29.11.2005   

FI

Euroopan unionin virallinen lehti

C 298/1

1.

Euroopan tietosuojavaltuutettu (jäljempänä ”tietosuojavaltuutettu”) pitää myönteisenä sitä, että häntä on kuultu asetuksen (EY) N:o 45/2001 28 artiklan 2 kohdan mukaisesti. Asetuksen (EY) N:o 45/2001 28 artiklan 2 kohdan velvoittavan luonteen vuoksi tämä lausunto olisi kuitenkin mainittava direktiivin johdanto-osassa.

2.

Tietosuojavaltuutettu on tietoinen siitä, että jäsenvaltioiden lainvalvontaviranomaisten on tärkeää saada käyttöönsä kaikki tarvittavat oikeudelliset välineet erityisesti terrorismin ja muun vakavan rikollisuuden torjumiseksi. Se, että tiettyjä julkisten sähköisten palvelujen liikenne- ja paikkatietoja on asianmukaisesti saatavilla, voi tarjota kyseisille lainvalvontaviranomaisille keskeisen välineen ja lisätä henkilöiden fyysistä turvallisuutta. Olisi kuitenkin huomattava, ettei tämä ilman muuta merkitse sitä, että tarvittaisiin ehdotuksessa esitettyjä uusia välineitä.

3.

Selvää on myös se, että ehdotuksella on suuri vaikutus henkilötietojen suojaan. Jos ehdotusta tarkastellaan yksinomaan tietosuojan näkökulmasta, liikenne- ja paikkatietoja ei pitäisi lainkaan säilyttää lainvalvontaa varten. Direktiivissä 2002/58/EY vahvistetaan juuri tietosuojaan liittyvistä syistä oikeusperiaate, jonka mukaan liikennetiedot on poistettava heti kun niiden säilyttäminen ei ole enää välttämätöntä asianomaiseen viestintään liittyviä tarkoituksia varten (laskutus mukaan lukien). Tästä oikeusperiaatteesta voidaan poiketa vain tiukkojen edellytysten mukaisesti.

4.

Tietosuojavaltuutettu korostaa tässä lausunnossa ehdotuksen vaikutusta henkilötietojen suojaan. Tietosuojavaltuutettu ottaa myös huomioon sen, että vaikka ehdotus on tärkeä lainvalvontaviranomaisille, se ei saa johtaa siihen, että ihmisiltä riistetään heidän perusluonteinen oikeutensa yksityisyyden suojaan.

5.

Nämä huomautukset on pidettävä mielessä tarkasteltaessa tietosuojavaltuutetun lausuntoa. Tietosuojavaltuutettu pyrkii tasapainoiseen lähestymistapaan, jossa tietosuojaan puuttumisen tarpeellisuus ja oikeasuhteisuus ovat keskeisellä sijalla.

6.

Itse ehdotusta on tarkasteltava vastauksena Ranskan tasavallan, Irlannin, Ruotsin kuningaskunnan ja Yhdistyneen kuningaskunnan aloitteeseen puitepäätökseksi yleisesti saatavilla olevien sähköisen viestinnän palvelujen tarjoamiseen liittyvien ja sen yhteydessä käsiteltyjen ja tallennettujen tietojen ja julkisia viestintäverkkoja koskevien tietojen säilyttämisestä rikosten ja rikollisten tekojen, terrorismi mukaan lukien, tutkimiseksi, selvittämiseksi ja niistä syytteeseen asettamiseksi (jäljempänä ”puitepäätösehdotus”). Euroopan parlamentti hylkäsi tämän ehdotuksen kuulemismenettelyssä.

7.

Tietosuojavaltuutetulta ei ole pyydetty lausuntoa puitepäätösehdotuksesta, eikä hän ole antanut lausuntoa omasta aloitteestaan. Tietosuojavaltuutetun aikomuksena ei ole edelleenkään antaa lausuntoa puitepäätösehdotuksesta, mutta hän viittaa siihen tässä lausunnossa, kun hän katsoo sen aiheelliseksi.

8.

Tietosuojavaltuutettu pitää olennaisena, että ehdotuksessa noudatetaan perusoikeuksia. Yhteisön oikeuden ja erityisesti EY:n tuomioistuimen ja Euroopan ihmisoikeustuomioistuimen oikeuskäytännön takaamaa suojaa vahingoittava säädös ei ole hyväksyttävä, ja se olisi myös laiton. Yhteiskunnalliset olosuhteet ovat saattaneet muuttua terrori-iskujen seurauksena, mutta se ei saa johtaa siihen, että oikeusvaltiossa taattu korkeatasoinen suoja vaarantuu. Lainsäädäntö takaa suojan lainvalvonnan tosiasiallisista tarpeista riippumatta. Lisäksi oikeuskäytännössä sallitaan poikkeuksia, jos ne ovat tarpeen demokraattisessa yhteiskunnassa.

9.

Ehdotus vaikuttaa suoraan Euroopan ihmisoikeussopimuksen 8 artiklassa vahvistettuun suojaan. Euroopan ihmisoikeustuomioistuimen oikeuskäytännön mukaan:

10.

Euroopan unionin perustamisesta tehdyn sopimuksen 6 artiklan 2 kohdan mukaan unioni pitää arvossa perusoikeuksia, sellaisina kuin ne taataan Euroopan ihmisoikeussopimuksessa. Edellisessä kohdassa todettiin, että tietojen säilyttämisvelvollisuus kuuluu Euroopan ihmisoikeustuomioistuimen oikeuskäytännön mukaisesti Euroopan ihmisoikeussopimuksen 8 artiklan soveltamisalaan ja että tarvitaan Dudgeon-tuomion kriteerejä noudattavat painavat perusteet. Tietojen säilyttämisvelvollisuuden tarpeellisuus ja oikeasuhteisuus on osoitettava kattavasti.

