6.6.2009   

FI

Euroopan unionin virallinen lehti

C 128/1

1.

Euroopan unionin neuvoston puheenjohtaja ilmoitti 28. toukokuuta 2008 Coreperille 12. kesäkuuta 2008 pidettävää Eurooppa-neuvoston kokousta varten, että tietojenvaihtoa, yksityisyyden suojaa ja henkilötietojen suojaamista käsittelevä EU:n ja Yhdysvaltojen korkean tason kontaktiryhmä (jäljempänä ”kontaktiryhmä”) on saanut raporttinsa valmiiksi. Raportti julkistettiin 26. kesäkuuta 2008 (1).

2.

Raportissa pyritään määrittelemään yksityisyyden suojan ja tietosuojan yhteisiä periaatteita ensimmäisenä askeleena kohti tietojenvaihtoa Yhdysvaltojen kanssa terrorismin ja vakavan kansainvälisen rikollisuuden torjumiseksi.

3.

Neuvoston puheenjohtajavaltio toteaa ilmoituksessaan ottavansa mielellään vastaan ideoita raportin jatkotoimiksi ja erityisesti kannanottoja raportissa määriteltyjä etenemistapoja koskeviin suosituksiin. Tietosuojavaltuutettu vastaa näin esitettyyn pyyntöön antamalla seuraavan lausunnon, joka perustuu julkistettuun tilanteeseen ja joka ei vaikuta myöhempiin kantoihin, joita tietosuojavaltuutettu saattaa esittää asian kehittyessä.

4.

Tietosuojavaltuutettu panee merkille, että kontaktiryhmä on työskennellyt tilanteessa, jossa Yhdysvaltojen ja EU:n välistä tietojenvaihtoa on erityisesti syyskuun 11. päivän 2001 jälkeen kehitetty kansainvälisten sopimusten tai muun tyyppisten välineiden avulla. Näitä ovat muun muassa Europolin ja Eurojustin Yhdysvaltojen kanssa tekemät sopimukset sekä PNR-sopimukset ja Swift-tapaus, joka johti EU:n ja Yhdysvaltojen virkamiesten väliseen kirjeenvaihtoon tietosuojaa koskevien vähimmäistakeiden määrittelemiseksi (2).

5.

Lisäksi EU myös neuvottelee ja tekee samankaltaisia sopimuksia, joissa määrätään henkilötietojen vaihdosta muiden kolmansien maiden kanssa. Äskettäisenä esimerkkinä on Euroopan unionin ja Australian välinen sopimus lentoliikenteenharjoittajien Euroopan unionista peräisin olevien PNR- eli matkustajarekisteritietojen käsittelemisestä ja siirtämisestä Australian tullilaitokselle (3).

6.

Näistä taustatiedoista käy ilmi, että kolmansien maiden lainvalvontaviranomaisten pyynnöt saada henkilötietoja lisääntyvät jatkuvasti ja että ne koskevat perinteisten hallitusten tietokantojen lisäksi myös muita tiedostotyyppejä, erityisesti yksityissektorin keräämiä tietoja sisältäviä tiedostoja.

7.

Tietosuojavaltuutettu myös palauttaa merkittävänä taustatietona mieliin, että kysymystä henkilötietojen siirtämisestä kolmansiin maihin rikosasioissa tehtävän poliisi- ja oikeudellisen yhteistyön puitteissa käsitellään rikosasioissa tehtävässä poliisi- ja oikeudellisessa yhteistyössä käsiteltävien henkilötietojen suojaamista koskevassa neuvoston puitepäätöksessä (4), joka tehtäneen ennen vuoden 2008 loppua.

8.

Transatlanttisen tietojenvaihdon voidaan odottaa vain lisääntyvän ja koskevan yhä uusia aloja, joilla henkilötietoja käsitellään. Tällaisessa tilanteessa ‘transatlanttista lainvalvontaa’ koskeva vuoropuhelu on sekä tervetullutta että arkaluonteista. Tervetullutta se on siksi, että sen avulla voidaan selventää käynnissä olevan tai tulevan tietojenvaihdon puitteita. Se on kuitenkin myös arkaluonteista, koska kyseisillä puitteilla voitaisiin oikeuttaa laajamittaiset tiedonsiirrot lainvalvonnan alalla, jolla vaikutukset yksilöihin ovat erityisen vakavia ja jolla tiukat ja luotettavat suojatoimet ja takeet ovat siis sitäkin tarpeellisempia (5).

9.

Tämän lausunnon seuraavassa luvussa käsitellään tämänhetkistä tilannetta ja mahdollisia toimintavaihtoehtoja. Luvussa III keskitytään sellaisen välineen soveltamisalaan ja luonteeseen, joka mahdollistaisi tietojenvaihdon. Lausunnon luvussa IV eritellään yleisestä näkökulmasta mahdollisen sopimuksen sisältöön liittyviä oikeudellisia kysymyksiä. Siinä käsitellään esimerkiksi Yhdysvaltojen tarjoaman tietosuojatason arviointiedellytyksiä sekä kysymystä EU:n sääntelypuitteiden käytöstä vertailukohtana kyseisen tietosuojatason arvioinnissa. Samassa luvussa myös luetellaan sopimukseen sisällytettävät perusvaatimukset. Lopuksi lausunnon luvussa V analysoidaan raporttiin liitettyjä yksityisyyden suojan periaatteita.

10.

Tietosuojavaltuutettu arvioi tämänhetkisen tilanteen seuraavasti. Tietojenvaihtoa, yksityisyyden suojaa ja henkilötietojen suojaa koskevien yhteisten normien määrittelyssä on edistytty jonkin verran.

11.

Minkäänlaisen sopimuksen valmistelua EU:n ja Yhdysvaltojen välillä ei kuitenkaan vielä ole saatu päätökseen. Lisätyötä tarvitaan vielä. Kontaktiryhmän raportissa mainitaan joukko ratkaisematta olevia kysymyksiä, joista huomattavin on oikeussuoja. Oikeussuojakeinojen tarvittavasta laajuudesta on edelleen erimielisyyttä (6). Raportin luvussa 3 mainitaan viisi muuta ratkaisematta olevaa kysymystä. Tästä lausunnosta käy lisäksi ilmi, että montaa muuta kysymystä ei ole vielä ratkaistu, esimerkiksi kysymystä tietojenvaihtoa koskevan välineen soveltamisalasta ja luonteesta.

12.

Koska raportissa pidetään parhaana sitovaa sopimusta – mistä tietosuojavaltuutettu on samaa mieltä – varovaisuus on sitäkin enemmän tarpeen. Sopimukseen pääseminen edellyttää huolellisia ja perusteellisia lisävalmisteluja.

13.

