29.12.2010   

FI

Euroopan unionin virallinen lehti

C 355/10

1.

Komissio hyväksyi 15 päivänä kesäkuuta 2010 ehdotuksen neuvoston päätökseksi terrorismin rahoituksen jäljittämisohjelmaa (TFTP II) varten tapahtuvaa rahaliikenteen sanomanvälitystietojen käsittelyä ja siirtämistä Euroopan unionista Yhdysvaltoihin koskevan Euroopan unionin ja Amerikan yhdysvaltojen välisen sopimuksen tekemisestä (jäljempänä ehdotus). Ehdotus (mukaan lukien luonnos Yhdysvaltojen kanssa tehtävästä sopimuksesta) lähetettiin Euroopan tietosuojavaltuutetulle lausuntoa varten. Euroopan tietosuojavaltuutettu on tyytyväinen siihen, että häntä kuullaan, ja suosittelee, että ehdotuksen johdanto-osaan sisällytetään viittaus tähän lausuntoon.

2.

Komission ehdotuksen taustalla ovat SWIFTin (3) arkkitehtuuriin tehdyt muutokset, joiden seurauksena Euroopan talousalueella ja Sveitsissä lähetettävät SWIFTin rahaliikenneviestit pysyvät 1 päivästä tammikuuta 2010 lähtien eurooppalaisella alueella – joka eroaa transatlanttisesta alueesta – eivätkä enää näy Yhdysvaltain toimintakeskuksessa.

3.

Komissio suunnittelee tällä ehdotuksella EU:n ja Yhdysvaltojen välille kansainvälistä sopimusta, joka edellyttäisi Euroopan unionin toiminnasta tehdyn sopimuksen 216 artiklan (kansainväliset sopimukset), 82 artiklan (oikeudellinen yhteistyö) ja 87 artiklan (poliisiyhteistyö) nojalla sellaisten merkittävien rahaliikenteen sanomanvälitystietojen siirtoa Yhdysvaltojen valtiovarainministeriöön, joita ministeriö tarvitsee terrorismin rahoituksen jäljittämisohjelmaansa varten.

4.

Uudessa luonnoksessa pyritään ottamaan huomioon erityisesti henkilötietojen suojaan liittyvät huolet, erityisesti kun Euroopan parlamentti päätti 11 päivänä helmikuuta 2010 olla hyväksymättä 30 päivänä marraskuuta 2009 tehtyä väliaikaista sopimusta. Henkilötietojen suoja on perusoikeus, josta tuli entistä tärkeämpi Euroopan unionin oikeudellisessa kehyksessä Lissabonin sopimuksen tultua voimaan.

5.

Ehdotuksessa painotetaan tietosuojan tärkeyttä viittaamalla yksiselitteisesti perussopimusten ja muiden kansainvälisten sopimusten asianmukaisiin artikloihin ja toteamalla sen olevan perusoikeus. Siinä ei kuitenkaan suunnitella SEUT 16 artiklan käyttöä oikeusperustana, vaikka ehdotetun sopimuksen 1 artiklan 1 kohdassa korostetaan, että korkeatasoinen tietosuoja on yksi sopimuksen tärkeimmistä tavoitteista. Tältä osin Euroopan tietosuojavaltuutettu toistaa, ettei sopimuksessa ole kyse ainoastaan henkilötietojen vaihdosta vaan myös niiden suojelusta. SEUT 16 artikla olisi näin ollen yhtä tärkeä oikeusperusta kuin lainvalvonnan alalla tehtävää yhteistyötä koskeva oikeusperustaksi valittu SEUT 82 ja 87 artikla.

6.

Ehdotukseen sovelletaan SEUT 218 artiklan 6 kohdan mukaista menettelyä. Tämän menettelyn mukaan neuvosto voi tehdä päätöksen sopimuksen tekemisestä vasta saatuaan Euroopan parlamentin hyväksynnän. Tämä sopimus on näin ollen ratkaisevan tärkeä ”testitapaus” siitä, miten Lissabonin sopimuksen mukaisia uusia menettelyjä sovelletaan henkilötietojen suojaa koskevaan kansainväliseen sopimukseen. Varmistamalla, että tietosuojan periaatteet ja suojakeinot esitetään riittävän hyvin tässä sopimuksessa, voidaan tasoittaa tietä myöhempien neuvottelujen onnistumiselle.

