1.5.2008   

FI

Euroopan unionin virallinen lehti

C 110/1

1.

Komissio lähetti ehdotusluonnoksen neuvoston puitepäätökseksi matkustajarekisterin (PNR) käytöstä lainvalvontatarkoituksiin, jäljempänä ’ehdotus’, Euroopan tietosuojavaltuutetulle asetuksen (EY) N:o 45/2001 28 artiklan 2 kohdan mukaista kuulemista varten.

2.

Ehdotus koskee PNR-tietojen käsittelyä EU:ssa ja liittyy läheisesti muihin matkustajatietojen keräämistä ja käyttöä koskeviin järjestelyihin, erityisesti EU:n ja Yhdysvaltojen heinäkuussa 2007 tekemään sopimukseen. Järjestelyt kiinnostavat suuresti tietosuojavaltuutettua, jolla on jo ollut tilaisuus lähettää alustavia huomautuksia komission kyselylomakkeesta, joka koskee suunniteltua EU:n PNR-järjestelmää ja joka lähetettiin asiaankuuluville sidosryhmille joulukuussa 2006 (3). Tietosuojavaltuutettu on tyytyväinen siihen, että komissio kuulee sitä. Tietosuojavaltuutettu katsoo, että tämä lausunto olisi mainittava neuvoston päätöksen johdanto-osassa.

3.

Ehdotuksella pyritään yhdenmukaistamaan jäsenvaltioiden säännökset, jotka koskevat liikennettä vähintään yhden jäsenvaltion alueelle tai alueelta harjoittavien lentoliikenteen harjoittajien velvollisuuksia toimittaa toimivaltaisille viranomaisille PNR-tietoja terrorismirikosten ja järjestäytyneen rikollisuuden ehkäisemiseksi ja torjumiseksi.

4.

Euroopan unioni on sopinut USA:n ja Kanadan kanssa PNR-tietojen siirtämistä koskevista järjestelyistä vastaavia tarkoituksia varten. USA:n kanssa toukokuussa 2004 tehty ensimmäinen sopimus korvattiin uudella heinäkuussa 2007 (4). Kanadan kanssa tehtiin samankaltainen sopimus heinäkuussa 2005 (5). Lisäksi EU:n ja Australian välillä on tarkoitus aloittaa neuvottelut PNR-tietojen vaihtoa koskevasta sopimuksesta, ja myös Etelä-Korea vaatii PNR-tietoja sen alueelle liikennöitävistä lennoista suunnittelematta kuitenkaan tässä vaiheessa EU:n tason neuvotteluja.

5.

EU:ssa ehdotus on lisäys neuvoston direktiiviin 2004/82/EY liikenteenharjoittajien velvollisuudesta toimittaa tietoja matkustajista (6) eli niin sanottuja API-tietoja, laittoman maahanmuuton torjumiseksi ja rajavalvonnan tehostamiseksi. Direktiivi oli määrä saattaa osaksi jäsenvaltioiden kansallista lainsäädäntöä viimeistään 5. syyskuuta 2006. Sitä ei ole kuitenkaan vielä pantu täytäntöön kaikissa jäsenvaltioissa.

6.

Toisin kuin ennalta annettavat matkustajatiedot (API), joiden tarkoituksena on auttaa tunnistamaan henkilöitä, ehdotuksessa mainitut PNR-tiedot auttaisivat tekemään henkilöitä koskevia riskinarviointeja, saamaan tiedustelutietoja ja yhdistämään toisiinsa tunnettuja ja tuntemattomia henkilöitä.

7.

Ehdotus sisältää seuraavat pääkohdat:

8.

Ehdotus, josta tietosuojavaltuutettua nyt kuullaan, on lisäaskel kohti rutiininomaista tietojenkeruuta henkilöistä, joita ei periaatteessa epäillä rikoksesta. Kuten edellä mainittiin, tällainen kehitys on käynnissä sekä kansainvälisesti että EU:n tasolla.

9.

Tietosuojavaltuutettu panee merkille, että myös 29 artiklan mukainen tietosuojatyöryhmä ja poliisi- ja oikeuskysymyksiä käsittelevä työryhmä ovat antaneet ehdotuksesta yhteisen lausunnon (8). Tietosuojavaltuutettu yhtyy lausuntoon. Tässä lausunnossa korostetaan joitakin lisäkohtia ja syvennetään niitä.

10.

Tietosuojavaltuutetun lausunnossa analysoidaan ehdotuksen kaikkia asiaankuuluvia näkökohtia keskittyen kuitenkin neljään pääasiaan.

11.

Viimeiseksi mainitaan muita seikkoja, myös tietosuojan kannalta positiivista kehitystä, mutta myös muita ehdotukseen liittyviä huolenaiheita.

12.

Ehdotettujen toimenpiteiden oikeutuksen tarkastelemiseksi tietosuojan perusperiaatteiden, erityisesti EU:n perusoikeuskirjan 8 artiklan sekä Euroopan neuvoston yleissopimuksen N:o 108 (9) 5 ja 8 artiklan mukaisesti on selkeästi määritettävä suunnitellun henkilötietojen käsittelyn tarkoitus sekä arvioitava käsittelyn tarpeellisuutta ja oikeasuhteisuutta. Olisi varmistettava, ettei käytettävissä ole mitään muuta, yksityiselämään vähemmän puuttuvaa keinoa päästä suunniteltuun tavoitteeseen.

13.

Ehdotuksen sanamuodosta ja sen vaikutustenarvioinnista käy ilmi, että tavoitteena ei ole ainoastaan tunnistaa tunnettuja terroristeja tai tunnettuja rikollisia, jotka ovat sekaantuneet järjestäytyneeseen rikollisuuteen, vertaamalla heidän nimiään lainvalvontaviranomaisten ylläpitämissä luetteloissa oleviin nimiin. Tarkoituksena on kerätä tiedustelutietoa terrorismista tai järjestäytyneestä rikollisuudesta, ja tarkemmin sanottuna arvioida henkilöiden aiheuttamaa riskiä, saada tiedustelutietoa sekä yhdistää toisiinsa tunnettuja ja tuntemattomia henkilöitä (10). Ehdotuksen 3 artiklan 5 kohdassa ilmoitettuna tarkoituksena on samansuuntaisesti ja ensisijaisesti ”sellaisten henkilöiden ja heidän avustajiensa tunnistaminen, jotka ovat tai voivat olla osallisina terrorismirikoksessa tai järjestäytyneen rikollisuuden piiriin kuuluvassa rikoksessa”.

14.

Tähän syyhyn vedotaan sen selittämiseksi, että API-tiedot eivät riitä suunniteltuun tavoitteeseen pääsemiseksi. Kuten edellä mainittiin, API-tietojen tarkoituksena on auttaa tunnistamaan henkilöitä, mutta PNR-tiedoilla ei ole tällaista tunnistamistarkoitusta, vaan PNR-tietojen yksityiskohtien avulla voitaisiin tehdä henkilöitä koskevia riskinarviointeja, saada tiedustelutietoja ja yhdistää toisiinsa tunnettuja ja tuntemattomia henkilöitä.

15.

Suunniteltujen toimenpiteiden tarkoituksena ei ole vain saada kiinni tunnettuja henkilöitä, vaan myös paikantaa henkilöitä, joita ehdotuksen kriteerit saattavat koskea.

Tällaisten henkilöiden tunnistamisessa keskeisessä asemassa ovat riskinanalyysi ja mallien toteaminen. Ehdotuksen johdanto-osan 9 kappaleen mukaan tiedot on säilytettävä ”riittävän pitkään riski-indikaattorien kehittämiseksi sekä matkustusreittien ja käyttäytymismallien toteamiseksi”.

16.

Tarkoitus muodostuu näin kahdesta tasosta: ensimmäisenä tasona on maailmanlaajuinen tavoite torjua terrorismia ja järjestäytynyttä rikollisuutta, ja toinen taso sisältää mainitun tavoitteen saavuttamisen edellyttämät keinot ja toimenpiteet. Terrorismin ja järjestäytyneen rikollisuuden torjunnan tavoite vaikuttaa hyvin selkeältä ja oikeutetulta, kun taas siihen pääsemiseksi käytettävät keinot antavat aihetta keskustelulle.

17.

Ehdotuksessa ei mitenkään mainita, millä tavoin mallit todetaan ja riskinarviointi suoritetaan. Vaikutustenarvioinnissa tarkennetaan seuraavasti PNR-tietojen käyttötapaa: verrataan matkustajatietoja piirteiden ja käyttäytymismallien yhdistelmään riskinarvion laatimiseksi. Jos tietty matkustaja vastaa tiettyä riskinarviointia, hänet voitaisiin tunnistaa riskimatkustajaksi (11).

18.

