30.12.2010   

FI

Euroopan unionin virallinen lehti

C 357/1

1.

Helmikuun 24 päivänä 2010 komissio hyväksyi ehdotuksen Euroopan parlamentin ja neuvoston asetukseksi Euroopan unionin jäsenvaltioiden operatiivisesta ulkorajayhteistyöstä huolehtivan viraston (rajaturvallisuusvirasto Frontex) perustamisesta annetun neuvoston asetuksen (EY) N:o 2007/2004 muuttamisesta (3) (jäljempänä ehdotus tai asetusehdotus).

2.

Tietosuojavaltuutettu pitää myönteisenä sitä, että komissio kuuli häntä epävirallisesti ennen ehdotuksen hyväksymistä. Tietosuojavaltuutettu antoi epäviralliset huomionsa 8 päivänä helmikuuta 2010, ja niiden johdosta komission hyväksymän ehdotuksen lopulliseen versioon tehtiin joukko muutoksia.

3.

Maaliskuun 2 päivänä 2010 komission hyväksymä ehdotus lähetettiin asetuksen (EY) N:o 45/2001 28 artiklan 2 kohdan mukaisesti tietosuojavaltuutetulle kuulemista varten.

4.

Tässä yhteydessä on myös tarpeen mainita, että 26 päivänä huhtikuuta 2010 tietosuojavaltuutettu antoi lausunnon Euroopan unionin jäsenvaltioiden operatiivisesta ulkorajayhteistyöstä huolehtivan viraston (rajaturvallisuusvirasto Frontex) tietosuojasta vastaavan henkilön ennakkotarkastusta varten toimittamasta ilmoituksesta, joka koski yhteisillä palauttamisoperaatioilla palautettavien henkilöiden nimien ja eräiden muiden tarvittavien tietojen keräämistä (jäljempänä ennakkotarkastuslausunto  (4)). Edellä mainitun, henkilötietojen käsittelyä asetuksen (EY) N:o 2007/2004 9 artiklan mukaisten yhteisten palauttamisoperaatioiden valmistelun ja toteuttamisen yhteydessä koskevan lausunnon päätelmiä on käytetty eräiden tässä lausunnossa esitettyjen huomioiden ja päätelmien perustana.

5.

Ehdotuksen tavoitteista ja merkityksestä kerrotaan asetusehdotuksen perusteluissa seuraavaa: ”Tässä ehdotuksessa esitetään muutoksia – neuvoston asetukseen (EY) N:o 2007/2004. Kyseiset muutokset ovat välttämättömiä rajaturvallisuusviraston hyvin määritellyn ja asianmukaisen toiminnan varmistamiseksi tulevina vuosina. Ehdotuksen tavoitteena on muuttaa asetusta tehtyjen arviointien ja käytännön kokemuksen perusteella viraston toimivallan selventämiseksi ja havaittujen puutteiden poistamiseksi.”

6.

Tässä yhteydessä on mainittava, että ehdotuksen johdanto-osan 9 kappaleessa viitataan Tukholman ohjelmaan, jossa kehotetaan selventämään ja vahvistamaan rajaturvallisuusviraston asemaa Euroopan unionin ulkorajojen valvonnassa.

7.

Lisäksi johdanto-osan 10 kappaleen mukaan rajaturvallisuusviraston operatiivisia valmiuksia olisi vahvistettava. Kuten kyseisessä johdanto-osan kappaleessa sanotaan, ”viraston toimivaltuuksia olisi tarkistettava erityisesti viraston operatiivisten valmiuksien vahvistamiseksi varmistaen samalla, että kaikki toteutettavat toimenpiteet ovat suhteessa asetettuihin tavoitteisiin ja että niiden toteuttamisessa kunnioitetaan täysin perusoikeuksia”. Johdanto-osan 11 kappaleessa korostetaan lisäksi, että ”nykyisiä mahdollisuuksia antaa jäsenvaltioille tehokasta apua ulkorajavalvontaan liittyvissä operatiivisissa seikoissa olisi lisättävä käytettävissä olevien teknisten resurssien osalta”.

8.

