23.3.2010   

FI

Euroopan unionin virallinen lehti

C 73/1

1.

Komissio hyväksyi 27 päivänä heinäkuuta 2009 ehdotuksen neuvoston asetukseksi tiettyihin luonnollisiin henkilöihin ja oikeushenkilöihin, yhteisöihin ja muihin elimiin kohdistuvien rajoittavien erityistoimenpiteiden käyttöönotosta Somalian tilanteen vuoksi sekä ehdotuksen neuvoston asetukseksi tietyistä Zimbabwea koskevista rajoittavista toimenpiteistä annetun neuvoston asetuksen (EY) N:o 314/2004 muuttamisesta. Komissio hyväksyi myös 18 päivänä syyskuuta ehdotuksen neuvoston asetukseksi Korean demokraattiseen kansantasavaltaan kohdistuvista rajoittavista toimenpiteistä annetun neuvoston asetuksen (EY) N:o 329/2007 muuttamisesta. Komissio hyväksyi vielä 23 päivänä marraskuuta ehdotuksen neuvoston asetukseksi tietyistä Guineaan kohdistuvista rajoittavista toimenpiteistä. Komissio lähetti kaikki nämä ehdotukset Euroopan tietosuojavaltuutetulle lausuntoa varten asetuksen (EY) N:o 45/2001 28 artiklan 2 kohdan mukaisesti. Euroopan tietosuojavaltuutettu muistuttaa toimittaneensa myös näitä ehdotusluonnoksia samoin kuin muita vastaavia varojen jäädyttämisestä ja muista rajoittavista toimenpiteistä annettuja neuvoston asetusten muutosehdotuksia koskevia epävirallisia huomautuksia.

2.

Tietosuojavaltuutettu on tyytyväinen siihen, että häntä kuullaan ja että kuulemiseen viitataan ehdotusten johdanto-osassa samalla tavalla kuin monessa muussa lainsäädäntötekstissä, joiden osalta häntä on kuultu asetuksen (EY) N:o 45/2001 mukaisesti.

3.

Näiden kaikkien ehdotusten tavoitteena on nykyistä lainsäädäntöä muuttamalla tai uusia säädöksiä ehdottamalla torjua terrorismia tai ihmisoikeusloukkauksia ottamalla käyttöön rajoittavia toimenpiteitä. Kyseiset toimenpiteet – etenkin varojen jäädyttäminen ja matkustuskiellot – kohdistuvat luonnollisiin ja oikeushenkilöihin, joita epäillään yhteyksistä terroristijärjestöihin ja/tai tiettyihin hallituksiin. Tätä varten Euroopan komissio julkaisee ja julkistaa mustia listoja niistä luonnollisista ja oikeushenkilöistä, joita nämä rajoittavat toimenpiteet koskevat.

4.

Euroopan tietosuojavaltuutettu antoi jo 28 päivänä heinäkuuta 2009 lausunnon ehdotuksesta neuvoston asetukseksi tiettyihin Osama bin Ladenia, al-Qaida-verkostoa ja Talebania lähellä oleviin henkilöihin ja yhteisöihin kohdistuvista erityisistä rajoittavista toimenpiteistä annetun asetuksen (EY) N:o 881/2002 muuttamisesta (jäljempänä ’al-Qaida-ehdotus’). Lausunnossa pidettiin tervetulleena komission aikomusta varmistaa paremmin perusoikeuksien suojelu, johon kuuluu henkilötietosuoja, ja suositettiin, että eräitä ehdotuksen kohtia muutettaisiin ja/tai selvennettäisiin EU:n keskeisten tietosuojaperiaatteiden noudattamiseksi. Tietosuojavaltuutettu on seurannut tiiviisti al-Qaida-ehdotuksen käsittelyn edistymistä neuvostossa (3) ja pahoittelee sitä, että monet henkilötietosuojaa koskevat säännökset on poistettu tai niitä on merkittävästi vähennetty.

5.

Edellä mainitussa lausunnossa esitetyt huomautukset ovat yhä voimassa, ja useimmat niistä pätevät jossakin määrin myös nyt käsiteltäviin ehdotuksiin, joiden useissa säännöksissä heijastuu edellä mainitun ehdotuksen sisältö. Tässä lausunnossa, jossa otetaan huomioon kaikki Euroopan tietosuojavaltuutetun käsiteltäväksi tähän mennessä saapuneet ehdotukset sekä niiden käsittelyn eteneminen neuvostossa, käsitellään tietosuojaperiaatteiden soveltamista rajoittavien toimenpiteiden alalla ja esitetään parannussuosituksia. Suosituksissa otetaan myös huomioon Lissabonin sopimuksen voimaantulo sekä hiljattain hyväksytyn Tukholman ohjelman (4) mukaiset merkittävät poliittiset suuntaviivat. Tämä menettelytapa tarkoittaa sitä, että tietosuojavaltuutettu voi antaa uusia lausuntoja tämän alan säädösehdotuksista vain silloin, kun uusissa ehdotuksissa poiketaan huomattavasti nyt käsiteltävien ehdotusten sisällöstä.

6.

Tässä lausunnossa keskitytään niihin rajoittavien toimenpiteiden näkökohtiin, jotka liittyvät suoraan henkilötietosuojaan ja etenkin niihin näkökohtiin, joita tulisi tietosuojavaltuutetun mielestä tämän alan osalta selkeyttää oikeusvarmuuden ja toimenpiteiden tehokkuuden varmistamiseksi. Tässä lausunnossa ei käsitellä muita sisällöllisiä kysymyksiä, jotka saattavat liittyä kyseisiin luetteloihin merkitsemiseen muiden sääntöjen soveltamisen johdosta, eikä se vaikuta niihin.

7.

