21.7.2007   

FI

Euroopan unionin virallinen lehti

C 169/2

1.

Helmikuussa 2007 15 jäsenvaltiota teki aloitteen neuvoston päätöksen tekemiseksi rajat ylittävän yhteistyön tehostamisesta erityisesti terrorismin ja rajatylittävän rikollisuuden torjumiseksi (3) Aloitteessa käsitellään henkilötietojen käsittelyyn liittyviä asioita. Euroopan tietosuojavaltuutettu vastaa tätä aloitetta koskevan lausunnon antamisesta, koska se kuuluu hänelle erityisesti asetuksen (EY) N:o 45/2001 41 artiklassa annettujen tehtävien piiriin. Euroopan tietosuojavaltuutettu antaa tämän lausunnon viran puolesta, koska hänelle ei ole esitetty pyyntöä. (4) Euroopan tietosuojavaltuutetun mukaan tämä lausunto olisi mainittava neuvoston päätöksen johdanto-osassa (5).

2.

Aloitteen tausta on kolmannen pilarin yhteistyön puitteissa ainutkertainen. Aloitteen tavoitteena on soveltaa seitsemän jäsenvaltion 27.5.2005 allekirjoittaman Prümin sopimuksen (6) keskeisiä osia kaikkiin jäsenvaltioihin. Jotkut näistä seitsemästä jäsenvaltiosta ovat jo ratifioineet kyseiset keskeiset osat, kun taas muissa jäsenvaltioissa ratifiointi on vielä kesken. On siis selvää, että keskeisten osien sisältöä ei ole tarkoitus muuttaa (7).

3.

Johdanto-osan kappaleiden mukaan aloitteen on katsottava panevan täytäntöön Haagin ohjelmassa 2004 esitetty saatavuusperiaate, joka on innovatiivinen lähestymistapa rajatylittävään lainvalvontatietojen vaihtoon (8). Aloite tehtiin vaihtoehtona ehdotukselle neuvoston puitepäätökseksi saatavuusperiaatteen mukaisesta tietojenvaihdosta, josta Euroopan tietosuojavaltuutettu antoi 28.2.2006 lausuntonsa (9). Ehdotuksesta ei vielä ole keskusteltu neuvostossa puitepäätöksen tekemiseksi.

4.

Aloitteen lähestymistapa poikkeaa täysin edellä mainitusta ehdotuksesta neuvoston puitepäätökseksi. Kyseisessä ehdotuksessa säädetään suorasta pääsystä saatavilla oleviin tietoihin, kun taas aloitteen tarkoituksena on sallia epäsuora pääsy viitetietojen avulla. Lisäksi aloitteessa jäsenvaltioita vaaditaan keräämään ja tallentamaan tiettyjä tietoja, vaikka ne eivät olisi vielä kansallisen lainkäyttövallan saatavilla.

5.

Aloitteessa on keskeistä jäsenvaltioiden poliisi- ja oikeusviranomaisten välinen biometristen tietojen vaihto, erityisesti DNA-analyysitietokannoista ja sormenjälkien automatisoiduista tunnistamisjärjestelmistä saatavien tietojen vaihto (10).

6.

Aloitteessa on luku 6 ”Yleiset tietosuojamääräykset”. Tässä luvussa on tiettyjä tietosuojajärjestelyjä, jotka on laadittu vastaamaan niillä säännellyn tietojenvaihdon erityisluonnetta (11). Luvussa 6 viitataan myös Euroopan neuvoston yleissopimukseen N:o 108 (12) ja siihen liittyviin Euroopan neuvoston asiakirjoihin yleisenä tietosuojakehyksenä odotettaessa poliisiyhteistyössä ja rikosasioissa tehtävässä oikeudellisessa yhteistyössä käsiteltävien henkilötietojen suojaamisesta tehtävää neuvoston puitepäätöstä (13).

7.

Tässä lausunnossa otetaan huomioon aloitteen ainutlaatuisuus, etenkin se, että säännösten sisältöön ei ole määrä tehdä suurempia muutoksia. Euroopan tietosuojavaltuutettu keskittyy tämän vuoksi aloitetta ja sen asiayhteyttä koskeviin yleisempiin kysymyksiin. Euroopan tietosuojavaltuutetun ehdottamissa muutoksissa pyritään lähinnä parantamaan tekstiä itse tietojenvaihtojärjestelmää muuttamatta.

8.

Ensimmäinen kysymys liittyy menettelyyn. Aloitteessa annetaan ymmärtää, että pieni jäsenvaltioiden ryhmä vahvistaa kaikkien jäsenvaltioiden poliittiset valinnat alalla, johon sovelletaan SEU:n ja erityisesti sen VI osaston (kolmas pilari) määräyksiä. VI osaston menettelyjä tiiviimmästä yhteistyöstä ei ole noudatettu.

9.

Toinen kysymys liittyy saatavuusperiaatteeseen. Vaikka aloitteen on katsottava panevan täytäntöön kyseinen periaate, se ei toteuta saatavuutta sellaisenaan vaan on ainoastaan yksi askel kohti lainvalvontatietojen jäsenvaltioiden rajat ylittävää saatavuutta. Se on osa lähestymistapaa, jolla pyritään asteittain helpottamaan lainvalvontatietojen vaihtoa.

10.

Kolmas kysymys voidaan määritellä suhteellisuuskysymykseksi. On vaikea arvioida, voidaanko neuvoston päätöstä koskevan aloitteen säännöksiä perustella terrorismin ja rajatylittävän rikollisuuden torjunnalla. Euroopan tietosuojavaltuutettu palauttaa mieleen, että Prümin sopimus on perustettu rajatylittävän tietojenvaihdon ”koelaboratorioksi”, erityisesti DNA-analyysitietokantojen ja sormenjälkitietojen osalta. Nykyinen aloite on kuitenkin tehty ennen kuin tietojenvaihtokokeilut on todellisuudessa toteutettu (14)

11.

Neljäs kysymys koskee biometristen tietojen käyttöä. Aloitteessa edellytetään DNA-tietokantojen ja sormenjälkitietojen keräämistä, tallentamista ja (rajoitettua) vaihtoa. Biometristen tietojen käyttö lainvalvonnassa aiheuttaa tiettyjä riskejä rekisteröidyille ja edellyttää erityisiä takeita heidän oikeuksiensa suojelemiseksi.

12.

Viides kysymys johtuu siitä, että neuvoston päätöksen olisi perustuttava kolmannen pilarin asianmukaiseen yleiseen tietosuojakehykseen, jota ei ole vielä toteutettu EU:n tasolla. Tässä lausunnossa Euroopan tietosuojavaltuutettu osoittaa, miten tärkeää on, että on olemassa tällainen yleinen kehys, joka on lainvalvontaviranomaisten tämän aloitteen perusteella suorittaman henkilötietojen vaihdon ehdoton edellytys.

13.