Tietosuojavaltuutetun mukaan sopimus olisi lisäksi paras tehdä Lissabonin sopimuksen nojalla, riippuen tietenkin sen voimaantulosta. Lissabonin sopimuksen voimassa ollessa EU:n pilarien väliseen jakoon liittyvää oikeudellista epävarmuutta ei esiintyisi. Näin taattaisiin myös Euroopan parlamentin täysimääräinen osallistuminen sekä yhteisöjen tuomioistuimen harjoittama oikeudellinen valvonta.

14.

Näissä olosuhteissa paras toimintavaihtoehto olisi etenemissuunnitelman laatiminen mahdollisen sopimuksen tekemiseksi myöhemmässä vaiheessa. Etenemissuunnitelma voisi sisältää seuraavaa:

15.

Tietosuojavaltuutetun mielestä on ratkaisevan tärkeää, että tietosuojaa koskevia periaatteita sisältävän mahdollisen välineen soveltamisala ja luonne määritellään selkeästi kyseisen välineen jatkokehittämisen ensimmäisenä vaiheena.

16.

Soveltamisalan osalta on ratkaistava seuraavat tärkeät kysymykset:

17.

Luonnetta määriteltäessä olisi selvennettävä seuraavia kysymyksiä:

18.

Kontaktiryhmän raportissa ei määritellä selkeästi tulevan välineen tarkkaa soveltamisalaa, mutta siinä mainituista periaatteista voidaan päätellä, että välineen on tarkoitus kattaa sekä yksityisten ja julkisten toimijoiden väliset tiedonsiirrot (7) että siirrot viranomaisten välillä.

19.

Tietosuojavaltuutettu ymmärtää logiikan, jonka mukaan tulevaa välinettä sovellettaisiin yksityisten ja julkisten toimijoiden välisiin tiedonsiirtoihin. Välinettä kehitetään tilanteessa, jossa Yhdysvallat on viime vuosina alkanut pyytää tietoja yksityisiltä toimijoilta. Tietosuojavaltuutettu toteaakin, että yksityisistä toimijoista on tulossa lainvalvonnassa systemaattisesti käytettyjä tietolähteitä sekä EU:n tasolla että kansainvälisesti (8). Swift-tapaus oli merkittävä ennakkotapaus, jossa yksityistä yritystä pyydettiin järjestelmällisesti siirtämään tietoja suurina erinä kolmannen valtion lainvalvontaviranomaisille (9). PNR-tietojen keruu lentoyhtiöiltä on saman logiikan mukaista. Tietosuojavaltuutettu asetti tämän suuntauksen oikeutuksen kyseenalaiseksi jo lausunnossaan, joka koski ehdotusta puitepäätökseksi EU:n PNR-järjestelmästä (10).

20.

Yksityisten ja julkisten toimijoiden välisten tiedonsiirtojen sisällyttämiseen tulevan välineen soveltamisalaan on syytä suhtautua epäillen kahdesta muustakin syystä.

21.

Ensinnäkin sisällyttäminen johtaisi ei-toivottuihin vaikutuksiin itse EU:n alueella. Tietosuojavaltuutettu pelkää, että jos yksityisten yritysten (kuten rahoituslaitosten) tietoja voidaan periaatteessa siirtää kolmansiin maihin, tämä voi aiheuttaa suurta painetta saman tyyppisten tietojen antamiseksi lainvalvontaviranomaisten saataville myös EU:n sisällä. PNR-järjestelmä on esimerkki tällaisesta ei-toivotusta kehityskulusta, joka alkoi matkustajatietojen keruusta suurina erinä Yhdysvalloissa ja laajeni sen jälkeen myös Euroopan sisälle (11) ilman, että järjestelmän tarpeellisuutta ja suhteellisuutta olisi selkeästi osoitettu.

22.

Toiseksi tietosuojavaltuutettu toi EU:n PNR-järjestelmää koskevasta komission ehdotuksesta antamassaan lausunnossa esiin myös kysymyksen julkisten ja yksityisten toimijoiden yhteistyön edellytyksiin sovellettavista tietosuojapuitteista (ensimmäinen vai kolmas pilari): olisiko sääntöjen perustuttava rekisterinpitäjän luonteeseen (yksityinen sektori) vai käsittelyn tarkoitukseen (lainvalvonta)? Ensimmäisen ja kolmannen pilarin ero ei ole lainkaan selkeä tilanteissa, joissa yksityiset toimijat velvoitetaan käsittelemään henkilötietoja lainvalvontatarkoituksia varten. Tämän osalta on merkittävää, että julkisasiamies Bot ehdottaa tietojen säilyttämistapauksessa (12) antamassaan ratkaisuehdotuksessa erottelua mainittuja tilanteita varten, mutta lisää ehdotukseen: ‘Tällaista erottelua voidaan tosin kritisoida, ja se saattaa vaikuttaa jossakin määrin keinotekoiselta.’ Tietosuojavaltuutettu panee myös merkille, että yhteisöjen tuomioistuimen PNR-tuomiossa (13) ei täysin vastata kysymykseen sovellettavista oikeudellisista puitteista. Esimerkiksi se, että tietyt toimet eivät kuulu direktiivin 95/46/EY soveltamisalaan, ei automaattisesti tarkoita, että kyseisiä toimia voidaan säännellä kolmannen pilarin nojalla. Tästä johtuen se saattaa jättää aukon sovellettavan lainsäädännön määrittelyyn ja johtaa joka tapauksessa oikeudelliseen epävarmuuteen rekisteröityjen käytössä olevista oikeudellisista takeista.

23.

Tämän vuoksi tietosuojavaltuutettu korostaa, että on varmistettava, ettei yleisiä tietosuojaperiaatteita sisältävällä tulevalla välineellä voida sinänsä oikeuttaa henkilötietojen transatlanttista siirtoa yksityisten ja julkisten toimijoiden välillä. Siirto voidaan sisällyttää tulevaan välineeseen vain sillä edellytyksellä, että

Lisäksi tietosuojavaltuutettu toteaa, että sovellettaviin tietosuojapuitteisiin liittyy epävarmuutta, ja katsoo sen vuoksi, ettei henkilötietojen siirtoa yksityisten ja julkisten toimijoiden välillä pitäisi missään tapauksessa sisällyttää välineeseen EU:n tämänhetkinen lainsäädäntö huomioon ottaen.

24.

Tietojenvaihdon täsmällinen laajuus on epäselvä. Ensimmäisenä vaiheena yhteiseen välineeseen tähtäävässä jatkotyöskentelyssä olisi selvennettävä tällaisen välineen suunniteltu soveltamisala. Erityisesti seuraavat kysymykset ovat ratkaisematta:

25.