11.

Ehdotuksella on myös suuri vaikutus yhteisön oikeudessa tunnustettuihin tietosuojaa koskeviin periaatteisiin:

12.

Lisäksi sekä yksityiselämän että henkilötietojen suojelu on tunnustettu Euroopan unionin perusoikeuskirjassa, kuten perusteluissa todetaan.

13.

Henkilötietojen suojeluun kohdistuvien vaikutusten selvittämiseksi ehdotus on analysoitava perusteellisesti. Edellä mainitut asiat huomioon ottaen tietosuojavaltuutettu toteaa tässä analyysissä, että suojatoimia on lisättävä. Pelkkä viittaus olemassa olevaan tietosuojaa koskevaan lainsäädäntöön (erityisesti direktiiveihin 95/46/EY ja 2002/58/EY) ei riitä.

14.

Tietosuojavaltuutettu palauttaa mieleen tietosuojatyöryhmän 9. marraskuuta 2004 päivätyt johtopäätökset puitepäätösehdotuksesta. Työryhmä katsoi, ettei liikennetietojen pakollinen säilyttäminen ole hyväksyttävää puitepäätösehdotuksen mukaisilla edellytyksillä. Tämä johtopäätös perustui mm. siihen, ettei tarvetta säilyttää tietoja yleiseen järjestykseen liittyvistä syistä pystytty perustelemaan, koska tutkimus osoitti, että suurin osa lainvalvontaviranomaisten pyytämistä liikennetiedoista oli korkeintaan kuuden kuukauden ajalta.

15.

Tietosuojavaltuutetun mielestä edellä mainitut tietosuojatyöryhmän näkemykset olisi otettava lähtökohdaksi arvioitaessa nyt käsiteltävää ehdotusta. Näkemyksiä ei voida kuitenkaan sellaisinaan yleistää koskemaan ehdotusta. On otettava huomioon, että olosuhteet voivat muuttua. Tietosuojavaltuutetun mielestä arvioinnissa olisi tärkeää ottaa huomioon seuraavat kehityspiirteet.

16.

Ensinnäkin on esitetty lukuja, jotka osoittavat, että lainvalvontaviranomaiset pyytävät käytännössä jopa vuoden vanhoja liikennetietoja. Komissio ja neuvoston puheenjohtaja pitävät tärkeänä Yhdistyneen kuningaskunnan poliisivoimien tutkimusta (8), jossa havaittiin, että 85 prosenttia poliisin pyytämistä liikennetiedoista oli alle kuusi kuukautta vanhoja mutta tietoja, joiden tuoreus vaihteli kuudesta kuukaudesta vuoteen, käytettiin vakavampiin rikoksiin liittyvissä monimutkaisissa tutkimuksissa. Tutkimuksessa esitettiin myös muutamia esimerkkitapauksia. Ehdotuksen mukainen tietojen säilytysaika — yksi vuosi puhelintietojen osalta — vastaa kyseistä lainvalvontaviranomaisten käytäntöä.

17.

Tietosuojavaltuutettu epäilee, riittävätkö nämä luvut perusteeksi liikennetietojen säilyttämiselle vuoden ajan. Se, että joissakin tapauksissa liikenne- ja/tai paikkatietojen saatavuus on auttanut selvittämään rikoksia, ei automaattisesti merkitse sitä, että kyseisiä tietoja tarvitaan (yleisesti) lainvalvonnan välineenä. Mainittuja lukuja ei silti voida jättää huomiotta. Ne ovat ainakin vakava yritys osoittaa, että tietojen säilyttäminen on tarpeellista. Lisäksi luvut osoittavat selvästi, etteivät nykyiset lainvalvontaviranomaisten käytännöt edellytä tietojen säilyttämistä vuotta kauempaa.

18.

Toiseksi palveluntarjoajat eivät aina käytä nykyisiäkään direktiivin 2002/58/EY suomia mahdollisuuksia säilyttää liikennetietoja laskutusta varten, koska yhä useammassa tapauksessa ei ole minkäänlaista tietojen säilytystä laskutusta varten (ennaltamaksetut puhelukortit, kiinteähintaiset liittymät jne.). Näissä tapauksissa — jotka ovat yleistyneet käytännössä — liikenne- ja paikkatietoja ei tallenneta, vaan ne poistetaan välittömästi viestinnän päätyttyä. Sama koskee epäonnistuneita kutsuja. Tämä voi vaikuttaa lainvalvonnan tehokkuuteen.

19.

Lisäksi televiestintäpalvelujen kehitys voi häiritä sisämarkkinoiden toimivuutta mm. siksi, että jäsenvaltiot toteuttavat (lähiaikoina) lainsäädännöllisiä toimenpiteitä direktiivin 2002/58/EY 15 artiklan nojalla. Esimerkiksi Italian hallitus antoi hiljattain asetuksen, jolla palveluntarjoajat velvoitetaan säilyttämään puhelutiedot neljän vuoden ajan. Tämä velvoite aiheuttaa suuria kustannuksia eräissä jäsenvaltioissa, muun muassa Italiassa.

20.

