JULKISASIAMIEHEN RATKAISUEHDOTUS
PHILIPPE LÉGER
22 päivänä marraskuuta 2005 1(1)
Sisällys
I Asian taustaa
II Näitä kahta asiaa koskevat oikeussäännöt
A Sopimus Euroopan unionista
B Euroopan yhteisön perustamissopimus
C Henkilötietojen suojaa koskeva eurooppaoikeus
III Riidanalaiset päätökset
A Suojan riittävää tasoa koskeva päätös
B Neuvoston päätös
IV Parlamentin näissä kahdessa asiassa esittämät kanneperusteet
V Kanne, jolla pyritään suojan riittävää tasoa koskevan päätöksen kumoamiseen (asia C‑318/04)
A Kanneperuste, jonka mukaan komissio on ylittänyt toimivaltansa tehdessään suojan riittävää tasoa koskevan päätöksen
1. Asianosaisten lausumat
2. Arviointi
B Perusoikeuksien ja suhteellisuusperiaatteen loukkaamiseen perustuvat kanneperusteet
VI Kanne, jolla pyritään neuvoston päätöksen kumoamiseen (asia C-317/04)
A Kanneperuste, jonka mukaan EY 95 artikla on virheellisesti valittu neuvoston päätöksen oikeudelliseksi perustaksi
1. Asianosaisten lausumat
2. Arviointi
B Kanneperuste, jonka mukaan EY 300 artiklan 3 kohdan toista alakohtaa on rikottu direktiiviin 95/46 aiheutuvan muutoksen vuoksi
1. Asianosaisten lausumat
2. Arviointi
C Henkilötietojen suojaa koskevan oikeuden ja suhteellisuusperiaatteen loukkaamiseen perustuvat kanneperusteet
1. Asianosaisten lausumat
2. Arviointi
a) Yksityisyyteen puuttumisen olemassaolo
b) Yksityisyyteen puuttumisen oikeutus
i) Onko puuttuminen laissa sallittu?
ii) Tavoitellaanko puuttumisella oikeutettua päämäärää?
iii) Onko puuttuminen demokraattisessa yhteiskunnassa välttämätöntä kyseisen päämäärän saavuttamiseksi?
D Kanneperuste, jonka mukaan neuvoston päätös on puutteellisesti perusteltu
E Kanneperuste, jonka mukaan EY 10 artiklassa määrättyä lojaalia yhteistyötä koskevaa periaatetta on loukattu
VII Oikeudenkäyntikulut
VIII Ratkaisuehdotus
Asia C‑317/04
Euroopan parlamentti
vastaan
Euroopan unionin neuvosto
Yksilöiden suojelu henkilötietojen käsittelyssä – Kumoamiskanne – Neuvoston päätös 2004/496/EY – PNR‑tietojen (Passenger Name Records) käsittelemistä ja siirtämistä koskeva Euroopan yhteisön ja Amerikan yhdysvaltojen välinen sopimus
Asia C‑318/04
Euroopan parlamentti
vastaan
Euroopan yhteisöjen komissio
Kumoamiskanne – Yhdysvaltojen tulli- ja rajavartiolaitokselle toimitettavien lentomatkustajia koskevaan matkustajarekisteriin sisältyvien henkilötietojen suojan riittävästä tasosta tehty komission päätös 2004/535/EY – Direktiivi 95/46/EY
1. Euroopan parlamentti on nostanut Euroopan yhteisöjen tuomioistuimessa kaksi kumoamiskannetta EY 230 artiklan nojalla. Asiassa C‑317/04, parlamentti vastaan neuvosto, kanteella pyritään kumoamaan lentoyhtiöiden PNR‑tietojen käsittelemistä ja siirtämistä Yhdysvaltojen sisäisen turvallisuuden ministeriön alaiselle tulli- ja rajavalvontalaitokselle koskevan Euroopan yhteisön ja Amerikan yhdysvaltojen välisen sopimuksen tekemisestä 17 päivänä toukokuuta 2004 tehty neuvoston päätös.(2) Asiassa C‑318/04, parlamentti vastaan komissio, parlamentti vaatii kumoamaan Yhdysvaltojen tulli- ja rajavartiolaitokselle toimitettavien lentomatkustajia koskevaan matkustajarekisteriin sisältyvien henkilötietojen suojan riittävästä tasosta 14 päivänä toukokuuta 2004 tehdyn komission päätöksen.(3)
2. Näissä kahdessa asiassa pyydetään yhteisöjen tuomioistuinta ottamaan kantaa problematiikkaan, joka liittyy lentomatkustajien henkilötietojen suojaan silloin, kun niiden siirtoa ja käsittelyä kolmannessa maassa, tässä tapauksessa Yhdysvalloissa,(4) perustellaan pakottavilla vaatimuksilla, jotka johtuvat yleisestä turvallisuudesta ja kuuluvat rikosoikeuden alaan, kuten terrorismin ja muiden vakavien rikosten estäminen ja torjunta.
3. Näiden kahden asian perustana on tapahtumasarja, joka on jo nyt selostettava. Esitän sen jälkeen yksityiskohtaisesti asioita koskevat oikeussäännöt.
I Asian taustaa
4. Heti 11.9.2001 tapahtuneiden terroristi-iskujen jälkeen Yhdysvalloissa hyväksyttiin lainsäädäntö, jonka mukaan lentoyhtiöiden, jotka harjoittavat lentoliikennettä Yhdysvalloista tai Yhdysvaltoihin, on tarjottava Yhdysvaltojen tulliviranomaisille sähköinen pääsy tietoihin, jotka sisältyvät niiden automaattisiin varaus‑ ja valvontajärjestelmiin ja joista käytetään nimitystä ”Passenger Name Records” (jäljempänä PNR).(5) Samalla kun Euroopan yhteisöjen komissio tunnusti, että kyseessä olevat turvallisuusintressit ovat oikeutettuja, se ilmoitti Yhdysvaltojen viranomaisille jo kesäkuussa 2002, että kyseiset säännökset saattoivat olla ristiriidassa henkilötietojen suojaa koskevan yhteisön ja jäsenvaltioiden lainsäädännön kanssa sekä tietokonepohjaisten paikanvarausjärjestelmien (TPJ)(6) käytöstä annetun asetuksen tiettyjen säännösten kanssa. Yhdysvaltojen viranomaiset ovat lykänneet uusien säännösten voimaantuloa, mutta kieltäytyneet luopumasta sanktioiden asettamisesta lentoyhtiöille, jotka eivät noudattaisi mainittuja säännöksiä 5.3.2003 jälkeen. Siitä lähtien useat jäsenvaltioihin sijoittautuneet suuret lentoyhtiöt ovat tarjonneet Yhdysvaltojen viranomaisille pääsyn PNR‑tietoihinsa.
5. Komissio aloitti Yhdysvaltojen viranomaisten kanssa neuvottelut, jotka antoivat aihetta CBP:n sitoumukset sisältävän asiakirjan laatimiseen silmällä pitäen tehtävää komission päätöstä, jonka tarkoituksena oli todeta Yhdysvaltojen tarjoaman henkilötietojen suojan riittävä taso yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24 päivänä lokakuuta 1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY(7) 25 artiklan 6 kohdan perusteella.
6. Direktiivin 29 artiklan mukaisesti perustettu tietosuojatyöryhmä(8) antoi 13.6.2003 lausuntonsa, jossa se esitti epäilyjä kyseisillä sitoumuksilla taatusta suojan tasosta suunniteltujen tietojen käsittelyjen osalta.(9) Se on toistanut epäilynsä 29.1.2004 päivätyssä toisessa lausunnossa.(10)
7. Komissio saattoi 1.3.2004 parlamentin käsiteltäväksi luonnoksen suojan riittävää tasoa koskevaksi päätökseksi, jonka liitteenä oli luonnos CBP:n sitoumuksiksi.
8. Komissio toimitti 17.3.2004 parlamentille EY 300 artiklan 3 kohdan ensimmäisen alakohdan mukaisesti ehdotuksen Euroopan unionin neuvoston päätökseksi sopimuksen tekemisestä yhteisön ja Yhdysvaltojen välillä parlamentin lausunnon saamiseksi. Neuvosto pyysi 25.3.2004 päivätyssä kirjeessään parlamentin työjärjestyksen 112 artiklassa (josta on sittemmin tullut 134 artikla) tarkoitettuun kiireellisyysmenettelyyn viitaten parlamentin lausuntoa tästä ehdotuksesta viimeistään 22.4.2004 mennessä. Kirjeessään neuvosto korostaa, että ”terrorismin torjunta, joka oikeuttaa ehdotetut toimenpiteet, on Euroopan unionin tärkeä tavoite. Tällä hetkellä lentoyhtiöt ja matkustajat ovat epävarmassa tilanteessa, joka on korjattava kiireellisesti. Lisäksi on tärkeää suojella asianomaisten tahojen taloudellisia etuja”.
9. Parlamentti hyväksyi 31.3.2004 menettelystä komissiolle siirrettyä täytäntöönpanovaltaa käytettäessä 28.6.1999 tehdyn neuvoston päätöksen(11) 8 artiklan mukaisesti päätöslauselman, jossa esitetään tiettyjä oikeudellisia varauksia tämän lähestymistavan suhteen. Parlamentti katsoi erityisesti, että luonnoksessa suojan riittävää tasoa koskevaksi päätökseksi ylitettiin direktiivin 95/46 25 artiklalla komissiolle annettu toimivalta. Se vaati sellaisen asianmukaisen kansainvälisen sopimuksen tekemistä, jossa kunnioitetaan perusoikeuksia, ja pyysi komissiota esittämään sille uuden päätösluonnoksen. Lisäksi se varasi itselleen oikeuden pyytää yhteisöjen tuomioistuinta tutkimaan suunnitellun kansainvälisen sopimuksen laillisuuden ja erityisesti sen yhteensoveltuvuuden yksityisyyden kunnioittamista koskevan oikeuden suojan kanssa.
10. Parlamentti vahvisti 21.4.2004 puhemiehensä kehotuksesta oikeus‑ ja sisämarkkina-asioiden valiokunnan suosituksen, jonka tarkoituksena oli pyytää EY 300 artiklan 6 kohdan mukaisesti yhteisöjen tuomioistuimelta lausunto siitä, oliko suunniteltu sopimus sopusoinnussa perustamissopimuksen kanssa, mikä menettely aloitettiin samana päivänä. Parlamentti päätti lisäksi samana päivänä neuvoston päätösehdotusta koskevan kertomuksen lähettämisestä valiokuntaan ja hylkäsi siis tässä vaiheessa implisiittisesti neuvoston 25.3.2004 päivätyn kiireellistä käsittelyä koskevan pyynnön.
11. Neuvosto lähetti 28.4.2004 parlamentille kirjeen nojautuen EY 300 artiklan 3 kohdan ensimmäiseen alakohtaan ja pyysi tätä antamaan lausuntonsa sopimuksen tekemisestä ennen 5.5.2004. Neuvosto toisti 25.3.2004 päivätyssä kirjeessään mainitut syyt kiireellisyyden perustelemiseksi.(12)
12. Yhteisöjen tuomioistuimen kirjaamo ilmoitti 30.4.2004 parlamentille, että yhteisöjen tuomioistuin oli vahvistanut jäsenvaltioiden, neuvoston ja komission huomautusten esittämisen määräajaksi 4.6.2004 lausuntopyynnön 1/04 osalta.
13. Parlamentti hylkäsi 4.5.2004 kiireellistä käsittelyä koskevan pyynnön, jonka neuvosto oli sille esittänyt 28.4.2004.(13) Kaksi päivää myöhemmin parlamentin puhemies pyysi, että neuvosto ja komissio eivät jatkaisi hankkeitaan niin kauan kuin yhteisöjen tuomioistuin ei olisi antanut lausuntoa, jota oli pyydetty 21.4.2004.
14. Komissio teki 14.5.2004 päätöksen Yhdysvaltojen tulli‑ ja rajavartiolaitokselle toimitettavien lentomatkustajia koskevaan matkustajarekisteriin sisältyvien henkilötietojen suojan riittävästä tasosta direktiivin 95/46 25 artiklan 6 kohdan mukaisesti.
15. Neuvosto teki 17.5.2004 päätöksen lentoyhtiöiden PNR‑tietojen käsittelemistä ja siirtämistä CBP:lle koskevan yhteisön ja Yhdysvaltojen välisen sopimuksen tekemisestä.
16. Parlamentti ilmoitti 9.7.2004 päivätyllä kirjeellään yhteisöjen tuomioistuimelle lausuntopyyntönsä 1/04 peruuttamisesta.(14) Tämän jälkeen se päätti saattaa tuomioistuimen ratkaistavaksi erimielisyydet, joita sillä oli neuvoston ja komission kanssa.
II Näitä kahta asiaa koskevat oikeussäännöt
A Sopimus Euroopan unionista
17. Euroopan unionista tehdyn sopimuksen 6 artiklassa määrätään seuraavaa:
”1. Unioni perustuu jäsenvaltioille yhteisiin vapauden, kansanvallan, ihmisoikeuksien ja perusvapauksien kunnioittamisen sekä oikeusvaltion periaatteisiin.
2. Unioni pitää arvossa yhteisön oikeuden yleisinä periaatteina perusoikeuksia, sellaisina kuin ne taataan ihmisoikeuksien ja perusvapauksien suojaamiseksi tehdyssä, Roomassa 4 päivänä marraskuuta 1950 allekirjoitetussa Euroopan yleissopimuksessa ja sellaisina kuin ne ilmenevät jäsenvaltioiden yhteisessä valtiosääntöperinteessä.
– – ”
B Euroopan yhteisön perustamissopimus
18. EY 95 artiklan 1 kohdassa määrätään seuraavaa:
”Poiketen siitä, mitä 94 artiklassa määrätään, ja jollei tässä sopimuksessa toisin määrätä, 14 artiklassa tarkoitettujen tavoitteiden toteuttamiseksi sovelletaan seuraavia määräyksiä. Neuvosto toteuttaa 251 artiklassa määrättyä menettelyä noudattaen ja talous‑ ja sosiaalikomiteaa kuultuaan sisämarkkinoiden toteuttamista ja toimintaa koskevat toimenpiteet jäsenvaltioiden lakien, asetusten ja hallinnollisten määräysten lähentämiseksi.”
19. Yhteisön kansainvälisten sopimusten tekomenettelystä määrätään EY 300 artiklan 2 kohdan ensimmäisen alakohdan ensimmäisessä virkkeessä, että ”jollei komission toimivallasta näissä asioissa muuta johdu, sopimuksen allekirjoittamisesta – – sekä sopimusten tekemisestä päättää neuvosto määräenemmistöllä komission ehdotuksesta”.
20. EY 300 artiklan 3 kohdan sanamuoto on seuraava:
”Neuvosto tekee sopimukset Euroopan parlamenttia kuultuaan, 133 artiklan 3 kohdassa tarkoitettuja sopimuksia lukuun ottamatta, sopimukset aloilla, joilla sisäiset säännöt annetaan 251 tai 252 artiklassa määrättyä menettelyä noudattaen, mukaan luettuina. Euroopan parlamentti antaa lausuntonsa määräajassa, jonka neuvosto voi asettaa asian kiireellisyyden mukaan. Jos lausuntoa ei anneta määräajassa, neuvosto voi tehdä ratkaisunsa.
Poiketen siitä, mitä edellisessä alakohdassa määrätään, 310 artiklassa tarkoitetut sopimukset, sopimukset, joissa määrätään erityisistä toimielinjärjestelmistä järjestämällä yhteistyömenettelyjä, sopimukset, joilla on huomionarvoisia vaikutuksia yhteisön talousarvioon, sekä sopimukset, joista aiheutuu muutos 251 artiklassa tarkoitettua menettelyä noudattaen annettuun säädökseen, tehdään sen jälkeen, kun Euroopan parlamentin puoltava lausunto on saatu.
Neuvosto ja Euroopan parlamentti voivat kiireellisissä tapauksissa sopia määräajasta puoltavan lausunnon antamiselle.”
C Henkilötietojen suojaa koskeva eurooppaoikeus
21. Ihmisoikeuksien ja perusvapauksien suojaamiseksi tehdyn Euroopan yleissopimuksen (jäljempänä Euroopan ihmisoikeussopimus) 8 artiklassa määrätään seuraavaa:
”1. Jokaisella on oikeus nauttia yksityis‑ ja perhe-elämäänsä, kotiinsa ja kirjeenvaihtoonsa kohdistuvaa kunnioitusta.
2. Viranomaiset eivät saa puuttua tämän oikeuden käyttämiseen, paitsi kun laki sen sallii ja se on välttämätöntä demokraattisessa yhteiskunnassa kansallisen ja yleisen turvallisuuden tai maan taloudellisen hyvinvoinnin vuoksi, tai epäjärjestyksen tai rikollisuuden estämiseksi, terveyden tai moraalin suojaamiseksi, tai muiden henkilöiden oikeuksien ja vapauksien turvaamiseksi.”
22. Euroopan tietosuojaoikeus on hahmottunut aluksi Euroopan neuvoston puitteissa. Yleissopimus yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä on siten avattu Euroopan neuvoston jäsenvaltioiden allekirjoitettavaksi Strasbourgissa 28.1.1981.(15) Sen tarkoituksena on taata, että kunkin sopimuspuolen alueella kunnioitetaan jokaiselle yksilölle kuuluvia perusoikeuksia ja ‑vapauksia ja erityisesti hänen oikeuttaan yksityisyyteen hänen henkilötietojensa automaattisessa tietojenkäsittelyssä riippumatta hänen kansalaisuudestaan tai asuinpaikastaan.
23. Euroopan unionin osalta Euroopan unionin perusoikeuskirjan(16) 7 artiklan lisäksi, joka koskee yksityisyyden ja perhe-elämän suojaa, sen 8 artikla on omistettu erityisesti henkilötietojen suojalle. Sen sisältö on seuraava:
”1. Jokaisella on oikeus henkilötietojensa suojaan.
2. Tietojen käsittelyn on oltava asianmukaista ja sen on tapahduttava tiettyä tarkoitusta varten ja asianomaisen henkilön suostumuksella tai muun laissa säädetyn oikeuttavan perusteen nojalla. Jokaisella on oikeus tutustua niihin tietoihin, joita hänestä on kerätty, ja saada ne oikaistuksi.
3. Riippumaton viranomainen valvoo näiden sääntöjen noudattamista.”
24. Yhteisön primaarioikeuden osalta EY 286 artiklan 1 kohdassa määrätään, että ”yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta annettuja yhteisön säädöksiä sovelletaan tällä sopimuksella tai tämän sopimuksen nojalla perustettuihin toimielimiin ja elimiin 1 päivästä tammikuuta 1999”.(17)
25. Yhteisön johdetussa oikeudessa asiaa koskeva perusnormi on direktiivi 95/46.(18) Sen yhteys Euroopan neuvostolta peräisin oleviin teksteihin käy nimenomaisesti ilmi kyseisen direktiivin johdanto-osan 10 ja 11 perustelukappaleesta. Sen 10 perustelukappaleessa lausutaan nimittäin, että ”henkilötietojen käsittelyä koskevien kansallisten lainsäädäntöjen tavoitteena on taata perusoikeuksien ja ‑vapauksien kunnioittaminen, erityisesti yksityisyyttä koskevan oikeuden kunnioittaminen, joka tunnustetaan myös ihmisoikeuksien ja perusvapauksien suojaamiseksi tehdyn Euroopan yleissopimuksen 8 artiklassa ja yhteisön oikeuden yleisissä periaatteissa; tämän vuoksi lainsäädäntöjen lähentäminen ei saa johtaa lainsäädännöllä turvattavan tietosuojan heikentymiseen, vaan sillä on päinvastoin varmistettava tietosuojan korkea taso yhteisössä”. Lisäksi direktiivin 95/46 11 perustelukappaleessa todetaan, että ”tähän direktiiviin sisältyvissä periaatteissa yksilöiden oikeuksien ja vapauksien suojasta, erityisesti yksityisyyttä koskevan oikeuden suojasta, täsmennetään ja laajennetaan – – Euroopan neuvoston yleissopimukseen [nro 108] yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä kuuluvia periaatteita”.
26. Syy siihen, että direktiivi 95/46 on annettu EY:n perustamissopimuksen 100 a artiklan (josta on muutettuna tullut EY 95 artikla) perusteella, löytyy sen kolmannessa perustelukappaleessa ilmaistusta ajatuksesta, jonka sanamuodon mukaan ”sisämarkkinoiden toteuttaminen ja toiminta – – edellyttävät paitsi sitä, että henkilötietoja voidaan vapaasti siirtää jäsenvaltioiden sisällä, myös yksilöiden perusoikeuksien turvaamista”. Tarkemmin sanoen yhteisön lainsäätäjä lähtee toteamuksesta, jonka mukaan ”henkilötietojen käsittelyä koskevat jäsenvaltioiden väliset erot yksilöiden oikeuksien ja vapauksien suojassa, erityisesti oikeudessa yksityisyyteen, voivat estää kyseisten tietojen siirron tietyn jäsenvaltion alueelta toisen jäsenvaltion alueelle”,(19) minkä seurauksena voi muun muassa olla, että toimintojen harjoittaminen yhteisön tasolla estyy ja että kilpailu vääristyy. Tämän vuoksi yhteisön lainsäätäjä on katsonut, että ”henkilötietojen liikkuvuuden esteiden poistamiseksi yksilöiden oikeuksien ja vapauksien suojan tason kyseisten tietojen käsittelyssä on oltava sama kaikissa jäsenvaltioissa”.(20) Tämän lähestymistavan seurauksena on oltava, että ”ottaen huomioon kansallisten lainsäädäntöjen lähentymisestä aiheutuneen tietosuojan vastaavuuden jäsenvaltiot eivät enää voi asettaa esteitä henkilötietojen vapaalle liikkuvuudelle välillään yksilöiden oikeuksien ja vapauksien, erityisesti yksityisyyttä koskevan oikeuden, suojan perusteella”.(21)
27. Direktiivin 95/46 1 artiklassa, jonka otsikko on ”Direktiivin tavoite”, toteutetaan tämä lähestymistapa seuraavasti:
”1. Tämän direktiivin mukaisesti jäsenvaltioiden on henkilötietojen käsittelyssä turvattava yksilöille heidän perusoikeutensa ja ‑vapautensa ja erityisesti heidän oikeutensa yksityisyyteen.
2. Jäsenvaltiot eivät voi rajoittaa tai kieltää henkilötietojen vapaata liikkuvuutta jäsenvaltioiden välillä syistä, jotka liittyvät 1 kohdan mukaisesti turvattavaan suojaan.”
28. Kyseisen direktiivin 2 artiklassa määritellään erityisesti käsitteet ”henkilötiedot”, ”henkilötietojen käsittely” ja ”rekisterinpitäjä”.
29. Näin ollen direktiivin 95/46 2 artiklan a alakohdan mukaan henkilötiedoilla tarkoitetaan ”kaikenlaisia tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä – – koskevia tietoja; tunnistettavissa olevana pidetään henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa, erityisesti henkilönumeron taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella”.
30. Kyseisten tietojen käsittelyllä tarkoitetaan mainitun direktiivin 2 artiklan b alakohdan mukaan ”kaikenlaisia sellaisia toimintoja tai toimintojen kokonaisuuksia, joita kohdistetaan henkilötietoihin joko automaattisen tietojenkäsittelyn avulla tai manuaalisesti, kuten tietojen kerääminen, tallentaminen, järjestäminen, säilyttäminen, muokkaaminen tai muuttaminen, tiedon haku, kysely, käyttö, luovuttaminen siirtämällä, levittämällä tai asettamalla muutoin saataville, yhteensovittaminen tai yhdistäminen sekä suojaaminen, poistaminen tai tuhoaminen”.
31. Direktiivin 95/46 2 artiklan d alakohdan määritelmän mukaan rekisterinpitäjällä tarkoitetaan ”luonnollista tai oikeushenkilöä, julkista viranomaista, virastoa tai muuta toimielintä, joka, yksin tai yhdessä toisten kanssa, määrittelee henkilötietojen käsittelyn tarkoituksen ja keinot – – ”.
32. Direktiivin 95/46 aineellisesta soveltamisalasta säädetään 3 artiklan 1 kohdassa, että sitä ”sovelletaan osittain tai kokonaan automatisoituun tietojenkäsittelyyn sekä sellaisten henkilötietojen manuaaliseen käsittelyyn, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa”.
33. Kyseisen direktiivin 3 artiklan 2 kohdan avulla on mahdollista ymmärtää sen aineellisen soveltamisalan rajat siltä osin kuin siinä säädetään seuraavaa:
”Tätä direktiiviä ei sovelleta henkilötietojen käsittelyyn,
– joka suoritetaan sellaisessa toiminnassa, joka ei kuulu yhteisön oikeuden soveltamisalaan, kuten toiminta, josta on määrätty Euroopan unionista tehdyn sopimuksen V ja VI osastossa, ja kaikissa tapauksissa käsittely, joka koskee yleistä turvallisuutta, puolustusta, valtion turvallisuutta (myös valtion taloudellista hyvinvointia, kun käsittelyoperaatio on sidoksissa valtion turvallisuutta koskeviin kysymyksiin) ja rikosoikeuden alalla tapahtuvaa valtion toimintaa,
– – ”
34. Direktiivin 95/46 II luku sisältää ”yleiset säännöt henkilötietojen käsittelyn laillisuudesta”. Tämän luvun sisällä I jaksossa käsittelyn kohteena ovat ”tietojen laatua koskevat periaatteet”. Kyseisen direktiivin 6 artiklassa luetellaan nämä periaatteet eli henkilötietojen käsittelyn asianmukaisuus, laillisuus, tarkoitus, suhteellisuus ja täsmällisyys. Siinä säädetään seuraavaa:
”1. Jäsenvaltioiden on säädettävä siitä, että
a) henkilötietoja käsitellään asianmukaisesti ja laillisesti,
b) henkilötiedot kerätään tiettyä nimenomaista ja laillista tarkoitusta varten, eikä niitä myöhemmin saa käsitellä näiden tarkoitusten kanssa yhteensopimattomalla tavalla – – ,
c) henkilötiedot ovat asianmukaisia, olennaisia eivätkä liian laajoja siihen tarkoitukseen, mihin ne on kerätty ja missä niitä myöhemmin käsitellään,
d) henkilötiedot ovat täsmällisiä ja tarvittaessa päivitettyjä – – ,
e) henkilötiedot säilytetään muodossa, josta rekisteröity on tunnistettavissa ainoastaan sen ajan, kuin on tarpeen niiden tarkoitusten toteuttamista varten, joita varten tiedot kerättiin tai joissa niitä myöhemmin käsitellään – – .
2. Rekisterinpitäjän on huolehdittava 1 kohdan noudattamisesta.”
35. Kyseisen direktiivin II luvun II jakso sisältää puolestaan ”tietojenkäsittelyn laillisuutta koskevat periaatteet”. Direktiivin 7 artikla, joka muodostaa tämän jakson, on sisällöltään seuraava:
”Jäsenvaltioiden on säädettävä siitä, että henkilötietoja voidaan käsitellä ainoastaan,
a) jos rekisteröity on yksiselitteisesti antanut suostumuksensa,
tai
b) jos käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osallisena, tai sopimusta edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä,
tai
c) jos käsittely on tarpeen rekisterinpitäjän laillisen velvoitteen noudattamiseksi,
– – ”
36. Mitä tulee henkilötietoihin, jotka on yleisesti luokiteltu arkaluonteisiksi, 8 artiklan 1 kohdassa esitetään niiden käsittelyn kieltämistä koskeva periaate. Siinä säädetään nimittäin, että ”jäsenvaltioiden on kiellettävä sellaisten henkilötietojen käsittely, jotka koskevat rotua tai etnistä alkuperää, poliittisia mielipiteitä, uskonnollista tai filosofista vakaumusta tai ammattiliittoon kuulumista, sekä terveyteen ja seksuaaliseen käyttäytymiseen liittyvien tietojen käsittely”. Tästä kieltoperiaatteesta on kuitenkin useita poikkeuksia, joiden sisältö ja järjestelmä on esitetty yksityiskohtaisesti saman artiklan seuraavissa kohdissa.
37. Direktiivin 95/46 13 artiklan 1 kohdassa, jonka otsikko on ”Poikkeukset ja rajoitukset”, säädetään seuraavaa:
”Jäsenvaltiot voivat toteuttaa lainsäädännöllisiä toimenpiteitä, joilla pyritään rajoittamaan 6 artiklan 1 kohdassa, 10 artiklassa, 11 artiklan 1 kohdassa sekä 12 ja 21 artiklassa säädettyjen oikeuksien ja velvoitteiden alaa, jos tällaiset rajoitukset ovat välttämättömiä, jotta varmistettaisiin
a) valtion turvallisuus,
b) puolustus,
c) yleinen turvallisuus,
d) rikosten tai, säännellyn ammattitoiminnan osalta, ammattietiikan rikkomusten torjunta, tutkinta, selvittäminen ja syyteharkinta,
e) jäsenvaltiolle tai Euroopan unionille tärkeä taloudellinen tai rahoituksellinen etu, myös rahaa, talousarviota ja verotusta koskevissa asioissa,
f) valvonta‑, tarkastus‑ tai sääntelytehtävä, joka satunnaisestikin liittyy julkisen vallan käyttämiseen c, d ja e alakohdassa tarkoitetuissa tapauksissa,
g) rekisteröidyn suojelu tai muiden oikeudet ja vapaudet.”
38. Yhteisön lainsäätäjä on myös halunnut, ettei näin perustettua suojajärjestelmää vaarannettaisi silloin, kun henkilötiedot poistuvat yhteisön alueelta. On nimittäin ilmeistä, että tietovirtojen kansainvälinen ulottuvuus(22) tekee riittämättömäksi, jollei hyödyttömäksi, sellaisen sääntelyn olemassaolon, joka kattaa pelkästään tämän alueen. Yhteisön lainsäätäjä on siis valinnut järjestelmän, jossa edellytetään kolmanteen maahan suuntautuvan henkilötietojen siirron sallimiseksi, että kyseinen maa takaa näille tiedoille ”suojan riittävän tason”.
39. Yhteisön lainsäätäjä asettaa näin säännön, jonka mukaan ”jos tietosuojan taso kolmannessa maassa ei ole riittävä, henkilötietojen siirto kyseiseen maahan on kiellettävä”.(23)
40. Tätä silmällä pitäen direktiivin 95/46 25 artiklassa määritellään periaatteet, joita henkilötietojen siirroissa kolmansiin maihin on noudatettava:
”1. Jäsenvaltioiden on säädettävä siitä, että käsiteltävien tai siirron jälkeen käsiteltäviksi tarkoitettujen henkilötietojen siirto kolmanteen maahan voidaan suorittaa ainoastaan, jos kyseisessä kolmannessa maassa taataan tietosuojan riittävä taso, jollei tämän direktiivin muiden säännösten mukaisesti säädetyistä kansallisista säännöksistä muuta johdu.