Mahdollisen sopimuksen tarkoituksen määrittelyyn liittyy niin ikään epävarmuutta. Lainvalvontatarkoitukset on selkeästi mainittu raportin johdannossa ja siihen liitetyssä ensimmäisessä periaatteessa, ja niitä analysoidaan tarkemmin tämän lausunnon luvussa IV. Tietosuojavaltuutettu toteaa jo nyt, että näiden mainintojen perusteella tietojenvaihdossa keskityttäisiin kolmannen pilarin asioihin, mutta voitaisiin kysyä, onko kyseessä vain ensimmäinen askel kohti laajempaa tietojenvaihtoa. Raportissa mainittuihin ‘yleisen turvallisuuden’ tarkoituksiin näyttää selvästi kuuluvan terrorismin, järjestäytyneen rikollisuuden ja muun rikollisuuden torjunta. Onko tarkoituksena kuitenkin myös sallia tietojenvaihto muita yleisiä etuja, esimerkiksi kansanterveyteen kohdistuvia mahdollisia riskejä varten?

26.

Tietosuojavaltuutettu suosittelee, että käyttötarkoitus rajoitettaisiin tarkoin määriteltyyn tietojenkäsittelyyn ja että tällaiseen käyttötarkoituksen määrittelyyn johtavat toimintapoliittiset valinnat perusteltaisiin.

27.

Raportin laaja soveltamisala olisi nähtävä yhteydessä niin sanotussa tulevaisuusryhmässä käsiteltyyn kattavaan transatlanttiseen turvallisuusalueeseen (14). Kyseisen ryhmän kesäkuussa 2008 annetussa raportissa painotetaan sisäpolitiikan ulkoista ulottuvuutta. Raportin mukaan ‘vuoteen 2014 mennessä Euroopan unionin olisi tehtävä ratkaisu sen poliittisen tavoitteen osalta, joka koskee euro-atlanttisen yhteistyöalueen toteuttamista vapauden, turvallisuuden ja oikeuden alueella Yhdysvaltain kanssa’. Tällainen yhteistyö menisi pelkkää turvallisuutta pidemmälle, koska siihen kuuluisi vähintään aiheita, joita käsitellään EY:n perustamissopimuksen nykyisessä IV osastossa, esimerkiksi maahanmuutto, viisumi- ja turvapaikka-asiat ja yksityisoikeudellinen yhteistyö. On kysyttävä, missä määrin esimerkiksi kontaktiryhmän raportissa mainittuja tietosuojan perusperiaatteita koskevan sopimuksen on mahdollista ja pitäisi olla perustana tietojenvaihdolle näin laajalla alalla.

28.

Vuonna 2014 pilarirakenteen ei pitäisi enää olla olemassa, jolloin tietosuojalle EU:n sisällä on vain yksi oikeusperusta (Lissabonin sopimus, Euroopan unionin toiminnasta tehdyn sopimuksen 16 artikla). Se, että tietosuojan sääntelyä on yhdenmukaistettu EU:n tasolla, ei kuitenkaan tarkoita, että kolmannen maan kanssa tehtävässä sopimuksessa voitaisiin sallia henkilötietojen siirtäminen mitä tahansa tarkoitusta varten. Yhteydestä ja tietojenkäsittelyn edellytyksistä riippuen yksittäiset alat, esimerkiksi lainvalvonta, saattavat vaatia tietosuojatakeiden mukauttamista. Tietosuojavaltuutettu suosittelee, että näiden eri mahdollisuuksien seuraukset otettaisiin huomioon tulevaa sopimusta valmisteltaessa.

29.

Ainakin lyhyellä aikavälillä on oleellista määritellä, minkä pilarin nojalla järjestely neuvotellaan. Tämä on tarpeen erityisesti siksi, että tällainen sopimus vaikuttaa tietosuojan sisäisiin sääntelypuitteisiin. Käytetäänkö puitteina ensimmäistä pilaria – periaatteessa direktiiviä 95/46/EY ja sen erityistä järjestelmää tietojen siirtämiseksi kolmansiin maihin – vai kolmatta pilaria, jossa tietojensiirtoon kolmansiin maihin sovellettava järjestelmä ei ole yhtä tiukka (15)?

30.

Kuten edellä mainittiin, lainvalvontatarkoitukset ovat ensisijaisia, mutta kontaktiryhmän raportissa mainitaan siitä huolimatta tietojen kerääminen yksityisiltä toimijoilta, ja käyttötarkoitukset voidaan myös tulkita laajasti niin, että ne kattavat paitsi puhtaan turvallisuuden, johon kuuluvat esimerkiksi maahanmuutto- ja rajavalvonta-asiat, mahdollisesti myös kansanterveyden. Tästä epävarmuudesta johtuen olisi ehdottomasti parempi odottaa EU-lainsäädännön mukaisten pilarien yhtenäistymistä Lissabonin sopimuksen myötä, jotta määriteltäisiin selkeästi neuvottelujen oikeusperusta ja EU:n toimielinten, erityisesti Euroopan parlamentin ja komission täsmällinen rooli.

31.

Olisi selvennettävä, johtavatko keskustelujen tulokset yhteisymmärryspöytäkirjaan tai muuhun ei-sitovaan välineeseen vai tehdäänkö niiden perusteella sitova kansainvälinen sopimus.

32.

Tietosuojavaltuutettu yhtyy raportissa esitettyyn kantaan, jossa annetaan etusija sitovalle sopimukselle. Virallinen sitova sopimus on tietosuojavaltuutetun mielestä ehdoton edellytys EU:n ulkopuolelle suuntautuvalle tiedonsiirrolle riippumatta siitä, mihin tarkoitukseen tiedot siirretään. Kolmanteen maahan ei voida siirtää tietoja ilman nimenomaisiin (ja sitoviin) oikeudellisiin puitteisiin sisältyviä riittäviä edellytyksiä ja takeita. Toisin sanoen yhteisymmärryspöytäkirja tai muu ei-sitova väline voi olla hyödyllinen ohjeiden antamiseksi myöhemmin tehtävien sitovien sopimusten neuvottelemista varten, mutta se ei voi koskaan korvata sitovaa sopimusta.

33.

Välineen määräysten olisi sidottava tasavertaisesti Yhdysvaltoja, EU:ta ja sen jäsenvaltioita.

34.

Lisäksi olisi varmistettava, että yksilöillä on oikeus käyttää oikeuksiaan ja erityisesti saada oikeussuojaa sovittujen periaatteiden perusteella. Tietosuojavaltuutetun mukaan tähän päästään parhaiten, jos välineen varsinaiset määräykset muotoillaan niin, että niillä on välittömiä oikeusvaikutuksia Euroopan unionin asukkaisiin ja että niihin voidaan vedota tuomioistuimessa. Tästä syystä välineessä on tehtävä selväksi kansainvälisen sopimuksen määräysten välittömät oikeusvaikutukset sekä edellytykset sen saattamiseksi osaksi EU:n sisäistä ja kansallista lainsäädäntöä toimenpiteiden tehokkuuden varmistamiseksi.

35.