7.

Tässä yhteydessä Euroopan tietosuojavaltuutettu korostaa, kuinka tärkeää on neuvotella Euroopan unionin ja Yhdysvaltojen välillä sopimus henkilötietojen suojasta silloin, kun niitä siirretään ja käsitellään rikosten – mukaan lukien terrorismi – ehkäisemistä, tutkintaa, havaitsemista tai syytteeseenpanoa varten poliisiyhteistyön ja rikosasioissa tehtävän oikeudellisen yhteistyön puitteissa. Komissio hyväksyi 26 päivänä toukokuuta 2010 luonnoksen neuvotteluohjeiksi tällaisten neuvottelujen käynnistämistä varten. Tämän neuvotteluohjeluonnoksen esittelyssä komissio painotti, että sopimuksen henkilötietojen suojasta on oltava vankka. (4)

8.

Tätä taustaa vasten Euroopan tietosuojavaltuutettu suosittelee, että ehdotukseen lisätään selkeä kytkös neuvotteluihin, joita käydään Yhdysvaltojen kanssa yleisestä transatlanttisesta tietosuojakehyksestä. On syytä varmistaa, että näitä vaatimuksia sovelletaan myös TFTP II -sopimukseen. Euroopan tietosuojavaltuutettu suosittelee, että tämä vaatimus sisällytetään sopimukseen tai ainakin sovitaan Yhdysvaltojen hallituksen kanssa, että mahdollinen myöhempi tietosuojasopimus kattaisi tämän ehdotuksen mukaisen tietojenvaihdon.

9.

Euroopan tietosuojavaltuutettu osallistuu aktiivisesti 29 artiklan mukaisen tietosuojatyöryhmän ja poliisi- ja oikeusasioita käsittelevän työryhmän kannanottojen laadintaan. Näissä kannanotoissa esitettyjen tai esitettävien seikkojen lisäksi tässä lausunnossa analysoidaan käsiteltävänä olevaa ehdotusta niiden huomautusten pohjalta, joita Euroopan tietosuojavaltuutettu on jo aiemmin tehnyt väliaikaisesta sopimuksesta ja Yhdysvaltojen kanssa käynnissä olevista neuvotteluista.

10.

Euroopan tietosuojavaltuutettu toteaa, että ehdotus sisältää joitakin olennaisia parannuksia suhteessa väliaikaiseen TFTP I -sopimukseen. Näitä ovat muun muassa seuraavat seikat:

11.

Lisäksi Euroopan parlamentin ja Euroopan tietosuojaviranomaisten pyynnöstä ehdotus sisältää sarjan määräyksiä (14–18 artikla), joissa käsitellään rekisteröidyn oikeuksia, kuten oikeutta saada tietoa, päästä tietoihin, oikeutta tietojen oikaisuun, poistamiseen tai suojaamiseen sekä oikeutta hakea muutosta. Näiden määräysten täytäntöönpanokelpoisuus ja menettelyt, joita muiden kuin Yhdysvaltojen kansalaisten tai Yhdysvalloissa asuvien henkilöiden on noudatettava, ovat kuitenkin vielä epäselvät (ks. jäljempänä II.2.3 kohta).

12.

Euroopan tietosuojavaltuutettu on täysin samaa mieltä tarpeesta varmistaa ehdotuksen 1 artiklan 1 kohdassa esitetyllä tavalla yksityisyyden suoja ja henkilötietojen suoja. Tätä varten Euroopan tietosuojavaltuutettu tuo esiin, että EU:n henkilötietojen suojaa koskevan lainsäädännön vaatimusten täyttämiseksi on vielä käsiteltävä joitakin avoimia kysymyksiä ja tehtävä parannuksia joihinkin keskeisiin kohtiin.

13.

Euroopan tietosuojavaltuutettu on täysin selvillä siitä, että terrorismin ja sen rahoituksen torjunta saattaa vaatia rajoittamaan henkilötietojen suojaa koskevaa oikeutta ja pankkisalaisuusmääräyksiä. Näin on jo tapahtunut joissakin EU:n säännöksissä, (6) joissa on lukuisin toimenpitein pyritty estämään rahoitusjärjestelmän väärinkäyttö rahanpesutarkoituksiin ja terrorismin rahoitukseen. Näissä asiakirjoissa on myös erityissäännöksiä tiedonvaihdon sallimiseksi kolmansien maiden viranomaisten kanssa sekä suojatoimia henkilötietojen suojaamiseksi direktiivin 95/46/EY mukaisesti.

