22.6.2011   

FI

Euroopan unionin virallinen lehti

C 181/24

1.

Komissio hyväksyi 2 päivänä helmikuuta 2011 ehdotuksen Euroopan parlamentin ja neuvoston direktiiviksi matkustajarekisteritietojen käytöstä terrorismirikosten ja vakavan rikollisuuden ehkäisemistä, paljastamista, tutkimista ja syytteeseenpanoa varten (jäljempänä ’ehdotus’) (3). Ehdotus toimitettiin samana päivänä Euroopan tietosuojavaltuutetulle lausuntoa varten.

2.

Euroopan tietosuojavaltuutettu pitää myönteisenä sitä, että komissio pyysi häneltä lausuntoa. Euroopan tietosuojavaltuutetulla oli mahdollisuus esittää epävirallisia huomioita jo ennen kuin ehdotus annettiin. Jotkin näistä huomioista on otettu huomioon ehdotuksessa, ja Euroopan tietosuojavaltuutettu panee merkille, että yleisesti ottaen tietosuojaa koskevia takeita on vahvistettu ehdotuksessa. Moniin kysymyksiin liittyy vielä kuitenkin huolenaiheita, erityisesti henkilötietojen keräämisen laajuuteen ja tarkoitukseen.

3.

Mahdollista matkustajarekisterijärjestelmää (PNR-järjestelmää) koskevia keskusteluja on käyty EU:ssa vuodesta 2007, jolloin komissio antoi ehdotuksen neuvoston puitepäätökseksi tästä aiheesta (4). EU:n PNR-järjestelmän ensisijaisena tavoitteena on perustaa järjestelmä, jossa EU:n ja kolmansien maiden välistä kansainvälistä lentoliikennettä hoitavat lentoliikenteen harjoittajat velvoitetaan toimittamaan matkustajarekisteritietoja (PNR-tietoja) kaikista matkustajista toimivaltaisille viranomaisille terrorismirikosten ja vakavan rikollisuuden ehkäisemistä, paljastamista, tutkimista ja syytteeseenpanoa varten. Tiedot keskitettäisiin matkustajatietoyksikölle, joka analysoi ne, ja analyysin tulokset toimitettaisiin kunkin jäsenvaltion toimivaltaisille kansallisille viranomaisille.

4.

Euroopan tietosuojavaltuutettu on vuodesta 2007 seurannut tiiviisti mahdollisen EU:n PNR-järjestelmän sekä kolmansien maiden PNR-järjestelmien kehittämistä. Euroopan tietosuojavaltuutettu antoi 20 päivänä joulukuuta 2007 lausunnon tästä komission ehdotuksesta (5). Euroopan tietosuojavaltuutettu sekä 29 artiklan mukainen tietosuojatyöryhmä (6) ovat monesti esittäneet samansuuntaisia huomautuksia, jotka koskevat tarpeellisuuden ja oikeasuhteisuuden periaatteiden sekä muiden keskeisten tietosuojatakeiden noudattamista lainvalvontatarkoituksessa tapahtuvassa PNR-tietojen käsittelyssä.

5.

Euroopan tietosuojavaltuutettu on johdonmukaisesti tuonut esiin keskeisen kysymyksen, joka koskee eurooppalaisen PNR-järjestelmän tarpeellisuuden perustelemista, kun otetaan huomioon monet muut välineet, joilla jo mahdollistetaan lainvalvontatarkoituksessa tapahtuva henkilötietojen käsittely.

6.

Euroopan tietosuojavaltuutettu toteaa, että nykyinen ehdotus sisältää selkeitä parannuksia tietosuojaan verrattuna versioon, jota hän tarkasteli aiemmin. Nämä parannukset koskevat erityisesti ehdotuksen soveltamisalaa, eri sidosryhmien (matkustajatietoyksiköiden) roolin määritelmää, arkaluonteisten tietojen käytön kieltämistä, siirtymistä tarjontamenetelmään (”push”) ilman siirtymäaikaa (7) ja tietojen säilyttämistä koskevia rajoituksia.

7.

Euroopan tietosuojavaltuutettu suhtautuu myönteisesti EU:n PNR-järjestelmän käyttöönottamisen perusteita koskevan vaikutusarvioinnin kehittämiseksi edelleen. Vaikka järjestelmän tarpeellisuutta halutaan selvästi selventää, Euroopan tietosuojavaltuutetun mielestä näissä uusissa perusteluissa ei ole esitetty vakuuttavia syitä järjestelmän kehittämiselle, varsinkaan kaikkien matkustajien laajamittaisen ennakkoarvioinnin osalta. Tarpeellisuutta ja oikeasuhteisuutta analysoidaan jäljempänä II luvussa. Lausunnon III luvussa keskitytään ehdotuksen erityisiin näkökohtiin.

8.

Tietojen käsittelyn tarpeellisuuden ja oikeasuhteisuuden osoittaminen on PNR-järjestelmän kehittämisen välttämätön edellytys. Euroopan tietosuojavaltuutettu on jo aiemmin vaatinut, erityisesti direktiivin 2006/24/EY (tietojen säilyttämistä koskeva direktiivi) mahdollisen tarkistuksen yhteydessä, että valtavien tietomäärien käsittelyn ja tallentamisen tarpeen on perustuttava siihen, että voidaan selvästi osoittaa käytön ja tuloksen välinen yhteys ja että voidaan arvioida, olisiko vastaaviin tuloksiin päästy vaihtoehtoisilla vähemmän yksityisyyttä loukkaavilla välineillä (8).