Johdanto-osan 4 kappaleessa mainitaan myös, että ”tässä asetuksessa kunnioitetaan perusoikeuksia ja noudatetaan erityisesti Euroopan unionin perusoikeuskirjassa tunnustettuja periaatteita, joita ovat muun muassa ihmisarvon kunnioittaminen, kidutuksen sekä epäinhimillisen tai halventavan rangaistuksen tai kohtelun kielto, oikeus vapauteen ja turvallisuuteen, oikeus henkilötietojen suojaan, oikeus turvapaikkaan, palauttamiskielto, syrjimättömyys, lapsen oikeudet ja oikeus tehokkaisiin oikeussuojakeinoihin. Jäsenvaltioiden olisi sovellettava tätä asetusta näiden oikeuksien ja periaatteiden mukaisesti.”

9.

Ehdotuksessa on otettu huomioon 13 päivänä helmikuuta 2008 annetussa EU:n rajaturvallisuusviraston arviointia ja jatkokehitystä koskevassa komission tiedonannossa (5) esitetyt suositukset ja hallintoneuvoston suositukset siinä määrin kuin ne edellyttävät virastoa koskevan oikeudellisen kehyksen muuttamista, lukuun ottamatta vaikutusten arvioinnissa kuvattuja poikkeuksia.

10.

Yleisenä huomiona tietosuojavaltuutettu toteaa, että ehdotuksen tarkoituksena on tehostaa rajaturvallisuusviraston nykyisistä ja asetusehdotuksessa mainituista tehtävistä ja velvollisuuksista huolehtimista. Perustelujen mukaan rajaturvallisuusviraston uusiin tehtäviin – jos ne hyväksytään komission ehdottamassa muodossa – kuuluvat mm. seuraavat: 1) riskianalyyseihin liittyvän työn laajentaminen, 2) tutkimukseen liittyvän työn vahvistaminen, 3) yhteisten palauttamisoperaatioiden yhteensovittamisen mahdollistaminen, 4) tietojärjestelmien kehittämistä ja ylläpitoa koskevat uudet tehtävät sekä 5) tuen antamista Eurosurille koskevat uudet tehtävät.

11.

Tämän lausunnon sisältöä ja päätelmiä laatiessaan tietosuojavaltuutettu on ottanut tarkasti huomioon kyseisen ehdotuksessa hahmotellun uuden lainsäädäntökehyksen, jonka puitteissa rajaturvallisuusvirasto jatkossa toimii ja jonka johdosta rajaturvallisuusvirastolle saatetaan asetusehdotuksen perusteella antaa myös uusia operatiivisia tehtäviä.

12.

Tätä taustaa vasten sekä ottaen edellä mainitulla tavalla huomioon rajaturvallisuusviraston mahdolliset uudet tehtävät ja velvollisuudet on hämmästyttävää, että asetusehdotuksessa ei mainita rajaturvallisuusviraston tekemää henkilötietojen käsittelyä juuri lainkaan; ainoana poikkeuksena on ehdotuksen 11 artiklan viimeinen virke. Kysymystä tarkastellaan tarkemmin myös kohdassa 4 mainitun tietosuojavaltuutetun ennakkotarkastuslausunnon havaintojen ja päätelmien perusteella.

13.

Lisäksi lausunnossa kiinnitetään huomiota asetusehdotuksen niihin säännöksiin, joilla on tai joilla saattaa jatkossa olla merkitystä tietosuojan kannalta. Lausunnossa tarkastellaan siis erityisesti seuraavia säännöksiä:

14.

Kuten on jo mainittu, ehdotuksessa ei eritellä, saako rajaturvallisuusvirasto käsitellä (eräitä) henkilötietoja sille ehdotuksessa suunniteltujen uusien tehtävien ja velvollisuuksien vuoksi, ja jos saa, missä olosuhteissa ja millaisten ehtojen ja rajoitusten puitteissa tämä tapahtuu tai millaisilla suojakeinoilla sitä säädellään. Asetusehdotuksessa ei lainkaan selvennetä tätä kysymystä. Siihen ei myöskään sisälly oikeusperustaa, jossa määriteltäisiin tarkemmin, millaisten olosuhteiden vallitessa rajaturvallisuusvirasto voisi käsitellä henkilötietoja, kun käsittelyä joka tapauksessa säädeltäisiin vahvoilla tietosuojaa koskevilla suojakeinoilla ja se tapahtuisi suhteellisuus- ja tarpeellisuusperiaatteiden mukaisesti.