Prüm-sopimusta verrataan usein vuonna 1985 tehtyyn Schengenin sopimukseen ja vuonna 1990 tehtyyn Schengenin yleissopimukseen. Syyt ovat ilmeiset: sopimukseen osallistuvat maat ovat pitkälti samoja, sen kohde on samanlainen, ja sillä on läheinen yhteys EU:ssa tehtävään yhteistyöhön (15). Siinä on kuitenkin Schengeniin nähden yksi perustavanlaatuinen ero. Nykyisin on olemassa eurooppalainen säädöskehys, jonka ansiosta Euroopan unioni voi säännellä kyseessä olevia asioita ja jota oli tarkoitus käyttää Prümin sopimuksen kattavissa (tärkeimmissä) asioissa. Lisäksi Prümin sopimusta tehtäessä komissio valmisteli ehdotusta neuvoston puitepäätökseksi (16).

14.

Asianomaiset jäsenvaltiot päätyivät kuitenkin monenväliseen sopimukseen, jonka ansiosta ne saattoivat sivuuttaa hankalan kolmannen pilarin lainsäädännön yksimielisellä sopimuksella. Ne myös välttyivät tiiviimmän yhteistyön sisällöllisiltä ja menettelyä koskevilta vaatimuksilta, jotka sisältyvät SEU:n 40, 40 a, 43 ja 43 a artiklaan (17). Tämä on sitäkin tärkeämpää, koska tiiviimpää yhteistyötä koskeva menettely on pakollinen, jos siihen osallistuu vähintään kahdeksan jäsenvaltiota. Kuitenkin ainoastaan seitsemän jäsenvaltiota allekirjoitti Prümin sopimuksen, mutta ne ovat sittemmin kannustaneet muita jäsenvaltioita liittymään siihen. Voidaan väittää, että edellä mainituista syistä Prümin sopimus rikkoo Euroopan unionin oikeutta. Väite on kuitenkin lähinnä teoreettinen kolmannen pilarin yhteydessä, koska komissiolla on rajalliset valtuudet varmistaa, että jäsenvaltiot noudattavat Euroopan unionin oikeutta ja Euroopan yhteisöjen tuomioistuimen, samoin kuin muiden tuomioistuinten toimivalta on rajallinen.

15.

Tässä tilanteessa 15 jäsenvaltiota teki aloitteen Prümin sopimuksen korvaamiseksi neuvoston päätöksellä. Vaikka mahdollisuutta muuttaa määräysten sisältöä ei ole suljettu eikä voida sulkea muodollisesti pois, aloitteen tehneet jäsenvaltiot eivät selvästikään aio sallia sisältömuutoksia. Tämä tavoite johtuu siitä, että seitsemän ”Prüm-maata” ovat juuri panneet Prümin sopimuksen täytäntöön kansallisessa lainsäädännössään (tai ovat täytäntöönpanossa hyvin pitkällä) eivätkä halua taas muuttaa kansallisia säännöksiään. Tavoite käy ilmi neuvoston puheenjohtajavaltion Saksan toimintatavasta. Päätöksen hyväksymisaikataulu on esimerkiksi hyvin tiukka, eikä aloitetta käsitellä neuvoston työryhmässä vaan ainoastaan 36 artiklan komiteassa (SEU:n 36 artiklaan perustuva johtavien virkamiesten koordinointikomitea).

16.

Jäsenvaltioilla ei näin ollen ole todellista sananvaltaa sääntöjen valinnassa. Ne voivat valita ainoastaan, osallistuvatko ne vai eivät. Koska kolmas pilari edellyttää yksimielisyyttä, voi tuloksena yhden jäsenvaltion hylätessä tekstin olla se, että muut jäsenvaltiot jatkavat tiiviimmän yhteistyön pohjalta.

17.

Tämä tausta vaikuttaa myös aloitteen demokraattiseen legitiimiyteen, koska Euroopan parlamentin SEU:n 39 artiklan perusteella antamalla lausunnolla voi tuskin olla vaikutusta sääntöjen valintaan. Vastaavasti tälläkin lausunnolla on vain rajallinen vaikutus.

18.

Euroopan tietosuojavaltuutetun mukaan on valitettavaa, että tätä menettelyä on noudatettu. Siinä ei piitata tarpeesta noudattaa demokraattista ja avointa lainsäädäntöprosessia, koska siinä ei kunnioiteta edes kolmannen pilarin sinänsä jo hyvin rajallisia oikeuksia. Tässä vaiheessa Euroopan tietosuojavaltuutettu toteaa vain, että tällainen menettely on valittu ja että tässä lausunnossa keskitytään sen vuoksi lähinnä aloitteen sisältöön.

19.

Euroopan tietosuojavaltuutettu on myös pannut merkille, että aloitteella on tarkoitus tehdä neuvoston päätös eikä neuvoston puitepäätöstä, vaikka se liittyy jäsenvaltioiden lainsäädännön lähentämiseen. Säädöksen valinta voisi liittyä mahdollisuuteen toteuttaa täytäntöönpanotoimenpiteitä määräenemmistöllä, kun on kyse SEU:n 34 artiklan 2 kohdan c alakohdan perusteella tehtävistä neuvoston päätöksistä. Aloitteen 34 artiklassa käsitellään näitä täytäntöönpanotoimenpiteitä.

20.

Euroopan tietosuojavaltuutettu suosittaa, että neuvoston päätöstä koskevan aloitteen 34 artiklaan lisätään virke seuraavasti: ”Neuvosto kuulee Euroopan tietosuojavaltuutettua ennen tällaisen täytäntöönpanotoimenpiteen toteuttamista.” Tarkistuksen syy on ilmeinen. Täytäntöönpanotoimenpiteet vaikuttavat useimmiten henkilötietojen käsittelyyn. Lisäksi jos komissio ei tee aloitetta kyseisistä toimenpiteistä, asetuksen (EY) N:o 45/2001 28 artiklan 2 kohtaa ei sovelleta.

21.

Tässä yhteydessä olisi pantava merkille, että Prümin sopimuksen allekirjoittaneet seitsemän jäsenvaltiota tekivät myös 5.12.2006 täytäntöönpanosopimuksen, joka sisältää sopimuksen hallinnolliseen ja tekniseen täytäntöönpanoon sekä soveltamiseen tarvittavat määräykset (18). Voidaan olettaa, että tämä täytäntöönpanosopimus toimii mallina neuvoston päätöstä koskevan aloitteen 34 artiklassa tarkoitetuille täytäntöönpanotoimenpiteille. Tässä lausunnossa viitataan kyseiseen täytäntöönpanosopimukseen sikäli kuin sillä voidaan edistää itse aloitteen ymmärtämistä.

22.

Saatavuusperiaatteen voidaan katsoa olevan tärkeä keino toteuttaa vapauden, turvallisuuden ja oikeuden alue, jossa ei ole sisärajoja. Lainvalvontaviranomaisten välinen vapaa tietojenvaihto on tärkeä vaihe poistettaessa rikostorjunnan alueellisia rajoituksia, joita tutkinnan osalta jäljellä olevat sisärajat asettavat.

