6.8.2008   

FI

Euroopan unionin virallinen lehti

C 200/1

1.

Euroopan komissio antoi 18. lokakuuta 2007 Euroopan parlamentille ja neuvostolle ehdotuksen asetukseksi (jäljempänä ’ehdotus’) asetuksen (EY) N:o 2252/2004 muuttamisesta (1). Euroopan tietosuojavaltuutettua ei kuultu kyseisestä ehdotuksesta, vaikka asetuksen (EY) N:o 45/2001 28 artiklan 2 kohdan mukaisesti komissio kuulee Euroopan tietosuojavaltuutettua antaessaan säädösehdotuksen, joka koskee yksilöiden oikeuksien ja vapauksien suojelua henkilötietojen käsittelyssä.

2.

Euroopan tietosuojavaltuutettu pahoittelee, että komissio ei noudattanut lakisääteistä velvoitettaan kuulla tietosuojavaltuutettua, ja odottaa tulevansa vastaisuudessa kuulluksi kaikkien 28 artiklan 2 kohdan soveltamisalaan kuuluvien ehdotusten osalta. Euroopan tietosuojavaltuutettu on päättänyt antaa lausunnon omasta aloitteestaan. 28 artiklan 2 kohdan pakollinen luonne huomioon ottaen tämä lausunto olisi mainittava säädöstekstin johdanto-osassa.

3.

Ehdotuksen tausta on seuraava. Neuvosto antoi 13. joulukuuta 2004 asetuksen (EY) N:o 2252/2004 jäsenvaltioiden myöntämien passien ja matkustusasiakirjojen turvatekijöitä ja biometriikkaa koskevista vaatimuksista biometristen tietojen sisällyttämiseksi passeihin. Biometrisillä tiedoilla pyritään yhdessä muiden turvatekijöiden kanssa vahvistamaan passin ja kyseisen asiakirjan haltijan välistä yhteyttä. Komissio hyväksyi 28. helmikuuta 2005 teknisten eritelmien ensimmäisen osan (2), joka koskee haltijan valokuvan tallentamista kontaktittomaan siruun (3), joka koskee kahden sormenjäljen tallentamista valokuvan lisäksi passin siruun, komissio teki 28. kesäkuuta 2006.

4.

Biometrisen passin osalta sovellettavien poikkeusten yhdenmukaistamiseksi ehdotukseen on lisätty seuraavat säännökset: alle kuusivuotiaat lapset vapautetaan velvoitteesta antaa sormenjäljet, ja henkilöt, jotka eivät fyysisten rajoitteiden vuoksi pysty antamaan sormenjälkiä, olisi myös vapautettava tästä vaatimuksesta.

5.

Lisäksi ehdotuksessa otetaan käyttöön velvoite noudattaa periaatetta ”yksi henkilö — yksi passi”, jonka esitetään olevan täydentävä turvatekijä ja tarjoavan lisäsuojaa lapsille.

6.

Euroopan tietosuojavaltuutettu panee tyytyväisenä merkille, että komissio otti huomioon tietosuojavaltuutetun aiemmissa lausunnoissa mainitut varamenettelyt, kuten ehdotuksen perusteluissa todetaan.

7.

Tietosuojavaltuutettu pahoittelee, että komissio ei tehnyt tästä ehdotuksesta vaikutustenarviointia. Sen vuoksi on epäselvää, kuinka komissio pystyi arvioimaan asianmukaisella tavalla ehdotuksen tarpeellisuuden ja oikeasuhteisuuden tietosuojanäkökulmien kannalta ilman, että se saattoi tukeutua perusteelliseen vaikutustenarviointiin. Tällaista arviointia ei pitäisi rajata koskemaan vain uusien toimenpiteiden aiheuttamia kustannuksia, vaan siinä voitaisiin hyödyntää samankaltaisia kysymyksiä, joita on otettu esiin käsiteltäessä muita ehdotuksia, esimerkiksi yhteisen konsuliohjeiston tarkistusta koskevaa ehdotusta (4). Vaikutustenarvioinnin puuttuminen korostaa myös tarvetta tarkastella uudelleen ehdotuksessa esitettyä ikärajaa. Asiaa selvitetään tarkemmin tämän lausunnon 2.1 kohdassa.

