Viimeksi julkaistu 10.2.2023 11.54

Valtioneuvoston U-kirjelmä U 111/2022 vp Valtioneuvoston kirjelmä eduskunnalle ehdotuksista Euroopan parlamentin ja neuvoston asetuksiksi lentomatkustajia koskevien ennakkomatkustustietojen keräämisestä ja siirtämisestä (API-asetukset)

Perustuslain 96 §:n 2 momentin perusteella lähetetään eduskunnalle komission ehdotukset Euroopan parlamentin ja neuvoston asetuksiksi matkustajien ennakkotietojen keräämisestä ja siirtämisestä terrorismirikosten ja vakavan rikollisuuden ennalta estämistä, paljastamista ja tutkintaa sekä tällaisiin rikoksiin liittyviä syytetoimia varten ja asetuksen (EU) 2019/818 muuttamisesta sekä matkustajien ennakkotietojen keräämisestä ja siirtämisestä ulkorajavalvonnan helpottamiseksi, asetuksen (EU) 2019/817 muuttamisesta ja asetuksen (EU) 2018/1726 ja neuvoston direktiivin 2004/82/EY kumoamisesta sekä ehdotuksista laadittu muistio.  

Helsingissä 9.2.2023 
Sisäministeri 
Krista 
Mikkonen 
 
Poliisijohtaja 
Hannele 
Taavila 
 

MUISTIOSISÄMINISTERIÖ9.2.2023EU/1567/2022EUROOPAN KOMISSION EHDOTUKSET EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUKSIKSI

Tausta

Komissio antoi 13.12.2022 asetusehdotukset 1) matkustajien ennakkotietojen keräämisestä ja siirtämisestä ulkorajavalvonnan helpottamiseksi, asetusten 2019/817 ja 2018/1726 muuttamisesta sekä direktiivin 2004/82/EY kumoamisesta (COM(2022)729 final) (jäljempänä raja-API ehdotus) ja 2) matkustajien ennakkotietojen keräämisestä ja siirtämisestä terrorismirikosten ja vakavan rikollisuuden ennalta estämistä, paljastamista ja tutkintaa sekä tällaisiin rikoksiin liittyviä syytetoimia varten ja asetuksen 2019/2018 muuttamisesta (COM(2022) 731 final) (jäljempänä lainvalvonta-API ehdotus). 

Lentomatkustajien määrä on kasvanut tasaisesti kuluneiden vuosikymmenien aikana ja vuonna 2019 noin 4,5 miljardia ihmistä matkusti säännöllisiä lentoyhteyksiä käyttäen. Kansainvälisellä tasolla YK:n turvallisuusneuvoston päätöslauselmissa on vuodesta 2014 lähtien toistuvasti vaadittu matkustajatietojärjestelmien perustamista ja maailmanlaajuista käyttöönottoa lainvalvontatarkoituksiin. Lisäksi näiden tietojen käytön tärkeys terrorismin ja kansainvälisen rikollisuuden torjunnassa on nostettu esille myös Euroopan turvallisuus- ja yhteistyöjärjestö ETYJ:ssä.  

Komissio on ehdotuksissaan todennut vakavan ja järjestäytyneen rikollisuuden lisääntyneen EU:ssa ja muualla maailmassa viime vuosikymmenen aikana. Europolin EU:n vakavan ja järjestäytyneen rikollisuuden uhka-arvioinnin mukaan järjestäytynyt rikollisuus on luonteeltaan usein rajat ylittävää ja hyödyntää kansainvälisiä matkustusyhteyksiä, tavoitteenaan tyypillisesti ihmisten, huumeiden tai muiden laittomien tavaroiden salakuljetus EU:hun. Lentoliikenteen osalta rikolliset käyttävät usein EU:n tärkeimpiä lentoasemia sekä pienempiä alueellisia lentoasemia. Niin ikään terrorismi on usein valtioiden rajat ylittävää, johon liittyy joko kansainvälisiä kontakteja tai matkoja EU:n ulkopuolelle. Tällöin lentomatkustajia koskevat tiedot ovat tärkeä väline lainvalvontaviranomaisille vakavan rikollisuuden ja terrorismin torjunnassa. 

Ehdotusten tavoitteet

EU:n alueella yli miljardi ihmistä lentää vuosittain kansainvälisiä lentoyhteyksiä käyttäen. Ulkorajaliikenteessä lentoyhteyksiä käyttäen matkustaa yli 500 miljoonaa ihmistä. EU:ssa on ollut voimassa vuodesta 2004 alkaen direktiivi ulkorajaliikenteen liikenteenharjoittajien velvollisuudesta toimittaa tietoja matkustajista (2004/82/EY, jäljempänä API-direktiivi). API-direktiivin soveltamisessa on jäsenmaakohtaisia eroja ja osa jäsenmaista ei sovella sitä ollenkaan. Komission toimittamien tietojen mukaan API-tietoja hyödynnetään vain noin 65-prosentin kattavuudella saapuvan liikenteen matkustajia koskien.  

Suomessa ulkorajaliikenteen matkustajatietoja (jäljempänä API-tiedot) käsittelee Rajavartiolaitoksen ennakkotarkastustoiminto. API-tietojen käsittelyn tavoitteena on parantaa rajatarkastusten sujuvuutta, kohdentamista ja tehokkuutta. Tällä hetkellä API-tiedot toimitetaan kuitenkin viranomaisille vasta siinä vaiheessa, kun lennon portti on sulkeutunut, eli matkustajien ei enää ole mahdollista nousta ilma-alukseen tai poistua sieltä. 

Terrorismirikosten ja vakavan rikollisuuden ennalta estämistä, paljastamista ja tutkintaa sekä tällaisiin rikoksiin liittyviä syytetoimia varten on ollut voimassa vuodesta 2016 alkaen matkustajatietorekisteriä koskeva direktiivi (2016/681, jäljempänä PNR-direktiivi), jota voi ulkorajaliikenteen ohella soveltaa myös EU:n sisäisiin lentoihin erikseen säädetyn mukaisesti. Matkustajarekisteritietoja (jäljempänä PNR-tiedot) Suomessa käsittelee osana PTR-rikostiedustelurakennetta poliisin johtama PTR-matkustajatietokeskus (jäljempänä PIU-yksikkö). PNR-tiedot toimitetaan viranomaisille viimeistään 24 tuntia ennen lähtöä sekä lennon portin sulkeuduttua. 