2. Kolmannessa maassa taattavan tietosuojan tason riittävyyttä on arvioitava kaikkien tiettyyn siirtoon tai siirtojen ryhmään liittyvien olosuhteiden osalta; erityisesti on otettava huomioon tietojen luonne, suunnitellun käsittelyn tai suunniteltujen käsittelyjen tarkoitus ja kestoaika, alkuperämaa ja lopullinen kohde, kyseisessä kolmannessa maassa voimassa olevat yleiset tai alakohtaiset oikeussäännöt sekä ammattisäännöt ja tässä maassa noudatettavat turvatoimet.
3. Jäsenvaltioiden ja komission on informoitava toisiaan, jos ne arvioivat, että tietyssä kolmannessa maassa ei taata tietosuojan riittävää tasoa 2 kohdan tarkoittamassa merkityksessä.
4. Jos komissio 31 artiklan 2 kohdassa vahvistetun menettelyn mukaisesti toteaa, että tietyssä kolmannessa maassa ei taata tietosuojan riittävää tasoa tämän artiklan 2 kohdassa tarkoitetussa merkityksessä, jäsenvaltioiden on toteutettava tarvittavat toimenpiteet kyseiseen kolmanteen maahan kohdistuvien samanluonteisten siirtojen estämiseksi.
5. Komissio aloittaa sopivalla hetkellä neuvottelut 4 kohdan mukaisesti tehdystä toteamuksesta aiheutuneen tilanteen korjaamiseksi.
6. Komissio voi 31 artiklan 2 kohdassa vahvistetun menettelyn mukaisesti todeta, että tietyssä kolmannessa maassa taataan tietosuojan riittävä taso tämän artiklan 2 kohdan tarkoittamassa merkityksessä, mikä johtuu kyseisen maan sisäisestä lainsäädännöstä tai kansainvälisistä sitoumuksista, jotka on tehty erityisesti 5 kohdassa tarkoitettujen neuvottelujen yhteydessä henkilöiden yksityiselämän ja perusoikeuksien ja ‑vapauksien turvaamiseksi.
Jäsenvaltioiden on toteutettava tarvittavat toimenpiteet noudattaakseen komission päätöstä.”
41. Lopuksi on mainittava, että Euroopan unionista tehdyn sopimuksen VI osaston puitteissa, joka koskee oikeudellista ja poliisiyhteistyötä rikosoikeuden alalla, henkilötietojen suojaa säännellään useilla erityisillä asiakirjoilla. Kysymyksessä ovat erityisesti asiakirjat, joilla perustetaan Euroopan tasolla yhteisiä tietojärjestelmiä, kuten Schengenin sopimuksen soveltamisesta tehty yleissopimus,(24) joka sisältää erityisiä määräyksiä tietosuojasta Schengenin tietojärjestelmän (SIS)(25) yhteydessä, Euroopan unionista tehdyn sopimuksen K.3 artiklan perusteella Euroopan poliisiviraston perustamisesta tehty yleissopimus (Europol‑yleissopimus),(26) Eurojust‑yksikön perustamisesta tehty neuvoston päätös(27) ja säännökset henkilötietojen käsittelyä ja tietosuojaa Eurojustissa koskevasta työjärjestyksestä,(28) Euroopan unionista tehdyn sopimuksen K.3 artiklan perusteella tietotekniikan käytöstä tullialalla tehty yleissopimus, joka sisältää tullitietojärjestelmään sovellettavat henkilötietojen suojaa koskevat määräykset,(29) ja yleissopimus keskinäisestä oikeusavusta rikosasioissa Euroopan unionin jäsenvaltioiden välillä.(30)
42. Komissio esitti 4.10.2005 ehdotuksen neuvoston puitepäätökseksi rikosasioissa tehtävässä oikeudellisessa ja poliisiyhteistyössä käsiteltävien henkilötietojen suojaamiseksi.(31)
III Riidanalaiset päätökset
43. Tarkastelen näitä kahta riidanalaista päätöstä niiden tekemisen mukaisessa kronologisessa järjestyksessä.
A Suojan riittävää tasoa koskeva päätös
44. Komissio teki suojan riittävää tasoa koskevan päätöksen direktiivin 95/46 25 artiklan 6 kohdan nojalla, jossa, kuten muistamme, annetaan sille oikeus todeta, että tietyssä kolmannessa maassa taataan henkilötietojen suojan riittävä taso.(32) Kuten kyseisen päätöksen toisessa perustelukappaleessa mainitaan, ”henkilötietoja voidaan tässä tapauksessa siirtää jäsenvaltioista ilman lisätakeita”.
45. Komissio ilmoittaa kyseisen päätöksen 11 perustelukappaleessa, että ”CBP käsittelee sille siirrettyjä lentomatkustajien matkustajarekisteriin sisältyviä henkilötietoja noudattaen Yhdysvaltojen sisäisen turvallisuuden ministeriön alaisen tulli‑ ja rajavartiolaitoksen (CBP) 11 päivänä toukokuuta 2004 vahvistamia sitoumuksia – – ja Yhdysvaltojen lainsäädäntöön sisältyviä ehtoja sitoumuksissa esitetyn mukaisesti”. Tämän vuoksi komissio toteaa saman päätöksen 14 perustelukappaleessa, että ”vaatimukset, joiden mukaisesti CBP käsittelee matkustajarekisteritietoja Yhdysvaltojen lainsäädännön ja sitoumusten perusteella, sisältävät perusperiaatteet, jotka tarvitaan turvaamaan luonnollisten henkilöiden suojelun riittävä taso”.
46. Tämän vuoksi suojan riittävää tasoa koskevan päätöksen 1 artiklassa säädetään seuraavaa:
”Direktiivi 95/46/EY 25 artiklan 2 kohdan soveltamisen osalta [CBP:n] katsotaan tarjoavan liitteessä I olevien sitoumusten mukaisesti suojan riittävän tason yhteisöstä siirrettäville matkustajarekisteritiedoille, jotka koskevat lentoliikennettä Yhdysvaltoihin tai Yhdysvalloista.”
47. Lisäksi suojan riittävää tasoa koskevan päätöksen 3 artiklassa säädetään, että tietojen siirto CBP:lle voidaan keskeyttää jäsenvaltioiden toimivaltaisten viranomaisten aloitteesta seuraavissa olosuhteissa:
”1. Rajoittamatta jäsenvaltioiden toimivaltaisten viranomaisten valtuuksia toteuttaa toimenpiteitä sen varmistamiseksi, että muiden säännösten kuin direktiivin 95/46/EY 25 artiklan noudattamiseksi annettuja kansallisia säännöksiä noudatetaan, jäsenvaltioiden toimivaltaiset viranomaiset voivat käyttää nykyisiä toimivaltuuksiaan keskeyttääkseen CBP:lle suunnatun tietojen siirron suojellakseen yksityishenkilöitä näiden henkilötietojen käsittelyn osalta tapauksissa, joissa:
a) toimivaltainen Yhdysvaltojen viranomainen on todennut, että CBP ei noudata sovellettavia tietosuojavaatimuksia; tai
b) on erittäin todennäköistä, että liitteessä esitettyjä tietosuojavaatimuksia ei noudateta, ja on perusteltua aihetta olettaa, että CBP ei parhaillaan tai jatkossa viipymättä toteuta vaadittavia toimenpiteitä asian ratkaisemiseksi, ja tiedonsiirron jatkaminen aiheuttaisi välittömästi uhkaavan vakavan vaaran rekisteröidylle ja jäsenvaltion toimivaltaiset viranomaiset ovat olosuhteisiin nähden kohtuullisessa määrin pyrkineet antamaan CBP:lle ilmoituksen ja tilaisuuden vastata siihen.
2. Keskeytys lakkaa heti, kun tietosuojavaatimusten noudattaminen on varmistettu ja tästä on ilmoitettu asianomaisten jäsenvaltioiden toimivaltaiselle viranomaiselle.”
48. Jäsenvaltioiden on ilmoitettava komissiolle suojan riittävää tasoa koskevan päätöksen 3 artiklan mukaisesti toteutetuista toimenpiteistä. Lisäksi jäsenvaltioiden ja komission on kyseisen päätöksen 4 artiklan 2 kohdan nojalla tiedotettava toisilleen kaikista tietosuojavaatimusten muutoksista sekä tapauksista, joissa näitä vaatimuksia ei ilmeisesti riittävästi noudateta. Kyseisten muutosten johdosta suojan riittävää tasoa koskevan päätöksen 4 artiklan 3 kohdassa säädetään, että ”jos 3 artiklan sekä tämän artiklan 1 ja 2 kohdan nojalla saadut tiedot osoittavat, että perusvaatimukset riittävästä suojasta luonnollisille henkilöille eivät toteudu tai jos jokin liitteessä I esitettyjen CBP:n tietosuojavaatimusten noudattamisesta vastuussa oleva elin ei tosiasiallisesti hoida tehtäväänsä, asiasta tiedotetaan CBP:lle ja tarvittaessa ryhdytään direktiivin 95/46/EY 31 artiklan 2 kohdassa tarkoitetun menettelyn mukaisiin toimenpiteisiin, joiden tarkoituksena on kumota tämä päätös tai keskeyttää toistaiseksi sen soveltaminen”.
49. Lisäksi suojan riittävää tasoa koskevan päätöksen 5 artiklassa esitetyn säännön mukaan kyseisen päätöksen soveltamista valvotaan ja ”direktiivin 95/46/EY 31 artiklan nojalla perustetulle komitealle raportoidaan kaikki asiaankuuluvat huomiot”.
50. Lisäksi suojan riittävää tasoa koskevan päätöksen 7 artiklassa mainitaan, että sen ”voimassaolo päättyy kolme vuotta ja kuusi kuukautta sen tiedoksiannon jälkeen, jollei voimassaoloa pidennetä direktiivin 95/46/EY 31 artiklan 2 kohdassa säädetyn menettelyn mukaisesti”.
51. Kyseisen päätöksen liitteenä ovat CBP:n sitoumukset, joiden johdannossa täsmennetään, että ne on annettu komission tukemiseksi sen aikomuksessa tehdä päätös siitä, että CBP suojelee riittävästi sille siirrettäviä tietoja. Kyseisten sitoumusten, jotka käsittävät yhteensä 48 kohtaa, sanamuodon mukaan ne ”eivät luo tai anna yksityiselle tai julkiselle henkilölle tai osapuolelle oikeuksia tai etuja”.(33)
52. Osoitan pääasiallisesti esitykseni etenemisen myötä riidan ratkaisemisen kannalta asiaankuuluvien sitoumusten sisällön.
53. Lopuksi suojan riittävää tasoa koskeva päätös sisältää liitteen A, jossa luetellaan CBP:n lentoyhtiöiltä edellyttämien PNR‑tietojen 34 tietokenttää.(34)
54. Kyseistä komission päätöstä täydentää neuvoston päätös Euroopan yhteisön ja Yhdysvaltojen välisen kansainvälisen sopimuksen tekemisestä.
B Neuvoston päätös
55. Neuvoston päätös perustuu EY 95 artiklaan yhdessä EY 300 artiklan 2 kohdan ensimmäisen alakohdan ensimmäisen virkkeen kanssa.
56. Sen ensimmäisessä perustelukappaleessa ilmoitetaan, että ”neuvosto valtuutti komission 23 päivänä helmikuuta 2004 neuvottelemaan yhteisön puolesta sopimuksen Amerikan yhdysvaltojen kanssa lentoyhtiöiden PNR‑tietojen käsittelemisestä ja siirtämisestä [CBP:lle]”.(35) Tämän päätöksen toisessa perustelukappaleessa puolestaan mainitaan, että ”Euroopan parlamentti ei ole antanut lausuntoa määräajassa, jonka neuvosto asetti perustamissopimuksen 300 artiklan 3 kohdan ensimmäisen alakohdan mukaisesti lentoyhtiöiden ja matkustajien epävarman tilanteen korjaamiseksi kiireellisesti sekä asianomaisten tahojen taloudellisten etujen suojaamiseksi”.
57. Neuvoston päätöksen 1 artiklan nojalla sopimus hyväksytään yhteisön puolesta. Lisäksi kyseisen päätöksen 2 artiklassa annetaan neuvoston puheenjohtajalle oikeus nimetä yksi tai useampi henkilö, jolla on valtuudet allekirjoittaa sopimus yhteisön puolesta.
58. Sopimusteksti on neuvoston päätöksen liitteenä. Kyseisen sopimuksen 7 artiklassa määrätään, että se tulee voimaan sen allekirjoittamisesta lukien. Kyseisen artiklan mukaisesti Washingtonissa 28.5.2004 allekirjoitettu sopimus tuli voimaan samana päivänä.(36)
59. Sopimuksen johdanto-osassa yhteisö ja Yhdysvallat tunnustavat ”että on tärkeää kunnioittaa perusoikeuksia ja ‑vapauksia sekä erityisesti yksityisyyden suojaa ja että on tärkeää kunnioittaa näitä arvoja, samalla kun estetään ja torjutaan terrorismia ja siihen liittyvää rikollisuutta sekä muita valtioiden rajat ylittäviä vakavia rikoksia, myös järjestäytynyttä rikollisuutta”.
60. Sopimuksen johdanto-osassa tarkoitetaan seuraavia tekstejä: direktiivi 95/46 ja erityisesti sen 7 artiklan c alakohta, CBP:n sitoumukset sekä suojan riittävää tasoa koskeva päätös.(37)
61. Sopimuspuolet panevat myös merkille, että ”lentoyhtiöiden, joilla on Euroopan yhteisön jäsenvaltioiden alueella sijaitsevia varaus‑ ja lähtöselvitysjärjestelmiä, olisi aloitettava PNR‑tietojen toimittaminen CBP:lle heti, kun se on teknisesti mahdollista, mutta siihen asti Yhdysvaltojen viranomaisilla olisi oltava suora pääsy näihin tietoihin tämän sopimuksen määräysten mukaisesti”.(38)
62. Sopimuksen 1 kohdassa määrätään siten, että ”CBP:llä on sähköinen pääsy lentoyhtiöiden Euroopan yhteisön jäsenvaltioiden alueella sijaitsevissa varaus‑ ja lähtöselvitysjärjestelmissä – – oleviin PNR‑tietoihin ainoastaan päätöksen[(39)] mukaisesti ja ainoastaan niin kauan kuin päätös on voimassa ja siihen saakka kun käytössä on tyydyttävä järjestelmä, jolla lentoyhtiöt voivat toimittaa nämä tiedot”.
63. CBP:lle näin myönnetyn suoraa pääsyä PNR‑tietoihin koskevan oikeuden täydennyksenä sopimuksen 2 kohdassa määrätään, että kansainvälistä lentoliikennettä Yhdysvalloista tai Yhdysvaltoihin harjoittavien lentoyhtiöiden on käsiteltävä automaattisiin varausjärjestelmiinsä tallennettuja PNR‑tietoja ”vain päätöksen[(40)] mukaisesti ja tavalla, jota CBP edellyttää Yhdysvaltojen lainsäädännön nojalla, sekä ainoastaan niin kauan kuin päätös on voimassa”.
64. Toisaalta sopimuksen 3 kohdassa täsmennetään, että CBP ”panee merkille” suojan riittävää tasoa koskevan päätöksen ja ”toteaa [panevansa] täytäntöön sen liitteenä olevat sitoumukset”. Lisäksi kyseisen sopimuksen 4 kohdassa määrätään, että ”CBP käsittelee saamansa PNR‑tiedot ja kohtelee niiden koskemia henkilöitä voimassa olevan Yhdysvaltojen lainsäädännön ja perustuslain säännösten mukaisesti ilman erityisesti kansallisuuteen ja asuinmaahan perustuvaa syrjintää”.
65. Lisäksi CBP ja yhteisö sitoutuvat tarkastelemaan säännöllisesti yhdessä sopimuksen täytäntöönpanoa.(41) Sopimuksessa määrätään myös, että ”jos Euroopan unionissa otetaan käyttöön lentomatkustajien tunnistusjärjestelmä, jonka mukaisesti lentoyhtiöiden on annettava viranomaisille pääsy niitä matkustajia koskeviin PNR‑tietoihin, joiden kyseessä olevaan matkaan sisältyy lento Euroopan unioniin tai Euroopan unionista, DHS:n [Department of Homeland Security] on mahdollisuuksien mukaan ja vastavuoroisuusperiaatetta tarkasti noudattaen edistettävä aktiivisesti toimivaltansa piiriin kuuluvien lentoyhtiöiden tekemää yhteistyötä”.(42)
66. Sen lisäksi, että sopimuksen 7 artiklassa määrätään, että sopimus tulee voimaan, kun se allekirjoitetaan, siinä täsmennetään, että kumpikin osapuoli voi milloin tahansa päättää sopimuksen voimassaolon. Tässä tapauksessa sopimuksen päättäminen tulee voimaan 90 päivän kuluttua päivästä, jona sopimuksen päättämisestä on ilmoitettu toiselle osapuolelle. Toisaalta samassa kohdassa määrätään, että sopimusta voidaan muuttaa milloin tahansa keskinäisellä kirjallisella sopimuksella.
67. Lopuksi sopimuksen 8 kohdassa määrätään, että ”tällä sopimuksella ei ole tarkoitus poiketa osapuolten lainsäädännöstä eikä muuttaa sitä. Tällä sopimuksella ei luoda tai myönnetä millekään yksityiselle tai julkiselle henkilölle tai osapuolelle minkäänlaisia oikeuksia tai etuja”.
IV Parlamentin näissä kahdessa asiassa esittämät kanneperusteet
68. Asiassa C‑317/04 parlamentti esittää kuusi kanneperustetta neuvoston päätöstä vastaan:
– EY 95 artiklan virheellinen valinta oikeudelliseksi perustaksi
– EY 300 artiklan 3 kohdan toisen alakohdan rikkominen direktiiviin 95/46 aiheutuvan muutoksen vuoksi
– henkilötietojen suojaa koskevan oikeuden loukkaaminen
– suhteellisuusperiaatteen loukkaaminen
– riidanalaisen päätöksen perustelujen puutteellisuus
– EY 10 artiklassa määrätyn lojaalin yhteistyön periaatteen loukkaaminen.
69. Ison‑Britannian ja Pohjois-Irlannin yhdistynyt kuningaskunta ja komissio on hyväksytty väliintulijoiksi tukemaan neuvoston vaatimuksia.(43) Lisäksi Euroopan tietosuojavaltuutettu (jäljempänä tietosuojavaltuutettu) on hyväksytty väliintulijaksi tukemaan parlamentin vaatimuksia.(44)
70. Asiassa C‑318/04 parlamentti esittää neljä kanneperustetta suojan riittävää tasoa koskevaa päätöstä vastaan:
– toimivallan ylittäminen
– direktiivin 95/46 keskeisten periaatteiden loukkaaminen
– perusoikeuksien loukkaaminen
– suhteellisuusperiaatteen loukkaaminen.
71. Yhdistynyt kuningaskunta on hyväksytty väliintulijaksi tukemaan komission vaatimuksia.(45) Lisäksi tietosuojavaltuutettu on hyväksytty väliintulijaksi tukemaan parlamentin vaatimuksia.(46)
72. Tarkastelen näitä kahta kannetta siinä järjestyksessä kuin riidanalaiset päätökset on tehty. Näin ollen tarkastelen ensiksi kannetta, jolla pyritään kumoamaan suojan riittävää tasoa koskeva päätös (asia C‑318/04), ja sitten toiseksi kannetta, jolla pyritään neuvoston päätöksen kumoamiseen (asia C‑317/04).
V Kanne, jolla pyritään suojan riittävää tasoa koskevan päätöksen kumoamiseen (asia C‑318/04)
A Kanneperuste, jonka mukaan komissio on ylittänyt toimivaltansa tehdessään suojan riittävää tasoa koskevan päätöksen
1. Asianosaisten lausumat
73. Parlamentti väittää aluksi kyseisen kanneperusteen tueksi, että suojan riittävää tasoa koskevalla päätöksellä, sikäli kuin se koskee sellaisen päämäärän toteuttamista, joka kuuluu yleisen turvallisuuden ja rikosoikeuden alaan, rikotaan direktiiviä 95/46, koska päätös koskee alaa, joka on suljettu kyseisen direktiivin aineellisen soveltamisalan ulkopuolelle. Tästä soveltamisalan ulkopuolelle jättämisestä on parlamentin mukaan nimenomaisesti säädetty direktiivin 95/46 3 artiklan 2 kohdan ensimmäisessä luetelmakohdassa eikä sitä ole mahdollista tulkita niin, että sen ulottuvuus voisi supistua. Sillä seikalla, että henkilötiedot on kerätty taloudellista toimintaa harjoitettaessa eli palveluun oikeuttavan lentolipun myynnin yhteydessä, ei voida perustella kyseisen direktiivin ja erityisesti sen 25 artiklan soveltamista alalla, joka on jätetty sen soveltamisalan ulkopuolelle.
74. Toiseksi parlamentti korostaa, että CBP ei ole kolmas maa direktiivin 95/46 25 artiklassa tarkoitetussa merkityksessä. Kyseisen artiklan 6 kohdassa säädetään kuitenkin, että komission päätös henkilötietojen suojan riittävän tason toteamisesta tarkoittaa kolmatta maata, toisin sanoen valtiota tai siihen rinnastettavaa kokonaisuutta, eikä hallinnollista yksikköä tai kokonaisuutta, joka muodostaa valtion täytäntöönpanovallan osan.
75. Kolmanneksi parlamentti katsoo, että tehdessään suojan riittävää tasoa koskevan päätöksen komissio on ylittänyt toimivaltansa, sikäli kuin päätöksen liitteenä olevat sitoumukset mahdollistavat nimenomaisesti PNR‑tietojen siirron CBP:n toimesta muille Yhdysvaltojen tai muiden valtioiden viranomaisille.
76. Neljänneksi parlamentti katsoo, että suojan riittävää tasoa koskeva päätös sisältää tiettyjä rajoituksia ja poikkeuksia direktiivissä 95/46 esitettyihin periaatteisiin, vaikka sen 13 artiklassa kyseinen oikeus on varattu ainoastaan jäsenvaltioille. Näin ollen tehdessään suojan riittävää tasoa koskevan riidanalaisen päätöksen komissio on parlamentin mukaan asettunut jäsenvaltioiden paikalle ja rikkonut tämän vuoksi kyseisen direktiivin 13 artiklaa. Direktiivin 95/46 täytäntöönpanotoimella komissio on anastanut itselleen toimivallan, joka on ehdottomasti varattu jäsenvaltioille.
77. Viidenneksi parlamentti esittää argumentin, jonka mukaan tietojen asettaminen saataville, joka tapahtuu ”pull”‑järjestelmän (extraction) avulla, ei ole ”siirto” direktiivin 95/46 25 artiklassa tarkoitetussa merkityksessä eikä sitä voida näin ollen sallia.
78. Lopuksi kun otetaan huomioon suojan riittävää tasoa koskevan päätöksen ja sopimuksen välinen keskinäinen riippuvuus, kyseistä päätöstä on tämän toimielimen mukaan pidettävä soveltumattomana toimenpiteenä PNR‑tietojen siirroista päättämisen kannalta.
79. Parlamentista poiketen tietosuojavaltuutettu katsoo, että sitä seikkaa, että jollekin henkilölle tai kolmannen maan instituutiolle annetaan pääsy tietoihin, voidaan pitää siirtona ja että näin ollen direktiivin 95/46 25 artiklaa voidaan soveltaa. Hän katsoo nimittäin, että käsitteen rajoittaminen lähettäjän toteuttamaan siirtoon mahdollistaisi kyseisessä artiklassa asetettujen ehtojen kiertämisen ja aiheuttaisi vahinkoa kyseisessä artiklassa säädetylle tietosuojalle.
80. Komissio, jota Yhdistynyt kuningaskunta tukee, on sitä mieltä, että lentoyhtiöiden toiminnot kuuluvat yhteisön oikeuden soveltamisalaan ja että tämän vuoksi direktiiviä 95/46 voidaan täysin soveltaa. PNR‑tietojen siirron puitteissa perustetun järjestelmän kohteena eivät sen mukaan ole jäsenvaltioiden tai julkisten viranomaisten toiminnot, jotka eivät kuulu yhteisön oikeuden soveltamisalaan.
81. Lisäksi komissio korostaa, että sopimus on allekirjoitettu Yhdysvaltojen eikä valtion viraston puolesta. Mitä tulee CBP:n myöhemmin suorittamiin tietojen siirtoihin, komissio katsoo, että henkilötietojen suoja ei ole ristiriidassa tällaisten siirtojen sallimisen kanssa sillä edellytyksellä, että siirtoja koskevat asianmukaiset ja tarpeelliset rajoitukset.
82. Lopuksi komissio huomauttaa, että direktiivin 95/46 13 artiklalla ei ole merkitystä käsiteltävänä olevassa asiassa ja että ”siirto” kyseisen direktiivin 25 artiklassa tarkoitetussa merkityksessä muodostuu lentoyhtiöiden osalta siitä, että ne asettavat PNR‑tiedot aktiivisesti CBP:n käytettäväksi. Näin ollen tarkasteltu järjestelmä kyllä sisältää direktiivissä 95/46 tarkoitetun tietojen siirron.
2. Arviointi
83. Ensimmäisessä kanneperusteessa parlamentti väittää, että suojan riittävää tasoa koskeva päätös merkitsee direktiivin 95/46 ja erityisesti sen 3 artiklan 2 kohdan, 13 ja 25 artiklan rikkomista. Se korostaa erityisesti, että kyseistä päätöstä ei voitu asianmukaisesti perustaa perussäädökseen, joka kyseinen direktiivi on.
84. Kuten olen jo esittänyt, direktiivin 95/46 tavoitteena on poistaa sisämarkkinoiden toteuttamista ja toimintaa silmällä pitäen henkilötietojen liikkuvuuden esteet yhdenmukaistamalla jäsenvaltioissa yksilöiden oikeuksien ja vapauksien suojan taso tällaisten tietojen käsittelyssä.
85. Yhteisön lainsäätäjä on myös toivonut, että näin perustettu suojajärjestelmä ei vaarantuisi silloin, kun henkilötiedot poistuvat yhteisön alueelta. Se on siis valinnut järjestelmän, jossa edellytetään kolmanteen maahan suuntautuvan henkilötietojen siirron toteuttamisen sallimiseksi, että kyseinen maa takaa näille tiedoille suojan riittävän tason. Näin ollen direktiivi 95/46 sisältää periaatteen, jonka mukaan henkilötietojen siirto kolmanteen maahan on kiellettävä, jos kyseisessä maassa ei taata suojan riittävää tasoa.
86. Kyseisen direktiivin 25 artiklassa asetetaan jäsenvaltioille ja komissiolle lukuisia velvoitteita, joilla pyritään valvomaan henkilötietojen siirtoa kolmansiin maihin ottaen huomioon kunkin tällaisen maan näille tiedoille tarjoaman suojan taso. Siinä säädetään myös menetelmästä ja kriteereistä, joiden avulla voidaan todeta, että kolmannessa maassa taataan sinne siirretyille henkilötiedoille suojan riittävä taso.
87. Yhteisöjen tuomioistuimen antaman määritelmän mukaan järjestelmä, joka koskee henkilötietojen siirtoa kolmansiin maihin, on ”erityinen järjestelmä erityisine sääntöineen, jonka tarkoituksena on turvata se, että jäsenvaltiot kykenevät valvomaan henkilötietojen siirtämistä kolmansiin maihin”. Yhteisöjen tuomioistuin on myös täsmentänyt, että kyseessä on ”järjestelmä, joka täydentää henkilötietojen käsittelyn laillisuutta koskevassa direktiivin II luvussa perustettua yleistä järjestelmää”.(47)
88. Henkilötietojen siirtoa kolmansiin maihin koskevien sääntöjen omaleimaisuus selittyy suureksi osaksi tärkeällä asemalla, joka riittävän suojan käsitteellä on. Kyseisen käsitteen merkityksen kartoittamiseksi on syytä erottaa se selvästi vastaavan suojan käsitteestä, joka edellyttäisi, että kolmas maa tunnustaa ja todella soveltaa kaikkia direktiiviin 95/46 sisältyviä periaatteita.
89. Riittävän suojan käsitteellä tarkoitetaan sitä, että kolmannen maan on voitava taata suoja, joka on mukautettu sellaisen mallin mukaan, jota pidetään hyväksyttävänä henkilötietojen suojan tason osalta. Tällainen järjestelmä, joka perustuu kolmannen maan takaaman suojan riittävyydelle, jättää huomattavaa harkintavaltaa jäsenvaltioille ja komissiolle niiden arvioidessa tietojen kohdemaassa asetettuja takeita. Tätä arviointia ohjaa direktiivin 95/46 25 artiklan 2 kohta, jossa luetellaan joitakin niistä tekijöistä, jotka voidaan ottaa huomioon tässä arvioinnissa.(48) Tätä silmällä pitäen yhteisön lainsäätäjän asettama sääntö on, että ”kolmannessa maassa taattavan tietosuojan tason riittävyyttä on arvioitava kaikkien tiettyyn siirtoon tai siirtojen ryhmään liittyvien olosuhteiden osalta”.
90. Kuten yhteisöjen tuomioistuin on jo todennut, direktiivissä 95/46 ei määritellä käsitettä ”siirto kolmanteen maahan”.(49) Siinä ei nimenomaan täsmennetä, kattaako käsite ainoastaan toiminnan, jolla rekisterinpitäjä siirtää aktiivisesti henkilötietoja kolmanteen maahan, vai ulottuuko se tapauksiin, joissa jollekin kolmannen maan yksikölle on myönnetty pääsy jossakin jäsenvaltiossa sijaitseviin tietoihin. Direktiivi 95/46 on siis vaiti siitä, millä tavalla tietojen siirto kolmanteen maahan voidaan suorittaa.
91. Toisin kuin parlamentti, olen sitä mieltä, että nyt käsiteltävänä olevassa asiassa pääsy PNR‑tietoihin, joka CBP:llä on, kuuluu käsitteeseen ”siirto kolmanteen maahan”. Ratkaisevaa tällaisen siirron luonnehtimiseksi on näet mielestäni tietojen liikkuminen jäsenvaltiosta kolmanteen maahan, tässä tapauksessa Yhdysvaltoihin.(50) Tältä osin ei ole tärkeää, onko lähettäjä vai vastaanottaja suorittanut siirron. Jos direktiivin 95/46 25 artiklan soveltamisala olisi rajoitettu lähettäjän toteuttamiin siirtoihin, olisi näet helppoa kiertää kyseisessä artiklassa asetetut edellytykset, kuten tietosuojavaltuutettu täsmentää.