8.

Euroopan tietosuojavaltuutettu totesi, että useassa tapauksessa biometristen tietojen käyttämisestä on hyötyä, mutta korosti myös sitä, että hyöty on riippuvainen tiukkojen turvatekijöiden soveltamisesta. SIS II -tietojärjestelmää koskevassa lausunnossaan (5) Euroopan tietosuojavaltuutettu ehdotti, että laaditaan ei-tyhjentävä luettelo yhteisistä velvoitteista tai vaatimuksista, joita on noudatettava käytettäessä biometrisiä tietoja jossain järjestelmässä. Nämä tekijät auttavat osaltaan välttämään sen, että järjestelmän puutteista, kuten vaikutuksesta, joka aiheutuu virheellisistä tunnistuksista tai siitä, ettei tietoja voida rekisteröidä, aiheutuva rasite koituu passin haltijalle.

9.

Tämän vuoksi tietosuojavaltuutettu antaa vahvan tukensa komission ehdotukselle vapautusten myöntämisestä sormenjälkien antamisesta henkilön iän perusteella tai sormenjälkien antamisen estävien fyysisten rajoitteiden vuoksi. Nämä vapautukset ovat osa varamenettelyjä, jotka olisi otettava käyttöön. Euroopan tietosuojavaltuutettu panee myös tyytyväisenä merkille komission pyrkimyksen noudattaa yhdenmukaista lähestymistapaa eri välineissä, joissa käsitellään samankaltaisia asioita, sillä yhteisen konsuliohjeiston tarkistusta koskevaan ehdotukseen sisältyy myös vapautusta koskeva ehdotus.

10.

Euroopan tietosuojavaltuutettu ei kuitenkaan edelleenkään pidä näitä vapautuksia riittävinä, koska niillä ei ratkaista kaikkia mahdollisia asiaan liittyviä seikkoja, joita aiheutuu biometristen tunnistusjärjestelmien puutteista erityisesti lasten ja iäkkäiden ihmisten kohdalla.

11.

Komissio viittaa ehdotuksen perusteluissa joissakin jäsenvaltioissa toteutettuihin koehankkeisiin, joiden yhteydessä on korostettu, että alle kuusivuotiailta lapsilta otetut sormenjäljet ”eivät vaikuttaneet olevan riittävän laadukkaita henkilöllisyyden tunnistamiseksi vertailun avulla”. Näistä koehankkeista ja niiden toteuttamisolosuhteista on kuitenkin saatavilla vain vähän tai ei ollenkaan tietoa; käsitettä ”riittävän laadukas” ei ole myöskään vielä selvitetty eikä määritelty.

12.

Euroopan tietosuojavaltuutetun näkökanta on, että lapsille asetettava ikäraja sormenjälkien antamisen osalta olisi määriteltävä johdonmukaisen ja perusteellisen tutkimuksen pohjalta, jossa on tutkittava asianmukaisesti tunnistusjärjestelmien tarkkuus reaaliolosuhteissa ja jossa on otettava huomioon käsiteltävien tietojen monimuotoisuus. Koehankkeista sellaisenaan ei saada riittävästi tietoa, jonka perusteella yhteisön lainsäätäjän perusvalinnat voidaan tehdä.

13.

Euroopan tietosuojavaltuutettu korosti jo yhteisen konsuliohjeiston muuttamista koskevasta asetusehdotuksesta antamassaan lausunnossa (6) tarvetta tehdä tällainen tutkimus ennen ikärajojen asettamista. Lopullisia johtopäätöksiä lujiksi perusteiksi lapsille asetettavalle ikärajalle ei ole esitetty saatavilla olevassa tieteellisessä kirjallisuudessa eikä viisumitietojärjestelmää koskevan ehdotuksen (7) yhteydessä aiemmin tehdyssä komission vaikutustenarvioinnissa.