15.

Tässä yhteydessä on jälleen tarpeen viitata perusteluihin, joissa todetaan, että vaikutusten arvioinnin parhaana pidetty vaihtoehto otetaan ehdotuksessa täysin huomioon ”lukuun ottamatta sitä, että rajaturvallisuusvirastolle annetaan rajoitetut valtuudet käsitellä henkilötietoja, jotka liittyvät laitonta maahanmuuttoa organisoivien rikollisverkostojen torjuntaan”. Lisäksi perusteluiden mukaan ”komissio katsoo, että olisi tarkasteltava kaikkia mahdollisuuksia vahvistaa taistelua siirtolaisten salakuljetusta ja ihmiskauppaa vastaan.” Tästä huolimatta se aikoo ”tarkastella henkilötietoja koskevaa kysymystä tietojenvaihtoa koskevan yleisen strategian yhteydessä, joka esitetään myöhemmin tänä vuonna, ja ottaa siinä yhteydessä myös huomioon pohdiskelut siitä, kuinka virastojen välistä yhteistyötä oikeus- ja sisäasioiden alalla voidaan kehittää edelleen kuten Tukholman ohjelmassa edellytetään”.

16.

Tietosuojavaltuutettu suhtautuu epäillen komission asetusehdotuksessa omaksumaan rajaturvallisuusviraston henkilötietojen käsittelyä koskevaan lähestymistapaan. Edellä lainatussa perustelujen viittauksessa ei selvennetä, missä laajuudessa rajaturvallisuusvirasto voisi käsitellä henkilötietoja muilla toiminta-aloillaan (katso 10 ja 11 kohdat). Esimerkkinä tästä tietosuojavaltuutettu viittaa ennakkotarkastuslausuntoonsa yhteisten palauttamisoperaatioiden valmistelusta ja toteuttamisesta, joihin liittyen rajaturvallisuusvirasto on kertonut tietosuojavaltuutetulle, että rajaturvallisuusvirastoa koskevan asetuksen 9 artiklassa säädettyjen tehtävien täyttäminen saattaa vaatia jonkin verran henkilötietojen käsittelyä.

17.

Ennakkotarkastuslausunnossaan tietosuojavaltuutettu katsoi, että ”asetuksen (EY) N:o 2007/2004 9 artiklaa tarkemman oikeusperustan laatiminen olisi suotavaa, ellei jopa välttämätöntä haavoittuvan väestöryhmän tietojen sekä siihen kohdistettavien toimenpiteiden arkaluonteisuuden vuoksi, jotta käsittelylle saadaan tarkemmat rajat ja rekisteröitävien oikeudet taataan asianmukaisella tavalla Euroopan ihmisoikeussopimuksen 8 artiklan ja Euroopan unionin perusoikeuskirjan mukaisesti.”

18.

Tietosuojavaltuutetun näkemyksen mukaan yhteisten palauttamisoperaatioiden yhteydessä rajaturvallisuusviraston välttämättömäksi katsomasta henkilötietojen käsittelystä annettu esimerkki havainnollistaa, että asiaa on ehdotuksessa kiireesti selvennettävä. Erittäin huolestuttavaa on, että komissio on ollut vastahakoinen selventämään asiaa asetusehdotuksessa tai ilmoittamaan tarkasti päivämäärää, jolloin selventäminen tehdään, ja se on sen sijaan lykännyt asian käsittelyä siksi, kunnes lainsäädännölliset ja poliittiset olosuhteet uudistuvat (katso tämän lausunnon 15 kohta). Tietosuojavaltuutetun käsityksen mukaan tällainen lähestymistapa saattaa aiheuttaa haitallista oikeudellista epävarmuutta sekä muodostaa huomattavan riskin siitä, että tietosuojaan liittyvät säännökset ja suojakeinot jätetään huomiotta.