92. Kun tämä on täsmennetty, on kuitenkin korostettava sitä, että kyseisen direktiivin IV luvussa, johon mainittu 25 artikla sisältyy, ei ole tarkoitus säännellä kaikkia henkilötietojen siirtoja kolmanteen maahan tietojen luonteesta riippumatta. Se kattaa direktiivin 25 artiklan 1 kohdan sanamuodon mukaan ainoastaan ”käsiteltävien tai siirron jälkeen käsiteltäviksi tarkoitettujen” henkilötietojen siirron.
93. Muistutan tältä osin, että direktiivin 95/46 2 artiklan b alakohdan sanamuodon mukaan henkilötietojen käsittelyllä tarkoitetaan ”kaikenlaisia sellaisia toimintoja tai toimintojen kokonaisuuksia, joita kohdistetaan henkilötietoihin – – kuten tietojen kerääminen, tallentaminen, – – kysely, käyttö, luovuttaminen siirtämällä, levittämällä tai asettamalla muutoin saataville – – ”.(51)
94. Riippumatta järjestelmän erityislaadusta, joka perustuu suurelta osin, kuten olemme havainneet, suojan riittävän tason toteamisen käsitteeseen, henkilötietojen siirtoa kolmansiin maihin koskevan järjestelmän osalta on noudatettava sääntöjä, jotka koskevat direktiivin 95/46 soveltamisalaa, johon se kuuluu.(52)
95. Jotta direktiivin 95/46 25 artiklan säännökset koskisivat siirtoa kolmanteen maahan, siirron on tämän vuoksi koskettava henkilötietoja, joiden käsittely kuuluu kyseisen direktiivin soveltamisalaan riippumatta siitä, toteutetaanko se tällä hetkellä yhteisössä vai suunnitellaanko sitä vasta kolmannessa maassa. Suojan riittävää tasoa koskeva päätös voi ainoastaan tällä edellytyksellä olla direktiivin 95/46 asianmukainen täytäntöönpanotoimi.
96. Tältä osin muistutan, että aineellisesta näkökulmasta kyseistä direktiiviä ei sovelleta kaikkiin henkilötietojen käsittelyihin, jotka voivat kuulua johonkin sen 2 artiklan b alakohdassa tarkoitetuista toiminnoista. Direktiivin 95/46 3 artiklan 2 kohdan ensimmäisessä luetelmakohdassa nimittäin säädetään, että direktiivin soveltamisalan ulkopuolelle jää henkilötietojen käsittely, ”joka suoritetaan sellaisessa toiminnassa, joka ei kuulu yhteisön oikeuden soveltamisalaan, kuten toiminta, josta on määrätty Euroopan unionista tehdyn sopimuksen V ja VI osastossa, ja kaikissa tapauksissa käsittely, joka koskee yleistä turvallisuutta, puolustusta, valtion turvallisuutta (myös valtion taloudellista hyvinvointia, kun käsittelyoperaatio on sidoksissa valtion turvallisuutta koskeviin kysymyksiin) ja rikosoikeuden alalla tapahtuvaa valtion toimintaa”.(53)
97. Olen kuitenkin sitä mieltä, että jäsenvaltioiden alueella sijaitsevien lentoyhtiöiden varausjärjestelmistä peräisin olevien lentomatkustajatietojen kysely ja käyttö CBP:n toimesta ja niiden asettaminen viimeksi mainitun saataville on henkilötietojen käsittelyä, jonka tavoitteena on yleinen turvallisuus ja joka koskee rikosoikeuden alalla tapahtuvaa valtion toimintaa. Kyseinen käsittely ei tämän vuoksi kuulu direktiivin 95/46 aineelliseen soveltamisalaan.
98. Suojan riittävää tasoa koskevassa päätöksessä käytetyt termit osoittavat lentomatkustajien henkilötietoihin kohdistuvan tietojenkäsittelyn tavoitteen. Näin ollen mainittuaan, että CBP:lle toimitettavia matkustajarekisteriin sisältyviä henkilötietoja koskevat vaatimukset perustuvat Yhdysvaltojen marraskuussa 2001 antamaan säädökseen ja CBP:n kyseisen säädöksen nojalla hyväksymiin soveltamismääräyksiin,(54) komissio täsmentää, että yksi Yhdysvaltojen lainsäädännön tavoitteista on ”turvallisuuden parantaminen”.(55) Lisäksi todetaan, että ”yhteisö on täysin sitoutunut tukemaan Yhdysvaltoja terrorismin torjunnassa yhteisön lainsäädännön asettamissa rajoissa”.(56)
99. Lisäksi suojan riittävää tasoa koskevan päätöksen 15 perustelukappaleessa säädetään, että ”matkustajarekisteritietoja käytetään yksinomaan estämään ja torjumaan terrorismia ja siihen liittyviä rikoksia, muita vakavia, luonteeltaan rajat ylittäviä rikoksia, mukaan lukien järjestäytynyt rikollisuus, ja pakenemista pidätykseltä tai vankeudesta näiden rikosten johdosta”.
100. Direktiivi 95/46 ja erityisesti sen 25 artiklan 6 kohta ei voi mielestäni olla asianmukainen perusta sille, että komissio hyväksyy nimenomaan direktiivin soveltamisalan ulkopuolelle jätettyjen käsittelyjen kohteena olevien henkilötietojen suojan riittävää tasoa koskevan päätöksen kaltaisen täytäntöönpanotoimen. Tällaisten siirtojen salliminen kyseisen direktiivin perusteella merkitsisi nimittäin sen soveltamisalan epäsuoraa laajentamista.
101. On kuitenkin pidettävä mielessä, että direktiivissä 95/46, joka on annettu EY:n perustamissopimuksen 100 a artiklan perusteella, määritellään suojaa koskevat periaatteet, joita on sovellettava henkilötietojen käsittelyyn silloin, kun rekisterinpitäjän toiminnat kuuluvat yhteisön oikeuden soveltamisalaan, mutta että juuri sen oikeudellisen perustan valinnan vuoksi sillä ei voida säännellä valtion toimintaa, kuten yleistä turvallisuutta koskevaa tai lainvalvontatarkoituksissa tapahtuvaa toimintaa, joka ei kuulu yhteisön oikeuden soveltamisalaan.(57)
102. On totta, että käsittelyllä, jonka lentoyhtiöiden suorittama lentomatkustajatietojen kerääminen ja rekisteröinti muodostavat, on yleensä kaupallinen tarkoitus, sikäli kuin se on suoraan sidoksissa lentoliikenteen harjoittajan järjestämän lennon sujumiseen. Sen vuoksi on oikein katsoa, että lentoyhtiöt ovat alun perin keränneet PNR‑tiedot yhteisön oikeuden alaan kuuluvan toiminnan yhteydessä, nimittäin palveluun oikeuttavien lentolippujen myynnin yhteydessä. Kuitenkin tietojenkäsittely, joka on otettu huomioon suojan riittävää tasoa koskevassa päätöksessä, on luonteeltaan aivan toisenlaista, sikäli kuin se kattaa alkuperäistä tietojen keräämistä seuraavan vaiheen. Se näet koskee, kuten olemme havainneet, jäsenvaltioiden alueella sijaitsevien lentoyhtiöiden varausjärjestelmistä peräisin olevien matkustajatietojen kyselyä ja käyttöä CBP:n toimesta sekä niiden asettamista CBP:n saataville.
103. Todellisuudessa suojan riittävää tasoa koskeva päätös ei koske tietojenkäsittelyä, joka on tarpeen palvelujen tarjoamiseksi vaan jota pidetään tarpeellisena yleisen turvallisuuden suojelemiseksi ja lainvalvontatarkoituksia varten. Sellainen on nimenomaan PNR‑tietojen siirron ja käsittelyn tarkoitus. Tämän vuoksi sillä, että henkilötiedot on kerätty taloudellisen toiminnan harjoittamisen yhteydessä, ei voida mielestäni perustella direktiivin 95/46 ja erityisesti sen 25 artiklan soveltamista alalla, joka on suljettu sen soveltamisalan ulkopuolelle.
104. Nämä seikat riittävät mielestäni sen toteamiseen, että, kuten parlamentti katsoo, komissiolla ei ollut direktiivin 95/46 25 artiklan nojalla toimivaltaa tehdä päätöstä, joka koskee sellaisten henkilötietojen suojan riittävää tasoa, jotka siirretään nimenomaan kyseisen direktiivin soveltamisalan ulkopuolelle jätetyn käsittelyn yhteydessä ja tällaista käsittelyä varten.(58)
105. Kyseisellä suojan riittävää tasoa koskevalla päätöksellä rikotaan näin ollen perussäädöstä, joka on direktiivi 95/46, ja erityisesti sen 25 artiklaa, joka ei ole päätökselle asianmukainen perusta. Katson, että päätös on tämän vuoksi kumottava.
106. Lisäksi sikäli kuin katson, että suojan riittävää tasoa koskeva päätös ei kuulu direktiivin 95/46 soveltamisalaan, ei ole mielestäni asiaankuuluvaa analysoida tätä päätöstä kyseiseen direktiiviin sisältyvien keskeisten periaatteiden kannalta, kuten parlamentti kehottaa toisessa kanneperusteessaan tekemään.(59) Näin ollen katson, että ei ole syytä tutkia toista kanneperustetta.
107. Käsiteltävänä olevan kanteen kolmas ja neljäs kanneperuste, joita tarkastelen vain toissijaisesti, eivät mielestäni voi olla erillisen analyysin kohteena, sillä sen tutkiminen, onko suojan riittävää tasoa koskevalla päätöksellä mahdollisesti loukattu perusoikeuksia, sisältää välttämättä arvioinnin siitä, onko tässä päätöksessä noudatettu suhteellisuusperiaatetta, kun otetaan huomioon sillä tavoiteltava päämäärä. Näin ollen ehdotan, että yhteisöjen tuomioistuin tarkastelee yhdessä kolmatta ja neljättä kanneperustetta.
B Perusoikeuksien ja suhteellisuusperiaatteen loukkaamiseen perustuvat kanneperusteet
108. Parlamentti väittää, että suojan riittävää tasoa koskevassa päätöksessä ei kunnioiteta oikeutta henkilötietojen suojaan, sellaisena kuin se on taattu Euroopan ihmisoikeussopimuksen 8 artiklassa. Tarkemmin sanoen se katsoo kyseisessä artiklassa asetetut edellytykset huomioon ottaen, että kyseinen päätös merkitsee puuttumista yksityiselämään, mitä ei voida pitää laissa säädettynä, sillä kyseessä on toimenpide, joka ei ole saatavilla eikä ennakoitavissa. Lisäksi parlamentti katsoo, että kyseinen toimenpide ei ole oikeassa suhteessa päämäärään, jota sillä tavoitellaan, erityisesti kun otetaan huomioon vaadittujen PNR‑tietokenttien liiallinen määrä ja tietojen liian pitkä säilyttämisaika.
109. Asiassa C‑317/04 nostamassaan kanteessa, jolla pyritään neuvoston päätöksen kumoamiseen, parlamentti vetoaa myös kyseisiin kahteen kanneperusteeseen ja esittää niiden tueksi argumentteja, jotka suureksi osaksi ovat yhteneväisiä. Katson, että kyseisiä kanneperusteita, jotka on esitetty näissä kahdessa yhteisöjen tuomioistuimen käsiteltäväksi saatetussa asiassa, on tarkasteltava yhdessä ja tämä tarkastelu on mielestäni asiallista suorittaa asialle C‑317/04 omistetun esitykseni yhteydessä.
110. Asianosaisten kirjelmissään esittämistä argumenteista näet ilmenee, että on mahdotonta käsittää erikseen yksityisyyden kunnioittamista koskevan oikeuden osalta sen järjestelmän osatekijöitä, joka koskee CBP:n suorittamaa PNR‑tietojen käsittelyä(60) ja jonka muodostavat sopimus, sellaisena kuin se on neuvoston päätöksellä hyväksytty, suojan riittävää tasoa koskeva päätös ja CBP:n sitoumukset, jotka ovat komission kyseisen päätöksen liitteenä. Asianosaiset viittaavat sitä paitsi useaan otteeseen jompaankumpaan kyseisistä säädöksistä todistelutarkoituksessa.
111. Näiden PNR‑järjestelmän kolmen osatekijän keskinäinen riippuvuus ilmenee nimenomaisesti itse sopimuksen sanamuodosta. Sekä CBP:n sitoumuksiin että suojan riittävää tasoa koskevaan päätökseen viitataan näet sopimuksen johdanto-osassa. Sen jälkeen kyseisen sopimuksen 1 kohdassa täsmennetään, että CBP:llä on pääsy PNR‑tietoihin ”ainoastaan [suojan riittävää tasoa koskevan] päätöksen mukaisesti ja ainoastaan niin kauan kuin päätös on voimassa – – ”. Lisäksi vaikka kyseisen sopimuksen 2 kohdan mukaan siinä tarkoitettujen lentoyhtiöiden on käsiteltävä PNR‑tietoja ”tavalla, jota CBP edellyttää Yhdysvaltojen lainsäädännön nojalla”, se tapahtuu kuitenkin ”vain [suojan riittävää tasoa koskevan] päätöksen mukaisesti ja – – niin kauan kuin päätös on voimassa”. Lopuksi sopimuksen 3 kohdassa määrätään, että ”CBP panee merkille [suojan riittävää tasoa koskevan] päätöksen ja toteaa [panevansa] täytäntöön sen liitteenä olevat sitoumukset”.
112. Näistä seikoista seuraa, että CBP:lle sopimuksella myönnetty PNR‑tietoihin pääsyä koskeva oikeus sekä kyseisessä sopimuksessa tarkoitetuilla lentoyhtiöillä oleva velvollisuus käsitellä kyseisiä tietoja edellyttävät suojan riittävää tasoa koskevan päätöksen tiukkaa ja tehokasta noudattamista.
113. PNR‑järjestelmän kolmen osatekijän keskinäinen riippuvuus sekä se, että parlamentti on esittänyt perusoikeuksien ja suhteellisuusperiaatteen loukkaamiseen perustuvat kanneperusteet näissä kahdessa yhteisöjen tuomioistuimen ratkaistavaksi saatetussa asiassa, auttavat ymmärtämään, että kyseisten perusteiden tarkoituksena on saada yhteisöjen tuomioistuin toteamaan, että kolmesta osatekijästä muodostuva PNR‑järjestelmä on ristiriidassa Euroopan ihmisoikeussopimuksen 8 artiklassa taatun yksityiselämän kunnioittamista koskevan oikeuden kanssa. Mielestäni olisi näet keinotekoista tarkastella suojan riittävää tasoa koskevaa päätöstä ottamatta huomioon sopimusta, jolla asetetaan lentoyhtiöille tiettyjä velvollisuuksia, ja toisaalta tarkastella kyseistä sopimusta ottamatta huomioon muita sovellettavia tekstejä, joihin kyseisessä asiakirjassa nimenomaisesti viitataan.
114. Kun otetaan huomioon, että järjestelmä koostuu useista osista, jotka eivät ole erotettavissa toisistaan, analyysia ei siis pidä keinotekoisesti jakaa.
115. Yksityisyyteen puuttuminen tästä näkökulmasta koostuu siis kokonaisuudesta, jonka muodostavat sopimus, sellaisena kuin se on neuvoston päätöksellä hyväksytty, suojan riittävää tasoa koskeva päätös ja CBP:n sitoumukset. Jotta voidaan tarkastella, onko kyseisestä puuttumisesta säädetty laissa, pyritäänkö sillä oikeutettuun päämäärään ja onko se välttämätöntä demokraattisessa yhteiskunnassa, on myös tarpeen ottaa huomioon näin perustetun ”kolmen vaihteen” mekanismin kokonaisuus, kuten parlamentti tekee kahdessa kannekirjelmässään. Yleisnäkemyksen saamiseksi PNR‑järjestelmästä suoritan tämän tarkastelun kanteen yhteydessä, jolla pyritään neuvoston päätöksen kumoamiseen.
VI Kanne, jolla pyritään neuvoston päätöksen kumoamiseen (asia C‑317/04)
A Kanneperuste, jonka mukaan EY 95 artikla on virheellisesti valittu neuvoston päätöksen oikeudelliseksi perustaksi
1. Asianosaisten lausumat
116. Euroopan parlamentti korostaa, että EY 95 artikla ei ole asianmukainen oikeudellinen perusta neuvoston päätökselle. Parlamentin mukaan päätöksen päämääränä ja sisältönä ei nimittäin ole sisämarkkinoiden toteuttaminen ja toiminta. Neuvoston päätöksen tavoitteena on pikemminkin laillistaa henkilötietojen käsittely, jonka Yhdysvaltojen lainsäädäntö on pakottanut yhteisön alueelle sijoittautuneet lentoyhtiöt hyväksymään. Tässä päätöksessä ei täsmennetä, missä määrin tämä kolmanteen maahan suuntautuvien tietojen siirtojen laillistaminen myötävaikuttaa sisämarkkinoiden toteuttamiseen ja toimintaan.
117. Parlamentin mukaan neuvoston päätöksen sisältö ei myöskään oikeuta turvautumaan EY 95 artiklaan oikeudellisena perustana. Kyseinen päätös muodostuu siitä, että CBP:lle perustetaan oikeus päästä yhteisön alueella sijaitsevien lentoyhtiöiden varausjärjestelmiin, ja tämä tapahtuu Yhdysvaltojen ja jäsenvaltioiden välisten lentojen toteuttamiseksi Yhdysvaltojen lainsäädännön mukaisesti terrorismin ehkäisemiseksi ja torjumiseksi. Kyseisten päämäärien toteuttaminen ei kuitenkaan kuulu EY 95 artiklan vaikutuksen piiriin.
118. Lopuksi parlamentti lisää, että EY 95 artikla ei voi perustaa yhteisölle toimivaltaa kyseessä olevan sopimuksen tekemiseen, sikäli kuin sopimus koskee tietojen käsittelyjä, jotka suoritetaan yleiseen turvallisuuteen liittyviä tarkoituksia varten ja jotka eivät siis kuulu direktiivin 95/46, jonka perustana on perustamissopimuksen kyseinen artikla, soveltamisalaan.
119. Neuvosto puolestaan katsoo, että sen päätöksen perustana on aivan oikein ollut EY 95 artikla. Sen mukaan tämä artikla voi olla perustana toimenpiteille, joilla pyritään turvaamaan se, että kilpailuolosuhteet eivät vääristy sisämarkkinoilla. Se väittää tältä osin, että sopimuksella pyritään poistamaan jäsenvaltioiden lentoyhtiöiden väliltä, sekä näiden ja kolmansien maiden lentoyhtiöiden väliltä, kaikki kilpailun vääristymät, joita voi Yhdysvaltojen vaatimusten vuoksi esiintyä henkilöiden oikeuksien ja vapauksien suojeluun liittyvistä syistä. Kansainvälistä henkilöliikennettä Yhdysvalloista tai Yhdysvaltoihin harjoittavien jäsenvaltioiden lentoyhtiöiden väliset kilpailuolosuhteet olisivat voineet vääristyä, jos ainoastaan tietyt niistä sallisivat Yhdysvaltojen viranomaisille pääsyn tietokantoihinsa.
120. Tämän käsityksen mukaisesti neuvosto korostaa yhtäältä, että Yhdysvaltojen viranomaiset olisivat voineet määrätä sakkoja sellaisten lentoyhtiöiden maksettavaksi, jotka eivät noudata Yhdysvaltojen viranomaisten vaatimuksia, niiden lennot olisivat voineet viivästyä ja ne olisivat voineet menettää matkustajia muille lentoyhtiöille, jotka ovat tehneet sopimuksen Yhdysvaltojen kanssa. Toisaalta tietyt jäsenvaltiot olisivat voineet rangaista lentoyhtiöitä, jotka siirtävät kyseessä olevia henkilötietoja, kun taas toiset jäsenvaltiot eivät olisi välttämättä toimineet samalla tavalla.
121. Näissä olosuhteissa ja Yhdysvaltojen viranomaisten pääsyä PNR‑tietoihin koskevan yhteisen sääntelyn puuttuessa neuvosto katsoo, että oli olemassa kilpailuolosuhteiden vääristymisen riski ja että sisämarkkinoiden yhtenäisyys olisi vakavasti vahingoittunut. Sen mukaan oli näin ollen välttämätöntä vahvistaa Yhdysvaltojen viranomaisten pääsyä kyseisiin tietoihin koskevat yhdenmukaiset edellytykset ja turvata samalla perusoikeuksien kunnioittamista koskevat yhteisön vaatimukset. Kysymys oli siis yhdenmukaisten velvoitteiden asettamisesta kaikille kyseessä oleville lentoyhtiöille sekä sisämarkkinoiden toteuttamista ja toimintaa koskevasta ulkoisesta näkökohdasta.
122. Lopuksi neuvosto huomauttaa, että sopimus on tehty direktiivin 95/46 25 artiklan 6 kohdan perusteella tehdyn suojan riittävää tasoa koskevan päätöksen jälkeen. Sen mukaan oli siis normaalia ja oikein perustaa päätös sopimuksen tekemisestä samalle oikeudelliselle perustalle kuin kyseinen direktiivi, toisin sanoen EY 95 artiklalle.
123. Komissio korostaa väliintulokirjelmässään, että sopimuksen johdanto-osan määräykset osoittavat, että Yhdysvalloille keskeinen tavoite on terrorismin torjunta, kun taas yhteisölle pääasiallinen tavoite on sen henkilötietojen suojaa koskevan lainsäädännön tärkeimpien osatekijöiden säilyttäminen.
124. Komissio huomauttaa, että vaikka parlamentti arvostelee EY 95 artiklan valintaa neuvoston päätöksen oikeudelliseksi perustaksi, se ei esitä uskottavaa vaihtoehtoa. Komission mukaan kyseinen artikla on neuvoston päätöksen ”luonnollinen” oikeudellinen perusta, sikäli kuin henkilötietojen suojan ulkoisen ulottuvuuden on perustuttava sisäistä toimenpidettä, joka on direktiivi 95/46, tukevaan perustamissopimuksen artiklaan, ja näin on varsinkin, kun tästä ulkoisesta näkökohdasta on nimenomaan säädetty kyseisen direktiivin 25 ja 26 artiklassa. Lisäksi, kun otetaan huomioon sopimuksen, suojan riittävää tasoa koskevan päätöksen ja CBP:n sitoumusten läheinen yhteys ja keskinäinen riippuvuus, EY 95 artikla osoittautuu asianmukaiseksi oikeudelliseksi perustaksi. Joka tapauksessa komissio väittää, että neuvostolla oli oikeus tehdä sopimus kyseisen artiklan perusteella, sillä jos jäsenvaltiot olisivat tehneet erikseen tai yhdessä tällaisen sopimuksen muutoin kuin yhteisön puitteissa, se olisi vaikuttanut direktiiviin 95/46 ERTA‑oikeuskäytännössä(61) tarkoitetulla tavalla.
125. Lopuksi komissio korostaa, että lentoyhtiöt suorittavat kyseessä olevien tietojen ensimmäisen käsittelyn kaupallisessa tarkoituksessa. Tämän vuoksi ne eivät välty direktiivin 95/46 vaikutukselta sen takia, että Yhdysvaltojen viranomaiset käyttävät niitä.
2. Arviointi
126. Ensimmäisessä kanneperusteessaan parlamentti vaatii yhteisöjen tuomioistuinta ratkaisemaan, onko EY 95 artikla asianmukainen oikeudellinen perusta, jolle käsiteltävänä olevassa asiassa kyseessä olevan kaltaisen kansainvälisen sopimuksen tekemistä koskeva neuvoston päätös voidaan perustaa. Tähän kysymykseen vastaamiseksi on käytettävä yhteisöjen tuomioistuimen vakiintunutta oikeuskäytäntöä, jonka mukaan yhteisön toimen oikeudellisen perustan valinnan on perustuttava objektiivisiin seikkoihin, jotka voivat olla tuomioistuinvalvonnan kohteena ja joihin kuuluvat erityisesti toimen päämäärä ja sisältö.(62) Nimittäin ”yhteisön toimivaltajärjestelmässä toimen oikeudellisen perustan valinta ei voi perustua ainoastaan tietyn toimielimen näkemykseen tavoitellusta päämäärästä – – ”.(63)
127. Muistutan, että yhteisöjen tuomioistuin on todennut, että ”asianmukaisen oikeudellisen perustan valinnalla on perustuslaillinen merkitys. Koska yhteisöllä on ainoastaan rajoitettu toimivalta, sen on [kyseessä olevan kansainvälisen sopimuksen osalta] viitattava perustamissopimuksen määräykseen, jossa se oikeutetaan hyväksymään tällainen toimi”. Yhteisöjen tuomioistuimen mukaan ”virheellisen oikeudellisen perustan käyttäminen voi siis johtaa itse hyväksymistoimen kumoamiseen ja tehdä siten pätemättömäksi yhteisön suostumuksen sitoutua allekirjoittamaansa sopimukseen”.(64)
128. Tarkastelen näin ollen yhteisöjen tuomioistuimen käyttämän analyysimenetelmän mukaisesti, oikeuttivatko sopimuksen päämäärä ja sisältö neuvoston tekemään EY 95 artiklan perusteella päätöksen, jonka tavoitteena oli sen 1 artiklan sanamuodon mukaisesti hyväksyä yhteisön puolesta kyseinen sopimus.
129. Mitä tulee sopimuksen päämäärään, sen johdanto-osan ensimmäisestä kappaleesta ilmenee nimenomaisesti, että sillä pyritään kahteen tavoitteeseen, nimittäin yhtäältä estämään ja torjumaan terrorismia ja siihen liittyvää rikollisuutta sekä muita valtioiden rajat ylittäviä vakavia rikoksia, myös järjestäytynyttä rikollisuutta,(65) ja toisaalta kunnioittamaan perusoikeuksia ja ‑vapauksia sekä erityisesti yksityisyyden suojaa.
130. Pyrkimystä terrorismin ja muiden vakavien rikosten torjuntaa koskevaan tavoitteeseen osoittaa sopimuksen johdanto-osan toisessa kappaleessa oleva viittaus Yhdysvaltojen lakeihin ja määräyksiin, jotka on hyväksytty 11.9.2001 tapahtuneiden terroristi-iskujen jälkeen ja joiden nojalla kaikkien kansainvälistä henkilöliikennettä Yhdysvaltoihin tai Yhdysvalloista harjoittavien lentoyhtiöiden on annettava CBP:lle sähköinen pääsy kyseisen lentoyhtiön automaattisiin varaus‑ ja lähtöselvitysjärjestelmiin kerättyihin ja tallennettuihin PNR‑tietoihin.
131. Perusoikeuksien ja erityisesti yksityisyyden suojaa koskevan oikeuden kunnioittamista koskeva tavoite näkyy viittauksesta direktiiviin 95/46. Kysymys on siis siitä, että kuljetettavien yksilöiden henkilötietojen suoja taataan.
132. Tämän suojan takaamista tavoitellaan sekä CBP:n 11.5.2004 antamissa sitoumuksissa, jotka sopimuksen johdanto-osan neljännessä kappaleessa olevan maininnan mukaan julkaistaan Federal Registerissä, että suojan riittävää tasoa koskevassa päätöksessä, joka mainitaan kyseisen johdanto-osan viidennessä kappaleessa.
133. Sopimuksen johdanto-osan ensimmäisen kappaleen mukaan näihin kahteen tavoitteeseen on pyrittävä samanaikaisesti. Yhteisön ja Yhdysvaltojen välillä tehdyssä sopimuksessa yritetään siis sovittaa yhteen nämä kaksi tavoitetta, toisin sanoen se perustuu ajatukseen, jonka mukaan terrorismin ja muiden vakavien rikosten torjuntaa on ohjattava perusoikeuksia, erityisesti oikeutta yksityisyyden suojaan ja tarkemmin sanoen oikeutta henkilötietojen suojaan, kunnioittaen.
134. Sopimuksen sisältö vahvistaa tämän analyysin. Sen 1 kohdassa näet määrätään, että CBP:llä on sähköinen pääsy lentoyhtiöiden yhteisön jäsenvaltioiden alueella sijaitsevissa varausjärjestelmissä oleviin PNR‑tietoihin ”ainoastaan [suojan riittävää tasoa koskevan] päätöksen mukaisesti” ja ”ainoastaan niin kauan kuin päätös on voimassa”. Päättelen tästä, että keino terrorismin ja muiden vakavien rikosten torjumiseksi, jonka pääsy lentomatkustajien PNR‑tietoihin muodostaa, on sallittu sopimuksella ainoastaan jos todetaan, että kyseiset tiedot saavat Yhdysvalloissa riittävän tasoisen suojan. Sopimuksen kyseisen määräyksen sisältö ilmaisee näin, että terrorismin ja muiden vakavien rikosten torjuntaa sekä henkilötietojen suojaa koskeviin tavoitteisiin pyritään samanaikaisesti.
135. Sama toteamus on välttämätön tarkasteltaessa sopimuksen 2 kohtaa, joka velvoittaa kansainvälistä henkilöliikennettä Yhdysvalloista tai Yhdysvaltoihin harjoittavat lentoyhtiöt käsittelemään automaattisiin varausjärjestelmiinsä tallennettuja PNR‑tietoja ”vain [suojan riittävää tasoa koskevan] päätöksen mukaisesti ja tavalla, jota CBP edellyttää Yhdysvaltojen lainsäädännön nojalla, sekä ainoastaan niin kauan kuin päätös on voimassa”. Siinäkin velvoite, joka lentoyhtiöillä vastedes on terrorismin ja muiden vakavien rikosten torjumiseksi, on läheisesti sidoksissa lentomatkustajien henkilötietojen riittävään suojaan.
136. Sopimuksen muiden määräysten tarkoituksena on ilmaista terrorismin ja muiden vakavien rikosten torjuntaa ja lentomatkustajien henkilötietojen suojaa koskevia päämääriä.
137. Kyseisten matkustajien henkilötietojen suojaa koskevasta tavoitteesta todetaan näin ollen sopimuksen 3 kohdassa, että ”CBP panee merkille [suojan riittävää tasoa koskevan] päätöksen ja toteaa [panevansa] täytäntöön sen liitteenä olevat sitoumukset”.
