LAUSUNTO Lainvalmisteluosasto Nvm Leena Rantalankila 28.3.2017 8 Eduskunnan hallintovaliokunnalle Euroopan komission ehdotus Euroopan parlamentin ja neuvoston asetukseksi (Eurodac-rekisteri) U 30/2016 vp ja UJ 4/2017 vp Hallintovaliokunta on pyytänyt oikeusministeriöltä kirjallisia kommentteja tietosuojavaltuutetun otsikkoasiassa antamasta 21.3.2017 päivätystä lausunnosta. Tietosuojavaltuutettu esittää lausunnossaan yleisen arvion, jonka mukaan on ilmeistä, että mikäli nyt käsiteltävänä olevat ehdotukset hyväksyttäisiin, johtaisi se Eurodac-rekisterin käyttötarkoituksen niin olennaiseen muuttumiseen, että se olisi Euroopan unionin perusoikeuskirjan 8 artiklan vastaista. Tietosuojavaltuutettu ei ole arvioinut erikseen Eurodac-järjestelmään ehdotettuja muutoksia tai valtioneuvoston kantoja niihin. Lausunnosta ei selviä, johtaisivatko ehdotukset, siinä laajuudessa kuin valtioneuvosto niitä kannattaa, tietosuojavaltuutetun mielestä perusoikeuskirjan 8 artiklan vastaiseen käyttötarkoituksen muutokseen. Tietosuojavaltuutetun lausunnossa kohdissa 1-3 mainittujen ehdotusten tarkoituksena on varmistaa henkilöiden oikea tunnistaminen. Myös henkilötietojen suojan kannalta on tärkeää, että henkilöt tunnistetaan oikein. Euroopan parlamentin raporttiluonnokseen sisältyvät, tietosuojavaltuutetun lausunnossa mainitut ehdotukset 4-7: 4) Europolille annettava suora pääsy järjestelmään. Europolille annettavaa suoraa pääsyä järjestelmään perustellaan sillä, että suora pääsy tehostaisi Europolin tehtävien hoitamista, koska näin vältettäisiin Käyntiosoite Postiosoite Puhelin Faksi Sähköpostiosoite Eteläesplanadi 10 PL 25 02951 6001 09 1606 7730 oikeusministerio@om.fi HELSINKI 00023 VALTIONEUVOSTO
2(5) tarpeettomia menettelyjä ja jäsenvaltioiden järjestelmien kautta tiedon kulkemisen riskejä ja hitautta. Suoran pääsyn antaminen ei sinänsä muuttaisi niitä 22 artiklan mukaisia edellytyksiä, joiden nojalla Europolilla on pääsy järjestelmään eikä sitä, mitä asetuksen 20 artiklassa säädetään vertailun suorittamisesta. (Euroopan parlamentti raporttiluonnoksessa ehdotetaan kuitenkin muutoksia myös näihin edellytyksiin, muutosehdotukset 45 ja 47). 5) Europolin tarkastavaa viranomaista koskevien säännösten poistaminen. Toisin kuin tietosuojavaltuutettu lausunnossaan mainitsee, valtioneuvosto ei ole katsonut, että se voisi hyväksyä tämän ehdotuksen eräin täsmennyksin. Sen sijaan valtioneuvoston pitää keskeisenä sitä, että lainvalvontatarkoituksessa myönnettävän tietojen saannin osalta on huolehdittava pyyntötoiminnan asianmukaisesta tarkastamisesta. Valtioneuvoston näkemyksen mukaan pyyntötoiminnan tarkastaminen on tärkeä henkilötietojen käsittelyn asianmukaisuuden varmistamiseksi. 6) Europolin pääsyn sitominen yleisesti Europolin tehtäviin Valtioneuvosto ei vastusta asetuksen säännösten täsmentämistä siten, että Europolin pääsyn edellytykset sidottaisiin entistä selkeämmin Europolin tarkoituksiin. Tämä ei kuitenkaan saa valtioneuvoston mukaan johtaa Europolin pääsyn laajentamiseen nykyisestä ja pääsyn tulee jatkossakin rajoittua yksittäistapauksellisiin pyyntöihin. Valtioneuvosto katsoo lisäksi, että asetuksessa tulee säilyä edellytys siitä, että Europolilla on oltava selkeä syy epäillä henkilön liittyvän sellaiseen rikokseen, joka edellyttää jäsenmaiden yhteistä toimintaa jäsenmaiden sille toimittamien tietojen perusteella, sekä syy olettaa, että ko. henkilöä koskevia tietoja on Eurodacissa. 7) Europolin pääsyn yksinkertaistamista koskeva ehdotus Euroopan parlamentin raporttiluonnokseen sisältyvän 22 artiklan 1 kohtaa koskevan muutosehdotuksen 45 mukaan Europolille annettaisiin pääsy Eurodac-järjestelmään ja oikeus etsiä sieltä suoraan tietoja vertailua varten. Tämän mukaisesti raporttiluonnoksessa ehdotetaan, että 22 artiklan 1 kohdasta poistetaan edellytys, jonka mukaan pyyntö tietojen vertaamisesta voidaan esittää ainoastaan, jos vertailut kaikissa teknisesti ja oikeudellisesti Europolin käytettävissä olevissa tietojenkäsittelyjärjestelmissä säilytettäviin sormenjälkitietoihin eivät ole johtaneet rekisteröidyn henkilöllisyyden selvittämiseen. Tietosuojavaltuutetun lausunnossa mainitut ehdotukset 8-11 sisältyvät oikeus- ja sisäasiat neuvostossa 9.12.2016 saavutettuun yleisnäkemykseen:
3(5) 8) Tiedusteluviranomaiset Eurodac-järjestelmän käyttäjien ulkopuolelle rajaava säännös poistettaisiin. Säännös poistettaisiin, koska joissakin jäsenvaltioissa tiedusteluviranomaiset suorittavat myös lainvalvontaviranomaisille kuuluvia tehtäviä. Muutos ei tarkoittaisi sitä, että Eurodac-rekisteriä saisi käyttää myös tiedustelutarkoituksiin. 9) Rekisteriin suojelun haun perusteella talletettuja tietoja pidettäisiin vertailtavana myös lainvalvontatarkoituksiin myös silloin, kun henkilölle on myönnetty kansainvälistä suojelua. Tallennusaika pitenisi kolmesta vuodesta kymmeneen vuoteen (3 v => 10 v). Kansainvälistä suojelua saavien henkilöiden tietoja on voitu vertailla lainvalvontatarkoituksissa jo nykyisen Eurodac-asetuksen mukaan (18 artiklan 2 kohdan ensimmäinen kappale). Muutosehdotus koskee sitä, että em. henkilöiden tiedot olisi asetettava saataville vertailun suorittamiseksi lainvalvontatarkoituksia varten 10 vuoden ajaksi nykyisen 3 vuoden sijasta. Tältä osin oikeusministeriö toteaa, että perusoikeuksien yleisten rajoitusedellytysten mukaisesti arvioituna henkilötietojen käsittelyn tulee olla välttämätöntä hyväksyttävän tarkoituksen kannalta (PeVL 29/2016 vp, s. 6). Kymmenen vuoden vertailuaika on pitkä ja oikeusministeriö korostaa, että lainvalvontaviranomaisten tulee voida käsitellä Eurodacjärjestelmään sisältyviä, jo nykyään arkaluonteisiksi henkilötiedoiksi katsottavia biometrisia tietoja vain, jos se on [ehdottoman] välttämätöntä. EU:n 5.5.2016 voimaan tullut uusi tietosuojadirektiivi (2008/977/YOS) määrittelee henkilön yksiselitteiseen tunnistamiseen tarkoitetut biometriset tiedot arkaluonteisiksi tiedoiksi, joita direktiivin mukaan saa käsitellä vain, jos se on ehdottoman välttämätöntä ja edellyttäen, että rekisteröidyn oikeuksia ja vapauksia koskevat asianmukaiset suojatoimet on toteutettu. (Sana ehdottoman ei tuo kielellisesti mitään lisää sanaan välttämätön. Englanniksi absolutely necessary.) 10) Eurodac-rekisteriä saisi käyttää myös silloin, kun henkilö on jo tunnistettu muulla tavoilla luotettavasti. Muutosehdotuksen mukaan asetuksen 21 artiklan 1 kohdan ensimmäisestä virkkeestä poistettaisiin sanat kun vertailu seuraavissa tietokannoissa oleviin tietoihin ei ole johtanut rekisteröidyn henkilöllisyyden selvittämiseen. Poistettu kohta korvattaisiin sanoilla edellyttäen, että vertailu seuraaviin tietokantoihin on suoritettu. Tältä osin voidaan todeta, että se, että vertailu kohdassa tarkoitettuihin tietokantoihin on johtanut rekisteröidyn henkilöllisyyden selvittämiseen, ei tarkoita samaa kuin että henkilö olisi tunnistettu luotettavasti. Kuten U-jatkokirjeessä UJ 40/2016 todetaan, muutos on perustellusti tarpeen nykyisessä tilanteessa, jossa on yleistä, että henkilö antaa itsestään eri tietoja eri rekistereihin. Asetuksessa tarkoitettujen terrorismirikosten ja muiden vakavien rikosten torjumisen, havaitsemisen ja tutkimisen tarkoituksessa on tärkeää saada selville se, mitä eri henkilöllisyyksiä henkilö on itsestään antanut ja missä yhteydessä.
4(5) 11) Velvoite tehdä ensin vertailu VIS-viisumijärjestelmään poistettaisiin. Valtioneuvosto on voinut hyväksyä ehdotuksen VIS-tarkastuksen poistamisesta ennakkoedellytyksenä Eurodac-vertailun suorittamiselle, koska VIS-järjestelmän tekniset ominaisuudet eivät tue sitä, että sinne voisi tehdä kattavasti kyselyjä sormenjäljillä. Tietosuojavaltuutetun lausunnossa mainittujen ehdotusten lisäksi on ehdotettu, että Eurodac-asetukseen sisällytettäisiin ennakkokonsultointimekanismi. Valtioneuvosto on katsonut voivansa alustavasti suhtautua varovaisen myönteisesti ehdotukseen, mutta katsoo, että kannanmuodostuksen tueksi tulee kuitenkin saada tarkempaa tietoa ehdotuksesta. Käyttötarkoitussidonnaisuudesta ja yhteensopivuuden vaatimuksesta Euroopan unionin perusoikeuskirjan 8 artiklan mukaan henkilötietojen käsittelyn on oltava asianmukaista ja sen on tapahduttava tiettyä tarkoitusta varten. Euroopan unionin toiminnasta tehdyn sopimuksen 16 artiklan mukaan jokaisella on oikeus henkilötietojensa suojaan. Euroopan parlamentti ja neuvosto antavat tavallista lainsäätämisjärjestystä noudattaen luonnollisten henkilöiden suojaa koskevat säännöt, jotka koskevat unionin toimielinten, elinten ja laitosten sekä jäsenvaltioiden, silloin kun viimeksi mainitut toteuttavat unionin oikeuden soveltamisalaan kuuluvaa toimintaa, suorittamaa henkilötietojen käsittelyä, sekä säännöt, jotka koskevat näiden tietojen vapaata liikkuvuutta. Voimassa olevan EU:n vuoden -95 henkilötietodirektiivin (6 art. 1 kohdan b alakohta), kansallisen henkilötietolain (7 ), EU:n uuden tietosuojaasetuksen (5 art. 1 kohdan b alakohta) ja EU:n uuden tietosuojadirektiivin (4 art. 1 kohdan b alakohta) mukaan henkilötietoja ei saa myöhemmin käsitellä tavalla, joka on yhteensopimaton sen tarkoituksen kanssa, johon tiedot on alun perin kerätty. Eurodac-järjestelmän alkuperäisenä käyttötarkoituksena on ollut sormenjälkitietoja vertailemalla auttaa määrittämään jäsenvaltio, joka on Dublinin yleissopimuksen mukaisesti vastuussa johonkin jäsenvaltioon jätetyn turvapaikkahakemuksen käsittelystä. Käyttötarkoitussidonnaisuuden ja yhteensopivuuden vaatimuksista huolimatta Eurodac-järjestelmän käyttötarkoitukseksi on sittemmin lisätty tarkoitus taata lainvalvontaviranomaisten ja Europolin pääsy Eurodacrekisterin tietoihin terrorismirikosten tai muiden vakavien rikosten ehkäisemiseksi, havaitsemiseksi tai tutkimiseksi.
5(5) Viime kädessä EU:n tuomioistuin ratkaisee, onko EU:n säädös perussopimusten vastainen. Pääasiallisen käyttötarkoituksen laajentaminen PeV on U-kirjelmästä 30/2016 vp antamassaan lausunnossa PeVL 33/2016 lausunut, että valiokunnan mielestä valtioneuvoston nyt omaksuma erittelemätön kanta, jonka mukaan se kannattaa järjestelmän kehittämistä asetuksen soveltamisalan laajentamiseksi, on perusteltu vain, mikäli sillä ei tarkoiteta Eurodac-järjestelmään talletettujen henkilötietojen pääasiallisen käyttötarkoituksen laajentamista. Yleisesti voidaan todeta, että mitä enemmän lainvalvontaviranomaisten oikeutta käyttää Eurodac-järjestelmää lisätään, sitä enemmän Eurodacjärjestelmän käyttötarkoitus muuttuu lainvalvontaviranomaisten tarpeita palvelevaan suuntaan. On vaikeaa vetää tarkkaa rajaa sille, missä vaiheessa voidaan katsoa, että Eurodac-järjestelmään talletettujen henkilötietojen pääasiallinen käyttötarkoitus tästä syystä laajenee.