14.

Tietosuojavaltuutettu suosittelee sen vuoksi, että ehdotuksessa esitettyä ikärajaa pidettäisiin väliaikaisena ratkaisuna. Ikärajaa olisi tarkasteltava uudelleen kolmen vuoden kuluttua laajan ja perusteellisen tutkimuksen pohjalta. Biometristen tietojen arkaluonteisuuden ja biometristen tunnistusjärjestelmien kilpailullisen ulottuvuuden huomioon ottaen tietosuojavaltuutettu ehdottaa, että kyseissä tutkimuksessa hyödynnettäisiin hallinnoinnin osalta yhtä Euroopan unionin toimielintä, jolla selkeästi on tämän alan ilmeistä asiantuntemusta ja mahdollisuuksia järjestää tarvittava testialusta (8). Kaikki asiaankuuluvat sidosryhmät koko toimialalta jäsenvaltioiden viranomaisiin olisi kutsuttava osallistumaan tutkimukseen.

15.

Ennen kuin ikäraja on selvästi määritelty tehtävän tutkimuksen pohjalta ja jotta vältettäisiin riskialtis täytäntöönpano, tietosuojavaltuutettu suosittaa sovellettavaksi ikärajaa, joka vastaa ikärajoja, jotka on jo hyväksytty laajojen väestöryhmien osalta asetuksessa turvapaikanhakijoita koskevasta Eurodac-järjestelmästä (9) (ikäraja lasten sormenjälkien tallentamiselle on 14 vuotta) tai Yhdysvaltain-vierailuja koskevassa US Visit -ohjelmassa (10) (ikäraja niin ikään 14 vuotta). Nämä ikärajat voisivat olla jopa hieman matalammat, koska biometristen tietojen käyttö on asetuksen (EY) N:o 2252/2004 4 artiklan 3 kohdan mukaisesti rajoitettu tiukasti henkilöllisyyden todentamismenettelyyn (tunnistaminen vertailun avulla). Tällaisessa menettelyssä tapahtuu yleensä vähemmän virheitä kuin useamman seikan perusteella toteutettavassa tunnistusmenettelyssä, jonka virhemarginaali on suurempi.

16.

Sormenjälkijärjestelmien epätarkkuus koskee lasten lisäksi iäkkäitä ihmisiä. On todellakin osoitettu, että sormenjälkien tarkkuus ja käytettävyys vähenee ihmisten ikääntyessä (11), ja erityisen tärkeitä ovat myös sopivuus- ja ergonomianäkökohdat. Lasten ikärajasta esitettyjen perustelujen pohjalta Euroopan tietosuojavaltuutettu suosittaa, että uutena vapautuksena otetaan käyttöön iäkkäitä henkilöitä koskeva ikäraja, joka voi perustua aiempiin kokemuksiin samankaltaisissa kysymyksissä (Yhdysvaltojen US Visit -ohjelmassa ikäraja on 79 vuotta). Aiempana mainitussa tutkimuksessa on käsiteltävä myös iäkkäiden henkilöiden sormenjälkien laatua tietojen rekisteröinnin ja niiden vastaavuuden todentamismenettelyjen kannalta.

17.

Euroopan tietosuojavaltuutettu muistuttaa, että näillä vapautuksilla ei saa millään tavalla leimata tai syrjiä henkilöitä, jotka on vapautettu sormenjälkien antamisvelvoitteesta ennakoivaa periaatetta noudattaen heidän ikänsä perusteella tai siitä syystä, että heidän sormenjälkensä eivät selvästikään ole tunnistettavissa.

18.