138. Lisäksi sopimuksen 6 kohdassa otetaan huomioon oletus, että Euroopan unionissa puolestaan otettaisiin käyttöön lentomatkustajien tunnistusjärjestelmä, jonka mukaisesti lentoyhtiöiden olisi annettava toimivaltaisille viranomaisille pääsy niitä matkustajia koskeviin PNR‑tietoihin, joiden matkaan sisältyisi lento Euroopan unioniin tai Euroopan unionista. Sen tilanteen varalta, että Euroopan unioni ottaisi käyttöön kyseisen toimenpiteen, sopimuksessa määrätään, että Department of Homeland Securityn ”on mahdollisuuksien mukaan ja vastavuoroisuusperiaatetta tarkasti noudattaen edistettävä aktiivisesti toimivaltansa piiriin kuuluvien lentoyhtiöiden tekemää yhteistyötä”. Tässä on kysymyksessä määräys, josta ilmenee jälleen kerran terrorismin ja muiden vakavien rikosten torjuntaa koskeva tavoite.
139. Täsmennän tältä osin vastauksena tiettyihin komission esittämiin argumentteihin, että minusta näyttää näin ollen vaikealta vakuuttaa, että terrorismin ja muiden vakavien rikosten torjunta olisi yksipuolisesti ja ainoastaan Yhdysvaltojen tavoitteena ja että yhteisön päämääränä olisi ainoastaan lentomatkustajien henkilötietojen suojelu.(66) Tosiasiassa olen sitä mieltä, että sopimuksen päämääränä ja sisältönä on kunkin sopimuspuolen näkökulmasta katsoen samanaikaisesti sovittaa yhteen terrorismin ja muiden vakavien rikosten torjuntaa ja lentomatkustajien henkilötietojen suojaa koskevat tavoitteet. Tämän vuoksi sopimuksella määrätään sopimuspuolten välisestä yhteistyöstä, jolla on nimenomaan tarkoitus saavuttaa kyseinen kaksoistavoite samanaikaisesti.
140. Kun otetaan huomioon sopimuksen näin kuvailtu päämäärä ja sisältö, olen sitä mieltä, että EY 95 artikla ei ole neuvoston päätöksen asianmukainen oikeudellinen perusta.
141. Tältä osin on muistutettava, että EY 95 artiklan 1 kohta koskee sisämarkkinoiden toteuttamista ja toimintaa koskevia neuvoston toimenpiteitä jäsenvaltioiden lakien, asetusten ja hallinnollisten määräysten lähentämiseksi.
142. Tässä perustamissopimuksen artiklassa yhteisölle annettu toimivalta on luonteeltaan horisontaalista, toisin sanoen sitä ei ole rajattu tietylle alalle. Yhteisön toimivallan ulottuvuus on näin ollen määritelty ”toiminnallisen kriteerin perusteella, joka ulottuu horisontaalisesti kaikkiin toimenpiteisiin, joiden tarkoituksena on ’sisämarkkinoiden’ toteuttaminen”.(67)
143. Yhteisöjen tuomioistuimen oikeuskäytännöstä ilmenee lisäksi, että EY 95 artiklan 1 kohdassa tarkoitettujen toimenpiteiden tarkoituksena on parantaa sisämarkkinoiden toteuttamisen ja toiminnan edellytyksiä ja että niillä on todella oltava tämä tavoite, koska niillä edistetään tavaroiden vapaan liikkuvuuden esteiden poistamista, palvelujen vapaata tarjoamista tai edelleen kilpailun vääristymien poistamista.(68) Kyseisestä oikeuskäytännöstä seuraa myös, että vaikka EY 95 artiklaan turvautuminen oikeudellisena perustana on mahdollista sellaisten tulevien kaupan esteiden syntymisen ehkäisemiseksi, jotka johtuvat kansallisten lainsäädäntöjen epäyhtenäisestä kehityksestä, tällaisten esteiden esiintymisen on oltava todennäköistä ja kyseisen toimenpiteen tavoitteena on oltava niiden ehkäiseminen.(69)
144. Kuten olen jo esittänyt, neuvosto väittää, että sen päätös on tehty asianmukaisesti EY 95 artiklan perusteella siltä osin kuin Yhdysvaltojen kanssa tehty sopimus on poistamalla kaikki kilpailun vääristymät jäsenvaltioiden lentoyhtiöiden väliltä sekä näiden ja kolmansien maiden lentoyhtiöiden väliltä myötävaikuttanut siihen, että vakavan vahingon aiheutuminen sisämarkkinoiden yhtenäisyydelle on vältetty.
145. On tosin huomattava, että neuvoston päätöksen toisessa perustelukappaleessa vedotaan ”lentoyhtiöiden ja matkustajien epävarman tilanteen korjaamise[en] kiireellisesti sekä asianomaisten tahojen taloudellisten etujen suojaamise[en]”. Tämä lause voitaisiin ymmärtää siten, että se viittaa sanktioihin, joita toimivaltaiset Yhdysvaltojen viranomaiset voivat määrätä lentoyhtiöille, jotka kieltäytyisivät tarjoamasta pääsyä matkustajiensa PNR‑tietoihin, ja näillä sanktioilla voisi olla taloudellisia seurauksia kyseisille lentoyhtiöille. Olisi mahdollista ymmärtää, että tällaisessa tilanteessa kyseiset sanktiot, joilla on haitallisia taloudellisia vaikutuksia tiettyjen lentoyhtiöiden osalta, voivat olla syynä kilpailun vääristymiin kaikkien yhteisön jäsenvaltioiden alueelle sijoittautuneiden lentoyhtiöiden välillä.
146. Toisaalta voin myös ymmärtää, että jäsenvaltioiden erilainen suhtautuminen niin, että jotkut kieltävät sanktioiden uhalla niiden alueelle sijoittautuneita lentoyhtiöitä sallimasta niiden matkustajien PNR‑tietojen siirtoa, kun taas toiset eivät toimisi siten, voisi vaikuttaa myös epäsuorasti sisämarkkinoiden toimintaan lentoyhtiöiden välille mahdollisesti syntyvien kilpailun vääristymien vuoksi.
147. Kuitenkin on todettava, että tällainen tavoite, jolla pyritään välttämään kilpailun vääristymät, sikäli kuin neuvosto todellakin pyrkii siihen, on luonteeltaan liitännäinen verrattuna kahteen päätavoitteeseen, joita ovat terrorismin ja muiden vakavien rikosten torjunta sekä matkustajien henkilötietojen suojelu ja jotka on nimenomaisesti mainittu ja todella toteutettu sopimuksen määräyksissä, kuten olemme havainneet.
148. Kilpailun vääristymien välttämistä koskeva tavoite, riippumatta siitä, onko kyseessä, kuten neuvosto asian ilmaisee, jäsenvaltioiden lentoyhtiöiden tai näiden ja kolmansien maiden lentoyhtiöiden välinen kilpailu, ei puolestaan esiinny nimenomaisesti missään sopimusmääräyksessä. Se on luonteeltaan implisiittinen ja siis välttämättä liitännäinen verrattuna kahteen muuhun.
149. Huomautan kuitenkin, kuten yhteisöjen tuomioistuin on jo todennut, että ”pelkästään se seikka, että jokin säädös saattaa vaikuttaa sisämarkkinoiden luomiseen ja toimintaan, ei oikeuta käyttämään [kyseistä määräystä] tämän säädöksen oikeudellisena perustana”.(70)
150. Ennen kaikkea yhteisöjen tuomioistuimen vakiintuneesta oikeuskäytännöstä ilmenee, että jos yhteisön säädöksen tarkastelu osoittaa, että sillä on useita tarkoituksia tai että siinä on useita osatekijöitä, ja jos yksi näistä on yksilöitävissä pääasialliseksi tai määrääväksi ja toinen ainoastaan liitännäiseksi, kyseessä oleva toimi on perustettava yhteen ainoaan oikeudelliseen perustaan, eli siihen, jota pääasiallinen tai määräävä tarkoitus tai osatekijä edellyttää.(71) Ainoastaan jos osoitetaan, että toimella pyritään samanaikaisesti useampiin toisiinsa erottamattomasti liittyviin tavoitteisiin, joista yksikään ei ole toiseen nähden toisarvoinen ja välillinen, tällainen toimi on poikkeuksellisesti perustettava vastaaviin eri oikeudellisiin perustoihin.(72) Mielestäni näin ei ole asian laita käsiteltävänä olevassa asiassa.
151. Huomautan vielä, että vaikka katsottaisiin, että sopimuksella pyritään kyseisiin kolmeen tavoitteeseen, jotka eivät ole toisistaan erotettavissa, neuvoston valintaa perustaa oikeudellisesti päätöksensä yksinomaan EY 95 artiklaan on pidettävä joka tapauksessa kyseisen oikeuskäytännön nojalla virheellisenä.
152. Itse asiassa luettaessa neuvoston päätöksen toinen perustelukappale kokonaisuudessaan ilmenee, että kiireellisyyden, johon neuvosto vetoaa, pääasiallisena tarkoituksena on selittää, että parlamentille on asetettu määräaika lausunnon antamista varten EY 300 artiklan 3 kohdan ensimmäisen alakohdan mukaisesti, jossa määrätään, että sopimusten tekomenettelyn yhteydessä ”Euroopan parlamentti antaa lausuntonsa määräajassa, jonka neuvosto voi asettaa asian kiireellisyyden mukaan”. Tässä artiklassa määrätään lisäksi, että ”jos lausuntoa ei anneta määräajassa, neuvosto voi tehdä ratkaisunsa”. Tällainen oli tilanne menettelyssä, jota noudatettiin neuvoston päätöksen tekemiseksi.
153. Toisin sanoen vaikka ”lentoyhtiöiden ja matkustajien epävarman tilanteen korjaami[nen] kiireellisesti sekä asianomaisten tahojen taloudellisten etujen suojaami[nen]” on saatettu todella ottaa huomioon PNR‑tietoja koskevan järjestelmän perustamiseen tähtäävässä prosessissa, minusta vaikuttaa siltä, että tällä huomioon ottamisella on ollut merkittävämpi osa noudatetun menettelyn yhteydessä kuin sopimuksen päämäärän ja sisällön määrittelyssä.
154. Mitä tulee neuvoston ja komission väitteeseen, jonka mukaan toimi, joka koskee henkilötietojen suojan ulkoista ulottuvuutta, olisi perustettava samaan oikeudelliseen perustaan kuin sisäinen toimenpide, joka on direktiivi 95/46, on korostettava, että yhteisöjen tuomioistuin on jo todennut, että sitä seikkaa, että perustamissopimuksen tietty määräys on valittu joidenkin sisäisten toimien oikeudelliseksi perustaksi, ei riitä osoittamaan, että samaa perustaa olisi käytettävä myös hyväksyttäessä kansainvälistä sopimusta, jolla on samanlainen aihealue.(73) Olen myös osoittanut, ettei sopimuksen päämääränä eikä sisältönä ole parantaa sisämarkkinoiden toiminnan edellytyksiä, kun taas EY 95 artiklan nojalla annetulla direktiivillä 95/46 ”pyritään edistämään henkilötietojen vapaata liikkuvuutta jäsenvaltioiden välillä yhdenmukaistamalla ne lait, asetukset ja hallinnolliset määräykset, jotka koskevat yksilöiden suojelua tällaisten tietojen käsittelyssä”.(74)
155. Edellä esitettyjen seikkojen perusteella katson, että sopimuksen päämäärän ja sisällön tarkastelu osoittaa, että EY 95 artikla ei ole asianmukainen oikeudellinen perusta neuvoston päätökselle.
156. Tämän vuoksi ehdotan, että yhteisöjen tuomioistuin toteaa, että parlamentin esittämä ensimmäinen kanneperuste on perusteltu. Tästä seuraa, että neuvoston päätös on kumottava sen oikeudellisen perustan virheellisen valinnan vuoksi.
157. Tässä vaiheessa olisi tosin kiinnostavaa pohtia kysymystä siitä, mikä tällaisen päätöksen asianmukaisen oikeudellisen perustan pitäisi olla. On kuitenkin tärkeää huomata, että tätä vaikeaa kysymystä ei ole saatettu yhteisöjen tuomioistuimen ratkaistavaksi nyt käsiteltävänä olevan asian yhteydessä. Näin ollen esitän ainoastaan joitakin huomioita tästä ongelmasta ja yleisemmin PNR‑järjestelmän luonteesta, sellaisena kuin siitä on neuvoteltu Yhdysvaltojen kanssa.
158. Ensinnäkin neuvoston puolustaman käsityksen vastaisesti se, että PNR-järjestelmää ei ole otettu käyttöön Euroopan unionista tehdyn sopimuksen määräysten puitteissa, ei ole mielestäni omiaan osoittamaan neuvoston ja komission hyväksymän lähestymistavan oikeudellista pätevyyttä.
159. Sitten yleisemmin ottaen katson, että toimi, jossa määrätään siitä, että henkilötietoja saa kysyä ja käyttää yksikkö, jonka tehtävänä on turvata valtion sisäinen turvallisuus, sekä kyseisten tietojen asettamisesta tällaisen yksikön saataville, on rinnastettavissa julkisten viranomaisten välistä yhteistyötä koskevaan toimeen.(75)
160. Lisäksi se, että oikeushenkilö määrätään suorittamaan tällainen tietojenkäsittely ja että se velvoitetaan suorittamaan kyseisten tietojen siirto, ei näytä olevan pohjimmiltaan kaukana julkisten viranomaisten välisestä suorasta tietojenvaihdosta.(76) Tärkeää on tietojen pakollinen ilmoittaminen turvallisuus‑ ja lainvalvontatarkoituksissa eikä se tapa, jolla se kussakin tilanteessa tapahtuu. Nyt käsiteltävänä oleva asia koskee todellisuudessa uutta problematiikkaa, joka liittyy kaupallisten tietojen käyttöön lainvalvontatarkoituksissa.(77)
161. Lopuksi on huomattava, että ensimmäisen oikeusasteen tuomioistuin on todennut, että ”kansainvälistä terrorismin vastaista taistelua – – ei voida yhdistää mihinkään yhteisölle EY 2 ja EY 3 artiklassa nimenomaisesti määrätyistä tavoitteista”.(78)
162. Kun otetaan huomioon, että ensimmäistä kanneperustetta koskevan analyysini perusteella päädyin ehdottamaan, että yhteisöjen tuomioistuin kumoaisi neuvoston päätöksen sen oikeudellisen perustan virheellisen valinnan vuoksi, tarkastelen vain toissijaisesti muita kanneperusteita, jotka parlamentti on esittänyt tämän kanteen tueksi.
B Kanneperuste, jonka mukaan EY 300 artiklan 3 kohdan toista alakohtaa on rikottu direktiiviin 95/46 aiheutuvan muutoksen vuoksi
1. Asianosaisten lausumat
163. Toisessa kanneperusteessaan parlamentti väittää, että yhteisön ja Yhdysvaltojen välinen sopimus voitiin hyväksyä yhteisön puolesta ainoastaan EY 300 artiklan 3 kohdan toisessa alakohdassa tarkoitettua menettelyä noudattaen. Tässä artiklassa näet määrätään, että ”sopimukset, joista aiheutuu muutos 251 artiklassa tarkoitettua menettelyä noudattaen annettuun säädökseen, tehdään sen jälkeen, kun Euroopan parlamentin puoltava lausunto on saatu”. Tämän toimielimen mukaan kyseessä olevasta sopimuksesta aiheutuu muutos direktiiviin 95/46, joka on annettu EY 251 artiklassa tarkoitetun menettelyn mukaisesti.
164. Parlamentin mielestä sitoumukset, joita Yhdysvaltojen viranomaiset ovat suostuneet noudattamaan sopimuksen mukaisesti, ovat kaukana tietojenkäsittelyn edellytyksistä, joista säädetään direktiivissä 95/46. Niin muodoin sopimuksen seurauksena poiketaan tietyistä kyseisen direktiivin keskeisistä periaatteista ja tehdään laillisiksi tietojenkäsittelyt, joita ei ole siinä sallittu. Tässä mielessä sopimuksella muutettaisiin direktiiviä 95/46. Parlamentti yksilöi erityisesti seuraavat muutokset.
165. Ensinnäkin parlamentin mukaan sopimus koskee terrorismin ja muiden vakavien rikosten estämistä ja torjuntaa, vaikka direktiivin 95/46 3 artiklan 2 kohdan ensimmäisen luetelmakohdan mukaan sen soveltamisalaan eivät kuulu tietojen siirto kolmannen maan julkisille viranomaisille kyseisen valtion yleiseen turvallisuuteen liittyvistä syistä. Parlamentti huomauttaa, että jäsenvaltiot ovat hyväksyneet tässä tarkoituksessa erityiset määräykset Europol‑yleissopimuksessa ja että näin ollen voidaan katsoa, että nämä kaksi asiakirjaa, joiden oikeudellinen perusta on erilainen, täydentävät toisiaan tällä alalla.
166. Toiseksi Yhdysvaltojen toimivaltaisille viranomaisille annettu mahdollisuus päästä suoraan henkilötietoihin yhteisön alueen sisällä (”pull”‑järjestelmä) merkitsee parlamentin mukaan myös muutosta direktiiviin 95/46. Sen 25 ja 26 artiklaan ei näet sisälly säännöstä, jonka perusteella kolmannella valtiolla olisi oikeus päästä suoraan kyseisiin tietoihin.
167. Kolmanneksi sopimuksessa annetaan sitoumuksiin viittaamalla CBP:lle oikeus harkintansa mukaan ja tapauskohtaisesti siirtää PNR‑tietoja Yhdysvaltojen ulkopuolisille valtiollisille viranomaisille, joiden tehtävänä on lainvalvonta tai terrorismin torjunta. Yhdysvaltojen viranomaisille jätetty harkintavalta merkitsee parlamentin mielestä direktiivin 95/46 ja erityisesti sen 25 artiklan 1 kohdan rikkomista, jonka sanamuodon mukaan ”henkilötietojen siirto kolmanteen maahan voidaan suorittaa ainoastaan, jos kyseisessä kolmannessa maassa taataan tietosuojan riittävä taso”. Parlamentti nimittäin katsoo, että kyseisessä direktiivissä kehitetty suojajärjestelmä tehdään tyhjäksi, jos suojan riittävää tasoa koskevan myönteisen päätöksen kohteena oleva kolmas maa olisi sen jälkeen vapaa siirtämään henkilötiedot muihin maihin, joista komissio ei ole tehnyt minkäänlaista arviointia.
168. Neljänneksi sopimus sisältää muutoksen direktiiviin 95/46, sikäli kuin CBP:llä olisi oikeudellisesti lupa kerätä arkaluonteisia henkilötietoja, mikä merkitsisi jo tietojenkäsittelyä kyseisen direktiivin 2 artiklan b alakohdassa tarkoitetussa merkityksessä, vaikka se päättäisikin olla käyttämättä niitä.
169. Viidenneksi parlamentti katsoo, että sopimuksella muutetaan kyseistä direktiiviä, koska direktiivin 95/46 22 artiklassa säädetyn kaltaista mahdollisuutta käyttää oikeussuojakeinoa, jos kyseessä olevaan käsittelyyn sovellettavissa kansallisissa säännöksissä kaikille henkilöille taattuja oikeuksia loukataan, ei ole riittävästi taattu. Erityisesti henkilöllä, jota PNR‑tietojen siirto koskee, ei olisi mitään oikeussuojakeinoa esimerkiksi siinä tapauksessa, että häntä koskevat tiedot ovat virheellisiä tai että käytetään arkaluonteisia tietoja tai että tietoja siirretään toiselle viranomaiselle.
170. Kuudenneksi ja viimeiseksi parlamentti korostaa CBP:lle siirrettyjen PNR‑tietojen kohtuutonta säilytysaikaa, mikä merkitsee muutosta direktiiviin 95/46 ja erityisesti sen 6 artiklan 1 kohdan e alakohtaan, jossa säädetään, että tietoja säilytetään ainoastaan sen ajan ”kuin on tarpeen niiden tarkoitusten toteuttamista varten, joita varten tiedot kerättiin tai joissa niitä myöhemmin käsitellään”.
171. Tietosuojavaltuutettu tukee parlamentin vaatimuksia siinä mielessä, että sen mukaan sopimuksella on vaikutusta direktiiviin 95/46. Se on sitä mieltä, että sopimus voitiin tehdä vain parlamentin demokraattisen valvonnan alaisena, koska se vaikuttaa kansallisten lainsäädäntöjen yhdenmukaistamisen tasoon, sellaisena kuin siitä on säädetty tässä direktiivissä, sekä ihmisoikeuksien kunnioittamiseen. Kyseisessä direktiivissä säädetyn henkilötietojen suojan tason vaarantaminen johtuu erityisesti siitä, että sekä ”pull”‑järjestelmässä että ”push”‑järjestelmässä lentoyhtiöiden on pakko toimia direktiivin ja erityisesti sen 6 artiklan 1 kohdan b ja c alakohdan vastaisesti. Koska tietosuojan tason vaarantamisesta aiheutuu muutos direktiiviin 95/46, tietosuojavaltuutettu katsoo, että EY 300 artiklan 3 kohdan toisessa alakohdassa määrättyjä menettelyn takeita ei ole noudatettu. Se katsoo lisäksi, että myöskään aineellisia takeita ei ole noudatettu erityisesti, koska CBP:n sitoumukset eivät ole luonteeltaan velvoittavia.
172. Sitä vastoin neuvosto, jota komissio tukee, katsoo, että sopimuksesta ei aiheudu muutosta direktiiviin 95/46. Tämän mielipiteen tueksi se lainaa kyseisen sopimuksen 8 kohtaa, jonka sanamuodon mukaan sopimuksella ”ei ole tarkoitus poiketa osapuolten lainsäädännöstä eikä muuttaa sitä”. Lisäksi se väittää, että kyseisessä direktiivissä annetaan komissiolle laaja harkintavalta kolmannessa maassa taatun suojan riittävyyden arvioinnissa. Tältä osin kysymys siitä, onko komissio ylittänyt harkintavaltansa rajat, muodostaa neuvoston mukaan pikemminkin suojan riittävää tasoa koskevaa päätöstä koskevan kumoamiskanteen kohteen asiassa C‑318/04.
173. Neuvosto huomauttaa myös, että sen mielestä perustelut (turvallisuus, terrorismin torjunta tai muu), jotka ovat saaneet CBP:n vaatimaan PNR‑tietojen siirtoa, eivät yhteisön näkökulmasta muodosta sopimuksen kohdetta eivätkä sen sisältöä. Lisäksi se katsoo, että direktiivissä 95/46 sallitaan henkilötietojen käyttö sisämarkkinoiden soveltamisalalla laillisiin tarkoituksiin, kuten valtion turvallisuuden suojeluun.
174. Joka tapauksessa vaikka oletettaisiin, että yhteisöllä ei ollut toimivaltaa tehdä sopimusta, tästä ei kuitenkaan neuvoston mukaan seuraisi, että parlamentin olisi pitänyt antaa puoltava lausuntonsa sillä väitetyllä perusteella, että sopimuksella muutettaisiin direktiiviä 95/46. Neuvosto nimittäin täsmentää, että parlamentin puoltava lausunto ei voisi missään tapauksessa johtaa yhteisön toimivalta-alan laajentumiseen.
175. CBP:n mahdollisuudesta päästä suoraan PNR‑tietoihin (tällä hetkellä sovellettava ”pull”‑järjestelmä odotettaessa ”push”‑järjestelmän käyttöön ottoa) neuvosto toteaa, että direktiivissä 95/46 ei kielletä sitä, vaikka se myöntääkin, että siinä ei nimenomaisesti mainita tällaista mahdollisuutta. Yhteisön näkökulmasta juuri tietoihin pääsyn edellytykset ovat tärkeitä.
176. Komissio lisää tähän argumenttiin, että riippumatta tarkoituksesta, johon CBP henkilötietoja käyttää, nämä tiedot ovat joka tapauksessa yhteisössä toimivien lentoyhtiöiden kaupallisia tietoja ja pysyvät kaupallisina tietoina, jotka kuuluvat direktiivin 95/46 soveltamisalaan ja joita on tämän vuoksi suojeltava ja käsiteltävä sen mukaisesti.
2. Arviointi
177. Yhteisön kansainvälisten sopimusten tekemisen osalta parlamentin kuuleminen näyttää olevan yhteisön oikeuden mukainen menettely lukuun ottamatta yhteisen kauppapolitiikan alaa. Parlamentin kuuleminen tapahtuu EY 300 artiklan 3 kohdan ensimmäisen alakohdan nojalla, mukaan luettuna silloin kun sopimus koskee alaa, jolla sisäisten sääntöjen antaminen edellyttää EY 251 artiklassa määrätyn yhteispäätösmenettelyn noudattamista.
178. Kyseisestä yhteisön oikeuden menettelystä poiketen EY 300 artiklan 3 kohdan toisessa alakohdassa edellytetään parlamentin puoltavaa lausuntoa neljässä tapauksessa, joista käsiteltävänä olevan asian kannalta on kiinnostava se, jossa sopimuksesta aiheutuu ”muutos 251 artiklassa tarkoitettua menettelyä noudattaen annettuun säädökseen”. Kysymys on sen takaamisesta, että parlamentti voi lainsäätäjäkumppanina valvoa hyväksymänsä säädöksen mahdollista muuttamista kansainvälisellä sopimuksella.
179. Direktiivi 95/46 on annettu yhteispäätösmenettelyä noudattaen. Parlamentti väittää siis, että koska sopimuksesta aiheutuu muutos kyseiseen direktiiviin, neuvoston päätös kyseisen sopimuksen hyväksymisestä yhteisön puolesta edellyttää sen puoltavaa lausuntoa, jotta se voitaisiin tehdä perustamissopimuksessa määrättyjä sääntöjä noudattaen.
180. Jotta voitaisiin arvioida, onko kyseinen kanneperuste perusteltu, täsmennän ennen kaikkea, että mielestäni sillä ei ole merkitystä, että sopimuksen 8 kohdan sanamuodon mukaan sopimuksella ”ei ole tarkoitus poiketa osapuolten lainsäädännöstä eikä muuttaa sitä”. EY 300 artiklan 3 kohdan toisen alakohdan soveltamisen kannalta on nimittäin tärkeää tutkia, aiheutuuko kansainvälisestä sopimuksesta muutos yhteisön sisäiseen säädökseen, toisin sanoen, onko sopimuksesta seurauksena kyseisen säädöksen muutos, eikä tämä riipu siitä, ettei tämä ole sen tarkoitus.
181. Tämän täsmennyksen jälkeen vaikuttaa siltä, että yhteisöjen tuomioistuin ei ole vielä ottanut kantaa siihen, mikä merkitys on annettava suhteellisen epämääräiselle ilmaisulle ”muutos 251 artiklassa tarkoitettua menettelyä noudattaen annettuun säädökseen”.(79) Tietyt kirjoittajat ovat pohtineet tältä osin sitä, tarkoittaako ilmaisu ”muutos” sisäisen säädöksen ”tekstin kanssa ristiriidassa olevaa muutosta” vai onko sisäisen säädöksen ”mikä tahansa, jopa tekstin mukainen muutos” riittävä, jotta voidaan vaatia puoltavaa lausuntoa edellyttävän menettelyn noudattamista.(80)
182. EY 300 artiklan 3 kohdan toisessa alakohdassa käytetty ilmaisu vaatii myös pohtimaan, onko suunnitellun sopimuksen soveltamisalan katettava ainakin osittain annetun sisäisen säädöksen soveltamisala vai riittääkö perusteeksi puoltavan lausunnon edellyttämiselle ainoastaan se, että sisäinen säädös on annettu kyseistä sopimusta tehtäessä käytetyllä oikeudellisella perustalla.(81)
183. Yleisesti ottaen olen sitä mieltä, että jotta kansainvälisestä sopimuksesta aiheutuisi ”muutos” yhteisön sisäiseen säädökseen, joka on annettu yhteispäätösmenettelyä noudattaen, yksi edellytyksistä on, että sopimuksen soveltamisala on yhteneväinen kyseisen sisäisen säädöksen soveltamisalan kanssa. Tässä tapauksessa nimittäin kansainvälisellä sopimuksella voidaan saada aikaan sisäisen säädöksen muutos joko sen takia, että sopimukseen sisältyy määräys, joka on ristiriidassa jonkin sisäisen säädöksen säännöksen kanssa, tai sen vuoksi, että sopimuksella lisätään sisäisen säädöksen sisältöä, myös ilman suoranaista ristiriitaa.
184. Käsiteltävänä olevassa asiassa katson, että sopimuksella ei ole voitu muuttaa direktiivin 95/46 sisältöä.
185. Mielipiteeni perustuu ensinnäkin siihen, kuten ensimmäistä kanneperustetta koskevasta analyysistani ilmenee, että sopimuksen pääasiallisena tavoitteena on terrorismin ja muiden vakavien rikosten torjunta, vaikka sillä taataankin samanaikaisesti lentomatkustajien henkilötietojen suoja. Sitä vastoin direktiivillä 95/46 pyritään takaamaan henkilötietojen vapaa liikkuvuus jäsenvaltioiden välillä yhdenmukaistamalla kansallisia säännöksiä, joilla suojellaan yksilöitä tällaisten tietojen käsittelyssä. Näillä kahdella asiakirjalla on näin ollen kaksi sangen erilaista tavoitetta, vaikka ne molemmat koskevatkin henkilötietojen suojelun alaa.(82)
186. Toiseksi ja yhdenmukaisesti sen toteamuksen kanssa, jonka mukaan sopimuksen ja direktiivin 95/46 tavoitteet ovat erilaiset, osoittautuu, että niiden soveltamisalat ovat erilaiset. Vaikka sopimusta sovelletaankin henkilötietojen käsittelyyn, joka suoritetaan Yhdysvaltojen sisäiseen turvallisuuteen liittyvien toimintojen sekä samanaikaisesti ja tarkemmin sanoen sellaisten toimintojen vuoksi, jotka liittyvät terrorismin ja muiden vakavien rikosten torjuntaan, huomautan, että kyseisen direktiivin 3 artiklan 2 kohdan ensimmäisessä luetelmakohdassa suljetaan nimenomaisesti sen soveltamisalan ulkopuolelle henkilötietojen käsittely, joka ”suoritetaan sellaisessa toiminnassa, joka ei kuulu yhteisön oikeuden soveltamisalaan, kuten toiminta, josta on määrätty Euroopan unionista tehdyn sopimuksen V ja VI osastossa, ja kaikissa tapauksissa käsittely, joka koskee yleistä turvallisuutta, puolustusta, valtion turvallisuutta (myös valtion taloudellista hyvinvointia, kun käsittelyoperaatio on sidoksissa valtion turvallisuutta koskeviin kysymyksiin) ja rikosoikeuden alalla tapahtuvaa valtion toimintaa”.(83)
187. Kun otetaan huomioon se, että käsiteltävänä olevassa asiassa kyseisten kahden asiakirjan tavoitteet ja soveltamisalat ovat erilaiset, en käsitä, miten toisen sisältö voisi muuttaa toisen sisältöä. Itse asiassa sopimus koskee sellaista henkilötietojen käsittelyä, jonka yhteisön lainsäätäjä on selvästi sulkenut direktiivillä 95/46 perustetun suojajärjestelmän soveltamisalan ulkopuolelle. Tämä yhteisön lainsäätäjän hyväksymä lähestymistapa on sitä paitsi yhdenmukainen kyseisen direktiivin oikeudellisen perustan valinnan, eli EY 95 artiklan, kanssa.