14.

EU:n ja Yhdysvaltojen keskinäisessä oikeusapusopimuksessa yksiselitteisesti sallitaan pankkitileihin ja rahaliikenteeseen liittyvien tietojen vaihto EU:n ja Yhdysvaltojen lainvalvontaviranomaisten välillä ja asetetaan ehtoja ja rajoituksia tälle vaihdolle. Kansainvälisellä tasolla on myös niin kutsutut Egmont-periaatteet, (7) jotka muodostavat perustan rahaliikennetietojen kansainväliselle vaihdolle rahanpesun selvittelykeskusten välillä, samalla kun niissä asetetaan rajoituksia ja suojatoimia vaihdettujen tietojen käytölle. Lisäksi Yhdysvallat on jo tehnyt Europolin ja Eurojustin kanssa sopimukset, jotka varmistavat sekä tietojen vaihdon että henkilötietojen suojan.

15.

Tätä taustaa vasten komission ehdotuksessa tuodaan selkeästi esiin TFTP-ohjelman hyödyllisyys, kuten Yhdysvaltojen valtiovarainministeriön ja ”arvovaltaisen henkilön” raporteissa todetaan. Euroopan ihmisoikeussopimuksen 8 artiklassa asetetaan kuitenkin yksityiselämään puuttumisen edellytykseksi toiminnan ”välttämättömyys” eikä sen ”hyödyllisyys”.

16.

Euroopan tietosuojavaltuutetun mielestä tämän sopimuksen tuomasta todellisesta lisäarvosta tarvitaan riittävästi näyttöä, kun otetaan huomioon jo olemassa olevat välineet. Toisin sanoen, kuinka paljon tätä sopimusta todella tarvitaan sellaisten tulosten saamiseksi, joita voitaisiin saada yksityisyyttä vähemmän loukkaavilla välineillä, kuten niillä, jotka ovat jo olemassa EU:ssa ja kansainvälisellä tasolla? Euroopan tietosuojavaltuutetun mielestä kaikkien rahaliikennetietojen vaihdosta Yhdysvaltojen kanssa tehtävien sopimusten edellytykseksi pitäisi asettaa sopimuksen tuoman lisäarvon selkeä osoittaminen ottaen huomioon sen, miten paljon sopimus loukkaa yksityisyyttä (ks. myös oikeasuhteisuutta koskeva 18–22 kohta).

17.

Euroopan tietosuojavaltuutettu ei pysty arvioimaan tämän sopimuksen välttämättömyyttä. Mutta vaikka sopimus osoitettaisiin välttämättömäksi, neuvottelijoiden tulisi kiinnittää huomiota muihinkin seikkoihin.

18.

Oikeasuhteisuus on tärkein peruste arvioitaessa siirrettävien henkilötietojen määrää ja säilytysaikaa. Ehdotuksen 4 artiklassa rajoitetaan Yhdysvaltojen pyyntöjen laajuutta. Ehdotuksessa kuitenkin edelleen esitetään, että henkilötietoja siirretään Yhdysvaltojen viranomaisille suuria määriä ja säilytetään periaatteessa viisi vuotta riippumatta siitä, onko niitä valikoitu tai onko niillä todistetusti yhteyttä johonkin tiettyyn tutkintaan tai syytteeseenpanoon.

19.

Euroopan parlamentin ja Euroopan tietosuojaviranomaisten pyynnöistä huolimatta ehdotuksessa lähdetään edelleen siitä, että henkilötietoja siirretään Yhdysvaltojen valtiovarainministeriöön suuria määriä kerralla. Tältä osin on tärkeää selventää, että EU:n tietosuojalainsäädännön mukaan se, ettei SWIFT-järjestelmästä voida hakea tietoja kohdennetusti, ei riitä perusteeksi tietojen tukkusiirtojen laillistamiselle.

20.