Kolmanneksi myös lainvalvontaviranomaisten työmenetelmät ovat kehittyneet: proaktiiviset tutkintatoimet ja teknisen tuen käyttö on lisääntynyt. Tämä kehitys edellyttää, että viranomaisilla on käytössään asianmukaiset ja täsmällisesti tarkoitukseensa suunnitellut välineet, joiden avulla ne voivat hoitaa työtehtävänsä noudattaen asianmukaisesti tietosuojaa koskevia periaatteita. Eräs jäsenvaltioiden viranomaisten käytössä oleva väline on pyynnöstä tapahtuva viestintätietojen tallentaminen tai jäädyttäminen konkreettisen tutkinnan yhteydessä. On väitetty, että tämä väline, joka sinällään vaikuttaa kyseisiin periaatteisiin vähemmän kuin nyt ehdotettu väline (tietojen säilyttäminen), ei ehkä aina riitä varsinkaan niiden terrorismiin tai muuhun vakavaan rikollisuuteen osallisena olevien henkilöiden jäljittämiseksi, joita ei ole aikaisemmin epäilty rikollisuudesta. Tarvitaan kuitenkin lisää tietoa, jotta voitaisiin selvittää, onko asia todella näin.

21.

Neljänneksi terrori-iskuista ollaan yhä huolestuneempia. Tietosuojavaltuutettu on yhtä mieltä tietojen säilyttämistä koskevissa ehdotuksissa esitettyjen näkemysten kanssa siitä, että fyysinen turvallisuus on ensisijainen asia. Yhteiskuntaa on suojeltava. Tästä syystä hallitusten on osoitettava yhteiskuntaa vastaan tehtyjen iskujen yhteydessä, että ne ottavat vakavasti huomioon tällaisen suojelun tarpeen, ja selvitettävä, onko niiden ryhdyttävä vastatoimiin toteuttamalla uusia lainsäädännöllisiä toimenpiteitä. Tietosuojavaltuutettu antaa tietysti täyden tukensa hallitusten tehtävälle suojella yhteiskuntaa — sekä kansallisella että Euroopan tasolla — ja näyttää, että ne tekevät suojelun varmistamiseksi kaiken tarvittavan, myös toteuttamalla uusia legitiimejä ja tehokkaita toimenpiteitä.

22.

Tietosuojavaltuutettu on tietoinen siitä, että olosuhteet ovat muuttuneet, mutta ei ole toistaiseksi vakuuttunut siitä, että liikenne- ja paikkatiedot olisi säilytettävä lainvalvontaa varten, kuten ehdotuksessa edellytetään. Tietosuojavaltuutettu pitää tärkeänä direktiivissä 2002/58/EY vahvistettua periaatetta, jonka mukaan liikennetiedot on poistettava, kun niitä ei enää tarvita viestinnän välittämiseen. Esitetyt luvut eivät myöskään todista, etteikö nykyinen lainsäädäntö tarjoaisi tarvittavia välineitä fyysisen turvallisuuden suojelemiseksi tai että jäsenvaltiot käyttäisivät täysipainoisesti yhteisön oikeuden niille antamaa toimivaltaa tehdä yhteistyötä nykyisen lainsäädännön puitteissa (vaikkakin ilman tarvittavia tuloksia).

23.

Jos Euroopan parlamentti ja neuvosto, punnittuaan huolellisesti asiaan liittyviä eri etunäkökohtia, päätyvät siihen ratkaisuun, että tarve säilyttää liikenne- ja paikkatiedot on osoitettu riittävästi, tietosuojavaltuutettu katsoo, että säilyttämistä voidaan perustella yhteisön oikeuden mukaan vain siinä tapauksessa, että noudatetaan suhteellisuusperiaatetta ja säädetään riittävät suojatoimet tämän lausunnon mukaisesti.

24.

Ehdotetun uuden lainsäädäntötoimen oikeasuhteisuus riippuu sen sisältämien säännösten asiasisällöstä: vastaako se riittävästi ja oikeassa suhteessa yhteiskunnan tarpeita?

25.

Ensimmäisenä tekijänä mainittiin ehdotuksen riittävyys: onko odotettavissa, että ehdotuksella lisättäisiin Euroopan unionissa asuvien fyysistä turvallisuutta? Eräs julkisessa keskustelussa usein mainittu syy epäillä ehdotuksen riittävyyttä on, että liikenne- ja paikkatiedot eivät aina liity tiettyyn henkilöön. Esimerkiksi puhelinnumeron (tai IP-numeron) selvittäminen ei välttämättä paljasta henkilöllisyyttä. Toinen ja jopa vakavampi epäilyksenaihe on, pystyykö poliisi löytämään helposti tietyssä tapauksessa etsimänsä tiedon valtavista tietokannoista.

26.

Tietosuojavaltuutettu katsoo, ettei pelkkä liikenne- ja paikkatietojen säilyttäminen sinällään ole riittävä tai toimiva ratkaisu. Tarvitaan myös muita toimenpiteitä, joilla varmistetaan, että viranomaiset saavat suoraan ja nopeasti tietyssä tapauksessa tarvittavat tiedot. Tietojen säilyttäminen on riittävä ja toimiva ratkaisu vain siinä tapauksessa, että on olemassa tehokkaita hakuohjelmia.

27.

Toinen tekijä on ehdotuksen oikeasuhteisuus. Jotta ehdotus olisi oikeasuhteinen, siinä olisi

28.