Epäillyt henkilöt voitaisiin valita PNR-tietoihinsa sisältyvien konkreettisten epäilystä herättävien seikkojen perusteella (esim. yhteys epäilyttävään matkatoimistoon, varastetun luottokortin tiedot) sekä ”mallien” tai abstraktin profiilin perusteella. Tyypillisten matkustusreittien perusteella voitaisiinkin muodostaa erilaisia ”normaalin matkustajan” tai ”epäilyttävän matkustajan” malliprofiileja. Profiilien avulla voitaisiin tutkia edelleen niitä matkustajia, joita ei voida luokitella ”normaaleihin matkustajiin”, sitä suuremmalla syyllä, jos heidän profiiliinsa liittyy muita epäilyttäviä seikkoja, esimerkiksi varastettu luottokortti.

19.

Vaikka ei voidakaan olettaa, että matkustajat valittaisiin tutkinnan kohteeksi heidän uskontonsa tai muiden arkaluonteisten tietojen perusteella, näyttää siltä, että heihin kohdistuva tutkinta perustuisi yhdistelmään konkreettisia ja abstrakteja tietoja, mallit ja abstraktit profiilit mukaan luettuina.

20.

Voitaisiin kysyä, onko tämäntyyppinen tutkinta profilointia. Profiloinniksi katsotaan ”tietokoneavusteinen menetelmä, jossa käytetään analysoivaa tiedonhakua tietovarastosta niin, että se mahdollistaa tai että sen avulla on tarkoitus mahdollistaa yksilön luokittelu tietyllä todennäköisyydellä — ja siis tietyllä virhemarginaalilla — tiettyyn luokkaan kyseistä henkilöä koskevien yksittäisten päätösten tekemiseksi” (12).

21.

Tietosuojavaltuutettu on tietoinen siitä, että profiloinnin määritelmästä keskustellaan edelleen. Huolimatta siitä, tunnustetaanko virallisesti, että ehdotuksella pyritään profiloimaan matkustajia, olennainen kysymys ei koske määritelmiä. Se koskee vaikutusta henkilöihin.

22.

Tietosuojavaltuutetun pääasiallinen huolenaihe on, että henkilöitä koskevia päätöksiä tehdään sellaisten mallien ja kriteerien perusteella, joiden määrittämisessä on käytetty matkustajatietoja yleensä. Yksittäistä henkilöä koskevia päätöksiä voitaisiin siis tehdä käyttäen vertailukohtana (ainakin osittain) malleja, jotka on johdettu muita henkilöitä koskevista tiedoista. Rekisteröityihin suuresti vaikuttavia päätöksiä tullaan siis tekemään abstraktissa yhteydessä. Henkilöiden on äärimmäisen vaikea puolustautua tällaisia päätöksiä vastaan.

23.

Lisäksi riskinarviointi on tarkoitus suorittaa ilman epäiltyjen tunnistamista koskevia yhtenäisiä normeja. Tietosuojavaltuutettu pitää koko seulontaprosessin oikeusvarmuutta erittäin kyseenalaisena ottaen huomioon, että kriteerit, joiden pohjalta kutakin matkustajaa tutkitaan, on määritelty huonosti.

24.

Tietosuojavaltuutettu palauttaa mieliin Euroopan ihmisoikeustuomioistuimen oikeuskäytännön, jonka mukaan kotimaisessa lainsäädännössä on riittävän yksityiskohtaisesti ilmoitettava kansalaisille, missä olosuhteissa ja millä ehdoilla valtion viranomaisilla on valtuudet tallentaa heidän yksityiselämäänsä koskevia tietoja ja käyttää niitä. Tietojen olisi oltava ”asianomaisen henkilön saatavilla ja niiden seurausten ennakoitavia”. Sääntö on ”ennakoitava”, ”jos se on muotoiltu riittävän täsmällisesti, jotta kuka tahansa — tarvittaessa asianmukaista neuvontaa saatuaan — voi sen perusteella säännellä käyttäytymistään (13).”

25.

Johtopäätöksenä voidaan todeta, että juuri tämäntyyppisten riskien vuoksi puitepäätösehdotusta on tarkasteltava huolellisesti. Vaikka terrorismin ja järjestäytyneen rikollisuuden torjunnan yleinen tavoite on sinänsä selkeä ja oikeutettu, toteutettavan käsittelyn pääosa ei vaikuta riittävän rajatulta ja perustellulta. Tästä syystä tietosuojavaltuutettu kehottaa EU:n lainsäätäjää selventämään asian ennen puitepäätöksen tekemistä.

26.

Kuten edellä on osoitettu, toimenpiteet ovat ilmiselvästi yksityisyyteen puuttuvia. Lisäksi niiden hyödyllisyyttä ei ole mitenkään selvästi osoitettu.

27.

Ehdotuksen vaikutustenarvioinnissa keskitytään löytämään paras tapa perustaa EU:n PNR-järjestelmä eikä niinkään tällaisen PNR:n tarpeellisuuteen. Arvioinnissa (14) viitataan muissa maissa, erityisesti USA:ssa ja Yhdistyneessä kuningaskunnassa, käytössä oleviin PNR-järjestelmiin. Valitettavasti kyseisiin järjestelmiin liittyvät täsmälliset tosiasiat ja luvut kuitenkin puuttuvat. Yhdistyneen kuningaskunnan Semaphore-järjestelmässä kerrotaan suoritetun ”lukuisia pidätyksiä””eri rikoksista”, yksilöimättä kuitenkaan asian yhteyttä terrorismiin tai järjestäytyneeseen rikollisuuteen. Yhdysvaltojen ohjelmasta ei anneta muita tarkkoja tietoja kuin että ”EU on voinut arvioida PNR-tietojen arvoa ja niiden mahdollisuuksia lainvalvonnassa”.

28.

Paitsi että ehdotuksesta puuttuvat täsmälliset tiedot kyseisten PNR-järjestelmien konkreettisista tuloksista, muiden viranomaisten, esimerkiksi GAO:n Yhdysvalloissa, julkaisemissa raporteissa ei myöskään tässä vaiheessa vahvisteta toimenpiteiden tehokkuutta (15).

29.

Tietosuojavaltuutettu katsoo, että tekniikkoja, joissa henkilöiden aiheuttamaa riskiä arvioidaan analysoivan tiedonhaun ja käyttäytymismallien avulla, on vielä arvioitava ja niiden hyödyllisyys terrorismin torjunnan yhteydessä on selkeästi osoitettava ennen niiden käyttämistä näin laajasti.

30.

Arvioitaessa henkilön yksityisyyteen puuttumisen ja toimenpiteen tarpeellisuuden (16) keskinäistä tasapainoa on otettava huomioon seuraavat seikat:

31.

Suhteellisuusperiaatteen noudattaminen tarkoittaa, että ehdotettu toimenpide on tehokas ja että tarkoitusta, johon ehdotuksella pyritään, ei voida saavuttaa käyttämällä yksityiselämään vähemmän puuttuvia välineitä. Suunniteltujen toimenpiteiden tehokkuutta ei ole osoitettu. Vaihtoehtojen olemassaoloa on arvioitava huolellisesti ennen, kuin henkilötietojen käsittelyä varten toteutetaan uusia tai lisätoimenpiteitä. Tietosuojavaltuutettu katsoo, että tällaista kokonaisvaltaista arviointia ei ole tehty.

32.

Tietosuojavaltuutettu palauttaa mieliin muut käytössä olevat tai pian toteutettavat laajamittaiset järjestelmät, joiden avulla valvotaan henkilöiden liikkumista EU:n sisällä tai sen rajoilla, erityisesti viisumitietojärjestelmän (17) ja Schengenin tietojärjestelmän (18). Vaikka niiden päätavoitteena ei olekaan terrorismin tai järjestäytyneen rikollisuuden torjunta, ne ovat tai tulevat olemaan jossakin määrin lainvalvontaviranomaisten käytettävissä rikollisuuden torjumiseksi laajemmin (19).

33.

Toinen esimerkki koskee kansallisen poliisin tietokantoihin sisältyvien henkilötietojen saatavuutta — erityisesti biometristen tietojen osalta — toukokuussa 2005 allekirjoitetun Prümin sopimuksen puitteissa. Sopimusta ollaan laajentamassa koskemaan kaikkia Euroopan unionin jäsenvaltioita (20).

34.

Mainituille eri välineille on yhteistä, että ne mahdollistavat henkilöiden liikkumisen maailmanlaajuisen seurannan, vaikkakin eri näkökulmista. Sitä, miten ne voivat jo tällä hetkellä vaikuttaa rikollisuuden eri muotojen, myös terrorismin, torjumiseen, olisi analysoitava perusteellisesti ja kokonaisvaltaisesti ennen, kuin päätetään aloittaa järjestelmällinen tietojen tallentaminen kaikista henkilöistä, jotka lähtevät EU:n alueelta tai tulevat sille lentokoneella. Tietosuojavaltuutettu suosittelee, että komissio suorittaisi tällaisen analyysin lainsäädäntömenettelyn välttämättömänä vaiheena.