19.

Rajaturvallisuusvirastolle ehdotuksessa hahmotellut uudet tehtävät ja velvoitteet huomioon ottaen tietosuojavaltuutettu katsoo, että asetusehdotuksessa pitäisi – siinä määrin kuin se on asianmukaista ja tarpeen – ottaa selkeästi esille kysymys niiden toimien laajuudesta, jotka saattavat aiheuttaa rajaturvallisuusvirastolle tarpeen käsitellä henkilötietoja. Tietosuojavaltuutetun näkemyksen mukaan rajaturvallisuusviraston nykyisten tai tulevien tehtäviensä yhteydessä tekemää henkilötietojen käsittelyä koskeva tarkka oikeusperusta on välttämätön. Käsittely pitäisi sallia vain silloin, kun sille on tarkasti määritelty ja laillinen syy, erityisesti yhteinen palauttamisoperaatio.

20.

Oikeusperustassa olisi lisäksi määriteltävä tarkasti henkilötietojen käsittelyä koskevat asianmukaiset ja tarpeelliset suojakeinot, rajoitukset ja ehdot Euroopan ihmisoikeussopimuksen 8 artiklan ja Euroopan unionin perusoikeuskirjan 8 artiklan mukaisesti.

21.

Määrittelyn tarpeellisuutta korostaa se, miten vaikeaa on käytännössä erottaa selkeästi toisistaan rajaturvallisuusviraston operatiiviset ja muut kuin operatiiviset tehtävät sekä erityisesti se, että joissakin tapauksissa henkilötietojen käsittely tapahtuisi yksinomaan hallinnollisia tai yksinomaan operatiivisia tarkoituksia varten. Näiden ilmaisujen tarkasta laajuudesta ja sisällöstä voi tulla epävarmuutta. Tästä syystä tietosuojavaltuutettu kehottaa lainsäätäjää selventämään asiaa asetusehdotuksessa.

22.

Tietosuojavaltuutettu haluaa tässä yhteydessä myös painottaa, että ennakkotarkastuslausunnon päätelmiä voidaan soveltaa vain tiettyihin toimenpiteisiin, joita rajaturvallisuusvirasto tekee jatkossa rajaturvallisuusvirastoa koskevan asetuksen 9 artiklan mukaisesti, eli yhteisiin palauttamisoperaatioihin (6). Nämä päätelmät perustuvat kyseisen toimenpiteen oikeudellisten ja käytännöllisten seikkojen kattavaan analyysiin sekä rajaturvallisuusviraston tietosuojavaltuutetulle ennakkotarkastuksen aikana antamiin tietoihin. Tästä syystä niitä ei voi soveltaa rajaturvallisuusviraston jatkossa muiden toimiensa yhteydessä tekemän henkilötietojen käsittelyn tarpeellisuuden, oikeasuhtaisuuden ja laillisuuden arviointiin. Jos rajaturvallisuusvirasto ryhtyy käsittelemään henkilötietoja muissa yhteyksissä, on käsittelyn laillisuus arvioitava tapauskohtaisesti, ellei rajaturvallisuusvirastoa koskevassa asetuksessa ole muuta säädetty (7).

23.

Kuten 13 kohdassa mainittiin, tässä lausunnossa tarkastellaan myös asetusehdotuksen niitä säännöksiä, joilla on tai saattaa jatkossa olla vaikutuksia tietosuojaan (artiklat 11, 11 a, 11 b, 13 ja 14).

24.

Ehdotuksessa esitetyn asetuksen (EY) N:o 2007/2004 11 artiklan uuden sanamuodon mukaan viraston tehtäviä muutetaan siten, että viraston on helpotettava tiedonvaihtoa sekä kehitettävä tietojärjestelmä, jolla pystytään vaihtamaan turvaluokiteltuja tietoja, ja pidettävä kyseistä tietojärjestelmää yllä. Ehdotettu sanamuoto kuuluu tarkalleen ottaen seuraavasti: ”Virasto voi toteuttaa kaikki tarvittavat toimenpiteet helpottaakseen tehtäviinsä liittyvää tiedonvaihtoa komission ja jäsenvaltioiden kanssa. Se kehittää tietojärjestelmän, jolla pystytään vaihtamaan turvaluokiteltuja tietoja komission ja jäsenvaltioiden kanssa, ja pitää kyseistä tietojärjestelmää yllä. Henkilötietojen vaihto ei sisälly tämän järjestelmän mukaiseen tietojenvaihtoon.”