Tietosuojavaltuutettu pitää tärkeänä, että tietojen saatavuutta rajoitetaan tiukasti riittävillä suojatoimilla. Koska edellisessä kohdassa mainitut kolme tekijää ovat niin tärkeitä, tietosuojavaltuutettu katsoo, etteivät jäsenvaltiot saa niiden osalta toteuttaa kansallisia lisätoimenpiteitä, jotka vaarantaisivat oikeasuhteisuuden. Tätä yhdenmukaistamisen tarvetta tarkastellaan IV osassa.

29.

Ehdotuksen seurauksena palveluntarjoajat ottavat käyttöön tietokantoja, joihin tallennetaan suuret määrät liikenne- ja paikkatietoja.

30.

Ehdotuksella on ensinnäkin varmistettava, että tietojen saatavuus ja myöhempi käyttö rajoitetaan määrättyihin olosuhteisiin ja tiettyihin käyttötarkoituksiin.

31.

Toiseksi tietokannat on suojattava riittävästi (tietoturva). Sitä varten on varmistettava, että tiedot poistetaan tehokkaasti säilytysajan päätyttyä. Tietojen tarkoituksetonta kasaamista (”dumping of data”) tai hyväksikäyttöä ei pitäisi sallia. Tarvitaan siis korkeatasoinen tietoturva ja riittävät tekniset ja organisatoriset suojatoimet.

32.

Korkeatasoisen tietoturvan tekee entistäkin tärkeämmäksi se, että tietojen pelkkä olemassaolo saattaisi johtaa siihen, että ainakin seuraavat kolme sidosryhmää vaatisivat pääsyä tietoihin ja oikeutta käyttää niitä:

33.

Tiedustelupalvelujen tiedonsaantioikeuden osalta tietosuojavaltuutettu toteaa, että SEU:n 33 artiklan ja EY:n perustamissopimuksen 64 artiklan mukaan kolmannen pilarin ja ensimmäisen pilarin alaan kuuluvilla toimilla ei rajoiteta niiden velvollisuuksien hoitamista, joita jäsenvaltioilla on yleisen järjestyksen ylläpitämiseksi sekä sisäisen turvallisuuden suojaamiseksi. Tietosuojavaltuutettu katsoo, ettei Euroopan unionilla ole näiden määräysten nojalla toimivaltaa valvoa turvallisuus- ja tiedustelupalvelujen pääsyä palveluntarjoajien säilyttämiin tietoihin. Euroopan unionin lainsäädäntö ei toisin sanoen vaikuta tiedustelupalvelujen oikeuteen tutustua palveluntarjoajien liikenne- ja paikkatietoihin eikä siihen, miten ne käyttävät saamiaan tietoja. Tämä näkökohta on otettava huomioon arvioitaessa ehdotusta. Jäsenvaltioiden olisi toteutettava tarvittavat toimenpiteet, joilla säännellään tiedustelupalvelujen oikeutta saada tietoja.

34.

Kolmanneksi edellisissä kohdissa käsitellyillä vaikutuksilla voi olla merkitystä myös rekisteröityjen kannalta. Tarvitaan lisäsuojatoimia, joilla voidaan varmistaa, että rekisteröity voi yksinkertaisesti ja nopeasti käyttää rekisteröidyn oikeuksiaan. Tietosuojavaltuutettu huomauttaa, että tietojen saatavuutta ja käyttöä on valvottava tehokkaasti, ja valvonnan olisi mieluiten oltava jäsenvaltioiden oikeusviranomaisten tehtävänä. Suojatoimia olisi sovellettava myös silloin, kun muiden jäsenvaltioiden viranomaiset voivat tutustua liikennetietoihin ja käyttää niitä.

35.

Tietosuojavaltuutettu viittaa tässä yhteydessä uusiin aloitteisiin tietosuojaa koskevaksi uudeksi lainsäädännöksi, jota sovellettaisiin lainvalvontaviranomaisiin (SEU:n kolmannen pilarin alalla). Hänen mielestään tällainen lainsäädäntö edellyttää lisäsuojatoimia, eikä siinä voida vain vahvistaa uudelleen ensimmäisen pilarin alaan kuuluvia tietosuojan yleisiä periaatteita. (9)

36.

Neljänneksi suojatoimien riittävyys on suorassa suhteessa niiden kustannuksiin. Asianmukaisen tietojen säilyttämistä koskevan lainsäädännön on siten sisällettävä kannustimia, joilla palveluntarjoajat saadaan investoimaan tekniseen infrastruktuuriin. Tällainen kannustin voisi olla esimerkiksi se, että palveluntarjoajille korvataan riittävistä suojatoimista aiheutuvat lisäkustannukset.

37.

Riittävät suojatoimet voidaan tiivistää seuraavasti:

38.

Ehdotus perustuu EY:n perustamissopimuksen ja erityisesti sen 95 artiklaan, ja sen tarkoituksena on 1 artiklan mukaan yhdenmukaistaa kyseiset palveluntarjoajien velvoitteet liikenne- ja paikkatietojen käsittelyn ja säilyttämisen osalta. Artiklassa säädetään, että tietoja annetaan ainoastaan toimivaltaisille kansallisille viranomaisille yksittäisissä rikostapauksissa. Täsmällisempi käyttötarkoituksen sekä tietojen saatavuuden ja käytön määrittely jätetään kuitenkin jäsenvaltioille, ja ottaen huomioon olemassa olevassa yhteisön tietosuojalainsäädännössä säädetyt suojatoimet.

39.