35.

Edellä esitetyn perusteella tietosuojavaltuutettu tekee seuraavat johtopäätökset ehdotettujen toimenpiteiden oikeutuksesta. Eri tietokantoihin tukeutuminen ilman kokonaisnäkemystä konkreettisista tuloksista ja puutteista:

36.

Terrorismin torjuminen voi varmasti olla oikeutettu peruste soveltaa poikkeuksia yksityisyyttä ja tietosuojaa koskevista perusoikeuksista. Yksityisyyteen puuttumisen välttämättömyys on kuitenkin perusteltava selkeillä ja kiistattomilla seikoilla, ja käsittelyn oikeasuhteisuus on osoitettava. Tämä on sitäkin tarpeellisempaa, kun kyseessä on laajamittainen henkilöiden yksityisyyteen puuttuminen, kuten ehdotuksessa on suunniteltu.

37.

Voidaan vain todeta, että tällaiset perustelut puuttuvat ehdotuksesta ja tarpeellisuus- ja suhteellisuusperusteet eivät täyty.

38.

Tietosuojavaltuutettu painottaa, että edellä käsiteltyjen tarpeellisuus- ja suhteellisuusperusteiden täyttyminen on olennaisen tärkeää. Se on ehdoton edellytys käsiteltävän ehdotuksen voimaantulolle. Tietosuojavaltuutetun tässä lausunnossa esittämät muut huomautukset on ymmärrettävä tämän ennakkoedellytyksen valossa.

39.

Seuraavassa analyysissa keskitytään kolmeen seikkaan:

40.

Ehdotuksen 11 artiklan mukaan ”jäsenvaltioiden on varmistettava, että rikosasioissa tehtävässä poliisi- ja oikeudellisessa yhteistyössä käsiteltävien henkilötietojen suojaamisesta tehtyä neuvoston puitepäätöstä (…) sovelletaan tämän puitepäätöksen mukaiseen henkilötietojen käsittelyyn”.

41.

Tästä säännöksestä huolimatta ei ole selvää, missä määrin tietosuojapuitepäätöstä, joka on EU-sopimuksen kolmanteen pilariin kuuluva väline, sovelletaan lentoyhtiöiden käsittelemiin ja matkustajatietoyksiköiden keräämiin tietoihin, joita muut toimivaltaiset viranomaiset käyttävät.

42.

Ehdotuksessa suunnitellun henkilötietojen käsittelyn ensimmäinen vaihe on lentoyhtiöiden suorittama käsittely. Niiden on annettava PNR-tiedot kansallisten matkustajatietoyksiköiden saataville — periaatteessa tarjontajärjestelmää käyttäen. Ehdotuksen sanamuodon ja vaikutustenarvioinnin (22) perusteella näyttää siltä, että lentoyhtiöt voisivat myös toimittaa tietoja suurina erinä välittäjille. Lentoyhtiöt toimivat ensisijaisesti kaupallisessa ympäristössä, jossa niitä koskee direktiivin 95/46/EY (23) täytäntöönpanemiseksi annettu kansallinen tietosuojalainsäädäntö. Kun kerättyjä tietoja käytetään lainvalvontatarkoituksiin (24) herää kysymys sovellettavasta lainsäädännöstä.

43.

Tämän jälkeen välittäjä seuloisi tiedot (ne formatoitaisiin ja niistä poistettaisiin sellaiset PNR-tiedot, jotka eivät kuulu ehdotuksessa säädettyyn tietoluetteloon) tai ne lähetettäisiin suoraan matkustajatietoyksiköille. Välittäjät voisivat olla myös yksityisen sektorin toimijoita, kuten SITA, joka toimii tällä tavoin Kanadan kanssa tehdyn PNR-sopimuksen puitteissa.

44.

Mitä tulee matkustajatietoyksiköihin, jotka vastaavat koko tietomäärää koskevasta riskinarvioinnista, ei ole selvää, kuka käsittelystä on vastuussa. Siihen saattaa osallistua tulli- ja rajaviranomaisia eikä välttämättä lainvalvontaviranomaisia.

45.

Tämän jälkeen tapahtuva seulottujen tietojen siirtäminen ”toimivaltaisille” viranomaisille tapahtuisi todennäköisesti lainvalvontayhteydessä. Ehdotuksen mukaan ”toimivaltaisiin viranomaisiin saa kuulua ainoastaan viranomaisia, jotka vastaavat terrorismirikosten ja järjestäytyneen rikollisuuden estämisestä ja torjunnasta”.

46.

Käsittelyn edetessä siihen osallistuvat toimijat ja käsittelyn tarkoitus liittyvät läheisemmin poliisiyhteistyöhön ja rikosasioissa tehtävään oikeudelliseen yhteistyöhön. Ehdotuksessa ei kuitenkaan selkeästi mainita, milloin sovelletaan nimenomaan tietosuojapuitepäätöstä. Sanamuodosta voitaisiin jopa päätellä, että sitä sovelletaan koko käsittelyyn ja myös lentoyhtiöihin (25). Henkilötietojen käsittelyä koskevaan puitepäätökseen itseensä sisältyy kuitenkin joitakin rajoituksia.

47.

Tässä yhteydessä tietosuojavaltuutettu asettaa kyseenalaiseksi sen, voidaanko EU-sopimuksen VI osastoa käyttää oikeusperustana yksityisen sektorin toimijoita koskeville oikeudellisille velvoitteille rutiininomaisesti ja lainvalvontatarkoituksessa. Lisäksi on syytä kysyä, voidaanko EU-sopimuksen VI osastoa käyttää oikeusperustana sellaisia julkisia viranomaisia koskeville oikeudellisille velvoitteille, jotka eivät periaatteessa kuulu lainvalvonta-alan yhteistyöhön. Näitä kysymyksiä käsitellään tarkemmin jäljempänä tässä lausunnossa.

48.

Ehdotukseen neuvoston puitepäätökseksi rikosasioissa tehtävässä poliisi- ja oikeudellisessa yhteistyössä käsiteltävien henkilötietojen suojaamisesta sisältyy ainakin kaksi rajoitusta, joilla on merkitystä soveltamisalan kannalta.

49.

Ensinnäkin tietosuojapuitepäätöksen soveltamisala määritellään hyvin puitepäätöksessä itsessään: sitä sovelletaan ”ainoastaan tietoihin, joita toimivaltaiset viranomaiset keräävät tai käsittelevät rikosten torjumiseksi, tutkimiseksi, selvittämiseksi tai niistä syyttämiseksi tai rikosoikeudellisten seuraamusten täytäntöönpanemiseksi” (26).

50.

Toiseksi tietosuojapuitepäätöstä ei ole tarkoitus soveltaa puhtaasti kansallisella tasolla käsiteltäviin tietoihin, vaan se rajoittuu jäsenvaltioiden välillä vaihdettaviin tietoihin ja niiden siirtämiseen kolmansille maille (27).

51.

Tietosuojapuitepäätöksessä on myös joitakin huonoja puolia verrattuna direktiiviin 95/46/EY, erityisesti laaja poikkeus käyttötarkoituksen rajoittamisen periaatteesta. Kyseisen tarkoitusperiaatteen osalta ehdotuksessa rajoitetaan käsittelyn tarkoitus selkeästi terrorismin ja järjestäytyneen rikollisuuden torjumiseen. Tietosuojapuitepäätöksessä kuitenkin sallitaan käsittely laajempia tarkoituksia varten. Tällaisessa tapauksessa erityissäädöksellä (ehdotus) olisi etusijalla yleissäädökseen (tietosuojapuitepäätös) nähden (28). Tämä olisi mainittava selvästi ehdotuksen tekstissä.

52.

Tästä syystä tietosuojavaltuutettu suosittelee seuraavan säännöksen lisäämistä ehdotukseen: ”Lentoyhtiöiden tämän puitepäätöksen mukaisesti toimittamia henkilötietoja ei saa käsitellä muita tarkoituksia kuin terrorismin ja järjestäytyneen rikollisuuden torjumista varten. Rikosasioissa tehtävässä poliisi- ja oikeudellisessa yhteistyössä käsiteltävien henkilötietojen suojaamisesta tehdyssä neuvoston puitepäätöksessä säädettyjä poikkeuksia tarkoitusperiaatteesta ei sovelleta”.

53.

Yhteenvetona tietosuojavaltuutettu panee merkille vakavan oikeusvarmuuden puutteen tietosuojajärjestelyissä, joita sovelletaan hankkeeseen osallistuviin eri toimijoihin ja erityisesti lentoyhtiöihin ja muihin ensimmäisen pilarin toimijoihin, olivatpa kyseessä ehdotuksen säännöt, tietosuojapuitepäätöksen säännöt tai direktiivin 95/46/EY kansallinen täytäntöönpanolainsäädäntö. Lainsäätäjän olisi tehtävä selväksi, missä käsittelyn vaiheissa eri sääntöjä tarkkaan ottaen sovelletaan.