API-tiedot ja PNR-tiedot ovat luonteeltaan hieman erilaisia: API-tiedot tarkistetaan lennon lähtöselvityksen yhteydessä ja ne sisältävät muun muassa tiedot henkilön käyttämästä matkustusasiakirjasta, kun taas PNR-tiedot perustuvat pelkästään matkustajan tekemään ilmoitukseen lennon varauksen yhteydessä. Matka- ja lentoyhtiöiden keräämä varaustieto on sisällöltään vaihtelevaa. Lainvalvontatarkoituksessa API- ja PNR-tietoja olisi jatkossa mahdollista käsitellä rinnakkain kuusimerkkisen PNR-varaustunnuksen avulla. 

Lentoliikenteen harjoittaja kerää API-tietoja matkustajan lähtöselvityksen yhteydessä verkkolähtöselvityksessä ja lentokentällä vain silloin, kun siihen liittyy velvoite. Sen jälkeen tiedot lähetetään toimivaltaisille rajaviranomaisille matkustajaluettelona, joka sisältää kaikki koneessa olleet matkustajat koneen lähdön yhteydessä. Tällä hetkellä ulkorajavalvonnassa ei hyödynnetä kaikkea sitä tietoa, joka olisi API-tietoina saatavissa matkustajan lähtöselvityksen yhteydessä. Lentoliikenteen harjoittajat lähettävät API-tiedot kunkin jäsenmaan viranomaisen määrittelemän yksilöllisen järjestelyn mukaisesti, mikä lisää haasteita liikenteen harjoittajille. Siinä missä PNR-tiedot ovat matkustajien toimittamia todentamattomia tietoja, katsotaan API-tiedot varmennetuiksi tiedoiksi, koska ne vastaavat koneeseen nousseita matkustajia, ja joita myös lainvalvontaviranomaiset voivat käyttää epäiltyjen ja etsittyjen henkilöiden tunnistamiseen. Lentoliikenteen harjoittajan on toimitettava matkustajatietoyksikölle matkustajarekisteritiedot sekä Euroopan unionin ulkopuolisista että Euroopan unionin sisäisistä saapuvista ja lähtevistä operoimistaan lennoista siltä osin kuin niitä on kerätty ns. tavanomaisen liiketoiminnan yhteydessä. PNR-tiedoissa on tästä johtuen usein puutteita, erityisesti Euroopan unionin sisäisessä lentoliikenteessä.  

EU:n nykyisen oikeudellisen kehyksen mukaan vain PNR-tietoja voidaan käyttää vakavan rikollisuuden ja terrorismin torjunnassa. Sääntely ei ole yhdenmukaista API-tietojen kanssa, joita voidaan kerätä vain ulkorajaliikenteen lennoilta. Komission mukaan tämä johtaa turvallisuuspuutteeseen, sillä EU:n sisäisten lentojen osalta lentoliikenteen harjoittajat siirtävät jäsenvaltioille vain PNR-tietoja. Nykyisellään tämä tarkoittaa sitä, että lainvalvontaviranomaiset eivät voi hyötyä API-tietojen ja PNR-tietojen yhteiskäsittelyn tuloksista EU:n sisäisillä lennoilla.  

API-direktiivistä vuonna 2020 teetetyn arvioinnin mukaan API-tietojen keräämistä koskevat EU:n säännöt eivät enää ole tarkoituksenmukaisia. Arvioinnissa katsottiin myös, että API-tiedot ja PNR-tiedot olisi järkevää yhdistää, jotta viimeksi mainittujen luotettavuutta ja tehokkuutta lainvalvontavälineenä voitaisiin parantaa.  

Asetusehdotukset koskevat vain lentoliikenteen matkustajia. Muista matkustusmuodoista säädetään eri säädöspohjalla kansainvälisesti esimerkiksi laivamatkustajia koskien (osana Schengenin rajasäännöstöä) tai kansallisesti esimerkiksi junamatkustajia koskien. Lentoliikenteestä asetusten piirissä on säännöllinen ja ei-säännöllinen liikenne. Raja-API ehdotus koskee rajaviranomaisten käsittelemiä matkustajatietoja vain EU-alueelle saapuvassa ulkorajalentoliikenteessä. Lainvalvonta-API ehdotus koskee PIU-yksiköiden käsittelemiä lentoliikenteen matkustajatietoja niin EU:n suuntautuvilla kuin sieltä lähtevillä lennoilla sekä tietyillä EU:n sisäisillä lennoilla. 

Ehdotusten tavoitteena on:  

1. Saattaa voimaan aiempaa yhdenmukaisemmat säännöt lentoliikenteen matkustajien API-tietojen kattavammalle ja tarkemmalle keräämiselle ja siirtämiselle ulkorajatarkastusten asianmukaiseksi järjestämiseksi ja tehostamiseksi sekä terrorismirikosten ja vakavan rikollisuuden ehkäisemiseksi, havaitsemiseksi, tutkimiseksi ja syytetoimiin saattamista varten. 

2. Yhdenmukaistaa API- ja PNR-tietojen käytettävyyttä ja käsitellä tietoja rinnakkain lainvalvontatarkoituksessa. Ehdotusten perusteella lainvalvontaviranomaisten PIU-yksiköt saisivat kattavammat matkustajien arviointitulokset EU-alueen sisäisiltä lennoilta, joilta kerättäisiin jatkossa sekä API- että PNR-tietoja. API-tietojen ja PNR-tietojen yhdistetty käyttö antaa toimivaltaisille kansallisille lainvalvontaviranomaisille mahdollisuuden varmistaa matkustajien henkilöllisyys aiempaa paremmin ja menettely parantaa huomattavasti PNR-tietojen luotettavuutta.  

3. Siirtyä keskitetyn EU-tason reitittimen käyttöön ja siirtää API-tiedot viranomaisille aiempaa ennakoivammin ja varmemmin. 

4. Vahvistaa paremmat säännöt lentoliikenteen harjoittajien API-tietojen keräämiselle ja siirrolle terrorismirikosten ja vakavan rikollisuuden ehkäisemiseksi, havaitsemiseksi, tutkimiseksi ja syytteeseenpanoa varten. 

5. Parantaa API-tietojen käsittelyn valvontaa ja tietosuojaa korkeilla turvallisuusstandardeilla sekä lisätä oikeusvarmuutta matkustajien ja liikenteenharjoittajien näkökulmista. Asetusehdotuksissa ja niiden valmistelussa on huomioitu myös unionin tuomioistuimen päätös PNR-direktiivin soveltamiseen liittyen. Lähtökohtana on, että jäsenmaat ja niiden viranomaiset voivat käsitellä tietoja vain, kun se on tarpeellista ja oikeutettua. Uusi reititin mahdollistaa kerättyjen tietojen aiempaa paremman suodattamisen, jotta voidaan käsitellä tietoja vain halutuista ja valikoiduista lennoista. Tavoitteena on varmistaa EU:n perusoikeuskirjaan (jäljempänä peruskirja) sisältyvien perusoikeuksien, erityisesti oikeuksien yksityisyyteen ja henkilötietojen suojaan, sekä niistä aiheutuvien välttämättömyys- ja suhteellisuusvaatimusten noudattaminen. Raja-API- ja lainvalvonta-API ehdotus ovat tarkoin rajoitettuja ja sisältävät tiukat henkilötietojen suojarajoitukset ja suojatoimenpiteet. 