188. Tätä analyysia ei mielestäni voida kumota komission argumentilla, jonka mukaan henkilötiedot ovat joka tapauksessa yhteisön lentoyhtiöiden kannalta kaupallisia tietoja ja pysyvät sellaisina tietoina, jotka kuuluvat direktiivin 95/46 soveltamisalaan ja joita on suojeltava ja käsiteltävä kyseisen direktiivin mukaisesti, riippumatta siitä, mihin tarkoitukseen CBP niitä käyttää.
189. Totean tältä osin, että vaikka onkin totta, että käsittelyllä, jonka muodostavat matkustajatietojen kerääminen ja rekisteröinti lentoyhtiöiden toimesta, on yleensä kaupallinen tarkoitus, koska se on välittömästi sidoksissa lentoyhtiön järjestämän lennon sujumiseen, tietojenkäsittely, jota sopimus koskee, on kuitenkin luonteeltaan aivan erilaista, koska se yhtäältä kattaa tietojen keruuta seuraavan vaiheen ja sillä toisaalta pyritään turvallisuuteen liittyvään tavoitteeseen.
190. Kaikkien näiden seikkojen perusteella katson, että parlamentin esittämä toinen kanneperuste ei ole perusteltu ja että se on näin ollen hylättävä.
191. Samoilla perusteilla kuin ne, jotka olen esittänyt asiaa C‑318/04 (84) koskevan tarkasteluni yhteydessä, aion nyt tarkastella yhdessä parlamentin esittämiä kolmatta ja neljättä kanneperustetta, nimittäin henkilötietojen suojaa koskevan oikeuden ja suhteellisuusperiaatteen loukkaamista.
192. Huomautan myös, että kun otetaan huomioon sopimuksen, sellaisena kuin se on hyväksytty neuvoston päätöksellä, suojan riittävää tasoa koskevan päätöksen ja CBP:n sitoumusten, jotka on liitetty kyseiseen komission päätökseen, keskinäinen riippuvuus, on mielestäni analysoitava koko PNR‑järjestelmää näihin kanneperusteisiin nähden.(85)
C Henkilötietojen suojaa koskevan oikeuden ja suhteellisuusperiaatteen loukkaamiseen perustuvat kanneperusteet
1. Asianosaisten lausumat
193. Parlamentti väittää, että PNR‑järjestelmällä loukataan oikeutta henkilötietojen suojaan, sellaisena kuin se on tunnustettu erityisesti Euroopan ihmisoikeussopimuksen 8 artiklassa.
194. Se katsoo, että sopimus koskee henkilötietojen käsittelyä, joka on Euroopan ihmisoikeussopimuksen 8 artiklassa tarkoitettua yksityiselämään puuttumista, koska siinä määrätään, että CBP:llä on sähköinen pääsy lentoyhtiöiden yhteisön jäsenvaltioiden alueella sijaitsevissa varausjärjestelmissä oleviin PNR‑tietoihin, ja koska siinä sovitaan, että kyseiset lentoyhtiöt, kun ne harjoittavat kansainvälistä henkilöliikennettä Yhdysvaltoihin tai Yhdysvalloista, käsittelevät kyseessä olevia PNR‑tietoja tavalla, jota CBP edellyttää Yhdysvaltojen lainsäädännön nojalla. Myöskään suojan riittävää tasoa koskevassa päätöksessä ei noudateta kyseistä artiklaa.
195. Parlamentti täsmentää, että jotta Euroopan ihmisoikeussopimuksen 8 artiklaa ei rikottaisi, on tällaisesta puuttumisesta säädettävä laissa, sillä on pyrittävä oikeutettuun päämäärään ja sen on oltava demokraattisessa yhteiskunnassa välttämätöntä kyseisen päämäärän saavuttamiseksi. Se katsoo, että sopimus ja suojan riittävää tasoa koskeva päätös eivät täytä näitä edellytyksiä.
196. Mitä ensiksi tulee edellytykseen, jonka mukaan tällaisesta puuttumisesta on säädettävä laissa, parlamentti korostaa, ettei sopimus, eikä myöskään suojan riittävää tasoa koskeva päätös vastaa lain saatavilla oloa ja ennakoitavuutta koskevia vaatimuksia, joita edellytetään Euroopan ihmisoikeustuomioistuimen oikeuskäytännössä. Yhtäältä lain saatavilla oloa koskevan vaatimuksen osalta parlamentti katsoo, että koska sopimuksessa ja suojan riittävää tasoa koskevassa päätöksessä viitataan yleisesti ja epätarkasti Yhdysvaltojen sovellettavaan lainsäädäntöön, ne itse eivät sisällä matkustajille ja eurooppalaisille lentoyhtiöille kuuluvia oikeuksia ja velvollisuuksia. Parlamentin mukaan oikeusvarmuutta koskeva pakottava vaatimus edellyttää, että asianomaisten on pystyttävä saamaan yhteisön säädöksestä tarkasti selville niille siitä aiheutuvien velvollisuuksien laajuus.(86) Lisäksi toisin kuin lain saatavilla oloa koskeva vaatimus edellyttää, sovellettavat Yhdysvaltojen lait eivät ole saatavissa kaikilla yhteisön virallisilla kielillä. Parlamentti toteaa myös, että sopimuksen johdanto-osassa oleva viittaus suojan riittävää tasoa koskevaan komission päätökseen ja sen tekopäivään ovat virheelliset. Toisaalta lain ennakoitavuutta koskeva vaatimus ei parlamentin mielestä täyty, sillä sopimukseen ja suojan riittävää tasoa koskevaan päätökseen ei sisälly riittävän tarkasti yhteisön alueelle sijoittautuneiden lentoyhtiöiden ja kansalaisten oikeuksia ja velvollisuuksia. Lisäksi matkustajat saavat ainoastaan yleistä tietoa, mikä on vastoin informointivelvollisuutta, sellaisena kuin siitä on säädetty direktiivin 95/46 10 ja 11 artiklassa ja määrätty yleissopimuksen nro 108 8 artiklan a kappaleessa. Lopuksi parlamentin mukaan sopimus ja CBP:n sitoumukset sisältävät joukon epätarkkuuksia, jotka ovat ristiriidassa Euroopan ihmisoikeussopimuksen 8 artiklan kanssa.
197. Toiseksi parlamentti myöntää, että Euroopan ihmisoikeussopimuksen 8 artiklan 2 kohdassa määrätty edellytys, jonka mukaan yksityiselämän kunnioittamista koskevaan oikeuteen puuttumisella on tavoiteltava oikeutettua päämäärää, täyttyy. Se muistuttaa tältä osin, että se on ilmaissut useaan otteeseen tukensa neuvostolle terrorismin torjunnassa.
198. Mitä kolmanneksi tulee edellytykseen, jonka mukaan puuttumisen on oltava demokraattisessa yhteiskunnassa välttämätöntä kansallisen tai yleisen turvallisuuden tai maan taloudellisen hyvinvoinnin vuoksi, tai epäjärjestyksen tai rikollisuuden estämiseksi, terveyden tai moraalin suojaamiseksi tai muiden henkilöiden oikeuksien ja vapauksien turvaamiseksi, parlamentti katsoo, että edellytys ei täyty seuraavista syistä:
– CBP:n sitoumusten 3 kohdasta ilmenee, että tietojenkäsittely ei rajoitu pelkästään terrorismin torjuntaan, vaan sen tarkoituksena on myös ehkäistä ja torjua muita vakavia rikoksia, mukaan lukien järjestäytynyt rikollisuus, ja pakeneminen pidätykseltä tai vankeudesta edellä mainittujen rikosten johdosta. Sikäli kuin tietojenkäsittely ylittää pelkän terrorismin torjunnan, se ei ole välttämätöntä tavoitellun oikeutetun päämäärän toteutumisen kannalta.
– Sopimuksen mukaan siirrettävien tietojen määrä on liian suuri (34), ja tämän vuoksi siinä ei noudateta suhteellisuusperiaatetta. Henkilötietojen suojan riittävän tason noudattamisen näkökulmasta 19 tietoa näistä 34:stä vaikuttaisivat hyväksyttäviltä. Parlamentti katsoo, että on olemassa ”huomattava ero” niiden tietojen lukumäärän, joista säädetään Euroopan unionin tasolla sovellettavissa vastaavissa oikeudellisissa asiakirjoissa, ja sopimuksen nojalla vaaditun lukumäärän välillä.(87) Lisäksi tietyt vaaditut PNR‑tietokentät voivat sisältää arkaluonteisia tietoja.
– Yhdysvaltojen viranomaiset säilyttävät tietoja liian kauan tavoiteltuun päämäärään nähden. CBP:n sitoumuksista näet seuraa, että sen jälkeen, kun luvan saaneilla CBP‑käyttäjillä on ollut seitsemän päivän ajan online‑pääsy tietoihin, kaikkia tietoja säilytetään 3,5 vuoden ajan, sitten CBP siirtää tiedot, joita on manuaalisesti käsitelty kyseisen ajanjakson kuluessa, raakatietojen muodossa käytöstä poistettujen tietojen tiedostoon, jossa niitä säilytetään kahdeksan vuotta ennen tuhoamista. Vertailu tietojärjestelmiin, jotka on perustettu esimerkiksi Schengenin yleissopimuksen, Europol‑yleissopimuksen ja Eurojust‑päätöksen puitteissa ja joissa määrätään säilytysajaksi kolme vuotta, osoittaa, että sitoumuksissa mainittu aika on liian pitkä.
– Sopimuksessa ei määrätä Yhdysvaltojen viranomaisten suorittamaa tietojenkäsittelyä koskevasta tuomioistuinvalvonnasta. Koska sopimuksessa ja sitoumuksissa ei myöskään perusteta oikeuksia henkilöille, joiden henkilötietoja käsitellään, parlamentti ei näe, miten kyseiset henkilöt voisivat vedota niihin Yhdysvaltojen tuomioistuimissa.
– Sopimuksessa sallitaan tietojen siirto muille julkisille viranomaisille; näin siinä mennään pidemmälle kuin on tarpeen terrorismin torjumiseksi.
199. Tietosuojavaltuutettu puolustaa väitettä, jonka mukaan kuuden tietoluokan käsittely loukkaa ilmeisesti oikeutta yksityisyyteen.(88) Myös mahdollisuudesta muodostaa henkilöprofiileja kyseisistä tiedoista seuraa tällainen loukkaus. Tietosuojavaltuutettu tukee parlamentin argumentteja, joilla pyritään osoittamaan, että puuttuminen ei ole oikeutettua, kun otetaan huomioon Euroopan ihmisoikeussopimuksen 8 artiklan 2 kohta. Se katsoo myös, että CBP:n tarjoaman suojan taso ei ole riittävä direktiivin 95/46 25 artiklassa tarkoitetussa merkityksessä, erityisesti koska Euroopan ihmisoikeussopimuksen 8 artiklaa ei noudateta.
200. Sitä vastoin neuvosto ja komissio katsovat, että PNR‑järjestelmässä noudatetaan Euroopan ihmisoikeussopimuksen 8 artiklan 2 kohdassa asetettuja edellytyksiä, sellaisina kuin Euroopan ihmisoikeustuomioistuin on niitä tulkinnut.
201. Mitä ensiksi tulee edellytykseen, jonka mukaan puuttumisesta on säädettävä laissa, neuvosto katsoo, että lain saatavilla oloa koskevan vaatimuksen täyttämiseksi ei ole välttämätöntä, että itse sopimuksen teksti sisältää kaikki määräykset, jotka voivat mahdollisesti vaikuttaa kyseessä oleviin henkilöihin. Neuvoston mukaan ei ole oikeudenvastaista viitata sopimuksessa suojan riittävää tasoa koskevaan päätökseen ja CBP:n sitoumuksiin, jotka ovat kyseisen päätöksen liitteenä, koska kaikki kyseiset tekstit on julkaistu Euroopan unionin virallisessa lehdessä. Toisaalta viimeksi mainitun tehtävänä ei ole julkaista kolmansien maiden lakeja. Sopimuksen johdanto-osassa olevan suojan riittävää tasoa koskevaan päätökseen kohdistuvan virheellisen viittauksen johdosta neuvosto ilmoittaa, että se toteuttaa tarpeelliset toimenpiteet oikaisun julkaisemiseksi Euroopan unionin virallisessa lehdessä, mutta se katsoo, että luonteeltaan tekniset virheet eivät vaikuta kyseessä olevien säädösten saatavilla oloon Euroopan ihmisoikeustuomioistuimen oikeuskäytännössä tarkoitetussa merkityksessä. Lain ennakoitavuutta koskevasta edellytyksestä neuvosto on sitä mieltä, ettei tämän vaatimuksen vastaista ole, että CBP:n sitoumuksia sekä Yhdysvaltojen lakeja ja perustuslaillisia vaatimuksia ei ole toistettu täydellisesti itse sopimuksessa. Lisäksi kyseessä olevat henkilöt voivat säädellä käyttäytymistään riittävän täsmällisesti laadittujen CBP:n sitoumusten avulla.
202. Mitä tulee toiseen edellytykseen, jonka mukaan puuttumisella on tavoiteltava oikeutettua päämäärää, neuvosto korostaa, että muiden vakavien rikosten kuin terrorismin torjunta kuuluu useisiin oikeutettujen etujen luokkiin, jotka on mainittu Euroopan ihmisoikeussopimuksen 8 artiklan 2 kohdassa (erityisesti yleinen turvallisuus, epäjärjestyksen ja rikollisuuden estäminen). Tämän vuoksi sopimuksella ja CBP:n sitoumuksilla tavoitellaan oikeutettua päämäärää myös siltä osin kuin ne koskevat muita vakavia rikoksia.
203. Kolmanneksi neuvosto katsoo, että puuttuminen on oikeassa suhteessa tavoiteltuun päämäärään nähden. Tarkemmin sanoen se korostaa, että CBP:n vaatimat PNR‑tietojen luokat ovat hyödyllisiä terroritekojen ja järjestäytyneen rikollisuuden estämiseksi sekä iskuja seuraavien tutkimusten valaisemiseksi, koska ne helpottavat terroristiryhmissä tai järjestäytyneessä rikollisuudessa mukana olevien henkilöiden tunnistamista. Mitä siirrettävien PNR‑tietojen lukumäärään tulee, vertailu Euroopan unionin sisällä perustettuihin tietojärjestelmiin ei ole neuvoston mukaan asiaankuuluvaa, sillä sen lisäksi, että näillä järjestelmillä on eri päämäärä ja sisältö kuin PNR‑järjestelmällä, tarve hahmotella mahdollisten terroristien profiili edellyttää pääsyä useampiin tietoihin. Kolmesta PNR‑tietojen tietokentästä, jotka parlamentin mukaan voivat sisältää arkaluonteisia tietoja,(89) neuvosto huomauttaa, että CBP:n pääsy näihin kolmeen tietokenttään on tiukasti rajoitettu CBP:n antamien sitoumusten 5 kohdan nojalla.(90) Lisäksi CBP:n sitoumusten 9, 10 ja 11 kohdan mukaan on joka tapauksessa suljettu pois, että CBP voisi käyttää arkaluonteisia tietoja.(91) PNR‑tietojen säilyttämisajan osalta neuvosto katsoo, että kun otetaan huomioon se, että iskuja seuraavat tutkimukset kestävät joskus useita vuosia, normaali säilytysaika, joksi on vahvistettu kolme ja puoli vuotta lukuun ottamatta poikkeustapauksia, joissa tämä aika voi olla pidempi, muodostaa tasapainoisen ratkaisun. Neuvoston mukaan ei ole myöskään syytä katsoa, että riippumaton valvontajärjestelmä puuttuu. Lopuksi tietojen siirtoa muille julkisille viranomaisille koskevat riittävät takeet; CBP ei nimenomaan voi siirtää tietoja muille julkisille viranomaisille kuin tapauskohtaisesti ja ainoastaan terrorismin ja muiden vakavien rikosten estämiseksi ja torjumiseksi.
204. Komission mielestä ei ole epäilystä siitä, että kokonaisuus, jonka muodostavat sopimus, suojan riittävää tasoa koskeva päätös ja CBP:n sitoumukset, sallii sen, että voi tapahtua tietty puuttuminen yksityisyyteen, jonka vakavuus vaihtelee siirrettyjen tietojen mukaan. Tämä puuttuminen on sen mukaan sallittu laissa, toisin sanoen kyseisessä kokonaisuudessa, sillä tavoitellaan oikeutettua päämäärää, nimittäin Yhdysvaltojen luonteeltaan turvallisuuteen liittyvän lain ja yhteisön henkilötietojen suojaa koskevien normien välisen ristiriidan yhteensovittamista ja se on demokraattisessa yhteiskunnassa välttämätöntä kyseisen päämäärän saavuttamiseksi.
205. Yhdistynyt kuningaskunta katsoo, että neuvoston päätöstä, sopimusta, suojan riittävää tasoa koskevaa päätöstä ja CBP:n sitoumuksia on tarkasteltava yhdessä henkilötietojen suojaa koskevan oikeuden mahdollista loukkaamista koskevan analyysin yhteydessä, koska ne ovat toisiinsa läheisesti sidoksissa olevia oikeudellisia asiakirjoja. Se on myös sitä mieltä, että on tarkasteltava sovellettavan yhteisön oikeuden eikä Yhdysvaltojen alueella sovellettavien lakien saatavilla oloa ja ennakoitavuutta. Jos sopimusta, suojan riittävää tasoa koskevaa päätöstä ja CBP:n sitoumuksia tarkastellaan yhdessä, yhteisön oikeus sisältää Yhdistyneen kuningaskunnan mielestä kaikkien osapuolten, joita asia koskee, oikeudellisen aseman selvän ja täydellisen esityksen. Se ei myöskään jaa mielipidettä, jonka mukaan CBP:n sitoumukset olisivat luonteeltaan yksipuolisia ja Yhdysvaltojen viranomaiset voisivat muuttaa tai peruuttaa ne rankaisematta.
206. Puuttumisen välttämättömyydestä Yhdistynyt kuningaskunta korostaa ensin, että muiden vakavien rikosten torjunta on selvästi ilmoitettu sopimuksen tavoitteeksi ja että se on yleiseen järjestykseen liittyvä päämäärä, joka on aivan yhtä oikeutettu kuin terrorismin torjunta. Yhdistynyt kuningaskunta katsoo sen jälkeen, että niiden tietojen valikoima, jotka voidaan siirtää, niiden säilyttämisaika ja mahdollisuus siirtää ne muille viranomaisille vastaavat kyseisiä tavoitteita ja ovat oikeassa suhteessa niihin nähden, kun otetaan huomioon erityisesti sitoumuksiin ja suojan riittävää tasoa koskevaan päätökseen sisältyvät lukuisat takeet matkustajien yksityisyydelle aiheutuvan vaaran rajoittamiseksi. Lopuksi se täsmentää, että sen mielestä suhteellisuutta koskevaa kriteeriä on sovellettava yhtaikaa yhteisöjen tuomioistuimen oikeuskäytännön ja Euroopan ihmisoikeustuomioistuimen oikeuskäytännön nojalla kyseessä olevien tavoitteiden luonteen ja merkityksen valossa.
2. Arviointi
207. Kyseisissä kanneperusteissa parlamentti väittää, että neuvoston päätöksellä sekä suojan riittävää tasoa koskevalla päätöksellä loukataan henkilötietojen suojaa koskevaa oikeutta, sellaisena kuin se on taattu erityisesti Euroopan ihmisoikeussopimuksen 8 artiklassa.
208. Vakiintuneen oikeuskäytännön mukaan perusoikeudet ovat erottamaton osa yleisiä oikeusperiaatteita, joiden noudattamista yhteisöjen tuomioistuin valvoo.(92) Yhteisöjen tuomioistuin tukeutuu tältä osin jäsenvaltioiden yhteiseen valtiosääntöperinteeseen ja kansainvälisiä ihmisoikeuksia koskeviin asiakirjoihin, joiden syntyyn jäsenvaltiot ovat vaikuttaneet tai joihin ne ovat liittyneet. Se katsoo, että Euroopan ihmisoikeussopimuksella on tässä yhteydessä ”erityinen merkitys”.(93) Yhteisössä ei voida näin ollen hyväksyä toimenpiteitä, jotka ovat ristiriidassa näin tunnustettujen ja taattujen ihmisoikeuksien kunnioittamisen kanssa.(94) Nämä periaatteet on toistettu Euroopan unionista tehdyn sopimuksen 6 artiklan 2 kohdassa.
209. Tämän oikeuskäytännön myötä yhteisöjen tuomioistuin on sisällyttänyt yhteisön oikeuteen yksityisyyden kunnioittamista koskevan oikeuden.(95) Oikeus henkilötietojen suojaan on yksi näkökohdista, jotka liittyvät yksityisyyden kunnioittamista koskevaan oikeuteen ja jota siis suojellaan Euroopan ihmisoikeussopimuksen 8 artiklassa sekä yhteisön oikeusjärjestyksessä heijastuvilla yleisillä oikeusperiaatteilla.
210. Aion tarkastella, loukataanko PNR‑järjestelmällä yksityisyyden kunnioittamista koskevaa oikeutta Euroopan ihmisoikeussopimuksen 8 artiklan sanamuodosta seuraavan analyysikaavion mukaisesti. Näin ollen sen jälkeen, kun on tutkittu, merkitseekö PNR‑järjestelmä puuttumista lentomatkustajien yksityisyyteen, arvioin, onko kyseinen puuttuminen asianmukaisesti perusteltu.
a) Yksityisyyteen puuttumisen olemassaolo
211. Siitä, että yksityisyyteen on puututtu kokonaisuudella, jonka muodostavat neuvoston päätös sopimuksen hyväksymisestä, suojan riittävää tasoa koskeva päätös ja CBP:n sitoumukset, ei mielestäni ole juuri epäilystä. Vaikuttaa nimittäin selvältä, että jäsenvaltioiden alueella sijaitsevien lentoyhtiöiden varausjärjestelmistä peräisin olevien matkustajatietojen kysely ja käyttö CBP:n toimesta sekä näiden tietojen asettaminen sen saataville ovat julkisten viranomaisten osalta puuttumista kyseisten matkustajien yksityisyyteen.
212. Täsmennän lisäksi, että puuttuminen lentomatkustajien yksityisyyteen on mielestäni osoitettu, vaikkakin tietyt PNR‑tietojen tietokentät erikseen tarkasteltuina voitaisiin analysoida siten, että niillä ei yksinään loukata kyseessä olevien matkustajien yksityisyyttä. Minusta on näet välttämätöntä ymmärtää kokonaisuutena CBP:n vaatimien PNR‑tietojen tietokenttiä koskeva luettelo ja näin on siksi, että kyseisten tietojen vertailun avulla on mahdollista laatia henkilöprofiileja.
213. Yksityisyyteen puuttumisella loukataan yksityisyyden kunnioittamista koskevaa oikeutta, paitsi jos puuttuminen on asianmukaisesti perusteltu.
b) Yksityisyyteen puuttumisen oikeutus
214. Yksityisyyteen puuttumisen hyväksyttävyys riippuu kolmen edellytyksen todentamisesta: sen on oltava laissa sallittu, sillä on tavoiteltava oikeutettua päämäärää ja sen on oltava demokraattisessa yhteiskunnassa välttämätöntä.
i) Onko puuttuminen laissa sallittu?
215. Euroopan ihmisoikeustuomioistuimen vakiintuneen oikeuskäytännön mukaan kyseinen edellytys sisältää sen, että toimenpiteellä, joka on asetettu kyseenalaiseksi, on laillinen perusta, ja edellytys koskee myös kyseessä olevan lain laatua.(96) Lain laadun tarkastelussa edellytetään sitä, että laki on kansalaisten saatavilla ja että se on täsmällinen ja ennakoitavissa seuraustensa osalta. Tämä edellyttää, että siinä määritellään riittävän täsmällisesti oikeuden rajoittamisen edellytykset ja tavat, jotta kansalaisen olisi mahdollista säädellä käyttäytymistään ja saada riittävä suoja mielivaltaa vastaan.(97)
216. Parlamentti korostaa, että toimenpide, jolla sallitaan puuttuminen, ei ole saatavilla eikä ennakoitavissa seuraustensa osalta. Minä en ole samaa mieltä.
217. Päinvastoin katson, että lukemalla neuvoston päätöksen ja sen liitteenä olevan sopimuksen sekä suojan riittävää tasoa koskevan päätöksen, jonka liitteenä ovat CBP:n sitoumukset, asianomaiset henkilöt eli lentoyhtiöt ja lentomatkustajat voivat saada riittävän tarkkaa informaatiota käyttäytymisensä säätelemiseksi.
218. Panen tältä osin merkille, että CBP:n sitoumusten 48 kohtaa, joissa täsmennetään sovellettavaa oikeudellista kehystä, ovat luonteeltaan suhteellisen yksityiskohtaisia. Lisäksi suojan riittävää tasoa koskevan päätöksen johdanto-osassa esitetään viittaukset Yhdysvaltojen asiaankuuluvaan säädökseen ja CBP:n kyseisen säädöksen nojalla hyväksymiin soveltamismääräyksiin.(98) Mielestäni olisi näin ollen kohtuutonta vaatia, että Yhdysvaltojen sovellettavat säädökset ja määräykset julkaistaisiin kokonaisuudessaan Euroopan unionin virallisessa lehdessä. Paitsi että tämän tehtävänä ei ole julkaista kolmansien maiden lakeja, kuten neuvosto korostaa, olen sitä mieltä, että CBP:n sitoumuksiin, jotka on julkaistu Euroopan unionin virallisessa lehdessä, sisältyvät olennaiset tiedot menettelystä, jota CBP noudattaa käyttäessään tietoja, ja kyseistä menettelyä koskevista takeista.
219. Oikeusvarmuutta koskevan pakottavan vaatimuksen mukaisesti lentoyhtiöitä, joita PNR‑järjestelmä koskee, informoidaan niille sopimuksesta aiheutuvista velvollisuuksista ja lentomatkustajia informoidaan näiden oikeuksista ja erityisesti oikeudesta tutustua tietoihin ja korjata niitä.(99)
220. Tosin kun otetaan huomioon PNR‑järjestelmän muodostavien osatekijöiden keskinäinen riippuvuus, on pahoiteltava sitä, että sopimuksen johdanto-osa sisältää virheitä suojan riittävää tasoa koskevan päätöksen viitteen ja päivämäärän osalta. Nämä virheet nimittäin vaikeuttavat sellaisen eurooppalaisen kansalaisen toimenpiteitä, joka haluaisi saada tietoja Yhdysvaltojen kanssa neuvotellun järjestelmän sisällöstä. Ne eivät mielestäni kuitenkaan tee kohtuuttoman vaikeaksi tällaista tietojen hakua, koska suojan riittävää tasoa koskeva päätös on julkaistu Euroopan unionin virallisessa lehdessä ja koska tiedon haun välineet, erityisesti tietojenkäsittelyyn liittyvät, mahdollistavat helposti sen löytämisen. Lisäksi neuvosto on sitoutunut siihen, että Euroopan unionin virallisessa lehdessä julkaistaan oikaisu, minkä se on jo toteuttanut.(100)
221. Kun otetaan huomioon kyseiset seikat, katson, että kyseessä olevien lentomatkustajien yksityisyyteen puuttumista on pidettävä ”laissa sallittuna” Euroopan ihmisoikeussopimuksen 8 artiklan 2 kohdassa tarkoitetussa merkityksessä.
ii) Tavoitellaanko puuttumisella oikeutettua päämäärää?
222. Euroopan ihmisoikeussopimuksen 8 artiklan 2 kohdassa mainittujen tarkoitusten osalta katson, että yksityisyyteen puuttumisella, josta on kysymys nyt käsiteltävänä olevassa asiassa, tavoitellaan oikeutettua päämäärää. Näin on erityisesti asianlaita, kun kysymyksessä on terrorismin torjunta.
223. Kuten neuvosto, olen myös sitä mieltä, että muiden vakavien rikosten kuin terrorismin torjunta(101) kuuluu myös useisiin oikeutettujen etujen luokkiin, jotka on mainittu Euroopan ihmisoikeussopimuksen 8 artiklan 2 kohdassa, kuten kansallinen turvallisuus, yleinen turvallisuus, epäjärjestyksen tai rikollisuuden estäminen. Tämän vuoksi katson, että PNR‑järjestelmällä tavoitellaan oikeutettua päämäärää myös siltä osin kuin se koskee muita vakavia rikoksia.
224. Nyt on syytä tutkia puuttumisen oikeasuhtaisuutta kysymällä, onko se välttämätöntä demokraattisessa yhteiskunnassa terrorismin ja muiden vakavien rikosten estämiseksi ja torjumiseksi.
iii) Onko puuttuminen demokraattisessa yhteiskunnassa välttämätöntä kyseisen päämäärän saavuttamiseksi?
225. Ennen kuin ryhdyn tutkimaan tarkemmin sitä, onko kyseistä oikeasuhtaisuutta koskevaa edellytystä noudatettu, teen joitakin alustavia huomioita yhteisöjen tuomioistuimen harjoittaman valvonnan laajuudesta.
226. Euroopan ihmisoikeustuomioistuimen mukaan adjektiivi ”välttämätön” Euroopan ihmisoikeussopimuksen 8 artiklan 2 kohdassa tarkoitetussa merkityksessä tarkoittaa, että kyseessä on ”pakottava sosiaalinen tarve” ja käytetty toimenpide on ”suhteessa tavoiteltuun hyväksyttävään päämäärään”.(102) Lisäksi ”kansallisten viranomaisten harkintavaran laajuus riippuu puuttumisella tavoitellun päämäärän sekä sen kohteena olevan oikeuden luonteesta”.(103)
227. Valtioiden harkintavallan valvonnan yhteydessä Euroopan ihmisoikeustuomioistuin tutkii perinteisesti, ovatko puuttumisten tueksi esitetyt perusteet asiaankuuluvia ja riittäviä, sen jälkeen, onko puuttuminen oikeassa suhteessa tavoiteltuun oikeutettuun päämäärään, ja lopuksi, onko yleisen edun ja yksilön etujen välinen tasapaino otettu huomioon.(104) Tämän oikeuskäytännön perusteella on voitu näin ollen huomata, että ”suhteellisuusperiaate, joka ilmaisee oikeutetun päämäärän ja sen saavuttamiseksi käytettyjen keinojen välistä vastaavuuden vaatimusta, sijoittuu siis kansallisen harkintavallan valvonnan ytimeen”.(105)
228. Euroopan ihmisoikeustuomioistuimen suorittama suhteellisuuden valvonta vaihtelee parametrien, kuten kyseessä olevan oikeuden ja toiminnan luonteen, puuttumisen päämäärän ja mahdollisen valtioiden oikeusjärjestelmille yhteisen nimittäjän mukaan.