54.

Tietosuojavaltuutettu asettaa kyseenalaiseksi sen, voidaanko kolmannen pilarin välineellä asettaa yksityisen tai julkisen sektorin toimijoille oikeudellisia velvoitteita rutiininomaisesti ja lainvalvontatarkoituksessa, kun toimijat ovat periaatteessa lainvalvontayhteistyön puitteiden ulkopuolella.

55.

Asiaa voitaisiin verrata kahteen muuhun tapaukseen, joissa yksityinen sektori osallistui tietojen säilyttämiseen tai siirtämiseen lainvalvontaa varten:

56.

Käsiteltävänä olevassa EU:n PNR-ehdotuksessa lentoyhtiöiden on järjestelmällisesti annettava kaikkien matkustajien PNR-tiedot saataville. Tietoja ei kuitenkaan siirretä suoraan ja suurina kokonaisuuksina lainvalvontaviranomaisille: ne voidaan lähettää välittäjälle, ja niitä arvioi kolmas osapuoli, jonka asema on epäselvä, ja lopuksi valitut tiedot lähetetään toimivaltaisille viranomaisille.

57.

Käsittely tapahtuu pääosin harmaalla alueella, ja se liittyy konkreettisesti sekä ensimmäiseen että kolmanteen pilariin. Kuten kohdassa IV tarkemmin todetaan, tietoja käsittelevien toimijoiden luonne ei ole selvä. Lentoyhtiöt eivät selvästikään ole lainvalvontaviranomaisia, ja välittäjät saattavat olla yksityisen sektorin toimijoita. Jopa matkustajatietoyksiköiden osalta, jotka olisivat valtion viranomaisia, on tähdennettävä, että kaikki viranomaiset eivät luonteensa ja osaamisensa huomioon ottaen sovellu suorittamaan rutiininomaisesti lainvalvontatehtäviä.

58.

Lainvalvontatoimet ja yksityisen sektorin toimet on perinteisesti erotettu toisistaan selkeästi niin, että erityiset viranomaiset, etenkin poliisivoimat, ovat hoitaneet lainvalvontatehtävät ja yksityisiä toimijoita on tapauskohtaisesti pyydetty ilmoittamaan henkilötietoja kyseisille lainvalvontaviranomaisille. Tällä hetkellä suuntauksena on velvoittaa järjestelmällisesti yksityiset toimijat tekemään yhteistyötä lainvalvonnassa, mikä herättää kysymyksen siitä, mitä tietosuojan kehyssäännöksiä (ensimmäistä vai kolmatta pilaria) sovelletaan kyseisen yhteistyön edellytyksiin: olisiko sääntöjen perustuttava rekisterinpitäjän luonteeseen (yksityinen sektori) vai käsittelyn tarkoitukseen (lainvalvonta)?

59.

Tietosuojavaltuutettu on jo tuonut esiin vaaran ensimmäisen ja kolmannen pilarin toimien välisestä lainsäädäntöaukosta (31). Ei todellakaan ole selvää, kuuluvatko yksityisten yritysten jollakin tavoin rikoslainsäädännön noudattamisen valvontaan liittyvät toimet Euroopan unionin lainsäätäjän toimialaan SEU:n 30, 31 ja 34 artiklan nojalla.

60.

Jos yleisiä (ensimmäisen pilarin) sääntöjä ei sovellettaisi, palveluntarjoajan olisi tehtävä vaikeasti toteutettavia erotteluja tietokannoissaan. Nykyisessä järjestelmässä on selvää, että rekisterinpitäjän on noudatettava samaa tietosuojaa rekisteröityjen suhteen riippumatta tarkoituksesta, jonka perusteella tietoja säilytetään. Tilannetta, jossa palveluntarjoajien eri tarkoituksia varten suorittamiin käsittelyihin sovellettaisiin eri tietosuojasääntöjä, olisi tästä syystä vältettävä.

61.

Kansallisesti sovellettavat erilaiset oikeudelliset järjestelmät vaikuttaisivat merkittävästi etenkin rekisteröidyn oikeuksien käyttämiseen.

62.

Ehdotuksen johdanto-osan mukaan oikeudesta tietoon, tietojen saantiin, oikaisuun, poistamiseen ja suojaamiseen sekä korvaukseen ja oikeussuojakeinoihin on säädettävä tietosuojapuitepäätöksessä. Tällä ei kuitenkaan vastata kysymykseen siitä, kuka rekisteröityjen pyyntöihin vastaava rekisterinpitäjä on.

63.

Lentoyhtiöt voivat antaa käsittelyä koskevat tiedot, mutta asia on monimutkaisempi, kun kyse on tietojen saannista tai oikaisemisesta. Kyseisiä oikeuksiahan on rajoitettu tietosuojapuitepäätöksessä. Kuten edellä todettiin, on syytä epäillä, voitaisiinko lentoyhtiön kaltainen palveluntarjoaja velvoittaa tarjoamaan eriytetty saanti- ja oikaisemisoikeus säilyttämiinsä tietoihin riippuen niiden käyttötarkoituksesta (kaupallinen tai lainvalvontatarkoitus). Voitaisiin väittää, että kyseisiä oikeuksia on käytettävä suhteissa matkustajatietoyksikköön tai muulla tavoin nimettyihin toimivaltaisiin viranomaisiin. Ehdotuksessa ei kuitenkaan anneta asiasta lisätietoja, ja kuten edellä mainittiin, ei ole myöskään selvää, että kyseiset viranomaiset (ainakin matkustajatietoyksiköt) ovat lainvalvontaviranomaisia, joille rajoitetut (mahdollisesti epäsuorat) tiedonsaantimenettelyt yleensä uskotaan.

64.

Matkustajatietoyksiköiden osalta henkilöt ovat myös vaarassa joutua tilanteeseen, jossa heidän tietojaan annetaan eri vastaanottajille: tiedot lähetetään lentojen lähtö- tai saapumismaan matkustajatietoyksikölle, mutta mahdollisesti myös muiden jäsenvaltioiden matkustajatietoyksiköille tapauskohtaisesti. Lisäksi on mahdollista, että useat jäsenvaltiot perustavat tai nimeävät vain yhden yhteisen matkustajatietoyksikön. Siinä tapauksessa rekisteröity saattaa joutua käyttämään oikeussuojakeinoja toisen jäsenvaltion viranomaisessa. Jälleen on epäselvää, sovelletaanko kansallisia tietosuojasääntöjä (joiden oletetaan olevan yhdenmukaisia EU:ssa) vai onko otettava huomioon lainvalvontaa koskevaa erityistä lainsäädäntöä (koska kolmannen pilarin osalta ei ole kansallisen tason kokonaisvaltaista yhdenmukaistamista).

65.

Sama kysymys voidaan esittää välittäjien käsittelemien tietojen saatavuudesta. Välittäjien asema on epäselvä, ja ne voivat myös olla yhteisiä eri EU-maissa toimiville lentoyhtiöille.

66.

Tietosuojavaltuutettu pitää valitettavana, että kyseisten rekisteröidyn perusoikeuksien käyttämiseen liittyy epävarmuutta. Hän korostaa, että tilanne johtuu pääasiassa siitä, että tehtävät on uskottu toimijoille, joiden päätehtävänä ei ole lainvalvonta.

67.

Tietosuojavaltuutettu katsoo, että ehdotuksessa olisi tehtävä selväksi, mitä oikeudellista järjestelmää missäkin käsittelyvaiheessa sovelletaan, ja tarkennettava, mihin toimijaan tai viranomaiseen on otettava yhteyttä tietojen saamiseksi ja oikeussuojakeinojen käyttämiseksi. Tietosuojavaltuutettu muistuttaa, että SEU:n 30 artiklan 1 kohdan b alakohdan mukaisesti tietosuojaa koskevien säännösten olisi oltava asianmukaisia ja katettava kaikki ehdotukseen kuuluvat käsittelytoimet. Pelkkä viittaus tietosuojapuitepäätökseen ei riitä, ottaen huomioon kyseisen puitepäätöksen rajoitettu soveltamisala ja siihen sisältyvä oikeuksien rajoittaminen. Mitä tulee lainvalvontaviranomaisten osallistumiseen, tietosuojapuitepäätöksen sääntöjä olisi sovellettava vähintään kaikkeen ehdotuksen mukaiseen käsittelyyn, jotta taattaisiin tietosuojan periaatteiden johdonmukainen soveltaminen.

68.