9.

Järjestelmän perustelemiseksi ehdotukseen ja erityisesti sen vaikutusten arviointiin sisältyy kattava asiakirja-aineisto ja oikeudelliset perusteet, joilla pyritään osoittamaan, että järjestelmä on tarpeen ja että se täyttää tietosuojavaatimukset. Siinä mennään vielä pidemmälle ja todetaan, että järjestelmä tuo lisäarvoa tietosuojanormien yhtenäistämisen kannalta.

10.

Analysoituaan näitä tekijöitä Euroopan tietosuojavaltuutettu katsoo, että ehdotus sen nykyisessä muodossa ei täytä Euroopan unionin perusoikeuskirjan 8 artiklassa, Euroopan ihmisoikeussopimuksen 8 artiklassa ja SEUT 16 artiklassa asetettuja tarpeellisuuden ja oikeasuhteisuuden vaatimuksia. Tämän näkemyksen perustelut esitetään seuraavissa kohdissa.

11.

Euroopan tietosuojavaltuutettu toteaa, että vaikutusten arvioinnissa on esitetty laajoja selvityksiä ja tilastoja ehdotuksen perustelemiseksi. Nämä eivät kuitenkaan ole vakuuttavia. Esimerkiksi vaikutusten arvioinnissa ja ehdotuksen perusteluissa (9) esitetyssä terrorismin ja vakavan rikollisuuden uhkien kuvauksessa todetaan, että jäsenvaltioissa tehtiin vuonna 2007 keskimäärin 14 000 rikosta 100 000:ta asukasta kohti. Vaikka tämä luku saattaa olla vaikuttava, se koskee eriytymättömiä rikostyyppejä eikä sillä voida perustella ehdotusta, joka koskee ja jolla torjutaan ainoastaan tietyntyyppisiä vakavia kansainvälisiä rikoksia ja terrorismia. Toisena esimerkkinä mainittakoon, että huumeongelmia koskevan kertomuksen mainitseminen ilman, että tilastoja liitetään ehdotuksessa tarkoitettuun huumekauppaan, ei Euroopan tietosuojavaltuutetun mielestä ole kelvollinen viite. Tämä koskee myös rikollisuuden seurauksia koskevia tietoja, joissa mainitaan ”varastetun omaisuuden arvo” ja uhrille aiheutuvat fyysiset ja henkiset vammat; nämä tiedot eivät liity suoraan ehdotuksen tarkoitukseen.

12.

Viimeisenä esimerkkinä mainittakoon, että vaikutusten arvioinnissa todetaan, että Belgia on ilmoittanut, että 95 prosenttia kaikista vuonna 2009 tehdyistä huumetakavarikoista perustui yksinomaan tai pääosin PNR-tietojen käsittelyyn. On kuitenkin korostettava, että Belgiassa ei (vielä) ole käytössä järjestelmällistä PNR-järjestelmää, joka olisi rinnastettavissa ehdotuksessa suunniteltuun järjestelmään. Tämä voi tarkoittaa, että PNR-tiedoista voi olla hyötyä tietyissä tapauksissa, eikä Euroopan tietosuojavaltuutettu kiistä tätä. Kaikkia matkustajia koskevien tietojen laaja kerääminen ja matkustajien järjestelmällinen arvioiminen herättävät kuitenkin vakavia tietosuojaa koskevia huolenaiheita.

13.

Euroopan tietosuojavaltuutettu katsoo, ettei ole riittävästi asianmukaisia ja tarkkoja tausta-asiakirjoja, joissa osoitetaan välineen tarpeellisuus.

14.

Vaikka asiakirjassa todetaan, että tietojenkäsittelytoimilla puututaan perusoikeuskirjan, Euroopan ihmisoikeussopimuksen ja SEUT 16 artiklan perusoikeuksiin, siinä myös mainitaan, että näille oikeuksille voidaan asettaa rajoituksia. Lopuksi todetaan, että ”koska ehdotettujen toimien tarkoituksena on torjua terrorismia ja muuta vakavaa rikollisuutta, joista säädetään lainsäädännössä, ne selvästi täyttävät tällaiset vaatimukset, kunhan ne ovat välttämättömiä demokraattisessa yhteiskunnassa ja suhteellisuusperiaatetta noudatetaan” (10). Asiakirjassa ei kuitenkaan ole selvästi osoitettu, että toimenpiteet ovat välttämättömiä ja ettei ole olemassa vähemmän yksityisyyteen puuttuvia vaihtoehtoja.

15.