229. Mitä tulee kyseessä olevan oikeuden ja toiminnan luonteeseen silloin, kun kysymyksessä on oikeus, joka koskettaa läheisesti yksilön yksityiselämän piiriä, kuten oikeus terveydentilaa koskevien henkilötietojen suojaan,(106) Euroopan ihmisoikeustuomioistuin näyttää katsovan, että valtion harkintavaltaa on supistettu ja että sen tuomioistuinvalvonnan on oltava tiukempaa.(107)
230. Joka tapauksessa silloin kun puuttumisen päämääränä on kansallisen turvallisuuden suojelu(108) tai terrorismin torjunta,(109) Euroopan ihmisoikeustuomioistuin pyrkii myöntämään valtioille laajan harkintavallan.
231. Kun otetaan huomioon sen tavoitteen luonne ja merkitys, joka koskee terrorismin torjuntaa ja joka näyttää määräävältä PNR‑järjestelmän yhteydessä, sekä poliittisesti arkaluonteinen ilmapiiri, jossa yhteisön ja Yhdysvaltojen väliset neuvottelut käytiin, katson, että käsiteltävänä olevassa asiassa yhteisöjen tuomioistuimen olisi todettava, että neuvostolla ja komissiolla oli laaja harkintavalta PNR‑järjestelmän sisältöä koskevien Yhdysvaltojen kanssa käytävien neuvottelujen suhteen. Tästä seuraa, että kyseisen laajan harkintavallan kunnioittamiseksi tuomioistuimen harjoittaman valvonnan, joka kohdistuu puuttumisen välttämättömyyteen, olisi mielestäni rajoituttava sen tutkimiseen, ovatko nämä kaksi toimielintä mahdollisesti tehneet ilmeisen arviointivirheen.(110) Tällaista rajoitettua valvontaa harjoittamalla yhteisöjen tuomioistuin välttäisi kompastuskiven, joka muodostuu yhteisön poliittisten päättäjien arvioinnin korvaamisesta sen omalla arvioinnilla siitä, mitkä ovat terrorismin ja muiden vakavien rikosten torjumiseksi tarkoituksenmukaisimpia ja sopivimpia keinoja.
232. Edellä mainitun Euroopan ihmisoikeustuomioistuimen oikeuskäytännön lisäksi yhteisöjen tuomioistuin voisi sen ratkaisemiseksi, missä laajuudessa se aikoo harjoittaa valvontaa, nojautua omaan oikeuskäytäntöönsä, jossa se katsoo, että jos yhteisön toimielimellä on tietyllä alalla laaja harkintavalta ” – – ainoastaan tällä alalla toteutetun toimenpiteen ilmeinen soveltumattomuus sen tavoitteen saavuttamiseen, johon toimivaltaisen toimielimen tarkoituksena on ollut pyrkiä, voi vaikuttaa tällaisen toimenpiteen lainmukaisuuteen”.(111) Tämä suhteellisuuden valvontaa koskeva rajoitus ”on erityisen välttämätön, jos neuvosto joutuu – – yhteensovittamaan erilaisia etuja ja näin ollen tekemään valintoja omaan vastuualueeseensa kuuluvien poliittisten vaihtoehtojen välillä”.(112) Valvontaa koskevaa rajoitusta voidaan myös perustella sillä, että yhteisön toimielin joutuu suorittamaan monitahoisia arviointeja toiminta-alalla.(113)
233. Tätä oikeuskäytäntöä ja sen taustalla olevia perusteita on mielestäni sovellettava käsiteltävänä olevassa asiassa, koska neuvosto ja komissio ovat joutuneet PNR‑järjestelmän laatimisen yhteydessä tekemään erilaisten vaikeasti yhteensovitettavien etujen välillä poliittisia valintoja ja monitahoisia arviointeja.(114) Tämä noudattaisi vallanjakoperiaatetta, joka vaatii, että yhteisöjen tuomioistuin kunnioittaa poliittisia velvollisuuksia, jotka kuuluvat yhteisön lainsäädäntö‑ ja hallintoelimille, eikä tämän vuoksi asetu niiden paikalle poliittisissa valinnoissa, joita ne ovat joutuneet suorittamaan.
234. Nyt on syytä tutkia tarkemmin, ylittivätkö neuvosto ja komissio selvästi niiden harkintavallalle asetetut rajat yksityisyyden kunnioittamista ja erityisesti lentomatkustajien henkilötietojen suojaa koskevan oikeuden suhteen hyväksyessään eri osatekijät, jotka muodostavat PNR‑järjestelmän, kun otetaan huomioon tavoiteltu oikeutettu päämäärä.
235. Tämän tarkastelun yhteydessä CBP:n sitoumusten sisällöllä on erityistä merkitystä, koska niihin sisältyy luettelo takeista, jotka koskevat PNR‑järjestelmää. Totean tältä osin, että mielestäni olisi virheellistä katsoa, että kyseisiltä sitoumuksilta puuttuu täysin velvoittava vaikutus ja että Yhdysvaltojen viranomaiset voisivat vapaasti muuttaa niitä tai peruuttaa ne.
236. Sitoumukset, joiden muistutan olevan suojan riittävää tasoa koskevan päätöksen liitteenä, ovat nimittäin yksi PNR‑järjestelmän osatekijä ja sellaisena niiden noudattamatta jättäminen johtaisi koko järjestelmän halvaantumiseen. Korostan tältä osin, että sopimuksen 1 ja 2 kohdan mukaan lentoyhtiöillä olevaan PNR‑tietojen käsittelyvelvollisuuteen on sovellettava tiukasti suojan riittävää tasoa koskevaa päätöstä ja että velvollisuus on voimassa ”ainoastaan niin kauan kuin päätös on voimassa”. Lisäksi sopimuksen 3 kohdan sanamuodon mukaan CBP ”toteaa [panevansa] täytäntöön sen liitteenä olevat sitoumukset”. Lopuksi suojan riittävää tasoa koskevan päätöksen 3, 4 ja 5 artiklassa määritellään toimenpiteet, jotka toteutetaan, jos sitoumuksiin sisältyviä suojanormeja ei noudateta. Näiden toimenpiteiden joukossa on otettu huomioon, että jäsenvaltioiden toimivaltaiset viranomaiset voivat keskeyttää CBP:lle suunnatun tietojen siirron ja että jos kyseessä olevien henkilöiden suojan riittävän tason varmistamiseksi välttämättömiä olennaisia periaatteita ei noudateta, suojan riittävää tasoa koskeva päätös voidaan kumota tai sen soveltaminen voidaan keskeyttää, minkä seurauksena sopimuksen 1 ja 2 kohtaa ei voitaisi soveltaa.
237. Saadakseen yhteisöjen tuomioistuimen toteamaan, että kyseisten matkustajien yksityisyyteen puuttumisessa ei noudateta suhteellisuusperiaatetta, parlamentti esittää ensiksi, että CBP:n lentoyhtiöiltä vaatimien tietojen määrä on liian suuri. Lisäksi se katsoo, että tietyt vaaditut PNR‑tietokentät voivat sisältää arkaluonteisia tietoja.
238. Olen sitä mieltä, että päättäessään 34 henkilötiedon tietokenttää sisältävästä luettelosta, sellaisena kuin se on suojan riittävää tasoa koskevan päätöksen liitteenä, komissio ei ole hyväksynyt toimenpidettä, joka on selvästi soveltumaton terrorismin ja muiden vakavien rikosten torjuntaa koskevan tavoitteen saavuttamiseksi. Yhtäältä on nimittäin korostettava tiedustelutoiminnan merkitystä terrorismin vastaisessa taistelussa, koska riittävien tietojen saannin avulla valtion turvallisuuspalvelut voivat estää mahdollisen terroristi-iskun. Tästä näkökulmasta tarve hahmotella mahdollisten terroristien profiili voi edellyttää pääsyä suureen määrään tietoja. Toisaalta se, että muiden Euroopan unionin sisällä hyväksyttyjen tietojen vaihtoa koskevien asiakirjojen mukaan ilmoitettavien tietojen määrä on pienempi, ei riitä osoittamaan, että vaadittujen tietojen määrä olisi liiallinen erityisessä terrorismin torjuntaa koskevassa välineessä, jonka PNR‑järjestelmä muodostaa.(115)
239. Sitä paitsi, vaikka parlamentti huomauttaakin aivan oikein, että kolme vaadituista tietokentistä voi sisältää arkaluonteisia tietoja,(116) totean yhtäältä, että CBP:n pääsy näihin kolmeen tietokenttään on tiukasti rajoitettu sitoumusten 5 kohdan nojalla, toisaalta, että kyseisten sitoumusten 9–11 kohdan nojalla on poissuljettua, että CBP voisi käyttää arkaluonteisia tietoja ja lopuksi, että CBP on perustanut mainittujen tietojen suodatusjärjestelmän antamansa sitoumuksen mukaisesti.(117)
240. Toiseksi parlamentti katsoo, että Yhdysvaltojen viranomaiset säilyttävät lentomatkustajien PNR‑tietoja tavoiteltuun päämäärään nähden liian kauan.
241. Kyseisten tietojen säilytysaika mainitaan sitoumusten 15 kohdassa, jossa määrätään pääasiallisesti luvan saaneiden CBP‑käyttäjien online‑pääsystä kyseisiin tietoihin aluksi seitsemän päivän ajan. Tämän ajanjakson päätyttyä tietoja voi käsitellä rajoitettu määrä luvan saaneita virkamiehiä kolmen ja puolen vuoden ajan. Lopuksi tämän toisen ajanjakson päätyttyä tiedot, joita ei ole manuaalisesti käsitelty kyseisenä aikana, tuhotaan, kun taas tiedot, joita on manuaalisesti käsitelty kolmen ja puolen vuoden aikana, siirretään CBP:n toimesta käytöstä poistettujen tietojen tiedostoon, jossa niitä säilytetään kahdeksan vuotta ennen tuhoamista.(118)
242. Tästä järjestelystä seuraa, että PNR‑järjestelmästä peräisin olevien tietojen normaali säilytysaika on kolme vuotta ja kuusi kuukautta lukuun ottamatta tietoja, joita on käsitelty manuaalisesti kyseisenä aikana. Katson, että tämä aika ei ole selvästi liian pitkä, kun otetaan huomioon se, että tutkimukset voivat kestää terroristi-iskujen tai muiden vakavien rikosten jälkeen joskus useita vuosia, kuten neuvosto mainitsee. Sen vuoksi, vaikka lähtökohtaisesti onkin toivottavaa, että henkilötietoja säilytetään lyhyen ajan, on käsiteltävänä olevassa asiassa siis tarkasteltava PNR‑järjestelmästä peräisin olevien tietojen säilyttämisaikaa yhteydessä siihen hyötyyn, joka niistä on ei ainoastaan terrorismin ehkäisemiseksi vaan myös laajemmin lainvalvontatarkoituksissa.
243. Näiden seikkojen valossa tietojen säilytysjärjestelmä, sellaisena kuin siitä on määrätty sitoumusten 15 kohdassa, ei mielestäni merkitse yksityisyyden kunnioittamista koskevan oikeuden ilmeistä loukkaamista.
244. Kolmanneksi parlamentti arvostelee PNR‑järjestelmää siitä, ettei siinä määrätä Yhdysvaltojen viranomaisten suorittamaa henkilötietojen käsittelyä koskevasta tuomioistuinvalvonnasta.
245. Huomautan, että yleissopimuksessa nro 108 määrätään ja direktiivissä 95/46 säädetään oikeuskeinoista sellaisia tapauksia varten, joissa rikotaan kansallisia oikeussäännöksiä, joilla on pantu täytäntöön näihin kahteen oikeudelliseen asiakirjaan sisältyvät säännöt.(119)
246. Euroopan ihmisoikeussopimuksen 8 artiklan 2 kohtaan nähden olen sitä mieltä, että mahdollinen väärinkäyttö voidaan välttää sitoumusten 36 kohdassa ja sitä seuraavissa kohdissa määriteltyjen sääntöjen avulla, joissa määrätään kyseessä olevien lentomatkustajien osalta tiedottamista, tietojen saantia ja oikaisumenettelyitä koskevista takeista. Nämä takeet yhdessä saavat minut katsomaan, että kun otetaan huomioon laaja harkintavalta, joka mielestäni käsiteltävänä olevassa asiassa on myönnettävä neuvostolle ja komissiolle, puuttuminen lentomatkustajien yksityisyyteen on oikeassa suhteessa PNR‑järjestelmällä tavoiteltuun oikeutettuun päämäärään nähden.
247. Tarkemmin sanoen on huomattava, että yleistietojen lisäksi, jotka CBP on sitoutunut saattamaan lentomatkustajien tietoon,(120) sitoumusten 37 kohdassa täsmennetään, että kyseessä olevat henkilöt voivat tiedonvapauslain mukaisesti(121) saada jäljennöksen heitä koskevista PNR‑tiedoista, jotka ovat CBP:n tietokannoissa.(122)
248. Sitoumusten 38 kohdassa määrätään tosin, että CBP voi ”tietyissä poikkeuksellisissa tilanteissa” evätä kaikkien tai joidenkin PNR‑tietojen antamisen tai lykätä sitä esimerkiksi, jos tällaisen tietojen antamisen voidaan odottaa ”haittaavan lainvalvontamenettelyjä tai paljastavan lainvalvontatutkimuksissa käytettyjä tekniikoita ja menettelyjä”. Kuitenkin sen lisäksi, että laki muodostaa puitteet kyseiselle mahdollisuudelle, jota CBP voi käyttää, on tärkeää huomata, että sitoumusten saman kohdan sanamuodon mukaan FOIA:n ”nojalla tietojen pyytäjällä on aina oikeus vaatia hallinnollisesti ja oikeusteitse muutosta CBP:n päätökseen olla antamatta tietoja”.(123)
249. Lisäksi sitoumusten 40 kohdassa täsmennetään, että CBP:n tietokannassa olevien PNR‑tietojen korjauspyynnöt ja henkilöiden valitukset siitä, miten CBP on käsitellyt heidän tietojaan, on toimitettava CBP:n Assistant Commissionerille.(124)
250. Silloin kun CBP ei kykene ratkaisemaan valitusta, se on lähetettävä DHS:n yksityisyyden suojasta vastaavalle päävirkamiehelle (Chief Privacy Officer).(125)
251. Lisäksi sitoumusten 42 kohdan sanamuodon mukaan ”DHS:n yksityisyydensuojatoimisto (Privacy Office) käsittelee kiireellisenä valituksia, joita sille toimittavat EU:n alueella asuvien henkilöiden puolesta EU:n jäsenvaltioiden tietosuojaviranomaiset kyseisiltä henkilöiltä saamansa valtuutuksen laajuudessa, kun nämä henkilöt uskovat, että CBP (näiden sitoumusten 37–41 kohdan mukaisesti) tai DHS:n yksityisyydensuojatoimisto eivät ole käsitelleet heidän PNR‑tietoja koskevia valituksiaan tyydyttävällä tavalla”.
252. Lisäksi 42 kohdassa määrätään yhtäältä, että mainittu toimisto ”antaa päätelmänsä ja ilmoittaa asianomaisille tietosuojaviranomaisille mahdollisesti toteutetuista toimenpiteistä” ja toisaalta, että Chief Privacy Officer ”antaa kongressille toimittamassaan raportissa tietoja henkilökohtaisten tietojen, kuten PNR‑tietojen, käsittelyä koskevien valitusten lukumäärästä, sisällöstä ja ratkaisuista”.(126)
253. Parlamentti korostaa perustellusti, että Chief Privacy Officer ei ole tuomioistuin. Totean kuitenkin, että kyseessä on hallinnollinen elin, joka on tietyssä määrin riippumaton suhteessa sisäisen turvallisuuden ministeriöön ja jonka päätöksillä on velvoittava vaikutus.(127)
254. Näin ollen lentomatkustajille tällä tavoin järjestetty mahdollisuus tehdä valitus Chief Privacy Officerille ja mahdollisuus hakea FOIA:n puitteissa oikeusteitse muutosta muodostavat tärkeät takeet heidän yksityisyyden kunnioittamista koskevan oikeutensa kannalta. Näiden takeiden vuoksi katson, että neuvosto ja komissio eivät ole ylittäneet niiden harkintavallalle asetettuja rajoja PNR‑järjestelmän hyväksymisen yhteydessä.
255. Lopuksi parlamentti katsoo, että PNR‑järjestelmä ylittää sen, mikä on tarpeen terrorismin ja muiden vakavien rikosten torjumiseksi, siltä osin kuin siinä sallitaan lentomatkustajatietojen siirto muille julkisille viranomaisille. Sen mukaan CBP:llä on harkintavalta siirtää PNR‑tietoja muille julkisille viranomaisille, mukaan lukien muiden valtioiden viranomaiset, mikä on ristiriidassa Euroopan ihmisoikeussopimuksen 8 artiklan 2 kohdan kanssa.
256. En ole asiasta samaa mieltä. Siinäkin nimittäin takeet, jotka koskevat PNR‑tietojen siirtoa muille valtion viranomaisille, mahdollistavat mielestäni sen, että lentomatkustajien yksityisyyteen puuttumisen voidaan katsoa olevan oikeassa suhteessa PNR‑järjestelmällä tavoiteltuun päämäärään nähden.
257. Vaikka sitoumuksissa myönnetäänkin CBP:lle huomattavaa harkintavaltaa, huomautan, että tämä valta on valvottua. Näin ollen sitoumusten 29 kohdan nojalla PNR‑tietojen siirto muille ”terrorismin torjuntaan tai lainvalvontaan” osallistuville viranomaisille, ”mukaan lukien muiden valtioiden viranomaiset”, voidaan suorittaa ”ainoastaan tapauskohtaisesti” ja pääsääntöisesti vain ”3 kohdassa yksilöityjen rikosten ehkäisemiseksi ja estämiseksi”. CBP:n on kyseisten sitoumusten 30 kohdan nojalla selvitettävä, onko tietojen toiselle viranomaiselle luovuttamisen syy kyseisten tarkoitusten mukainen.
258. Sitoumusten 34 ja 35 kohdassa tosin laajennetaan mainittuja tarkoituksia siltä osin kuin niiden seurauksena sallitaan yhtäältä PNR‑tietojen käyttö tai antaminen toimivaltaisille valtion viranomaisille, ”jos tietojen antaminen on välttämätöntä kyseisen rekisteröidyn tai muiden henkilöiden elintärkeiden etujen suojelemiseksi etenkin merkittäviltä terveysvaaroilta”, ja toisaalta PNR‑tietojen käyttö tai antaminen ”rikosoikeudellisissa menettelyissä tai muissa lain edellyttämissä tilanteissa”.
259. Joka tapauksessa sen lisäksi, että kyseiset tarkoitukset ovat suureksi osaksi sidoksissa PNR‑järjestelmällä tavoiteltuun oikeutettuun päämäärään, huomautan, että sitoumukset sisältävät tietyn määrän takeita. Näin ollen esimerkiksi niiden 31 kohdassa määrätään, että ”muiden nimettyjen viranomaisten kanssa mahdollisesti jaettavien PNR‑tietojen jakelun sääntelemiseksi CBP katsotaan tietojen ’omistajaksi’, ja nämä nimetyt viranomaiset ovat tietojenluovutuksen nimenomaisten ehtojen mukaisesti” monien velvollisuuksien alaisia. Näihin velvollisuuksiin kuuluu se, että tietoja vastaanottavat viranomaiset ovat erityisesti velvollisia ”varmistamaan saatujen PNR‑tietojen asianmukaisen hävittämisen kyseisen nimetyn viranomaisen tietojensäilytysmenettelyjen mukaisesti” ja ”hankkimaan CBP:ltä nimenomaisen luvan, jos tiedot toimitetaan edelleen”.
260. Lisäksi sitoumusten 32 kohdassa täsmennetään, että ”joka kerran antaessaan PNR‑tietoja CBP edellyttää, että vastaanottava viranomainen käsittelee näitä tietoja luottamuksellisena kaupallisena tietona ja lainvalvonnan kannalta arkaluonteisena, luottamuksellisena henkilökohtaisena tietona kyseisestä rekisteröidystä – – joita on käsiteltävä poikkeuksena tiedonvapauslain – – mukaiseen tietojen antamiseen”. Samassa kohdassa ilmoitetaan lisäksi, että ”vastaanottavalle viranomaiselle muistutetaan, että tietojen luovuttaminen edelleen ei ole luvallista ilman CBP:n etukäteen antamaa nimenomaista lupaa” eikä CBP anna lupaa ”PNR‑tietojen siirtämiseen edelleen muihin kuin 29, 34 tai 35 kohdassa yksilöityihin tarkoituksiin”. Lopuksi sitoumusten 33 kohdassa määrätään, että ”tällaisten nimettyjen viranomaisten palveluksessa oleviin henkilöihin, jotka antavat PNR‑tietoja ilman asianmukaista lupaa, voidaan soveltaa rikosoikeudellisia seuraamuksia”.
261. Kun otetaan huomioon kyseisten takeiden kokonaisuus, on mielestäni poissuljettua, että voitaisiin katsoa, että neuvosto ja komissio ovat ylittäneet sen laajan harkintavallan rajat, joka niille on mielestäni myönnettävä terrorismin ja muiden vakavien rikosten torjumiseksi.
262. Tästä seuraa, että kanneperusteet, jotka perustuvat henkilötietojen suojaa koskevan oikeuden ja suhteellisuusperiaatteen loukkaamiseen, eivät ole perusteltuja ja ne on tämän vuoksi hylättävä.
D Kanneperuste, jonka mukaan neuvoston päätös on puutteellisesti perusteltu
263. Parlamentti korostaa, että neuvoston päätös ei täytä perusteluvaatimusta, sellaisena kuin se seuraa EY 253 artiklasta. Se moittii kyseistä päätöstä erityisesti siitä, ettei siihen sisälly mitään perustelua, josta selviäisi, onko päätöksen tavoitteena ja missä määrin sisämarkkinoiden toiminta.
264. Sitä vastoin neuvosto, jota Yhdistynyt kuningaskunta ja komissio tukevat, katsoo, että sen päätöksen perustelut ovat yhteisöjen tuomioistuimen asettamien vaatimusten mukaiset.
265. Olen sitä mieltä, että neuvoston perustelut ovat riittävät, vaikka ne ovatkin luonteeltaan niukat.
266. Vakiintuneen oikeuskäytännön mukaan EY 253 artiklassa vaadittujen perustelujen ”on oltava kyseessä olevan toimenpiteen luonteen mukaisia ja niistä on selkeästi ja yksiselitteisesti ilmettävä toimenpiteen tehneen yhteisön toimielimen päättely siten, että henkilöille, joita toimenpide koskee, selviävät sen syyt ja että yhteisöjen tuomioistuin voi tutkia toimenpiteen laillisuuden”. Tästä oikeuskäytännöstä seuraa lisäksi, että ”perusteluissa ei tarvitse esittää kaikkia asiaan liittyviä tosiseikkoja ja oikeudellisia seikkoja koskevia yksityiskohtia, koska tutkittaessa sitä, täyttävätkö päätöksen perustelut [EY 253 artiklan] vaatimukset, on otettava huomioon päätöksen sanamuodon lisäksi myös asiayhteys ja kaikki asiaa koskevat oikeussäännöt”.(128)
267. Päätöksen luonteen osalta on muistutettava, että kyseessä on päätös, jonka pääasiallisena tavoitteena on hyväksyä yhteisön puolesta sen ja Yhdysvaltojen välinen sopimus. Kyseinen päätös sisältää tältä osin tarpeellisia täsmennyksiä, jotka koskevat noudatettua menettelyä, nimittäin neuvoston hyväksyntää EY 300 artiklan 2 kohdan ensimmäisessä alakohdassa määritellyn menettelyn mukaisesti, sekä ilmoitusta, jonka mukaan parlamentti ei ole antanut lausuntoaan määräajassa, jonka neuvosto sille asetti EY 300 artiklan 3 kohdan ensimmäisen alakohdan mukaisesti. Lisäksi panen merkille, että neuvoston päätöksen johdanto‑osan viittauskappaleessa mainitaan EY 95 artikla.
268. Kun lisäksi otetaan huomioon kyseisen päätöksen erityinen luonne, jota on vaikea tarkastella täysin erillisenä kansainvälisestä sopimuksesta, jota se koskee, perustelujen riittävyyden tutkimiseen on mielestäni liitettävä myös itse sopimuksen johdanto-osa. Tältä osin neuvoston päätöksen ja sopimuksen johdanto-osan lukeminen yhdessä mahdollistaa yhteisöjen tuomioistuimen harjoittaman valvonnan erityisesti valitun oikeudellisen perustan asianmukaisuuden osalta, kuten edellä olevien kanneperusteiden tarkastelu osoittaa.
269. Tämän vuoksi katson, että neuvoston päätöksen perustelujen puutteellisuutta koskeva kanneperuste ei ole perusteltu ja se on näin ollen hylättävä.
E Kanneperuste, jonka mukaan EY 10 artiklassa määrättyä lojaalia yhteistyötä koskevaa periaatetta on loukattu
270. Tässä kanneperusteessa parlamentti väittää, että vaikka EY 300 artiklan 3 kohdan ensimmäisen alakohdan mukaan neuvosto voi asettaa sille asian kiireellisyyden mukaan määräajan, jossa sen on annettava lausuntonsa, ja vaikka EY 300 artiklan 6 kohdassa määrätty yhteisöjen tuomioistuimen ennakkolausunnon pyytämistä koskeva menettely ei ole luonteeltaan lykkäävä, neuvosto on sopimuksen hyväksymismenettelyn yhteydessä jättänyt noudattamatta EY 10 artiklassa asetettua lojaalin yhteistyön velvoitetta.
271. Neuvosto, jota komissio ja Yhdistynyt kuningaskunta tukevat, katsoo puolestaan, että se ei ole loukannut lojaalin yhteistyön periaatetta tehdessään sopimuksen, vaikka parlamentti oli esittänyt yhteisöjen tuomioistuimelle lausuntopyynnön EY 300 artiklan 6 kohdan nojalla.
272. EY 10 artiklassa asetetaan jäsenvaltioille lojaalin yhteistyön velvoite yhteisön toimielimiin nähden mutta ei nimenomaisesti vahvisteta lojaalin yhteistyön periaatetta kyseisten toimielinten välille. Yhteisöjen tuomioistuin on kuitenkin katsonut, että ”rehdin yhteistyön velvoitteet pätevät myös toimielinten välisessä vuoropuhelussa, johon parlamentin kuulemismenettelykin perustuu, samalla tavoin kuin ne ohjaavat myös jäsenvaltioiden ja yhteisön toimielinten välisiä suhteita”.(129)
273. Käsiteltävänä olevaa asiaa koskevista tosiseikoista ilmenee, että komissio toimitti 17.3.2004 parlamentille ehdotuksen neuvoston päätökseksi ja että neuvosto pyysi 25.3.2004 päivätyssä kirjeessään parlamenttia antamaan lausuntonsa kyseisestä ehdotuksesta viimeistään 22.4.2004. Kirjeessään neuvosto korostaa, että ”terrorismin torjunta, joka oikeuttaa ehdotetut toimenpiteet, on Euroopan unionin tärkeä tavoite. Tällä hetkellä lentoyhtiöt ja matkustajat ovat epävarmassa tilanteessa, joka on korjattava kiireellisesti. Lisäksi on tärkeää suojella asianomaisten tahojen taloudellisia etuja”.
274. Parlamentti päätti 21.4.2004 EY 300 artiklan 6 kohdan mukaisesti hankkia yhteisöjen tuomioistuimen lausunnon siitä, onko suunniteltu sopimus sopusoinnussa perustamissopimuksen määräysten kanssa.
275. Neuvosto lähetti 28.4.2004 parlamentille EY 300 artiklan 3 kohdan ensimmäiseen alakohtaan nojautuen kirjeen, jossa se pyysi tätä antamaan lausuntonsa sopimuksen tekemisestä ennen 5.5.2004. Kiireellisyyden perustelemiseksi neuvosto toisti 25.3.2004 päivätyssä kirjeessään esittämänsä perusteet.
276. Parlamentti hylkäsi kyseisen kiireellistä käsittelyä koskevan pyynnön ja sen puhemies vaati lisäksi, että neuvosto ja komissio eivät jatkaisi hankkeitaan niin kauan kuin yhteisöjen tuomioistuin ei ole antanut lausuntoa, jota siltä on pyydetty 21.4.2004. Neuvosto hyväksyi kaikesta huolimatta riidanalaisen sopimuksen 17.5.2004.
277. Mielestäni neuvosto ei rikkonut lojaalin yhteistyön velvoitettaan parlamenttiin nähden hyväksyessään kyseisen päätöksen sopimuksen hyväksymisestä yhteisön puolesta ennen kuin menettely, jonka parlamentti oli aloittanut EY 300 artiklan 6 kohdan nojalla yhteisöjen tuomioistuimen lausunnon saamiseksi, oli viety päätökseen.
278. Tällaisen menettelyn aloittaminen yhteisöjen tuomioistuimen lausunnon saamiseksi ei näet ole luonteeltaan lykkäävä, kuten parlamentti sitä paitsi itsekin myöntää. Se ei näin ollen estä neuvostoa tekemästä päätöstä sopimuksen hyväksymisestä, vaikka kyseinen menettely on vielä kesken, ja näin on, vaikka aika, joka erottaa yhteisöjen tuomioistuimelle osoitetun lausuntopyynnön esittämisen ja sopimuksen hyväksyvän päätöksen, on suhteellisen lyhyt, kuten esillä olevassa asiassa.
