9.2.2012   

FI

Euroopan unionin virallinen lehti

C 35/16


Euroopan tietosuojavaltuutetun lausunto ehdotuksesta neuvoston päätökseksi matkustajarekisteritietojen käyttöä ja siirtämistä Yhdysvaltojen sisäisen turvallisuuden ministeriölle koskevan Amerikan yhdysvaltojen ja Euroopan unionin sopimuksen tekemisestä

2012/C 35/03

EUROOPAN TIETOSUOJAVALTUUTETTU, joka

ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen ja erityisesti sen 16 artiklan,

ottaa huomioon Euroopan unionin perusoikeuskirjan ja erityisesti sen 7 ja 8 artiklan,

ottaa huomioon 24 päivänä lokakuuta 1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (1),

ottaa huomioon 18 päivänä joulukuuta 2000 annetun Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 45/2001 yksilöiden suojelusta yhteisöjen toimielinten ja elinten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (2) sekä erityisesti sen 41 artiklan,

ON ANTANUT SEURAAVAN LAUSUNNON:

1.   JOHDANTO

1.1   Euroopan tietosuojavaltuutetun kuuleminen ja lausunnon tavoite

1.

Komissio hyväksyi 28 päivänä marraskuuta 2011 ehdotuksen neuvoston päätökseksi matkustajarekisteritietojen käyttöä ja siirtämistä Yhdysvaltojen sisäisen turvallisuuden ministeriölle koskevan Amerikan yhdysvaltojen ja Euroopan unionin sopimuksen tekemisestä (3) (jäljempänä ’sopimus’).

2.

Euroopan tietosuojavaltuutettua kuultiin ehdotusluonnoksesta epävirallisesti nopeutetun menettelyn yhteydessä 9 päivänä marraskuuta 2011. Hän esitti siitä joitakin luottamuksellisia huomautuksia 11 päivänä marraskuuta 2011. Lausunnon tarkoituksena on täydentää kyseisiä huomautuksia nyt tarkasteltavan ehdotuksen pohjalta ja saattaa tietosuojavaltuutetun näkemykset julkisesti saataville. Lausunnon perustana on käytetty myös joitakin Euroopan tietosuojavaltuutetun ja 29 artiklan mukaisen tietosuojatyöryhmän aiempia PNR-järjestelmää koskevia kannanottoja.

1.2   Ehdoksen tausta

3.

Sopimuksen tavoitteena on tarjota vankka oikeusperusta PNR-tietojen siirtämiselle EU:sta Yhdysvaltoihin. Tiedonsiirto perustuu nykyisin vuoden 2007 PNR-sopimukseen (4), koska parlamentti päätti lykätä äänestystä suostumuksen antamisesta uuden sopimuksen tekemiselle siihen asti, kunnes sen asettamat tietosuojavaatimukset on otettu huomioon. Parlamentti viittaa 5 päivänä toukokuuta 2010 antamassaan päätöslauselmassa (5) etenkin seuraaviin tietosuojavaatimuksiin:

tiedonsiirrossa on noudatettava kansallista ja EU:n tietosuojalainsäädäntöä;

ennen uuden säädöksen antamista on arvioitava sen vaikutukset yksityisyyteen;

suhteellisuus on tutkittava osoittamalla, että olemassa olevat säädökset eivät ole riittäviä;

käyttötarkoitus on rajoitettava tiukasti (6) ja PNR-tietojen käyttö on rajattava tiettyihin rikoksiin tai uhkiin tapauskohtaisesti;

kerättävien tietojen määrää on rajoitettava;

säilytysaikaa on rajoitettava;

PNR-tietoja ei saa käyttää tietojen louhintaan tai profilointiin;

kansalaisiin merkittävästi vaikuttavia päätöksiä ei saa tehdä automaattisten hakujen perusteella (7);

käytössä on oltava asianmukaiset riippumatonta tarkistamista sekä oikeudellista ja demokraattista valvontaa koskevat järjestelmät;

tietojen kansainvälisissä siirroissa on noudatettava EU:n tietosuojavaatimuksia, mikä on osoitettava erityisellä riittävyyden tutkimuksella.

4.

Sopimusta on tarkasteltava osana PNR-tietojen vaihdossa sovellettavaa kokonaisvaltaista lähestymistapaa, johon sisältyvät muiden kolmansien maiden (nimittäin Australian (8) ja Kanadan (9)) kanssa käytävät neuvottelut sekä ehdotus EU:n tasolla käyttöön otettavasta PNR-järjestelmästä (10). Samalla se kytkeytyy parhaillaan käynnissä oleviin neuvotteluihin EU:n ja Yhdysvaltojen välisen sopimuksen tekemisestä henkilötietojen vaihdosta osana poliisiyhteistyötä ja oikeudellista yhteistyötä rikosasioissa (11). Laajemmin voidaan todeta, että sopimus parafoitiin vain muutamaa viikkoa ennen kuin tietosuojaa koskevan yleisen säädöskehyksen tarkistusta koskevat ehdotukset oli määrä hyväksyä (12).