Komission ehdotuksissa pyritään käsittelemään Euroopan yhteisöjen tuomioistuimen oikeuskäytäntöä, jossa on useaan otteeseen todettu, että perusoikeuksien suojelua koskevia EU:n normeja olisi noudatettava riippumatta siitä, hyväksytäänkö rajoittavat toimenpiteet EU:n tasolla vai ovatko ne lähtöisin Yhdistyneiden Kansakuntien kaltaisista kansainvälisistä järjestöistä (5).

8.

EU:n tunnustamiin perusoikeuksiin kuuluu myös oikeus henkilötietosuojaan, jonka yhteisöjen tuomioistuin on tunnustanut yhdeksi Euroopan unionista tehdyn sopimuksen 6 artiklan 2 kohtaan perustuvista periaatteista ja joka on myös vahvistettu EU:n perusoikeuskirjan 8 artiklassa (6). Rajoittavien toimenpiteiden yhteydessä oikeus henkilötietojen suojaan on keskeisessä asemassa, sillä se edesauttaa toisten perusoikeuksien, kuten puolustautumisoikeuden, kuulluksi tulemista koskevan oikeuden ja tehokasta oikeussuojaa koskevan oikeuden tosiasiallista noudattamista.

9.

Tässä yhteydessä tietosuojavaltuutettu on tyytyväinen komission aikomukseen ryhtyä kehittämään nykyistä lainsäädäntökehystä parantamalla luettelointimenettelyä ja ottamalla nimenomaisesti huomioon oikeuden henkilötietosuojaan kuten hän teki jo 28. heinäkuuta 2009 al-Qaidaa koskevista rajoittavista toimenpiteistä antamassaan lausunnossa. Rajoittavat toimenpiteet perustuvat henkilötietojen käsittelyyn, johon sinällään – varojen jäädyttämisestä riippumatta – sovelletaan tietosuojasääntöjä ja -takeita. Näin ollen on erittäin tärkeää, että luetteloitujen henkilöiden henkilötietojen käsittelyssä noudatettavat säännöt ovat selkeitä ja oikeudellisesti varmoja, myös rajoittavien toimenpiteiden laillisuuden ja pätevyyden varmistamiseksi.

10.

Tukholman ohjelmassa todetaan selkeästi, että ”kun arvioidaan henkilön yksityisyyttä vapauden, turvallisuuden ja oikeuden alueella, oikeus vapauteen on hallitseva oikeus”, ja että EU:n tulisi edistää tietosuojaperiaatteiden soveltamista EU:n sisällä ja sen suhteissa muihin maihin.

11.

Lissabonin sopimuksen voimaantulo lujittaa tämän alan oikeudellista kehystä. Sillä luodaan yhtäältä kaksi uutta oikeusperustaa (Euroopan unionin toiminnasta tehdyn sopimuksen (SEUT) 75 ja 215 artikla), joiden nojalla EU voi ottaa käyttöön luonnollisia tai oikeushenkilöitä, ryhmiä ja valtioista riippumattomia yhteisöjä koskevia rajoittavia toimenpiteitä. Toisaalta SEUT 16 artiklassa ja SEU 39 artiklassa vahvistetaan jälleen oikeus tietosuojaan ja tietosuojasääntöjen ja -takeiden tarve kaikilla Euroopan unionin toimialoilla, ja EU:n perusoikeuskirja tulee sitovaksi, mikä – kuten Tukholman ohjelmassa nimenomaisesti todetaan – ”velvoittaa unionin ja sen toimielimet entistä vahvemmin varmistamaan, että perusoikeuksia edistetään aktiivisesti kaikilla unionin toimialoilla” (7).

12.

Erityisesti EU:n toimielinten suorittaman henkilötietojen käsittelyn osalta SEUT 16 artiklaa sovelletaan kaikkeen EU:n toimintaan, myös yhteiseen ulko- ja turvallisuuspolitiikkaan, kun taas SEU 39 artiklassa määrätään erilaisesta päätöksentekomenettelystä, joka koskee jäsenvaltioiden yhteisen ulko- ja turvallisuuspolitiikan puitteissa suorittamaa henkilötietojen käsittelyä. Lisäksi unionin tuomioistuin saa täyden toimivallan, myös yhteisen ulko- ja turvallisuuspolitiikan alalla, arvioida luonnollisiin tai oikeushenkilöihin kohdistuvia rajoittavia toimenpiteitä koskevien päätösten laillisuutta, etenkin perusoikeuksien kunnioittamisen osalta (SEUT 275 artikla).

13.

Lisäksi se, että Lissabonin sopimuksen mukaisesti EU liittyy Euroopan ihmisoikeussopimukseen, lisää Euroopan neuvoston mustia listoja koskevien kantojen (8) ja Euroopan ihmisoikeustuomioistuimen oikeuskäytännön merkitystä EU:n oikeudellisen kehyksen puitteissa.

14.

Tätä taustaa vasten perusoikeuskirjan 8 artiklalla on erityinen merkitys varsinkin sikäli, että sen mukaan henkilötietojen käsittelyn on tapahduttava laissa säädetyn oikeuttavan perusteen nojalla ja ”jokaisella on oikeus tutustua niihin tietoihin, joita hänestä on kerätty”. Näitä tietosuojan kannalta keskeisiä näkökohtia on noudatettava kaikissa EU:n toimissa, ja kansalaiset voivat jopa vaatia tästä artiklasta johtuvien oikeuksien välitöntä oikeusvaikutusta riippumatta siitä, onko ne nimenomaisesti tunnustettu EU:n johdetussa oikeudessa.

15.

Lissabonin sopimuksen voimaantulon myötä syntynyt uusi oikeuskehys antaa lainsäätäjälle välineet ja asettaa velvoitteen säätää henkilötietosuojaa koskevia kattavia ja johdonmukaisia sääntöjä, myös rajoittavien toimenpiteiden alalla. Tästä velvoitteesta tulee vielä tärkeämpi kun ottaa huomioon sen, että tällaiset toimenpiteet yleistyvät ja niiden kesto kasvaa, millä on pitkälle meneviä seurauksia kyseessä olevien henkilöiden kannalta.