Ehdotusten pääasiallinen sisältö

I) ehdotus matkustajia koskevien ennakkotietojen keräämisestä ja siirtämisestä ulkorajatarkastusten tehostamiseksi ja järjestämiseksi (raja-API ehdotus) 

Ehdotuksen luku I (artiklat 1-3) sisältää yleiset säännökset. Artiklan 1 mukaan ulkorajatarkastusten sujuvuuden ja tehokkuuden parantamiseksi ja laittoman maahantulon torjumiseksi ehdotuksessa määriteltäisiin säännöt a) lentoliikenteen harjoittajien suorittamalle ennakkomatkustajatietojen (API-tietojen) keräämiseksi EU-alueelle suuntautuvia lentoja koskien b) lentoliikenteen harjoittajien suorittaman API-tietojen siirron tiedonsiirtoreitittimelle (reititin) sekä c) API-tietojen siirrolle tiedonsiirtoreitittimeltä toimivaltaisille rajaviranomaisille. Artiklan 2 mukaan asetusehdotus koskee lentoliikenteen harjoittajia, jotka harjoittavat säännöllistä ja ei-säännöllistä lentoliikennettä EU:n alueelle. Artikla 3 määrittelee asetusehdotuksessa käytettävät käsitteet. 

Ehdotuksen luku II (artiklat 4-8) käsittelee API-tietojen keräämiseen ja siirtämiseen liittyvät säännökset. Artiklan 4 mukaan lentoliikenteen harjoittajien keräämien API-tietojen tulisi sisältää matkustajasta seuraavat tiedot: sukunimi ja etunimet; syntymäaika; sukupuoli ja kansalaisuus; matkustusasiakirjan tyyppi ja sen myöntänyt maa sekä matkustusasiakirjan voimassaoloaika; onko henkilö matkustaja vai miehistön jäsen; PNR-varaustunnus; istumapaikka lentokoneessa (jos tieto on saatavilla) sekä matkatavaroiden lukumäärä (jos tieto on saatavilla). API-tietojen tulee myös sisältää seuraavat lentoa koskevat tiedot: lennon numero tai muu lennon yksilöivä selkeä tunniste; rajanylityspaikka, jonka kautta EU-alueelle saavutaan (kun tarkoituksenmukaista); lentoaseman koodi, jonka kautta jäsenmaan alueelle saavutaan; paikka, josta lentokoneen kyytiin on noustu; lennon lähtöaika (paikallista aikaa) ja lennon saapumisaika (paikallista aikaa).  

Artikla 5 määrittelisi sen, miten API-tietoja kerätään. Lentoliikenteen harjoittajien tulee kerätä artiklassa 4 määritellyt ja artiklan 6 mukaan siirrettävät tiedot sellaisella tavalla, että tiedot ovat tarkkoja, eheitä ja ajantasaisia. Tiedot tulee kerätä luotettavalla ja turvallisella automatisoidulla tavalla hyödyntäen matkustusasiakirjojen koneluettavia tietoja. Jos koneluettavien tietojen hyödyntäminen ei ole mahdollista, lentoliikenteen harjoittajien tulee kerätä tiedot manuaalisesti. Komissio voi myöhemmin delegoiduilla säädöksillä säätää teknisistä vaatimuksista ja toiminnallisista säännöistä API-tietojen keräämiseen liittyen. Artikla 6 määrittää liikenteenharjoittajien velvollisuudet API-tietojen elektroniseen siirtoon liittyen. API-tiedot tulee siirtää sekä lennon lähtöselvityksen yhteydessä (check-in) että heti sen jälkeen, kun lennon portti on sulkeutunut eikä matkustajien enää ole mahdollista nousta koneeseen tai poistua sieltä. Komissio voi delegoiduilla säädöksillä säätää tiedonsiirtoon liittyvistä teknisistä asioista erikseen. Jos liikenteenharjoittaja havaitsee, että sen toimittamat tiedot ovat vääriä, puutteellisia tai vanhentuneita, tai niitä on käsitelty laittomasti, tulee sen välittömästi informoida eu-LISA:a ja eu-LISA:n tulee välittömästi informoida toimivaltaisia rajaviranomaisia asiasta. Artiklan 7 mukaan rajaviranomaiset saavat käsitellä tietoja vain artiklan 1 mukaisesti. 

Artiklan 8 mukaan liikenteenharjoittajien ja toimivaltaisten rajaviranomaisten tulee säilyttää API-tietoja lennon lähdön jälkeen 48 tunnin ajan. 48 tunnin jälkeen tiedot tulee välittömästi ja pysyvästi tuhota. Jos kerätyt tiedot ovat vääriä, epätarkkoja, vanhentuneita tai niitä on käsitelty laittomasti, tiedot tulee joko korjata, päivittää tai pysyvästi tuhota. 

Luku III (artiklat 9-14) käsittelee reitittimeen liittyviä säännösehdotuksia. Eu-LISA:n tulee suunnitella, toimeenpanna ja hallinnoida reitittimeen liittyviä asioita ja teknisesti operoida reititintä API-tietojen siirron mahdollistamiseksi lentoliikenteen harjoittajilta rajaviranomaisille ja lainvalvontaviranomaisten matkustajatietoyksiköille (PIU-yksiköille). Reitittimen tulee olla keskitetysti rakennettu ja sen tulee mahdollistaa turvallinen tiedonsiirto. Sen tulee mahdollisuuksien mukaan hyödyntää jo aiemmin tehtyjä ratkaisuja ja rakennettuja tai suunnitteilla olevia teknisiä komponentteja (esimerkiksi carrier gateway). Reititintä ei saa hyödyntää muuhun kuin API-tietojen siirtoon ja vastaanottamiseen. Artikla 11 käsittelee tiedonsiirtoa reitittimeltä rajaviranomaisille. Eu-LISA:n tulee ylläpitää vastaavuusluetteloa lentojen maakohtaisista lähtö- ja saapumispaikoista tiedonsiirron mahdollistamiseksi. Jäsenmaiden tulee nimetä toimivaltaiset rajaviranomaiset, jotka saavat vastaanottaa API-tietoja. Komission tulee julkaista koottu lista kyseisistä rajaviranomaisista. Jäsenmaiden tulee laatia säännöt siitä, ketkä ovat oikeutettuja API-tietojen käsittelyyn. Sääntöjen tulee sisältää ylläpidettävä lista niistä henkilöistä (tehtävineen), jotka ovat oikeutettuja API-tietoja käsittelemään. Komissio voi delegoiduilla säädöksillä säätää teknisistä ja menetelmällisistä vaatimuksista koskien tiedonsiirtoa reitittimeltä. 