Tässä mielessä se seikka, että PNR-tietojen käyttöä muita tarkoituksia (kuten maahanmuuttoa, lentokieltoa koskevaa luetteloa ja terveysturvallisuutta) varten on harkittu mutta ei kuitenkaan lopulta hyväksytty oikeasuhteisuusnäkökohtien takia, ei tarkoita, että PNR-tietojen käsittelyn rajoittaminen vakaviin rikoksiin ja terrorismiin on tosiasiallisesti oikeasuhteista, koska siten puututaan vähemmän henkilöiden yksityiselämään. Ei myöskään ole arvioitu vaihtoehtoa, jonka mukaan järjestelmää sovelletaan vain terrorismin (eikä muun rikollisuuden) torjuntaan, kuten aiemmissa PNR-järjestelmissä, erityisesti aiemmassa Australian PNR-järjestelmässä, suunniteltiin. Euroopan tietosuojavaltuutettu korostaa, että tässä aikaisemmassa järjestelmässä – josta 29 artiklan mukainen tietosuojatyöryhmä on vuonna 2004 antanut myönteisen lausunnon – tarkoitus oli rajattu ”niiden matkustajien tunnistamiseen, jotka voivat aiheuttaa terrorismin tai siihen liittyvän rikollistoiminnan uhkaa” (11). Australian järjestelmässä ei myöskään määrätty PNR-tietojen säilyttämisestä, paitsi tiettyjen matkustajien osalta, joiden katsottiin aiheuttavan erityistä uhkaa (12).

16.

Lisäksi rekisteröityjen valvonnan ennustettavuuden osalta on kyseenalaista, täyttääkö komission ehdotus EU:n lainsäädännön vankkaa oikeusperustaa koskevan vaatimuksen: matkustajien ”arviointi” (aikaisemmin ”riskinarviointi”) suoritetaan jatkuvasti kehittyvien ja ei-läpinäkyvien kriteerien perusteella. Kuten asiakirjassa nimenomaisesti todetaan, järjestelmän ensisijainen tarkoitus ei ole perinteinen rajavalvonta vaan tiedustelutiedon hankinta (13) ja sellaisten henkilöiden pidättäminen, jotka eivät ole epäiltyjä, ennen kuin rikos on tapahtunut. Tällaisen Euroopan laajuisen järjestelmän kehittäminen, jossa kerätään kaikkia matkustajia koskevia tietoja ja tehdään päätöksiä tuntemattomien ja jatkuvasti kehittyvien arviointikriteerien perusteella, herättää vakavia avoimuutta ja oikeasuhteisuutta koskevia kysymyksiä.

17.

Ainut tarkoitus, joka Euroopan tietosuojavaltuutetun mukaan täyttäisi avoimuuden ja oikeasuhteisuuden vaatimukset, olisi PNR-tietojen käyttö tapauskohtaisesti, kuten 4 artiklan 2 kohdan c alakohdassa mainitaan, mutta ainoastaan silloin, kun kyse on vakavasta ja konkreettisesta uhasta, joka vahvistetaan konkreettisten tekijöiden avulla.

18.

Direktiiviehdotuksen 4 artiklan 2 kohdan b alakohdassa säädetään, että matkustajatietoyksikkö voi arvioida matkustajia ja tällaista arviointia varten verrata PNR-tietoja 4 artiklan 2 kohdan b alakohdassa mainittuihin asianmukaisiin tietokantoihin. Tässä säännöksessä ei määritellä asianmukaisia tietokantoja. Siksi toimenpidettä ei voida ennakoida, mikä on myös asetettu vaatimukseksi perusoikeuskirjassa ja Euroopan ihmisoikeussopimuksessa. Lisäksi säännös herättää kysymyksen sen yhteensopivuudesta käyttötarkoituksen rajoittamista koskevan periaatteen kanssa: Euroopan tietosuojavaltuutetun mukaan sitä ei pitäisi soveltaa esimerkiksi Eurodacin kaltaiseen tietokantaan, joka on kehitetty erilaista tarkoitusta varten (14). Lisäksi toimenpiteen on oltava mahdollinen ainoastaan, jos on olemassa erityinen tarve, erityistapauksessa, jossa henkilöön kohdistuu etukäteen epäilyjä rikoksen tapahduttua. Kaikkien PNR-tietojen järjestelmällinen tarkistaminen viisumitietojärjestelmän tietokannasta (15) olisi liiallista ja suhteetonta.

19.

Ajatus, jonka mukaan ehdotus vahvistaisi tietosuojaa tarjoamalla tasapuoliset toimintaedellytykset henkilöiden oikeuksien osalta, on kyseenalainen. Euroopan tietosuojavaltuutettu toteaa, että jos järjestelmän tarpeellisuus ja oikeasuhteisuus vahvistetaan, EU:n yhtenäisillä normeilla, tietosuojanormit mukaan luettuina, parannettaisiin oikeusvarmuutta. Ehdotuksen johdanto-osan 28 kappaleen nykyisen sanamuodon mukaan ”tämä direktiivi ei vaikuta jäsenvaltioiden mahdollisuuteen säätää kansallisessa laissaan PNR-tietojen keräämistä ja käsittelyä koskevasta järjestelmästä muita kuin tässä direktiivissä mainittuja tarkoituksia varten tai näiden tietojen keräämisestä muilta kuin direktiivissä mainituilta liikenteenharjoittajilta sisäisten lentojen osalta (…)”.

20.

Ehdotuksen mukanaan tuoma yhdenmukaistaminen on näin ollen rajallista. Yhdenmukaistaminen voi koskea rekisteröidyn oikeuksia mutta ei käyttötarkoituksen rajoittamista. Voidaan myös olettaa, että tämän sanamuodon mukaan PNR-järjestelmiä, joita jo käytetään esimerkiksi laittoman maahanmuuton torjuntaan, voidaan direktiivin mukaan edelleen käyttää kyseiseen tarkoitukseen.

21.