16.

Tätä taustaa vastaan Euroopan tietosuojavaltuutettu suosittaa painokkaasti, että komissio luopuisi nykyisestä hajanaisesta lähestymistavastaan, jossa kunkin maan tai organisaation kohdalla hyväksytään yksittäisiä, joskus keskenään erilaisia henkilötietojen käsittelyä koskevia sääntöjä, ja ehdottaisi yleistä ja johdonmukaista toimintakehystä kaikille EU:n soveltamille seuraamuksille, jotka on kohdennettu luonnollisiin henkilöihin tai oikeushenkilöihin, yhteisöihin tai muihin elimiin. Tämä kehys turvaa kyseisten henkilöiden perusoikeuksien ja etenkin henkilötietosuojaa koskevan perusoikeuden kunnioittamisen. Näiden oikeuksien kunnioittamista koskevat tarpeelliset rajoitukset tulisi selkeästi säätää lailla, niiden pitäisi olla oikeasuhteisia ja kaikissa tapauksissa noudattaa kyseisten oikeuksien keskeistä sisältöä.

17.

Euroopan tietosuojavaltuutetun mukaan tämä tulisi suorittaa rinnakkain Eurooppa-neuvoston Tukholman ohjelmassa vahvistetun tavoitteen kanssa, joka on ”YK:n turvallisuusneuvoston seuraamusten suunnittelun, täytäntöönpanon ja vaikuttavuuden tehostaminen perusoikeuksien turvaamiseksi ja oikeudenmukaisten ja selkeiden menettelyjen varmistamiseksi” (9).

18.

Seuraavissa kohdissa, joissa arvioidaan nyt käsiteltävänä olevia ehdotuksia, ei ole ainoastaan ehdotusten säännösten parantamissuosituksia, vaan niissä tuodaan esiin myös niitä tietosuojanäkökohtia, joita ei tähän mennessä ole otettu esille ja joiden selkeyttämistä tietosuojavaltuutettu suosittaa joko näissä säädöksissä tai yleisemmissä puitteissa.

19.

Kuten Euroopan tietosuojavaltuutetun 28 päivänä heinäkuuta 2009 antamassa lausunnossa on jo todettu, asetuksessa (EY) N:o 45/2001 säädettyjä tietosuojasääntöjä sovelletaan EU:n toimielinten rajoittavien toimenpiteiden alalla suorittamaan henkilötietojen käsittelyyn, vaikka kyseiset toimenpiteet perustuisivatkin kansainvälisten järjestöjen aloitteisiin tai yhteisen ulko – ja turvallisuuspolitiikan puitteissa hyväksyttyihin yhteisiin kantoihin.

20.

Tässä yhteydessä tietosuojavaltuutettu on tyytyväinen käsiteltävänä olevien ehdotusten sisältämiin viittauksiin, jotka koskevat asetuksen (EY) N:o 45/2001 sovellettavuutta, sekä siitä johtuvia rekisteröityjen oikeuksia. Tietosuojavaltuutettu pahoittelee kuitenkin sitä, että al-Qaidaa koskevien rajoittavien toimenpiteiden käsittely on johtanut joidenkin viittausten poistamiseen.

21.

Tältä osin tietosuojavaltuutettu haluaa korostaa, että kyseiset poistot eivät estä tai rajoita sellaisten velvollisuuksien tai rekisteröidyille kuuluvien oikeuksien sovellettavuutta, joita säädöksissä ei enää nimenomaisesti mainita. Tietosuojavaltuutettu katsoo kuitenkin, että tietosuojanäkökohtien nimenomainen mainitseminen ja niiden käsittely rajoittavia toimenpiteitä koskevissa säädöksissä parantaa perusoikeuksien suojaa ja auttaa myös välttämään sen, että arkaluonteiset asiat jäävät epäselviksi ja niitä joudutaan siksi käsittelemään oikeudessa.

22.

Yleisemmin tietosuojavaltuutettu korostaa, että EU:n perusoikeuskirjan 8 artiklan mukaisesti ”jokaisella on oikeus henkilötietojensa suojaan”. Tämä perusoikeus on näin ollen turvattava Euroopan unionissa kyseessä olevien henkilöiden kansallisuudesta, asuinpaikasta tai ammatillisesta toiminnasta riippumatta. Tämä tarkoittaa, että vaikka tämän oikeuden rajoittaminen saattaa hyvinkin olla tarpeen rajoittavien toimenpiteiden puitteissa, kyseiseen oikeuteen ei voida soveltaa periaatteellista tai yleistä rajoitusta minkään yksittäisen henkilöryhmän, kuten esimerkiksi niiden henkilöiden kohdalla, joilla on yhteyksiä jonkin kolmannen maan hallitukseen.

23.

Sovellettavien tietosuojasääntöjen (asetuksen (EY) N:o 45/2001 4 artikla) mukaisesti henkilötietoja on käsiteltävä asianmukaisesti ja lainsäädäntöä noudattaen, henkilötiedot on kerättävä tiettyä nimenomaista laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näihin tarkoituksiin sopimattomalla tavalla, henkilötietojen on oltava asianmukaisia ja olennaisia eikä niitä saa olla liikaa suhteessa niiden keräämistarkoituksiin, ja/tai myöhempiin käsittelytarkoituksiin. Henkilötietojen on myös oltava paikkansapitäviä ja niitä on päivitettävä: on toteutettava kaikki aiheelliset toimenpiteet sen varmistamiseksi, että virheelliset tai puutteelliset tiedot poistetaan tai oikaistaan. Lisäksi henkilötiedot on säilytettävä muodossa, josta tietojen kohteet ovat tunnistettavissa ainoastaan niin kauan kuin on tarpeen niihin tarkoituksiin, joita varten tiedot on kerätty tai joita varten niitä myöhemmin käsitellään.