Näin ollen Euroopan tietosuojavaltuutetun mielestä pitäisi löytää ratkaisuja tukkusiirtojen korvaamiseksi mekanismeilla, jotka mahdollistavat rahaliikennetietojen suodattamisen EU:ssa ja vain tärkeiden ja välttämättömien tietojen lähettämisen Yhdysvaltojen viranomaisille. Jos tällaisia ratkaisuja ei voida löytää heti, sopimuksessa pitäisi joka tapauksessa asettaa lyhyt siirtymäaika, jonka jälkeen tukkusiirtoja ei enää sallittaisi.

21.

Euroopan tietosuojavaltuutettu toteaa, että ehdotuksessa määrätään asianmukaisesti enimmäisajat tietojen säilyttämiselle ja mekanismit, jotka varmistavat henkilötietojen poistamisen, kun niitä ei enää tarvita. Ehdotuksen 6 artiklan valikoimattomia tietoja koskevat määräykset vaikuttavat kuitenkin poikkeavan tästä linjasta. Ensinnäkin ”valikoimattomien tietojen” käsite ei ole itsestään selvä, vaan sitä pitäisi tarkentaa. Toiseksi sitä, miksi valikoimattomia tietoja on säilytettävä viisi vuotta, ei ole perusteltu.

22.

Euroopan tietosuojavaltuutettu ymmärtää hyvin, että tiettyä terrorismin vastaista tutkintaa tai syytteeseenpanoa varten tarvittavia henkilötietoja on voitava käyttää, käsitellä ja säilyttää niin kauan kuin niitä tarvitaan, toisinaan jopa yli viisi vuotta, kun henkilötietoja saateta tarvita pitkäkestoisissa tutkinnoissa tai oikeudenkäynneissä. Mutta jos valikoimattomat tiedot ovat sellaisia, jotka on siirretty tukkusiirtoina ja joita ei ole käytetty mihinkään tiettyyn tutkintaan tai syytteeseenpanoon, näiden tietojen säilytysajan pitäisi olla paljon lyhyempi. Tässä yhteydessä on hyvä tuoda esiin, että Saksan liittovaltion perustuslakituomioistuin on katsonut, että teleliikennetietojen kohdalla kuuden kuukauden säilytysaika on jo pitkä ja vaatii riittävät perustelut. (8) Perustuslakituomioistuin näyttää katsovan kuutta kuukautta pisimpänä mahdollisena säilytysaikana sellaisille tiedoille, jotka eivät liity mihinkään tiettyyn tutkintaan.

23.

Neuvotteluohjeiden mukaan oikeusviranomaisen olisi otettava vastaan Yhdysvaltojen valtiovarainministeriön pyynnöt, arvioitava niiden yhdenmukaisuus sopimuksen kanssa ja tarvittaessa vaadittava palveluntarjoajaa siirtämään tiedot suoraan ”työntöjärjestelmän” perusteella. Sekä Euroopan parlamentti että Euroopan tietosuojavaltuutettu pitivät hyvänä tätä lähestymistapaa, joka takaa – jäsenvaltioiden kansallisten perustuslakien ja oikeusjärjestelmien mukaisesti – lainmukaisen ja tasapainoisen tietojen siirron sekä riippumattoman valvonnan.

24.

Ehdotuksessa tämä tehtävä annetaan kuitenkin Europolille, joka on vähintään kahteen jäsenvaltioon vaikuttavan järjestäytyneen rikollisuuden, terrorismin ja muiden vakavan rikollisuuden muotojen ehkäisemistä ja torjuntaa varten perustettu EU:n virasto. (9) Europol ei selvästikään ole mikään oikeusviranomainen.

25.

Lisäksi Europolilla on erityisiä intressejä henkilötietojen vaihdossa sopimusehdotuksen perusteella. Ehdotuksen 10 artiklassa annetaan Europolille oikeus pyytää TFTP:n kautta saatuja tietoja, jos sillä on syytä uskoa, että jollakin henkilöllä tai yhteisöllä on yhteys terrorismiin. On vaikeaa sovittaa yhteen tämä Europolin oikeus, joka saattaa olla tärkeä Europolin tehtävän täyttämiseksi ja joka edellyttää hyviä suhteita Yhdysvaltojen valtiovarainministeriöön, ja Europolin velvollisuus varmistaa riippumaton valvonta.