Tämä tarkoittaa toisaalta, että niiden jäsenvaltioiden välillä, jotka jo käyttävät PNR-järjestelmää, olisi edelleen eroja, ja toisaalta jäsenvaltioiden enemmistö, joka ei järjestelmällisesti kerää PNR-tietoja (27 jäsenvaltiosta 21), velvoitettaisiin keräämään tietoja. Euroopan tietosuojavaltuutettu katsoo, että tästä näkökulmasta lisäarvo tietosuojan kannalta on erittäin kyseenalainen.

22.

Johdanto-osan 28 kappaleen soveltaminen johtaisi sitä vastoin käyttötarkoituksen rajoittamista koskevan periaatteen vakavaan rikkomiseen. Euroopan tietosuojavaltuutetun mukaan ehdotuksessa on nimenomaisesti todettava, että PNR-tietoja ei saa käyttää muita tarkoituksia varten.

23.

Euroopan tietosuojavaltuutettu tekee samanlaisen päätelmän kuin tietojen säilyttämistä koskevan direktiivin arvioinnin yhteydessä: molemmissa tapauksissa todellisen yhdenmukaistamisen puute liittyy oikeusvarmuuden puutteeseen. Lisäksi henkilötietojen kerääminen ja käsittely tulee pakolliseksi kaikissa jäsenvaltioissa, joissa järjestelmän todellista tarpeellisuutta ei ole vahvistettu.

24.

Euroopan tietosuojavaltuutettu toteaa myös, että PNR-järjestelmän kehitys liittyy EU:n tiedonvaihdon hallinnan alan välineiden käynnissä olevaan yleiseen arviointiin, jonka komissio käynnisti tammikuussa 2010 ja jota kehitettiin komission äskettäin antamassa tiedonannossa ”Katsaus tiedonhallintaan vapauden, turvallisuuden ja oikeuden alueella” (16). PNR-järjestelmän kehityksellä on selvä yhteys Euroopan tiedonhallintastrategiaa koskevaan käynnissä olevaan keskusteluun. Euroopan tietosuojavaltuutettu katsoo tämän osalta, että eurooppalaista tiedonvaihtomallia koskevan nykyisen työn – jonka odotetaan valmistuvan vuonna 2012 – tulokset on otettava huomioon arvioitaessa EU:n PNR-järjestelmän tarpeellisuutta.

25.

Tässä yhteydessä ja kun otetaan huomioon ehdotuksen heikkoudet ja erityisesti sen vaikutusten arviointi, Euroopan tietosuojavaltuutettu katsoo, että erityinen yksityisyyden suojaa ja tietosuojaa koskeva vaikutusten arviointi on tarpeen tämäntyyppisissä tapauksissa, joissa ehdotuksen aihe vaikuttaa yksityisyyden suojaa ja tietosuojaa koskeviin perusoikeuksiin. Yleinen vaikutusten arviointi ei ole riittävä.

26.

Terrorismirikosten, vakavan rikollisuuden ja vakavan kansainvälisen rikollisuuden määritelmät on esitetty ehdotuksen 2 artiklan g, h ja i kohdassa. Euroopan tietosuojavaltuutettu suhtautuu myönteisesti siihen, että määritelmiä ja niiden soveltamisaloja on tarkennettu ja että vakavan rikollisuuden ja kansainvälisen vakavan rikollisuuden välillä on tehty ero. Tietosuojavaltuutetun mielestä tämä ero on aiheellinen erityisesti siksi, että se merkitsee henkilötietojen erilaista käsittelyä ja sulkee pois arvioinnin ennalta määriteltyjen kriteerien perusteella, kun kyse on vakavista rikoksista, jotka eivät ole kansainvälisiä.

27.

Euroopan tietosuojavaltuutetun mielestä vakavan rikollisuuden määritelmä on kuitenkin vielä liian laaja. Tämä myönnetään ehdotuksessa, jossa todetaan, että jäsenvaltiot voivat sulkea pois vähäisemmät rikokset  (17), jotka kuuluvat vakavan rikollisuuden määritelmän piiriin mutta joiden sisällyttäminen ei olisi suhteellisuusperiaatteen mukaista. Tätä voidaan tulkita siten, että ehdotuksen määritelmään voi kuulua vähäisempiä rikoksia, joiden käsittely olisi suhteetonta. Ei kuitenkaan ole selvää, mitkä rikokset kuuluvat vähäisimpiin rikoksiin. Euroopan tietosuojavaltuutettu katsoo, että soveltamisalan rajoittamista ei pitäisi jättää jäsenvaltioiden tehtäväksi, vaan ehdotuksessa olisi nimenomaisesti lueteltava direktiivin soveltamisalaan kuuluvat rikokset sekä sen soveltamisalan ulkopuolelle jätettävät rikokset, koska niitä on pidettävä vähäisinä eivätkä ne täytä oikeasuhteisuutta koskevaa vaatimusta.

28.

Sama huolenaihe koskee 5 artiklan 5 kohdassa mainittua mahdollisuutta käsitellä tietoja, jotka liittyvät täytäntöönpanotoimien yhteydessä ilmeneviin muihin rikoksiin, ja johdanto-osan 28 kappaleessa mainittua mahdollisuutta laajentaa soveltamisalaa koskemaan myös muita kuin ehdotuksessa mainittuja tarkoituksia tai muita liikenteenharjoittajia.