24.

Tietosuojavaltuutettu on tyytyväinen siihen, että kaikissa komission ehdotuksissa (10) määritellään nimenomaisesti ne henkilötietoluokat, joita rajoittavien toimenpiteiden yhteydessä käsitellään, ja että niissä selvästi säännellään rikoksiin, tuomioihin ja turvatoimenpiteisiin liittyvien henkilötietojen käsittelyä.

25.

Tätä taustaa vasten tietosuojavaltuutettu panee tyytyväisenä merkille al-Qaida-ehdotuksen 7 e artiklan 3 kohdassa vahvistetun periaatteen, jonka mukaan luonnollisen henkilön vanhempien etu – ja sukunimet voidaan sisällyttää liitteeseen ainoastaan, jos ne ovat yksittäisessä tapauksessa tarpeen pelkästään kyseisen luettelossa olevan luonnollisen henkilön henkilöllisyyden toteamista varten. Tämä säännös kuvastaa hyvin myös käyttötarkoituksen rajoittamista koskevaa tietosuojaperiaatetta, jonka mukaan henkilötietoja saa kerätä ainoastaan erikseen määriteltyjä tarkoituksia varten, eikä niitä saa myöhemmin käsitellä näihin tarkoituksiin sopimattomalla tavalla.

26.

Sen varmistamiseksi, että tämä periaate on asianmukaisesti täsmennetty ja että sitä sovelletaan kaikkeen tämän alan henkilötietojen käsittelyyn, tietosuojavaltuutettu suosittaa, että sitä sovelletaan nimenomaisesti kaikkiin tietoluokkiin muuttamalla asiaankuuluvia artikloita siten, että henkilöluettelon käsittävään liitteeseen ”sisältyvät ainoastaan luettelossa olevien luonnollisten henkilöiden henkilöllisyyden toteamiseksi tarvittavat tiedot ja joka tapauksessa korkeintaan seuraavat tiedot”. Tällä muutoksella vältettäisiin luettelossa olevia luonnollisia henkilöitä ja näiden perheitä koskevien tarpeettomien tietojen kerääminen ja julkaiseminen.

27.

Lisäksi tietosuojavaltuutettu ehdottaa, että ehdotuksissa todettaisiin selvästi, että henkilötiedot poistetaan tai tehdään nimettömiksi niin pian kuin niitä ei enää jokaisessa yksittäisessä tapauksessa tarvita kyseisten rajoittavien toimenpiteiden toteuttamiseen eikä unionin tuomioistuimessa kesken olevaa oikeudenkäyntiä varten.

28.

Käsiteltävänä olevissa ehdotuksissa omaksutaan erilaisia lähestymistapoja henkilötietojen paikkansapitävyyteen ja päivittämisvelvollisuuteen nähden. Somaliaa koskevassa ehdotuksessa, kuten al-Qaida-ehdotuksessakin, säädetään, että kun YK päättää poistaa henkilön luettelostaan, komission on muutettava EU:n luetteloa vastaavasti (11 artiklan 4 kohta). Sen sijaan Korean demokraattista kansantasavaltaa koskevassa ehdotuksessa säädetään velvoitteesta tarkistaa EU:n luettelo säännöllisin väliajoin ja vähintään 12 kuukauden välein (6 artiklan 2 kohta). Toisissa ehdotuksissa ei viitata yhteenkään edellä mainituista mekanismeista.

29.

Kaikkien EU:n luetteloiden on joka tapauksessa riippumatta kohteena olevasta maasta ja siitä, onko ne hyväksytty suoraan EU:n tasolla vai pannaanko niillä täytäntöön YK:n päätöksiä, noudatettava tietojen laatua koskevaa periaatetta, jolla on rajoittavien toimenpiteiden yhteydessä keskeinen merkitys. Kuten ensimmäisen oikeusasteen tuomioistuin hiljattain totesi (11), olisi niissä tapauksissa, joissa rajoittavat toimenpiteet perustuvat poliisin ja turvallisuusviranomaisten tutkimuksiin, otettava asianmukaisesti huomioon luetteloita tarkistettaessa näiden tutkimusten viime vaiheet, kuten esimerkiksi tutkinnan lopettaminen, syytteestä luopuminen tai vapauttavan tuomion antaminen rikosoikeudenkäynnissä, jotta vältettäisiin tietyn henkilön varojen jäädyttäminen määräämättömäksi ajaksi ilman tuomioistuimessa tapahtuvaa uutta käsittelyä ja ottamatta huomioon mahdollisten oikeudellisten menettelyjen lopputulosta.

30.

Tätä taustaa vasten tietosuojavaltuutettu suosittaa, että kaikkien tämän alan käsiteltävänä olevien ja tulevien ehdotusten osalta tehokkaita mekanismeja otettaisiin käyttöön luonnollisten henkilöiden poistamiseksi luetteloista sekä EU:n luetteloiden tarkistamiseksi säännöllisin väliajoin.

31.

Tietosuojavaltuutettu pani 28 päivänä heinäkuuta 2009 antamassaan lausunnossa tyytyväisenä merkille komission aikeen parantaa perusoikeuksien kunnioittamista antamalla kyseisille henkilöille keinon saada tietoja syistä, jotka ovat johtaneet luetteloon merkitsemiseen, samoin kuin mahdollisuuden ilmaista oma näkemyksensä asiasta. Vastaavaa säännöstä ehdotetaan nyt Somalian (12) ja Guinean (13) osalta, kun taas Zimbabwen (14) kohdalla oikeus saada tietoja luetteloon merkitsemisen syistä ja ilmaista näkemyksensä rajoitetaan henkilöihin, joilla ei ole yhteyksiä hallitukseen. Korean demokraattista kansantasavaltaa koskevassa ehdotuksessa ei edes mainita tätä mahdollisuutta.

32.