25.

Tietosuojavaltuutettu pitää myönteisenä mainitun säännöksen viimeisessä virkkeessä ehdotettua tarkennusta, sillä siinä selvennetään, minkä sisältöisiä tietoja rajaturvallisuusvirasto saa vaihtaa komission ja jäsenvaltioiden kanssa. Tarkennuksen johdosta vältetään epäselvyys siitä, voiko kyseinen tietojenvaihto sisältää henkilötietojen vaihtoa.

26.

Tässä yhteydessä tietosuojavaltuutettu haluaa kuitenkin kiinnittää huomiota siihen, että ehdotettu 11 artikla on itse asiassa ehdotuksen ainoa säännös, jossa nimenomaan mainitaan rajaturvallisuusviraston operatiivisten tehtäviensä yhteydessä tekemä henkilötietojen käsittely. Säännöksessä kielletään tietyn tietojärjestelmän puitteissa tapahtuva henkilötietojen vaihtaminen. Se, ettei asetuksen muissa kohdissa, kuten yhteistyötä Euroopan unionin virastojen ja elinten sekä kansainvälisten järjestöjen kanssa koskevassa säännöksessä (13 artikla) tai kolmansien maiden kanssa tehtävää yhteistyötä ohjaavassa säännöksessä (14 artikla) ole tällaisia tarkennuksia, saattaa aiheuttaa tietosuojaan liittyvää epävarmuutta tai jopa huolta.

27.

Ehdotuksessa esitetään asetuksen (EY) N:o 45/2001 soveltamista koskevan 11 a artiklan lisäämistä. Artikla kuuluu seuraavasti: ”Hallintoneuvosto vahvistaa toimenpiteet, joiden mukaisesti virasto soveltaa asetusta (EY) N:o 45/2001, viraston tietosuojasta vastaavaa henkilöä koskevat toimenpiteet mukaan lukien.”

28.

Tietosuojavaltuutettu pitää myönteisenä kyseistä säännöstä, jossa vahvistetaan, että silloin kun virastolla on lupa käsitellä henkilötietoja, sen on käsiteltävä niitä asetuksen (EY) N:o 45/2001 mukaisesti.

29.

Viraston tietosuojasta vastaavan henkilön nimittäminen on erityisen tärkeää, ja sen yhteydessä olisi viivytyksettä laadittava myös asetuksen (EY) N:o 45/2001 24 artiklan 8 kohdan mukaiset täytäntöönpanoa koskevat säännöt, jotka koskevat tietosuojasta vastaavalle henkilölle myönnettäviä valtuuksia ja tehtäviä. Näitä sääntöjä olisi lisäksi täydennettävä kaikilla toimenpiteillä, joita kyseisen asetuksen toimiva soveltaminen rajaturvallisuusvirastossa vaatii.

30.

Kyseinen säännös on erittäin merkittävä myös ennakkotarkastuslausunnon päätelmien kannalta. Ennakkotarkastuslausuntoa varten rajaturvallisuusvirasto ilmoitti tietosuojavaltuutetulle, että rajaturvallisuusvirastoa koskevan asetuksen 9 artiklan mukaisten tehtävien asianmukainen ja tehokas hoitaminen vaatii jonkin verran henkilötietojen käsittelyä. Asetuksen (EY) N:o 45/2001 soveltamisen johdosta rajaturvallisuusviraston on rekisterinpitäjänä huolehdittava kyseisen asetuksen kaikkien säännösten noudattamisesta.

31.