Tässä mielessä ehdotus on soveltamisalaltaan rajoitetumpi kuin puitepäätösehdotus, jonka perustana on SEU:n 31 artiklan 1 kohdan c alakohta ja joka sisältää enemmän säännöksiä, jotka koskevat säilytettävien tietojen saatavuutta sekä muista jäsenvaltioista tulevia tiedonsaantipyyntöjä. Ehdotuksen perusteluissa selvitetään, miksi ehdotuksen soveltamisalaa on rajoitettu. Perustelujen mukaan lainvalvontaviranomaisten oikeus tutustua tietoihin ja tietojen vaihto lainsäädäntöviranomaisten välillä on EY:n perustamissopimuksen soveltamisalan ulkopuolella oleva asia.

40.

Tämä ehdotuksen perusteluissa esitetty väite ei vakuuta tietosuojavaltuutettua. EY:n perustamissopimuksen 95 artiklaan (sisämarkkinat) perustuvan yhteisön toiminnan päätavoitteena on oltava kaupan esteiden poistaminen. Tuomioistuimen oikeuskäytännön mukaan tällaisen toiminnan on oltava todellisuudessa sellaista, että se edistää kaupan esteiden poistamista. Yhteisön lainsäätäjän on kuitenkin varmistettava toiminnassaan perusoikeuksien kunnioittaminen (SEU:n 6 artiklan 2 kohta; ks. tämän lausunnon II osa). Siitä huolimatta voi käydä niin, että kun yhteisön tasolla otetaan käyttöön tietojen säilyttämistä koskevat säännöt sisämarkkinoiden etujen suojaamiseksi, se voi edellyttää, että myös perusoikeuksien kunnioittamista on käsiteltävä yhteisön tasolla. Jos yhteisön lainsäätäjä ei voisi laatia tietojen saatavuutta ja käyttöä koskevia sääntöjä, se ei voisi täyttää SEU:n 6 artiklan mukaista velvoitettaan, koska viimeksi mainitut säännöt ovat välttämättömiä sen varmistamiseksi, että tietojen säilyttämisessä noudatetaan asianmukaisesti perusoikeuksia. Tietosuojavaltuutettu katsoo toisin sanoen, ettei tietojen saatavuutta, käyttöä ja vaihtoa koskevia sääntöjä voida erottaa itse tietojen säilyttämistä koskevasta velvoitteesta.

41.

Tietosuojavaltuutettu myöntää, että toimivaltaisten viranomaisten nimeäminen on jäsenvaltioiden tehtävä, samoin kuin lainvalvonnan ja oikeussuojan järjestäminen. Yhteisön säädöksellä voidaan kuitenkin asettaa jäsenvaltioille toimivaltaisten viranomaisten nimeämistä, oikeudellista valvontaa tai oikeussuojan saatavuutta koskevia ehtoja. Näillä säännöksillä varmistetaan, että kansallisella tasolla on olemassa asianmukaiset menettelyt, joilla taataan säädöksen täysi toimivuus mm. siltä osin, että se noudattaa täysin tietosuojalainsäädäntöä.

42.

Tietosuojavaltuutettu tuo esiin vielä yhden oikeusperustaan liittyvän asian. Yhteisön lainsäätäjä voi valita asianmukaisen oikeusperustan ja sen myötä asianmukaisen lainsäädäntömenettelyn. Tämä valinta ei kuulu tietosuojavaltuutetun toimivaltaan. Koska kyseessä on kuitenkin hyvin tärkeä aihe, tietosuojavaltuutettu puoltaa tässä yhteydessä vahvasti yhteispäätösmenettelyä. Vain tässä menettelyssä on avoin päätöksentekoprosessi, johon kaikki kolme asianomaista toimielintä osallistuvat täysipainoisesti ja jossa noudatetaan asianmukaisesti unionin perustana olevia periaatteita.

43.

Direktiiviehdotuksessa yhdenmukaistetaan säilytettävät tietotyypit, tietojen säilyttämisajat ja tarkoitukset, joita varten tietoja voidaan antaa toimivaltaisille viranomaisille. Ehdotuksen pyrkimyksenä on yhdenmukaistaa nämä seikat täydellisesti. Siinä mielessä se on luonteeltaan täysin erilainen kuin puitepäätösehdotus, jossa asetetaan vähimmäissäännöt.

44.

Tietosuojavaltuutettu korostaa, että mainitut seikat on yhdenmukaistettava täydellisesti paitsi sisämarkkinoiden toimivuutta ja lainvalvonnan tarpeita silmällä pitäen myös Euroopan ihmisoikeussopimuksen ja tietosuojaa koskevien periaatteiden noudattamiseksi.

45.

Sisämarkkinoiden toimivuuden osalta tietojen säilyttämistä koskevien velvoitteiden yhdenmukaistaminen on perusteena sille, että ehdotuksen oikeusperustaksi on valittu EY:n perustamissopimuksen 95 artikla. Jos jäsenvaltioiden lainsäännöissä sallittaisiin keskinäisiä eroavuuksia, ei voitaisi poistaa sähköisen viestinnän sisämarkkinoilla esiintyviä häiriöitä, jotka johtuvat mm. siitä, että jäsenvaltiot toteuttavat (lähiaikoina) lainsäädännöllisiä toimenpiteitä direktiivin 2002/58/EY 15 artiklan nojalla (ks. tämän lausunnon 19 kohta).

46.