Tietosuojavaltuutettu muistuttaa asetuksesta (EY) N:o 45/2001 johtuvista velvoitteista, toisin sanoen sen 11 artiklan mukaisesta velvollisuudesta antaa rekisteröidylle tietoja ja etenkin sen 12 artiklan mukaisesta tietojen antamista koskevasta velvollisuudesta, kun tietoja ei ole saatu rekisteröidyltä itseltään. Näitä säännöksiä on noudatettava kaikkien henkilöiden kohdalla riippumatta heidän kansallisuudestaan tai heidän yhteyksistään tietyn maan hallitukseen. On tietenkin erilaisia keinoja antaa tietoja luetteloon merkityille henkilöille, ja ne voidaan sovittaa kyseessä olevien rajoittavien toimenpiteiden mukaiseen poliittiseen kontekstiin. Lisäksi voidaan toteuttaa asetuksen (EY) N:o 45/2001 20 artiklan mukaisia rajoituksia tai poikkeuksia (15) sikäli kun ne ovat tarpeen erityisolosuhteissa, mutta yleinen ja rajoittamaton poikkeaminen tietojen antamisvelvoitteesta ei ole mahdollista.

33.

Tätä taustaa vasten tietosuojavaltuutettu suosittaa, että kaikissa tämän alan parhaillaan käsiteltävinä olevissa ja tulevissa ehdotuksissa käsiteltäisiin selvemmin luetteloon merkittyjen henkilöiden oikeutta saada tietoja sekä mahdollisesti tarvittavien rajoitusten edellytyksistä ja niitä koskevista menettelytavoista.

34.

EU:n perusoikeuskirjan 8 artiklan 2 kohdan mukaan ”jokaisella on oikeus tutustua niihin tietoihin, joita hänestä on kerätty, ja saada ne oikaistuksi”, mikä tekee oikeudesta tutustua omiin tietoihin yhden henkilötietosuojaa koskevan perusoikeuden ydintekijöistä. Vastaavasti asetuksen (EY) N:o 45/2001 13 artiklassa annetaan rekisteröidylle oikeus saada milloin tahansa esteittä rekisterinpitäjältä kolmen kuukauden kuluessa pyynnön vastaanottamisesta ja maksutta muun muassa käsiteltävät tiedot itselleen ymmärrettävässä muodossa (ks. c alakohta).

35.

Rajoittavien toimenpiteiden alalla luetteloon merkittyjä henkilöitä koskevat henkilötiedot ja etenkin niihin syihin liittyvät tiedot, joiden perusteella henkilöt on merkitty luetteloon, ovat usein turvallisuusluokitelluissa asiakirjoissa. Näiden asiakirjojen osalta kaikkien komission ehdotusten säännökset ovat samanlaisia: ensinnäkin todetaan, että jos YK tai jokin valtio toimittaa turvaluokiteltua tietoa, komission on käsiteltävä sitä sisäisten turvallisuussäännöstensä (päätös 2001/844/EY, EHTY, Euratom (16) ja tarvittaessa EU:n ja tiedot toimittavan valtion välillä turvallisuusluokitellun tiedon turvallisuudesta tehtyjen sopimusten mukaisesti; toiseksi täsmennetään, että asiakirjoja, joiden tietoturvaluokituksen taso vastaa tasoja ”EU Top Secret”, ”EU Secret” tai ”EU Confidential”, ei luovuteta ilman tietojen luovuttajan suostumusta (17).

36.

Tietosuojavaltuutettu on jo eritellyt näitä säännöksiä yksityiskohtaisesti 28 päivänä heinäkuuta 2009 antamassaan lausunnossa (18) ja pannut merkille, ettei komission sisäisissä turvallisuussäännöissä eikä yksittäisten jäsenvaltioiden tai YK:n kanssa tehdyissä sopimuksissa mainita kysymystä rekisteröidyn oikeudesta tutustua itseään koskeviin tietoihin. Vaikka tutustumisoikeuden rajoituksia voidaan hyvinkin harkita myös rajoittavien toimenpiteiden alalla, nykyiset säännökset eivät varmista sitä, että rajoitusta käytetään vain kun se on tarpeellista, eikä niissä anneta sisällöllisiä kriteerejä rajoituksen tarpeellisuuden arviointia varten. Ehdotusten mukaisesti tutustumisoikeuteen sovellettaisiin ehdotonta velvoitetta saada tietojen alkuperäisen luovuttajan suostumus, mikä jättäisi asian sen henkilön, jolta tieto on peräisin, täyteen harkintavaltaan. Näiden tietojen luovuttajien joukossa on osapuolia, joihin ei sovelleta EU:n lainsäädäntöä eikä perusoikeuksien suojaa koskevia EU:n normeja.

37.

Neuvoston käsittelyssä on päädytty tämän säännöksen poistamiseen al-Qaida -ehdotuksesta.

38.

Tätä taustaa vasten tietosuojavaltuutettu suosittaa painokkaasti, että lainsäätäjä ottaisi esille käsiteltävänä olevissa ja tulevissa ehdotuksissa olennaisen tärkeän kysymyksen eli luetteloon merkittyjen henkilöiden oikeuden tutustua – joko suoraan tai välillisesti toisten viranomaisten välityksellä (19) – itseään koskeviin turvallisuusluokitelluissa asiakirjoissa oleviin henkilötietoihin, ellei joissakin olosuhteissa mahdollisesti tarpeellisista oikeasuhteisista rajoituksista muuta johdu.

39.

Tietosuojavaltuutettu haluaa myös muistuttaa, että asetuksessa (EY) N:o 45/2001 säädetään muista rekisteröityjen oikeuksista, joiden esille ottamista lainsäätäjä voi harkita näissä tai tulevissa ehdotuksissa. Asetuksen (EY) N:o 45/2001 14 artiklassa säädetään erityisesti velvollisuudesta oikaista viivytyksettä virheelliset tai puutteelliset henkilötiedot, kun taas 17 artiklassa säädetään velvollisuudesta ilmoittaa sivullisille, joille tietoja on luovutettu, tietojen oikaisuista ja poistamisista – esimerkiksi luettelosta poistamisen yhteydessä – ellei tämä osoittaudu mahdottomaksi tai vaadi kohtuutonta vaivaa.