5.

Euroopan tietosuojavaltuutettu on tyytyväinen tähän kokonaisvaltaiseen lähestymistapaan, jonka tarkoituksena on luoda PNR-sopimukselle EU:n lainsäädännön vaatimusten mukaiset yhtenäiset säädöspuitteet. Hän pitää kuitenkin valitettavana, ettei tämän ajoituksen vuoksi pystytä käytännössä varmistamaan sopimuksen yhteensopivuutta EU:n tietosuojasäännösten kanssa. Tietosuojavaltuutettu myös muistuttaa, että EU:n ja Yhdysvaltojen väliseen PNR-sopimukseen olisi voitava soveltaa EU:n ja Yhdysvaltojen välistä yleistä tiedonsiirtosopimusta.

2.   YLEISET HUOMAUTUKSET

6.

EU:n perusoikeuskirjan mukaan perusoikeuksia ja vapauksia voidaan rajoittaa ainoastaan lailla, ja tällaisia rajoituksia voidaan säätää vain, jos ne ovat välttämättömiä ja oikeasuhteisia. Kuten Euroopan tietosuojavaltuutettu (13) ja 29 artiklan mukainen tietosuojatyöryhmä (14) ovat toistuvasti todenneet, PNR-järjestelmien ja PNR-tietojen tukkusiirtojen tarpeellisuutta ja oikeasuhteisuutta ei toistaiseksi ole osoitettu. Myös Euroopan talous- ja sosiaalikomitea ja perusoikeusvirasto ovat tätä mieltä (15). Jäljempänä esitetyt erityiset huomautukset eivät vaikuta tähän alustavaan ja keskeiseen huomautukseen.

7.

Vaikka sopimukseen on tehty joitakin parannuksia vuoden 2007 PNR-sopimukseen verrattuna ja vaikka siinä annetaan riittävät tietosuoja- ja valvontatakeet, näyttää siltä, ettei se täytä ainuttakaan edellä mainituissa lausunnoissa asetetuista ja Euroopan parlamentin suostumuksen edellyttämistä keskeisistä tietosuojavaatimuksista (16).

3.   ERITYISET HUOMAUTUKSET

3.1   Käyttötarkoituksen täsmentäminen

8.

Sopimuksen 4 artiklan 1 kohdan mukaan Yhdysvallat käsittelee PNR-tietoja estääkseen, havaitakseen, tutkiakseen ja niistä syytteeseen pannakseen (a) terrorismirikoksia ja niihin liittyviä rikoksia ja (b) muita rikoksia, joista on rangaistuksena vähintään kolme vuotta vankeutta ja jotka ovat luonteeltaan kansainvälisiä. Joillekin näistä käsitteistä on annettu määritelmä.

9.

Vaikka määritelmät ovat täsmällisempiä kuin vuoden 2007 PNR-sopimuksessa, ehdotukseen sisältyy edelleen joitakin epämääräisiä käsitteitä ja poikkeuksia, jotka voivat loukata käyttötarkoituksen rajoittamisen periaatetta ja heikentää oikeusvarmuutta. Näitä ovat erityisesti seuraavat:

Sopimuksen 4 artiklan 1 kohdan a alakohdan i luetelmakohdan sanamuoto ”toimet, joiden – tavoitteena vaikuttaa olevan – pelottelu tai pakottaminen” [tai] ”valtion hallituksen politiikkaan vaikuttaminen” voi viitata myös toimiin, joita ei voida luokitella neuvoston puitepäätöksessä 2002/475/JHA (17) tarkoitetuiksi terrorismirikoksiksi. Ilmaisuja ”vaikuttaa olevan”, ”pelottelu” ja ”vaikuttaminen” olisi sen vuoksi täsmennettävä tämän mahdollisuuden pois sulkemiseksi.

Sopimuksen 4 artiklan 1 kohdan b alakohtaan olisi lisättävä nimenomainen luettelo siinä tarkoitetuista rikoksista. Viittaus ”muihin rikoksiin, joista on rangaistuksena vähintään kolme vuotta vankeutta” ei ole riittävä, koska tämä rangaistuskynnys koskee EU:ssa ja sen jäsenvaltioissa eri rikoksia kuin Yhdysvalloissa ja sen osavaltioissa.

Vähäiset rikokset olisi jätettävä nimenomaisesti sopimuksen soveltamisalan ulkopuolelle.

Sopimuksen 4 artiklan 2 kohdassa mainittua ”vakavan uhkan” käsitettä olisi täsmennettävä, ja PNR-tietojen käyttö ”tuomioistuimen määräyksestä” olisi rajoitettava ainoastaan 4 artiklan 1 kohdassa mainittuihin tapauksiin.