Tämä on entistä tärkeämpää siksi, että huomattava osa sähköisestä viestinnästä kuuluu useamman kuin yhden jäsenvaltion lainkäyttöalueeseen. Muutama havainnollinen esimerkki: rajatylittävät puhelut, sijainnin seuranta, rajan ylittäminen matkapuhelun aikana ja palveluntarjoajan käyttö muussa jäsenvaltiossa kuin asianomaisen henkilön kotimaassa.

47.

Jos velvoitteita ei tältä osin yhdenmukaistettaisi, se haittaisi myös lainvalvontaa, koska toimivaltaisten viranomaisten on täytettävä erilaiset lakisääteiset vaatimukset. Se voisi estää tietojenvaihdon jäsenvaltioiden viranomaisten välillä.

48.

Lopuksi tietosuojavaltuutettu korostaa, viitaten asetuksen (EY) N:o 45/2001 41 artiklassa vahvistettuihin tehtäviinsä, että ehdotuksen keskeisten seikkojen täydellinen yhdenmukaistaminen on välttämätöntä Euroopan ihmisoikeussopimuksen ja tietosuojaa koskevien periaatteiden noudattamiseksi. Jokaisessa lainsäädännöllisessä toimenpiteessä, jolla velvoitetaan säilyttämään liikenne- ja paikkatiedot, on rajattava selkeästi säilytettävien tietojen määrä, säilytysajat sekä tietojen saatavuus ja myöhempi käyttö eri tarkoituksiin, jotta se olisi hyväksyttävä tietosuojan näkökulmasta ja vastaisi tarpeellisuuden ja oikeasuhteisuuden vaatimuksia.

49.

3 artikla on ehdotuksen keskeinen säännös. 3 artiklan 1 kohdassa velvoitetaan säilyttämään liikenne- ja paikkatiedot, ja 3 artiklan 2 kohdassa vahvistetaan käyttötarkoituksen rajoittamisen periaate. 3 artiklan 2 kohdassa asetetaan kolme tärkeätä rajoitusta. Säilytettäviä tietoja annetaan vain

3 artiklan 2 kohdassa viitataan jäsenvaltioiden kansalliseen lainsäädäntöön lisärajoitteiden määrittelyn osalta.

50.

Tietosuojavaltuutettu pitää 3 artiklan 2 kohtaa tärkeänä säännöksenä, mutta hänen mielestään rajoitukset eivät ole riittävän täsmällisiä, tietojen saatavuutta ja myöhempää käyttöä olisi säänneltävä nimenomaisesti direktiivillä ja tarvitaan lisäsuojatoimia. Kuten tämän lausunnon III osassa todettiin, tietosuojavaltuutettu suhtautuu epäilevästi siihen väitteeseen, että liikenne- ja paikkatietojen saatavuutta ja myöhempää käyttöä koskevien (täsmällisten) säännösten jättäminen direktiivin ulkopuolelle johtuu suoraan ehdotuksen oikeusperustasta (EY:n perustamissopimuksen 95 artikla). Seuraavat huomautukset koskevat tätä asiaa.

51.

Ensinnäkään ehdotuksessa ei ole täsmennetty, ettei muilla sidosryhmillä, kuten palveluntarjoajalla itsellään, ole oikeutta tutustua tietoihin. Direktiivin 2002/58/EY 6 artiklan mukaan palveluntarjoajien sallitaan käsitellä liikennetietoja ainoastaan sen ajanjakson loppuun asti, jona tietoja säilytetään laskutusta varten. Tietosuojavaltuutetun mukaan palveluntarjoajien tai muiden sidosryhmien oikeutta tutustua tietoihin voidaan perustella vain direktiivin 2002/58/EY mukaisella tietojen saatavuudella ja ottaen huomioon kyseisessä direktiivissä olevat ehdot.

52.

Tietosuojavaltuutettu suosittelee, että tekstiin lisätään säännös, jolla varmistetaan, että muut henkilöt kuin toimivaltaiset viranomaiset eivät saa tutustua tietoihin. Säännös voitaisiin muotoilla seuraavasti: ”tietoihin voidaan tutustua ja/tai niitä voidaan käsitellä ainoastaan 3 artiklan 2 kohdassa mainittuja tarkoituksia varten” tai ”palveluntarjoajien on taattava tehokkaasti, että tietoihin voivat tutustua vain toimivaltaiset viranomaiset”.

53.

Toiseksi tietojen saatavuuden rajaaminen erityistapauksiin estänee tavanomaisen tietojen kalastelun tai louhinnan. Ehdotuksen tekstissä olisi kuitenkin mainittava erityisesti, että tietoja voidaan antaa vain, jos niitä tarvitaan tietyn rikoksen yhteydessä.

54.

Kolmanneksi tietosuojavaltuutettu pitää myönteisenä sitä, että tietojen käyttötarkoitus on rajattu koskemaan vakavaa rikollisuutta, kuten terrorismia ja järjestäytynyttä rikollisuutta. Muissa, vähemmän vakavissa tapauksissa pääsyä liikenne- ja paikkatietoihin ei ole helppo toteuttaa oikeasuhteisesti. Tietosuojavaltuutettu epäilee kuitenkin, onko kyseinen rajoitus riittävän täsmällinen, erityisesti silloin, kun tietoja pyydetään muun vakavan rikollisuuden kuin terrorismin ja järjestäytyneen rikollisuuden yhteydessä. Käytännöt tulevat vaihtelemaan jäsenvaltioissa. Tietosuojavaltuutettu korosti tämän lausunnon IV osassa, että ehdotuksen keskeiset seikat on yhdenmukaistettava täydellisesti. Tietosuojavaltuutettu suosittelee näin ollen, että tietojen antaminen rajataan koskemaan tiettyjä vakavia rikoksia.