29.

Euroopan tietosuojavaltuutettu on myös huolestunut 17 artiklassa säädetystä mahdollisuudesta sisällyttää sisäiset lennot direktiivin soveltamisalaan, kun otetaan huomioon niiden jäsenvaltioiden kokemukset, jotka jo keräävät kyseisiä tietoja. Tällainen PNR-järjestelmän soveltamisalan laajentaminen vaarantaisi jopa vielä enemmän henkilöiden perusoikeuksia, eikä sitä pitäisi suunnitella ennen asianmukaista analyysiä ja kattavaa vaikutusten arviointia.

30.

Yhteenvetona todettakoon, että se, että soveltamisala jätetään avoimeksi ja että jäsenvaltioille annetaan mahdollisuus laajentaa soveltamisalaa muihin tarkoituksiin, on vastoin vaatimusta, jonka mukaan tietoja saa kerätä vain nimenomaisesti määriteltyihin tarkoituksiin.

31.

Matkustajatietoyksiköiden rooli ja PNR-tietojen käsittelyyn liittyvät takeet herättävät erityisiä kysymyksiä etenkin, koska matkustajatietoyksiköt saavat kaikkia matkustajia koskevia tietoja lentoliikenteenharjoittajilta ja kyseisillä yksiköillä on ehdotuksen mukaan laajat valtuudet käsitellä näitä tietoja. Tähän sisältyy sellaisten matkustajien käytöksen arviointi, joita ei epäillä mistään rikoksesta, ja mahdollisuus verrata PNR-tietoja määrittelemättömiin tietokantoihin (18). Euroopan tietosuojavaltuutettu toteaa, että ehdotuksessa säädetään ”rajoitettua pääsyä” koskevista ehdoista, mutta katsoo, että nämä ehdot eivät yksin riitä, kun otetaan huomioon matkustajatietoyksiköiden laajat toimivaltuudet.

32.

Ensinnäkin matkustajatietoyksiköksi (PIU) nimetyn viranomaisen asema ja kokoonpano ovat epäselviä. Ehdotuksessa mainitaan mahdollisuus, jonka mukaan henkilöstön jäsenet voivat olla ”toimivaltaisten viranomaisten lähettämiä työntekijöitä”, mutta siinä ei anneta takeita matkustajatietoyksikön henkilöstön pätevyydestä ja riippumattomuudesta. Euroopan tietosuojavaltuutettu suosittelee tällaisten vaatimusten sisällyttämistä direktiiviin, kun otetaan huomioon matkustajatietoyksiköiden suorittaman käsittelyn arkaluonteisuus.

33.

Toiseksi ehdotuksessa todetaan, että jäsenvaltiot voivat nimetä yhteisen matkustajatietoyksikön. Tämä mahdollistaa väärinkäytön ja tiedonsiirron ilman, että ehdotuksessa asetetut edellytykset täyttyvät. Euroopan tietosuojavaltuutettu myöntää, että tehokkuussyistä erityisesti pienet jäsenvaltiot saattavat haluta yhdistää voimansa, mutta hän suosittelee, että tekstiin sisällytetään tätä vaihtoehtoa koskevia ehtoja. Näissä ehdoissa on käsiteltävä yhteistyötä toimivaltaisten viranomaisten kanssa sekä valvontaa erityisesti valvonnasta vastaavan tietosuojaviranomaisen osalta ja rekisteröidyn oikeuksien käytön osalta, sillä usealla viranomaisilla voi olla toimivalta valvoa matkustajatietoyksikköä.

34.

Edellä mainittuihin tekijöihin liittyy riski siitä, että tietoja käytetään muuhun kuin alkuperäiseen tarkoitukseen (function creep) erityisesti, kun otetaan huomioon tietoja analysoivan toimivaltaisen henkilöstön laatu ja se, että usealla jäsenvaltiolla on yhteinen matkustajatietoyksikkö.

35.

Kolmanneksi Euroopan tietosuojavaltuutettu kyseenalaistaa ehdotetut suojatoimet väärinkäytön estämiseksi. Euroopan tietosuojavaltuutettu pitää lokin laatimista (logging obligations) koskevaa velvoitetta myönteisenä muttei riittävänä. Omavalvontaa pitäisi täydentää ulkoisella valvonnalla järjestelmällisemmällä tavalla. Euroopan tietosuojavaltuutettu ehdottaa, että tarkastuksia järjestetään järjestelmällisesti neljän vuoden välein. On laadittava kattavat turvallisuussäännöt, ja niitä on sovellettava laaja-alaisesti kaikkiin matkustajatietoyksiköihin.

36.

Ehdotuksen 7 artiklassa esitetään useita skenaarioita, joissa mahdollistetaan tietojenvaihto matkustajatietoyksikköjen välillä – joka on normaali tilanne – tai poikkeustilanteissa jäsenvaltioiden toimivaltaisten viranomaisten ja matkustajatietoyksiköiden välillä. Edellytysten tiukkuus määräytyy sen mukaan, pyydetäänkö pääsyä 9 artiklan 1 kohdassa mainittuun tietokantaan, jossa tiedot säilytetään ensimmäiset 30 päivää, vai 9 artiklan 1 kohdassa mainittuun tietokantaan, jossa tietoja säilytetään vielä viiden vuoden ajan.

37.