40.

Tietosuojavaltuutettu on myös tyytyväinen siihen, että kaikissa ehdotuksissa säädetään nimenomaisesti komission yksikön nimittämisestä rekisterinpitäjäksi ja parannetaan näin rekisterinpitäjän näkyvyyttä sekä helpotetaan rekisteröityjen oikeuksien käyttöä sekä vastuunjakoa asetuksen (EY) N:o 45/2001 mukaisesti.

41.

Tärkeä kysymys, jota ei nimenomaisesti oteta esille ehdotuksissa mutta joka sisältyy implisiittisesti luettelointimenettelyyn on henkilötietojen riittävän suojan takaaminen silloin, kun EU vaihtaa kyseisiä tietoja kolmansien maiden ja Yhdistyneiden Kansakuntien kaltaisten kansainvälisten järjestöjen kanssa.

42.

Tältä osin tietosuojavaltuutettu haluaa kiinnittää huomion asetuksen (EY) N:o 45/2001 9 artiklaan, jossa asetetaan edellytykset henkilötietojen siirtämiselle vastaanottajille, jotka eivät ole yhteisön toimielimiä tai elimiä ja joihin ei sovelleta direktiiviä 95/46/EY. On saatavilla laaja kirjo eri ratkaisuvaihtoehtoja, jotka vaihtelevat rekisteröidyn suostumuksesta (6 kohdan a alakohta) ja oikeudellisen vaateen esittämisestä (6 kohdan d alakohta) – joka voi olla hyödyllinen, kun luettelossa oleva henkilö on antanut tietoja aiheuttaakseen luettelon uudelleentarkastelun – siihen, että YK:lla tai asianomaisella kolmannella maalla on mekanismit EU:sta siirrettyjen henkilötietojen asianmukaisen suojan varmistamiseksi.

43.

Tietosuojavaltuutettu palauttaa mieliin, että suunniteltujen eri käsittelytoimien tulisi olla tämän järjestelmän mukaisia ja suosittaa, että lainsäätäjä varmistaisi, että kolmansien maiden ja kansainvälisten järjestöjen kanssa vaihdettujen henkilötietojen riittävän suojan varmistamiseksi otetaan käyttöön asianmukaisia mekanismeja ja turvatoimia, kuten ehdotusten täsmennyksiä sekä YK:n tai asianosaisten kolmansien maiden kanssa sovittavia järjestelyjä.

44.

Tietosuojavaltuutettu katsoo, että kysymys tiettyjen perusoikeuksien, kuten henkilötietosuojan rajoituksista, on keskeisessä asemassa rajoittavien toimenpiteiden alalla, koska niitä saatetaan tarvita rajoittavien toimenpiteiden tehokkaan ja asianmukaisen täytäntöönpanon varmistamiseksi.

45.

Euroopan ihmisoikeussopimus, EU:n perusoikeuskirja samoin kuin erityiset tietosuojaa koskevat säädökset, kuten asetuksen (EY) N:o 45/2001 20 artikla, antavat tämän mahdollisuuden tietyin edellytyksin, jotka sekä Euroopan ihmisoikeustuomioistuin että yhteisöjen tuomioistuin on vahvistanut ja selventänyt (20). Tiivistäen näiden tietosuojaa koskevaan perusoikeuteen sovellettavien poikkeusten tulisi perustua lainsäädännöllisiin toimenpiteisiin ja niiden oikeasuhteisuus on testattava tarkkaan, toisin sanoen ne tulisi rajoittaa sekä sisällöllisesti että ajallisesti siihen, mikä on tarpeellista kyseessä olevan yleisen edun kannalta, kuten yhteisöjen tuomioistuimen runsaassa oikeuskäytännössä vahvistetaan myös rajoittavien toimenpiteiden alalla. Yleiset, suhteettomat tai ennakoimattomat rajoitukset eivät läpäisisi tätä testiä.

46.

Esimerkiksi asianomaisille henkilöille tiedottamista on lykättävä, mikäli se on tarpeen henkilön luettelointia ja hänen varojensa jäädyttämistä koskevan päätöksen yllätyksellisyyden säilyttämiseksi. Kuten ensimmäisen asteen tuomioistuimen oikeuskäytännössä (21) on todettu, kyseisten tietojen antamisen vielä jäädyttämisen jälkeen jatkuva epääminen tai viivyttäminen olisi kuitenkin tarpeetonta ja siten suhteetonta. Voidaan myös harkita luetteloon merkittyjen henkilöiden heitä itseään koskeviin henkilötietoihin – mukaan lukien tiedot päätöksistä, joihin luetteloon merkitseminen perustuu – tutustumisoikeuden oikeasuhteisia väliaikaisia rajoituksia, mutta tämän oikeuden yleinen ja pysyvä soveltamatta jättäminen ei kunnioittaisi henkilötietojen suojaa koskevan perusoikeuden keskeistä sisältöä.

47.

Asetus (EY) N:o 45/2001 tarjoaa jo oikeudellisen kehyksen, joka mahdollistaa sekä rajoitukset että turvatoimet. Asetuksen 20 artiklan 3 ja 4 kohdassa on rajoituksen soveltamista koskevia sääntöjä. Edellä mainitun 3 kohdan mukaan kyseisen toimielimen olisi ilmoitettava rekisteröidylle pääasialliset syyt, joihin rajoitus perustuu, sekä tiedotettava tälle oikeudesta saattaa asia Euroopan tietosuojavaltuutetun käsiteltäväksi. Kyseisen artiklan 4 kohdassa on toinen sääntö, joka liittyy erityisesti tietoihin tutustumista koskevan oikeuden rajoittamiseen. Siinä säädetään, että Euroopan tietosuojavaltuutetun on edellisen kohdan mukaista kantelua tutkiessaan ilmoitettava rekisteröidylle ainoastaan, onko tietojenkäsittely suoritettu moitteettomasti, ja jos näin ei ole, onko tarpeelliset oikaisut tehty (22).