Perustavanlaatuinen kysymys on myös se, missä määrin sopimus on itsenäinen tai missä määrin sitä on täydennettävä tapauskohtaisesti tehtävillä sopimuksilla yksittäisistä tietojenvaihdoista. On kyseenalaista, voitaisiinko yhdellä sopimuksella ja siis yksillä vaatimuksilla riittävästi kattaa kolmannen pilarin tietojenkäsittelyn moninaiset erityispiirteet. Vielä kyseenalaisempaa on, voitaisiinko siinä ilman lisäkeskusteluja ja -takeita sallia minkä tahansa henkilötietojen siirron yleishyväksyntä asianomaisten tietojen käyttötarkoituksesta ja luonteesta riippumatta. Sitä paitsi kolmansien maiden kanssa tehtävät sopimukset eivät välttämättä ole pysyviä, koska ne voivat liittyä erityisiin uhkiin, niitä voidaan tarkistaa ja niihin voidaan soveltaa raukeamislausekkeita. Toisaalta sitovassa välineessä tunnustetut yhteiset vähimmäisvaatimukset voisivat helpottaa henkilötietojen siirrosta käytäviä mahdollisia jatkokeskusteluja tietyn tietokannan tai käsittelyn yhteydessä.

36.

Tietosuojavaltuutettu kannattaakin tietosuojaa koskevien vähimmäiskriteerien kehittämistä ja niiden täydentämistä tapauskohtaisesti erityisillä lisämääräyksillä, kuten kontaktiryhmän raportissa esitetään, mieluummin kuin itsenäisen sopimuksen vaihtoehtoa. Kyseiset erityiset lisämääräykset ovat ennakkoedellytys tiedonsiirrolle yksittäistapauksessa. Näin rohkaistaisiin yhdenmukaista lähestymistapaa tietosuojaan.

37.

Olisi tarkasteltava myös sitä, miten mahdollinen yleisluonteinen sopimus sopisi yhteen EU:n ja Yhdysvaltojen välillä jo tehtyjen, voimassa olevien sopimusten kanssa. Huomattakoon, että nämä voimassa olevat sopimukset eivät ole samalla tavoin sitovia: erityisesti voidaan mainita PNR-sopimus (joka tarjoaa suuremman oikeusvarmuuden), Europol- ja Eurojust-sopimukset tai Swift-kirjeenvaihto (16). Korvaisivatko uudet yleiset puitteet nämä voimassa olevat välineet vai säilyisivätkö ne muuttumattomina ja uusia puitteita sovellettaisiin vain muihin tuleviin henkilötietojen siirtoihin? Tietosuojavaltuutetun mielestä oikeudellinen johdonmukaisuus edellyttäisi yhdenmukaisia sääntöjä, joita sovellettaisiin sekä voimassa oleviin että tuleviin sitoviin tiedonsiirtosopimuksiin ja jotka täydentäisivät niitä.

38.

Yleisluonteisen sopimuksen soveltamisesta voimassa oleviin välineisiin olisi se etu, että se vahvistaisi niiden sitovuutta. Tämä olisi erityisen tervetullutta silloin, kun välineet eivät ole oikeudellisesti sitovia, kuten Swift-kirjeenvaihdon tapauksessa, koska se velvoittaisi ainakin noudattamaan yleisiä tietosuojaperiaatteita.

39.

Tässä luvussa käsitellään sitä, miten tiettyjen puitteiden tai tietyn välineen tarjoaman suojan tasoa olisi arvioitava, sekä käytettäviä vertailukohtia ja tarvittavia perusvaatimuksia.

40.

Tietosuojavaltuutettu pitää selvänä, että yhtenä tulevan välineen pääasiallisena tuloksena olisi se, että henkilötietoja voidaan siirtää Yhdysvaltoihin vain, jos Yhdysvaltojen viranomaiset takaavat tietosuojan riittävän tason (ja päinvastoin).

41.

Tietosuojavaltuutettu katsoo, että henkilötietojen suojan tason takeiden riittävyys voidaan varmistaa vain todellisella riittävyystestillä. Yleisluonteisella puitesopimuksella, jonka soveltamisala olisi yhtä laaja kuin kontaktiryhmän raportissa mainitaan, olisi vaikeuksia päästä läpi todellisesta riittävyystestistä. Yleisluonteisen sopimuksen tietosuojan taso voitaisiin todeta riittäväksi vain, jos siihen yhdistetään tapauskohtaisesti tehtyjen erityissopimusten tietosuojan riittävä taso.

42.

Kolmansien maiden tarjoaman tietosuojan tason arviointi ei ole epätavallista etenkään Euroopan komissiossa, koska ensimmäisen pilarin mukaisiin tiedonsiirtoihin vaaditaan tietosuojan riittävää tasoa. Se on useissa tapauksissa mitattu direktiivin 95/46/EY 25 artiklan nojalla erityisten kriteerien pohjalta ja vahvistettu Euroopan komission päätöksillä (17). Kolmannessa pilarissa tällaisesta järjestelmästä ei ole nimenomaan määrätty, vaan tietosuojan tason riittävyyttä on mitattava ainoastaan – vielä tekemättömän – tietosuojapuitepäätöksen (18) 11 ja 13 artiklassa tarkoitetussa erityisessä tilanteessa, ja mittaaminen on jäsenvaltioiden vastuulla.

43.

Käsillä olevassa tapauksessa toimien soveltamisala liittyy lainvalvontatarkoituksiin, ja neuvotteluja käy komissio neuvoston valvonnassa. Yhteys eroaa safe harbour -periaatteiden tai Kanadan lainsäädännön tarjoaman tietosuojan tason riittävyyden arvioinnista ja liittyy enemmänkin Yhdysvaltojen ja Kanadan kanssa äskettäin käytyihin PNR-neuvotteluihin, joiden oikeudellisina puitteina oli kolmas pilari. Kontaktiryhmän periaatteet on kuitenkin mainittu myös yhteydessä viisumivapausohjelmaan, joka koskee rajavalvontaa ja maahanmuuttoa eli ensimmäisen pilarin asioita.

44.

Tietosuojavaltuutettu suosittelee, että tulevan välineen nojalla tapahtuvassa tietosuojan tason riittävyyden selvittämisessä käytettäisiin hyväksi mainituilla eri aloilla saatuja kokemuksia. Tietosuojavaltuutettu suosittelee myös, että ”tietosuojan tason riittävyyden” käsitettä kehitettäisiin edelleen tulevan välineen yhteydessä käyttäen vastaavanlaisia kriteerejä kuin aikaisemmissa tietosuojan tason riittävyysmäärityksissä.

45.

Toinen tietosuojan tason muodostava seikka liittyy EU:n ja Yhdysvaltojen järjestelmien vastavuoroiseen tunnustamiseen. Kontaktiryhmän raportissa mainitaan tämän osalta, että tavoitteena on ”saada tunnustus kummankin osapuolen yksityisyyden suojaa ja tietosuojaa koskevien järjestelmien tehokkuudelle kyseisten periaatteiden kattamilla aloilla” (19) ja päästä ”yksityisyyden ja henkilötietojen suojaa koskevan lainsäädännön yhtäläiseen ja vastavuoroiseen soveltamiseen”.