Kuten Kansainvälisen siviili-ilmailujärjestön (ICAO) Internet-sivustolla todetaan, suositus ”yksi henkilö — yksi passi” -periaatteen (12) noudattamisesta on laadittu pääasiassa mahdollisen ratkaisun tarjoamiseksi tilanteeseen, jossa perheenjäsenten yhteisille passeille ei ole asetettu yhdenmukaisia standardeja ja jossa otetaan käyttöön koneluettavat passit. Tietosuojavaltuutettu toteaa, että noudattamalla tätä periaatetta voitaisiin lisäksi auttaa torjumaan lapsikauppaa. Passin varsinaisena tarkoituksena on kuitenkin helpottaa Euroopan unionin kansalaisten matkustamista eikä torjua lapsikaappauksia, joita varten kehitetään konkreettisia ja tehokkaita lisätoimia.

19.

Äskettäin tehdyn tutkimuksen (13) mukaan lapsikaupan tai -kaappausten riski kohdistuu pääosin yksin matkustaviin alaikäisiin. Tämän ryhmän osalta on selvää, että henkilökohtainen matkustusasiakirja tarjoaa lisäsuojan. On kuitenkin korostettava, että kansainvälisen ilmakuljetusliiton (IATA) mukaan alle kuusivuotiaiden lasten ei anneta matkustaa ilman huoltajaa.

20.

Komissio selvittää ehdotuksen perusteluissa tämän turvatoimenpiteen tarpeellisuutta esittämällä esimerkkitilanteen, jossa vanhempi ja lapset on merkitty samaan passiin mutta passin siruun on tallennettu vain vanhemman eikä lasten biometriset tiedot. On korostettava, että niiden lasten biometrisiä tietoja, jotka ovat komission esittämää ikärajaa nuorempia, ei missään tapauksessa tallenneta passiin. Tässä tapauksessa rasite, joka aiheutuu vanhemmille lisäkustannuksista ja menettelystä sekä lapsia koskevien henkilötietojen ylimääräisestä keräämisestä, vaikuttaa liian suurelta, jos tarkastellaan tämän periaatteen mahdollista lisäarvoa.

21.

On myös korostettava, että jos tietoihin pääsy tai niiden rekisteröiminen tehdään teknisesti mahdolliseksi (myöntämällä biometrinen passi lapsille, jotka on vapautettu vaatimuksesta), siitä tulee monissa tapauksissa tehokas kannustin tosiasiallisesti hakea tietoja tai kerätä niitä. Lähtökohtana voidaan pitää, että teknisiä mahdollisuuksia käytetään, jos ne kerran ovat tarjolla; toisin sanoen, joskus keinot pyhittävät tarkoituksen eikä päinvastoin. Tämä voi myöhemmin johtaa siihen, että vaaditaan oikeudellisen kehyksen höllentämistä (ja alempaa ikärajaa), jotta näitä teknisiä mahdollisuuksia olisi helpompi käyttää. Oikeudelliset muutokset siinä tapauksessa vain vahvistaisivat jo olemassa olevan käytänteen.

22.

Tietosuojavaltuutettu suosittaa, että periaatetta ”yksi henkilö — yksi passi” sovelletaan vain lapsiin, jotka ylittävät komission ehdottaman ikärajan tai ikärajan, jota tarkistetaan ja joka vahvistetaan aiemmin mainitussa selvityksessä.

23.

EU:n jäsenvaltioissa passien myöntämisessä noudatetaan asianomaisen jäsenvaltion kansallista lakia. Kansallisessa laissa edellytetään tällöin erilaisten asiakirjojen esittämistä, joita voivat olla syntymätodistus, todistus kansalaisuudesta, selvitys perhesuhteista, vanhempien antama lupa, ajokortti, sähkö- tai kaasu- yms. lasku jne. Näitä asiakirjoja voidaan tavallaan kutsua ”osoitusasiakirjoiksi”, sillä passit voidaan laatia niiden perusteella.

24.

Tässä suhteessa EU:n jäsenvaltioiden laeissa on suuria eroja. Tapa, jolla ”osoitusasiakirjoja” tai passin myöntämisen edellyttämiä asiakirjoja jäsenvaltioissa tuotetaan, osoittaa, että tilanteet ja menettelyt vaihtelevat suuresti, mikä on omiaan heikentämään passeissa olevien tietojen laatua ja myös lisäämään väärän henkilöllisyyden käytön riskiä.