Pääsyn edellytykset on määritelty tiukemmin, kun pääsyä koskeva pyyntö on tavanomaisen menettelyn ulkopuolella. Euroopan tietosuojavaltuutettu toteaa kuitenkin, että käytetty sanamuoto aiheuttaa sekaannusta. Ehdotuksen 7 artiklan 2 kohtaa sovelletaan ”terrorismirikosten ja vakavan rikollisuuden ehkäisemistä, paljastamista, tutkimista tai syytteeseenpanoa varten”; 7 artiklan 3 kohdassa mainitaan ”poikkeustilanteet, kun kyseessä on terrorismirikoksiin tai vakavaan rikollisuuteen liittyvä erityinen uhka tai tutkinta tai erityiset syytetoimet”; 7 artiklan 4 kohdassa on puolestaan kyse ”yleiseen turvallisuuteen kohdistuvasta välittömästä ja vakavasta uhasta” ja 7 artiklan 5 kohdassa mainitaan ”terrorismirikoksia tai vakavaa rikollisuutta koskeva määrätty ja konkreettinen uhka”. Eri sidosryhmien tietokantoihin pääsyä koskevat edellytykset vaihtelevat näiden kriteerien mukaan. Erityisen uhan, välittömän ja vakavan uhan sekä määrätyn ja konkreettisen uhan väliset erot eivät ole selviä. Euroopan tietosuojavaltuutettu korostaa tarvetta täsmentää tiedonsiirron edellytyksiä.

38.

Ehdotuksessa todetaan, että tietosuojaperiaatteiden yleinen oikeusperusta on neuvoston puitepäätös 2008/977/YOS, ja siinä laajennetaan sen soveltamisalaa tietojen kansalliseen käsittelyyn.

39.

Euroopan tietosuojavaltuutettu on korostanut jo vuonna 2007 (19) puitepäätöksen puutteita rekisteröidyn oikeuksien osalta. Puitepäätöksestä puuttuu muun muassa rekisteröidyn informoimisesta koskevat vaatimukset, jos häntä koskevia tietoja pyydetään: tiedot on annettava järkevässä muodossa, käsittelyn tarkoitus on ilmoitettava, ja tarvitaan täsmällisempiä suojatoimia siinä tapauksessa, että valitetaan tietosuojaviranomaiselle, jos suora pääsy evätään.

40.

Viittauksella puitepäätökseen on seurauksia myös sen osalta, miten yksilöidään tietosuojaviranomainen, jolla on toimivalta valvoa tulevan direktiivin soveltamista, sillä kyse ei välttämättä ole samasta tietosuojaviranomaisesta, jolla on toimivalta esimerkiksi (entisen) ensimmäisen pilarin asioissa. Euroopan tietosuojavaltuutettu katsoo, että on epätyydyttävää turvautua pelkästään puitepäätökseen Lissabonin sopimuksen jälkeisessä ajassa, jolloin yksi päätavoitteista on mukauttaa oikeuskehystä suojelun korkean ja yhdenmukaistetun tason varmistamiseksi kaikkien (entisten) pilarien aloilla. Tietosuojavaltuutetun mielestä ehdotukseen on lisättävä säännöksiä, joilla täydennetään viittausta neuvoston puitepäätökseen, joka on puutteellinen erityisesti henkilötietoihin pääsyä koskevien edellytysten osalta.

41.

Nämä huolenaiheet liittyvät kaikilta osin myös kolmansiin maihin tapahtuvaa tiedonsiirtoa koskeviin säännöksiin. Ehdotuksessa viitataan puitepäätöksen 13 artiklan 3 kohdan ii alakohtaan, jossa on paljon poikkeuksia tietosuojatakeisiin: siinä poiketaan varsinkin tietosuojan riittävyyttä koskevasta vaatimuksesta ”oikeutettujen vallitsevien etujen, erityisesti tärkeiden yleisten etujen vuoksi”. Tämän poikkeuksen sanamuoto on epämääräinen, ja sitä voitaisiin soveltaa moniin tapauksiin, joissa käsitellään PNR-tietoja, mikäli sitä tulkitaan laajasti. Euroopan tietosuojavaltuutettu katsoo, että ehdotuksessa on nimenomaisesti kiellettävä puitepäätöksessä mainittujen poikkeusten soveltaminen PNR-tietojen käsittelyn yhteydessä ja säilytettävä tietosuojan riittävyyden tiukkaa arviointia koskeva vaatimus.

42.

Ehdotuksessa säädetään, että tietoja on säilytettävä 30 päivän ajan ja sen jälkeen viisi vuotta arkistossa. Säilytysaikaa on lyhennetty huomattavasti verrattuna asiakirjan aikaisempiin versioihin, joissa säilytysaika oli viisi ja kahdeksan vuotta.

43.

Euroopan tietosuojavaltuutettu suhtautuu myönteisesti siihen, että ensimmäistä säilytysaikaa lyhennettiin 30 päivään. Hän kuitenkin kyseenalaistaa viiden vuoden säilytysajan: hänelle on epäselvää, tarvitseeko näitä tietoja säilyttää muodossa, jossa henkilöt voidaan tunnistaa.

44.