Tietosuojavaltuutettu panee merkille, että ehdotuksessa ei ole erityistä säännöstä lentoyhtiöiden keräämien henkilötietojen vastaanottajien luonteesta, olivatpa vastaanottajat välittäjiä, matkustajatietoyksiköitä tai toimivaltaisia viranomaisia. On korostettava, että vastaanottajan luonne on suoraan yhteydessä siihen, millaisia tietosuojatakeita kyseisen vastaanottajan osalta sovelletaan. Edellä on jo mainittu erityisesti ensimmäisen ja kolmannen pilarin sääntöjen mukaisten takeiden ero. On olennaista, että sovellettava järjestelmä on selkeä kaikille toimijoille, mukaan lukien kansalliset hallitukset, lainvalvontaviranomaiset, tietosuojaviranomaiset sekä rekisterinpitäjät ja rekisteröidyt, joita asia koskee.

69.

Ehdotuksessa ei anneta tietoja välittäjien luonteesta (32). Välittäjien tehtävää rekisterinpitäjinä tai tietojen käsittelijöinä ei myöskään tarkenneta. Kokemuksesta voidaan päätellä, että yksityisen sektorin toimijalle, joka voi olla tietokonepohjainen varausjärjestelmä tai muu taho, voidaan mainiosti uskoa PNR-tietojen kerääminen suoraan lentoyhtiöiltä niiden toimittamiseksi matkustajatietoyksiköille. Juuri tällä tavoin tietoja käsitellään Kanadan kanssa tehtyä PNR-sopimusta sovellettaessa. Tietojen käsittelystä vastaava yritys on SITA (33). Välittäjän tehtävä on ratkaiseva, koska se saattaa joutua vastaamaan lentoyhtiöiden suurina kokonaisuuksina lähettämien tietojen seulomisesta tai uudelleenformatoinnista (34). Vaikka välittäjien on poistettava käsitellyt tiedot, kun ne on siirretty matkustajatietoyksiköille, itse käsittely on erittäin arkaluonteista: välittäjien toiminnan seurauksena luodaan uusi tietokanta, jossa on valtavia määriä tietoja, ja ehdotuksen mukaan jopa arkaluonteisia tietoja (välittäjien on myöhemmin poistettava arkaluonteiset tiedot). Näistä syistä tietosuojavaltuutettu suosittelee, ettei matkustajatietojen käsittelyyn osallistuisi välittäjiä, ellei niiden luonnetta ja tehtäviä ole tarkoin määritelty.

70.

Matkustajatietoyksiköt ovat ratkaisevassa asemassa tunnistettaessa henkilöitä, jotka osallistuvat tai saattavat osallistua tai liittyä terrorismiin tai järjestäytyneeseen rikollisuuteen. Ehdotuksen mukaan yksiköt vastaavat riski-indikaattorien määrittelystä ja reittimalleja koskevan tiedustelutiedon toimittamisesta (35). Jos riskinarviointi perustuu standardoituihin reittimalleihin eikä konkreettiseen tapaukseen liittyvään näyttöön, analyysia voidaan pitää ennakoivana tutkintana. Tietosuojavaltuutettu korostaa, että tällaista käsittelyä säännellään periaatteessa tiukasti jäsenvaltioiden lainsäädännössä (ellei se ole kiellettyä) ja että se on erityisten, niin ikään tarkoin säänneltyjen julkisten viranomaisten tehtävä.

71.

Matkustajatietoyksiköille on näin ollen uskottu hyvin arkaluonteinen tietojenkäsittelytehtävä, mutta ehdotuksessa ei ole tarkkoja säännöksiä niiden luonteesta eikä edellytyksistä, joilla ne käyttäisivät toimivaltaansa. Tehtävää hoitaisi todennäköisesti valtion elin, mahdollisesti tulli tai rajavartiosto, mutta ehdotuksessa ei nimenomaisesti kielletä jäsenvaltioita uskomasta tehtävän hoitamista tiedustelupalveluille tai jopa mille tahansa käsittelijälle. Tietosuojavaltuutettu korostaa, että tiedustelupalveluihin sovellettavat avoimuus ja takeet eivät aina ole samoja kuin ne, joita sovelletaan perinteisiin lainvalvontaviranomaisiin. Matkustajatietoyksiköiden luonnetta koskevat yksityiskohdat ovat ratkaisevan tärkeitä, koska asialla on välittömiä seurauksia sovellettavien lainsäädäntöpuitteiden ja valvontaedellytysten kannalta. Tietosuojavaltuutettu katsoo, että ehdotukseen on lisättävä säännös, jossa tarkennetaan matkustajatietoyksiköiden erityispiirteet.

72.

Ehdotuksen 4 artiklan mukaan tietoja voi saada mikä tahansa viranomainen, joka vastaa terrorismirikosten ja järjestäytyneen rikollisuuden estämisestä ja torjunnasta. Tarkoitus on selkeästi määritelty, mutta viranomaisen luonnetta ei ole mainittu. Ehdotuksessa ei säädetä vastaanottajien rajoittamisesta lainvalvontaviranomaisiin.

Kuten edellä matkustajatietoyksiköiden yhteydessä mainittiin, on ratkaisevan tärkeää, että arkaluonteisten tietojen käsittelyllä on selkeät lainsäädäntöpuitteet. Se on vielä tärkeämpää esimerkiksi lainvalvontaviranomaisten kuin tiedustelupalvelujen kohdalla. Kun otetaan huomioon ehdotukseen kuuluva analysoiva tiedonhaku ja ennakoiva tutkimus, ei voida sulkea pois, että tiedustelupalvelut tai muunkinlaiset viranomaiset osallistuvat tietojen käsittelyyn.

73.

Yleisenä huomiona tietosuojavaltuutettu toteaa, että EU:n PNR-järjestelmän täytäntöönpanoa vaikeuttaa se, että lainvalvontaviranomaisilla on eri toimivaltuuksia jäsenvaltioiden kansallisesta lainsäädännöstä riippuen, myös sen osalta, kattavatko ne tiedustelun, veroasiat, maahanmuuton tai poliisiasiat. Tämä on kuitenkin lisäsyy suositella, että ehdotusta tarkennettaisiin huomattavasti mainittujen toimijoiden luonteen ja niiden tehtävien suorittamista koskevan valvonnan takeiden osalta. Ehdotukseen olisi sisällytettävä lisäsäännöksiä, joilla rajataan täsmällisesti välittäjien, matkustajatietoyksiköiden ja muiden toimivaltaisten viranomaisten toimivalta ja oikeudelliset velvoitteet.

74.

Ehdotukseen sisältyy joitakin takeita PNR-tietojen kolmansille maille siirtämisen osalta (36). Erityisesti siinä säädetään nimenomaisesti tietosuojapuitepäätöksen soveltamisesta tietojen siirtoon sekä erityisestä käyttötarkoituksen rajoittamisesta, ja siinä todetaan, että edelleensiirtämiseen vaaditaan jäsenvaltion suostumus. Siirtämisessä olisi myös noudatettava asianomaisen jäsenvaltion lainsäädäntöä sekä mahdollisesti sovellettavia kansainvälisiä sopimuksia.

75.

Monta kysymystä on kuitenkin vielä avoinna, ja ne koskevat erityisesti suostumuksen luonnetta, tietosuojapuitepäätöksen soveltamisedellytyksiä ja ”vastavuoroisuuden” kysymystä toimitettaessa tietoja kolmansille maille.

76.

Tietojen alkuperäjäsenvaltion on annettava nimenomainen suostumuksensa tietojen siirtämiseen kolmannesta maasta edelleen muuhun kolmanteen maahan. Ehdotuksessa ei tarkenneta, millä edellytyksillä suostumus annetaan, kuka sen antaa ja osallistuvatko kansalliset tietosuojaviranomaiset asiasta päättämiseen. Tietosuojavaltuutettu katsoo, että suostumuksen antamistavan olisi vähintään oltava sellaisen kansallisen lainsäädännön mukainen, jossa säädetään henkilötietojen siirtoa kolmansille maille koskevista edellytyksistä.

77.

Lisäksi jäsenvaltion suostumusta ei saisi asettaa etusijalle siihen periaatteeseen nähden, että vastaanottajamaan on tarjottava asianmukainen suojan taso suunniteltua käsittelyä varten. Mainittujen edellytysten olisi oltava kumulatiivisia kuten tietosuojapuitepäätöksessä (14 artikla). Tästä syystä tietosuojavaltuutettu ehdottaa, että 8 artiklan 1 kohtaan lisättäisiin c alakohta seuraavasti: ”ja c) kolmas maa takaa asianmukaisen suojatason suunniteltua tietojen käsittelyä varten”. Tietosuojavaltuutettu muistuttaa tämän osalta, että on luotava järjestelyt, joilla taataan yhteiset normit ja koordinoitu päätöksenteko suojan riittävyyden osalta (37).

78.

Ehdotuksessa viitataan tietosuojapuitepäätökseen sisältyviin edellytyksiin ja takeisiin ja tarkennetaan samalla nimenomaisesti tiettyjä edellytyksiä, erityisesti edellä mainittu asianomaisen jäsenvaltion suostumus ja käyttötarkoituksen rajoittaminen terrorismirikosten ja järjestäytyneen rikollisuuden ehkäisyyn ja torjumiseen.