Jotta vältetään 4 artiklan 3 kohdan soveltaminen esimerkiksi rajavalvonnan kaltaisiin tarkoituksiin, kyseisessä määräyksessä olisi täsmennettävä, että ainoastaan 4 artiklan 1 kohdassa lueteltuihin rikoksiin osallisiksi epäiltyjä henkilöitä voidaan ”kuulustella tai tutkia tarkemmin”.

3.2   Siirrettävien PNR-tietojen luetteloa olisi karsittava

10.

Sopimuksen liitteessä I luetellaan 19 Yhdysvaltoihin lähetettävien PNR-tietojen ryhmää. Useimmat niistä sisältävät monentyyppisiä tietoja ja ovat samoja kuin vuoden 2007 PNR-sopimuksen tietoryhmät, jotka Euroopan tietosuojavaltuutettu ja 29 artiklan mukainen tietosuojatyöryhmä ovat jo aiemmin todenneet suhteellisuusperiaatteen vastaisiksi (18).

11.

Tällä viitataan erityisesti ryhmään ”Yleiset merkinnät, mukaan lukien OSI- (19), SSI- (20) ja SSR- (21) tiedot”, joihin sisältyvistä tiedoista voivat käydä ilmi esimerkiksi henkilön uskonnollinen vakaumus (esim. ateriavalinnat) tai terveydentila (esim. pyörätuolia koskeva pyyntö). Tällaiset arkaluonteiset tiedot olisi nimenomaisesti jätettävä pois luettelosta.

12.

Luettelon oikeasuhteisuutta arvioitaessa olisi myös otettava huomioon, että koska PNR-tiedot siirretään jo ennen lennon lähtöaikaa (sopimuksen 15 artiklan 3 kohta), niihin sisältyy tietoja paitsi varsinaisista lentomatkustajista myös sellaisista henkilöistä, jotka ovat lopulta jääneet pois lennolta (esim. lentonsa peruuttaneet).

13.

Liian avointen tietoryhmien jättäminen sopimukseen on lisäksi omiaan heikentämään oikeusvarmuutta. Esimerkiksi tietoryhmiä ”kaikki käytettävissä olevat yhteystiedot”, ”kaikki matkatavaratiedot” ja ”yleiset merkinnät” on aiheellista täsmentää.

14.

PNR-tietojen luetteloa olisi näin ollen karsittava. Tietosuojavaltuutettu katsoo 29 artiklan mukaisen työryhmän lausunnon (22) mukaisesti, että luettelo olisi rajoitettava ainoastaan seuraaviin tietoihin: PNR-tiedoston kirjauskoodi, varauspäivä, suunniteltu (suunnitellut) matkustuspäivä(t), matkustajan nimi, muut PNR-tiedoissa olevat nimet, kaikki matkareitit, vapaaliput, yksisuuntaiset liput, lipputiedot, sähköisten lippujen hinnan ilmoittaminen (Automatic Ticket Fare Quote), lipun numero, lipunkirjoituspäivä, poisjäännit lennoilta, matkalaukkujen lukumäärä, matkatavaroiden tunnistenumerot, viime hetken lähdöt ilman varausta, matkalaukkujen lukumäärä kussakin osastossa, matkustusluokan vapaaehtoiset/pakolliset korotukset sekä aiemmat muutokset edellä lueteltuihin PNR-tietoihin.

3.3   Sisäisen turvallisuuden ministeriön ei pitäisi käsitellä arkaluonteisia tietoja

15.

Sopimuksen 6 artiklassa määrätään, että sisäisen turvallisuuden ministeriö käyttää automaattisia järjestelmiä, jotka suodattavat ja ”salaavat” arkaluonteiset tiedot. Arkaluonteisia tietoja kuitenkin säilytetään vähintään 30 päivän ajan ja niitä voidaan käyttää tiettyihin tarkoituksiin (6 artiklan 4 kohta). Tietosuojavaltuutettu painottaa, että tiedot ovat ”salaamisenkin” jälkeen ”arkaluonteisia” ja liittyvät tunnistettaviin luonnollisiin henkilöihin.

16.

Kuten tietosuojavaltuutettu on aiemmin todennut, sisäisen turvallisuuden ministeriön ei pitäisi käsitellä EU:n kansalaisiin liittyviä arkaluonteisia tietoja edes siinä tapauksessa, että ne ”salataan” vastaanottamisen jälkeen. Tietosuojavaltuutettu kehottaa täsmentämään sopimuksen tekstissä, että lentoyhtiöt eivät saa siirtää arkaluonteisia tietoja sisäisen turvallisuuden ministeriölle.

3.4   Kohtuuttoman pitkä säilytysaika

17.