Tässä kohdassa on myös mainittava, ettei ehdotuksessa ole rekisteröidyn oikeuksien käyttöön liittyviä erityissäännöksiä (asetuksen (EY) N:o 45/2001 13–19 artikla). Siitä puuttuvat myös säännökset, jotka koskevat rekisterinpitäjän velvoitetta antaa tietoja rekisteröidylle (asetuksen (EY) N:o 45/2001 11 ja 12 artiklat). Tietosuojavaltuutettu suosittelee, että toimenpiteissä, jotka hallintoneuvosto vahvistaa ehdotuksessa esitetyn 11 a artiklan perusteella, kiinnitetään erityistä huomiota näihin säännöksiin.

32.

Ehdotuksen 11 b artiklan mukaan rajaturvallisuusviraston olisi turvaluokiteltujen tietojen kyseessä ollessa noudatettava komission päätöksen 2001/844/EY, EHTY, Euratom mukaisia turvallisuusperiaatteita. Tämä koskee muun muassa turvaluokiteltujen tietojen vaihtamista, käsittelyä ja tallentamista. Ehdotetun säännöksen mukaan virastolla on velvollisuus käsitellä myös turvaluokittelemattomia arkaluonteisia tietoja komission vahvistamien ja käyttöön ottamien turvallisuusperiaatteiden mukaisesti.

33.

Tietosuojavaltuutettu pitää kyseistä säännöstä tervetulleena ja tarpeellisena tarkennuksena rajaturvallisuusviraston turvaluokiteltujen tietojen salaamista, vaihtamista, käsittelyä ja tallentamista koskeviin velvoitteisiin. Tietosuojavaltuutettu pitää myönteisenä myös sitä, että turvaluokittelemattomien arkaluonteisten tietojen käsittelyssä on noudatettava komission hyväksymiä turvallisuusperiaatteita. Kyseisten turvallisuusvelvoitteiden täydentämisen ja selventämisen vuoksi tietosuojavaltuutettu suosittelee, että 11 b artiklan viimeiseen virkkeeseen lisätään sanat ”ja kehittää samalla omaa, tarkasti määriteltyä turvallisuuspolitiikkaansa”. Komission periaatteethan toimivat tehokkaasti vain silloin, kun ne tuodaan osaksi omia käytäntöjä ja toimeenpannaan yksilöllisesti suunnitellun turvallisuuspolitiikan avulla.

34.

Ehdotuksessa esitetään uutta sanamuotoa rajaturvallisuusvirastoa koskevan asetuksen 13 artiklalle. Uuden sanamuodon mukaan ”virasto voi tehdä yhteistyötä Europolin, Euroopan turvapaikanhakijoiden tukiviraston, perusoikeusviraston, muiden Euroopan unionin virastojen ja elinten sekä sellaisten kansainvälisten järjestöjen kanssa, jotka ovat toimivaltaisia tämän asetuksen kattamilla aloilla, niiden kanssa sovittujen toimintamenettelyjen puitteissa sekä perussopimuksen asiaa koskevien määräysten ja näiden elinten toimivaltaa koskevien määräysten mukaisesti.”

35.

Säännöstä tarkasteltuaan tietosuojavaltuutettu on saanut käsityksen, että artiklassa mainittuihin toimintamenettelyihin virastojen, elinten ja kansainvälisten järjestöjen kanssa ei kuulu henkilötietojen käsittelyä. Käsityksen perusteena on, että uudessa sanamuodossa ei mainita asiaa eikä eritellä niitä tietoryhmiä, joita virastojen ja elinten kesken saisi vaihtaa. Sanamuodossa ei myöskään puhuta olosuhteista, joiden vallitessa tietojen vaihto voisi tapahtua.

36.