46.

Tietosuojavaltuutetun mielestä on ilmeistä, että vastavuoroinen tunnustaminen (tai vastavuoroisuus) on mahdollista vain, jos taataan suojan riittävä taso. Toisin sanoen tulevalla välineellä olisi yhdenmukaistettava suojan vähimmäistaso (selvittämällä tason riittävyys ottaen tapauskohtaisesti huomioon erityisten sopimusten tarve). Vain tällä ennakkoedellytyksellä vastavuoroisuus voitaisiin vahvistaa.

47.

Ensimmäinen huomioitava tekijä on tietosuojaa koskevien varsinaisten säännösten vastavuoroisuus. Tietosuojavaltuutetun mielestä sopimuksessa olisi käsiteltävä tietosuojaa koskevien varsinaisten säännösten vastavuoroisuutta niin, että varmistetaan toisaalta tietosuojaa koskevien kansallisten lakien täysimääräinen noudattaminen EU:n (ja Yhdysvaltojen) alueella tapahtuvassa tietojenkäsittelyssä ja toisaalta se, että tietojen alkuperämaan ulkopuolella tapahtuvassa käsittelyssä, joka kuuluu sopimuksen soveltamisalaan, noudatetaan sopimukseen sisältyviä tietosuojaperiaatteita.

48.

Toinen tekijä on oikeussuojamekanismien vastavuoroisuus. Olisi varmistettava, että Euroopan kansalaisten käytössä on riittävät oikeussuojakeinot, kun heitä koskevia tietoja käsitellään Yhdysvalloissa (riippumatta siitä, mitä lainsäädäntöä käsittelyyn sovelletaan), mutta myös se, että Euroopan unioni ja sen jäsenvaltiot myöntävät Yhdysvaltojen kansalaisille yhtäläiset oikeudet.

49.

Kolmas tekijä on lainvalvontaviranomaisten vastavuoroinen pääsy henkilötietoihin. Jos väline mahdollistaa Yhdysvaltojen viranomaisten pääsyn Euroopan unionista peräisin oleviin tietoihin, vastavuoroisuuden perusteella EU:n viranomaisille olisi annettava vastaava pääsy Yhdysvalloista peräisin oleviin tietoihin. Vastavuoroisuudesta ei saa olla haittaa rekisteröidyn suojan tehokkuudelle. Se on edellytys ”transatlanttisen” pääsyn sallimiseksi lainvalvontaviranomaisille. Konkreettisesti tämä tarkoittaa seuraavaa:

50.

Arviointiedellytysten (suojan riittävyys, vastaavuus, vastavuoroinen tunnustaminen) erittely on oleellista, koska sisällön täsmällisyys, oikeusvarmuus ja suojan tehokkuus määräytyvät niiden mukaan. Tulevan välineen sisällön on oltava täsmällinen ja tarkka.

51.

Lisäksi olisi oltava selvää, että myöhemmin mahdollisesti tehtäviin erityissopimuksiin on vielä sisällytettävä yksityiskohtaiset ja täydelliset tietosuojatakeet suunnitellun tietojenvaihdon aiheen osalta. Vain kaksinkertaistamalla tällä tavoin tietosuojaa koskevat konkreettiset periaatteet varmistettaisiin samansuuntaisuus, jonka on vallittava yleisluonteisen sopimuksen ja erityissopimusten välillä, kuten tämän lausunnon kohdissa 35 ja 36 todettiin.

52.

On syytä kiinnittää erityistä huomiota siihen, missä määrin Yhdysvaltojen kanssa tehtävää sopimusta voitaisiin käyttää mallina muiden kolmansien maiden suhteen. Tietosuojavaltuutettu panee merkille, että Yhdysvaltojen lisäksi edellä mainitussa tulevaisuusryhmän raportissa mainitaan myös Venäjä EU:n strategisena kumppanina. Kunhan periaatteet ovat puolueettomia ja EU:n perustakeiden mukaisia, ne voisivat muodostaa hyödyllisen ennakkotapauksen. Esimerkiksi vastaanottavan maan lainsäädäntöpuitteisiin liittyvät erityispiirteet tai tiedonsiirron tarkoitus estäisivät kuitenkin käyttämästä sopimusta sellaisenaan. Yhtä ratkaiseva on kolmansien maiden demokraattinen tilanne: sovittujen periaatteiden tosiasiallinen takaaminen ja täytäntöönpano vastaanottavassa maassa olisi varmistettava.

53.

Implisiittisessä tai eksplisiittisessä tietosuojan tason riittävyyden arvioinnissa olisi joka tapauksessa noudatettava kansainvälisiä ja eurooppalaisia lainsäädäntöpuitteita ja erityisesti yhteisesti sovittuja tietosuojatakeita. Ne sisältyvät Yhdistyneiden Kansakuntien ohjeisiin, Euroopan neuvoston yleissopimukseen 108 ja sen lisäpöytäkirjaan, OECD:n ohjeisiin ja luonnokseen tietosuojapuitepäätökseksi sekä ensimmäisen pilarin näkökohtien osalta direktiiviin 95/46/EY (20). Kaikissa näissä välineissä on samankaltaisia periaatteita, jotka tunnustetaan laajemminkin keskeiseksi osaksi henkilötietojen suojaa.

54.

Edellä mainittujen periaatteiden asianmukainen huomioon ottaminen on sitäkin tärkeämpää, kun otetaan huomioon vaikutukset, joita kontaktiryhmän raportissa suunnitellun kaltaisella mahdollisella sopimuksella olisi. Kolmannen maan koko lainvalvonta-alaa koskeva väline loisi todellakin ennennäkemättömän tilanteen. Voimassa olevat tietosuojan tason riittävyyttä koskevat ensimmäisen pilarin päätökset ja EU:n (Europol, Eurojust) kolmannessa pilarissa tekemät sopimukset kolmansien maiden kanssa ovat aina liittyneet erikseen määriteltyyn tiedonsiirtoon, kun taas tässä tapauksessa saatettaisiin mahdollistaa paljon laajemmat siirrot, kun otetaan huomioon käyttötarkoituksen laaja-alaisuus (rikosten torjuminen, kansallinen ja yleinen turvallisuus, rajavalvonta) ja asianomaisten tietokantojen määrän epäselvyys.

55.

Henkilötietoja kolmansiin maihin siirrettäessä noudatettavia edellytyksiä on käsitelty 29 artiklan mukaisen tietosuojatyöryhmän valmisteluasiakirjassa (21). Yksityisyyden suojan vähimmäisperiaatteita koskevan mahdollisen sopimuksen olisi läpäistävä vaatimustenmukaisuustesti, jolla varmistetaan tietosuojatakeiden tehokkuus.

56.