23.

Haagin ohjelman mukaan periaate tarkoittaa, ”että koko unionin alueella jäsenvaltion lainvalvontaviranomainen, joka tarvitsee tietoa työtehtäviensä suorittamiseen, voi saada sen toisesta jäsenvaltiosta ja että toisessa jäsenvaltiossa sijaitseva lainvalvontaviranomainen, jonka hallussa tieto on, antaa sen käyttöön mainittua tarkoitusta varten (…)”. Ohjelmassa korostetaan lisäksi, että ”tiedonvaihtomenetelmissä olisi hyödynnettävä täysimääräisesti uutta teknologiaa, ja menetelmät olisi mukautettava kunkin tietolajin mukaisesti tarvittaessa niin, että kansallisiin tietokantoihin olisi vastavuoroinen pääsy tai ne olisivat yhteentoimivia tai että niihin olisi suora pääsy (verkossa)”.

24.

Edellä mainittu huomioon ottaen aloite ei mene kovin pitkälle. Sen tavoitteet ovat paljon maltillisempia kuin komission ehdotuksessa neuvoston puitepäätökseksi saatavuusperiaatteen mukaisesta tietojenvaihdosta. Aloitteen voidaan katsoa lähestyvän saatavuutta mutta siinä ei varsinaisesti panna täytäntöön saatavuusperiaatetta. Sillä täydennetään lainvalvontatietojen vaihdon helpottamiseksi toteutettuja muita toimenpiteitä, kuten Euroopan unionin jäsenvaltioiden lainvalvontaviranomaisten välisen tietojen ja tiedustelutietojen vaihdon yksinkertaistamisesta 18 päivänä joulukuuta 2006 tehtyä neuvoston puitepäätöstä 2006/960/YOS (19), jolla on varmistettava, että muiden jäsenvaltioiden viranomaisille toimitetaan pyydettäessä tietoja ja tiedustelutietoja.

25.

Kyseisestä komission ehdotuksesta antamassaan lausunnossa Euroopan tietosuojavaltuutettu korosti, että saatavuusperiaate olisi pantava täytäntöön noudattaen varovaisempaa ja asteittaisempaa lähestymistapaa. Tällaisessa lähestymistavassa saatavuusperiaatteen mukaisesti vaihdettavia tietoja olisi rajoitettava ja niihin olisi sallittava vain epäsuora pääsy keskushakemiston kautta (20). Tällainen asteittainen lähestymistapa antaa asianosaisille mahdollisuuden valvoa lainvalvontaviranomaisten tietojenvaihdon tehokkuutta ja sen vaikutuksia kansalaisten henkilötietojen suojaan.

26.

Nämä huomautukset pätevät myös nykytilanteeseen. Euroopan tietosuojavaltuutettu on tyytyväinen siihen, että nykyisessä aloitteessa noudatetaan tätä varovaisempaa ja asteittaisempaa lähestymistapaa saatavuusperiaatteen täytäntöönpanossa.

27.

Aloitteen 5 ja 10 artikla kuvaavat tätä lähestymistapaa. Niissä käsitellään muiden henkilötietojen (ja muiden tietojen) toimittamista todettaessa DNA-tunnisteiden tai sormenjälkien vastaavuus. Molemmissa tapauksissa noudatetaan pyynnön vastaanottaneen jäsenvaltion kansallista lainsäädäntöä, mukaan lukien oikeusapua koskevat säännökset. Noiden kahden artiklan oikeusvaikutus on rajallinen. Niillä on merkitystä lainvalintasääntönä (luonteeltaan toteava eikä muuta nykytilannetta), mutta niillä ei panna täytäntöön saatavuusperiaatetta (21)

28.

Lainvalvontatietojen tehokas vaihto on keskeinen kysymys poliisi- ja oikeudellisessa yhteistyössä. Tietojen saatavuudella yli kansallisten rajojen on olennaisen tärkeä merkitys kehitettäessä vapauden, turvallisuuden ja oikeuden aluetta, jolla ei ole sisärajoja. Vaihdon helpottamiseksi tarvitaan asianmukaista säädöskehystä.

29.

Eri asia on määrittää, voidaanko tämän aloitteen säännöksiä perustella terrorismin ja rajatylittävän rikollisuuden torjunnalla tai ovatko ne toisin sanoen tarpeellisia ja oikeasuhteisia.

30.

Ensinnäkin Euroopan unionin tasolla on toteutettu joitakin toimenpiteitä lainvalvontatietojen vaihdon helpottamiseksi. Joissakin tapauksissa toimenpiteillä on muun muassa perustettu Europolin tai Eurojustin kaltainen keskusorganisaatio tai Schengenin tietojärjestelmän kaltainen keskustietojärjestelmä. Muut toimenpiteet koskevat nykyisen aloitteen tapaan jäsenvaltioiden välistä suoraa tietojenvaihtoa. Vastikään on tehty neuvoston puitepäätös 2006/960/YOS, jolla pyritään yksinkertaistamaan lainvalvontatietojen vaihtoa.

31.

Yleisesti ottaen poliisi- ja oikeudellista yhteistyötä koskevat uudet säädökset olisi annettava vasta sen jälkeen, kun on arvioitu olemassa olevia lainsäädäntötoimenpiteitä ja todettu, että ne eivät ole riittäviä. Tämän aloitteen johdanto-osan kappaleiden perusteella ei voida päätellä, että olemassa olevista toimenpiteistä olisi tehty täydellinen arviointi. Niissä mainitaan neuvoston puitepäätös 2006/960/YOS ja todetaan, että uutta teknologiaa olisi käytettävä mahdollisimman tehokkaasti ja myös vastavuoroista pääsyä kansallisiin tietokantoihin olisi helpotettava. Tarkkoja tietoja olisi voitava vaihtaa nopeasti ja tehokkaasti. Siinä kaikki. Missään ei esimerkiksi viitata jäsenvaltioiden välisessä tietojenvaihdossa käytettävään Schengenin tietojärjestelmään, joka on kuitenkin keskeinen väline kyseisessä tietojenvaihdossa.

32.

Euroopan tietosuojavaltuutettu pahoittelee sitä, että nykyinen aloite on annettu arvioimatta asianmukaisesti lainvalvontatietojen vaihtoa koskevia nykyisiä välineitä, ja kehottaa neuvostoa lisäämään tällaisen arvion hyväksymismenettelyyn.

33.

Toiseksi edellä todetun mukaisesti Prümin sopimus on perustettu rajatylittävän tietojenvaihdon ”koelaboratorioksi”, erityisesti DNA- ja sormenjälkitietojen osalta. Sen myötä asianomaiset jäsenvaltiot saattoivat kokeilla tietojenvaihtoa. Neuvoston päätöstä koskevan nykyisen aloitteen antamisajankohtana laajempia kokeiluja ei ollut tosiasiassa toteutettu lukuun ottamatta Saksan ja Itävallan välistä ensimmäistä kokeilua (22).

34.