79.

Itse tietosuojapuitepäätöksessä säädetään henkilötietojen siirtoa kolmansille maille koskevista edellytyksistä erityisesti käyttötarkoituksen rajoittamisen, vastaanottajien luonteen, jäsenvaltion suostumuksen ja riittävyysperiaatteen osalta. Siinä kuitenkin säädetään myös poikkeuksista kyseisiin siirtämisedellytyksiin: oikeutetut vallitsevat edut, erityisesti tärkeät yleiset edut, voivat olla riittävä peruste siirtämiselle, vaikka edellä luetellut edellytykset eivät täyttyisi.

80.

Kuten tämän lausunnon kohdassa III todettiin, tietosuojavaltuutettu katsoo, että ehdotuksen tekstissä on selkeästi todettava, että ehdotukseen sisältyvät täsmällisemmät takeet ovat ensisijaisia tietosuojapuitepäätöksen yleisiin ehtoihin — ja poikkeuksiin — nähden, silloin kuin tietosuojapuitepäätöstä sovelletaan.

81.

Ehdotuksessa käsitellään kysymystä mahdollisista ”kostotoimina” esitetyistä pyynnöistä sellaisten maiden taholta, jotka voivat pyytää EU:lta PNR-tietoja EU:n alueelta omalle alueelleen lennettävistä lennoista. Jos EU vaatii saada tällaisten kolmansien maiden lentoyhtiöiden tietokantoihin sisältyviä tietoja, koska ne harjoittavat lentoliikennettä EU:n alueelle tai alueelta, kyseinen kolmas maa voi vaatia samaa EU:hun sijoittautuneilta lentoyhtiöiltä, EU:n kansalaisilta saatavat tiedot mukaan luettuina. Komissio pitää tällaista mahdollisuutta ”hyvin etäisenä”, mutta ottaa sen huomioon. Ehdotuksessa viitataan tämän osalta siihen, että Yhdysvaltojen ja Kanadan kanssa tehdyissä sopimuksissa määrätään tällaisesta vastavuoroisesta kohtelusta, ”joka voidaan panna täytäntöön automaattisesti” (38). Tietosuojavaltuutettu asettaa kyseenalaiseksi tällaisen automaattisen vastavuoroisuuden merkityksen ja suojatoimien soveltamisen tällaisiin siirtoihin, erityisesti ottaen huomioon riittävän suojatason olemassaolo asianomaisessa maassa.

82.

On eroteltava kolmannet maat, jotka ovat jo tehneet sopimuksen EU:n kanssa, ja maat, joiden kanssa sopimusta ei ole tehty.

83.

Tietosuojavaltuutettu huomauttaa, että vastavuoroisuus saattaa johtaa henkilötietojen siirtoon maille, jotka eivät voi antaa takeita demokraattisista normeista eivätkä tietosuojan riittävästä tasosta.

84.

Vaikutustenarvioinnissa käsitellään tarkemmin tietojen siirtämistä kolmansille maille koskevia edellytyksiä: siinä korostetaan EU:n PNR-järjestelmän etuja; EU:n järjestelmässä matkustajatietoyksiköt seulovat tiedot. Jäsenvaltioiden toimivaltaisille viranomaisille ja oletettavasti myös kolmansille maille siirrettäisiin vain valikoituja tietoja epäilyjen kohteena olevista henkilöistä (eikä suuria tietokokonaisuuksia) (39). Tietosuojavaltuutettu suosittelee kyseisen kohdan selventämistä ehdotuksen tekstissä. Pelkkä maininta vaikutustenarvioinnissa ei anna tarvittavaa suojaa.

85.

Tietojen valikointi auttaisi minimoimaan matkustajien yksityisyyteen kohdistuvia vaikutuksia, mutta on pidettävä mielessä, että tietosuojan periaatteet ovat paljon laajempia kuin tietojen minimointi ja että niihin kuuluvat esimerkiksi tarpeellisuuden, avoimuuden ja rekisteröidyn oikeuksien käyttämisen periaatteet, jotka kaikki on otettava huomioon määritettäessä, onko kolmannessa maassa riittävä suojataso.

86.

Vaikutustenarvioinnissa todetaan, että tällaisen käsittelyn avulla EU voi ”tähdentää tiettyjä normeja ja varmistaa johdonmukaisuuden tällaisissa kolmansien maiden kanssa tehdyissä kahdenvälisissä sopimuksissa. Näin annetaan myös mahdollisuus pyytää vastavuoroista kohtelua kolmansilta mailta, joiden kanssa EU:lla on sopimus, mikä ei tällä hetkellä ole mahdollista” (40).

87.

Näiden huomioiden perusteella voidaan esittää kysymys ehdotuksen vaikutuksista Kanadan ja USA:n kanssa tehtyihin sopimuksiin. Tietojen saantia koskevat edellytykset ovatkin kyseisissä sopimuksissa paljon laajemmat, koska tietoihin ei sovelleta vastaavaa valikointia ennen niiden siirtämistä asianomaisille kolmansille maille.

88.

Vaikutustenarvioinnin mukaan ”jos EU:lla on jonkin kolmannen maan kanssa kansainvälinen sopimus PNR-tietojen vaihtamisesta tai lähettämisestä kyseiselle kolmannelle maalle, tällaiset sopimukset on otettava asianmukaisesti huomioon. Lentoyhtiöiden olisi lähetettävä PNR-tiedot matkustajatietoyksiköille toimenpiteessä määrätyn tavanomaisen käytännön mukaisesti. Tietoja vastaanottava matkustajatietoyksikkö lähettää ne sen kolmannen maan toimivaltaiselle viranomaiselle, jonka kanssa kyseinen sopimus on tehty” (41).

89.

Toisaalta ehdotuksen tarkoituksena näyttäisi olevan vain valikoitujen tietojen siirtäminen jollekin toimivaltaiselle viranomaiselle joko EU:ssa tai sen ulkopuolella, toisaalta taas vaikutustenarvioinnissa, ehdotuksen johdanto-osassa (21 kappale) ja itse 11 artiklassa muistutetaan, että voimassa olevat sopimukset olisi otettava asianmukaisesti huomioon. Tämä saattaa johtaa sellaiseen johtopäätökseen, että seulonta voi olla pätevä toimenpide vain tulevaisuudessa tehtävissä sopimuksissa. Tämä huomioon ottaen voitaisiin ajatella, että tiedot saataisiin edelleen säännönmukaisesti suurina kokonaisuuksina, esimerkiksi Yhdysvaltojen viranomaisten saadessa PNR-tietoja EU:n ja Yhdysvaltojen sopimuksen määräysten mukaisesti, mutta että samanaikaisesti ja tapauskohtaisesti Yhdysvaltoihin voitaisiin siirtää matkustajatietoyksiköiden määrittelemiä erityisiä tietoja Yhdysvaltoihin suuntautuvista lennoista rajoittumatta kuitenkaan niihin.

90.

Tietosuojavaltuutettu pahoittelee, että kyseinen ehdotuksen keskeinen kohta on epäselvä. Hän pitää äärimmäisen tärkeänä, että PNR-tietojen siirtoa kolmansiin maihin koskevat edellytykset ovat johdonmukaisia ja niissä noudatetaan yhtenäistä suojatasoa. Lisäksi oikeusvarmuuden takia tietojen siirtämiseen sovellettavia takuita koskevat yksityiskohdat olisi sisällytettävä itse ehdotukseen eikä vain vaikutustenarviointiin, kuten tällä hetkellä.

91.

Tietosuojavaltuutettu panee merkille, että ehdotuksessa nimenomaan kielletään jäsenvaltioiden matkustajatietoyksiköitä ja toimivaltaisia viranomaisia toteuttamasta täytäntöönpanotoimia pelkästään PNR-tietojen automaattisen käsittelyn perusteella tai henkilön rodun tai etnisen alkuperän, uskonnollisen tai filosofisen vakaumuksen, poliittisen mielipiteen tai sukupuolisen suuntautumisen perusteella (42).

92.

Tarkennus on tervetullut, koska sillä rajoitetaan yksittäisiin henkilöihin kohdistuvien mielivaltaisten toimenpiteiden riskiä. Tietosuojavaltuutettu panee kuitenkin merkille, että sen soveltamisala on rajoitettu matkustajatietoyksiköiden tai toimivaltaisten viranomaisten toteuttamiin täytäntöönpanotoimiin. Nykyisessä sanamuodossa ei suljeta soveltamisalan ulkopuolelle henkilöiden automaattista seulontaa malliprofiilien mukaan eikä estetä epäiltyjen henkilöiden luetteloiden automaattista laatimista eikä laajennetun tarkkailun kaltaisia toimenpiteitä, kunhan niitä ei katsota täytäntöönpanotoimiksi.