Artiklan 12 mukaan API-data tulee tuhota reitittimeltä heti, kun se on siirretty toimivaltaisille viranomaisille. Artiklan 13 mukaan eu-LISA:n tulee kerätä lokitietoja esimerkiksi API-tietojen siirtoon liittyen. Lokitiedot eivät saa sisältää matkustajien henkilötietoja. Lokitietojen tarkoitus on varmistaa API-tietojen turvallisuus ja eheys. Lokitietoja tulee säilyttää vuoden ajan, jonka jälkeen lokitiedot tulee tuhota (ellei niitä tarvita esimerkiksi erillisiin selvityksiin, joiden valmistuttua tiedot tulee viimeistään tuhota). Artikla 14 käsittelee tilannetta, jossa reititin ei ole teknisistä syistä käytettävissä. Varajärjestelyä API-tiedon siirrolle ei ole olemassa, vaan ongelmat pyritään korjaamaan mahdollisimman nopeasti. 

Luku IV (artiklat 15-19) käsittelee tietosuojaan liittyviä säännöksiä. Artikla 15 määrittelee henkilötietojen rekisterinpitäjäksi rajaviranomaiset ja lentoliikenteen harjoittajat asetuksen (EU) 2016/679 mukaisesti. Artiklan 16 mukaan eu-LISA on henkilötietojen käsittelijä asetuksen (EU) 2018/1725 mukaisesti. Artiklan 17 mukaisesti eu-LISA:n tulee varmistaa API-tietojen turvallisuus ja muun muassa fyysisesti suojata reititin. Eu-LISA:n tulee myös huolehtia siitä, että se voi varmistaa tietojen päätyvän oikeaan paikkaan. Myös viranomaisten ja lentoliikenteen harjoittajien tulee varmistua tietojenkäsittelyn turvallisuudesta. Artiklan 18 mukaisesti viranomaisten ja lentoliikenteen harjoittajien tulee omatoimisesti valvoa, että he käsittelevät tietoja asetusehdotusten mukaisesti. 

Artiklan 19 mukaisesti kansallisten tietosuojaviranomaisten tulee (asetuksen [EU] 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta [yleinen tietosuoja-asetus] mukaisesti) valvoa API-tietoja ja niihin liittyvää henkilötietojen käsittelyä. Tarkastus tulee suorittaa vähintään kerran neljässä vuodessa. Euroopan tietosuojavaltuutetun tulee varmistaa, että API-tietojen käsittelyä tarkastetaan vähintään kerran vuodessa. Raportti tarkastuksesta tulee toimittaa EU parlamentille, neuvostolle, komissiolle, jäsenmaille ja eu-LISA:lle. Euroopan tietosuojavaltuutetulle on oikeus saada kaikki pyytämänsä tiedot eu-LISA:lta. 

Luku V (artiklat 20-28) käsittelee reitittimeen liittyviä tietoyhteyksiä ja erillisiä säädöksiä. Jäsenmaiden (toimivaltaisten rajaviranomaisten) ja lentoliikenteen harjoittajien tulee varmistaa tarvittavat yhteydet reitittimeen. Komissio voi delegoiduilla säädöksillä säätää yksityiskohtaisista vaatimuksista reititinyhteyksille. Eu-LISA:n tulee pyyntöön perustuen tarjota viranomaisille koulutusta reitittimeen liittyvissä teknisissä asioissa sekä tukea viranomaisia API-tietojen vastaanottamisessa reitittimen kautta. Artiklan 25 mukaan eu-LISA:n reitittimeen liittyvät kustannukset katetaan EU:n budjetista. Myös jäsenmaiden kustannukset reititinyhteyksiin ja tarvittavaan integraatioon liittyen katetaan EU:n budjetista. Jäsenmaiden tulee kuitenkin itse kattaa kansalliset kustannukset muun muassa projektihenkilöstöön ja kansallisiin tietojärjestelmiin sekä reititinyhteyksien ylläpitoon liittyen. Reititin voidaan ottaa vapaaehtoiseen käyttöön ennen asetuksen varsinaista voimaanastumista. 

Luku VI (artiklat 29-32) käsittelee valvontaa, rangaistuksia, tilastoja ja käsikirjan laatimista. Artiklan 29 mukaisesti jäsenmaiden tulee nimetä yksi tai useampia kansallisia viranomaisia valvomaan, että lentoliikenteen harjoittavat toimivat asetuksen edellyttämällä tavalla jäsenmaan vastuualueella. Valvovalla viranomaisella tulee olla tarvittavat keinot ja toimivaltuudet käytössään sanktioiden asettamiseen. Valvovien viranomaisten tulee toimia tehokkaasti, tarkoituksenmukaisesti ja suhteellisuusperiaatetta noudattaen. Valvovien viranomaisten tiedot tulee toimittaa komissiolle. Artiklan 30 mukaisesti jäsenmaiden tulee säätää tämän asetuksen vastaisesta toiminnasta aiheutuvat seuraamukset. Seuraamusten tulee olla tehokkaita, tarkoituksenmukaisia ja ennaltaehkäiseviä. Artiklan 31 mukaisesti eu-LISA:n tulee toimittaa tilastoja esimerkiksi reitittimen toiminnasta. Artiklan 32 mukaisesti komission tulee yhdessä jäsenmaiden viranomaisten, liikenteenharjoittajien ja muiden tarkoituksenmukaisten tahojen kanssa laatia ja asettaa julkisesti saataville käsikirja tämän asetuksen toimeenpanemiseksi.  

Luvussa VII (artiklat 33-35) käsitellään asetusehdotuksen suhdetta olemassa oleviin säädöksiin liittyen ja kuvataan tarvittavat muutokset (esimerkiksi API-direktiivin kumoaminen).  