Näiden kolmen perusvaatimuksen lisäksi olisi kiinnitettävä erityistä huomiota henkilötietojen käsittelyyn lainvalvonnan yhteydessä liittyviin erityispiirteisiin. Kyseessä on ala, jolla perusoikeuksia saatetaan rajoittaa jonkin verran. Tämän vuoksi olisi sovellettava takeita, joilla kompensoidaan yksilöiden oikeuksien rajoittamista, erityisesti seuraavien seikkojen osalta ja ottaen huomioon yksilöön kohdistuvat vaikutukset:

57.

Tässä luvussa analysoidaan kontaktiryhmän asiakirjaan sisältyviä 12 periaatetta seuraavasta näkökulmasta:

58.

Ensimmäisessä kontaktiryhmän raportin liitteessä luetelluista periaatteista todetaan, että henkilötietojen käsittelyn on tapahduttava oikeutettua lainvalvontatarkoitusta varten. Kuten edellä on mainittu, tämä viittaa Euroopan unionin osalta rikosten torjuntaan, selvittämiseen, tutkintaan tai syytteeseenpanoon. Yhdysvaltojen osalta lainvalvonnan tulkinta on kuitenkin rikoksia laajempi ja kattaa ”rajavalvonnan, yleisen turvallisuuden ja kansallisen turvallisuuden tarkoitukset”. Epäselväksi jää, mitä seurauksia tällaisista EU:n ja Yhdysvaltojen ilmoitettujen käyttötarkoitusten eroavaisuuksista olisi. Raportissa mainitaan, että käytännössä käyttötarkoitukset saattavat vastata toisiaan suuressa määrin, mutta on oleellisen tärkeää tietää tarkoin, missä määrin ne eivät vastaa toisiaan. Kun otetaan huomioon toteutettujen toimenpiteiden vaikutukset yksilöihin, lainvalvonta-alalla on ehdottomasti noudatettava käyttötarkoituksen rajoittamisen periaatetta ja ilmoitettujen käyttötarkoitusten on oltava selkeitä ja määriteltyjä. Käyttötarkoitusten lähentäminen vaikuttaa myös olennaisen tärkeältä, kun otetaan huomioon raportissa suunniteltu vastavuoroisuus. Lyhyesti sanottuna on selvennettävä, miten periaate ymmärretään.

59.

Tietosuojavaltuutettu on tyytyväinen määräykseen, jonka mukaan lainmukainen käsittely edellyttää tietojen oikeellisuutta, asiaankuuluvuutta, ajantasaisuutta ja täydellisyyttä. Tällainen periaate on tehokkaan tietojenkäsittelyn perusedellytys.

60.

Periaatteessa yhdistetään selkeästi toisiinsa kerätyt tiedot ja niiden tarve vastata lakisääteistä lainvalvontatarkoitusta. Tämä oikeusperustan vaatimus on myönteinen tekijä, jolla vahvistetaan käsittelyn laillisuus. Tietosuojavaltuutettu toteaa kuitenkin, että vaikka näin vahvistetaan käsittelyn oikeusvarmuutta, tällaisen käsittelyn oikeusperustana on kolmannen maan laki. Kolmannen maan laki ei voi sellaisenaan olla laillinen oikeusperusta henkilötietojen siirrolle (22). Kontaktiryhmän raportissa näytetään oletettavan, että kolmannen maan eli Yhdysvaltojen lainsäädäntö tunnustetaan periaatteessa päteväksi. Olisi pidettävä mielessä, että vaikka kyseinen logiikka voi tässä tapauksessa olla perusteltua, kun otetaan huomioon, että Yhdysvallat on demokraattinen valtio, sama järjestelmä ei olisi pätevä eikä sitä voitaisi sellaisenaan soveltaa suhteisiin minkään muun kolmannen maan kanssa.

61.

Kontaktiryhmän raportin liitteen mukaan kaikkien henkilötietojen siirtojen on oltava aiheellisia, tarpeellisia ja asianmukaisia. Tietosuojavaltuutettu korostaa, että ollakseen suhteellista tietojenkäsittelyssä ei saa tarpeettomasti puuttua yksityiselämään ja että käsittely on toteutettava tasapainoisesti ja rekisteröityjen oikeudet ja edut huomioon ottaen.

62.

Tästä syystä tietoihin pääsy olisi myönnettävä tapauskohtaisesti erityiseen tutkintaan liittyvistä käytännön tarpeista riippuen. Kolmannen maan lainvalvontaviranomaisten pysyvää pääsyä EU:ssa sijaitseviin tietokantoihin pidettäisiin suhteettomana ja perusteettomana. Tietosuojavaltuutettu muistuttaa, että myös tietojenvaihtoa koskevien voimassa olevien sopimusten yhteydessä, esimerkiksi PNR-sopimuksen tapauksessa, tietojenvaihto perustuu erityisiin olosuhteisiin ja siitä sovitaan rajoitetuksi ajaksi (23).

63.

Saman logiikan mukaisesti tietojen säilyttämisaikaa olisi säänneltävä niin, että tiedot säilytettäisiin vain niin kauan kuin ne ovat tarpeellisia erityiseen käyttötarkoitukseensa. Jos ne eivät enää ole aiheellisia määritellyn käyttötarkoituksen kannalta, ne olisi tuhottava. Tietosuojavaltuutettu vastustaa voimakkaasti sellaisten tietovarastojen kokoamista, joissa varastoitaisiin tietoja yksilöistä, joihin ei kohdistu epäilyjä, mahdollista tulevaa tarvetta varten.

64.

Periaatteisiin sisältyy toimenpiteitä ja menettelyjä tietojen suojaamiseksi väärinkäytöltä, muuttamiselta ja muilta riskeiltä sekä määräys pääsyn rajoittamisesta valtuutettuihin yksilöihin. Tietosuojavaltuutettu pitää tätä tyydyttävänä.

65.

Periaatetta voitaisiin vielä täydentää määräyksellä, jonka mukaan tietojen käyttäjistä olisi pidettävä lokeja. Näin vahvistettaisiin takeita pääsyn rajoittamiseksi ja tietojen väärinkäytön estämiseksi.

66.

Tietoturvaloukkausten sattuessa olisi myös sovittava vastavuoroisesta tiedottamisesta: tietojen vastaanottajat sekä Yhdysvalloissa että EU:ssa olisivat vastuussa tiedottamisesta vastapuolilleen, jos heidän saamiaan tietoja on luovutettu laittomasti. Näin tehostetaan vastuuta tietojen turvallisesta käsittelystä.

67.