48.

Kaikissa nyt käsiteltävissä ehdotuksissa otetaan esille tietosuojaoikeuksien rajoittamista koskeva kysymys vain osittain tai epäsuorasti, jolloin on mahdollista, että sovelletaan ristiriitaisia sääntöjä ja tehdään erilaisia mahdollisia tulkintoja, joita saatetaan joutua selvittämään oikeudessa. Al-Qaida-ehdotusta koskevissa keskusteluissa näytetään etenevän kohti tietosuojaoikeuksia ja tarpeellisia rajoituksia koskevien viittausten vähentämistä.

49.

Tätä taustaa vasten tietosuojavaltuutettu suosittaa, että lainsäätäjä käsittelisi tätä arkaluonteista asiaa selventämällä käsiteltävänä olevissa ehdotuksissa tai jossakin muussa säädöksessä tietosuojaperiaatteiden rajoituksia samoin kuin turvatoimia, joita saatetaan tarvita rajoittavien toimenpiteiden alalla. Näin rajoituksista tulisi ennustettavia ja oikeasuhteisia ja samalla varmistettaisiin rajoittavien toimenpiteiden tehokkuus, perusoikeuksien kunnioittaminen ja oikeuteen vietävien asioiden vähäisempi määrä. Lisäksi näin otettaisiin huomioon Tukholman ohjelma, jossa todetaan selvästi, että EU:n on ennakoitava ja säänneltävä olosuhteita, joissa viranomaisten puuttuminen tietosuojaoikeuksien käyttämiseen on perusteltua (23).

50.

Asetuksen (EY) N:o 45/2001 32 artiklan 4 kohdan samoin kuin direktiivin 95/46/EY 23 artiklan mukaisesti kenellä tahansa henkilöllä, jolle on aiheutunut vahinkoa tietojen laittomasta käsittelystä, on oikeus saada rekisterinpitäjältä korvaus aiheutuneesta vahingosta, jollei rekisterinpitäjä voi osoittaa, ettei hän ole vastuussa vahingon aiheuttaneesta tapahtumasta. Tässä on kyse vastuuvelvollisuuden yleisen oikeudellisen käsitteen täsmennyksestä, jossa todistustaakka on käännetty.

51.

Tästä näkökulmasta rajoittavat toimenpiteet perustuvat henkilötietojen käsittelyyn ja julkistamiseen, jotka voivat lainvastaisen menettelyn tapauksessa itse – riippumatta siitä, mitkä rajoittavat toimenpiteet ovat kyseessä – aiheuttaa henkistä kärsimystä, kuten ensimmäisen oikeusasteen tuomioistuin on jo todennut (24).

52.

Tietosuojavaltuutettu huomauttaa, että tämä sovellettavan tietosuojalainsäädännön vastainen sopimussuhteen ulkopuolinen vastuuvelvollisuus on edelleen voimassa henkilötietojen käytön osalta eikä sen keskeistä sisältöä voi poistaa, vaikka vastuuvelvollisuus on jätetty joidenkin nyt käsiteltävien ehdotusten (25) soveltamisalan ulkopuolelle rajoittavia toimenpiteitä soveltavien luonnollisten ja oikeushenkilöiden osalta lukuun ottamatta tapauksia, joissa on kyse laiminlyönnistä.

53.

Luetteloon merkityillä henkilöillä on oikeus hakea muutosta sekä oikeusteitse että hallinnon kautta toimivaltaisilta tietosuojavalvontaviranomaisilta. Viimeksi mainittuun kuuluu rekisteröityjen asetuksen (EY) N:o 45/2001 32 artiklan mukaisesti esittämien kantelujen käsittely, joka perustuu tietosuojavaltuutetun valtuuksiin saada rekisterinpitäjältä tai yhteisöjen toimielimeltä tai elimeltä pääsy kaikkiin henkilötietoihin ja kaikkiin tutkimuksissaan tarvitsemiinsa tietoihin (ks. asetuksen (EY) N:o 45/2001 47 artiklan 2 kohdan b alakohta).

54.

Tietosuojasääntöjen noudattamisen riippumaton valvonta on keskeinen tietosuojaa koskeva periaate, joka on nyt nimenomaisesti vahvistettu kaikissa EU:n toimissa suoritetun henkilötietojen käsittelyn osalta paitsi EU:n perusoikeuskirjan 8 artiklassa myös SEUT 16 artiklassa ja SEU 39 artiklassa.

55.

Kuten tietosuojavaltuutettu on jo maininnut 28 päivänä heinäkuuta 2009 antamassaan lausunnossa (26), hän on huolissaan siitä, että käsiteltävänä olevien ehdotusten sisältämä edellytys, jonka mukaan turvallisuusluokiteltua tietoa on luovutettava ainoastaan tiedon alkuperäisen luovuttajan suostumuksella, voi vaikuttaa paitsi tietosuojavaltuutetun kyseistä alaa koskeviin valtuuksiin myös unionin tuomioistuimen kykyyn tarkastella sitä, onko kansainvälisen terrorismin torjunnan tarpeen ja perusoikeuksien suojelemisen välinen tasapaino taattu. Kuten ensimmäisen oikeusasteen tuomioistuin totesi tuomiossaan 4 päivänä joulukuuta 2008, tuomioistuin saattaa tarvita pääsyä turvallisuusluokiteltuihin tietoihin voidakseen suorittaa tarkastelun (27).

56.