Luku VIII (artiklat 36-39) sisältää loppusäännökset. Ne käsittelevät muun muassa delegoitujen säädösten antamista artikloissa 5, 6, 11, 20 ja 21 viitatun mukaisesti sekä valvontaa ja arviointia. Artiklan 39 mukaisesti velvoite toimia asetuksen mukaisesti alkaisi kaksi vuotta sen jälkeen, kun reititin on virallisesti toiminnassa.  

ii) ehdotus matkustajia koskevien ennakkotietojen keräämisestä ja siirtämisestä terrorismirikosten ja vakavan rikollisuuden ennaltaehkäisemiseksi, paljastamiseksi, tutkimiseksi ja syytetoimia varten (lainvalvonta-API ehdotus) 

Ehdotuksen I luvussa (artiklat 1-3) esitetään asetuksen yleiset säännökset alkaen aihetta ja soveltamisalaa koskevista säännöistä. Artiklassa 1 vahvistetaan säännöt terroririkosten ja vakavan rikollisuuden ehkäisemiseksi, paljastamiseksi, tutkimiseksi ja syytteeseenpanoa varten, jotka koskevat: 

a) lentoliikenteen harjoittajien suorittamaa ennakkomatkustajatietojen (API-tietojen) keräämistä EU:n ulkopuolisista lennoista ja EU:n sisäisistä lennoista; 

b) lentoliikenteen harjoittajien suorittamaa API-tietojen siirtoa reitittimelle; 

c) EU:n ulkopuolisten lentojen ja valikoitujen EU:n sisäisten lentojen API-tietojen välittämistä reitittimeltä kansallisille matkustajatietoyksiköille (PIU-yksikkö). 

Artiklassa 2 todetaan asetuksen soveltamisen laajuudesta: asetusta sovelletaan lentoliikenteen harjoittajiin, jotka lentävät säännöllisiä tai ei-säännöllisiä lentoja EU:n ulkopuolelta, EU:n ulkopuolelle tai EU:n sisäisiä lentoja. Artikla 3 sisältää luettelon määritelmistä. 

Luku II käsittää artiklat 4-5. Luvussa esitetään säännökset lentoliikenteen harjoittajien API-tietojen keräämisestä, siirtämisestä reitittimelle ja poistamisesta sekä säännöt API-tietojen siirrosta reitittimestä kansallisille matkustajatietoyksiköille. 

Artikla 4 säätää ennakkomatkustajatietojen keräämisestä. Lentoliikenteen harjoittajien on kerättävä API-tietoja matkustajista 2 artiklassa tarkoitetuilla lennoilla, jotta nämä API-tiedot voidaan siirtää reitittimelle. Jos lento on jaettu koodilla yhden tai useamman lentoliikenteen harjoittajan kesken, velvoite API-tietojen siirtämisen on oltava lentoa operoivalla lentoliikenteen harjoittajalla. Artiklan 4 kohdassa 2 todetaan, että lentoliikenteen harjoittajien on kerättävä API-tiedot siten, että niiden siirtämät API-tiedot ovat tarkkoja, täydellisiä ja ajan tasalla. API-tiedot on kerättävä käyttämällä automaattisia keinoja matkustusasiakirjan koneellisesti luettavien tietojen keräämiseksi. Keinojen on noudatettava yksityiskohtaisia teknisiä vaatimuksia ja toimintasääntöjä, jos tällaiset säännöt on hyväksytty ja niitä sovelletaan. Jos tällainen automaattisten keinojen käyttö ei kuitenkaan ole mahdollista, koska matkustusasiakirja ei sisällä koneellisesti luettavia tietoja, lentoliikenteen harjoittajien on kerättävä kyseiset tiedot manuaalisesti. 

Artiklassa todetaan, että lentoliikenteen harjoittajien API-tietojen keräämiseen käyttämien automaattisten keinojen on oltava luotettavia, turvallisia ja ajan tasalla. Lentoliikenteen harjoittajien on siirrettävä kerätyt API-tiedot reitittimelle sähköisesti yksityiskohtaisten sääntöjen mukaisesti. Lentoliikenteen harjoittajien on siirrettävä API-tiedot sekä lähtöselvityksen yhteydessä että välittömästi lennon sulkemisen jälkeen, eli kun matkustajat ovat nousseet lentokoneeseen valmistautuessaan lähtöön ja matkustajien ei ole enää mahdollista nousta lentokoneeseen tai poistua koneesta. 

Artiklan 4 mukaan rajoittamatta lentoliikenteen harjoittajien mahdollisuutta säilyttää ja käyttää tietoja, jos ne ovat tarpeen niiden tavanomaisen liiketoiminnan kannalta sovellettavan lain mukaisesti, lentoliikenteen harjoittajien on välittömästi joko korjattava, täydennettävä tai päivitettävä tai poistettava ne pysyvästi.  

Artikla 5 säätää ennakkomatkustajatietojen siirtämisestä reitittimeltä edelleen kansallisille matkustajatietoyksiköille. Artiklassa todetaan, että reitittimen on välittömästi ja automaattisesti lähetettävä lentoliikenteen harjoittajien sille siirtämät API-tiedot sen jäsenvaltion matkustajatietoyksiköille, jonka alueelle lento laskeutuu tai josta lento lähtee, tai molempiin, jos kyseessä on EU:n sisäinen lento. Jos lennolla on yksi tai useampi välilasku muiden jäsenvaltioiden alueella kuin sen, josta se lähti, reitittimen on lähetettävä API-tiedot kaikkien asianomaisten jäsenvaltioiden matkustajatietoyksiköille. 

Tällaista tiedonsiirtoa varten eu-LISA laatii ja pitää ajan tasalla vastaavuustaulukon eri lähtö- ja kohdelentoasemien ja niiden maiden välillä, joihin ne kuuluvat. Kohdassa 2 todetaan, että jäsenvaltioiden, jotka päättävät soveltaa PNR-direktiiviä EU:n sisäisiin lentoihin 2 artiklan mukaisesti, on kunkin laadittava luettelo kyseisistä EU:n sisäisistä lennoista. EU:n sisäisten lentojen osalta reititin saa kuitenkin välittää API-tiedot kyseiselle matkustajatietoyksikölle vain luetteloon sisältyvien lentojen osalta. Kyseisten jäsenvaltioiden on tarkistettava ja tarvittaessa päivitettävä luettelot säännöllisesti ja toimitettava eu-LISA:lle välittömästi kaikki tällaiset päivitetyt luettelot. Näissä luetteloissa olevia tietoja on käsiteltävä luottamuksellisesti. Reitittimen on lähetettävä API-tiedot kohdassa 3 tarkoitettujen yksityiskohtaisten sääntöjen mukaisesti. 