279. Tältä osin on mainittava, että se, että yhteisöjen tuomioistuimelle EY 300 artiklan 6 kohdan mukaisesti osoitettu lausuntopyyntö ei ole luonteeltaan lykkäävä, voidaan päätellä sekä kyseisen artiklan sanamuodosta, jossa ei määrätä nimenomaisesti tällaisesta lykkäävästä luonteesta, että yhteisöjen tuomioistuimen oikeuskäytännöstä. Se on näet todennut lausunnossaan 3/94,(130) että tällainen lausuntopyyntö tulee aiheettomaksi ja että yhteisöjen tuomioistuimen ei ole tarpeen vastata siihen, jos sopimus, jota se koskee ja jota suunniteltiin pyydettäessä lausuntoa yhteisöjen tuomioistuimelta, on tällä välin tehty. Se on myös täsmentänyt yhtäältä, että EY 300 artiklan 6 kohdan mukaisella menettelyllä ”pyritään ensisijaisesti ehkäisemään vaikeuksia, jotka johtuvat siitä, että yhteisöä velvoittavat kansainväliset sopimukset ovat ristiriidassa perustamissopimuksen kanssa, eikä suojelemaan sen jäsenvaltion tai yhteisön toimielimen etuja ja oikeuksia, joka lausuntoa pyytää”,(131) ja toisaalta, että ”joka tapauksessa lausuntopyynnön esittäneellä valtiolla tai toimielimellä on käytettävissään kumoamiskanne sopimuksen tekemistä koskevaa neuvoston päätöstä vastaan – – ”.(132)
280. Sekä asiakirjoista että neuvoston päätöksen toisesta perustelukappaleesta ilmenee lisäksi, että neuvosto on riittävästi perustellut kiireellisyyttä, johon se on vedonnut saadakseen lyhyessä määräajassa parlamentin lausunnon EY 300 artiklan 3 kohdan ensimmäisen alakohdan mukaisesti. Huomautan lopuksi, että viimeksi mainitussa artiklassa määrätään nimenomaisesti, että ”jos lausuntoa ei anneta määräajassa, neuvosto voi tehdä ratkaisunsa”.
281. Kaikkien edellä esitettyjen seikkojen perusteella katson, että kanneperuste, jonka mukaan neuvosto on rikkonut lojaalia yhteistyötä koskevaa velvoitettaan, on perusteeton ja se on näin ollen hylättävä.
VII Oikeudenkäyntikulut
282. Parlamentin asiassa C‑318/04 nostama kanne on perusteltu, minkä vuoksi komissio on velvoitettava korvaamaan oikeudenkäyntikulut yhteisöjen tuomioistuimen työjärjestyksen 69 artiklan 2 kohdan mukaisesti. Lisäksi saman työjärjestyksen 69 artiklan 4 kohdan mukaisesti väliintulijat eli Yhdistynyt kuningaskunta ja tietosuojavaltuutettu vastaavat omista oikeudenkäyntikuluistaan.
283. Parlamentin asiassa C‑317/04 nostama kanne on perusteltu, minkä vuoksi neuvosto on velvoitettava korvaamaan oikeudenkäyntikulut yhteisöjen tuomioistuimen työjärjestyksen 69 artiklan 2 kohdan mukaisesti. Lisäksi saman työjärjestyksen 69 artiklan 4 kohdan mukaisesti väliintulijat eli Yhdistynyt kuningaskunta ja tietosuojavaltuutettu vastaavat omista oikeudenkäyntikuluistaan.
VIII Ratkaisuehdotus
284. Edellä esitettyjen seikkojen perusteella ehdotan, että yhteisöjen tuomioistuin
– kumoaa asiassa C‑318/04 Yhdysvaltojen tulli‑ ja rajavartiolaitokselle toimitettavien lentomatkustajia koskevaan matkustajarekisteriin sisältyvien henkilötietojen suojan riittävästä tasosta 14 päivänä toukokuuta 2004 tehdyn komission päätöksen 2004/535/EY
– kumoaa asiassa C‑317/04 lentoyhtiöiden PNR‑tietojen käsittelemistä ja siirtämistä Yhdysvaltojen sisäisen turvallisuuden ministeriön alaiselle tulli‑ ja rajavalvontalaitokselle koskevan Euroopan yhteisön ja Amerikan yhdysvaltojen välisen sopimuksen tekemisestä 17 päivänä toukokuuta 2004 tehdyn neuvoston päätöksen 2004/496/EY.
1 – Alkuperäinen kieli: ranska.
2 – Päätös 2004/496/EY (EUVL L 183, s. 83; jäljempänä neuvoston päätös).
3 – Päätös 2004/535/EY (EUVL L 235, s. 11; jäljempänä suojan riittävää tasoa koskeva päätös).
4 – Tämä problematiikka koskee myös yhteisön suhteita muihin kolmansiin maihin. Näin ollen huomautan, että samantyyppinen sopimus kuin se, josta on kysymys asiassa C‑317/04, allekirjoitettiin Euroopan yhteisön ja Kanadan välillä 3.10.2005.
5 – Ks. 19.11.2001 annettu Aviation and Transportation Security Act (A.T.S.A.) (Public Law 107‑71, 107th Congress, title 49, United States Code, section 44909(c)(3)). Tätä lakia seurasivat Yhdysvaltojen sisäisen turvallisuuden ministeriön alaisen tulli‑ ja rajavartiolaitoksen (Unites States Bureau of Customs and Border Protection; jäljempänä CBP) antamat täytäntöönpanomääräykset, kuten Passenger and Crew Manifests Required for Passengers Flights in Foreign Air Transportation to the United States, joka on julkaistu Federal Registerissä 31.12.2001, ja Passenger Name Record Information Required for Passengers on Flights in Foreign Air Transportation to or from the United States, joka on julkaistu Federal Registerissä 25.6.2002 (title 19, Code of Federal Regulations, section 122.49b).
6 – Tietokonepohjaisten paikanvarausjärjestelmien käyttöä koskevista käyttäytymissäännöistä 24 päivänä heinäkuuta 1989 annettu neuvoston asetus (ETY) N:o 2299/89 (EYVL L 220, s. 1), sellaisena kuin se on muutettuna 8.2.1999 annetulla neuvoston asetuksella (EY) N:o 323/1999 (EYVL L 40, s. 1).
7 – EYVL L 281, s. 31, direktiivi sellaisena kuin se on muutettuna EY:n perustamissopimuksen 251 artiklassa määrätyn menettelyn mukaisissa säädöksissä säädetyn täytäntöönpanovallan käytössä komissiota avustavia komiteoita koskevien sääntöjen mukauttamisesta neuvoston päätökseen 1999/468/EY 29 päivänä syyskuuta 2003 annetulla Euroopan parlamentin ja neuvoston asetuksella (EY) N:o 1882/2003 (EUVL L 284, s. 1).
8 – Kyseinen työryhmä on perustettu direktiivin 95/46 29 artiklan nojalla. Kysymyksessä on riippumaton neuvoa-antava elin, joka toimii yksilöiden suojelua henkilötietojen käsittelyssä koskevalla alalla. Sen tehtävät on määritelty kyseisen direktiivin 30 artiklassa sekä henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla 12 päivänä heinäkuuta 2002 annetun Euroopan parlamentin ja neuvoston direktiivin 2002/58/EY (sähköisen viestinnän tietosuojadirektiivi) 15 artiklan 3 kohdassa (EYVL L 201, s. 37).
9 – Lausunto 4/2003 matkustajatietojen siirrolle Yhdysvalloissa taatusta suojan tasosta. Ks. Internet- sivusto: (http://europa.eu.int/comm/justice_home/fsj/privacy/workinggroup/wpdocs/2003_fr.htm).
10 – Lausunto 2/2004 Yhdysvaltojen tulli‑ ja rajavartiolaitokselle (US CBP) toimitettavien lentomatkustajia koskevaan matkustajarekisteriin (PNR) sisältyvien henkilötietojen suojan riittävästä tasosta. Ks. Internet‑sivusto: (http://europa.eu.int/comm/justice_home/fsj/privacy/workinggroup/wpdocs/2004_fr.htm).
11 – Päätös 1999/468/EY (EYVL L 184, s. 23).
12 – Ks. tämän ratkaisuehdotuksen 8 kohta.
13 – Kannekirjelmissään parlamentti perustelee hylkäämistä toteamalla, että neuvoston päätösehdotuksen kaikkia kieliversioita ei ollut käytettävissä.
14 Tämä lausuntopyyntö on poistettu yhteisöjen tuomioistuimen rekisteristä yhteisöjen tuomioistuimen presidentin 16.12.2004 antamalla määräyksellä.
15 – Euroopan sopimussarja nro 108 (jäljempänä yleissopimus nro 108). Tämä yleissopimus tuli voimaan 1.10.1985. Euroopan neuvoston ministerikomitea on hyväksynyt muutoksia tähän yleissopimukseen 15.6.1999, jotta Euroopan yhteisöt voisivat liittyä siihen (tällä hetkellä kaikki yleissopimuksen nro 108 sopimuspuolina olevat valtiot eivät ole hyväksyneet näitä muutoksia). Ks. myös valvontaviranomaisia ja kansainvälisiä tiedonsiirtoja koskeva yleissopimuksen nro 108 lisäpöytäkirja, joka avattiin allekirjoituksia varten 8.11.2001 ja tuli voimaan 1.7.2004 (Euroopan sopimussarja nro 181).
16 – EYVL 2000, C 364, s. 1. Kyseinen perusoikeuskirja, jonka parlamentin puhemies sekä neuvoston ja komission puheenjohtajat allekirjoittivat ja julistivat Nizzassa kokoontuneen Eurooppa‑neuvoston aikana 7.12.2000, sisältyy ehdotuksen sopimukseksi Euroopan perustuslaista II osaan, joka ei ole vielä tällä hetkellä tullut voimaan (EUVL 2004, C 310, s. 41). Tällä ”perusoikeuskirjalla ei tosin ole sitovaa oikeusvaikutusta mutta se osoittaa kuitenkin siinä mainittujen oikeuksien tärkeyden yhteisön oikeusjärjestyksessä”, kuten yhteisöjen ensimmäisen oikeusasteen tuomioistuin on voinut todeta. Ks. yhdistetyt asiat T‑377/00, T‑379/00, T‑380/00, T‑260/01 ja T‑272/01, Philip Morris International ym. v. komissio, tuomio 15.1.2003 (Kok. 2003, s. II‑1, 122 kohta).
17 – EY 286 artiklan 2 kohdan sanamuoto on seuraava:
”Neuvosto perustaa 251 artiklassa määrättyä menettelyä noudattaen 1 kohdassa tarkoitettuun päivämäärään mennessä näiden yhteisön säädösten soveltamista yhteisön toimielimiin ja elimiin valvovan riippumattoman valvontaelimen sekä antaa tarvittaessa muut aiheelliset säännökset.”
EY 286 artiklan perusteella on annettu yksilöiden suojelusta yhteisöjen toimielinten ja elinten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 18 päivänä joulukuuta 2000 annettu Euroopan parlamentin ja neuvoston asetus (EY) N:o 45/2001 (EYVL 2001, L 8, s. 1).
18 – Yksityiskohtainen esitys yleisestä tilanteesta, jossa kyseinen direktiivi ja sen säännökset laadittiin ks. de Boulanger, M.-H., de Terwangne, C., Léonard, T., Louveaux, S., Moreau, D. ja Poullet, Y., ”La protection des données à caractère personnel en droit communautaire”, JTDE, 1997, nro 40, 41 ja 42. Ks. myös Simitis, S., Data Protection in the European Union – the Quest for Common Rules, Collected Courses of the Academy of European Law, Volume VIII, Book I, 2001, s. 95. Korostan lisäksi, että sähköisen viestinnän alan sääntelyä varten on olemassa erityinen direktiivi eli direktiivi 2002/58.
19 – Seitsemäs perustelukappale.
20 – Kahdeksas perustelukappale.
21 – Yhdeksäs perustelukappale.
22 – Esimerkkinä voidaan mainita tietovirrat, jotka liittyvät henkilöiden liikkuvuuteen, sähköiseen kaupankäyntiin ja siirtoihin yritysryhmän sisällä.
23 – Direktiivin 95/46 johdanto-osan 57 perustelukappale.
24 – Tarkastusten asteittaisesta lakkauttamisesta yhteisillä rajoilla 14 päivänä kesäkuuta 1985 Benelux‑talousliiton valtioiden, Saksan liittotasavallan ja Ranskan tasavallan hallitusten välillä tehdyn Schengenin sopimuksen soveltamisesta tehty yleissopimus, allekirjoitettu Schengenissä 19.6.1990 (EYVL 2000, L 239, s. 19).
25 – Ks. kyseisen yleissopimuksen 102–118 artikla. Toisen sukupolven Schengenin tietojärjestelmän (SIS II) osalta komissio esitti ehdotukset neuvoston päätöksen tekemiseksi (KOM(2005) 230 lopullinen) ja kahden asetuksen antamiseksi (KOM(2005) 236 lopullinen ja KOM(2005) 237 lopullinen).
26 – Jäljempänä Europol‑yleissopimus (EYVL 1995, C 316, s. 2).
27 – Eurojust‑yksikön perustamisesta vakavan rikollisuuden torjunnan tehostamiseksi 28 päivänä helmikuuta 2002 tehty neuvoston päätös 2002/187/YOS (EYVL L 63, s. 1; jäljempänä Eurojust-päätös). Ks. kyseisen päätöksen 14 artikla ja sitä seuraavat artiklat.
28 – EUVL 2005, C 68, s. 1.
29 – EYVL 1995, C 316, s. 34. Ks. erityisesti kyseisen yleissopimuksen 13–15, 17 ja 18 artikla.
30 – Kyseisen yleissopimuksen tekemisestä Euroopan unionista tehdyn sopimuksen 34 artiklan mukaisesti 29.5.2000 annettu neuvoston säädös (EYVL 2000, C 197, s. 1). Ks. erityisesti sen 23 artikla.
31 – KOM(2005) 475 lopullinen. Tämä ehdotus puitepäätökseksi perustuu Euroopan unionista tehdyn sopimuksen 30 ja 31 artiklaan sekä 34 artiklan 2 kohdan b alakohtaan. Se on yksi toimenpiteistä, joita tarkoitetaan neuvoston ja komission toimintasuunnitelmassa vapauden, turvallisuuden ja oikeuden lujittamiseen Euroopan unionissa tähtäävän Haagin ohjelman toteuttamiseksi (EUVL 2005, C 198, s. 1, kohta 3.1).
32 – Koska kyseessä on direktiivin 95/46 täytäntöönpanotoimenpide, suojan riittävää tasoa koskeva päätös on tehty noudattaen menettelyä, josta säädetään kyseisen direktiivin 31 artiklan 2 kohdassa, jonka mukaan on sovellettava päätöksen 1999/468 4, 7 ja 8 artiklan säännöksiä. Näin ollen, kun komissio hyväksyy direktiivin täytäntöönpanotoimenpiteitä, sitä avustaa komitea, joka muodostuu jäsenvaltioiden edustajista ja jonka puheenjohtajana on komission edustaja. Kysymyksessä on niin sanottu 31 artiklan komitea.
33 – Ks. sitoumusten 47 kohta.
34 – Kyseessä ovat seuraavat tietokentät: ”1) PNR‑tiedoston kirjauskoodi; 2) Varauspäivä; 3) Aiottu matkapäivä / aiotut matkapäivät; 4) Nimi; 5) Muut nimet PNR:ssä; 6) Osoite; 7) Maksutapaa koskevat tiedot; 8) Laskutusosoite; 9) Puhelinnumerot yhteydenottoja varten; 10) Tietyn PNR:n kaikki matkareittitiedot; 11) Kanta-asiakastiedot (ainoastaan lentomailien määrä ja osoite/osoitteet); 12) Matkatoimisto; 13) Virkailija; 14) Yhteislentojen PNR‑tiedot; 15) Matkustajan matkastatus (Travel status of passenger); 16) Jaetut PNR‑tiedot; 17) Sähköpostiosoite; 18) Lipunkirjoituskentän tiedot; 19) Yleisiä huomautuksia; 20) Lipun numero; 21) Istumapaikan numero; 22) Lipunkirjoituspäivä; 23) Viimehetken poisjäännit lennoilta (no show); 24) Matkatavaroiden tunnistenumerot; 25) Viimehetken lähdöt ilman varausta (go show); 26) OSI‑tiedot; 27) SSI/SSR‑tiedot; 28) Lähdetiedot (Received from information); 29) Aikaisemmat muutokset PNR:ään; 30) Matkustajien määrä PNR:ssä; 31) Istumapaikkatiedot; 32) Yhdensuuntaiset liput; 33) Kerätyt APIS‑tiedot; 34) ATFQ‑kentät.”
35 – Jäljempänä sopimus.
36 – Ks. ilmoitus lentoyhtiöiden PNR‑tietojen käsittelemistä ja siirtämistä Yhdysvaltojen sisäisen turvallisuuden ministeriön alaiselle tulli‑ ja rajavalvontalaitokselle koskevan Euroopan yhteisön ja Amerikan yhdysvaltojen välisen sopimuksen voimaantulopäivästä (EUVL 2004, C 158, s. 1).
37 – Tältä osin on korostettava, että sopimuksen johdanto-osassa on virheellinen viittaus kyseiseen komission päätökseen. Tosiasiassa kysymyksessä on 14.5.2004 tehty päätös 2004/535/EY, joka on annettu tiedoksi numerolla K(2004) 1914, eikä 17.5.2004 tehty päätös K(2004) 1799. Kyseistä virhettä koskeva oikaisu on julkaistu Euroopan unionin virallisessa lehdessä. Ks. sopimuksen oikaisupöytäkirja (EUVL 2005, L 255, s. 168).
38 – Lentoyhtiöiden suorittama tietojen siirto vastaa sitä, mistä on sovittu käytettävän nimitystä ”push”‑järjestelmä, kun taas CBP:n suora pääsy kyseisiin tietoihin vastaa ”pull”‑järjestelmää.
39 – Kyseessä on suojan riittävää tasoa koskeva komission päätös, ainoa ”päätös”, jota sopimuksen johdanto-osassa tarkoitetaan.
40 – Sama huomautus kuin edellisessä alaviitteessä.
41 – Sopimuksen 5 kohta.
42 – Sopimuksen 6 kohta.
43 – Yhteisöjen tuomioistuimen presidentin vastaavasti 18.1.2005 ja 18.11.2004 antamat määräykset.
44 – Yhteisöjen tuomioistuimen määräys 17.3.2005.
45 – Yhteisöjen tuomioistuimen presidentin määräys 17.12.2004.
46 – Yhteisöjen tuomioistuimen määräys 17.3.2005.
47 – Asia C‑101/01, Lindqvist, tuomio 6.11.2003 (Kok. 2003, s. I‑12971, 63 kohta).
48 – Muistutan, että näihin tekijöihin kuuluvat erityisesti tietojen luonne sekä suunnitellun käsittelyn tai suunniteltujen käsittelyjen tarkoitus ja kestoaika.
49 – Em. asia Lindqvist, tuomion 56 kohta. Tässä asiassa yhteisöjen tuomioistuin katsoi, että henkilötietojen laittaminen Internet‑sivulle ei ole direktiivin 95/46 25 artiklassa tarkoitettua ”henkilötietojen siirtoa kolmanteen maahan” pelkästään sen vuoksi, että se saattaa tiedot kolmansissa maissa olevien henkilöiden saataville. Tämän johtopäätöksen tekemiseksi yhteisöjen tuomioistuin otti huomioon yhtäältä kyseessä olevien toimintojen teknisen luonteen ja toisaalta kyseisen direktiivin IV luvun, johon 25 artikla sisältyy, tavoitteen ja rakenteen.
50 – Ja näin on, vaikka tietojen vastaanottaja on kyseisen kolmannen maan sisäisen hallintorakenteen erityinen osa.
51 – On mielenkiintoista havaita, että henkilötietojen käsittelyn ja siirron käsitteet yhtyvät tietyssä määrin. Siten tällaisten tietojen luovuttaminen siirtämällä, levittämällä tai asettamalla muutoin saataville näyttävät voivan olla samalla kertaa niiden käsittelyä ja siirtoa kyseisessä direktiivissä tarkoitetussa merkityksessä. Käsiteltävänä olevassa asiassa siirron ja käsittelyn käsitteet yhtyvät, sikäli kuin perustetun järjestelmän tavoitteena on erityisesti PNR‑tietojen asettaminen CBP:n saataville. Tämä toteamus selittyy mielestäni käsittelyn erittäin laajalla määritelmällä, joka käsittää laajan joukon toimintoja. Loppujen lopuksi tällaisessa tilanteessa tietojen siirto kolmanteen maahan on ymmärrettävissä tietojenkäsittelyn erityiseksi muodoksi. Ks. vastaavasti komission ehdotus puitepäätökseksi: sen 15 artikla, jonka aiheena on ”siirto kolmansien maiden toimivaltaisille viranomaisille tai kansainvälisille elimille”, sisältyy III lukuun, jonka otsikko on ”Käsittelyn erityismuodot”.
52 – Huomautan esimerkiksi, että Euroopan parlamentin ja neuvoston direktiivin 95/46/EY mukaisesti henkilötietojen riittävästä suojasta Unkarissa 26 päivänä heinäkuuta 2000 tehdyn komission päätöksen 2000/519/EY (EYVL L 215, s. 4) 1 artiklassa säädetään, että ”direktiivin 95/46/EY 25 artiklan 2 kohdan osalta Unkarin katsotaan tarjoavan kaikessa direktiivin soveltamisalaan kuuluvassa toiminnassa henkilötietojen suojan riittävän tason” (kursivointi tässä).
53 – Kursivointi tässä. Em. asiassa Lindqvist antamassaan tuomiossa yhteisöjen tuomioistuin huomautti, että ”direktiivin 95/46/EY 3 artiklan 2 kohdan ensimmäisessä luetelmakohdassa mainitut toiminnat – – ovat kaikki valtiolle tai valtion viranomaisille tyypillisiä toimintoja, jotka eivät liity yksityisten henkilöiden toiminta-aloihin” (tuomion 43 kohta).
54 – Kuudes perustelukappale.
55 – Seitsemäs perustelukappale.
56 – Kahdeksas perustelukappale.
57 – Ks. vastaavasti artikkeli, jonka ovat kirjoittaneet de Poullet, Y. ja Peres Asinan, M. V., ”Données des voyageurs aériens: le débat Europe – Etats‑Unis”, JTDE, 2004, nro 113, s. 274. Näiden kirjoittajien mukaan ”ratkaisun, joka oikeuttaa nämä rajat ylittävät sangen erikoislaatuiset virrat, on taattava muiden maiden julkishallinnoille terrorismin torjumiseksi tapahtuneen tietojen siirron laillisuus – – , mikä ylittää tunnetusti ensimmäisen pilarin direktiivin soveltamisalan”. He lisäävät, että ”tämä vastaa Euroopan tasolla kolmannen pilarin alaa, mikä saattaa kyseenalaiseksi komission toimivallan asiassa – – ”. Ks. myös De Schutter, O., ”La Convention européenne des droits de l’homme à l’épreuve de la lutte contre le terrorisme”, Lutte contre le terrorisme et droits fondamentaux; Bribosia, E., ja Weyembergh, A. (dir.), Collection droit et justice, Bruylant, Bruxelles, 2002, s. 112, alaviite nro 43: lainattuaan direktiivin 95/46 3 artiklan 2 kohdan ensimmäistä luetelmakohtaa kirjoittaja huomauttaa, että ”tämä direktiivin soveltamisalan rajoitus selittyy Euroopan yhteisön rajoitetuilla toimivaltuuksilla; sillä ei ole yleistä toimivaltaa säätää lakeja ihmisoikeuksien alalla, mutta se voi toimia kyseisellä alalla erityisesti siellä missä tai siltä osin kuin, kuten kyseisen direktiivin osalta, kysymys on sisämarkkinoiden toteuttamisen helpottamisesta, mihin sisältyy nimenomaan tavaroiden vapaan liikkuvuuden ja palvelujen vapaan tarjoamisen esteiden poistaminen”.
58 – PNR‑tietoja käsitellään yhteisön sisällä, mikä käsittää niiden asettamisen CBP:n saataville. Niitä on myös tarkoitus käsitellä niiden siirron jälkeen sen vuoksi, että CBP käyttää niitä.
59 – Tämä ei tarkoita, että samanlaisessa yhteydessä kuin nyt käsiteltävänä olevassa asiassa tehtyä suojan riittävää tasoa koskevaa päätöstä olisi Euroopan unionin oikeusjärjestyksessä pidettävä vapautettuna olennaisten takeiden noudattamisesta henkilötietojen suojaa koskevissa asioissa, sellaisina kuin ne on nimenomaan lueteltu yleissopimuksessa nro 108. Tästä näkökulmasta totean ainoastaan, että direktiivi 95/46 ei ole asianmukainen viitenormi, koska, kuten olemme havainneet, suojan riittävää tasoa koskevan päätöksen tavoite ylittää perusnormin, joka on kyseinen direktiivi, soveltamisalan. Näin ollen sellaisen johdetun oikeuden normin puuttuessa, jota voitaisiin soveltaa siinä tapauksessa, että henkilötietoja käsitellään lainvalvontaan ja yleiseen turvallisuuteen liittyviä tarkoituksia varten, ei ole mahdollista suorittaa kyseisten takeiden abstraktista tuomioistuinvalvontaa. Sellaisessa tilanteessa oikeussuoja ei kuitenkaan puutu. Olennaisten takeiden tutkiminen henkilötietojen suojaa koskevissa asioissa on nimittäin läheisesti sidoksissa Euroopan ihmisoikeussopimuksen 8 artiklan 2 kohdassa asetettujen edellytysten tarkasteluun, kuten tulemme näkemään.
60 – Jäljempänä PNR‑järjestelmä.
61 – Asia 22/70, komissio v. neuvosto, ns. ERTA‑tapaus, tuomio 31.3.1971 (Kok. 1971, s. 263, Kok. Ep. I, s. 553).
62 – Ks. erityisesti asia C‑300/89, komissio v. neuvosto, ns. titaanidioksidi‑tapaus, tuomio 11.6.1991 (Kok. 1991, s. I‑2867, Kok. Ep. XI, s. I‑211, 10 kohta); asia C‑84/94, Yhdistynyt kuningaskunta v. neuvosto, tuomio 12.11.1996 (Kok. 1996, s. I‑5755, 25 kohta); yhdistetyt asiat C‑164/97 ja C‑165/97, parlamentti v. neuvosto, tuomio 25.2.1999 (Kok. 1999, s. I‑1139, 12 kohta); asia C‑269/97, komissio v. neuvosto, tuomio 4.4.2000 (Kok. 2000, s. I‑2257, 43 kohta); asia C‑336/00, Huber, tuomio 19.9.2002 (Kok. 2002, s. I‑7699, 30 kohta); asia C‑338/01, komissio v. neuvosto, tuomio 29.4.2004 (Kok. 2004, s. I‑4829, 54 kohta) ja asia C‑176/03, komissio v. neuvosto, tuomio 13.9.2005 (45 kohta, ei vielä julkaistu oikeustapauskokoelmassa).
63 – Asia 45/86, komissio v. neuvosto, tuomio 26.3.1987 (Kok. 1987, s. 1493, Kok. Ep. IX, s. 55, 11 kohta).
64 – Lausunto 2/00, annettu 6.12.2001 EY 300 artiklan 6 kohdan nojalla (Kok. 2001, s. I‑9713, 5 kohta).
65 – Seuraavassa esityksessä käytän ilmaisua ”terrorismin ja muiden vakavien rikosten torjunta” osoittamaan kyseistä tavoitetta.
66 – Lisäksi terrorismi on kansainvälinen ilmiö, joka ei tunne rajoja.
67 – Ks. julkisasiamies Tesauron em. ns. titaanidioksidi‑tapauksessa antaman ratkaisuehdotuksen 10 kohta.
68 – Asia C‑376/98, Saksa v. parlamentti ja neuvosto, tuomio 5.10.2000 (Kok. 2000, s. I‑8419, 83, 84 ja 95 kohta) ja asia C‑491/01, British American Tobacco (Investments) ja Imperial Tobacco, tuomio 10.12.2002 (Kok. 2002, s. I‑11453, 60 kohta).
69 – Ks. vastaavasti asia C‑350/92, Espanja v. neuvosto, tuomio 13.7.1995 (Kok. 1995, s. I‑1985, 35 kohta) sekä em. asia Saksa v. parlamentti ja neuvosto (tuomion 86 kohta); asia C‑377/98, Alankomaat v. parlamentti ja neuvosto, tuomio 9.10.2001 (Kok. 2001, s. I‑7079, 15 kohta); em. asia British American Tobacco (Investments) ja Imperial Tobacco (tuomion 61 kohta) ja asia C‑434/02, Arnold André, tuomio 14.12.2004 (Kok. 2004, s. I‑11825, 31 kohta).
70 – Ks. erityisesti asia C‑426/93, Saksa v. neuvosto, tuomio 9.11.1995 (Kok. 1995, s. I‑3723, 33 kohta).
71 – Ks. erityisesti asia C‑155/91, komissio v. neuvosto, tuomio 17.3.1993 (Kok. 1993, s. I‑939, Kok. Ep. XIV, s. I‑61, 19 ja 21 kohta); asia C‑42/97, parlamentti v. neuvosto, tuomio 23.2.1999 (Kok. 1999, s. I‑869, 39 ja 40 kohta); asia C‑36/98, Espanja v. neuvosto, tuomio 30.1.2001 (Kok. 2001, s. I‑779, 59 kohta) ja asia C‑281/01, komissio v. neuvosto, tuomio 12.12.2002 (Kok. 2002, s. I‑12049, 34 kohta).
72 – Ks. erityisesti em. ns. titaanidioksidi‑tapaus (tuomion 13 ja 17 kohta); em. asia parlamentti v. neuvosto, tuomio 23.2.1999 (38 ja 43 kohta); em. asia Huber (tuomion 31 kohta) ja em. asia komissio v. neuvosto, tuomio 12.12.2002 (35 kohta).
73 – Em. asia komissio v. neuvosto, tuomio 12.12.2002, 46 kohta.
74 – Yhdistetyt asiat C‑465/00, C‑138/01 ja C‑139/01, Österreichischer Rundfunk ym., tuomio 20.5.2003 (Kok. 2003, s. I‑4989, 39 kohta). Kun otetaan huomioon sopimuksen ja direktiivin 95/46 erilainen aihealue ja tarkoitus, olen myös sitä mieltä, että on epätodennäköistä, että, kuten komissio väittää, jos jäsenvaltiot olisivat tehneet erikseen tai yhdessä tämäntyyppisen sopimuksen muutoin kuin yhteisön puitteissa, se olisi vaikuttanut direktiiviin ERTA‑oikeuskäytännössä tarkoitetulla tavalla.