25.

Koska ”osoitusasiakirjoissa” on yleensä vähemmän turvatekijöitä, ne joutuvat todennäköisemmin väärennyksen kohteeksi kuin PKI-järjestelmien suojaama biometrisin tiedoin varustettu passi.

26.

Vaikka tietosuojavaltuutettu suhtautuukin myönteisesti komission tavoitteeseen vahvistaa passin suojatoimia, hän korostaa, että passi on vain yksi lenkki turvallisuusketjussa, joka alkaa näistä ”osoitusasiakirjoista” ja päättyy rajatarkastuspisteeseen, ja että tämä ketju on yhtä suojattu kuin sen heikoin lenkki. Tietosuojavaltuutettu suosittaa sen vuoksi komissiolle, että se ehdottaisi lisätoimenpiteitä, joilla yhdenmukaistetaan ”osoitusasiakirjoja” ja määritetään, mitkä niistä vaaditaan passin myöntämiseksi.

27.

Perusteellisen selvityksen (14) mukaan, jonka suoritti Euroopan parlamentin kansalaisvapauksien sekä oikeus- ja sisäasioiden valiokunnan (LIBE) pyynnöstä 29 artiklan mukainen tietosuojatyöryhmä ja joka käsitteli asetuksen (EY) N:o 2252/2004 soveltamiskäytänteitä, useat jäsenvaltiot ovat ottaneet käyttöön keskustietokannan passien biometristen tietojen tallentamiseksi. Vaikka jäsenvaltioiden onkin mahdollista suorittaa keskustietokantaa käyttäen vain biometristen tietojen tarkistaminen, mihin käyttö on asetuksen mukaan rajoitettu, tämä mahdollisuus tuo mukanaan henkilötietojen suojaan liittyviä lisäriskejä: käyttöä aletaan puolustella muilla tarkoituksilla, joista asetuksessa ei säädetä, tai tietoja ”ongitaan” tietokannasta, mitä on vaikea estää (15).

28.

Tietosuojavaltuutettu suosittaa, että komissio suosittaisi yhdenmukaistamistoimenpiteitä, jotta on mahdollista käyttää vain hajautettua tallennustietoa (passin kontaktittomassa sirussa) EU:n jäsenvaltioiden passeja varten kerättyjen biometristen tietojen osalta.

29.

Komission 28. kesäkuuta 2006 tekemässä päätöksessä (16) K(2006)2909 määriteltiin vain käsiteltävien sormenjälkikuvien formaatti ja laatu sekä suojaustapa (laajennettu pääsynvalvonta). Ehdotuksessa ei mainita tapauksia, joissa tietoja ei voida rekisteröidä (FER), eikä vastaavuuden todentamismenettelyyn liittyviä lukuja. Ehdotuksessa on tosin esitetty pienten lasten osalta varamenettelyä (ikäraja), mutta siinä ei ole määritelty kynnysarvoa, jonka ylityttyä sormenjäljet eivät enää ole tarpeeksi hyviä rekisteröitäviksi.

30.

Vastaavuuden todentamismenettelyn osalta ehdotuksessa ei myöskään määritellä, mitä väärin perustein tapahtuvaa hylkäämisen astetta (FRR) olisi sovellettava rajalla ja mitä tehdä henkilöille, jotka on hylätty ilmeisen väärin perustein. Tällainen yhtenäisten asteiden puuttuminen saattaa johtaa EU:n kansalaisten biometristen tietojen erilaiseen käsittelyyn sen mukaan, mitä rajaa ylittäen henkilö päättää saapua Schengen-alueelle, ja näin ollen johtaa siihen, että Euroopan kansalaisia ei kohdella yhdenvertaisesti mitä tulee biometristen järjestelmien jäännösriskiin. Koska prosessi perustuu todentamiseen vertailun avulla, tietosuojavaltuutettu myöntää, että väärin perustein tapahtuvan hylkäämisen aste on alempi kuin se, jota sovelletaan tunnistusmenettelyyn, ja sen vuoksi käsiteltäviä tapauksia on vähemmän. Näihin henkilöihin sovellettavat varamenettelyt on kuitenkin määriteltävä yhdenmukaistetulla ja tyydyttävällä tavalla.