93.

Tietosuojavaltuutettu katsoo, että täytäntöönpanotoimien käsite on liian epämääräinen ja periaatteessa henkilöistä ei pitäisi tehdä mitään päätöstä pelkästään heidän tietojensa automaattisen käsittelyn perusteella (43). Tietosuojavaltuutettu suosittelee tekstin muuttamista vastaavasti.

94.

Ehdotuksen 5 artiklan 2 kohdassa on merkittävä tarkennus, sillä siinä tehdään selväksi, että lentoyhtiöitä ei velvoiteta keräämään eikä säilyttämään muita tietoja kuin ne, jotka on kerätty alkuperäiseen kaupalliseen tarkoitukseen.

95.

Useita näkökohtia kyseisessä tietojenkäsittelyssä on vielä syytä kommentoida:

Tietosuojavaltuutettu yhtyy tämän osalta 29 artiklan työryhmän lausunnossa esitettyihin huomautuksiin.

96.

EU:n ulkopuolelle sijoittautuneiden lentoyhtiöiden on tarjottava tietoja matkustajatietoyksiköille tai välittäjille, jos niiden käytössä on tarjonnan edellyttämä tekninen järjestelmä. Muutoin niiden on sallittava tietojen poiminta kysyntämenetelmän avulla.

97.

Tietojen erilaisten toimittamismenetelmien salliminen asianomaisista lentoyhtiöistä riippuen vain lisää vaikeuksia valvoa tietosuojasääntöjen noudattamista PNR-tietojen siirrossa. Tämä saattaa myös vääristää EU:n ja sen ulkopuolisten lentoyhtiöiden välistä kilpailua.

98.

Tietosuojavaltuutettu muistuttaa, että tarjontamenetelmä, jossa lentoyhtiöt voivat valvoa siirrettyjen tietojen laatua ja siirto-olosuhteita, on käsittelyn oikeasuhteisuuden kannalta ainoa hyväksyttävä menetelmä. Lisäksi tarjonnan on oltava todellista, mikä tarkoittaa, että tietoja ei pitäisi lähettää suurina kokonaisuuksina välittäjälle, vaan ne pitäisi seuloa heti käsittelyn alkuvaiheessa. Ei voida hyväksyä, että muita kuin tarpeellisia tietoja — ja tietoja, joita ei mainita ehdotuksen liitteessä 1 — lähetettäisiin kolmannelle osapuolelle edes silloin, kun sillä on tarkoitus poistaa tiedot välittömästi.

99.

Ehdotuksen 9 artiklassa säädetään, että PNR-tiedot säilytetään viiden vuoden ajan, minkä jälkeen ne pidetään kahdeksan vuotta passiivisessa tietokannassa, johon on rajoitettu pääsy.

100.

Tietosuojavaltuutettu asettaa kyseenalaiseksi näiden kahden tietokantatyypin eron: voidaan kysyä, onko passiivinen tietokanta todellinen arkisto, jossa käytetään erilaisia tiedon tallennus- ja hakumenetelmiä. Useimmat passiiviseen tietokantaan pääsyä koskevat edellytyksethän ovat turvallisuusvaatimuksia, joita voitaisiin yhtä hyvin soveltaa viiden vuoden tietokantaan.

101.

Säilytyksen kokonaiskesto — 13 vuotta — on joka tapauksessa liian pitkä. Vaikutustenarvioinnissa se perustellaan tarpeella kehittää riski-indikaattoreita ja todeta matkustusreittejä ja käyttäytymismalleja (46), joiden tehokkuutta ei vielä ole osoitettu. On selvää, että yksittäistapauksessa tietoja voidaan säilyttää niin kauan, kuin se on tarpeen tutkinnan ollessa kesken, mutta kaikkien matkustajien tietojen säilyttämistä 13 vuoden ajan kaiken epäilyksen puuttuessa ei voida perustella mitenkään.

102.

Lisäksi tietosuojavaltuutettu toteaa, että jäsenvaltioiden vastaukset komission kyselyyn eivät tue kyseistä säilytysaikaa, sillä niiden mukaan vaadittava keskimääräinen säilytysaika olisi 3,5 vuotta (47).

103.

Lisäksi 13 vuoden aika on verrattavissa viimeisimpään, Yhdysvaltojen kanssa tehtyyn sopimukseen sisältyvään 15 vuoden säilytysaikaan. Tietosuojavaltuutetulla on aina ollut se käsitys, että kyseiseen pitkään säilytysaikaan päädyttiin ainoastaan siksi, että Yhdysvaltojen hallitus painosti voimakkaasti huomattavasti 3,5 vuotta pidemmän ajan puolesta, eikä siksi, että neuvosto tai komissio olisivat missään vaiheessa puolustaneet sitä. Tällaista kompromissia, joka on perusteltu vain välttämättömänä neuvottelutuloksena, ei ole mitään syytä ottaa osaksi EU:n sisäistä oikeudellista välinettä.

104.

Ehdotuksen 14 artiklan nojalla perustettava jäsenvaltioiden komitea on toimivaltainen turvallisuusasioissa, yhteyskäytännöt ja PNR-tietojen salaus mukaan luettuina, mutta myös riskinarvioinnissa käytettäviä yhteisiä vaatimuksia, menetelmiä ja käytäntöjä koskevan ohjeistuksen osalta.

105.

Edellä mainittua lukuun ottamatta ehdotuksessa ei ole mitään mainintaa tai vaatimusta riskinarviointiprosessin konkreettisista edellytyksistä ja puitteista. Vaikutustenarvioinnin mukaan vaatimukset riippuvat viime kädessä kunkin jäsenvaltion hallussa olevasta tiedustelutiedosta, joka kehittyy jatkuvasti. Riskinarviointi on tarkoitus suorittaa ilman epäiltyjen tunnistamista koskevia yhtenäisiä normeja. On siis kyseenalaista, voiko jäsenvaltioiden komitealla olla asiassa merkittävä rooli.

106.

Ehdotuksessa mainitaan joukko turvatoimia (48), joita matkustajatietoyksiköiden, välittäjien ja muiden toimivaltaisten viranomaisten on toteutettava tietojen suojaamiseksi. Tietokannan merkittävyys ja käsittelyn arkaluonteisuus huomioon ottaen tietosuojavaltuutettu katsoo, että tietojen käsittelijän olisi suunniteltujen toimenpiteiden lisäksi myös virallisesti ilmoitettava sattuneista turvatoimien rikkomisista.

107.

Tietosuojavaltuutettu on tietoinen hankkeesta, joka koskee tällaisen EU:n tason ilmoitusmenettelyn perustamista sähköisen viestinnän alalla. Hän suosittelee, että ehdotukseen lisättäisiin vastaava suojatoimi, ja viittaa tässä yhteydessä Yhdysvalloissa valtion virastojen osalta käyttöön otettuun turvatoimien rikkomista koskevaan järjestelmään (49). Turvallisuuteen liittyviä välikohtauksia voi tapahtua kaikilla aloilla ja sekä yksityisellä että julkisella sektorilla, kuten nähtiin äskettäin tapahtuneesta kansalaisia koskevan kokonaisen tietokannan katoamisesta Yhdistyneen kuningaskunnan hallinnolta (50). Varoitusjärjestelmää sovellettaisiin ensisijaisesti ehdotuksessa suunnitellun kaltaisiin laajamittaisiin tietokantoihin.

108.

Tietosuojavaltuutettu panee merkille, että puitepäätöstä on tarkoitus tarkastella uudelleen kolmen vuoden kuluessa sen voimaantulosta komission laatiman kertomuksen pohjalta. Hän toteaa, että uudelleentarkastelussa, joka perustuu jäsenvaltioiden toimittamiin tietoihin, kiinnitetään erityistä huomiota tietosuojaa koskeviin suojatoimiin ja käsitellään tarjontamenettelyn toteuttamista, tietojen säilyttämistä ja riskinarvioinnin laatua. Jotta tarkastelu olisi kattava, siihen olisi sisällytettävä PNR-tietojen käsittelyn perusteella tuotettujen tilastotietojen analyysin tulokset. Tilastoihin olisi sisällyttävä ehdotuksen 18 artiklassa mainittujen tietojen lisäksi myös yksityiskohtaiset tilastotiedot riskihenkilöiden tunnistamisesta, esimerkiksi tunnistamisperusteet ja tunnistamisen johdosta toteutettujen lainvalvontatoimien konkreettiset tulokset.

109.

Tietosuojavaltuutettu korosti jo aiemmin tässä lausunnossa, että ehdotetun järjestelmän tarpeellisuutta ei ole perusteltu millään konkreettisilla seikoilla. Hän katsoo, että jos puitepäätös tästä huolimatta saatetaan voimaan, sitä olisi vähintään täydennettävä raukeamislausekkeella. Kolmen vuoden määräajan päätyttyä puitepäätös olisi kumottava, jos sen voimassaolon jatkamista ei voida perustella.