Luku III käsittää artiklat 6 - 9. Artikla 6 säädetään lokien pitämisestä ja lokeja koskevasta sääntelystä. Artiklassa 7 säädetään siitä, keitä asetuksen tarkoittamat henkilötietojen rekisterinpitäjät ovat tämän asetuksen mukaisten henkilötietojen muodostavien API-tietojen käsittelyssä. Artiklan 7 mukaan tällainen rekisterinpitäjä on kansallinen matkustajatietoyksikkö (PIU-yksikkö) PNR-direktiivin 3 artiklan tarkoittamalla tavalla. Artikloissa 8 ja 9 säädetään lentoliikenteen harjoittajien ja matkustajatietoyksiköiden suorittamasta tietojen käsittelyä koskevasta turvallisuudesta ja omavalvonnasta. 

Luvussa IV (artiklat 10–14) esitetään lisäksi säännöt kansallisten matkustajatietoyksiköiden ja lentoliikenteen harjoittajien yhteyksistä ja integroinnista reitittimeen ja sekä tähän liittyvistä jäsenvaltioiden kustannuksista. Luku sisältää myös säännöksiä, jotka säätelevät tilannetta, jossa reitittimen käyttö on osittain tai kokonaan teknisesti mahdotonta. Artiklassa 14 säädetään vastuusta reitittimelle aiheutuneista vahingoista. 

Luku V käsittää artiklat 15 – 17. Luvussa 5 on säännöksiä valvonnasta, mahdollisista seuraamuksista, joita lentoliikenteen harjoittajiin voidaan soveltaa, jos ne eivät täytä tässä asetuksessa säädettyjä velvollisuuksiaan, sekä käytännön käsikirjan laatimisesta komission toimesta. 

Luku VI käsittää artiklan 18, jossa säädetään muutoksista muihin olemassa oleviin säädöksiin eli asetukseen (EU) 2019/818. kehyksen vahvistamisesta poliisiyhteistyötä ja oikeudellista yhteistyötä sekä turvapaikka- ja muuttoliikeasioita koskevien EU:n tietojärjestelmien yhteentoimivuudelle. 

Luku VII käsittää artiklat 19 – 21, jotka koskevat reititintä ja tiedonsiirtoa käsittelevien delegoitujen säädösten antamista artikloissa 4 (kohdat 5 ja 9), 5 (kohta 3), 10 (kohta 2) ja 11 (kohta 2). Lisäksi luvun artiklat koskevat asetuksen seurantaa ja arviointia sekä sen voimaantuloa ja soveltamista. 

Ehdotusten oikeusperusta ja suhde suhteellisuus- ja toissijaisuusperiaatteisiin

Komissio ehdottaa raja-API ehdotuksen oikeusperustaksi Euroopan unionin toiminnasta tehdyn sopimuksen (SEUT) artikloita 77(2)(b)(d) ja 79(2)(c).  

Artiklan 77(2)(b)(d) kohtien nojalla Euroopan parlamentti ja neuvosto säätävät tavallista lainsäätämisjärjestystä noudattaen tarkastuksista, joita tehdään ulkorajoja ylittäville henkilöille sekä kaikista tarvittavista toimenpiteistä, joilla otetaan vaiheittain käyttöön yhdennetty ulkorajojen valvontajärjestelmä.  

Artiklan 79(2)(c) nojalla Euroopan parlamentti ja neuvosto säätävät tavallista lainsäätämisjärjestystä noudattaen toimenpiteistä aloilla, jotka liittyvät laittomaan maahanmuuttoon ja luvattomaan oleskeluun, sekä laittomasti maassa olevien henkilöiden maasta poistamiseen palauttaminen mukaan luettuna. 

Nykyinen API-direktiivi perustuu samaan oikeusperustaan. 

Komissio ehdottaa lainvalvonta-API ehdotuksen oikeusperustaksi Euroopan unionin toiminnasta tehdyn sopimuksen (SEUT) artikloita 82(1)(d) ja 87(2)(a).  

Artiklan 82(1)(d) kohdan mukaan Euroopan parlamentti ja neuvosto säätävät tavallista lainsäätämisjärjestystä noudattaen toimenpiteistä, joiden tarkoituksena on helpottaa jäsenvaltioiden oikeusviranomaisten tai vastaavien viranomaisten yhteistyötä rikosasioiden käsittelyn ja päätösten täytäntöönpanon yhteydessä.  

Artiklan 87(2)(a) kohdan mukaan Euroopan parlamentti ja neuvosto säätävät tavallista lainsäätämisjärjestystä noudattaen toimenpiteistä, jotka koskevat jäsenvaltioiden kaikkien toimivaltaisten viranomaisten, kuten poliisi- ja tulliviranomaisten sekä rikosten ehkäisemiseen, paljastamiseen ja tutkintaan erikoistuneiden muiden lainvalvontaviranomaisten välistä poliisiyhteistyötä koskevien tietojen keräämistä, tallentamista, käsittelyä, analysointia ja vaihtoa. 

Valtioneuvoston näkemyksen mukaan ehdotetut oikeusperustat ovat asianmukaisia. Ehdotuksia käsitellään tavallisessa lainsäätämisjärjestyksessä ja hyväksymisestä päätetään neuvostossa määräenemmistöllä. 

Komissio katsoo, että ehdotusten tavoitteita ei voida saavuttaa riittävällä tavalla pelkästään jäsenvaltioiden toiminnalla. Komission mukaan EU:n tasolla toteutettavilla toimilla voidaan varmistaa perusoikeuksien ja erityisesti henkilötietojen suojaa koskevien yhdenmukaisten säännösten soveltaminen jäsenvaltioissa. Jäsenvaltioiden erilaiset järjestelmät voivat vaikuttaa kielteisesti lentoliikenteen harjoittajiin, koska niiden on mahdollisesti noudatettava useita toisistaan poikkeavia kansallisia vaatimuksia, jotka koskevat esimerkiksi sitä, minkä tyyppisiä tietoja on siirrettävä ja millä edellytyksillä nämä tiedot on toimitettava jäsenvaltioille. Komission mukaan nämä erot haittaavat jäsenvaltioiden välistä tehokasta yhteistyötä terrorismirikosten ja vakavan rikollisuuden ehkäisemiseksi, havaitsemiseksi, tutkimiseksi ja syytteeseen panemiseksi. Yhdenmukaiset säännöt voidaan vahvistaa vain EU:n tasolla.  

Komission mukaan ehdotusten soveltamisala on myös rajattu ehdottoman välttämättömään eli se rajoittuu seikkoihin, jotka edellyttävät yhdenmukaista EU:n lähestymistapaa, kuten API-tietojen käyttö, API-tietojen kerääminen ja siirtäminen. Komissio toteaa, että ehdotuksissa esitetään useita suojatoimia, joilla matkustajien oikeuksiin puuttuminen on rajoitettu ehdottoman välttämättömään. 

Valtioneuvosto pitää ehdotuksia toissijaisuusperiaatteen ja suhteellisuusperiaatteen mukaisena. 

Ehdotusten vaikutukset

i) Vaikutukset kansalliseen lainsäädäntöön 

EU-asetukset ovat suoraan sovellettavaa oikeutta. 

Asetukset aiheuttavat tarkastelutarpeita lakiin henkilötietojen käsittelystä rajavartiolaitoksessa (2019/639).  

Myös ulkomaalaislakia (2004/301) tulee tarkastella lentoliikenteenharjoittajille aiheutuvien seuraamusmaksujen osalta 

Lailla lentoliikenteen matkustajarekisteritietojen käytöstä terrorismirikosten ja vakavan rikollisuuden torjunnassa (657/2019) on laitettu täytäntöön PNR-direktiivi. Lakia tulee tarkastella API-ehdotusten voimaantullessa. Myös lakia henkilötietojen käsittelystä poliisitoimessa (616/2019) tulee tässä yhteydessä tarkastella.  

ii) Taloudelliset vaikutukset 

a) Vaikutukset EU-tasolla 

Komission mukaan asetusehdotukset vaikuttaisivat eu-LISA:n ja jäsenvaltioiden toimivaltaisten viranomaisten talousarvioon ja henkilöstötarpeisiin. 

Komission näkemyksen mukaan eu-LISA:n osalta tarvitaan noin 45 miljoonan euron (33 miljoonaa euroa nykyisessä monivuotisessa rahoituskehyksessä) lisämääräraha reitittimen perustamiseen ja 9 miljoonaa euroa vuodessa vuodesta 2029 alkaen sen tekniseen hallinnointiin sekä noin 27 lisävirkaa sen varmistamiseksi, että eu-LISA:lla on tarvittavat resurssit asetusehdotuksissa sille osoitettujen tehtävien suorittamiseen. 

Komission arvion mukaan jäsenmaiden rajaviranomaisille voitaisiin osoittaa 27 miljoonaa euroa raia- ja viisumirahoitusvälineestä (BMVI) kansallisia järjestelmäpäivityksiä ja tarvittavan infrastruktuurin rakentamista varten. Vuosittaista rahoitusta järjestelmien ylläpitoon voitaisiin osoittaa 5 miljoonaa euroa. Lisäksi komissio arvioi, että sisäisen turvallisuuden rahastosta (ISF) voitaisiin jäsenmaille korvata 11 miljoonaa euroa (3 miljoonaa euroa nykyisessä monivuotisessa rahoituskehyksessä), joka olisi tarkoitettu PIU:iden tarvittavien kansallisten järjestelmien ja infrastruktuurien päivittämiseen, ja vuodesta 2028 alkaen asteittain arviolta 2 miljoonaa euroa vuodessa. Nämä on viime kädessä määriteltävä kyseisiä rahastoja sääntelevien sääntöjen sekä ehdotettuihin asetuksiin sisältyvien kustannussääntöjen mukaisesti. 

Aiheutuvien kustannusten muodostamisessa on huomioitava, että suuressa osassa jäsenmaita on jo kyky käsitellä API-tietoja. Tällöin rahoitusta tarvittaisiin lähinnä päivitysten tekemiseen lisääntyvän tiedon vastaanottamiseksi. 

Komission arvion mukaan jäsenmaille aiheutuu tietojärjestelmien kehitys- ja päivityskustannuksina keskimäärin noin 2 miljoonan euron kulut vuosina 2027-2030 (sisältäen rajaviranomaiset ja PIU-yksikön). Tämän jälkeen vuosittaisten kustannusten arvioidaan keskimäärin olevan noin 400 000 euroa. 

Komission arvion mukaan jäsenmaille kustannuksia aiheutuu etenkin vuosina 2027-2030. 

b) Vaikutukset kansallisella tasolla 

Alustavan arvion mukaan ehdotusten täytäntöönpanosta aiheutuu kustannuksia poliisille ja Rajavartiolaitokselle.  

Poliisin osalta järjestelmän rakentamis- ja kehittämiskulujen arvioidaan olevan 550 000 – 700 000 euroa ja järjestelmän ylläpitokulut 110 000 – 150 000 euroa vuodessa.  

Rakentamis- ja kehittämiskulut koostuvat muun muassa kehityshankkeen henkilöstökuluista (1 HTV), tietojärjestelmäkehitystyökuluista sekä palvelinhankintakuluista. Järjestelmän ylläpitokulut koostuvat henkilöstökuluista (0,5 HTV) sekä tietoliikenne- ja palvelinkustannuksista.  

Alustavan arvion mukaan Rajavartiolaitokselle aiheutuu noin 500 000 – 1 000 000 euron kustannus kansallisten järjestelmien ja reitittimen välisen liittymän rakentamisesta sekä reitittimen toimittamien tietojen vastaanottokyvykkyyden rakentamisesta ja käyttöönotosta. Arvio tarkentuu suunnitteilla olevien tietojärjestelmäuudistusten edetessä. Ylläpitokulujen arvioidaan olevan noin 50 000 euroa vuodessa Rajavartiolaitosta koskien. 

Alustavan arvion mukaan tietosuojavaltuutetulle aiheutuu lisähenkilöresurssitarvetta tämän hetkisen arvion mukaan 0,25 – 1 HTV / vuosi. Muita kuin henkilötyökustannuksia ei ole tunnistettavissa aiheutuvan merkittävissä määrin. 

Mahdollisista lisämäärärahatarpeista päätetään julkisen talouden suunnitelman ja valtion talousarvion valmistelun yhteydessä. 

iii) Vaikutukset viranomaisten toimintaan 

API-tietojen ja PNR-tietojen yhdistetty käyttö antaa toimivaltaisille kansallisille viranomaisille mahdollisuuden varmistaa matkustajien henkilöllisyys ja menettely parantaa huomattavasti PNR-tietojen luotettavuutta. Tällainen yhdistetty käyttö ennen saapumista mahdollistaa myös lainvalvontaviranomaisten suorittaman arvioinnin ja tarkemman seulonnan vain niille henkilöille, jotka objektiivisten arviointikriteerien ja -käytäntöjen perusteella ja sovellettavan lain mukaisesti todennäköisimmin muodostavat uhan turvallisuudelle. Tämä helpottaa kaikkien muiden matkustajien matkustamista ja vähentää riskiä, että matkustajat joutuvat saapumisen yhteydessä toimivaltaisten viranomaisten tarkastettavaksi harkinnanvaraisten tekijöiden, kuten rodun tai etnisen alkuperän, perusteella, jotka lainvalvontaviranomaiset voivat virheellisesti liittää turvallisuusriskeihin.  