75 – Totean, että lentoyhtiöiden henkilötietojen Yhdysvaltoihin tapahtuvan siirron ”kolmannen pilarin” ulottuvuudesta muistutetaan toisinaan. Siten 29 artiklan mukaisesti perustettu tietosuojatyöryhmä on voinut 24.10.2002 antamassaan lausunnossa (lausunto 6/2002 lentoyhtiöiden matkustajatietojen ja muun tiedon siirrosta Yhdysvaltoihin) ilmaista mielipiteensä, jonka mukaan ”pohjimmiltaan tietojen siirtoa kolmansien maiden viranomaisille kyseisen maan yleiseen järjestykseen liittyvistä syistä pitäisi tarkastella kolmannen pilarin puitteissa (oikeudellinen yhteistyö ja poliisiyhteistyö) perustettujen yhteistyömekanismien yhteydessä. – – On tärkeää, ettei kolmannen pilarin puitteissa perustettuja yhteistyömekanismeja kierretä ensimmäisen pilarin kautta”. Ks. Internet‑sivu:
(http://europa.eu.int/comm/justice_home/fsj/privacy/workinggroup/wpdocs/2002_fi.htm).
76 – Julkisten viranomaisten välisen suoran tietojenvaihdon osalta mainitsen Europolin johtajan valtuuttamisesta aloittamaan neuvottelut sopimuksista kolmansien valtioiden ja muiden kuin Euroopan unioniin liittyvien elinten kanssa 27 päivänä maaliskuuta 2000 tehdyn neuvoston päätöksen (EYVL C 106, s. 1). Tämän perusteella allekirjoitettiin 20.12.2002 Europolin ja Amerikan yhdysvaltojen välinen sopimus henkilötietojen vaihdosta.
77 – Tämä problematiikka on puhelin‑ ja sähköisten viestintäpalvelujen tarjoajien tietojen säilyttämistä koskevan ajankohtaisen toimielinten välisen keskustelun ytimessä. Keskustelun aikana ilmaistut vastakkaiset kannanotot niiden välillä, jotka puolustavat tämän problematiikan ottamista huomioon ensimmäisen pilarin puitteissa, ja niiden, jotka päinvastoin katsovat, että asia kuuluu kolmannen pilarin yhteyteen, osoittavat yhtaikaa, että kaupallisten tietojen käyttöä lainvalvontatarkoituksiin koskeva problematiikka on uutta ja monimutkaista. Ks. tältä osin ehdotus puitepäätökseksi yleisten sähköisten viestintäpalvelujen yhteydessä käsiteltyjen ja tallennettujen tietojen tai yleisten viestintäverkkojen kautta siirrettyjen tietojen säilyttämisestä rikosten ja rikkomusten, mukaan lukien terrorismi, torjuntaa, tutkintaa, selvittämistä ja syyteharkintaa varten (Ranskan tasavallan, Irlannin, Ruotsin kuningaskunnan ja Yhdistyneen kuningaskunnan aloitteesta 28.4.2004 esitetty luonnos) ja komission kilpaileva ehdotus Euroopan parlamentin ja neuvoston direktiiviksi yleisten sähköisten viestintäpalvelujen yhteydessä käsiteltävien tietojen säilyttämisestä ja direktiivin 2002/58 muuttamisesta, esitetty 21.9.2005 (asiakirja KOM(2005) 438 lopullinen).
78 – Ks. taloudellisten ja rahoituksellisten pakotteiden, kuten varojen jäädyttämisen, määräämisestä sellaisia henkilöitä tai yhteisöjä vastaan, joita epäillään terrorismin rahoittamisesta ensimmäisen oikeusasteen tuomioistuimen 21.9.2005 antamat tuomiot asiassa T‑306/01, Yusuf ja Al Barakaat International Foundation v. neuvosto ja komissio (152 kohta, ei vielä julkaistu oikeustapauskokoelmassa) sekä asiassa T‑315/01, Kadi v. neuvosto ja komissio (116 kohta, ei vielä julkaistu oikeustapauskokoelmassa). Erityisesti kyseisten asioiden yhteydessä ensimmäisen oikeusasteen tuomioistuimen mukaan on kuitenkin otettava huomioon ”Maastrichtin sopimuksella nimenomaisesti luotu yhteys EY 60 ja EY 301 artiklaan perustuvien talouspakotteita koskevien yhteisön toimien ja ulkosuhteita koskevien EU:sta tehdyn sopimuksen tavoitteiden välille” (asia T‑306/01, tuomion 159 kohta ja asia T‑315/01, tuomion 123 kohta). Yleisemmin ottaen se on myös todennut, että ”kansainvälisen terrorismin ja sen rahoittamisen vastainen taistelu kuuluu kiistatta YUTP:n mukaisiin unionin tavoitteisiin, sellaisina kuin ne on määritelty EU 11 artiklassa – – ” (asia T‑306/01, tuomion 167 kohta ja asia T‑315/01, tuomion 131 kohta). Lisään, että Euroopan unionista tehdyn sopimuksen 2 artiklan sanamuodon mukaan ”unioni asettaa tavoitteekseen – – pitää yllä ja kehittää unionia vapauteen, turvallisuuteen ja oikeuteen perustuvana alueena, jossa henkilöiden vapaa liikkuvuus taataan toteuttamalla samalla ulkorajoilla tehtäviä tarkastuksia, turvapaikkaa, maahanmuuttoa sekä rikollisuuden ehkäisyä ja torjuntaa koskevat aiheelliset toimenpiteet – – ” (kursivointi tässä). Lisäksi Euroopan unionista tehdyn sopimuksen 29 artiklan toisen kohdan mukaan unionin tavoite antaa kansalaisille korkeatasoinen suoja vapauteen, turvallisuuteen ja oikeuteen perustuvalla alueella ”saavutetaan ehkäisemällä ja torjumalla järjestäytynyttä tai muuta rikollisuutta, erityisesti terrorismia – – ” (kursivointi tässä). Euroopan rikosoikeusalueen ulkoisesta ulottuvuudesta, ks. Kerchove, G., ja Weyembergh, A., Sécurité et justice: enjeu de la politique extérieure de l’Union européenne, éditions de l’Université de Bruxelles, 2003.
79 – Yhteisöjen tuomioistuin on sitä vastoin jo lausunut mielipiteensä toisesta tapauksesta, jossa vaaditaan parlamentin puoltavaa lausuntoa, nimittäin tapauksesta, joka koskee ”sopimuksia, joilla on huomionarvoisia vaikutuksia yhteisön talousarvioon”: asia C‑189/97, parlamentti v. neuvosto, tuomio 8.7.1999 (Kok. 1999, s. I‑4741).
80 – Ks. Schmitter, C., ”Article 228”, teoksessa Constantinesco, V., Kovar, R., ja Simon, D., Traité sur l’Union européenne, commentaire article par article, Économica, 1995, s. 725, erityisesti 43 kohta.
81 – Ks. vastaavasti Schmitter, C., mt.
82 – Mainitsen tältä osin, että lähestymistapa, joka on hyväksytty sopimuksessa Euroopan perustuslaista, on laajempi ja otollisempi parlamentin hyväksynnälle: tämän sopimuksen kansainvälisten sopimusten tekomenettelyä koskevan III‑325 artiklan 6 kohdan a alakohdan v alakohdassa määrätään nimittäin, että neuvosto tekee päätöksen sopimuksen tekemisestä Euroopan parlamentin hyväksynnän saatuaan, muun muassa siinä tapauksessa, että kyseessä ovat ”sopimukset aloilla, joilla sovelletaan joko tavanomaista lainsäätämisjärjestystä tai erityistä lainsäätämisjärjestystä, kun edellytetään Euroopan parlamentin hyväksyntää” (kursivointi tässä).
83 – Kursivointi tässä.
84 – Tämän ratkaisuehdotuksen 107 kohta.
85 – Ks. tämän ratkaisuehdotuksen 109 kohta ja sitä seuraavat kohdat.
86 – Parlamentti mainitsee tältä osin asian C‑108/01, Consorzio del Prosciutto di Parma ja Salumificio S. Rita, tuomio 20.5.2003 (Kok. 2003, s. I‑5121, 89 kohta).
87 – Parlamentti mainitsee erityisesti tässä yhteydessä Europol‑yleissopimuksen, jonka 8 artiklan 2 kohdassa määrätään viiden tiedon käsittelystä, sekä liikenteenharjoittajien velvollisuudesta toimittaa tietoja matkustajista 29 päivänä huhtikuuta 2004 annetun neuvoston direktiivin 2004/82/EY (EUVL L 261, s. 24). Tämän direktiivin, jonka oikeudellisena perustana on EY 62 artiklan 2 kohdan a alakohta ja EY 63 artiklan 3 kohdan b alakohta, 3 artiklassa säädetään lentoliikenteen harjoittajien velvollisuudesta toimittaa henkilöille ulkorajoilla suoritettavista tarkastuksista vastaavien viranomaisten pyynnöstä yhteensä yhdeksän henkilötietoa.
88 – Kysymys on sen mukaan tietokentistä nro 11 ”Kanta-asiakastiedot [ainoastaan lentomailien määrä ja osoite/osoitteet]”; nro 19 ”Yleisiä huomautuksia”; nro 26 ”OSI‑tiedot [Other Service Information]”; nro 27 ”SSI/SSR‑tiedot [Special Service Request]”; nro 30 ”Matkustajien määrä PNR:ssä” ja nro 33 ”Kerätyt APIS‑tiedot [Advanced Passenger Information System]”.
89 – Kysymys on tietokentistä nro 19, 26 ja 27 (ks. edellinen alaviite).
90 – Sitoumusten 5 kohdassa määrätään seuraavaa:
”OSI‑ ja SSI/SSR‑tietokentistä (joita yleensä kutsutaan yleisiksi huomioiksi ja avoimiksi kentiksi) CBP:n automaattinen järjestelmä hakee muita liitteessä A mainittuja tietokenttiä. CBP:n henkilöstö ei saa lupaa tarkastaa kaikkia OSI‑ ja SSI/SSR‑tietokenttiä manuaalisesti, ellei CBP ole määrittänyt sitä henkilöä, jota PNR‑tiedot koskevat, suureksi turvallisuusriskiksi 3 kohdassa mainittujen seikkojen takia.”
91 – Sitoumusten 9 kohdassa määrätään seuraavaa:
”Jäljempänä kuvatun mukaisesti CBP ei käytä PNR‑tietoihin sisältyviä arkaluonteisia tietoja (eli henkilötietoja, joista käy ilmi rotu tai etninen alkuperä, poliittiset mielipiteet, uskonnolliset tai filosofiset vakaumukset, ammattiliittoon kuuluminen tai yksilön terveyttä tai seksuaalista käyttäytymistä koskevat tiedot).”
Kyseisten sitoumusten 10 kohdassa määrätään seuraavaa:
”CBP ottaa mahdollisimman pian käyttöön automaattisen järjestelmän, jolla suodatetaan ja poistetaan tietyt ’arkaluonteiset’ PNR‑koodit ja termit, jotka CBP on yksilöinyt – – komissiota kuultuaan.”
Samojen sitoumusten 11 kohta on laadittu seuraavasti:
”Ennen kuin kyseiset automaattiset suodattimet voidaan ottaa käyttöön CBP korostaa, että se ei käytä eikä tule käyttämään ’arkaluonteisia’ PNR‑tietoja ja sitoutuu poistamaan ’arkaluonteiset’ tiedot kaikista harkinnanvaraisista 28–34 kohdan mukaisista PNR‑tietojen luovutuksista.”
Viimeksi mainitut sitoumusten kohdat koskevat PNR‑tietojen siirtoa muille valtion viranomaisille.
92 – Ks. erityisesti asia 29/69, Stauder, tuomio 12.11.1969 (Kok. 1969, s. 419, Kok. Ep. I, s. 419, 7 kohta); asia 11/70, Internationale Handelsgesellschaft, tuomio 17.12.1970 (Kok. 1970, s. 1125, Kok. Ep. I, s. 501, 4 kohta) ja asia 4/73, Nold v. komissio, tuomio 14.5.1974 (Kok. 1974, s. 491, Kok. Ep. II, s. 293, 13 kohta).
93 – Ks. erityisesti asia C‑260/89, ERT, tuomio 18.6.1991 (Kok. 1991, s. I‑2925, Kok. Ep. XI, s. I‑221, 41 kohta); asia C‑299/95, Kremzow, tuomio 29.5.1997 (Kok. 1997, s. I‑2629, 14 kohta) ja asia C‑274/99 P, Connolly v. komissio, tuomio 6.3.2001 (Kok. 2001, s. I‑1611, 37 kohta).
94 – Asia 5/88, Wachauf, tuomio 13.7.1989 (Kok. 1989, s. 2609, 19 kohta).
95 – Asia 136/79, National Panasonic v. komissio, tuomio 26.6.1980 (Kok. 1980, s. 2033, Kok. Ep. V, s. 261, 18 ja 19 kohta). Tämä oikeus sisältää erityisesti oikeuden potilassalaisuuden turvaamiseen (ks. asia C‑62/90, komissio v. Saksa, tuomio 8.4.1992 (Kok. 1992, s. I‑2575, Kok. Ep. XII, s. I‑59) ja asia C‑404/92 P, X v. komissio, tuomio 5.10.1994 (Kok. 1994, s. I‑4737)). Henkilötietojen suojaa koskevan oikeuden osalta mainitsen uudestaan em. asiassa Österreichischer Rundfunk ym. ja asiassa Lindqvist annetut tuomiot.
96 – Ks. asia Kruslin v. Ranska, Euroopan ihmisoikeustuomioistuimen tuomio 24.4.1990, A‑sarja, nro 176, 27 §).
97 – Ks. asia Olsson v. Ruotsi, Euroopan ihmisoikeustuomioistuimen tuomio 24.3.1988, A‑sarja, nro 130, 61 ja 62 §). Rajoituksista on säädettävä normatiivisilla säännöksillä, joiden sanamuoto on riittävän täsmällinen, jotta ne, joita asia koskee, voivat säädellä käyttäytymistään ja tarpeen vaatiessa saada selventäviä neuvoja (asia Sunday Times v. Yhdistynyt kuningaskunta, Euroopan ihmisoikeustuomioistuimen tuomio 26.4.1979, A‑sarja, nro 30, 49 §).
98 – Ks. suojan riittävää tasoa koskevan päätöksen johdanto-osan kuudes perustelukappale sekä sen alaviite 2 ja 3.
99 – Ks. sitoumusten 36–42 kohta.
100 – Ks. sopimuksen oikaisupöytäkirja, joka on julkaistu EUVL:ssä L 255 30.9.2005.
101 – Muistutan, että sopimuksen johdanto-osan mukaan tarkoituksena on estää ja torjua terrorismia ”ja siihen liittyvää rikollisuutta sekä muita valtioiden rajat ylittäviä vakavia rikoksia, myös järjestäytynyttä rikollisuutta”. Lisäksi sitoumusten 3 kohdan mukaan ”CBP käyttää PNR‑tietoja ainoastaan estämään ja torjumaan 1) terrorismia ja siihen liittyviä rikoksia; 2) muita vakavia, luonteeltaan rajat ylittäviä rikoksia, mukaan lukien järjestäytynyt rikollisuus; ja 3) pakenemista pidätykseltä tai vankeudesta edellä mainittujen rikosten johdosta”. Ks. myös suojan riittävää tasoa koskevan päätöksen johdanto-osan 15 perustelukappale, jossa käytetään samoja termejä.
102 – Ks. erityisesti asia Gillow v. Yhdistynyt kuningaskunta, Euroopan ihmisoikeustuomioistuimen tuomio 24.11.1986, A‑sarja, nro 109, 55 kohta.
103 – Ks. asia Leander v. Ruotsi, Euroopan ihmisoikeustuomioistuimen tuomio 26.3.1987, A‑sarja, nro 116, 59 kohta.
104 – Ks. esim. asia Klass, Euroopan ihmisoikeustuomioistuimen tuomio 6.9.1978, A‑sarja, nro 28, 59 kohta, joka koskee kansalaisten kirjeenvaihdon ja televiestinnän salaista valvontaa terrorismin torjumiseksi. Tässä tuomiossa kyseinen tuomioistuin on todennut, että ”yleissopimuksen järjestelmään kuuluu tietty sovittelu demokraattisen yhteiskunnan puolustamista ja yksilön oikeuksien suojelua koskevien pakottavien vaatimusten välillä”.
105 – Sudre, F., Droit européen et international des droits de l’homme, 7. uudistettu painos, PUF, 2005, s. 219. Kirjoittaja toteaa myös, että ”sen mukaan kuin Euroopan ihmisoikeustuomioistuin esittää enemmän tai vähemmän ehdottomasti suhteellisuutta koskevan edellytyksen – ehdoton, oikea, kohtuullinen suhde –, se sovittaa valvontansa voimakkuutta ja muuttaa tämän seurauksena valtion harkintavallan laajuutta – – ”.
106 – Asia Z. v. Suomi, Euroopan ihmisoikeustuomioistuimen tuomio 25.2.1997, Recueil 1997‑I.
107 – Vastaavasti Sudre, F., mt., s. 219. Ks. myös Wachsmann, P., ”Le droit au secret de la vie privée”, Le droit au respect de la vie privée au sens de la Convention européenne des droits de l’homme, Sudre, S. (dir.), Bruylant, 2005, s. 141: em. asiassa Z. v. Suomi annetun tuomion osalta kirjoittaja huomauttaa, että ”tässä tapauksessa puuttumisen välttämättömyyttä valvotaan tiukasti, minkä selittää se, että kysymys henkilön HIV‑positiivisuuden paljastamisesta kolmansille on erittäin arkaluonteinen”.
108 – Em. asiassa Leander v. Ruotsi annettu tuomio. Leanderista oli tullut merimuseon vartija Ruotsissa ja hän oli menettänyt työpaikkansa henkilöstöön kohdistuvan tarkastuksen seurauksena, jossa kerättiin häntä koskevia salaisia tietoja, mikä johti siihen päätelmään, että hän ei voinut työskennellä museossa, jonka monet varastot sijaitsivat kielletyllä sotilasalueella. Kyseisessä asiassa Euroopan ihmisoikeustuomioistuimen oli mahdollista vahvistaa selvästi periaate, jonka mukaan henkilötietojen tallentaminen samoin kuin välittäminen, johon liittyy kieltäytyminen antamasta mahdollisuutta osoittaa niitä vääriksi, on yksityiselämän kunnioittamista koskevan oikeuden loukkaus. Tällaisen loukkaamisen oikeutusta tarkastellessaan Euroopan ihmisoikeustuomioistuin on katsonut, että ”kansallisen turvallisuuden suojelemiseksi sopimusvaltiot tarvitsevat kieltämättä lakeja, joissa oikeutetaan toimivaltaiset kansalliset viranomaiset keräämään ja tallentamaan salaisiin tiedostoihin tietoja henkilöistä ja sen jälkeen käyttämään niitä, kun kyseessä on mainitun turvallisuuden näkökulmasta merkittäviin virkoihin pyrkivien ehdokkaiden soveltuvuuden arviointi” (59 kohta). Ottaen huomioon takeet, jotka koskevat henkilöstötarkastuksia koskevaa Ruotsin järjestelmää, ja valtiolle myönnetty laaja harkintavalta, tuomioistuin on todennut, että ”vastaajahallituksella oli oikeus katsoa, että kansalliset turvallisuusintressit voittivat tässä tapauksessa valittajan yksityiset intressit”. Puuttuminen, jonka kohteeksi Leander joutui, ei näin ollen ollut epäsuhtainen tavoiteltuun oikeutettuun päämäärään nähden (67 kohta).
109 – Ks. asia Murray v. Yhdistynyt kuningaskunta, Euroopan ihmisoikeustuomioistuimen tuomio 28.10.1994, A‑sarja, nro 300, 47 ja 90 kohta. Tässä asiassa terrorismin torjuntaa koskevan tavoitteen avulla on mahdollista perustella se, että asevoimat ovat tallettaneet ensimmäistä valittajaa koskevia henkilökohtaisia yksityiskohtia. Kyseinen tuomioistuin huomauttaa erityisesti, ettei sen tehtävänä ole ”harkita kansallisten viranomaisten sijasta sitä, mikä voisi olla paras menettelytapa tutkittaessa terroristien tekemiä rikoksia” (90 kohta). Ks. myös em. asiassa Klass annettu tuomio, 49 kohta.
110 – D. Ritlengin mukaan samoin kuin synonyymisen käsitteen ”méconnaissance patente” osalta, kysymyksessä on ilmeinen arviointivirhe ”siinä tapauksessa, että lain säännöksiä rikotaan siinä määrin, että se on ilmeistä. Vaikka tosiasioiden arviointi onkin harkinnasta riippuvaa, se ei voi johtaa yhteisön toimielimiä päättämään mitä tahansa; ilmeiseen arviointivirheeseen kohdistuvalla valvonnalla tuomioistuin kieltää harkintavapauden vakavasti virheellisen käytön”. Ks. ”Le contrôle de la légalité des actes communautaires par la Cour de justice et le Tribunal de première instance des Communautés européennes”, Strasbourgin Robert Schuman -yliopistossa 24.1.1998 puolustettu väitöskirja, s. 538, 628 kohta.
111 – Ks. yhteisen maatalouspolitiikan alaa koskeva asia C‑331/88, Fedesa ym., tuomio 13.11.1990 (Kok. 1990, s. I‑4023, 14 kohta). Ks. myös polkumyyntitullien alaa koskeva asia T‑162/94, NMB France ym. v. komissio, tuomio 5.6.1996 (Kok. 1996, s. II‑427, 70 kohta).
112 – Ks. yhteisen maatalouspolitiikan alaa koskeva asia C‑280/93, Saksa v. neuvosto, tuomio 5.10.1994 (Kok. 1994, s. I‑4973, 91 kohta). Tämä oikeuskäytäntö ulottuu muille aloille esimerkiksi sosiaalipolitiikan alaa koskevissa asioissa, joissa yhteisöjen tuomioistuin on voinut myöntää neuvostolle oikeuden ”laajaan harkintavaltaan sellaisella alalla, jolla lainsäätäjältä edellytetään – – sosiaalipoliittisten valintojen tekemistä ja jolla lainsäätäjän on suoritettava monitahoisia arviointeja” (em. asia Yhdistynyt kuningaskunta v. neuvosto, tuomion 58 kohta). Mainitsen lisäksi, että yleisön oikeutta tutustua yhteisön toimielinten asiakirjoihin koskevissa asioissa ja kun kyseessä on epäävän päätöksen lainmukaisuutta koskevan tuomioistuinvalvonnan ulottuvuus, ensimmäisen oikeusasteen tuomioistuin on myöntänyt neuvostolle laajan harkintavallan sellaisen epäävän päätöksen yhteydessä, joka perustuu kansainvälisiin suhteisiin tai yleiseen turvallisuuteen liittyvän yleisen edun turvaamiseen: ks. erityisesti terrorismin torjunnan osalta yhdistetyt asiat T‑110/03, T‑150/03 ja T‑405/03, Sison v. neuvosto, tuomio 26.4.2005 (46 ja 71–82 kohta, ei vielä julkaistu oikeustapauskokoelmassa).
113 – Em. asiassa Yhdistynyt kuningaskunta v. neuvosto annetun tuomion lisäksi on lukuisia esimerkkejä, joissa yhteisöjen tuomioistuin on myöntänyt niiden arviointien monitahoisuuden, joita yhteisön toimielimet joutuvat tekemään: ks. erityisesti sijoittautumisvapauden alaa koskeva asia C‑233/94, Saksa v. parlamentti ja neuvosto, tuomio 13.5.1997 (Kok. 1997, s. I‑2405, 55 kohta). Esimerkkinä tapauksesta, jossa ensimmäisen oikeusasteen tuomioistuin on myöntänyt ”monitahoiset taloudelliset ja sosiaaliset arvioinnit”, ks. yhdistetyt asiat T‑244/93 ja T‑486/93, TWD v. komissio, tuomio 13.9.1995 (Kok. 1995, s. II‑2265, 82 kohta).
114 – Näin ollen esimerkiksi komissiolla oli mielestäni laaja harkintavalta ratkaista se, pystyikö Yhdysvallat takaamaan nimenomaan PNR‑tietojen siirron yhteydessä kyseisten henkilötietojen suojan riittävän tason.
115 – Komission mukaan ”PNR‑järjestelmällä saadaan aikaan erityinen ratkaisu erityiseen ongelmaan – – . Yhteisö ja Yhdysvallat ovat nimittäin neuvotelleet CBP:lle tarkoitetun suljetun tietosuojajärjestelmän, joka on Yhdysvaltojen järjestelmästä erillinen ja jota koskevat Yhdysvaltojen valvontaan liittyvät hallinnolliset lisätakeet ja eurooppalainen hallinnollinen ja oikeudellinen valvonta” (tietosuojavaltuutetun väliintulokirjelmää koskevien komission huomautusten 13 kohta asiassa C‑318/04).
116 – Muistutan, että kyseessä ovat tietokentät nro 19 ”Yleisiä huomautuksia”, nro 26 ”OSI‑tiedot” (Other Service Information) ja nro 27 ”SSI/SSR‑tiedot” (Special Service Request).
117 – Ks. tietosuojavaltuutetun väliintulokirjelmää koskevien komission huomautusten 20 ja 21 kohta asiassa C‑318/04.
118 – Sitoumusten alaviitteessä 7 on myös täsmennetty, että kun PNR‑tiedosto siirretään käytöstä poistettujen tietojen tiedostoon, se säilytetään raakatietona, joka ei ole helposti haettavassa muodossa ja siten siitä ei ole hyötyä perinteisissä rikostutkimuksissa.
119 – Ks. yleissopimuksen nro 108 8 artiklan d kappale ja 10 artikla sekä direktiivin 95/46 22 artikla.
120 – Ks. sitoumusten 36 kohta, jonka sisältö on seuraava:
”CBP antaa kaikille matkustajille tietoa PNR‑vaatimuksista ja niiden käyttöön liittyvistä seikoista (esim. yleistietoa tietojen keruusta vastaavasta virastosta, tietojen keruun tarkoituksesta, tietosuojasta, tietojen jakamisesta, tiedoista vastaavan virkailijan henkilöllisyydestä, oikaisumenettelyistä, yhteystiedot tiedusteluja varten jne. julkaistavaksi CBP:n Internet‑sivuilla, matkustajille suunnatuissa esitteissä jne.).”
121 – Kysymyksessä on Freedom of Information Act (title 5, section 552, United States Code; jäljempänä FOIA). Mitä tulee CBP:n hallussa oleviin asiakirjoihin, kyseiset FOIA:n säännökset on luettava yhdessä Code of Federal Regulationsin (title 19, sections 103.0 ja sitä seuraavat) kanssa.
122 – FOIA:ssa vahvistetaan oletus, jonka mukaan jokaisen liittovaltion asiakirjan on oltava kaikkien saatavilla. Kyseessä oleva valtion elin voi kuitenkin vapautua tästä tietojen antamista koskevasta oletuksesta, jos se osoittaa, että tavoitellut tiedot kuuluvat tietojen luokkaan, joka on vapautettu tietojenantamisvelvollisuudesta. Tältä osin on huomattava, että sitoumusten 37 kohdan mukaan ”kun kyseessä on asianomaisen pyyntö, CBP ei evää tiedonvapauslain nojalla kyseiseltä rekisteröidyltä oikeutta saada PNR‑tietoja, vaikka CBP muuten pitää PNR‑tietoja rekisteröityä koskevina luottamuksellisina henkilökohtaisina tietoina ja kyseistä lentoyhtiötä koskevina luottamuksellisina kaupallisina tietoina”.
123 – Kursivointi tässä. Sitoumusten 38 kohdassa viitataan tältä osin United States Codeen (title 5, section 552(a)(4)(B)) sekä Code of Federal Regulationsiin (title 19, section 103.7–103.9). Kyseisistä teksteistä ilmenee, että ennen oikeusteitse tapahtuvaa muutoksenhakua (judicial review) CBP:n päätöstä vastaan, jolla tietojen antamista koskeva pyyntö on evätty, on haettava muutosta hallinnollisesti FOIA Appeals Officerilta (title 19, Code of Federal Regulations, section 103.7). Jos tietojen antaminen evätään edelleen hallinnollisen muutoksenhaun jälkeen, tietojen pyytäjä voi siis hakea muutosta oikeusteitse liittovaltion District Courtissa, joka on toimivaltainen määräämään kaiken sellaisen tiedon antamisesta, jonka valtion elin on virheellisesti evännyt.
124 – Assistant Commissionerin osoite on mainittu samassa kohdassa.
125 – Hänen osoitteensa löytyy sitoumusten 41 kohdasta.
126 – Ks. vastaavasti Yhdysvaltojen sisäisestä turvallisuudesta vuonna 2002 annetun lain 222 §:n 5 momentti (Homeland Security Act – Public Law, 107‑296, 25.11.2002), jossa säädetään, että Chief Privacy Officerin on annettava vuosittain kongressille yksityisyyden suojaan vaikuttavasta sisäisen turvallisuuden ministeriön toiminnasta raportti, jossa esitetään mahdolliset valitukset yksityisyyden loukkauksista.
127 – Ks. sitoumusten alaviite 11, josta käy ilmi, että Chief Privacy Officer ”on itsenäinen suhteessa mihin tahansa sisäisen turvallisuuden ministeriön osastoon. Hän on lain mukaan velvoitettu huolehtimaan siitä, että henkilötietoja käytettäessä noudatetaan asiaankuuluvia lakeja – – . – – [kyseisen päävirkamiehen] ratkaisut sitovat ministeriötä, eikä niitä voi kumota poliittisin perustein”. Lisäksi täsmennän, että vaatimus, joka koskee mahdollisuutta saattaa valitus riippumattoman päätösvaltaisen elimen ratkaistavaksi, johtuu erityisesti Euroopan ihmisoikeustuomioistuimen asiassa Gaskin v. Yhdistynyt kuningaskunta 7.7.1989 antamasta tuomiosta (A‑sarja, nro 160, 49 kohta). Panen myös merkille, että Euroopan unionin perusoikeuskirjan 8 artiklan 3 kohdassa määrätään, että ”riippumaton viranomainen valvoo” siinä esitettyjen sääntöjen noudattamista.
128 – Ks. esim. asia C‑56/93, Belgia v. komissio, tuomio 29.2.1996 (Kok. 1996, s. I‑723, 86 kohta).
129 – Asia 204/86, Kreikka v. neuvosto, tuomio 27.9.1988 (Kok. 1988, s. 5323, Kok. Ep. IX, s. 689, 16 kohta) ja asia C‑65/93, parlamentti v. neuvosto, tuomio 30.3.1995 (Kok. 1995, s. I‑643, 23 kohta).
130 – Euroopan yhteisön ja Kolumbian, Costa Rican, Nicaraguan sekä Venezuelan välillä tehdyn banaaneja koskevan puitesopimuksen yhteensoveltuvuudesta perustamissopimuksen kanssa Saksan liittotasavallan pyynnöstä 13.12.1995 annettu lausunto (Kok. 1995, s. I‑4577).
131 – Lausunnon 21 kohta (kursivointi tässä).
132 – Lausunnon 22 kohta.