Hän korostaa myös asiakirjan terminologiaa koskevaa kysymystä, jolla on keskeisiä oikeudellisia vaikutuksia. Ehdotuksen 9 artiklan 2 kohdassa todetaan, että matkustajatiedot on ”peitettävä” ja tiedot ”anonymisoidaan”. Jäljempänä tekstissä kuitenkin mainitaan, että on mahdollista tutustua ”kaikkiin PNR-tietoihin”. Jos tämä on mahdollista, se merkitsee, ettei PNR-tietoja ole kaikilta osin anonymisoitu: vaikka ne on peitetty, ne voidaan silti tunnistaa. Tästä seuraa, että tietosuojakehystä voidaan edelleen soveltaa täysimääräisesti, mikä herättää kysymyksen siitä, onko kaikkia matkustajia koskevien tunnistettavien tietojen säilyttäminen viiden vuoden ajan tarpeellista ja oikeasuhteista.

45.

Euroopan tietosuojavaltuutettu suosittelee, että ehdotus muotoillaan uudelleen siten, että tiedot tehdään todella anonyymeiksi eikä niitä ole enää mahdollista tunnistaa, mikä tarkoittaa, ettei taannehtiva tutkinta ole sallittu. Näitä tietoja voidaan yhä ja yksinomaan käyttää yleiseen tiedonhankintaan, joka liittyy terrorismin ja siihen liittyvän rikollisuuden tunnistamiseen muuttovirtojen yhteydessä. Tämä voidaan erottaa siitä, että tietoja säilytetään tunnistettavassa muodossa – tiettyjä takeita noudattaen – tapauksissa, joissa on konkreettisia epäilyjä.

46.

Euroopan tietosuojavaltuutettu suhtautuu myönteisesti siihen, ettei arkaluonteisia tietoja ole sisällytetty käsiteltävien tietojen luetteloon. Hän korostaa kuitenkin, että ehdotuksen mukaan on kuitenkin mahdollista, että nämä tiedot lähetetään matkustajatietoyksikölle, jolla on velvollisuus poistaa ne (4 artiklan 1 kohta ja 11 artikla). Sanamuodon perusteella jää epäselväksi, onko matkustajatietoyksiköllä edelleen rutiininomainen velvollisuus poistaa lentoyhtiön lähettämät arkaluonteiset tiedot vai onko näin tehtävä vain poikkeustapauksissa, kun lentoyhtiö on lähettänyt kyseiset tiedot vahingossa. Euroopan tietosuojavaltuutettu suosittelee, että tekstiä muutetaan sen selventämiseksi, etteivät lentoyhtiöt saa lähettää arkaluonteista tietoa tietojen käsittelyn lähteeltä.

47.

Lukuun ottamatta arkaluonteisia tietoja, siirrettävien tietojen luettelo muistuttaa monelta osin Yhdysvaltain PNR-tietojen luetteloa, jota 29 artiklan mukainen tietosuojatyöryhmä on useissa lausunnossaan arvostellut liian kattavaksi (20). Euroopan tietosuojavaltuutettu katsoo, että tätä luetteloa on rajoitettava tietosuojatyöryhmän lausunnon mukaisesti ja että mahdolliset lisäykset on perusteltava asianmukaisesti. Tämä koskee erityisesti kohtaa ”yleiset huomautukset”, joka on poistettava luettelosta.

48.

Ehdotuksen 4 artiklan 2 kohdan a ja b alakohdan mukaan henkilöiden arvioiminen vertaamalla tietoja ennalta määriteltyihin kriteereihin tai asianmukaisiin tietokantoihin voi edellyttää automaattista käsittelyä, mutta tulokset on tarkistettava yksittäin ei-automaattisen käsittelyn keinoin.

49.

Euroopan tietosuojavaltuutettu suhtautuu myönteisesti uuteen versioon sisällytettyihin täsmennyksiin. Säännöksen aikaisemman soveltamisalan moniselitteisyys sellaisten automaattisten päätösten osalta, jotka ”aiheuttavat henkilölle vastaisia oikeusvaikutuksia tai vaikuttavat häneen merkittävästi (…)”, on korvattu täsmällisemmällä sanamuodolla. Nyt on selvää, että automaattisen tietojenkäsittelyn tuloksena saatavat osumat tarkistetaan yksittäin.

50.

Uudesta versiosta käy myös selvästi ilmi, ettei arviointia saa missään tapauksessa tehdä henkilön rodun tai etnisen alkuperän, uskonnollisen tai filosofisen vakaumuksen, poliittisten mielipiteiden, ammattiliiton jäsenyyden eikä terveydentilaa tai sukupuolielämää koskevien tietojen perusteella. Toisin sanoen Euroopan tietosuojavaltuutettu ymmärtää tämän uuden sanamuodon perusteella, ettei päätöstä saa edes osittain tehdä arkaluonteisten tietojen perusteella. Tämä on yhdenmukaista sen säännöksen kanssa, jonka mukaan matkustajatietoyksiköt eivät saa käsitellä arkaluonteisia tietoja, ja tätä on myös pidettävä myönteisenä.

51.