55.

Neljänneksi ehdotuksessa ei, toisin kuin puitepäätösehdotuksessa, ole tietojen saatavuutta koskevaa säännöstä. Tietosuojavaltuutetun mukaan tietojen saatavuutta ja myöhempää käyttöä ei pitäisi jättää direktiivissä vaille huomiota. Ne ovat erottamaton osa direktiivin asiasisältöä (ks. tämän lausunnon III osa).

56.

Tietosuojavaltuutettu suosittelee, että ehdotukseen lisätään yksi tai useampia artikloja, jotka koskevat toimivaltaisten viranomaisten pääsyä tietoihin ja tietojen myöhempää käyttöä. Artiklojen tavoitteena olisi oltava, että tietoja käytetään ainoastaan 3 artiklan 2 kohdassa tarkoitettuihin tarkoituksiin, että viranomaiset varmistavat saamiensa tietojen laadun, luottamuksellisuuden ja turvallisuuden ja että tiedot poistetaan, kun niitä ei enää tarvita tietyn rikoksen ehkäisemistä, tutkimista, selvittämistä ja siitä syytteeseen asettamista varten. Lisäksi olisi säädettävä, että tietojen saatavuutta olisi tietyissä tapauksissa valvottava oikeudellisesti jäsenvaltioissa.

57.

Viidenneksi ehdotuksessa ei ole tietosuojaa koskevia lisäsuojatoimia. Johdanto-osan kappaleissa vain viitataan nykyisessä lainsäädännössä, erityisesti direktiivissä 95/46/EY ja direktiivissä 2002/58/EY, oleviin suojatoimiin. Tietosuojavaltuutettu ei hyväksy sitä, että tietosuojan osalta noudatetaan tällaista rajoitettua lähestymistapaa, vaikka (lisä)suojatoimet ovat erityisen tärkeitä (ks. tämän lausunnon II osa).

58.

Tietosuojavaltuutettu suosittelee näin ollen, että ehdotukseen sisällytetään tietosuojaa koskeva kohta. Tähän kohtaan voitaisiin sisällyttää edellä mainitut 3 artiklan 2 kohtaa koskevat suositukset ja muita tietosuojaa koskevia säännöksiä, kuten rekisteröidyn oikeuksien käyttöä (ks. tämän lausunnon II osa), tietojen laatua ja tietoturvaa sekä muiden kuin rikoksista epäiltyjen liikenne- ja paikkatietoja koskevia säännöksiä.

59.

Tietosuojavaltuutettu suhtautuu yleisesti ottaen myönteisesti tähän artiklaan ja liitteeseen seuraavista syistä:

60.

Tietosuojavaltuutettu suosittelee seuraavia muutoksia:

61.

Tietosuojavaltuutettu pitää myönteisenä sitä, että ehdotuksen säilytysajat ovat huomattavasti lyhyempiä kuin puitepäätösehdotuksessa:

62.

Tekstissä olisi täsmennettävä seuraavat asiat:

63.

Tämä artikla liittyy läheisesti 3 artiklan 2 kohtaan ja sisältää tärkeän säännöksen, jolla voidaan varmistaa, että saatavuus voidaan erityistapauksissa rajoittaa niihin tietoihin, joita erityisesti tarvitaan. 8 artiklassa ja 3 artiklan 2 kohdassa edellytetään, että palveluntarjoajat toimittavat pyydetyt tiedot viranomaisille ja ettei viranomaisilla ole suoraa pääsyä tietokantoihin. Tietosuojavaltuutettu suosittelee, että tämä edellytys ilmaistaan tekstissä suorasanaisesti.

64.

Tietojen antamista olisi täsmennettävä seuraavasti:

65.

Palveluntarjoajille asetettu velvoite laatia vuosittain tilastoja auttaa yhteisön toimielimiä seuraamaan, miten tehokkaasti ehdotus pannaan täytäntöön ja miten sitä sovelletaan. Asianmukaista tietoa tarvitaan.

66.

Tietosuojavaltuutetun mielestä tällä velvoitteella toteutetaan avoimuusperiaatetta. Euroopan kansalaisella on oikeus tietää, miten tehokasta säilyttäminen on. Tästä syystä palveluntarjoaja olisi myös velvoitettava pitämään luetteloa tietojen käytöstä ja suorittamaan säännöllisesti (sisäisiä) tarkastuksia, jotta kansalliset tietosuojaviranomaiset voisivat valvoa tietosuojaa koskevien sääntöjen soveltamista käytännössä (11). Ehdotusta olisi muutettava tältä osin.

67.

Kuten II osassa todettiin, suojatoimien riittävyys on suorassa suhteessa niiden kustannuksiin, eli turvallisuus on suorassa suhteessa kustannuksiin. Tietosuojavaltuutettu pitää näin ollen 10 artiklaa — jossa säädetään osoitettujen lisäkustannusten korvaamisesta — tärkeänä säännöksenä, jolla voitaisiin kannustaa palveluntarjoajia investoimaan tekniseen infrastruktuuriin.

68.