26.

Euroopan tietosuojavaltuutettu myös ihmettelee, missä määrin nykyisessä oikeudellisessa kehyksessä annetaan Europolille – erityisesti muuttamatta sen oikeusperustaa Lissabonin sopimuksessa määritellyn tavanomaisen menettelyn mukaisesti – valta määritellä kolmannesta maasta tuleva hallinnollinen pyyntö ”sitovaksi” (4 artiklan 5 kohta) suhteessa yksityisyritykseen, joka näin ”valtuutetaan ja velvoitetaan” antamaan tietoja asianomaiselle kolmannelle maalle. Tässä yhteydessä on syytä tuoda esiin, että nykyisestä EU:n lainsäädännöstä ei käy selkeästi ilmi, kuuluuko yksityisyritystä koskeva Europolin päätös Euroopan yhteisöjen tuomioistuimen oikeudellisen valvonnan piiriin.

27.

Tätä taustaa vasten Euroopan tietosuojavaltuutettu toistaa, että myös neuvotteluohjeiden ja nykyisen EU:n lainsäädännön noudattamiseksi pitäisi Yhdysvaltojen valtiovarainministeriön pyyntöjen arviointi antaa oikeudellisen viranomaisen tehtäväksi.

28.

Kuten tämän lausunnon johdannossa jo mainittiin, ehdotuksessa on sarja rekisteröityjen oikeuksia, kuten oikeus saada tietoa, oikeus päästä tietoihin, oikeus tietojen oikaisuun, poistamiseen ja suojaan sekä oikeus hakea muutosta. On kuitenkin tärkeää yhtäältä parantaa näitä määräyksiä joiltakin osin ja toisaalta varmistaa näiden määräysten täytäntöönpanokelpoisuus.

29.

Sopimuksessa on useita rajoituksia oikeuteen päästä omiin henkilötietoihin. Euroopan tietosuojavaltuutettu myöntää, että erityisesti terrorismin torjunnan alalla rekisteröityjen oikeuksia voidaan rajoittaa, silloin kun se on välttämätöntä. Ehdotuksessa pitäisi kuitenkin tehdä selväksi, että vaikka henkilötietojen luovuttamista asianomaiselle henkilölle voidaan rajoittaa 15 artiklan 2 kohdassa mainituissa tilanteissa, nämä tiedot pitäisi voida aina luovuttaa Euroopan tietosuojaviranomaisille, jotta nämä voisivat suorittaa tehokkaasti valvontatehtäväänsä. Tietosuojaviranomaisia sitoo tietenkin salassapitovelvollisuus, eivätkä ne luovuta kyseisiä tietoja asianomaiselle henkilölle, niin kauan kuin poikkeuksen edellytykset täyttyvät.

30.

Oikeudesta henkilötietojen oikaisuun 17 artiklan 2 kohdassa määrätään seuraavaa: ”Kummankin osapuolen on mahdollisuuksien mukaan ilmoitettava toiselle osapuolelle, jos sen tietoon tulee, että sen toiselle osapuolelle tämän sopimuksen nojalla siirtämät tai tältä saadut olennaiset tiedot ovat virheellisiä tai epäluotettavia”. Euroopan tietosuojavaltuutettu uskoo, että velvollisuus oikaista virheellisiä tai epäluotettavia tietoja on olennainen tae paitsi rekisteröidylle myös lainvalvontaviranomaisille, joiden toiminnan tehokkuuteen se vaikuttaa. Tietoja vaihtavien viranomaisten pitäisikin luoda mekanismeja sen varmistamiseksi, että tällainen oikaiseminen on aina mahdollista, jolloin ehdotuksesta pitäisi poistaa sanat ”mahdollisuuksien mukaan”.

31.

Euroopan tietosuojavaltuutetun suurimmat huolet liittyvät kuitenkin näiden oikeuksien täytäntöönpanokelpoisuuteen käytännössä. Oikeusvarmuuden ja avoimuuden takia ehdotuksessa pitäisi tarkentaa, millä konkreettisilla menettelyillä rekisteröidyt voivat käyttää sopimuksessa vahvistettuja oikeuksia niin EU:ssa kuin Yhdysvalloissakin.

32.

Toisaalta 20 artiklan 1 kohdassa todetaan selkeästi seuraavaa: ”Tällä sopimuksella ei luoda tai myönnetä millekään yksityiselle tai julkiselle henkilölle tai yhteisölle minkäänlaisia oikeuksia tai etuja”. Euroopan tietosuojavaltuutettu panee merkille, että tämä määräys vaikuttaa kumoavan tai ainakin kyseenalaistavan niiden sopimuksen määräysten sitovan vaikutuksen, joilla rekisteröidyille annetaan oikeuksia, joita ei vielä tunnusteta eikä voida panna täytäntöön Yhdysvaltojen lakien nojalla, erityisesti silloin kun rekisteröidyt eivät ole Yhdysvaltojen kansalaisia tai asu maassa pysyvästi. Esimerkiksi Yhdysvaltojen yksityisyydensuojalaissa annetaan ehdollinen oikeus päästä henkilötietoihin, ja se on vahvempi kuin suurelle yleisölle tiedonvapauslaissa annettu yleinen tiedonsaantioikeus. Yhdysvaltojen yksityisyydensuojalaissa kuitenkin säädetään, että ainoastaan Yhdysvaltojen kansalainen tai maassa laillisesti asuva ulkomaalainen voi päästä omiin henkilötietoihinsa (10).

33.

Näin ollen Euroopan tietosuojavaltuutettu suosittelee, että 20 artiklan 1 kohdan sanamuotoa tarkistetaan ja varmistetaan, että ehdotuksen antamat oikeudet esitetään selkeästi ja että ne ovat tehokkaasti pantavissa täytäntöön myös Yhdysvalloissa.

34.

Ehdotuksen 12 artiklassa esitetään, miten sopimuksen ehtoja ja suojatoimia valvotaan eri tasoilla. ”Riippumattomat valvojat” seuraavat reaaliaikaisesti ja jälkikäteen Yhdysvaltojen valtiovarainministeriön tekemiä hakuja. Lisäksi ”Euroopan komission nimittämä riippumaton henkilö” seuraa jatkuvasti ensimmäisen tason valvontaa, myös sen riippumattomuutta. Olisi syytä tarkentaa, mitkä ovat riippumattoman henkilön tehtävät, ja miten varmistetaan, että hän voi toteuttaa tehtävänsä, sekä kenelle hän raportoi.

35.

Lisäksi 13 artiklassa luodaan yhteisen tarkastelun mekanismi. Yhteinen tarkastelu toteutetaan kuuden kuukauden kuluttua sopimuksen voimaantulopäivästä ja sen jälkeen säännöllisin väliajoin. Yhteisen tarkastelun toteuttaa EU:n ja Yhdysvaltojen yhteinen valtuuskunta, johon kuuluu EU:n puolelta edustajia kahdesta tietosuojaviranomaisesta, ja siitä laaditaan kertomus, jonka komissio esittää Euroopan parlamentille ja neuvostolle.

36.

Euroopan tietosuojavaltuutettu korostaa, että riippumaton valvonta on olennainen osa oikeutta henkilötietojen suojaan sellaisena kuin se vahvistetaan SEUT 16 artiklassa ja unionin perusoikeuskirjan 8 artiklassa. Unionin tuomioistuin määritteli hiljattain asiassa komissio vastaan Saksa 9 päivänä maaliskuuta 2010 antamassaan tuomiossa (11) tiukat arviointiperusteet riippumattomuudelle. Samoja tiukkoja arviointiperusteita ei tietenkään voida soveltaa kolmansiin maihin, mutta on yhtä lailla selvää, ettei henkilötietoja voida suojata kunnolla (12) ilman riittäviä takeita riippumattomasta valvonnasta. Sama edellytys koskee kansainvälisiä sopimuksia sellaisten maiden kanssa, joiden oikeusjärjestelmässä ei vaadita riippumattoman viranomaisen suorittamaa valvontaa.

37.

Näin ollen on ratkaisevan tärkeää, että ainakin valvonnan ja yhteisen tarkastelun yksityiskohtaiset säännöt sekä valvontaan osallistuvien henkilöiden valtuudet ja takeet heidän riippumattomuudestaan määritellään selkeästi sopimuksessa. Ei siis riitä, että osapuolet ”sovittavat ne yhteistyössä yhteen” tai määrittelevät ne myöhemmässä vaiheessa. Etenkin on tärkeää varmistaa, että sekä Euroopan komission nimittämä henkilö että Euroopan tietosuojaviranomaisten edustajat voivat toimia riippumattomasti ja toteuttaa tehokkaasti valvontatehtävänsä.

38.

Lisäksi ei riitä, että ehdotuksessa vahvistetaan ensimmäisen yhteisen tarkastelun ajankohta, joka on kuuden kuukauden kuluttua sopimuksen voimaantulopäivästä, vaan siinä pitäisi laatia aikataulu myös myöhemmille tarkasteluille, esimerkiksi että niitä pitäisi tehdä kerran vuodessa. Euroopan tietosuojavaltuutettu suosittelee myös, että näiden yhteisten tarkastelujen tulokset kytketään sopimuksen kestoon.

39.

Tässä yhteydessä Euroopan tietosuojavaltuutettu korostaa, että sopimukseen olisi hyvä lisätä raukeamislauseke. Tämä olisi hyvä siksikin, että pitkällä aikavälillä saatetaan saada käyttöön kohdennetumpia ratkaisuja. Raukeamislauseke voisi myös kannustaa panostamaan tällaisten ratkaisujen kehittämiseen siten, ettei tietoja tarvitsisi enää lähettää suuria määriä kerralla Yhdysvaltojen valtiovarainministeriöön.

40.

Valvonnan ja yhteisen tarkastelun tehostamiseksi olisi oltava saatavilla tietoa tietojen saanti- ja muutospyyntöjen määrästä, mahdollisista jatkotoimista (kuten tietojen poistoista ja oikaisuista) sekä rekisteröityjen oikeuksia rajoittaneiden päätösten määrästä. Samaten tarkastelujen osalta olisi saatava ja raportoitava tietoja paitsi Yhdysvaltojen valtiovarainministeriön ”käsittelemien” sanomien määrästä myös ministeriölle ”toimitettujen” sanomien määrästä. Tämä pitäisi tarkentaa sopimuksessa.

41.

Ehdotuksella ei saisi mitenkään rajoittaa Euroopan tietosuojaviranomaisten valtuuksia ja toimivaltaa. Euroopan tietosuojavaltuutettu panee merkille, että tässä asiassa ehdotus on huonompi kuin väliaikainen TFTP-sopimus. Edellisen sopimuksen johdanto-osassa esitettiin, että ”tämä sopimus ei sisällä poikkeuksia jäsenvaltioiden tietosuojaviranomaisten toimivaltaan suojella henkilöitä, kun näiden henkilötietoja käsitellään”, mutta ehdotuksessa esitetään vain, että henkilötietoja käsitellään ”toimivaltaisten tietosuojaviranomaisten valvonnassa tämän sopimuksen yksittäisten määräysten mukaisesti”. Tästä syystä Euroopan tietosuojavaltuutettu suosittelee, että ehdotuksessa todettaisiin selkeästi, ettei sopimus sisällä poikkeuksia Euroopan tietosuojaviranomaisten toimivaltaan tai rajoita sitä.

42.

Euroopan tietosuojavaltuutettu toteaa, että tämä ehdotus sisältää joitakin olennaisia parannuksia suhteessa väliaikaiseen TFTP I -sopimukseen, kuten sen, että SEPA-tiedot on jätetty ehdotuksen ulkopuolelle, terrorismin määritelmää on rajattu ja rekisteröityjen oikeuksia on tarkennettu.

43.

Euroopan tietosuojavaltuutettu panee kuitenkin merkille, että uuden TFTP-sopimuksen legitiimiyden arvioinnin olennaisen edellytyksen olisi täytyttävä. Suunnitellun toimen välttämättömyys on osoitettava suhteessa jo olemassa oleviin EU:n välineisiin ja kansainvälisiin välineisiin.

44.

Jos tämä voitaisiin osoittaa, Euroopan tietosuojavaltuutettu tuo esiin, että EU:n henkilötietojen suojaa koskevan lainsäädännön vaatimusten täyttämiseksi olisi vielä käsiteltävä joitakin avoimia kysymyksiä ja tehtävä parannuksia joihinkin keskeisiin kohtiin. Niitä ovat muun muassa seuraavat: