Yhdistetyt asiat C-317/04 ja C-318/04
Euroopan parlamentti
vastaan
Euroopan unionin neuvosto
ja
Euroopan yhteisöjen komissio
Yksilöiden suojelu henkilötietojen käsittelyssä – Lentoliikenne – Päätös 2004/496/EY – Euroopan yhteisön ja Amerikan yhdysvaltojen välinen sopimus – Yhdysvaltojen tulli- ja rajavartiolaitokselle toimitettavat lentomatkustajia koskevat matkustajarekisteritiedot – Direktiivi 95/46/EY – 25 artikla – Kolmannet valtiot – Päätös 2004/535/EY – Suojan riittävä taso
Julkisasiamies P. Léger’n ratkaisuehdotus 22.11.2005
Yhteisöjen tuomioistuimen tuomio (suuri jaosto) 30.5.2006
Tuomion tiivistelmä
1. Jäsenvaltioiden lainsäädännön lähentäminen – Direktiivi 95/46 – Soveltamisala
(Euroopan parlamentin ja neuvoston direktiivin 95/46 3 artiklan 2 kohta; komission päätös 2004/535)
2. Kansainväliset sopimukset – Sopimusten tekeminen – EY:n ja Yhdysvaltojen välinen sopimus, joka koskee lentomatkustajia koskevien matkustajarekisteritietojen käsittelemistä ja niiden siirtämistä Yhdysvaltojen tulli- ja rajavartiolaitokselle
(EY 95 artikla; Euroopan parlamentin ja neuvoston direktiivin 95/46 3 artiklan 2 kohta ja 25 artikla; neuvoston päätös 2004/496)
1. Yhdysvaltojen tulli- ja rajavartiolaitokselle toimitettavien lentomatkustajia koskevaan matkustajarekisteriin sisältyvien henkilötietojen suojan riittävästä tasosta tehty päätös 2004/535 koskee henkilötietojen käsittelyä, joka koskee yleistä turvallisuutta ja rikosoikeuden alalla tapahtuvaa valtion toimintaa; tällainen käsittely, joka on suljettu yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta annetun direktiivin 95/46 soveltamisalan ulkopuolelle kyseisen direktiivin 3 artiklan 2 kohdan ensimmäisen luetelmakohdan nojalla.
Tältä osin se seikka, että yksityiset toimijat keräävät henkilötiedot kaupalliseen tarkoitukseen ja järjestävät kyseisten tietojen siirron kolmanteen valtioon, ei vaikuta tällaiseen päätelmään, koska tämä siirto tapahtuu julkishallinnon asettamissa puitteissa, jotka liittyvät yleiseen turvallisuuteen, ja koska kyseinen siirto ei ole tarpeen mainittujen toimijoiden suorittamassa palvelujen tarjoamisessa.
(ks. 56–59 kohta)
2. Lentoyhtiöiden PNR-tietojen (Passenger Name Records) käsittelemistä ja siirtämistä Yhdysvaltojen sisäisen turvallisuuden ministeriön alaiselle tulli- ja rajavalvontalaitokselle koskevan Euroopan yhteisön ja Amerikan yhdysvaltojen välisen sopimuksen tekemisestä tehtyä päätöstä 2004/496 ei voitu tehdä pätevästi EY 95 artiklan, luettuna yhdessä yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta annetun direktiivin 95/46 25 artiklan kanssa, perusteella.
Sopimus nimittäin koskee tietojen käsittelyä, joka on suljettu direktiivin 95/46 soveltamisalan ulkopuolelle kyseisen direktiivin 3 artiklan 2 kohdan ensimmäisen luetelmakohdan nojalla, koska tämä käsittely koskee yleistä turvallisuutta ja rikosoikeuden alalla tapahtuvaa valtion toimintaa.
(ks. 67–69 kohta)
YHTEISÖJEN TUOMIOISTUIMEN TUOMIO (suuri jaosto)
30 päivänä toukokuuta 2006 (*)
Yksilöiden suojelu henkilötietojen käsittelyssä – Lentoliikenne – Päätös 2004/496/EY – Euroopan yhteisön ja Amerikan yhdysvaltojen välinen sopimus – Yhdysvaltojen tulli- ja rajavartiolaitokselle toimitettavat lentomatkustajia koskevat matkustajarekisteritiedot – Direktiivi 95/46/EY – 25 artikla – Kolmannet valtiot – Päätös 2004/535/EY – Suojan riittävä taso
Yhdistetyissä asioissa C-317/04 ja C-318/04,
joissa on kyse EY 230 artiklaan perustuvista kumoamiskanteista, jotka on nostettu 27.7.2004,
Euroopan parlamentti, asiamiehinään R. Passos, N. Lorenz, H. Duintjer Tebbens ja A. Caiola, prosessiosoite Luxemburgissa,
kantajana,
jota tukee
Euroopan tietosuojavaltuutettu, asiamiehinään H. Hijmans ja V. Perez Asinari,
väliintulijana,
vastaan
Euroopan unionin neuvosto, asiamiehinään M. C. Giorgi Fort ja M. Bishop,
vastaajana asiassa C-317/04,
jota tukevat
Euroopan yhteisöjen komissio, asiamiehinään P. J. Kuijper, A. van Solinge ja C. Docksey, prosessiosoite Luxemburgissa, ja
Ison-Britannian ja Pohjois-Irlannin yhdistynyt kuningaskunta, asiamiehinään M. Bethell, C. White ja T. Harris, avustajanaan barrister T. Ward, prosessiosoite Luxemburgissa,
väliintulijoina,
ja
Euroopan yhteisöjen komissio, asiamiehinään P. J. Kuijper, A. van Solinge, C. Docksey ja F. Benyon, prosessiosoite Luxemburgissa,
vastaajana asiassa C-318/04,
jota tukee
Ison-Britannian ja Pohjois-Irlannin yhdistynyt kuningaskunta, asiamiehinään M. Bethell, C. White ja T. Harris, avustajanaan barrister T. Ward, prosessiosoite Luxemburgissa,
väliintulijana,
YHTEISÖJEN TUOMIOISTUIN (suuri jaosto),
toimien kokoonpanossa: presidentti V. Skouris, jaostojen puheenjohtajat P. Jann, C. W. A. Timmermans, A. Rosas ja J. Malenovský sekä tuomarit N. Colneric (esittelevä tuomari), S. von Bahr, J. N. Cunha Rodrigues, R. Silva de Lapuerta, G. Arestis, A. Borg Barthet, M. Ilešič ja J. Klučka,
julkisasiamies: P. Léger,
kirjaaja: johtava hallintovirkamies M. Ferreira,
ottaen huomioon kirjallisessa käsittelyssä ja 18.10.2005 pidetyssä istunnossa esitetyn,
kuultuaan julkisasiamiehen 22.11.2005 pidetyssä istunnossa esittämän ratkaisuehdotuksen,
on antanut seuraavan
tuomion
1 Euroopan parlamentti vaatii kanteessaan asiassa C-317/04, että lentoyhtiöiden PNR-tietojen käsittelemistä ja siirtämistä Yhdysvaltojen sisäisen turvallisuuden ministeriön alaiselle tulli- ja rajavalvontalaitokselle koskevan Euroopan yhteisön ja Amerikan yhdysvaltojen välisen sopimuksen tekemisestä 17 päivänä toukokuuta 2004 tehty neuvoston päätös 2004/496/EY (EUVL L 183, s. 83 ja oikaisu EUVL 2005, L 255, s. 168) kumotaan.
2 Parlamentti vaatii kanteessaan asiassa C-318/04, että Yhdysvaltojen tulli- ja rajavartiolaitokselle toimitettavien lentomatkustajia koskevaan matkustajarekisteriin sisältyvien henkilötietojen suojan riittävästä tasosta 14 päivänä toukokuuta 2004 tehty komission päätös 2004/535/EY (EUVL L 235, s. 11; jäljempänä suojan riittävää tasoa koskeva päätös) kumotaan.
Asiaa koskevat oikeussäännöt
3 Roomassa 4.11.1950 allekirjoitetun, ihmisoikeuksien ja perusvapauksien suojaamiseksi tehdyn yleissopimuksen (jäljempänä Euroopan ihmisoikeussopimus) 8 artiklassa määrätään seuraavaa:
”1. Jokaisella on oikeus nauttia yksityis- ja perhe-elämäänsä, kotiinsa ja kirjeenvaihtoonsa kohdistuvaa kunnioitusta.
2. Viranomaiset eivät saa puuttua tämän oikeuden käyttämiseen, paitsi kun laki sen sallii ja se on demokraattisessa yhteiskunnassa välttämätöntä kansallisen ja yleisen turvallisuuden tai maan taloudellisen hyvinvoinnin vuoksi, tai epäjärjestyksen tai rikollisuuden estämiseksi, terveyden tai moraalin suojaamiseksi, tai muiden henkilöiden oikeuksien ja vapauksien turvaamiseksi.”
4 EY 95 artiklan 1 kohdan toisen virkkeen sanamuoto on seuraava:
”Neuvosto toteuttaa 251 artiklassa määrättyä menettelyä noudattaen ja talous- ja sosiaalikomiteaa kuultuaan sisämarkkinoiden toteuttamista ja toimintaa koskevat toimenpiteet jäsenvaltioiden lakien, asetusten ja hallinnollisten määräysten lähentämiseksi.”
5 Yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24 päivänä lokakuuta 1995 annettu Euroopan parlamentin ja neuvoston direktiivi 95/46/EY (EYVL L 281, s. 31), sellaisena kuin se on muutettuna EY:n perustamissopimuksen 251 artiklassa määrätyn menettelyn mukaisissa säädöksissä säädetyn täytäntöönpanovallan käytössä komissiota avustavia komiteoita koskevien sääntöjen mukauttamisesta neuvoston päätökseen 1999/468/EY 29 päivänä syyskuuta 2003 annetulla Euroopan parlamentin ja neuvoston asetuksella (EY) N:o 1882/2003 (EUVL L 284, s. 1; jäljempänä direktiivi), annettiin EY:n perustamissopimuksen 100 a artiklan (josta on muutettuna tullut EY 95 artikla) nojalla.
6 Direktiivin johdanto-osan 11 perustelukappaleessa todetaan, että ”tähän direktiiviin sisältyvissä periaatteissa yksilöiden oikeuksien ja vapauksien suojasta, erityisesti yksityisyyttä koskevan oikeuden suojasta, täsmennetään ja laajennetaan 28 päivänä tammikuuta 1981 allekirjoitettuun Euroopan neuvoston yleissopimukseen yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä kuuluvia periaatteita”.
7 Direktiivin johdanto-osan 13 perustelukappaleessa todetaan seuraavaa:
”Euroopan unionista tehdyn sopimuksen V ja VI osastossa tarkoitetut yleistä turvallisuutta, puolustusta, valtion turvallisuutta ja valtion toimintaa rikosoikeuden alalla koskevat toimet eivät kuulu yhteisön oikeuden soveltamisalaan, edellä sanotun kuitenkaan rajoittamatta jäsenvaltioille perustamissopimuksen 56 artiklan 2 kohdan, 57 artiklan ja 100 a artiklan mukaisesti kuuluvien velvoitteiden täyttämistä – – .”
8 Direktiivin johdanto-osan 57 perustelukappaleessa todetaan seuraavaa:
”– – jos tietosuojan taso kolmannessa maassa ei ole riittävä, henkilötietojen siirto kyseiseen maahan on kiellettävä”.
9 Direktiivin 2 artiklassa säädetään seuraavaa:
”Tässä direktiivissä tarkoitetaan
a) ’henkilötiedoilla’ kaikenlaisia tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä (’rekisteröity’) koskevia tietoja; tunnistettavissa olevana pidetään henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa, erityisesti henkilönumeron taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella,
b) ’henkilötietojen käsittelyllä’ (’käsittely’) kaikenlaisia sellaisia toimintoja tai toimintojen kokonaisuuksia, joita kohdistetaan henkilötietoihin joko automaattisen tietojenkäsittelyn avulla tai manuaalisesti, kuten tietojen kerääminen, tallentaminen, järjestäminen, säilyttäminen, muokkaaminen tai muuttaminen, tiedon haku, kysely, käyttö, luovuttaminen siirtämällä, levittämällä tai asettamalla muutoin saataville, yhteensovittaminen tai yhdistäminen sekä suojaaminen, poistaminen tai tuhoaminen,
– – .”
10 Direktiivin 3 artiklassa säädetään seuraavaa:
”Soveltamisala
1. Tätä direktiiviä sovelletaan osittain tai kokonaan automatisoituun tietojenkäsittelyyn sekä sellaisten henkilötietojen manuaaliseen käsittelyyn, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa.
2. Tätä direktiiviä ei sovelleta henkilötietojen käsittelyyn,
– joka suoritetaan sellaisessa toiminnassa, joka ei kuulu yhteisön oikeuden soveltamisalaan, kuten toiminta, josta on määrätty Euroopan unionista tehdyn sopimuksen V ja VI osastossa, ja kaikissa tapauksissa käsittely, joka koskee yleistä turvallisuutta, puolustusta, valtion turvallisuutta (myös valtion taloudellista hyvinvointia, kun käsittelyoperaatio on sidoksissa valtion turvallisuutta koskeviin kysymyksiin) ja rikosoikeuden alalla tapahtuvaa valtion toimintaa,
– – .”
11 Direktiivin 6 artiklan 1 kohdassa säädetään seuraavaa:
”Jäsenvaltioiden on säädettävä siitä, että
– –
b) henkilötiedot kerätään tiettyä nimenomaista ja laillista tarkoitusta varten, eikä niitä myöhemmin saa käsitellä näiden tarkoitusten kanssa yhteensopimattomalla tavalla. Myöhempää käsittelyä historiantutkimusta taikka tilastollisia tai tieteellisiä tarkoituksia varten ei pidetä yhteensopimattomana sillä edellytyksellä, että jäsenvaltiot toteuttavat tarpeelliset suojatoimet,
c) henkilötiedot ovat asianmukaisia, olennaisia eivätkä liian laajoja siihen tarkoitukseen, mihin ne on kerätty ja missä niitä myöhemmin käsitellään,
– –
e) henkilötiedot säilytetään muodossa, josta rekisteröity on tunnistettavissa ainoastaan sen ajan, kuin on tarpeen niiden tarkoitusten toteuttamista varten, joita varten tiedot kerättiin tai joissa niitä myöhemmin käsitellään. – – ”
12 Direktiivin 7 artiklassa säädetään seuraavaa:
”Jäsenvaltioiden on säädettävä siitä, että henkilötietoja voidaan käsitellä ainoastaan,
– –
c) jos käsittely on tarpeen rekisterinpitäjän laillisen velvoitteen noudattamiseksi,
tai
– –
e) jos käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai sellaisen julkisen vallan käyttämiseksi, joka kuuluu rekisterinpitäjälle tai sivulliselle, jolle tiedot luovutetaan,
tai
f) jos käsittely on tarpeen rekisterinpitäjän tai tiedot saavan sivullisen oikeutetun intressin toteuttamiseksi, paitsi milloin tämän intressin syrjäyttävät rekisteröidyn 1 artiklan 1 kohdan perusteella suojaa tarvitsevat intressit ja perusoikeudet ja -vapaudet.”
13 Direktiivin 8 artiklan 5 kohdan ensimmäisessä alakohdassa säädetään seuraavaa:
”Rikoksiin, tuomioihin tai turvallisuutta koskeviin toimenpiteisiin liittyvää tietojenkäsittelyä voidaan suorittaa ainoastaan julkisen viranomaisen valvonnassa tai, jos kansallisessa lainsäädännössä säädetään erityisistä tarpeellisista suojatoimista, jäsenvaltion myöntämissä näiden suojatoimien kattamissa poikkeuksissa. Täydellistä rikosrekisteriä ei kuitenkaan saa pitää kuin julkisen viranomaisen valvonnassa.”
14 Direktiivin 12 artiklassa säädetään seuraavaa:
”Jäsenvaltioiden on taattava rekisteröidylle oikeus saada rekisterinpitäjältä
a) vapaasti, kohtuullisin väliajoin ja ilman aiheetonta viivytystä tai aiheettomia kustannuksia
– vahvistus siitä, käsitelläänkö häntä koskevia tietoja vai ei, sekä vähintään tiedot käsittelyn tarkoituksista, käsiteltävistä tietoryhmistä ja tietojen vastaanottajista tai vastaanottajaryhmistä, joille tiedot luovutetaan,
– käsiteltävät tiedot itselleen ymmärrettävässä muodossa sekä kaikki tietojen alkuperästä käytettävissä olevat tiedot,
– tiedot kyseessä olevien tietojen automaattiseen käsittelyyn liittyvästä logiikasta, ainakin 15 artiklan 1 kohdassa tarkoitettujen automatisoitujen päätösten ollessa kyseessä;
b) tapauskohtaisesti sellaiset tiedot oikaistuiksi, poistetuiksi tai suojatuiksi, joiden käsittely ei ole tämän direktiivin mukaista, erityisesti tietojen puutteellisen tai virheellisen luonteen vuoksi;
c) ilmoitus sivullisille, joille tietoja on luovutettu, kaikenlaisista b kohdan mukaisesti tehdyistä oikaisuista, poistamisista tai suojaamisista, paitsi jos tämä osoittautuu mahdottomaksi tai vaatii kohtuutonta vaivaa.”
15 Direktiivin 13 artiklan 1 kohdan sanamuoto on seuraava:
”Jäsenvaltiot voivat toteuttaa lainsäädännöllisiä toimenpiteitä, joilla pyritään rajoittamaan 6 artiklan 1 kohdassa, 10 artiklassa, 11 artiklan 1 kohdassa sekä 12 ja 21 artiklassa säädettyjen oikeuksien ja velvoitteiden alaa, jos tällaiset rajoitukset ovat välttämättömiä, jotta varmistettaisiin
a) valtion turvallisuus,
b) puolustus,
c) yleinen turvallisuus,
d) rikosten tai, säännellyn ammattitoiminnan osalta, ammattietiikan rikkomusten torjunta, tutkinta, selvittäminen ja syyteharkinta,
e) jäsenvaltiolle tai Euroopan unionille tärkeä taloudellinen tai rahoituksellinen etu, myös rahaa, talousarviota ja verotusta koskevissa asioissa,
f) valvonta-, tarkastus- tai sääntelytehtävä, joka satunnaisestikin liittyy julkisen vallan käyttämiseen c, d ja e alakohdassa tarkoitetuissa tapauksissa,
g) rekisteröidyn suojelu tai muiden oikeudet ja vapaudet.”
16 Direktiivin 22 artiklassa säädetään seuraavaa:
”Oikeuskeinot
Jäsenvaltioiden on säädettävä siitä, että kenellä tahansa henkilöllä on mahdollisuus käyttää oikeussuojakeinoa, jos kyseessä olevaan käsittelyyn sovellettavien kansallisten säännösten mukaisesti hänelle kuuluvia oikeuksia loukataan, sanotun kuitenkaan rajoittamatta sellaisen hallinnollisen keinon soveltamista, johon voidaan turvautua, muun muassa 28 artiklassa tarkoitetun valvontaviranomaisen avulla, ennen asian vireillepanoa oikeudessa.”
17 Direktiivin 25 ja 26 artikla muodostavat henkilötietojen siirtoa kolmansiin valtioihin koskevan IV luvun.
18 Direktiivin 25 artiklassa, jonka otsikko on ”Periaatteet”, säädetään seuraavaa:
”1. Jäsenvaltioiden on säädettävä siitä, että käsiteltävien tai siirron jälkeen käsiteltäviksi tarkoitettujen henkilötietojen siirto kolmanteen maahan voidaan suorittaa ainoastaan, jos kyseisessä kolmannessa maassa taataan tietosuojan riittävä taso, jollei tämän direktiivin muiden säännösten mukaisesti säädetyistä kansallisista säännöksistä muuta johdu.
2. Kolmannessa maassa taattavan tietosuojan tason riittävyyttä on arvioitava kaikkien tiettyyn siirtoon tai siirtojen ryhmään liittyvien olosuhteiden osalta; erityisesti on otettava huomioon tietojen luonne, suunnitellun käsittelyn tai suunniteltujen käsittelyjen tarkoitus ja kestoaika, alkuperämaa ja lopullinen kohde, kyseisessä kolmannessa maassa voimassa olevat yleiset tai alakohtaiset oikeussäännöt sekä ammattisäännöt ja tässä maassa noudatettavat turvatoimet.
3. Jäsenvaltioiden ja komission on informoitava toisiaan, jos ne arvioivat, että tietyssä kolmannessa maassa ei taata tietosuojan riittävää tasoa 2 kohdan tarkoittamassa merkityksessä.
4. Jos komissio 31 artiklan 2 kohdassa vahvistetun menettelyn mukaisesti toteaa, että tietyssä kolmannessa maassa ei taata tietosuojan riittävää tasoa tämän artiklan 2 kohdassa tarkoitetussa merkityksessä, jäsenvaltioiden on toteutettava tarvittavat toimenpiteet kyseiseen kolmanteen maahan kohdistuvien samanluonteisten siirtojen estämiseksi.
5. Komissio aloittaa sopivalla hetkellä neuvottelut 4 kohdan mukaisesti tehdystä toteamuksesta aiheutuneen tilanteen korjaamiseksi.
6. Komissio voi 31 artiklan 2 kohdassa vahvistetun menettelyn mukaisesti todeta, että tietyssä kolmannessa maassa taataan tietosuojan riittävä taso tämän artiklan 2 kohdan tarkoittamassa merkityksessä, mikä johtuu kyseisen maan sisäisestä lainsäädännöstä tai kansainvälisistä sitoumuksista, jotka on tehty erityisesti 5 kohdassa tarkoitettujen neuvottelujen yhteydessä henkilöiden yksityiselämän ja perusoikeuksien ja -vapauksien turvaamiseksi.
Jäsenvaltioiden on toteutettava tarvittavat toimenpiteet noudattaakseen komission päätöstä.”
19 Direktiivin 26 artiklan, jonka otsikko on ”Poikkeukset”, 1 kohdassa säädetään seuraavaa:
”Poiketen siitä, mitä 25 artiklassa säädetään, ja jollei erityisissä tapauksissa sovellettavasta kansallisesta lainsäädännöstä muuta johdu, jäsenvaltioiden on säädettävä siitä, että henkilötietojen siirto tai siirtojen sarja sellaiseen kolmanteen maahan, jossa ei taata 25 artiklan 2 kohdassa tarkoitettua tietosuojan riittävää tasoa, voidaan suorittaa sillä edellytyksellä, että
a) rekisteröity on yksiselitteisesti antanut suostumuksensa suunniteltuun siirtoon
tai
b) siirto on tarpeen rekisteröidyn ja rekisterinpitäjän välisen sopimuksen täytäntöön panemiseksi tai sopimusta edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä
tai
c) siirto on tarpeen rekisterinpitäjän ja sivullisen välisen sopimuksen tekemiseksi tai täytäntöön panemiseksi rekisteröidyn edun mukaisesti
tai
d) siirto on tarpeen tai lain vaatima tärkeän yleisen edun turvaamiseksi tai oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi
tai
e) siirto on tarpeen rekisteröidyn elintärkeän edun suojaamiseksi
tai
f) siirto tehdään julkisesta rekisteristä, joka on lakien ja asetusten säännösten mukaisesti yleisön käytettävissä tai kenen tahansa sellaisen henkilön käytettävissä, joka voi esittää tiedonsaannille perustellun syyn, siltä osin kuin rekisterin käytettävissä olemisen lailliset edellytykset täyttyvät kussakin yksittäisessä tapauksessa.”
20 Euroopan yhteisöjen komissio teki suojan riittävää tasoa koskevan päätöksen direktiivin ja erityisesti sen 25 artiklan 6 kohdan perusteella.
21 Kyseisen päätöksen johdanto-osan 11 perustelukappaleessa todetaan seuraavaa:
”CBP [United States Bureau of Customs and Border Protection, Yhdysvaltojen tulli- ja rajavartiolaitos] käsittelee sille siirrettyjä lentomatkustajien matkustajarekisteriin [Passenger Name Record, PNR] sisältyviä henkilötietoja noudattaen Yhdysvaltojen sisäisen turvallisuuden ministeriön alaisen tulli- ja rajavartiolaitoksen (CBP) 11 päivänä toukokuuta 2004 vahvistamia sitoumuksia, jäljempänä ’sitoumukset’, ja Yhdysvaltojen lainsäädäntöön sisältyviä ehtoja sitoumuksissa esitetyn mukaisesti.”
22 Saman päätöksen johdanto-osan 15 perustelukappaleen mukaan matkustajarekisteritietoja käytetään yksinomaan estämään ja torjumaan terrorismia ja siihen liittyviä rikoksia, muita vakavia, luonteeltaan rajat ylittäviä rikoksia, mukaan lukien järjestäytynyt rikollisuus, ja pakenemista pidätykseltä tai vankeudesta näiden rikosten johdosta.
23 Suojan riittävää tasoa koskevan päätöksen 1–4 artiklassa säädetään seuraavaa:
”1 artikla
Direktiivin 95/46/EY 25 artiklan 2 kohdan soveltamisen osalta Yhdysvaltojen tulli- ja rajavartiolaitoksen (United States Bureau of Customs and Border Protection), jäljempänä ’CBP’, katsotaan tarjoavan liitteessä I olevien sitoumusten mukaisesti suojan riittävän tason yhteisöstä siirrettäville matkustajarekisteritiedoille, jotka koskevat lentoliikennettä Yhdysvaltoihin tai Yhdysvalloista.
2 artikla
Tämä päätös koskee CBP:n tarjoaman tietosuojan riittävyyttä suhteessa direktiivin 95/46/EY 25 artiklan 1 kohdan vaatimusten täyttymiseen, eikä sillä ole vaikutusta direktiivin muiden, henkilötietojen käsittelyä jäsenvaltioissa koskevien säännösten täytäntöönpanemiseksi vahvistettujen ehtojen tai rajoitusten soveltamiseen.
3 artikla
1. Rajoittamatta jäsenvaltioiden toimivaltaisten viranomaisten valtuuksia toteuttaa toimenpiteitä sen varmistamiseksi, että muiden säännösten kuin direktiivin 95/46/EY 25 artiklan noudattamiseksi annettuja kansallisia säännöksiä noudatetaan, jäsenvaltioiden toimivaltaiset viranomaiset voivat käyttää nykyisiä toimivaltuuksiaan keskeyttääkseen CBP:lle suunnatun tietojen siirron suojellakseen yksityishenkilöitä näiden henkilötietojen käsittelyn osalta tapauksissa, joissa:
a) toimivaltainen Yhdysvaltojen viranomainen on todennut, että CBP ei noudata sovellettavia tietosuojavaatimuksia; tai
b) on erittäin todennäköistä, että liitteessä esitettyjä tietosuojavaatimuksia ei noudateta, ja on perusteltua aihetta olettaa, että CBP ei parhaillaan tai jatkossa viipymättä toteuta vaadittavia toimenpiteitä asian ratkaisemiseksi, ja tiedonsiirron jatkaminen aiheuttaisi välittömästi uhkaavan vakavan vaaran rekisteröidylle ja jäsenvaltion toimivaltaiset viranomaiset ovat olosuhteisiin nähden kohtuullisessa määrin pyrkineet antamaan CBP:lle ilmoituksen ja tilaisuuden vastata siihen.
2. Keskeytys lakkaa heti, kun tietosuojavaatimusten noudattaminen on varmistettu ja tästä on ilmoitettu asianomaisten jäsenvaltioiden toimivaltaiselle viranomaiselle.
4 artikla
1. Jäsenvaltiot ilmoittavat viipymättä komissiolle 3 artiklan nojalla toteutetuista toimenpiteistä.
2. Jäsenvaltiot ja komissio tiedottavat toisilleen kaikista tietosuojavaatimusten muutoksista sekä tapauksista, joissa liitteessä esitettyjen CBP:n tietosuojavaatimusten noudattamisesta vastuussa olevat elimet eivät pysty varmistamaan tietosuojavaatimusten noudattamista.
3. Jos 3 artiklan sekä tämän artiklan 1 ja 2 kohdan nojalla saadut tiedot osoittavat, että perusvaatimukset riittävästä suojasta luonnollisille henkilöille eivät toteudu tai jos jokin liitteessä I esitettyjen CBP:n tietosuojavaatimusten noudattamisesta vastuussa oleva elin ei tosiasiallisesti hoida tehtäväänsä, asiasta tiedotetaan CBP:lle ja tarvittaessa ryhdytään direktiivin 95/46/EY 31 artiklan 2 kohdassa tarkoitetun menettelyn mukaisiin toimenpiteisiin, joiden tarkoituksena on kumota tämä päätös tai keskeyttää toistaiseksi sen soveltaminen.”
24 Päätöksen liitteenä olevassa ”Yhdysvaltojen sisäisen turvallisuuden ministeriön alaisen tulli- ja rajavartiolaitoksen (CBP) sitoumuksissa” todetaan seuraavaa:
”Euroopan komission tukemiseksi sen aikomuksessa harjoittaa sille direktiivin 95/46/EY 25 artiklan 6 kohdassa siirrettyä täytäntöönpanovaltaa ja päätöksen tekemiseksi siitä, että sisäisen turvallisuuden ministeriö [Department of Homeland Security] (DHS) [CBP] suojelee riittävästi sellaisia [lentoyhtiöiden] siirrettäviä matkustajarekisteritietoja (PNR), jotka voivat kuulua kyseisen direktiivin soveltamisalaan, CBP sitoutuu seuraavaan: – – .”
25 Nämä sitoumukset käsittävät 48 kohtaa, jotka on ryhmitelty seuraavien otsikoiden alle: ”Lakisääteinen valtuus hankkia PNR-tietoja”, ”PNR-tietojen käyttö CBP:ssä”, ”Tietoja koskevat vaatimukset”, ”Arkaluonteisten tietojen käsittely”, ”PNR-tietojen arviointimenetelmä”, ”PNR-tietojen säilytys”, ”CBP:n tietokonejärjestelmän turvallisuus”, ”Kuinka CBP käsittelee ja suojelee PNR-tietoja”, ”PNR-tietojen luovuttaminen muille viranomaisille”, ”PNR-tiedoista ilmoittaminen ja niiden esittäminen rekisteröidylle itselleen sekä tietojen oikaisumahdollisuus”, ”Sääntöjen noudattaminen”, ”Vastavuoroisuus”, ”Sitoumusten tarkistaminen ja voimassaolon päättyminen” ja ”Ei yksityisoikeudellista oikeutta tai ennakkotapausta”.
26 Mainittujen sitoumusten joukossa ovat muun muassa seuraavat:
”1) Yhdysvaltojen lain (title 49, United States Code, section 44909(c)(3)) ja sen täytäntöönpanosäännösten (title 19, Code of Federal Regulations, section 122.49b) mukaisesti kaikkien matkustajaliikennettä Yhdysvalloista tai Yhdysvaltoihin harjoittavien ulkomaisten lentoyhtiöiden on annettava CBP:lle (entinen U.S. Customs Service) sähköinen pääsy PNR-tietoihin siinä määrin, kuin niitä on kerätty ja niitä säilytetään lentoyhtiön automaattisissa varausjärjestelmissä tai lähtöselvitysjärjestelmissä (’varausjärjestelmissä’).
– –
3) CBP käyttää PNR-tietoja ainoastaan estämään ja torjumaan 1) terrorismia ja siihen liittyviä rikoksia; 2) muita vakavia, luonteeltaan rajat ylittäviä rikoksia, mukaan lukien järjestäytynyt rikollisuus; ja 3) pakenemista pidätykseltä tai vankeudesta edellä mainittujen rikosten johdosta. PNR-tietojen käyttö näihin tarkoituksiin antaa CBP:lle mahdollisuuden keskittää resurssinsa suurten riskien alalle ja siten helpottaa ja suojella vilpittömässä mielessä tapahtuvaa matkustamista.
4) CBP:n vaatimat tietokentät ovat liitteessä A olevassa luettelossa. – –
– –
27) CBP:n kanta lentoyhtiöistä saatuja PNR-tietoja koskevien tiedonvapauslain mukaisten pyyntöjen seurauksena olevien hallinnollisten tai oikeudellisten menettelyiden osalta on, että kyseiset tiedostot on vapautettu tiedonvapauslain mukaisesta luovuttamisesta.
– –
29) CBP toimittaa harkintansa mukaan PNR-tietoja muille terrorismin torjuntaan tai lainvalvontaan osallistuville viranomaisille, mukaan lukien muiden valtioiden viranomaiset, ainoastaan tapauskohtaisesti 3 kohdassa yksilöityjen rikosten ehkäisemiseksi ja estämiseksi. (Viranomaisiin, joiden kanssa CBP voi jakaa tällaisia tietoja, viitataan jatkossa ilmaisulla ’nimetyt viranomaiset’.)
30) CBP harkitsee tarkkaan, ennen kuin se siirtää PNR-tietoja edellä mainittuihin tarkoituksiin. Se selvittää ensiksi, onko PNR-tietojen toiselle nimetylle viranomaiselle luovuttamisen syy jokin hyväksytyistä tarkoituksista (ks. 29 kohta). Jos näin on, CBP määrittää, onko kyseinen nimetty viranomainen vastuussa kyseisenlaisten rikosten estämisestä, tutkimisesta tai syytetoimista tai tähän tarkoitukseen liittyvien sääntöjen tai säännösten täytäntöönpanosta tai soveltamisesta, kun CBP:llä on aihetta olettaa, että lakia on rikottu tai saatetaan rikkoa. Tietojen luovuttamista puoltavia seikkoja on tarkasteltava kaikkien edellä esitettyjen seikkojen valossa.
– –
35) Mikään lauseke näissä sitoumuksissa ei estä PNR-tietojen käyttöä tai antamista rikosoikeudellisissa menettelyissä tai muissa lain edellyttämissä tilanteissa. CBP ilmoittaa Euroopan komissiolle kaiken sellaisen lainsäädännön antamisesta Yhdysvalloissa, joka käytännössä vaikuttaa näissä sitoumuksissa vahvistettuihin lausekkeisiin.
– –
46) Näitä sitoumuksia sovelletaan kolmen vuoden ja kuuden kuukauden (3,5 vuoden) ajan alkaen päivästä, jona Yhdysvaltojen ja Euroopan yhteisön sopimus, jolla lentoyhtiöt valtuutetaan käsittelemään PNR-tietoja niiden siirtämiseksi CBP:lle direktiivin 95/46/EY mukaisesti, tulee voimaan. – –
47) Nämä sitoumukset eivät luo tai anna millekään yksityiselle tai julkiselle henkilölle tai osapuolelle oikeuksia tai etuja.
– – .”
27 Sitoumusten liitteessä A mainitaan ”PNR-tiedot”, joita CBP edellyttää lentoyhtiöiltä. Mainittuihin tietoihin kuuluvat muun muassa ”PNR-tiedoston kirjauskoodi”, varauspäivä, nimi, osoite, maksutapaa koskevat tiedot, puhelinnumerot, matkatoimisto, matkustajan ”matkastatus” (travel status of passenger), sähköpostiosoite, yleiset huomautukset, istumapaikan numero, tieto siitä, että matkustaja on viime hetkellä jäänyt pois lennolta, ja mahdollisesti kerätyt ”APIS-tiedot”.
28 Neuvoston päätös 2004/496 perustui erityisesti EY 95 artiklaan yhdessä EY 300 artiklan 2 kohdan ensimmäisen alakohdan ensimmäisen virkkeen kanssa.
29 Kyseisen päätöksen johdanto-osan kolmessa perustelukappaleessa todetaan seuraavaa:
”(1) Neuvosto valtuutti komission 23 päivänä helmikuuta 2004 neuvottelemaan yhteisön puolesta sopimuksen Amerikan yhdysvaltojen kanssa lentoyhtiöiden PNR-tietojen käsittelemisestä ja siirtämisestä Yhdysvaltojen sisäisen turvallisuuden ministeriön alaiselle tulli- ja rajavalvontalaitokselle.
(2) Euroopan parlamentti ei ole antanut lausuntoa määräajassa, jonka neuvosto asetti perustamissopimuksen 300 artiklan 3 kohdan ensimmäisen alakohdan mukaisesti lentoyhtiöiden ja matkustajien epävarman tilanteen korjaamiseksi kiireellisesti sekä asianomaisten tahojen taloudellisten etujen suojaamiseksi.
(3) Tämä sopimus olisi hyväksyttävä.”
30 Päätöksen 2004/496 1 artiklassa säädetään seuraavaa:
”Hyväksytään yhteisön puolesta lentoyhtiöiden PNR-tietojen käsittelemistä ja siirtämistä Yhdysvaltojen sisäisen turvallisuuden ministeriön alaiselle tulli- ja rajavalvontalaitokselle koskeva Euroopan yhteisön ja Amerikan yhdysvaltojen välinen sopimus.
Sopimuksen teksti on tämän päätöksen liitteenä.”
31 Mainitussa sopimuksessa (jäljempänä sopimus) määrätään seuraavaa:
”EUROOPAN YHTEISÖ JA AMERIKAN YHDYSVALLAT, jotka
tunnustavat, että on tärkeää kunnioittaa perusoikeuksia ja -vapauksia sekä erityisesti yksityisyydensuojaa ja että on tärkeää kunnioittaa näitä arvoja, samalla kun estetään ja torjutaan terrorismia ja siihen liittyvää rikollisuutta sekä muita valtioiden rajat ylittäviä vakavia rikoksia, myös järjestäytynyttä rikollisuutta;
ottavat huomioon Yhdysvaltojen lait ja määräykset, joiden nojalla kaikkien kansainvälistä henkilöliikennettä Yhdysvaltoihin tai Yhdysvalloista harjoittavien lentoyhtiöiden on annettava sisäisen turvallisuuden ministeriön, jäljempänä ’DHS’, alaiselle ’CBP:lle’ sähköinen yhteys kyseisen lentoyhtiön automaattisiin varaus- ja lähtöselvitysjärjestelmiin kerättyihin ja tallennettuihin [PNR-tietoihin];
ottavat huomioon – – direktiivin 95/46/EY ja erityisesti sen 7 artiklan c alakohdan;
ottavat huomioon CBP:n 11 päivänä toukokuuta 2004 antamat sitoumukset, jotka julkaistaan Yhdysvaltojen virallisessa lehdessä, jäljempänä ’sitoumukset’;
ottavat huomioon direktiivin 95/46/EY 25 artiklan 6 kohdan nojalla 14 päivänä toukokuuta 2004 tehdyn komission päätöksen 2004/535/EY jäljempänä ’päätös’, jolla CBP:n todetaan tarjoavan riittävän suojan liitteessä olevien sitoumusten mukaisesti Euroopan yhteisöstä, jäljempänä ’yhteisö’, toimitettaville PNR-tiedoille, jotka koskevat Yhdysvaltoihin saapuvia tai sieltä lähteviä lentoja;
panevat merkille, että lentoyhtiöiden, joilla on Euroopan yhteisön jäsenvaltioiden alueella sijaitsevia varaus- ja lähtöselvitysjärjestelmiä, olisi aloitettava PNR-tietojen toimittaminen CBP:lle heti, kun se on teknisesti mahdollista, mutta siihen asti Yhdysvaltojen viranomaisilla olisi oltava suora pääsy näihin tietoihin tämän sopimuksen määräysten mukaisesti;
– –
ovat sopineet seuraavaa:
1. CBP:llä on sähköinen pääsy lentoyhtiöiden Euroopan yhteisön jäsenvaltioiden alueella sijaitsevissa varaus- ja lähtöselvitysjärjestelmissä, jäljempänä ’varausjärjestelmät’, oleviin PNR-tietoihin ainoastaan päätöksen mukaisesti ja ainoastaan niin kauan kuin päätös on voimassa ja siihen saakka kun käytössä on tyydyttävä järjestelmä, jolla lentoyhtiöt voivat toimittaa nämä tiedot.
[Englanninkielisen version sanamuoto on seuraava: ”CBP may electronically access the PNR data from air carriers reservation/departure control systems (’reservation systems’) located within the territory of the Member State of the European Community strictly in accordance with the Decision and for so long as the Decision is applicable and only until there is a satisfactory system in place allowing for transmission of such data by the air carriers.”]
2. Kansainvälistä henkilöliikennettä Yhdysvalloista tai Yhdysvaltoihin harjoittavien lentoyhtiöiden on käsiteltävä automaattisiin varausjärjestelmiinsä tallennettuja PNR-tietoja vain päätöksen mukaisesti ja tavalla, jota CBP edellyttää Yhdysvaltojen lainsäädännön nojalla, sekä ainoastaan niin kauan kuin päätös on voimassa.
3. CBP panee merkille päätöksen ja toteaa, että [se panee täytäntöön päätöksen] liitteenä olevat sitoumukset.
4. CBP käsittelee saamansa PNR-tiedot ja kohtelee niiden koskemia henkilöitä voimassa olevan Yhdysvaltojen lainsäädännön ja perustuslain säännösten mukaisesti ilman erityisesti kansallisuuteen ja asuinmaahan perustuvaa syrjintää.
– –
7. Tämä sopimus tulee voimaan, kun se allekirjoitetaan. Kumpikin osapuoli voi milloin tahansa päättää tämän sopimuksen voimassaolon ilmoittamalla asiasta diplomaattisia kanavia käyttäen. Sopimuksen päättäminen tulee voimaan yhdeksänkymmenen (90) päivän kuluttua päivästä, jona sopimuksen päättämisestä on ilmoitettu toiselle osapuolelle. Tätä sopimusta voidaan muuttaa milloin tahansa keskinäisellä kirjallisella sopimuksella.
8. Tällä sopimuksella ei ole tarkoitus poiketa osapuolten lainsäädännöstä eikä muuttaa sitä. Tällä sopimuksella ei luoda tai myönnetä millekään yksityiselle tai julkiselle henkilölle tai osapuolelle minkäänlaisia oikeuksia tai etuja.”
32 Tämän sopimuksen voimaantulopäivästä annetun neuvoston ilmoituksen (EUVL 2004, C 158, s. 1) mukaan kyseinen sopimus, jonka neuvoston puheenjohtajana toimivan valtion edustaja ja Amerikan yhdysvaltojen sisäisen turvallisuuden ministeri allekirjoittivat Washingtonissa 28.5.2004, tuli sen 7 kohdan mukaisesti voimaan allekirjoituspäivänä.
Asioiden tausta
33 Yhdysvalloissa hyväksyttiin 11.9.2001 tapahtuneiden terroristi-iskujen jälkeen saman vuoden marraskuussa lainsäädäntö, jonka mukaan lentoyhtiöiden, jotka harjoittivat lentoliikennettä Yhdysvalloista tai Yhdysvaltoihin taikka sen alueen kautta, oli annettava Yhdysvaltojen tulliviranomaisille sähköinen pääsy tietoihin, jotka sisältyvät niiden automaattisiin varaus- ja valvontajärjestelmiin ja joista käytetään nimitystä ”Passenger Name Records” (jäljempänä PNR-tiedot). Samalla kun komissio tunnusti, että kyseessä olevat turvallisuusintressit olivat oikeutettuja, se ilmoitti Yhdysvaltojen viranomaisille jo kesäkuussa 2002, että kyseiset säännökset saattoivat olla ristiriidassa tietosuojaa koskevan yhteisön ja jäsenvaltioiden lainsäädännön kanssa sekä tietokonepohjaisten paikanvarausjärjestelmien käyttöä koskevista käyttäytymissäännöistä 24 päivänä heinäkuuta 1989 annetun neuvoston asetuksen (ETY) N:o 2299/89 (EYVL L 220, s. 1), sellaisena kuin se on muutettuna 8.2.1999 annetulla neuvoston asetuksella (EY) N:o 323/1999 (EYVL L 40, s. 1), tiettyjen säännösten kanssa. Yhdysvaltojen viranomaiset lykkäsivät uusien säännösten voimaantuloa mutta kieltäytyivät lopullisesti luopumasta sanktioiden asettamisesta lentoyhtiöille, jotka eivät noudata sähköistä pääsyä PNR-tietoihin koskevaa lainsäädäntöä 5.3.2003 jälkeen. Tästä ajankohdasta lähtien useat Euroopan unionin suuret lentoyhtiöt ovat tarjonneet mainituille viranomaisille pääsyn PNR-tietoihinsa.
34 Komissio aloitti Yhdysvaltojen viranomaisten kanssa neuvottelut, jotka johtivat CBP:n antamia sitoumuksia (”undertakings”) sisältävän asiakirjan laatimiseen silmällä pitäen direktiivin 25 artiklan 6 kohdan nojalla tehtävää suojan riittävää tasoa koskevaa komission päätöstä.
35 Direktiivin 29 artiklan mukaisesti perustettu tietosuojatyöryhmä antoi 13.6.2003 lausuntonsa, jossa se esitti epäilyjä kyseisillä sitoumuksilla taatusta suojan tasosta suunniteltujen tietojen käsittelyjen osalta. Se toisti nämä epäilynsä 29.1.2004 päivätyssä toisessa lausunnossa.
36 Komissio saattoi 1.3.2004 parlamentin käsiteltäväksi luonnoksen direktiivin 25 artiklan 6 kohdan nojalla tehtäväksi suojan riittävää tasoa koskevaksi päätökseksi, jonka liitteenä oli luonnos CBP:n sitoumuksiksi.
37 Parlamentin kuulemiseksi EY 300 artiklan 3 kohdan ensimmäisen alakohdan mukaisesti komissio toimitti 17.3.2004 parlamentille ehdotuksen neuvoston päätökseksi sopimuksen tekemisestä Yhdysvaltojen kanssa. Neuvosto pyysi 25.3.2004 päivätyssä kirjeessään kiireellisyysmenettelyyn viitaten parlamentin lausuntoa tästä ehdotuksesta viimeistään 22.4.2004 mennessä. Tässä kirjeessään neuvosto korosti, että ”terrorismin torjunta, joka oikeuttaa ehdotetut toimenpiteet, on Euroopan unionin tärkeä tavoite[, että] tällä hetkellä lentoyhtiöt ja matkustajat ovat epävarmassa tilanteessa, joka on korjattava välittömästi [ja että] lisäksi on tärkeää suojella asianomaisten tahojen taloudellisia etuja”.
38 Parlamentti hyväksyi 31.3.2004 menettelystä komissiolle siirrettyä täytäntöönpanovaltaa käytettäessä 28 päivänä kesäkuuta 1999 tehdyn neuvoston päätöksen 1999/468/EY (EYVL L 184, s. 23) 8 artiklan mukaisesti päätöslauselman, jossa esitettiin tiettyjä oikeudellisia varauksia sille annetun ehdotuksen suhteen. Tässä päätöslauselmassa parlamentti katsoi erityisesti, että luonnoksessa suojan riittävää tasoa koskevaksi päätökseksi ylitettiin direktiivin 25 artiklalla komissiolle annettu toimivalta. Se vaati sellaisen asianmukaisen kansainvälisen sopimuksen tekemistä, jossa kunnioitetaan perusoikeuksia mainitussa päätöslauselmassa täsmennettyjen tiettyjen kohtien osalta, ja pyysi komissiota esittämään sille uuden päätösluonnoksen. Lisäksi se varasi itselleen oikeuden pyytää yhteisöjen tuomioistuinta tutkimaan suunnitellun kansainvälisen sopimuksen laillisuuden ja erityisesti sen yhteensoveltuvuuden yksityisyyttä koskevan oikeuden suojan kanssa.
39 Parlamentti vahvisti 21.4.2004 puhemiehensä kehotuksesta oikeudellisten ja sisämarkkina-asioiden valiokunnan suosituksen, jonka sisältö oli se, että yhteisöjen tuomioistuimelta pyydetään EY 300 artiklan 6 kohdan mukaisesti lausunto siitä, oliko suunniteltu sopimus sopusoinnussa perustamissopimuksen määräysten kanssa. Tämä menettely aloitettiin samana päivänä.
40 Parlamentti päätti lisäksi samana päivänä neuvoston päätösehdotusta koskevan kertomuksen lähettämisestä valiokuntaan ja hylkäsi siis tässä vaiheessa implisiittisesti neuvoston 25.3.2004 päivätyn, mainitun ehdotuksen kiireellistä käsittelyä koskevan pyynnön.
41 Neuvosto nojautui EY 300 artiklan 3 kohdan ensimmäiseen alakohtaan ja lähetti 28.4.2004 parlamentille kirjeen, jossa se pyysi, että parlamentti antaa ennen 5.5.2004 lausuntonsa päätösehdotuksesta sopimuksen tekemiseksi. Neuvosto toisti kirjeessään 25.3.2004 päivätyssä kirjeessään mainitut syyt, joilla perusteltiin tämän pyynnön kiireellisyys.
42 Todettuaan, ettei neuvoston päätösehdotuksen kaikkia kieliversioita ollut edelleenkään käytettävissä, parlamentti hylkäsi 4.5.2004 kyseisen ehdotuksen kiireellistä käsittelyä koskevan pyynnön, jonka neuvosto oli sille esittänyt 28.4.2004.
43 Komissio teki 14.5.2004 suojan riittävää tasoa koskevan päätöksen, joka on asian C-318/04 kohteena. Neuvosto teki 17.5.2004 päätöksen 2004/496, joka on asian C-317/04 kohteena.
44 Neuvoston puheenjohtajana toimiva valtio ilmoitti parlamentille 4.6.2004 päivätyllä kirjeellä, että päätöksessä 2004/496 otettiin huomioon sekä terrorismin torjunta – joka on unionille ensisijainen tavoite – että tarve vastata lentoyhtiöiden oikeudellisesti epävarmaan tilanteeseen ja tarve suojata niiden taloudellisia etuja.
45 Parlamentti ilmoitti 9.7.2004 päivätyllä kirjeellä yhteisöjen tuomioistuimelle numerolla 1/04 rekisteröidyn lausuntopyyntönsä peruuttamisesta.
46 Asiassa C-317/04 yhteisöjen tuomioistuimen presidentin 18.11.2004 ja 18.1.2005 antamilla määräyksillä komissio ja Ison-Britannian ja Pohjois-Irlannin yhdistynyt kuningaskunta hyväksyttiin väliintulijoiksi tukemaan neuvoston vaatimuksia.
47 Asiassa C-318/04 yhteisöjen tuomioistuimen presidentin 17.12.2004 antamalla määräyksellä Yhdistynyt kuningaskunta hyväksyttiin väliintulijaksi tukemaan komission vaatimuksia.
48 Yhteisöjen tuomioistuimen 17.3.2005 antamilla määräyksillä Euroopan tietosuojavaltuutettu hyväksyttiin väliintulijaksi tukemaan parlamentin vaatimuksia näissä kahdessa asiassa.