Edellä ilmaistusta kannastaan huolimatta tietosuojavaltuutettu haluaa kiinnittää huomiota 6 päivänä huhtikuuta 2009 Euroopan poliisiviraston (Europol) perustamisesta tehdyn neuvoston päätöksen (8) (jäljempänä Europolista tehty päätös) 22 artiklaan, jonka aiheena ovat Suhteet unionin tai yhteisön toimielimiin, elimiin ja virastoihin. Tämän säännöksen nojalla Europol voi luoda yhteistyösuhteet ja pitää niitä yllä Euroopan unionista tehdyllä sopimuksella tai Euroopan yhteisöjen perustamissopimuksilla tai näiden sopimusten nojalla perustettuihin toimielimiin, elimiin ja virastoihin, erityisesti rajaturvallisuusvirastoon. Tässä yhteydessä on lisättävä, että 22 artiklan toisessa kappaleessa mainitaan seuraavaa: ”Europol tekee sopimuksia 1 kohdassa tarkoitettujen tahojen kanssa tai sopii käytännön järjestelyistä niiden kanssa. Tällaiset sopimukset tai käytännön järjestelyt voivat koskea operatiivisten, strategisten ja teknisten tietojen vaihtoa, mukaan lukien henkilötiedot ja turvaluokitellut tiedot. Sopimus voidaan tehdä tai käytännön järjestelyistä sopia vasta sen jälkeen, kun hallintoneuvosto on ne hyväksynyt saatuaan ensin, sikäli kun on kyse henkilötietojen vaihdosta, yhteisen valvontaviranomaisen lausunnon.” Lisäksi 22 artiklan 3 kappaleen perusteella Europol voi ennen 2 kohdassa tarkoitetun sopimuksen tai käytännön järjestelyn voimaantuloa vastaanottaa tietoja, mukaan lukien henkilötiedot, suoraan 1 kohdassa tarkoitetuilta tahoilta ja käyttää niitä, jos tämä on tarpeen sen tehtävien lainmukaista suorittamista varten, ja se voi 24 artiklan 1 kohdassa säädetyin edellytyksin toimittaa tietoja, mukaan lukien henkilötiedot, suoraan näille tahoille, jos tämä on tarpeen vastaanottajan tehtävien lainmukaista suorittamista varten.

37.

Europolista tehdyssä päätöksessä on siis säädös, jonka perusteella Europol voisi solmia rajaturvallisuusviraston kanssa sopimuksen tai sopia sen kanssa käytännön järjestelyistä, jotka koskevat operatiivisten, strategisten ja teknisten tietojen vaihtoa, mukaan lukien henkilötiedot. Tämän vuoksi tietosuojavaltuutettu kehottaa selkeyttämään asetusehdotusta siten, että henkilötietojen vaihto ei rajaturvallisuusvirastoa koskevaan asetukseen ehdotetun 13 artiklan perusteella kuulu Europolin kanssa sovittaviin käytännön järjestelyihin.

38.

Ehdotuksen 14 artiklan ensimmäinen kappale käsittelee kolmansien maiden kanssa tehtävän operatiivisen yhteistyön helpottamista ja yhteistyötä kolmansien maiden toimivaltaisten viranomaisten kanssa. Erityisesti siinä velvoitetaan virastoa helpottamaan ”Euroopan unionin ulkosuhteissa noudatettavan politiikan mukaisesti jäsenvaltioiden ja kolmansien maiden välistä operatiivista yhteistyötä sen toimintaan kuuluvilla aloilla ja siinä määrin kuin sen tehtävien hoitaminen tätä edellyttää, myös ihmisoikeuksien osalta.” Edellä mainitun artiklan 6 kappaleessa säädetään lisäksi, että ”virasto voi tehdä yhteistyötä sellaisten kolmansien maiden viranomaisten kanssa, jotka ovat toimivaltaisia tämän asetuksen soveltamisalaan kuuluvissa asioissa, näiden viranomaisten kanssa sovittujen toimintamenettelyjen ja perussopimuksen asiaa koskevien määräysten mukaisesti.”

39.

Edellä mainitusta säännöksestä tietosuojavaltuutettu toteaa, että siinä ei mainita henkilötietojen käsittelyä. Siinä ei myöskään eritellä, kuuluuko ehdotuksessa mainittuihin ”käytännön järjestelyihin” henkilötietojen käsittely, ja jos kuuluu, missä määrin ja millaisten ehtojen vallitessa käsittely tapahtuisi. Tästä syystä sekä kohdassa ”Yleisiä huomioita” mainitut perustelut huomioon ottaen tietosuojavaltuutetun käsitys on, että henkilötietojen käsittely ei kuulu kyseiseen säännökseen. Päätelmä on yhtäpitävä myös niiden tietojen kanssa, jotka tietosuojavaltuutettu sai rajaturvallisuusvirastolta yhteisiä palautusoperaatioita koskevaa ennakkotarkastusta varten toimitetun ilmoituksen yhteydessä.

40.

Tietosuojavaltuutettu pitää myönteisenä sitä, että komissio kuulee häntä asetuksen (EY) N:o 45/2001 28 artiklan 2 kohdan mukaisesti.

41.

Tietosuojavaltuutettu on pannut merkille asetusehdotuksen tavoitteen ja päämäärät sekä syyt, joiden johdosta rajaturvallisuusviraston toimintaa ohjaavan lainsäädäntökehyksen uudistamista koskeva ehdotus on hyväksytty. Tietosuojavaltuutettu panee erityisesti merkille, että ehdotuksen tarkoituksena on tehostaa rajaturvallisuusviraston nykyisistä ja asetusehdotuksessa mainituista tehtävistä ja velvollisuuksista huolehtimista.

42.

Kun otetaan huomioon uusi ehdotuksessa esitetty lainsäädäntökehys, jonka mukaan rajaturvallisuusvirasto jatkossa toimii ja jonka seurauksena rajaturvallisuusvirasto voi asetusehdotuksen perusteella saada myös uusia operatiivisia tehtäviä, on hämmästyttävää, että asetusehdotuksessa ei mainita rajaturvallisuusviraston tekemää henkilötietojen käsittelyä lainkaan; ainoana poikkeuksena on 11 artiklan viimeinen virke.

43.

Tietosuojavaltuutetun kanta on, että asetusehdotuksessa pitäisi – siinä määrin kuin se on asianmukaista ja tarpeen – ottaa selkeästi esille kysymys niiden toimien laajuudesta, jotka saattavat aiheuttaa rajaturvallisuusvirastolle tarpeen käsitellä henkilötietoja.

44.

Tarvitaan erityinen oikeusperusta, jossa otetaan kantaa rajaturvallisuusviraston tekemään henkilötietojen käsittelyyn sekä määritellään tarkemmin, millaisten olosuhteiden vallitessa rajaturvallisuusvirasto voisi käsitellä henkilötietoja, kun käsittelyä joka tapauksessa säädeltäisiin vahvoilla tietosuojaa koskevilla suojakeinoilla ja se tapahtuisi suhteellisuus- ja tarpeellisuusperiaatteiden mukaisesti. Käsittely pitäisi sallia vain silloin, kun sille on tarkasti määritelty ja laillinen syy, erityisesti yhteinen palauttamisoperaatio.

45.

Oikeusperustassa olisi määriteltävä tarkasti henkilötietojen käsittelyä koskevat asianmukaiset ja tarpeelliset suojakeinot, rajoitukset ja ehdot Euroopan ihmisoikeussopimuksen 8 artiklan ja Euroopan unionin perusoikeuskirjan 8 artiklan mukaisesti. Rekisteröidyn oikeuksia koskevien takeiden olisi oltava oikeusperustan tärkeimpiä osa-alueita.

46.

Erittäin huolestuttavaa on, että komissio on ollut vastahakoinen selventämään asiaa asetusehdotuksessa tai ilmoittamaan tarkasti päivämäärää, jolloin selventäminen tehdään, ja se on sen sijaan lykännyt asian käsittelyä siksi, kunnes lainsäädännölliset ja poliittiset olosuhteet uudistuvat. Tietosuojavaltuutetun käsityksen mukaan tällainen lähestymistapa saattaa aiheuttaa haitallista oikeudellista epävarmuutta sekä muodostaa huomattavan riskin siitä, että tietosuojaan liittyvät säännökset ja suojakeinot jätetään huomiotta.

47.

Tietosuojavaltuutettu haluaa parantaa ehdotusta vielä lisää kehottamalla lainsäätäjää tekemään asetusehdotuksessa selväksi, että rajaturvallisuusvirastoa koskevaan asetukseen ehdotetun 13 artiklan perusteella Europolin kanssa sovittaviin käytännön järjestelyihin ei kuuluisi henkilötietojen vaihtaminen. Lisäksi tietosuojavaltuutettu suosittaa ehdotuksen 11 b artiklan selventämistä.