Euroopan tietosuojavaltuutettu katsoo, että on erittäin tärkeää, että direktiivin täytäntöönpanosta suoritetaan perusteellinen arviointi, kuten 17 artiklassa säädetään. Hän katsoo, että tarkastelussa ei pitäisi arvioida pelkästään tietosuojanormien yleistä noudattamista, vaan täsmällisemmin ja erityisesti sitä, ovatko PNR-järjestelmät välttämättömiä. Ehdotuksen 18 artiklassa mainitut tilastotiedot on otettava huomioon tältä osin. Euroopan tietosuojavaltuutettu katsoo, että näihin tietoihin on sisällytettävä lainvalvontatoimien lukumäärä, kuten ehdotuksessa säädetään, mutta myös niiden tuomioiden määrä, jotka ovat – tai eivät ole – seurausta valvontatoimista. Tällaiset tiedot ovat olennaisia, jotta tarkastelun tulokset olisivat vakuuttavia.

52.

Ehdotus ei vaikuta nykyisiin sopimuksiin kolmansien maiden kanssa (19 artikla). Euroopan tietosuojavaltuutettu katsoo, että tässä säännöksessä olisi viitattava tarkemmin tavoitteeseen luoda maailmanlaajuinen kehys, jossa vahvistetaan yhdenmukaiset tietosuojatakeet PNR:n alalla EU:ssa ja sen ulkopuolella, Euroopan parlamentin pyynnön mukaisesti. Tämä on myös mainittu komission 21 päivänä syyskuuta 2010 antamassa tiedonannossa matkustajarekisteritietojen (PNR) siirtoa kolmansiin maihin koskevasta kokonaisvaltaisesta lähestymistavasta.

53.

Näin ollen kolmansien maiden kanssa tehtäviin sopimuksiin ei saa sisällyttää säännöksiä, jotka eivät täytä direktiivin tietosuojavaatimuksia. Tämä on erityisen tärkeää nyt, kun Yhdysvaltojen, Australian ja Kanadan kanssa tehdyistä sopimuksista neuvotellaan uudelleen tästä maailmanlaajuisen ja yhdenmukaisen kehyksen näkökulmasta.

54.

EU:n PNR-järjestelmän kehittäminen sekä PNR-sopimusten neuvotteleminen kolmansien maiden kanssa on ollut aikaa vievä hanke. Euroopan tietosuojavaltuutettu toteaa, että verrattuna vuoden 2007 ehdotukseen neuvoston puitepäätökseksi EU:n PNR-järjestelmästä tekstiluonnokseen on tehty selviä parannuksia. Siihen on lisätty tietosuojatakeet ja hyödynnetty eri sidosryhmien, varsinkin 29 artiklan mukaisen tietosuojatyöryhmän, Euroopan tietosuojavaltuutetun ja Euroopan parlamentin, keskusteluja ja lausuntoja.

55.

Euroopan tietosuojavaltuutettu suhtautuu myönteisesti näihin parannuksiin ja erityisesti ehdotuksen soveltamisalan rajoittamista koskeviin pyrkimyksiin sekä PNR-tietojen käsittelyä koskeviin ehtoihin. Hänen on kuitenkin todettava, että PNR-järjestelmän kehittämisen oleellinen edellytys, eli tarpeellisuuden ja oikeasuhteisuuden periaatteiden noudattaminen, ei täyty ehdotuksessa. Euroopan tietosuojavaltuutettu muistuttaa, että hänen mielestään PNR-tiedot voivat olla välttämättömiä lainvalvontatarkoitusta varten tietyissä tapauksissa ja ne voivat täyttää tietosuojavaatimukset. Sen sijaan kaikkia matkustajia koskevien PNR-tietojen järjestelmällinen ja rajoittamaton käyttö aiheuttaa erityistä huolta.

56.

Vaikutusten arvioinnissa esitetään tekijöitä, joiden tarkoituksena on perustella PNR-tietojen tarve rikollisuuden torjunnassa, mutta nämä tiedot ovat liian yleisiä eivätkä ne tue PNR-tietojen laaja-alaista käsittelyä rikostutkintaa varten. Euroopan tietosuojavaltuutetun mielestä ainut toimenpide, joka täyttää tietosuojavaatimukset, on PNR-tietojen käyttö tapauskohtaisesti, kun on olemassa vakava uhka, joka voidaan vahvistaa konkreettisilla tekijöillä.

57.

Tämän keskeisen puutteen lisäksi Euroopan tietosuojavaltuutetun huomautukset koskevat seuraavia näkökohtia:

58.

Euroopan tietosuojavaltuutettu suosittelee lisäksi, että EU:n PNR-järjestelmän kehitystä arvioidaan laajemmasta näkökulmasta, mukaan lukien käynnissä oleva EU:n tiedonvaihdon hallinnan alan välineiden yleinen arviointi, jonka komissio käynnisti tammikuussa 2010. Arvioitaessa EU:n PNR-järjestelmän tarvetta on erityisesti otettava huomioon eurooppalaista tiedonvaihtomallia koskevan työn – jonka odotetaan valmistuvan vuonna 2012 – tulokset.

—

Euroopan tietosuojavaltuutetun 19 päivänä lokakuuta 2010 antama lausunto matkustajarekisteritietojen (PNR) siirtoa kolmansiin maihin koskevasta kokonaisvaltaisesta lähestymistavasta annetusta komission tiedonannosta, joka on saatavilla osoitteesta: http://www.edps.europa.eu/EDPSWEB/edps/Consultation/OpinionsC/OC2010

—

29 artiklan mukaisen tietosuojatyöryhmän lausunnot ovat saatavilla seuraavasta osoitteesta: http://ec.europa.eu/justice/policies/privacy/workinggroup/wpdocs/index_en.htm#data_transfers