Euroopan tietosuojavaltuutettu ei ole vakuuttunut siitä, että tämän lyhytkestoisen ja vain kahden jäsenvaltion välillä toteutetun rajallisen kokeilun ensimmäisiä tuloksia, niin kiinnostavia kuin ne ehkä ovatkin, voidaan käyttää riittävänä kokemuspohjaisena perusteena järjestelmän soveltamiseksi kaikissa jäsenvaltioissa.

35.

On huomattava ero siinä, perustetaanko tietojenvaihtojärjestelmä muutaman sellaisen jäsenvaltion välille, joilla on jo kokemusta DNA-tietokannoista, vai perustetaanko EU:n laajuinen järjestelmä, johon kuuluu jäsenvaltioita, joilla ei ole asiasta mitään kokemusta. Lisäksi pienimuotoisuus mahdollistaa järjestelmään osallistuvien jäsenvaltioiden väliset tiiviimmät yhteydet, joita voitaisiin käyttää myös asianomaisten henkilöiden henkilötietojen suojaan kohdistuvien riskien valvonnassa. Pienimuotoisuutta on myös paljon helpompi valvoa. Niinpä vaikka Prümin yleissopimus voisi sellaisenaan olla tarpeellinen ja oikeasuhteinen, se ei sinällään tarkoita sitä, että nykyistä aloitetta olisi arvioitava samalla tavoin.

36.

Kolmanneksi, ja kuten tässä lausunnossa myöhemmin osoitetaan, jäsenvaltioiden kansallisissa lainsäädännöissä on suuria eroja, jotka koskevat biometristen tietojen keräämistä ja käyttöä lainvalvontatarkoituksia varten. Kansallisia käytäntöjä ei ole myöskään yhdenmukaistettu. Tässä yhteydessä olisi myös pantava merkille, että kolmannen pilarin tietosuojaa koskevaa yhdenmukaista säädöskehystä ei ole vielä hyväksytty.

37.

Aloitteessa ei yhdenmukaisteta aloitteeseen kuuluvien erilaisten tietojen keruun eikä vaihdon olennaisia osia. Aloitteessa ei esimerkiksi tarkenneta keruun ja vaihdon tarkoitusta. Sovelletaanko DNA-tunnisteita koskevia säännöksiä kaikkiin rikoksiin vai voiko jäsenvaltio rajoittaa niiden soveltamisen vakavampiin rikoksiin? Aloite ei ole selkeä myöskään siltä osin, millaisista rekisteröidyistä tietoja kerätään ja vaihdetaan. Onko tietokannoissa vain epäiltyjä ja/tai tuomittuja koskevaa (biometristä) aineistoa vai myös aineistoa muista rekisteröidyistä, kuten todistajista tai muista henkilöistä, jotka sattuivat olemaan lähistöllä rikosajankohtana? Tietosuojavaltuutetun mukaan näiden olennaisten osien vähimmäistason yhdenmukaistaminen olisi ollut aiheellista, myös sen varmistamiseksi, että noudatetaan tarpeellisuus- ja suhteellisuusperiaatteita.

38.

Euroopan tietosuojavaltuutettu toteaa lopuksi seuraavaa. On olemassa selkeitä viitteitä siitä, että nykyinen aloite on todennäköisesti hyödyllinen väline poliisiyhteistyön kannalta. Tämä tulee vielä selvemmin esille Prümin sopimuksesta Saksassa ja Itävallassa saatujen ensimmäisten kokemusten perusteella. Tämän aloitteen tarpeellisuuden ja suhteellisuuden tarkastelu ei ole helppoa. Euroopan tietosuojavaltuutettu pahoittelee, että tämä aloite on tehty ilman asianmukaista vaikutusarviointia, jossa otettaisiin huomioon tässä lausunnon osassa esitetyt huomautukset. Hän kehottaa neuvostoa sisällyttämään vaikutusarvioinnin hyväksymismenettelyyn sekä tarkastelemaan osana tätä arviointia muita vaihtoehtoja, joissa ei ehkä puututtaisi yhtä paljon yksityisyyteen. (23)

39.

Euroopan tietosuojavaltuutettu ehdottaa myös arviointilausekkeen lisäämistä aloitteen 7 lukuun (”Täytäntöönpano- ja loppumääräykset”). Tällainen arviointilauseke voisi kuulua seuraavasti: ”Komissio toimittaa Euroopan parlamentille ja neuvostolle viimeistään kolmen vuoden kuluttua tämän neuvoston päätöksen voimaantulosta arvioinnin tämän neuvoston päätöksen soveltamisesta, jotta voitaisiin päättää, onko sen säännöksiä tarpeen muuttaa”.

40.

Arviointilauseke on erityisen hyödyllinen tässä yhteydessä, koska aloitteen tarpeellisuutta ja suhteellisuutta ei ole (vielä) todettu selvästi ja koska on määrä ottaa käyttöön rajallisiin kokemuksiin perustuva EU:n laajuinen tietojenvaihtojärjestelmä.

41.

Online-käyttöä ja lisätietopyyntöjä koskevassa 2 luvussa erotellaan kolmentyyppisiä tietoja: DNA-tunnisteet, sormenjäljet ja ajoneuvorekisteritiedot. Tämä jaon perusteella voidaan esittää kaksi yleistä huomautusta.

42.

Ensinnäkin on todettava, että kaikki neuvoston päätöksen yhteydessä käsiteltävät tiedot 13 artiklassa (24) tarkoitettuja lukuun ottamatta ovat direktiivissä 95/46/EY (25) ja muissa yhteisön säädöksissä tarkoitettuja henkilötietoja. Aloitteen 2 artiklan a kohdan mukaan 'henkilötiedoilla' tarkoitetaan kaikenlaisia tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä koskevia tietoja; tunnistettavissa olevana pidetään henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa, erityisesti henkilönumeron taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella. Ehdotuksessa poliisiyhteistyössä ja rikosasioissa tehtävässä oikeudellisessa yhteistyössä käsiteltävien henkilötietojen suojaamista koskevaksi neuvoston puitepäätökseksi, jota sen tekemisen jälkeen sovellettaisiin tämän aloitteen mukaisesti tehtävään tietojenvaihtoon, käytetään samaa määritelmää. Euroopan tietosuojavaltuutettu pahoittelee, että aloitteessa ei määritellä henkilötietoja, ja ehdottaa oikeusvarmuuden vuoksi tällaisen määritelmän lisäämistä 24 artiklaan.

43.

Joka tapauksessa edellisessä kohdassa tarkoitetun määritelmän mukaan ei ole epäilystäkään siitä, että myös vain DNA-tunnisteita ja DNA-analyysitietokannoista ja sormenjälkien tunnistamisjärjestelmistä saatavia viitetietoja sisältäviä tietokantoja pidetään joko kokonaan tai pääasiassa henkilötietojen kokoelmina.

44.