31.

Tietosuojavaltuutettu suosittaa, että komissio ehdottaisi yhteisiä kynnysarvoja rekisteröinti- ja vastaavuuden todentamisprosessia varten ja liittäisi niihin yhdessä jäsenvaltioiden viranomaisten kanssa sovittavat varamenettelyt.

32.

Ehdotetut muutokset jäsenvaltioiden myöntämien passien ja matkustusasiakirjojen nykyisiä turvatekijöitä ja biometriikkaa koskeviin vaatimuksiin nostavat esiin samanlaisia kysymyksiä kuin ne, joita on käsitelty aiemmissa lausunnoissa, vaikka tietosuojavaltuutettu suhtautuukin myönteisesti siihen, että varamenettelyjen tarve on nyttemmin otettu huomioon.

33.

Tietosuojavaltuutettu suhtautuu myönteisesti myös ehdotettuihin vapautuksiin, jotka perustuvat henkilön ikään tai siihen, että hän ei kykene antamaan sormenjälkiä, samoin kuin siihen, että pyritään johdonmukaiseen lähestymistapaan eri välineissä, jotka koskevat samankaltaisia kysymyksiä.

34.

Euroopan tietosuojavaltuutettu ei kuitenkaan edelleenkään pidä näitä vapautuksia riittävinä, koska niillä ei ratkaista kaikkia mahdollisia asiaan kuuluvia seikkoja, joita aiheutuu biometristen tunnistusjärjestelmien puutteista erityisesti lasten ja iäkkäiden ihmisten kohdalla.

35.

Lapsille asetettava ikäraja olisi määriteltävä johdonmukaisen ja perusteellisen tutkimuksen pohjalta, jossa on tutkittava asianmukaisesti tunnistusjärjestelmien tarkkuus reaaliolosuhteissa ja jossa on otettava huomioon käsiteltävien tietojen monimuotoisuus. Tutkimus tulisi antaa tehtäväksi sellaiselle eurooppalaiselle toimielimelle, jolla on selkeä asiantuntemus ja riittävät voimavarat tällä alalla.

36.

Ennen kuin tutkimuksen pohjalta asetetaan ikäraja ja jotta vältettäisiin riskialtis täytäntöönpano, väliaikaisen ikärajan tulisi vastata ikärajaa, joka on jo hyväksytty laajojen väestöryhmien osalta joko Eurodac-järjestelmässä tai US Visit -ohjelmassa (14 vuotta), tai olla vähän alempi, koska kyse on vain todentamismenettelystä.

37.

Ikääntyneitä koskeva ikäraja, joka voi perustua samanlaiseen käyttökokemukseen (US Visit: 79 vuotta), olisi samoin otettava uutena vapautuksena käyttöön. Nämä vapautukset eivät saisi millään tavoin leimata tai syrjiä asianomaisia henkilöitä.

38.

Periaatetta ”yksi henkilö — yksi passi” olisi sovellettava vain lapsiin, jotka ylittävät määrätyn ikärajan.

39.

Koska kansallisten lakien vaatimukset passien myöntämisen edellyttämistä asiakirjoista nykyisellään vaihtelevat, komission olisi ehdotettava lisätoimenpiteitä näiden ”osoitusasiakirjojen” tuottamisen ja käyttämisen yhdenmukaistamiseksi.

40.

Komission olisi myös ehdotettava uusia yhdenmukaistamistoimenpiteitä, jotta EU:n jäsenvaltioiden passeja varten kerättyjä biometrisia tietoja säilytetään vain hajautettuna tallennuksena.

41.

Lopuksi komission olisi ehdotettava yhteisiä kynnysasteita rekisteröinti- ja vastaavuuden todentamisprosessia varten ja liitettävä niihin yhdessä jäsenvaltioiden viranomaisten kanssa sovittavat varamenettelyt.