Näin ollen tietosuojavaltuutettu suosittaa, että käsiteltävänä olevissa ehdotuksissa varmistettaisiin, että olemassa olevat oikeussuojakeinot ja tietosuojan valvontaviranomaisten riippumaton valvonta ovat täysin toteuttamiskelpoiset ja että niiden toimintaa ei vaikeuteta turvallisuusluokiteltujen asiakirjojen tutustumista koskevilla säännöillä. Tämän saavuttamiseksi ensimmäinen askel olisi korvata käsiteltävien ehdotusten asiaankuuluvissa artikloissa (28) ilmaus ”luovuteta” ilmauksella ”julkisteta”.

57.

Euroopan tietosuojavaltuutettu uskoo lujasti, että perusoikeuksien kunnioittamista heikentäviä tahoja tulisi vastustaa nimenomaan perusoikeuksia kunnioittamalla.

58.

Samoin kuin jo 28. heinäkuuta 2009 antamassaan al-Qaidaa koskeviin rajoittaviin toimenpiteisiin liittyvässä lausunnossa tietosuojavaltuutettu suhtautuu tästä näkökulmasta myönteisesti komission aikomukseen ryhtyä kehittämään nykyistä lainsäädäntökehystä parantamalla luettelointimenettelyä ja ottamalla nimenomaisesti huomioon oikeuden henkilötietojen suojaan.

59.

Lissabonin sopimuksen tarjoamien välineiden sekä Tukholman ohjelmassa esitetyn pitkän aikavälin vision valossa Euroopan tietosuojavaltuutettu suosittaa painokkaasti, että komissio luopuisi nykyisestä hajanaisesta lähestymistavastaan, jossa kunkin maan tai organisaation osalta hyväksytään yksittäisiä ja joskus toisistaan poikkeavia henkilötietojen käsittelyä koskevia sääntöjä, ja ehdottaisi yleistä ja johdonmukaista kehystä kaikille EU:n soveltamille seuraamuksille, jotka on kohdennettu luonnollisiin henkilöihin tai oikeushenkilöihin, yhteisöihin tai muihin elimiin. Kehyksen tulisi taata kyseisten yksilöiden perusoikeuksien ja etenkin henkilötietosuojaa koskevan perusoikeuden kunnioittaminen. Näiden oikeuksien kunnioittamista koskevat tarpeelliset rajoitukset tulisi selkeästi säätää lailla, niiden pitäisi olla oikeasuhteisia ja kaikissa tapauksissa noudattaa kyseisten oikeuksien keskeistä sisältöä.

60.

Tietosuojavaltuutettu panee tyytyväisenä merkille käsiteltävien ehdotusten sisältämiin viittauksiin, jotka koskevat asetuksen (EY) N:o 45/2001 sovellettavuutta sekä siitä johtuvia rekisteröityjen oikeuksia.

61.

Tietojen laadun ja käyttötarkoituksen rajoittamisen osalta tietosuojavaltuutettu suosittaa, että tehtäisiin joitakin muutoksia sen varmistamiseksi, että vain tarpeellisia tietoja käsitellään, nämä tiedot pidetään ajan tasalla eikä niitä säilytetä pidempään kuin on tarpeen. Tietosuojavaltuutettu suosittaa etenkin, että kaikkien tämän alan käsiteltävänä olevien ja tulevien ehdotusten osalta käytettäisiin tehokkaita mekanismeja luonnollisten henkilöiden poistamiseksi luetteloista sekä EU:n luetteloiden tarkistamiseksi säännöllisin väliajoin.

62.

Euroopan tietosuojavaltuutettu suosittaa, että kaikissa tämän alan nyt käsiteltävissä ja tulevissa ehdotuksissa käsiteltäisiin selvemmin luetteloon merkittyjen henkilöiden oikeutta saada tietoja samoin kuin mahdollisesti tarvittavien rajoitusten edellytyksiä ja niitä koskevia menettelytapoja.

63.

Tietosuojavaltuutettu suosittaa painokkaasti, että lainsäätäjä käsittelisi käsiteltävänä olevissa ja tulevissa ehdotuksissa olennaisen tärkeää kysymystä eli luetteloon merkittyjen henkilöiden oikeutta tutustua itseään koskeviin turvallisuusluokitelluissa asiakirjoissa oleviin henkilötietoihin, jollei joissakin olosuhteissa mahdollisesti tarpeellisista oikeasuhteisista rajoituksista muuta johdu.

64.

Tietosuojavaltuutettu suosittaa, että lainsäätäjä varmistaisi, että kolmansien maiden ja kansainvälisten järjestöjen kanssa vaihdettavien henkilötietojen riittävän suojan varmistamiseksi otetaan käyttöön asianmukaisia mekanismeja ja turvatoimia, kuten ehdotusten täsmennyksiä samoin kuin YK:n tai asianosaisten kolmansien maiden kanssa sovittavia järjestelyjä.

65.

Tietosuojavaltuutettu suosittaa, että lainsäätäjä selventäisi nyt käsiteltävissä ehdotuksissa tai jossakin muussa säädöksessä tietosuojaperiaatteiden rajoituksia samoin kuin turvatoimia, joita saatetaan tarvita rajoittavien toimenpiteiden alalla rajoitusten tekemiseksi ennustettaviksi ja oikeasuhteisiksi.

66.

Tietosuojavaltuutettu huomauttaa, että henkilötietojen laitonta käsittelyä koskevan vastuun periaate on edelleen voimassa eikä sen keskeistä sisältöä voi poistaa.

67.

Tietosuojavaltuutettu suosittaa sen varmistamista, että olemassa olevat oikeussuojakeinot ja tietosuojan valvontaviranomaisten toteuttama riippumaton valvonta ovat täysin toteuttamiskelpoiset ja että niiden toimintaa ei vaikeuteta turvallisuusluokiteltujen asiakirjojen tutustumista koskevilla säännöillä.