Komission tietosuojavaltuutetulle esittämän vaikutusarvioinnin mukaan tietojen säilyttämisestä aiheutuu huomattavat kustannukset. Suuren verkoston ja palveluntarjoajan kustannukset olisivat yli 150 miljoonaa euroa 12 kuukauden säilytysajalta ja vuosittaiset toimintakustannukset noin 50 miljoonaa euroa. (12) Lukuja ei kuitenkaan ole saatavilla lisäsuojatoimien, kuten kalliiden hakuohjelmien (ks. 6 artiklaa koskeva huomautus), kustannuksista tai siitä, mitkä olisivat (todennäköiset) rahoitukselliset seuraukset, jos lisäsuojatoimet korvattaisiin täysin palveluntarjoajille.

69.

Tietosuojavaltuutetun mielestä tarvitaan tarkemmat luvut ehdotuksen arvioimiseksi koko laajuudessaan. Tietosuojavaltuutettu ehdottaa, että ehdotuksen rahoituksellisia seurauksia täsmennetään perusteluissa.

70.

10 artiklassa olisi täsmennettävä suojatoimien riittävyyden ja kustannusten välinen suhde. Ehdotuksessa olisi asetettava myös palveluntarjoajien suojatoimia koskevat vähimmäisvaatimukset, joiden perusteella palveluntarjoajat saisivat oikeuden jäsenvaltioiden maksamaan korvaukseen. Tietosuojavaltuutetun mielestä näiden vaatimusten määrittelyä ei voida jättää täysin jäsenvaltioiden tehtäväksi. Se voisi rajoittaa direktiivin tavoitteena olevan yhdenmukaistamisen laajuutta. Lisäksi olisi otettava huomioon, että jäsenvaltiot vastaavat korvaamisen rahoituksellisista seurauksista.

71.

Ehdotuksen suhdetta direktiivin 2002/58/EY 15 artiklan 1 kohtaan olisi täsmennettävä, koska ehdotus vie suuren osan kyseisen säännöksen sisällöstä. Direktiivin 2002/58/EY 15 artiklan 1 kohdassa olevat viittaukset (saman direktiivin) 6 ja 9 artiklaan olisi poistettava tai niitä olisi ainakin muutettava täsmentämällä, että jäsenvaltioilla ei enää ole toimivaltaa antaa ehdotukseen liittyviä rikoksia koskevaa lainsäädäntöä. Ehdotuksesta on poistettava kaikki niiden jäljellä oleviin valtuuksiin liittyvät epäselvyydet, kuten esimerkiksi tietojen säilyttäminen ”muuhun kuin” vakavaan rikollisuuteen liittyviin tarkoituksiin.

72.

Tietosuojavaltuutettu pitää myönteisenä, että ehdotuksessa on artikla, joka koskee direktiivin arviointia kolmen vuoden kuluessa direktiivin voimaantulosta. Arviointi on sitäkin tärkeämpää, kun ajatellaan ehdotuksen tarpeellisuutta koskevia epäilyksiä ja ehdotuksen oikeasuhteisuutta.

73.

Tietosuojavaltuutettu suosittelee tältä osin vielä tiukempaa velvoitetta, joka sisältää seuraavat asiat:

74.

Tietosuojavaltuutettu pitää olennaisena, että ehdotuksessa noudatetaan perusoikeuksia. Yhteisön oikeuden ja erityisesti EY:n tuomioistuimen ja Euroopan ihmisoikeustuomioistuimen oikeuskäytännön takaamaa suojaa vahingoittava säädös ei ole hyväksyttävä, ja se olisi myös laiton.

75.

Tietojen säilyttämisvelvollisuuden tarve ja oikeasuhteisuus on osoitettava kattavasti.

76.

Tarpeen osalta tietosuojavaltuutettu myöntää, että olosuhteet ovat muuttuneet, mutta ei ole toistaiseksi vakuuttunut siitä, että liikenne- ja paikkatiedot olisi säilytettävä lainvalvontaa varten, kuten ehdotuksessa edellytetään.

77.

Tietosuojavaltuutettu esittää kuitenkin tässä lausunnossa näkemyksensä ehdotuksen oikeasuhteisuudesta. Hän katsoo ensinnäkin, ettei pelkkä liikenne- ja paikkatietojen säilyttäminen sinällään ole asianmukainen tai toimiva ratkaisu. Tarvitaan myös muita toimenpiteitä, joilla varmistetaan, että viranomaiset saavat suoraan ja nopeasti tietyssä tapauksessa tarvittavat tiedot. Toiseksi ehdotuksessa olisi

78.

Tietosuojavaltuutettu pitää tärkeänä, että ehdotuksen nykyisessä tekstissä edellytetään, että ehdotuksen keskeiset seikat, erityisesti säilytettävät tietotyypit, tietojen säilytysajat sekä tietojen saatavuus ja myöhempi käyttö eri tarkoituksiin, yhdenmukaistetaan täydellisesti.

79.

Tekstiä on täsmennettävä joiltakin osin, esimerkiksi on varmistettava, että tiedot poistetaan asianmukaisesti säilytysajan jälkeen ja että estetään tehokkaasti eri sidosryhmiä saamasta ja käyttämästä tietoja.

80.

Tietosuojavaltuutettu katsoo, että seuraavat kohdat ovat olennaisia, jotta ehdotus olisi hyväksyttävä tietosuojan näkökulmasta:

81.

3 artiklan 2 kohta:

82.

4 ja 5 artikla:

83.

7 artiklan tekstissä olisi täsmennettävä seuraavaa:

84.

8 artiklan tekstissä olisi täsmennettävä seuraavaa:

85.

9 artikla:

86.

10 artikla:

87.

11 artikla:

88.

12 artikla, muutosehdotus arviointia koskevaan säännökseen: