat valvontatehtävät, ja että toimivaltaiset tietosuojaviranomaiset kokoontuvat säännöllisesti EU:n tasolla koordinoidakseen toimiaan ja yhdenmukaistaakseen näiden välineiden soveltamista.

—

Euroopan tietosuojavaltuutettu kehottaa tämän vuoksi lainsäätäjää ottamaan käyttöön selkeän ja kokonaisvaltaisen henkilötietojen määritelmän. Tässä suhteessa täytäntöönpanosäännöissä olisi myös selvennettävä tietosuojasääntöjen soveltamista tunnistamattomiin DNA-tunnisteisiin, joita ei ole vielä yhdistetty tunnistettuun henkilöön. Euroopan tietosuojavaltuutettu muistuttaa jälleen kerran, että koodaamatonta osaa koskevan määritelmän olisi oltava dynaaminen ja sisällettävä velvoite olla käyttämättä enää sellaisia DNA-markkereita, joista voi tieteen kehityksen ansiosta saada tietoja erityisistä perinnöllisistä ominaisuuksista.

—

Euroopan tietosuojavaltuutettu suosittaa, että automaattisten hakujen ja vertailujen yhteydessä vastaavuusprosessin tarkkuus otetaan asianmukaisesti huomioon.

—

Euroopan tietosuojavaltuutettu ehdottaa, että korostetaan erityisesti tietojenvaihdon tietosuojanäkökohtien arviointia ja kiinnitetään erityistä huomiota niihin tarkoituksiin, joita varten tietoja on vaihdettu, menetelmiin, joilla rekisteröidyistä ilmoitetaan, vaihdettujen tietojen tarkkuuteen ja vääriin vastaavuuksiin, henkilötietojen saantia koskeviin pyyntöihin, säilyttämisaikojen pituuteen ja turvatoimenpiteiden tehokkuuteen. Tässä yhteydessä olisi varmistettava asiaankuuluvien tietosuojaviranomaisten ja asiantuntijoiden asianmukainen osallistuminen.

—

Euroopan tietosuojavaltuutettu suosittaa, että TESTA II -tietoliikenneverkon käyttöä ja sen yhdenmukaisuutta asetuksen (EY) N:o 45/2001 kanssa selvennetään myös siihen nähden, mikä asema yhteisön toimielimillä tulee järjestelmässä olemaan.