110.

Ehdotuksen loppusäännöksissä asetetaan ehto voimassa olevien kahden- tai monenvälisten sopimusten tai järjestelyjen voimassaolon jatkamiselle. Kyseisiä välineitä voidaan soveltaa vain, jos ne ovat ehdotetun puitepäätöksen tavoitteiden mukaisia.

111.

Tietosuojavaltuutetun mielestä säännöksen soveltamisala on kyseenalainen. Kuten vastavuoroisuutta koskevassa kohdassa V mainittiin, ei ole selvää, miten säännös tulee vaikuttamaan kolmansien maiden kanssa tehtyjen sopimusten, esimerkiksi Yhdysvaltojen kanssa tehdyn sopimuksen, sisältöön. Toisaalta ei ole myöskään selvää, voisiko säännös vaikuttaa laaja-alaisten välineiden, esimerkiksi Euroopan neuvoston yleissopimuksen N:o 108, soveltamisedellytyksiin. Asia saattaa vaikuttaa epätodennäköiseltä ottaen huomioon erilainen institutionaalinen yhteys ja siihen liittyvät toimijat, mutta väärintulkinnan vaaraa olisi vältettävä ja ehdotuksessa olisi tehtävä selväksi, ettei sillä ole mitään vaikutuksia laaja-alaisiin välineisiin, erityisesti sellaisiin, jotka koskevat perusoikeuksien suojelua.

112.

Tietosuojavaltuutettu korostaa, että käsiteltävällä ehdotuksella on merkittäviä vaikutuksia tietosuojan kannalta. Hän keskittyi analyysissaan neljään ehdotuksen herättämään perustavaan kysymykseen ja tähdentää, että niitä on käsiteltävä kokonaisvaltaisesti. Tällä hetkellä ehdotus ei ole perusoikeuksien mukainen, erityisesti unionin perusoikeuskirjan 8 artiklan mukainen, eikä sitä pitäisi hyväksyä.

113.

Jos edellä esitettyjä huomautuksia ja erityisesti oikeutusta koskevia perusteita halutaan noudattaa, lainsäätäjän olisi otettava huomioon tässä lausunnossa esitetyt tekstinlaadinnalliset ehdotukset. Viitattakoon erityisesti lausunnon kohtiin 67, 73, 77, 80, 90, 93, 106, 109 ja 111.

114.

Vaikka terrorismin ja järjestäytyneen rikollisuuden torjunnan yleinen tavoite on sinänsä selkeä ja oikeutettu, toteutettavan käsittelyn pääosa ei ole riittävän rajattu ja perusteltu.

115.

Tietosuojavaltuutettu katsoo, että tekniikkoja, joissa henkilöiden aiheuttamaa riskiä arvioidaan analysoivan tiedonhaun ja käyttäytymismallien avulla, on vielä arvioitava ja niiden hyödyllisyys terrorismin torjunnan yhteydessä on selkeästi osoitettava ennen niiden käyttämistä näin laajasti.

116.

Eri tietokantoihin tukeutuminen ilman kokonaisnäkemystä konkreettisista tuloksista ja puutteista:

117.

Terrorismin torjuminen voi varmasti olla oikeutettu peruste soveltaa poikkeuksia yksityisyyttä ja tietosuojaa koskevista perusoikeuksista. Yksityisyyteen puuttumisen välttämättömyys on kuitenkin perusteltava selkeillä ja kiistattomilla seikoilla, ja käsittelyn oikeasuhteisuus on osoitettava. Tämä on sitäkin tarpeellisempaa, kun kyseessä on laajamittainen henkilöiden yksityisyyteen puuttuminen, kuten ehdotuksessa on suunniteltu.

118.

Tällaiset perustelut puuttuvat ehdotuksesta, ja tarpeellisuus- ja suhteellisuusperusteet eivät täyty.

119.

Tietosuojavaltuutettu painottaa, että edellä käsiteltyjen tarpeellisuus- ja suhteellisuusperusteiden täyttyminen on olennaisen tärkeää. Se on ehdoton edellytys ehdotuksen voimaantulolle.

120.

Tietosuojavaltuutettu panee merkille vakavan oikeusvarmuuden puutteen järjestelyissä, joita sovelletaan hankkeeseen osallistuviin eri toimijoihin ja erityisesti lentoyhtiöihin ja muihin ensimmäisen pilarin toimijoihin, olivatpa kyseessä ehdotuksen säännöt, tietosuojapuitepäätöksen säännöt tai direktiivin 95/46/EY kansallinen täytäntöönpanolainsäädäntö. Lainsäätäjän olisi tehtävä selväksi, missä käsittelyn vaiheissa eri sääntöjä sovelletaan.

121.

Tämänhetkinen suuntaus velvoittaa järjestelmällisesti yksityiset toimijat tekemään yhteistyötä lainvalvonnassa, mikä herättää kysymyksen siitä, mitä tietosuojan kehyssäännöksiä (ensimmäistä vai kolmatta pilaria) sovelletaan kyseisen yhteistyön edellytyksiin: ei ole selvää, olisiko sääntöjen perustuttava rekisterinpitäjän luonteeseen (yksityinen sektori) vai käsittelyn tarkoitukseen (lainvalvonta).

122.

Tietosuojavaltuutettu on jo korostanut vaaraa ensimmäisen ja kolmannen pilarin toimien välisestä lainsäädäntöaukosta (51). Ei todellakaan ole selvää, kuuluvatko yksityisten yritysten jollakin tavoin rikoslainsäädännön noudattamisen valvontaan liittyvät toimet Euroopan unionin lainsäätäjän toimialaan SEU:n 30, 31 ja 34 artiklan nojalla.

123.

Tilannetta, jossa palveluntarjoajien eri tarkoituksia varten suorittamiin käsittelyihin sovellettaisiin eri tietosuojasääntöjä, olisi vältettävä ottaen erityisesti huomioon vaikeudet, joita siitä aiheutuisi rekisteröityjen oikeuksien käyttämisen kannalta.

124.

Ehdotuksessa pitäisi säätää lentoyhtiöiden keräämien henkilötietojen vastaanottajien luonteesta, olivatpa vastaanottajat välittäjiä, matkustajatietoyksiköitä tai toimivaltaisia viranomaisia.

125.

Vastaanottajan, joka voi joissakin tapauksissa olla yksityisen sektorin toimija, luonne on suoraan yhteydessä siihen, millaisia tietosuojatakeita kyseisen vastaanottajan osalta sovelletaan. On olennaista, että sovellettava järjestelmä on selkeä kaikille toimijoille, mukaan lukien lainsäätäjä, tietosuojaviranomaiset sekä rekisterinpitäjät ja rekisteröidyt, joita asia koskee.

126.

Tietosuojavaltuutettu korostaa, että on varmistettava tietosuojan riittävä taso vastaanottajamaassa. Hän asettaa myös kyseenalaiseksi ehdotuksessa mainitun ”vastavuoroisuusperiaatteen” merkityksellisyyden ja sen soveltamisen maihin, joita jo sitoo sopimus EU:n kanssa, kuten Kanadaan ja Yhdysvaltoihin. Hän pitää äärimmäisen tärkeänä, että PNR-tietojen siirtoa kolmansiin maihin koskevat edellytykset ovat johdonmukaisia ja niissä noudatetaan yhtenäistä suojatasoa.

127.

Tietosuojavaltuutettu myös kiinnittää lainsäätäjän huomion ehdotuksen erityisiin näkökohtiin, joita on vielä tarkennettava tai joissa tietosuojan periaate on otettava paremmin huomioon. Tämä koskee erityisesti seuraavia näkökohtia:

128.

Tietosuojavaltuutettu huomauttaa, että ehdotus on esitetty ajankohtana, jona Euroopan unionin institutionaalinen rakenne on muuttumassa perustavasti. Lissabonin sopimus vaikuttaa ratkaisevalla tavalla päätöksentekoon ja erityisesti parlamentin rooliin.

129.

Koska ehdotuksella on ennennäkemättömiä vaikutuksia perusoikeuksiin, tietosuojavaltuutettu suosittelee, ettei sitä hyväksyttäisi nykyisten perussopimusten voimassaoloaikana, vaan varmistettaisiin, että päätös tehdään uuden sopimuksen mukaisessa yhteispäätösmenettelyssä. Näin vahvistettaisiin oikeudellisia perusteita, joiden pohjalta ehdotuksessa suunnitellut ratkaisevat toimenpiteet toteutettaisiin.

1.

valtion turvallisuuden, yleisen turvallisuuden, valtion rahatalouden etujen suojaamiseksi tai rikosten ehkäisemiseksi,

2.

rekisteröidyn tai muiden henkilöiden oikeuksien ja vapauksien turvaamiseksi.”