49 Koska nämä kaksi asiaa liittyvät toisiinsa, mikä vahvistettiin suullisessa käsittelyssä, ne on syytä yhdistää tuomion antamista varten työjärjestyksen 43 artiklan mukaisesti.
Kanne asiassa C-318/04
50 Parlamentti vetoaa neljään kanneperusteeseen, jotka koskevat toimivallan ylittämistä, direktiivin keskeisten periaatteiden loukkaamista, perusoikeuksien loukkaamista ja suhteellisuusperiaatteen loukkaamista.
Ensimmäisen kanneperusteen ensimmäinen osa, joka koskee direktiivin 3 artiklan 2 kohdan ensimmäisen luetelmakohdan rikkomista
Asianosaisten ja väliintulijoiden lausumat
51 Parlamentti väittää, että komission päätös tehtiin ultra vires (ilman toimivaltaa), koska direktiivin säännöksiä ei noudatettu ja koska erityisesti direktiivin 3 artiklan 2 kohdan ensimmäistä luetelmakohtaa, joka liittyy sellaisten toimintojen poissulkemiseen, jotka eivät kuulu yhteisön oikeuden soveltamisalaan, rikottiin.
52 Parlamentin mukaan on selvää, että sen jälkeen kun PNR-tiedot on siirretty suojan riittävää tasoa koskevassa päätöksessä tarkoitetulle Yhdysvaltain viranomaiselle, niiden käsittelyssä on kyse asiassa C-101/01, Lindqvist, 6.11.2003 annetun tuomion (Kok. 2003, s. I-12971) 43 kohdassa tarkoitetuista valtiolle tyypillisistä toiminnoista.
53 Komissio, jota Yhdistynyt kuningaskunta tukee, arvioi, että lentoyhtiöiden toiminnot kuuluvat selvästi yhteisön oikeuden soveltamisalaan. Se väittää, että nämä yksityiset toimijat käsittelevät PNR-tietoja yhteisössä ja järjestävät kyseisten tietojen siirron kolmanteen valtioon. Komission mukaan kyse on siis toiminnoista, jotka kuuluvat yksityisille oikeussubjekteille, eikä jäsenvaltion, jossa kyseessä olevat lentoyhtiöt toimivat, tai sen julkishallinnon toiminnoista, kuten yhteisöjen tuomioistuin on asian määritellyt edellä mainitussa asiassa Lindqvist antamansa tuomion 43 kohdassa. Lentoyhtiöiden tavoitteena PNR-tietojen käsittelyssä on ainoastaan noudattaa yhteisön oikeuden vaatimuksia, sopimuksen 2 kohdassa mainittu velvollisuus mukaan lukien. Direktiivin 3 artiklan 2 kohdassa viitataan komission mukaan viranomaisten toimintoihin, jotka eivät kuulu yhteisön oikeuden soveltamisalaan.
Yhteisöjen tuomioistuimen arviointi asiasta
54 Direktiivin 3 artiklan 2 kohdan ensimmäisessä luetelmakohdassa suljetaan tämän direktiivin soveltamisalan ulkopuolelle henkilötietojen käsittely, joka suoritetaan sellaisessa toiminnassa, joka ei kuulu yhteisön oikeuden soveltamisalaan, kuten toiminta, josta on määrätty Euroopan unionista tehdyn sopimuksen V ja VI osastossa, ja kaikissa tapauksissa käsittely, joka koskee yleistä turvallisuutta, puolustusta, valtion turvallisuutta ja rikosoikeuden alalla tapahtuvaa valtion toimintaa.
55 Suojan riittävää tasoa koskeva päätös koskee ainoastaan CBP:lle siirrettyjä PNR-tietoja. Tämän päätöksen johdanto-osan kuudennesta perustelukappaleesta ilmenee, että näitä siirtoja koskevat vaatimukset perustuvat Yhdysvaltojen marraskuussa 2001 antamaan säädökseen ja CBP:n kyseisen säädöksen nojalla hyväksymiin soveltamismääräyksiin. Mainitun päätöksen johdanto-osan seitsemännen perustelukappaleen mukaan kyseinen Yhdysvaltojen lainsäädäntö koskee turvallisuuden parantamista ja henkilöiden maahantulon ja maasta poistumisen ehtoja. Kahdeksannen perustelukappaleen mukaan yhteisö on täysin sitoutunut tukemaan Yhdysvaltoja terrorismin torjunnassa yhteisön lainsäädännön asettamissa rajoissa. Tämän saman päätöksen johdanto-osan 15 perustelukappaleessa todetaan, että PNR-tietoja käytetään yksinomaan estämään ja torjumaan terrorismia ja siihen liittyviä rikoksia, muita vakavia, luonteeltaan rajat ylittäviä rikoksia, mukaan lukien järjestäytynyt rikollisuus, ja pakenemista pidätykseltä tai vankeudesta näiden rikosten johdosta.
56 Tästä seuraa, että PNR-tietojen siirto CBP:lle on käsittelyä, joka koskee yleistä turvallisuutta ja rikosoikeuden alalla tapahtuvaa valtion toimintaa.
57 Vaikka on oikein katsoa, että lentoyhtiöt ovat alun perin keränneet PNR-tiedot yhteisön oikeuden alaan kuuluvan toiminnan eli palveluun oikeuttavien lentolippujen myynnin yhteydessä, tietojen käsittely, joka on otettu huomioon suojan riittävää tasoa koskevassa päätöksessä, on kuitenkin luonteeltaan aivan toisenlaista. Tämä päätös ei nimittäin koske, kuten tämän tuomion 55 kohdassa muistutettiin, tietojen käsittelyä, joka on tarpeen palvelujen tarjoamiseksi, vaan se koskee tietojen käsittelyä, jota pidetään tarpeellisena yleisen turvallisuuden suojelemiseksi ja lainvalvontatarkoituksia varten.
58 Edellä mainitussa asiassa Lindqvist annetun tuomion 43 kohdassa, johon komissio on vedonnut puolustuksessaan, yhteisöjen tuomioistuin totesi, että direktiivin 3 artiklan 2 kohdan ensimmäisessä luetelmakohdassa esimerkkeinä mainitut toiminnat ovat kaikki valtiolle tai valtion viranomaisille tyypillisiä toimintoja, jotka eivät liity yksityisten henkilöiden toiminta-aloihin. Tästä ei kuitenkaan seuraa, että siitä syystä, että yksityiset toimijat ovat keränneet PNR-tiedot kaupalliseen tarkoitukseen ja että ne järjestävät kyseisten tietojen siirron kolmanteen valtioon, kyseessä oleva siirto ei kuuluisi tämän säännöksen soveltamisalaan. Tämä siirto nimittäin tapahtuu julkishallinnon asettamissa puitteissa, jotka liittyvät yleiseen turvallisuuteen.
59 Edellä esitetystä seuraa, että suojan riittävää tasoa koskeva päätös koskee direktiivin 3 artiklan 2 kohdan ensimmäisessä luetelmakohdassa tarkoitettua henkilötietojen käsittelyä. Tämä päätös ei siis kuulu direktiivin soveltamisalaan.
60 Näin ollen ensimmäisen kanneperusteen ensimmäinen osa, joka koskee direktiivin 3 artiklan 2 kohdan ensimmäisen luetelmakohdan rikkomista, on perusteltu.
61 Tästä seuraa, että suojan riittävää tasoa koskeva päätös on kumottava, eikä ensimmäisen kanneperusteen muita osia tai parlamentin muita kanneperusteita ole tarpeellista tutkia.
Kanne asiassa C-317/04
62 Parlamentti vetoaa kuuteen kanneperusteeseen, jotka koskevat sitä, että EY 95 artikla on virheellisesti valittu päätöksen 2004/496 oikeudelliseksi perustaksi, että EY 300 artiklan 3 kohdan toista alakohtaa ja Euroopan ihmisoikeussopimuksen 8 artiklaa on rikottu ja että suhteellisuusperiaatetta, perusteluvaatimusta koskevaa periaatetta ja lojaalia yhteistyötä koskevaa periaatetta on loukattu.
Ensimmäinen kanneperuste, joka koskee sitä, että EY 95 artikla on virheellisesti valittu päätöksen 2004/496 oikeudelliseksi perustaksi
Asianosaisten ja väliintulijoiden lausumat
63 Parlamentti väittää, että EY 95 artikla ei ole asianmukainen oikeudellinen perusta päätökselle 2004/496. Parlamentin mukaan kyseisen päätöksen päämääränä ja sisältönä ei ole sisämarkkinoiden toteuttaminen ja toiminta niin, että edistettäisiin palvelujen vapaan tarjoamisen esteiden poistamista, eikä siihen sisälly säännöksiä, joilla tähdätään tällaisen päämäärän saavuttamiseen. Kyseisen päätöksen tavoitteena on nimittäin pikemminkin laillistaa henkilötietojen käsittely, josta säädetään Yhdysvaltojen lainsäädännössä. Lisäksi parlamentin mukaan EY 95 artikla ei voi olla yhteisön toimivallan perustana sopimuksen tekemisessä, koska kyseinen sopimus koskee sellaisten tietojen käsittelyä, jotka on suljettu direktiivin soveltamisalan ulkopuolelle.