Arkaluonteisten tietojen käsittelyn kieltävää periaatetta heikentää tietosuojavaltuutetun mielestä huomattavasti poikkeus, joka sallii arkaluonteisten tietojen käsittelyn aina, kun kansallisessa lainsäädännössä on säädetty ”asianmukaisista takeista”. Juuri tietojen arkaluonteisuuden vuoksi kaikki poikkeukset kieltoperiaatteesta on perusteltava riittävästi ja tarkasti, ja niihin on liitettävä luettelo käyttötarkoituksista ja olosuhteista, joissa määrätynlaisia arkaluonteisia tietoja voidaan käsitellä, sekä ilmoitus tällaisten tietojen käsittelyyn valtuutetuista rekisterinpitäjistä. Osana annettavia takeita tietosuojavaltuutettu katsoo, ettei arkaluonteisten tietojen pitäisi sinänsä olla tutkinnan käynnistävä tekijä. Ne voisivat olla saatavilla erityisissä olosuhteissa, mutta vain lisätietoina rekisteröidystä, joka on jo tutkinnan kohteena. Kyseiset takeet ja edellytykset on lueteltava tyhjentävästi periaatteen tekstissä.

68.

Kuten tämän lausunnon kohdissa 55 ja 56 selvitetään, henkilötietoja käsittelevien julkisyhteisöjen vastuuvelvollisuus on varmistettava tehokkaasti ja vastuuvelvollisuuden varmistamistapaa koskevat takeet on annettava sopimuksessa. Tämä on sitäkin tärkeämpää, kun otetaan huomioon avoimuuden puute, joka perinteisesti yhdistetään henkilötietojen käsittelyyn lainvalvonnan yhteydessä. Tältä kannalta maininta – kuten tällä hetkellä liitteessä – jonka mukaan julkisyhteisöt ovat vastuuvelvollisia, antamatta muuta selitystä tällaisen vastuuvelvollisuuden yksityiskohdista ja seurauksista, ei ole tyydyttävä tae. Tietosuojavaltuutettu suosittelee tällaisen selityksen antamista välineen tekstissä.

69.

Tietosuojavaltuutettu antaa täyden tukensa yhden tai useamman julkisen valvontaviranomaisen harjoittamaa riippumatonta ja tehokasta valvontaa koskevan määräyksen sisällyttämiselle tekstiin. Tietosuojavaltuutettu katsoo, että riippumattomuuden tulkintaa olisi selvennettävä erityisesti sen osalta, kenestä kyseiset viranomaiset ovat riippumattomia ja kenelle ne raportoivat. Tämä edellyttää kriteerejä, joissa olisi otettava huomioon institutionaalinen ja toiminnallinen riippumattomuus suhteessa toimeenpano- ja lainsäädäntöelimiin. Tietosuojavaltuutettu muistuttaa, että tämä on oleellinen tekijä sovittujen periaatteiden tosiasiallisen noudattamisen varmistamisen kannalta. Kyseisten viranomaisten toiminta- ja täytäntöönpanovaltuudet ovat niin ikään ratkaisevan tärkeitä käsiteltäessä edellä mainittua kysymystä henkilötietoja käsittelevien julkisyhteisöjen vastuuvelvollisuudesta. Niiden olemassaolo ja toimivaltuudet olisi saatettava selkeästi rekisteröityjen tietoon, jotta nämä voivat käyttää oikeuksiaan, erityisesti jos useat viranomaiset ovat toimivaltaisia käsittelyn asiayhteydestä riippuen.

70.

Lisäksi tietosuojavaltuutettu suosittelee, että tulevassa sopimuksessa määrättäisiin myös valvontaviranomaisten välisistä yhteistyömekanismeista.

71.

Lainvalvonnan yhteydessä myönnettävän pääsyn ja oikaisujen osalta tarvitaan erityisiä takeita. Siinä mielessä tietosuojavaltuutettu suhtautuu myönteisesti periaatteeseen, jonka mukaan yksilöille on annettava tai pitäisi antaa pääsy henkilötietoihinsa ja mahdollisuus pyytää niiden oikaisua ja/tai poistamista. Yksilöiden määrittelyyn (kaikkia rekisteröityjä olisi suojeltava, ei vain asianomaisen maan kansalaisia) ja edellytyksiin, joilla yksilöt voisivat vastustaa tietojensa käsittelyä, liittyy kuitenkin vielä epävarmuutta. ”Asianmukaisia tapauksia, joissa käsittelyä voitaisiin vastustaa tai ei voitaisi vastustaa, on tarkennettava”. Rekisteröidyille olisi oltava selvää, missä olosuhteissa – riippuen esimerkiksi viranomaisen luonteesta, tutkinnan tyypistä tai muista perusteista – he voivat käyttää oikeuksiaan.

72.

Lisäksi jos ei ole olemassa välitöntä mahdollisuutta vastustaa käsittelyä perustelluista syistä, olisi mahdollistettava välillinen tarkistaminen käsittelyn valvonnasta vastaavan riippumattoman viranomaisen kautta.

73.

Tietosuojavaltuutettu korostaa jälleen kerran tosiasiallisen avoimuuden tärkeyttä, jotta yksilöt voisivat käyttää oikeuksiaan ja jotta edistettäisiin henkilötietoja käsittelevien viranomaisten yleistä vastuuvelvollisuutta. Tietosuojavaltuutettu kannattaa kaavailtuja periaatteita ja painottaa erityisesti yksilölle annettavan yleisen ja yksittäisen ilmoituksen tarpeellisuutta. Tämä käy ilmi liitteen kohdassa 9 olevan periaatteen sanamuodosta.

74.

Raportin luvussa 2 olevassa kohdassa B (‘Sovitut periaatteet’) kuitenkin mainitaan, että Yhdysvalloissa avoimuuteen voi kuulua ”yksin tai yhdessä muiden toimien kanssa julkaiseminen Federal Register -säädöskokoelmassa, yksittäinen ilmoitus sekä luovuttaminen oikeuskäsittelyä varten”. On oltava selvää, että julkaiseminen virallisessa lehdessä ei sinänsä riitä takaamaan asianmukaista tiedottamista rekisteröidylle. Yksittäisen ilmoituksen tarpeellisuuden lisäksi tietosuojavaltuutettu muistuttaa, että tiedot on annettava sellaisessa muodossa ja sellaisella kielellä, jota rekisteröidyn on helppo ymmärtää.

75.

Jotta taattaisiin yksilöiden oikeuksien tehokas käyttäminen, yksilöiden on voitava tehdä valitus riippumattomassa tietosuojaviranomaisessa sekä saattaa asia riippumattoman ja puolueettoman tuomioistuimen käsiteltäväksi. Molempien oikeussuojakeinojen olisi oltava yhtäläisesti käytettävissä.

76.

Mahdollisuus kääntyä riippumattoman tietosuojaviranomaisen puoleen on tarpeen, koska se tarjoaa joustavaa ja kohtuuhintaista apua alalla (lainvalvonta), joka voi olla yksilöille melko vaikeaselkoinen. Tietosuojaviranomaiset voivat myös antaa apua käyttämällä tiedonsaantioikeuksia rekisteröityjen puolesta, jos poikkeukset estävät näitä saamasta välitöntä pääsyä henkilötietoihinsa.

77.

Oikeus saattaa asia tuomioistuimen käsiteltäväksi on välttämätön lisätae, jolla varmistetaan, että rekisteröidyt voivat käyttää oikeuskeinoja viranomaisessa, joka kuuluu heidän tietojaan tosiasiassa käsittelevistä julkisista elimistä erilliseen osaan demokraattista järjestelmää. Yhteisöjen tuomioistuin (24) on katsonut, että tällainen tosiasiallinen mahdollisuus saattaa asia tuomioistuimen käsiteltäväksi on ”olennaisen tärkeää, jotta yksityiselle taattaisiin hänen oikeutensa todellinen suoja. (…) [Se] on yhteisön oikeuden yleinen periaate, joka pohjautuu jäsenvaltioiden yhteiseen valtiosääntöperinteeseen ja joka on ilmaistu Euroopan ihmisoikeussopimuksen 6 ja 13 artiklassa”. Oikeuskeinoista säädetään myös nimenomaisesti Euroopan unionin perusoikeuskirjan 47 artiklassa ja direktiivin 95/46/EY 22 artiklassa ilman, että ne rajoittavat mahdollisten hallinnollisten keinojen käyttöä.

78.

Tietosuojavaltuutettu panee tyytyväisenä merkille määräyksen asianmukaisista takeista käsiteltäessä henkilötietoja automaattisesti. Tietosuojavaltuutettu toteaa, että tämän periaatteen soveltamisedellytykset olisivat selkeämmät, jos määriteltäisiin yhteisesti, mitä tarkoitetaan ‘merkittävällä haitallisella toiminnalla, joka koskee yksilön asiaankuuluvia etuja’.

79.

Jotkut tietojen edelleensiirtämistä koskevista edellytyksistä ovat epäselviä. Erityisesti silloin, kun edelleensiirtämisessä on noudatettava lähettävän ja vastaanottavan maan välisiä kansainvälisiä järjestelyjä ja sopimuksia, olisi tarkennettava, tarkoittaako tämä ensimmäisen siirron toteuttaneiden kahden maan vai edelleensiirtoon osallistuvien kahden maan välisiä sopimuksia. Tietosuojavaltuutetun mukaan ensimmäisen siirron toteuttaneiden kahden maan välisiä sopimuksia on joka tapauksessa noudatettava.

80.

Tietosuojavaltuutettu panee myös merkille, että edelleensiirtämisen mahdollistava ”oikeutettu yleinen etu” on määritelty hyvin laajasti. Yleisen turvallisuuden soveltamisala jää epäselväksi, ja siirtojen laajentaminen tapauksissa, joissa on toimittu epäeettisesti tai joissa on kyse säännellyistä ammateista, vaikuttaa perusteettomalta ja liialliselta lainvalvonnan yhteydessä.

81.

Tietosuojavaltuutettu suhtautuu myönteisesti EU:n ja Yhdysvaltojen viranomaisten yhteiseen työskentelyyn lainvalvonnan alalla, jolla tietosuoja on ratkaisevan tärkeää. Tietosuojavaltuutettu kuitenkin painottaa, että kysymys on monimutkainen, erityisesti tarkan soveltamisalansa ja luonteensa osalta, ja että sitä on sen vuoksi syytä analysoida huolellisesti ja perusteellisesti. Transatlanttisen välineen vaikutuksia tietosuojaan olisi tarkasteltava huolellisesti nykyisten lainsäädäntöpuitteiden ja kansalaisiin kohdistuvien seurausten kannalta.

82.

Tietosuojavaltuutettu kehottaa selventämään varsinkin seuraavia seikkoja ja laatimaan niistä konkreettisia määräyksiä:

83.

Tietosuojavaltuutettu korostaa sitä, että periaatteita laadittaessa olisi vältettävä hätiköintiä, koska se johtaisi vain riittämättömiin ratkaisuihin, joiden vaikutukset tietosuojaan olisivat päinvastaisia kuin aiotut. Paras etenemistapa tässä vaiheessa olisi sen vuoksi laatia etenemissuunnitelma mahdollisen sopimuksen tekemiseksi myöhemmin.

84.

Tietosuojavaltuutettu kehottaa myös entistä suurempaan avoimuuteen laadittaessa tietosuojaperiaatteita. Välineestä ei käydä demokraattista keskustelua eikä se saa tarvitsemaansa tukea ja tunnustusta, elleivät kaikki sidosryhmät, Euroopan parlamentti mukaan luettuna, osallistu prosessiin.

—

Amerikan yhdysvaltojen ja Euroopan poliisiviraston sopimus, 6. joulukuuta 2001, ja Europolin ja USA:n lisäsopimus henkilötietojen ja niihin liittyvien tietojen vaihdosta, julkaistu Europolin Internet-sivustolla;

—

Amerikan yhdysvaltojen ja Eurojustin sopimus oikeudellisesta yhteistyöstä, 6. marraskuuta 2006, julkaistu Eurojustin Internet-sivustolla;

—

Euroopan unionin ja Amerikan yhdysvaltojen välinen sopimus lentoyhtiöiden PNR- eli matkustajarekisteritietojen käsittelemisestä ja siirtämisestä Yhdysvaltojen turvallisuusministeriölle (DHS) (vuoden 2007 PNR-sopimus), allekirjoitettu Brysselissä 23. heinäkuuta 2007 ja Washingtonissa 26. heinäkuuta 2007, EUVL L 204, 4.8.2007, s. 18;

—

Yhdysvaltojen ja EU:n viranomaisten kirjeenvaihto terrorismin rahoituksen jäljittämisohjelmasta, 28. päivänä kesäkuuta 2007.

—

Yhdistyneiden Kansakuntien yleisohjeet henkilötietoja sisältävistä tiedostoista, annettu yleiskokouksessa 14. joulukuuta 1990, saatavilla osoitteessa www.unhchr.ch/html/menu3/b/71.htm

—

Euroopan neuvoston yleissopimus yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä, 28. tammikuuta 1981, saatavilla osoitteessa www.conventions.coe.int/treaty/en/Treaties/html/108.htm

—

OECD:n ohjeet tietosuojasta ja henkilötietojen kansainvälisistä siirroista, annettu 23. syyskuuta 1980, saatavilla osoitteessa www.oecd.org/document/20/0,3343,en_2649_34255_15589524_1_1_1_1,00.html

—

Luonnos neuvoston puitepäätökseksi rikosasioissa tehtävässä poliisi- ja oikeudellisessa yhteistyössä käsiteltävien henkilötietojen suojaamisesta, saatavilla osoitteessa http://ec.europa.eu/prelex/detail_dossier_real.cfm?CL=en&DosId=193371

—

Euroopan parlamentin ja neuvoston direktiivi 95/46/EY, annettu 24 päivänä lokakuuta 1995, yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta, EYVL L 281, 23.11.1995, s. 31.