Sopimuksen 8 artiklassa määrätään, että PNR-tietoja säilytetään aktiivisessa tietokannassa enintään viisi vuotta ja ne siirretään sen jälkeen passiiviseen tietokantaan enintään kymmeneksi vuodeksi. Tämä 15 vuoden säilytysaika on selvästi suhteeton riippumatta siitä, säilytetäänkö tietoja ”aktiivisessa” vai ”passiivisessa” tietokannassa, kuten Euroopan tietosuojavaltuutettu ja 29 artiklan mukainen tietosuojatyöryhmä ovat ennenkin korostaneet.

18.

Sopimuksen 8 artiklan 1 kohdassa täsmennetään, että tiedoista ”erotetaan tunnistamisen mahdollistavat tiedot ja tiedot häivytetään” kuuden kuukauden kuluttua siitä, kun sisäisen turvallisuuden ministeriö on vastaanottanut ne. Sekä ”häivytetyt” tiedot että ”passiiviseen tietokantaan” tallennetut tiedot luokitellaan kuitenkin henkilötiedoiksi niin kauan kuin niitä ei ole tehty täysin nimettömiksi. Tiedot olisi näin ollen joko tehtävä (peruuttamattomasti) nimettömiksi tai poistettava välittömästi analyysin jälkeen tai enintään kuuden kuukauden säilytysajan kuluttua.

3.5   Tarjontamenetelmän (push-menetelmän) käyttö ja tiedonsiirtotiheys

19.

Tietosuojavaltuutettu on tyytyväinen sopimuksen 15 artiklan 1 kohtaan, jossa PNR-tiedot velvoitetaan siirtämään tarjontamenetelmällä (push-menetelmä). Saman artiklan 5 kohdassa kuitenkin määrätään, että sisäisen turvallisuuden ministeriö voi poikkeustilanteessa ”vaatia liikenteenharjoittajaa toimittamaan” sille PNR-tiedot. ”Pyytävän tahon aloitteeseen” perustuvan järjestelmän (pull-menetelmä) käytön estämiseksi ja 29 artiklan mukaisen tietosuojatyöryhmän toistuvasti esittämien huolenaiheiden (23) huomioon ottamiseksi tietosuojavaltuutettu suosittelee, että sopimuksessa kielletään nimenomaisesti Yhdysvaltain viranomaisten mahdollisuus vaatia toimittamaan tietoja pull-menetelmällä.

20.

Sopimuksessa olisi määriteltävä, kuinka paljon ja kuinka usein lentoyhtiöistä toimitetaan tietoja sisäisen turvallisuuden ministeriöön. Oikeusvarmuuden parantamiseksi olisi määriteltävä tarkemmin myös edellytykset lisäsiirtojen sallimiselle.

3.6   Tietoturva

21.

Tietosuojavaltuutettu on tyytyväinen sopimuksen tietoturvaa ja tietojen eheyttä koskevaan 5 artiklaan ja etenkin velvoitteeseen ilmoittaa asianomaisille henkilöille heidän yksityisyytensä loukkauksista. Henkilötietojen suojan loukkauksista ilmoittamista koskevia määräyksiä olisi kuitenkin selkeytettävä seuraavasti:

Ilmoituksen vastaanottajat: artiklassa olisi täsmennettävä, mille ”toimivaltaisille eurooppalaisille viranomaisille” loukkauksista ilmoitetaan. Kansallisten tietosuojaviranomaisten olisi joka tapauksessa kuuluttava näihin viranomaisiin. Ilmoitus olisi lähetettävä myös toimivaltaiselle Yhdysvaltain viranomaiselle.

Ilmoituskynnys: artiklassa olisi määriteltävä, mitä ”merkittävällä yksityisyyden loukkauksella” tarkoitetaan.

Lisäksi olisi täsmennettävä henkilöille ja viranomaisille lähetettävän ilmoituksen sisältö.

22.

Euroopan tietosuojavaltuutettu tukee sopimuksessa asetettua velvoitetta säilyttää lokitiedot tai dokumentoida kaikki PNR-tietoihin pääsyt ja tietojen käsittely ja käyttö, koska näin voidaan tarkistaa, onko sisäisen turvallisuuden ministeriö käyttänyt PNR-tietoja asianmukaisesti ja onko järjestelmään tunkeuduttu luvattomasti.

3.7   Valvonta ja täytäntöönpano

23.

Tietosuojavaltuutettu on tyytyväinen, että sopimuksen sisältämien yksityisyyden suojatoimien noudattamista tarkastavat ja valvovat itsenäisesti yksityisyyden suojasta vastaavat ministeriöiden virkamiehet, kuten 14 artiklan 1 kohdassa mainittu sisäisen turvallisuuden ministeriön yksityisyyden suojasta vastaava päävirkamies (DHS Chief Privacy Officer). Rekisteröidyn oikeuksien tehokkaan käytön varmistamiseksi tietosuojavaltuutetun ja kansallisten tietosuojaviranomaisten olisi kuitenkin määritettävä näiden oikeuksien käytössä noudatettavat menettelyt ja säännöt (24) yhteistyössä sisäisen turvallisuuden ministeriön kanssa. Tietosuojavaltuutettu toivoo, että sopimukseen sisällytetään viittaus tällaiseen yhteistyöhön.

24.

Tietosuojavaltuutettu tukee vahvasti 14 artiklan 1 kohdan toisessa alakohdassa tarkoitettua yksityishenkilön oikeutta tehdä valitus ”kansalaisuudestaan, alkuperämaastaan tai asuinpaikastaan riippumatta”. Valitettavasti sopimuksen 21 artiklassa kuitenkin todetaan nimenomaisesti, ettei sopimuksella ”luoda tai myönnetä Yhdysvaltojen lain nojalla millekään yksityiselle tai julkiselle henkilölle tai yhteisölle minkäänlaisia oikeuksia tai etuja”. Vaikka sopimuksessa myönnetään oikeus pyytää Yhdysvalloissa ”oikeudellista tarkistusta”, tämä oikeus ei välttämättä vastaa EU:n määritelmän mukaista oikeutta tehokkaaseen oikeussuojaan, varsinkaan 21 artiklassa mainittua rajoitusta ajatellen.

3.8   Tietojen kansallinen ja kansainvälinen edelleensiirto

25.

Sopimuksen 16 artiklassa kielletään tietojen siirto maan sisäisille viranomaisille, jotka eivät noudata PNR-tietojen osalta sopimuksessa ”tarkoitettuja tai niihin verrattavia suojatoimia”. Tietosuojavaltuutettu on tyytyväinen tähän määräykseen. PNR-tietoja vastaanottavien viranomaisten luetteloa olisi kuitenkin vielä täsmennettävä. Kansainvälisten siirtojen osalta sopimuksessa määrätään, että Yhdysvallat voi siirtää tietoja kolmansien maiden viranomaisille ainoastaan varmistettuaan, että vastaanottaja aikoo käyttää tietoja näiden ehtojen mukaisesti, ja että kiireellisiä tilanteita lukuun ottamatta tässä tiedonsiirrossa noudatetaan tietosuojamääräyksiä, jotka ovat ”verrattavissa” sopimuksen mukaisesti sovellettaviin määräyksiin.

26.

Sanamuodon ”sopimuksessa tarkoitettuja” tai ”niihin verrattavia” osalta tietosuojavaltuutettu korostaa, että maan sisäiset ja kansainväliset tietojen edelleensiirrot pitäisi sallia sisäisen turvallisuuden ministeriölle vain, jos vastaanottaja takaa vähintään tässä sopimuksessa määritellyn tasoisen henkilötietojen suojan. Sopimuksessa olisi myös täsmennettävä, että PNR-tietojen siirrosta on päätettävä tapauskohtaisesti ja että tietoja siirrettäessä on varmistettava, että vastaanottajille siirretään ainoastaan välttämättömät tiedot, eikä tähän tulisi sallia minkäänlaisia poikkeuksia. Lisäksi tietosuojavaltuutettu suosittelee, että tiedonsiirrot kolmansiin maihin edellyttäisivät tuomioistuimen lupaa.

27.

Sopimuksen 17 artiklan 4 kohdassa määrätään, että kun sisäisen turvallisuuden ministeriö saa tiedon EU:n jäsenvaltiossa asuvan henkilön PNR-tietojen siirtämisestä kolmanteen maahan, sen on ilmoitettava asiasta kyseisen jäsenvaltion toimivaltaisille viranomaisille. Tämä vaatimus olisi poistettava, koska sisäisen turvallisuuden ministeriön kuuluu aina olla tietoinen tietojen edelleensiirroista kolmansiin maihin.

3.9   Sopimuksen oikeudellinen muoto ja tarkastelu

28.

On epäselvää, missä oikeudellisessa muodossa Yhdysvallat aikoo saattaa sopimuksen voimaan ja kuinka sopimuksesta tulee Yhdysvalloissa oikeudellisesti sitova. Tätä näkökohtaa olisi täsmennettävä.

29.

Sopimuksen 20 artiklan 2 kohdassa käsitellään sen yhdenmukaisuutta EU:n mahdollisen PNR-järjestelmän kanssa. Tietosuojavaltuutettu panee merkille, että sopimuksen mukauttamista koskevissa kuulemisissa ”selvitetään erityisesti, sovelletaanko tulevassa EU:n PNR-järjestelmässä väljempiä tietosuojanormeja kuin tässä sopimuksessa on määrätty”. Yhdenmukaisuuden varmistamiseksi sopimusta mukautettaessa olisi myös (ja etenkin) otettava huomioon, sovelletaanko EU:n tulevassa PNR-järjestelmässä sopimuksessa määrättyä tiukempia tietosuojanormeja.

30.

Sopimusta olisi voitava tarkistaa myös uuden tietosuojaa koskevan säädöskehyksen perusteella. Samaten sopimuksen tarkistuksessa olisi otettava huomioon EU:n ja Yhdysvaltain välillä mahdollisesti tehtävä yleinen henkilötietojen vaihtoa koskeva sopimus rikosasioissa tehtävän poliisiyhteistyön ja oikeudellisen yhteistyön yhteydessä. Sopimukseen voitaisiin lisätä uusi 20 artiklan 2 kohdan kaltainen määräys, jossa todetaan seuraavaa: ”jos ja kun EU:ssa hyväksytään uusi tietosuojaa koskeva säädöskehys tai EU ja Yhdysvallat tekevät keskenään uuden tietojenvaihtosopimuksen, sopimuspuolet kuulevat toisiaan määritelläkseen, onko tätä sopimusta tarvetta mukauttaa. Näissä kuulemisissa selvitetään erityisesti, sovelletaanko EU:n tietosuojaa koskevan säädöskehyksen tulevassa tarkistuksessa tai EU:n ja Yhdysvaltain välisessä tulevassa tietosuojasopimuksessa tiukempia tietosuojanormeja kuin tässä sopimuksessa on määrätty”.

31.

Sopimuksen tarkastelun osalta (23 artikla) tietosuojavaltuutettu katsoo, että kansalliset tietosuojaviranomaiset olisi sisällytettävä nimenomaisesti tarkasteluryhmään. Tarkastelussa olisi myös keskityttävä arvioimaan toimenpiteiden tarpeellisuutta ja oikeasuhteisuutta ja rekisteröidyn oikeuksien tehokasta käyttöä, ja sen yhteydessä olisi arvioitava, kuinka rekisteröityjen pyyntöjä käytännössä käsitellään etenkin, jos suoraa pääsyä tietoihin ei anneta. Lisäksi olisi määritettävä tarkastelujen tiheys.

4.   PÄÄTELMÄT

32.

Tietosuojavaltuutettu on tyytyväinen sopimuksessa annettuihin tietoturva- ja valvontatakeisiin ja siihen tehtyihin parannuksiin vuoden 2007 PNR-sopimukseen verrattuna. Parannettavaa on kuitenkin vielä paljon etenkin PNR-tietojen siirtoa koskevan kokonaisvaltaisen lähestymistavan yhtenäisyyden, käyttötarkoituksen rajoittamisen, sisäisen turvallisuuden ministeriölle siirrettävien tietoryhmien, arkaluonteisten tietojen käsittelyn, säilytysajan, push-menetelmään sallittujen poikkeuksien, rekisteröidyn oikeuksien sekä tietojen edelleensiirron suhteen..

33.

Nämä huomautukset eivät estä tarpeellisuuden ja oikeasuhteisuuden vaatimusten soveltamista mihin tahansa sellaiseen lainmukaiseen PNR-järjestelmään tai -sopimukseen, jossa määrätään PNR-tietojen tukkusiirroista EU:sta kolmansiin maihin. Kuten Euroopan parlamentti toteaa 5 päivänä toukokuuta 2010 antamassaan päätöslauselmassa, ”tarpeellisuus ja suhteellisuus ovat tärkeimpiä periaatteita, joita ilman terrorismin torjunta ei voi olla tehokasta”.

Tehty Brysselissä 9 päivänä joulukuuta 2011.

Peter HUSTINX

Euroopan tietosuojavaltuutettu


(1)  EYVL L 281, 23.11.1995, s. 31.

(2)  EYVL L 8, 12.1.2001, s. 1.

(3)  KOM(2011) 807 lopullinen.

(4)  Euroopan unionin ja Amerikan yhdysvaltojen välinen sopimus lentoyhtiöiden PNR- eli matkustajarekisteritietojen käsittelemisestä ja siirtämisestä Yhdysvaltojen turvallisuusministeriölle (DHS) (EUVL L 204, 4.8.2007, s. 18).

(5)  Euroopan parlamentin päätöslauselma neuvottelujen aloittamisesta PNR- eli matkustajarekisteritietoja koskevien sopimusten tekemiseksi Yhdysvaltojen, Australian ja Kanadan kanssa, annettu 5 päivänä toukokuuta 2010 (EUVL C 81E, 15.3.2011, s. 70). Ks. myös Euroopan parlamentin päätöslauselma henkilötietojen välittämisestä lentoyhtiöiden toimesta Atlantin ylittävillä lennoilla, annettu 13 päivänä maaliskuuta 2003 (EYVL C 61E, 10.3.2004, s. 381), Euroopan parlamentin päätöslauselma henkilötietojen välittämisestä lentoyhtiöiden toimesta Atlantin ylittävillä lennoilla: Yhdysvaltojen kanssa käytävien neuvottelujen tilanne, annettu 9 päivänä lokakuuta 2003 (EUVL C 81E, 31.3.2004, s. 105), Euroopan parlamentin päätöslauselma luonnoksesta komission päätökseksi, jossa todetaan Yhdysvaltain tulli- ja rajavalvontaviranomaisille luovutettuihin lentoliikenteen matkustajaluetteloihin (PNR – Passenger Name Record) sisältyvien henkilötietojen suojan riittävä taso, annettu 31 päivänä maaliskuuta 2004 (EUVL C 103E, 29.4.2004, s. 665), Euroopan parlamentin suositus neuvostolle neuvotteluista sopimuksen tekemiseksi Amerikan yhdysvaltojen kanssa matkustajarekisteritietojen (PNR) käytöstä terrorismin ja kansainvälisen rikollisuuden, järjestäytynyt rikollisuus mukaan luettuna, torjumiseksi (EUVL C 305E, 14.12.2006, s. 250), Euroopan parlamentin päätöslauselma SWIFT-järjestelmästä, matkustajarekisteriä koskevasta sopimuksesta ja näistä kysymyksistä käytävästä transatlanttisesta vuoropuhelusta, annettu 14 päivänä helmikuuta 2007 (EUVL C 287E, 29.11.2007, s. 349) sekä Euroopan parlamentin Yhdysvaltojen kanssa tehdystä matkustajarekisteritietojen käyttöä koskevasta sopimuksesta, annettu 12 päivänä heinäkuuta 2007 (hyväksytyt tekstit, P6_TA(2007)0347). Kaikki ovat saatavana osoitteessa http://www.europarl.europa.eu

(6)  PNR-tietoja voidaan käyttää ainoastaan lainvalvonta- ja turvallisuustarkoituksiin, kun kyseessä on järjestäytynyt ja vakava kansainvälinen rikollisuus tai rajat ylittävä terrorismi, terrorismin torjumisesta 13 päivänä kesäkuuta 2002 tehdyssä neuvoston puitepäätöksessä 2002/475/YOS (EYVL L 164, 22.6.2002, s. 3) ja eurooppalaisesta pidätysmääräyksestä 13. kesäkuuta 2002 tehdyssä neuvoston puitepäätöksessä 2002/584/YOS vahvistettujen oikeudellisten määritelmien perusteella (EYVL L 190, 18.7.2002, s. 1).

(7)  ”Lentokieltopäätöstä tai tutkinta- tai syyttämispäätöksiä ei koskaan saa tehdä yksinomaan tällaisten automaattisten hakujen tai tietokantojen selauksen perusteella”.

(8)  Euroopan unionin ja Australian välinen sopimus lentoliikenteenharjoittajien PNR- eli matkustajarekisteritietojen käsittelemiseksi ja siirtämiseksi Australian tulli- ja rajavartiolaitokselle, tehty 29 päivänä syyskuuta 2011.

(9)  Euroopan yhteisön ja Kanadan hallituksen välinen sopimus ennalta annettavien matkustajatietojen ja matkustajaluettelotietojen käsittelystä, (EUVL L 82, 21.3.2006, s.15).

(10)  Ehdotus Euroopan parlamentin ja neuvoston direktiiviksi matkustajarekisteritietojen käytöstä terrorismirikosten ja vakavan rikollisuuden ehkäisemistä, paljastamista, tutkimista ja syytteeseenpanoa varten (KOM(2011) 32 lopullinen).

(11)  Neuvosto antoi 3 päivänä joulukuuta 2010 valtuutuksensa neuvottelujen aloittamiselle EU:n ja Yhdysvaltojen välisen sopimuksen tekemiseksi henkilötietojen suojasta, joka koskee henkilötietojen siirtämistä ja käsittelyä terrorismi- ja muiden rikosten ehkäisemistä, tutkimista, paljastamista tai syytteeseenpanoa varten osana poliisiyhteistyötä ja oikeudellista yhteistyötä rikosasioissa. Ks. komission lehdistötiedote, joka on saatavana osoitteessa http://europa.eu/rapid/pressReleasesAction.do?reference=IP/10/1661

(12)  Ks. 4 päivänä marraskuuta 2010 hyväksytty komission tiedonanto ”Kattava lähestymistapa henkilötietojen suojaan Euroopan unionissa”, KOM(2010) 609 lopullinen, sekä sen jatkotoimet.

(13)  Euroopan tietosuojavaltuutetun 25 päivänä maaliskuuta 2011 antama lausunto ehdotuksesta Euroopan parlamentin ja neuvoston direktiiviksi matkustajarekisteritietojen käytöstä terrorismirikosten ja vakavan rikollisuuden ehkäisemistä, paljastamista, tutkimista ja syytteeseenpanoa varten, Euroopan tietosuojavaltuutetun 15 päivänä heinäkuuta 2011 antama lausunto ehdotuksesta neuvoston päätökseksi Euroopan unionin ja Australian välisen sopimuksen tekemisestä lentoliikenteenharjoittajien PNR- eli matkustajarekisteritietojen käsittelemiseksi ja siirtämiseksi Australian tulli- ja rajavartiolaitokselle, Euroopan tietosuojavaltuutetun 19 päivänä lokakuuta 2010 antama lausunto matkustajarekisteritietojen (PNR) siirtoa kolmansiin maihin koskevasta kokonaisvaltaisesta lähestymistavasta annetusta komission tiedonannosta sekä Euroopan tietosuojavaltuutetun 20 päivänä joulukuuta 2007 antama lausunto ehdotuksesta neuvoston puitepäätökseksi matkustajarekisterin (PNR) käytöstä lainvalvontatarkoituksiin. Kaikki ovat saatavana osoitteessa http://www.edps.europa.eu

(14)  29 artiklan mukaisen tietosuojatyöryhmän lausunto 10/2011 ehdotuksesta Euroopan parlamentin ja neuvoston direktiiviksi matkustajarekisteritietojen käytöstä terrorismirikosten ja vakavan rikollisuuden ehkäisemistä, paljastamista, tutkimista ja syytteeseenpanoa varten; lausunto 7/2010 matkustajarekisteritietojen (PNR) siirtoa kolmansiin maihin koskevasta kokonaisvaltaisesta lähestymistavasta annetusta Euroopan komission tiedonannosta; lausunto 5/2007 heinäkuussa 2007 lentoyhtiöiden PNR- eli matkustajarekisteritietojen käsittelemisestä ja siirtämisestä Yhdysvaltojen turvallisuusministeriölle tehdyn Euroopan unionin ja Amerikan yhdysvaltojen välisen sopimuksen jatkotoimista sekä lausunto 4/2003 matkustajatietojen siirrolle Yhdysvalloissa taatusta suojasta. Kaikki ovat saatavana osoitteessa http://ec.europa.eu/justice/policies/privacy/workinggroup/wpdocs/2011_en.htm

(15)  Euroopan unionin perusoikeusviraston 14 päivänä kesäkuuta 2011 antama lausunto ehdotuksesta direktiiviksi matkustajarekisteritietojen käytöstä terrorismirikosten ja vakavan rikollisuuden ehkäisemistä, paljastamista, tutkimista ja syytteeseenpanoa varten (saatavana osoitteessa http://fra.europa.eu/fraWebsite/attachments/FRA-PNR-Opinion-June2011.pdf) ja Euroopan talous- ja sosiaalikomitean 5 päivänä toukokuuta 2011 antama lausunto ehdotuksesta Euroopan parlamentin ja neuvoston direktiiviksi matkustajarekisteritietojen käytöstä terrorismirikosten ja vakavan rikollisuuden ehkäisemistä, paljastamista, tutkimista ja syytteeseenpanoa varten (saatavana osoitteessa on http://www.eesc.europa.eu/?i=portal.en.soc-opinions.15579).

(16)  Katso alaviite 5.

(17)  Terrorismin torjunnasta 13 päivänä kesäkuuta 2002 tehty neuvoston puitepäätös 2002/475/YOS (EYVL L 164, 22.6.2002, s. 3).

(18)  Ks. edellä mainitut Euroopan tietosuojavaltuutetun ja 29 artiklan mukaisen tietosuojatyöryhmän lausunnot.

(19)  Tiedot muista palveluista.

(20)  Tiedot erityispalveluista.

(21)  Tiedot erityispalvelua koskevista pyynnöistä.

(22)  Ks. edellä alaviitteessä 14 mainittu 29 artiklan mukaisen tietosuojatyöryhmän lausunto 4/2003.

(23)  Ks. 29 artiklan mukaisen tietosuojatyöryhmän komission jäsen Malmströmille osoittama kirjelmä EU:n PNR-sopimuksista Yhdysvaltain, Kanadan ja Australian kanssa, päivätty 19 päivänä tammikuuta 2011.

(24)  Esimerkiksi 29 artiklan mukainen tietosuojatyöryhmä on jo antanut matkustajille tiedottamista koskevia ohjeita (ks. 15 päivänä helmikuuta 2007 annettu (ja 24 päivänä kesäkuuta 2008 tarkistettu ja päivitetty) 29 artiklan mukaisen tietosuojatyöryhmän lausunto 2/2007, jonka aiheena on tiedottaminen matkustajille PNR-tietojen siirrosta Yhdysvaltain viranomaisille, saatavana osoitteessa http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2008/wp151_en.pdf).