64 Neuvosto väittää, että direktiivin, joka on annettu pätevästi perustamissopimuksen 100 a artiklan perusteella, 25 artiklaan sisältyy säännöksiä, joissa säädetään mahdollisuudesta siirtää henkilötietoja kolmanteen valtioon, jossa taataan tietosuojan riittävä taso, ja tähän liittyy mahdollisuus aloittaa tarvittaessa neuvottelut, jotka johtavat siihen, että yhteisö tekee sopimuksen kyseisen maan kanssa. Sopimus koskee neuvoston mukaan PNR-tietojen vapaata liikkuvuutta yhteisön ja Yhdysvaltojen välillä edellytyksin, jotka ovat sopusoinnussa yksilöiden vapauksien ja perusoikeuksien, erityisesti yksityisyyttä koskevan oikeuden kanssa. Sopimuksella pyritään poistamaan jäsenvaltioiden lentoyhtiöiden väliltä, sekä näiden ja kolmansien maiden lentoyhtiöiden väliltä, kaikki kilpailun vääristymät, joita voi esiintyä Yhdysvaltojen vaatimusten vuoksi henkilöiden oikeuksien ja vapauksien suojeluun liittyvistä syistä. Kansainvälistä henkilöliikennettä Yhdysvalloista tai Yhdysvaltoihin harjoittavien jäsenvaltioiden lentoyhtiöiden väliset kilpailuolosuhteet olisivat voineet vääristyä siitä syystä, että ainoastaan tietyt niistä olisivat sallineet Yhdysvaltojen viranomaisille pääsyn tietokantoihinsa. Sopimuksessa pyritään neuvoston mukaan siihen, että kaikille kyseessä oleville lentoyhtiöille asetetaan yhdenmukaiset velvoitteet.
65 Komissio korostaa, että kyse on kansainvälisessä oikeudessa tarkoitetusta lakien välisestä ristiriidasta Yhdysvaltojen lakien ja yhteisön lainsäädännön välillä sekä niiden yhteensovittamisen välttämättömyydestä. Se moittii parlamenttia, joka riitauttaa sen, että EY 95 artikla voisi olla perustana päätökselle 2004/496, siitä, ettei tämä ole esittänyt, mikä olisi asianmukainen oikeudellinen perusta. Komission mukaan mainittu artikla on kyseisen päätöksen ”luonnollinen” oikeudellinen perusta, koska sopimus koskee henkilötietojen suojan ulkoista ulottuvuutta, kun kyseisiä tietoja siirretään yhteisön sisällä. Direktiivin 25 ja 26 artiklassa annetaan yhteisölle ulkoisen ulottuvuuden osalta yksinomainen toimivalta.
66 Lisäksi komissio korostaa, että lentoyhtiöt suorittavat näiden tietojen ensimmäisen käsittelyn kaupallisessa tarkoituksessa. Komission mukaan ne eivät välty direktiivin vaikutukselta sen takia, että Yhdysvaltojen viranomaiset käyttävät näitä tietoja.
Yhteisöjen tuomioistuimen arviointi asiasta
67 EY 95 artikla, luettuna yhdessä direktiivin 25 artiklan kanssa, ei voi olla perusteena yhteisön toimivallalle sopimuksen tekemiseen.
68 Sopimus koskee nimittäin samaa tietojen siirtoa kuin suojan riittävää tasoa koskeva päätös ja siis tietojen käsittelyä, joka on, kuten edellä todettiin, suljettu direktiivin soveltamisalan ulkopuolelle.
69 Näin ollen päätöstä 2004/496 ei voitu tehdä pätevästi EY 95 artiklan perusteella.
70 Kyseinen päätös on siis kumottava, eikä parlamentin muita kanneperusteita ole tarpeellista tutkia.
Tuomion vaikutusten rajaaminen
71 Sopimuksen 7 kohdasta ilmenee, että kumpikin osapuoli voi milloin tahansa päättää sopimuksen voimassaolon, ja sen päättäminen tulee voimaan 90 päivän kuluttua päivästä, jona sopimuksen päättämisestä on ilmoitettu toiselle osapuolelle.
72 Sopimuksen 1 ja 2 kohdan mukaan CBP:n PNR-tietoihin pääsyä koskeva oikeus ja lentoyhtiöiden velvollisuus käsitellä kyseisiä tietoja CBP:n pyynnön mukaisesti ovat kuitenkin voimassa ainoastaan niin kauan kuin suojan riittävää tasoa koskevaa päätöstä sovelletaan. CBP on todennut tämän sopimuksen 3 kohdassa, että se panee täytäntöön mainitun päätöksen liitteenä olevat sitoumukset.
73 Kun otetaan huomioon yhtäältä se, ettei yhteisö voi vedota omaan oikeuteensa perusteena sille, ettei sopimusta, joka jää voimaan 90 päivän määräajaksi sen päättämisestä, panna täytäntöön, ja toisaalta se, että sopimuksen ja suojan riittävää tasoa koskevan päätöksen välillä on suora yhteys, oikeusvarmuuteen liittyvistä syistä ja asianomaisten henkilöiden suojaamiseksi vaikuttaa perustellulta, että suojan riittävää tasoa koskevan päätöksen vaikutukset pidetään voimassa tämän saman ajan. Lisäksi on otettava huomioon määräaika, joka on tarpeen tämän tuomion täytäntöönpanemiseksi tarvittavien toimenpiteiden toteuttamiselle.
74 Suojan riittävää tasoa koskevan päätöksen vaikutukset on siis pidettävä voimassa 30.9.2006 saakka, mutta näitä vaikutuksia ei kuitenkaan ole pidettävä voimassa sopimuksen voimassaolon lakkaamisajankohdan jälkeen.
Oikeudenkäyntikulut
75 Yhteisöjen tuomioistuimen työjärjestyksen 69 artiklan 2 kohdan mukaan asianosainen, joka häviää asian, velvoitetaan korvaamaan oikeudenkäyntikulut. Koska parlamentti on vaatinut neuvoston ja komission velvoittamista korvaamaan oikeudenkäyntikulut ja koska ne ovat hävinneet asian, neuvosto ja komissio on velvoitettava korvaamaan oikeudenkäyntikulut. Saman artiklan 4 kohdan ensimmäisen alakohdan mukaisesti väliintulijat vastaavat esillä olevissa asioissa omista oikeudenkäyntikuluistaan.
Näillä perusteilla yhteisöjen tuomioistuin (suuri jaosto) on ratkaissut asian seuraavasti:
1) Lentoyhtiöiden PNR-tietojen käsittelemistä ja siirtämistä Yhdysvaltojen sisäisen turvallisuuden ministeriön alaiselle tulli- ja rajavalvontalaitokselle koskevan Euroopan yhteisön ja Amerikan yhdysvaltojen välisen sopimuksen tekemisestä 17 päivänä toukokuuta 2004 tehty neuvoston päätös 2004/496/EY ja Yhdysvaltojen tulli- ja rajavartiolaitokselle toimitettavien lentomatkustajia koskevaan matkustajarekisteriin sisältyvien henkilötietojen suojan riittävästä tasosta 14 päivänä toukokuuta 2004 tehty komission päätös 2004/535/EY kumotaan.
2) Päätöksen 2004/535 vaikutukset pidetään voimassa 30.9.2006 saakka, mutta näitä vaikutuksia ei kuitenkaan pidetä voimassa mainitun sopimuksen voimassaolon lakkaamisajankohdan jälkeen.
3) Euroopan unionin neuvosto velvoitetaan korvaamaan oikeudenkäyntikulut asiassa C-317/04.
4) Euroopan yhteisöjen komissio velvoitetaan korvaamaan oikeudenkäyntikulut asiassa C-318/04.
5) Euroopan yhteisöjen komissio vastaa omista oikeudenkäyntikuluistaan asiassa C-317/04.
6) Ison-Britannian ja Pohjois-Irlannin yhdistynyt kuningaskunta sekä Euroopan tietosuojavaltuutettu vastaavat omista oikeudenkäyntikuluistaan.
Allekirjoitukset
* Oikeudenkäyntikieli: ranska.