Toiseksi tietojenvaihdon tarkoitus on erilainen näiden kolmen henkilötietolajin osalta: DNA-tunnisteet, sormenjäljet ja ajoneuvorekisteritiedot. DNA-tietojen osalta jäsenvaltioiden on avattava ja pidettävä yllä kansallisia DNA-analyysitietokantoja rikosten tutkintaa varten (2 artiklan 1 kohta), sormenjälkien osalta niiden on varmistettava, että rikosten torjumiseksi ja tutkimiseksi perustettujen kansallisten sormenjälkien automaattisten tunnistusjärjestelmien tietokannan viitetiedot ovat saatavilla (8 artikla) ja ajoneuvorekisteritietojen tapauksessa tietoja vaihdetaan rikosten torjumisen ja tutkimisen lisäksi myös tiettyjen muiden tekojen kuin rikosten tutkimiseksi sekä yleisen järjestyksen ja turvallisuuden ylläpitämiseksi (12 artiklan 1 kohta).

45.

Vastaavasti DNA- ja sormenjälkitietojen vaihto ja saatavuus edellyttävät tiukempia takeita kuin ajoneuvorekisteritietojen vaihto ja saatavuus. DNA- ja sormenjälkitietojen osalta saatavuus on alun perin rajoitettu viitetietoihin, joiden perusteella rekisteröityä ei voida suoraan tunnistaa. Aloitteessa todetaan periaate, jonka mukaan tiedot erotellaan kahteen eri tietokantaan, jotka sisältävät yhtäältä biometrisiä tietoja ja toisaalta tekstimuotoisia tunnistetietoja. Toiseen tietokantaan on mahdollista päästä vain, jos ensimmäiseen tietokantaan tehtyyn hakuun saatiin osuma. Ajoneuvorekisteritietoja ei ole jaoteltu kahteen eri tietokantaan, vaan tietoihin on automaattinen ja suora pääsy, jolloin kahta tietokantaa ei tarvita.

46.

Euroopan tietosuojavaltuutettu kannattaa tällaista jakoa ja katsoo, että se on hyödyllinen väline rekisteröidyn oikeuden suojelemisen kannalta: mitä arkaluonteisemmista tiedoista on kyse, sitä rajoitetummat ovat tarkoitukset, joihin niitä voidaan käyttää ja sitä rajoitetummin niitä on mahdollisuus saada. Kun on kyse nimenomaan DNA-tiedoista, jotka ovat mahdollisesti kaikkein arkaluonteisimpia aloitteen kattamista henkilötiedoista, tietoja voidaan vaihtaa vain syyteharkintaa, ei ennakoivaa poliisitoimintaa varten. Lisäksi tunnisteita voidaan ottaa vain DNA:n koodaamattomasta osasta.

47.

DNA-tietojen osalta voidaan viitata Euroopan tietosuojavaltuutetun aiempiin lausuntoihin (26). On keskeisen tärkeää, että DNA-tietojen käsite määritellään selkeästi ja että tehdään ero DNA-tunnisteiden ja sellaisten DNA-tietojen välillä, joista voi saada tietoja henkilön geneettisistä ominaisuuksista ja/tai terveydentilasta. Tieteellinen edistys täytyy myös ottaa huomion: tiettynä ajankohtana viattomana pidetty DNA-tunniste voi myöhemmin paljastaa paljon odotettua ja tarvittua enemmän tietoa.

48.

DNA:n koodaamattomasta osasta saatujen DNA-tunnisteiden saatavuutta rajoitetaan aloitteessa. Aloitteessa ei kuitenkaan ole tieteen viimeisimmän kehityksen mukaisia DNA-tunnisteiden määritelmiä eikä tällaisten yhteisten määritelmien laatimisessa käytettävää menettelyä. Prümin sopimuksen täytäntöönpanosopimuksessa (27) määritellään koodaamaton osa seuraavasti: ne kromosomialueet, jotka eivät sisällä geneettistä ilmentymää eli joiden ei tiedetä sisältävän tietoja erityisistä perinnöllisistä ominaisuuksista. Euroopan tietosuojavaltuutettu ehdottaa, että aloitteeseen lisätään määritelmä DNA:n koodaamattomasta osasta sekä luodaan menetelmä, jonka avulla voidaan varmistaa, ettei koodaamattomasta osasta paljasteta enempää tietoja nyt eikä myöhemmin.

49.

Aloite perustuu sille olettamukselle, että DNA-tunnisteiden vastaavuuden toteaminen on keskeinen poliisiyhteistyön väline. Tästä syystä kaikkien jäsenvaltioiden on perustettava DNA-tietokantoja rikosoikeudellisia tarkoituksia varten. Kun otetaan huomioon tietokantojen kustannukset ja riskit tietosuojan kannalta, tämän välineen tehokkuudesta on tehtävä perusteellinen ennakkoarviointi. Saksan ja Itävallan välisestä DNA-tietojen vaihdosta saadut rajalliset kokemukset eivät riitä.

50.

Euroopan tietosuojavaltuutettu toteaa tässä suhteessa, että aloitteessa kaikki jäsenvaltiot velvoitetaan perustamaan DNA-analyysitietokantoja. On tärkeää korostaa, että useissa jäsenvaltioissa on jo vakiintuneita kansallisia DNA-tietokantoja, kun taas toisilla jäsenvaltioilla on tämän alan kokemusta vähemmän tai ei ollenkaan. Euroopan (ja koko maailman) kehittynein tietokanta on Yhdistyneen kuningaskunnan DNA-tietokanta. Siinä on lähes 3 miljoonaa tietuetta, minkä johdosta se on laajin DNA-tunnisteiden kokoelma. Tietokannassa on tietoja rikoksista tuomituista ja pidätetyistä henkilöistä sekä sellaisista henkilöstä, jotka ovat antaneet näytteen vapaaehtoisesti eliminointitarkoituksia varten (28) Muissa maissa tilanne on toisenlainen. Esimerkiksi Saksassa tunnisteita säilytetään vain niistä henkilöistä, jotka on tuomittu vakavista rikoksista. Voisi jopa olettaa, että Saksassa DNA-tietojen keruu muita tarkoituksia varten olisi ristiriidassa perustuslakituomioistuimen oikeuskäytännön kanssa (29)

51.

Euroopan tietosuojavaltuutettu pahoittelee, että aloitteessa ei eritellä niitä henkilöryhmiä, joiden tietoja sisällytetään DNA-tietokantoihin. Tällainen erittely yhdenmukaistaisi tämän alan kansalliset säännökset, mikä tehostaisi rajatylittävää yhteistyötä, mutta sillä myös tehostettaisiin kyseisten henkilötietojen keruun ja vaihdon suhteellisuutta edellyttäen, että henkilöryhmien määrä olisi rajallinen.

52.

Yksi jäsenvaltioiden kansallisessa lainsäädännössä päätettäväksi jätetty asia on DNA-analyysitietokannoissa olevien tietojen säilyttämisaika. Kansallisessa lainsäädännössä voidaan säätää, että kyseisissä tietokannoissa luodut tunnisteet säilytetään rekisteröidyn elinajan oikeusprosessin tuloksesta riippumatta, mutta siinä voidaan myös säätää, että tunnisteet säilytetään, paitsi jos henkilöä ei ole syytetty eikä tuomioistuin ole häntä näin ollen tuominnut, tai että säilyttämistarvetta tarkastellaan uudelleen säännöllisin väliajoin (30).

53.

Euroopan tietosuojavaltuutettu huomauttaa lopuksi molekyyligeneettisen materiaalin keräämistä ja DNA-tunnisteiden lähettämistä koskevan 7 artiklan osalta seuraavaa. Vastaavaa sormenjälkiä koskevaa säännöstä ei ole. Säännös velvoittaa jäsenvaltiot toisen jäsenvaltion pyynnöstä ja meneillään olevassa rikostutkinnassa tai rikosoikeudenkäynnissä tietyin edellytyksin keräämään ja tarkastelemaan tietystä henkilöstä saatua molekyyligeneettistä materiaalia sekä lähettämään saadun DNA-tunnisteen kyseiselle toiselle jäsenvaltiolle. Artikla on melkoisen kauaskantoinen. Se velvoittaa jäsenvaltion aktiivisesti keräämään (ja tarkastelemaan) tietyn yksilön biometrisiä tietoja edellyttäen, että tällainen keruu ja tarkastelu on sallittua pyynnön esittäneessä jäsenvaltiossa (edellytys b).

54.

Säännös ei ole pelkästään kauaskantoinen vaan myös epämääräinen. Toisaalta sitä ei rajoiteta vakavampiin rikoksiin eikä edes rikoksesta epäiltyihin, toisaalta pyynnön vastaanottaneen jäsenvaltion lainsäädännön vaatimukset on täytettävä (edellytys c) ilmoittamatta kuitenkaan, mitä kyseiset vaatimukset voivat koskea. Euroopan tietosuojavaltuutetun mukaan artiklaa on tarkennettava mieluiten artiklatekstiä tarkentamalla. Joka tapauksessa suhteellisuusperiaate edellyttää tämän artiklan rajoitetumpaa tulkintaa.

55.

Tässä lausunnon osassa tarkastellaan seuraavia kysymyksiä, jotka liittyvät tietosuojaan:

56.

Alustavana huomiona Euroopan tietosuojaviranomainen toteaa, että tarkoitusta ja soveltamisalaa kuvaava aloitteen 1 artikla ei sisällä viittausta 6 lukuun, vaikka neuvoston päätöksissä on tietosuojaa koskeva luku. Euroopan tietosuojavaltuutettu suosittaa sen vuoksi tällaisen viittauksen lisäämistä tekstiin.

57.

Kuten useissa muissa yhteyksissä (31) on todettu, Euroopan tietosuojavaltuutettu katsoo olevan olennaisen tärkeää, että lainvalvontatietojen vaihtoa helpottavia säädöksiä, kuten nykyistä aloitetta neuvoston päätökseksi, ei hyväksytä ennen kuin neuvosto on hyväksynyt tietosuojakehyksen, joka takaa asianmukaisen tietosuojatason ottaen huomioon Euroopan tietosuojavaltuutetun johtopäätökset, jotka hän on esittänyt komission ehdotuksesta kolmannen pilarin alan tietosuojaa koskevaksi neuvoston puitepäätökseksi antamassaan kahdessa lausunnossa (32).

58.

Tietosuojakehys on välttämätön edellytys lainnoudattamista valvovien viranomaisten väliselle tietojenvaihdolle EU-sopimuksen 30 artiklan 1 kohdan b alakohdan mukaisesti, mikä on tunnustettu monissa EU:n politiikka-asiakirjoissa. Käytännössä kuitenkin tietojenvaihtoa helpottavaa lainsäädäntöä annetaan ennen kuin tietosuojan riittävä taso on varmistettu. Järjestyksen olisi oltava päinvastainen.

59.

Hyväksymisjärjestyksen muuttaminen on tärkeää myös sikäli, että tämän aloitteen tietosuojaa koskevat yksityiskohtaisemmat säännökset saattavat olla ristiriidassa vielä käsitteillä olevan tulevan yhteisen kolmannen pilarin tietosuojaa koskevan puitepäätöksen kanssa. Tämän aloitteen tietosuojasäännösten täytäntöönpanon aloittaminen, mihin kuuluu myös tietosuojavaatimusten ja hallinnollisten menettelyjen hyväksyminen, ei ole järkevää ennen kuin on tehty tietosuojaa koskeva puitepäätös, joka saattaa sisältää erilaisia vaatimuksia ja joka siten edellyttäisi juuri hyväksyttyjen kansallisten säännösten muuttamista.

60.

Nykyisen aloitteen 25 artiklan 1 kohdassa viitataan Euroopan neuvoston yleissopimukseen 108, sen 8.11.2001 tehtyyn lisäpöytäkirjaan ja suositukseen Nro R (87) 15 henkilötietojen käytöstä poliisin toiminnassa. Kyseisten Euroopan neuvoston hyväksymien välineiden pitäisi taata henkilötietojen suojan vähimmäistaso. Kuten Euroopan tietosuojavaltuutettu aiemmin on todennut (33), kaikkia jäsenvaltioita sitova yleissopimus ei kuitenkaan anna riittävää tarkkuutta, mikä myönnettiin jo annettaessa direktiiviä 95/46/EY. Suositus ei ole luonteeltaan sitova.

61.

Aloitteen 6 luvun säännöksillä on ensinnäkin tarkoitus perustaa yleinen tietosuojakehys (ks. aloitteen 25 artikla). Säännöksiä on pidettävä erityisinä lex specialis -säännöksinä, joita sovelletaan tämän neuvoston päätöksen mukaisesti toimitettuihin tietoihin. Valitettavasti nykyinen Euroopan neuvoston yleissopimuksesta 108 ja siihen liittyvistä asiakirjoista koostuva yleinen kehys on riittämätön. Aikomus itsessään on kuitenkin osoitus siitä, että neuvoston puitepäätöksessä säädettyä asianmukaista yleiskehystä tarvitaan. Tämä ei kuitenkaan ole ainoa esimerkki tällaisen kehyksen tarpeesta.

62.

Toiseksi aloite kattaa ainoastaan osan lainvalvontatarkoituksissa käsiteltävistä henkilötiedoista ja kyseisten tietojen vaihdosta jäsenvaltioiden välillä. Aloitteen 6 luku rajoittuu käsittelyyn, joka liittyy aloitteessa säädettyyn tietojenvaihtoon. Kaikki muu aloitteen soveltamisalaan kuuluvien muiden poliisi- ja oikeustietojen vaihto, erityisesti tietojen, jotka eivät liity DNA-tunnisteisiin, sormenjälkiin ja ajoneuvorekisteritietoihin, ei siis tule kyseeseen. Toinen esimerkki aloitteen 6 luvun osittaisesta kattavuudesta liittyy yksityisten yritysten keräämien tietojen saatavuuteen lainvalvontatarkoituksia varten, koska aloitteella on tarkoitus vaihtaa tietoja rikosten torjunnasta ja tutkinnasta vastaavien viranomaisten välillä (aloitteen 1 artikla).

63.

Kolmanneksi mitä tulee 6 luvun säännösten soveltamisalaan, aloitteen teksti on epäselvä, minkä johdosta siitä puuttuu oikeudellista selkeyttä. Aloitteen 24 artiklan 2 kohdan mukaan säännöksiä sovelletaan tietoihin, jotka toimitetaan tai on toimitettu kyseisen neuvoston päätöksen nojalla. Euroopan tietosuojavaltuutetun mukaan sanamuodolla varmistetaan, että säädös kattaa suoran pääsyn DNA-tunnisteisiin, sormenjälkitietoihin ja ajoneuvorekisteritietoihin sekä aloitteen 7 artiklan mukaisen erityistilanteen (34). Lisäksi ei ole epäilystäkään siitä, etteikö säädös kattaisi myös pääsyä henkilötietoihin 14 artiklan (suurtapahtumat) ja 16 artiklan (terrorismirikosten torjuminen) nojalla.

64.

Ei kuitenkaan ole selvää, sovelletaanko 6 lukua vain henkilötietoihin, joita vaihdetaan tai on vaihdettu jäsenvaltioiden välillä, vai myös DNA-materiaalin ja sormenjälkien keruuseen ja käsittelyyn jäsenvaltiossa aloitteen 2 ja 8 artiklan nojalla. Toisin sanoen, sovelletaanko 6 lukua henkilötietoihin, jotka on kerätty neuvoston päätöksen nojalla, mutta joita ei (vielä) ole toimitettu muiden jäsenvaltioiden viranomaisille? Lisäksi on epäselvää, kattaako säädös muiden henkilötietojen toimittamisen sen jälkeen, kun DNA-tunnisteiden tai sormenjälkien vastaavuus on todettu, koska johdanto-osan 11 kappaleesta voidaan päätellä, että lisätietojen toimittaminen (keskinäisen avunannon menettelyjen puitteissa) kuuluu neuvoston päätöksen soveltamisalaan, kun taas toisaalta 5 ja 10 artiklassa korostetaan, että toimittamisesta säädetään kansallisessa lainsäädännössä. Lopuksi on todettava, että 24 artiklan 2 kohdassa poiketaan 6 luvun sovellettavuudesta. Säännöksiä sovelletaan ”mikäli edellä olevissa luvuissa ei ole toisin säädetty”. Tietosuojavaltuutetun mukaan tällä säännöksellä ei ole varsinaista merkitystä — tietosuojavaltuutettu ei ole huomannut edeltävissä luvuissa ristiriitaisia säännöksiä — mutta se saattaa lisätä tekstin epäselvyyttä 6 luvun sovellettavuuden osalta.

65.

Tietosuojavaltuutettu suosittelee, että 24 artiklan 2 kohdassa täsmennettäisiin, että 6 lukua sovelletaan DNA-aineiston ja sormenjälkien keruuseen ja käsittelyyn jäsenvaltioissa ja että myös muiden tämän päätöksen soveltamisalaan kuuluvien henkilötietojen toimittaminen sisältyy tähän. Lisäksi säännös sovelletaan ”mikäli edellä olevissa luvuissa ei ole toisin säädetty” olisi poistettava. Näillä selvennyksillä varmistettaisiin, että 6 luvun säännöksillä on todellista vaikutusta.

66.

Neljänneksi 6 luvun tietosuojasäännökset itsessään kuvastavat yleisen kehyksen tarpeellisuutta, koska ne perustuvat rikosasioissa annettavan keskinäisen oikeusavun perinteiseen käsitteeseen. Tietojen jakaminen edellyttää tietosuojaa koskevien perussääntöjen yhdenmukaistamista vähimmäistasolla tai ainakin kansallisen lainsäädännön vastavuoroista tunnustamista, jotta vältettäisiin se, että jäsenvaltioiden lainsäädäntöjen erot haittaavat yhteistyön tehokkuutta.

67.

Vaikka aloitteella säädetään tietosuojalainsäädännön joidenkin merkittävien seikkojen yhdenmukaistamisesta, muiden merkittävien asioiden osalta 6 luvun tietosuojasäännöksillä ei yhdenmukaisteta kansallista lainsäädäntöä eikä säädetä vastavuoroisesta tunnustamisesta. Sen sijaan ne perustuvat kahden (tai useamman) oikeusjärjestelmän samanaikaiseen sovellettavuuteen: tietojen toimittaminen on usein sallittua vain, jos sekä niitä toimittavan jäsenvaltion että vastaanottavan jäsenvaltion lainsäädäntöä noudatetaan. Toisin sanoen näiden asioiden osalta aloite ei myötävaikuta yli kansallisten rajojen ulottuvan vapauden, turvallisuuden ja oikeuden alueen luomiseen, vaan niillä toteutetaan perinteistä rikosasioissa annettavan keskinäisen oikeusavun järjestelmää, joka perustuu kansalliseen suvereniteettiin (35).

68.

Euroopan tietosuojavaltuutetun mukaan kyseinen 6 luvun luonne ei edesauta henkilötietojen vaihtoa, vaan lisää sen monimutkaisuutta, kun otetaan huomioon, että aloitteella pyritään Prümin sopimuksen mukaisen järjestelmän soveltamiseen kaikkiin 27 jäsenvaltioon, ja koska tietosuojaa koskevaa yleistä ja yhteistä kehystä ei ole vielä hyväksytty. Esimerkiksi 26 artiklan 1 kohdassa sallitaan tietojen käsittely muita tarkoituksia varten vain, jos se sallitaan sekä tietoja toimittavan että niitä vastaanottavan jäsenvaltion kansallisessa lainsäädännössä. Toinen esimerkki on 28 artiklan 3 kohta, jonka mukaan lähetetyt henkilötiedot on poistettava, mikäli niitä ei olisi saanut lähettää (tai vastaanottaa). Mutta mistä vastaanottava jäsenvaltio tietää, ettei tietoja olisi ne lähettäneen jäsenvaltion lainsäädännön mukaan saanut lähettää? Tämä saattaa johtaa vaikeisiin kysymyksiin, jos asiat tulevat esiin kansallisissa tuomioistuimissa.

69.

Viidenneksi tietosuojaa koskeva yleinen kehys on sitäkin tärkeämpi, koska jäsenvaltioiden lainsäädännöissä on suuria eroja sekä aineellisen rikosoikeuden että rikosprosessioikeuden osalta. Paitsi jäsenvaltioiden viranomaisten väliselle yhteistyölle koituvia seurauksia, erot vaikuttavat suoraan myös rekisteröityihin, jos heitä koskevia tietoja vaihdetaan kahden tai useamman jäsenvaltion viranomaisten välillä. Esimerkiksi heidän tosiasialliset muutoksenhakukeinonsa tuomioistuimessa eivät ehkä ole samat kaikissa jäsenvaltioissa.

70.

Johtopäätöksenä voidaan sanoa, että ehdotuksella yhdenmukaistetaan joitakin toimivaltaisten viranomaisten välisen tietojenvaihdon osia ja sisällytetään tätä varten tietosuojaa koskeva luku, mutta sillä ei yhdenmukaisteta läheskään kaikkia tietosuojatakuita. Säännökset eivät ole kattavia (kuten lex generalis -tason yleisen kehyksen tulisi olla) eivätkä täydellisiä (koska niistä puuttuu tärkeitä osia, kuten jäljempänä kohdassa 75 osoitetaan).

71.

On ilmeistä, että aloitteen soveltamisalaan kuulumattomien seikkojen osalta tarvitaan tietosuojaa koskevia yleisiä ja yhteisiä puitteita. Kansalaisilla on oikeus luottaa tietosuojan vähimmäistason yhdenmukaisuuteen riippumatta, siitä, missä Euroopan unionissa heitä koskevia tietoja käsitellään lainvalvontaa varten.

72.

Mutta myös aloitteen soveltamisalaan kuuluvien seikkojen osalta tarvitaan yhteisiä puitteita. Aloite koskee muun muassa mahdollisesti arkaluonteisten biometristen tietojen, kuten DNA-aineiston, keruuta, käsittelyä ja vaihtamista. Lisäksi rekisteröidyt, joiden tietoja voidaan rekisteröidä tähän järjestelmään, eivät rajoitu tietyistä rikoksista epäiltyihin (tai tuomittuihin) henkilöihin. Näin ollen olisi noudatettava selkeää ja asianmukaista tietosuojajärjestelmää.

73.

Tässä yhteydessä on syytä muistuttaa, että aloitteen soveltamisalaa ja lukua 6 ei ole määritelty selkeästi. Oikeusvarmuuden vuoksi on tärkeää, että henkilötiedot suojataan hyvin riippumatta siitä, kuuluvatko ne ja missä tilanteissa aloitteen soveltamisalaan. Samoista syistä olisi varmistettava se, että soveltamisalaan tai siihen kuulumattomat sovellettavat säännöt ovat yhdenmukaiset.

74.

Käsiteltävänä olevan aloitteen luvussa 6 esitettyjä tietosuojasäännöksiä sovelletaan tietoihin, jotka toimitetaan tai on toimitettu päätöksen nojalla. Säännökset koskevat useita tärkeitä kysymyksiä ja ovat huolellisesti muotoiltuja erityissäännöksiä tietosuojaa koskevan yleisen kehyksen lisäksi. Tietosuojavaltuutettu toteaa, että säännökset tarjoavat yleisesti ottaen asianmukaisen suojan.

75.

Tietosuojavaltuutettu on havainnut joitakin muitakin puutteita 6 luvun säännöksissä sen lisäksi, mitä niistä on todettu edellä (36).

76.

Tietosuojavaltuutettu suosittaa, että neuvosto korjaa nämä puutteet joko muuttamalla aloitteen muotoilua ja/tai lisäämällä nämä seikat neuvoston puitepäätökseen tietosuojasta kolmannen pilarin alalla. Tietosuojavaltuutetun näkemyksen mukaan ensimmäinen vaihtoehto ei välttämättä johda itse tietojenvaihtojärjestelmän muutokseen eikä ole ristiriidassa niiden 15 jäsenvaltion aikomuksen kanssa, jotka tekivät aloitteen Prümin sopimuksen olennaisten osien muuttamatta jättämisestä.

77.

Tässä lausunnossa otetaan huomioon aloitteen ainutlaatuisuus, etenkin se, että säännösten sisältöön ei ole määrä tehdä suuria muutoksia. Euroopan tietosuojavaltuutetun ehdottamissa muutoksissa pyritään lähinnä parantamaan tekstiä itse tietojenvaihtojärjestelmää muuttamatta.

78.

Euroopan tietosuojavaltuutettu on tyytyväinen siihen, että nykyisessä aloitteessa noudatetaan varovaisempaa ja asteittaisempaa lähestymistapaa saatavuusperiaatteen täytäntöönpanossa. Tietosuojavaltuutettu kuitenkin pahoittelee sitä, että aloitteessa ei yhdenmukaisteta erilaisten tietojen keruun eikä vaihdon olennaisia osia, mikä olisi tärkeää myös tarpeellisuus- ja suhteellisuusperiaatteen noudattamiseksi.

79.

Tietosuojavaltuutettu pahoittelee, että tämä aloite on tehty ilman asianmukaista vaikutusarviointia, ja kehottaa neuvostoa sisällyttämään vaikutusarvioinnin hyväksymismenettelyyn sekä tarkastelemaan osana tätä arviointia muita vaihtoehtoja, joissa ei ehkä puututtaisi yhtä paljon yksityisyyteen.

80.

Tietosuojavaltuutettu kannattaa aloitteessa esitettyä lähestymistapaa, jonka mukaan henkilötiedot jaetaan eri luokkiin: mitä arkaluonteisemmista tiedoista on kyse, sitä rajoitetummat ovat tarkoitukset, joihin niitä voidaan käyttää ja sitä rajoitetummin tietoja on mahdollisuus saada.

81.

Tietosuojavaltuutettu pahoittelee, että aloitteessa ei eritellä niitä henkilöryhmiä, joiden tietoja sisällytetään DNA-tietokantoihin ja että aloitteessa ei rajata tietojen säilyttämisaikaa.

82.

Neuvoston ei tulisi tehdä päätöstä ennen kuin neuvoston puitepäätös rikosasioissa tehtävässä poliisi- ja oikeudellisessa yhteistyössä käsiteltävien henkilötietojen suojaamisesta on tehty, sillä se tarjoaa asianmukaisen suojan.

83.

Aloitteen 6 luvussa esitetyt tietosuojaa koskevat säännökset eivät helpota henkilötietojen vaihtoa, vaan mutkistavat sitä, sillä ne perustuvat perinteiseen käsitykseen keskinäisestä oikeusavusta rikosasioissa.

84.

Tietosuojavaltuutettu suosittaa seuraavia muutoksia aloitteen tekstiin:

85.

Tietosuojavaltuutettu suosittaa, että neuvosto korjaa nämä puutteet joko muuttamalla aloitteen muotoilua ja/tai lisäämällä nämä kohdat neuvoston puitepäätökseen tietosuojasta kolmannen pilarin alalla. Tietosuojavaltuutetun näkemyksen mukaan ensimmäinen vaihtoehto (edellä olevassa kohdassa mainittuihin seikkoihin liittyen) ei välttämättä johda itse tietojenvaihtojärjestelmän muutokseen eikä ole ristiriidassa niiden 15 jäsenvaltion aikomuksen kanssa, jotka tekivät aloitteen Prümin sopimuksen olennaisten osien muuttamatta jättämisestä.

86.

Tämä lausunto olisi mainittava neuvoston päätöksen johdanto-osassa.