Komission kertomuksesta käy ilmi, että toimivaltaisten lainvalvontaviranomaisten suorittamaa API- ja PNR-tietojen yhteiskäsittely lisää merkittävästi vakavien rikosten ja terrorismin torjunnan tehokkuutta EU:ssa. 

Niin raja- kuin lainvalvontaviranomaisten tulisi voida käyttää API-tietoja Schengen-alueen sisäisillä lennoilla tilanteissa, joissa sisärajavalvonta on palautettu. Jäsenmaiden tulisi niin ikään voida säätää myös kansallisesti API-tietojen keräämisestä laajemmin kuin nyt käsillä oleva asetus säätää. Tämä koskee muun muassa lähtevän lentoliikenteen API-tietoja ulkorajaliikenteessä. 

Tietosuojavaltuutetun toimistolle aiheutuu uusista tehtävistä lisätyötä ja sitä kautta tarvetta lisähenkilöresursseille.  

iv) Vaikutukset lentoyhtiöille 

Ehdotusten täytäntöönpano vaatisi tieto- ja lähtöselvitysjärjestelmien kehittämistä tai päivittämistä. Järjestelmiin olisi säädettävä oikeat parametrit asetusten ja myöhemmin säädettävien teknisten vaatimusten mukaan. Jos tiedot joudutaan puutteellisen infrastruktuurin takia joillakin lentoasemilla keräämään manuaalisesti, on mahdollista, että lähtöselvitys ja koneeseen nousu voivat hidastua, mikä voi heijastua myös vaikutuksina matkustajiin. 

Lentoyhtiöt joutuisivat asetusehdotusten myötä maksamaan kustannukset API-tietojen keräämisestä ja toimittamisesta eteenpäin. Lentoyhtiöt maksavat välitysyhtiöille jokaisesta tietolähetyksestä ja on todennäköistä, että tiedonlähetyskertojen lukumäärä huomattavasti lisääntyisi, jopa enemmän kuin kaksinkertaistuisi. 

v) Vaikutukset voimassa oleviin matkustuskäytäntöihin pohjoismaissa 

Pohjoismaiden välillä on ollut olemassa passivapaus jo vuodesta 1954 asti (valtiosopimus 17/1954), joka vapauttaa pohjoismaiden kansalaiset velvollisuudesta pitää mukana passia tai muuta matkustusasiakirjaa pohjoismaiden välillä matkustettaessa. Ehdotettu lainvalvonta-API vaikuttaisi olevan ristiriidassa asian kanssa, koska matkustajien API-tiedot tulisi kerätä heidän matkustusasiakirjoistaan myös valikoiduilla Pohjoismaiden välisillä lennoilla 

Ehdotusten suhde perustuslakiin sekä perus- ja ihmisoikeuksiin

Asetusehdotuksilla on vaikutusta henkilötietojen suojaan, josta on säädetty EU:n perusoikeuskirjan 8 artiklassa ja Euroopan unionin toiminnasta tehdyn sopimuksen (SEUT) 16 artiklassa sekä Euroopan ihmisoikeussopimuksen 8 artiklassa. Perusoikeuskirjan 8 artiklan mukaan henkilötietojen käsittelyn tulee olla asianmukaista ja tapahduttava tiettyä tarkoitusta varten. Käyttötarkoitussidonnaisuuden periaatteeseen kuuluu olennaisena osana se, ettei henkilötietoja voida myöhemmin käsitellä tavalla, joka on yhteensopimatonta alkuperäisen käyttötarkoituksen kanssa. Henkilötietojen suoja liittyy myös läheisesti EU:n perusoikeuskirjan yksityisyyttä ja perhe-elämän suojaa koskevaan 7 artiklaan. Euroopan ihmisoikeussopimuksen (SopS 19/1990) 8 artiklan mukaan jokaisella on oikeus nauttia yksityis- ja perhe-elämäänsä, kotiinsa ja kirjeenvaihtoonsa kohdistuvaa kunnioitusta. Artiklan on Euroopan ihmisoikeus-tuomioistuimen oikeuskäytännössä katsottu kattavan myös henkilötietojen suojan. 

Komissio toteaa, että Euroopan unionin tuomioistuimen yhdistetyissä tapauksissa C-92/09 ja C-93/09 (Volker und Markus Schecke ja Eifert (2010)) antaman ratkaisun mukaan henkilötietojen suoja ei kuitenkaan ole absoluuttinen oikeus, vaan sitä tulee arvioida suhteessa sen tehtävään yhteiskunnassa. Rajoitusten on noudatettava perusoikeuskirjan 52 artiklan 1 kohdassa asetettuja edellytyksiä. Perusoikeuskirjan 52 artiklan 1 kohdan mukaan perusoikeuskirjassa tunnustettujen oikeuksien ja vapauksien käyttämistä voidaan rajoittaa ainoastaan lailla sekä kyseisten oikeuksien ja vapauksien keskeistä sisältöä kunnioittaen. Suhteellisuusperiaatteen mukaisesti rajoituksia voidaan säätää ainoastaan, jos ne ovat välttämättömiä ja vastaavat tosiasiallisesti unionin tunnustamia yleisen edun mukaisia tavoitteita tai tarvetta suojella muiden henkilöiden oikeuksia ja vapauksia. 

Ehdotettua sääntelyä on arvioitava myös perustuslain 10 §:ssä säädetyn yksityiselämän ja henkilötietojen suojan kannalta. Perustuslain 10 §:n 1 momentin mukaan henkilötietojen suojasta säädetään tarkemmin lailla. Perustuslakivaliokunnan vakiintuneen käytännön mukaan lainsäätäjän liikkumavaraa rajoittaa tämän säännöksen lisäksi myös se, että henkilötietojen suoja osittain sisältyy samassa momentissa turvatun yksityiselämän suojan piiriin. Perustuslakivaliokunta on korostanut tarvetta varmistaa käyttötarkoitussidonnaisuuden periaatteen toteutuminen henkilötietojen käsittelyssä (esim. PeVL 14/2017 vp ja PeVL 33/2016 vp ja niissä viitatut valiokunnan aiemmat lausunnot). Perustuslakivaliokunta on pitänyt mahdollisena tehdä käyttötarkoitussidonnaisuudesta vain täsmällisiä ja vähäisiksi luonnehdittavia poikkeuksia (PeVL 40/2021 vp, kappale 15). Tällainen sääntely ei myöskään saa johtaa siihen, että muu kuin alkuperäiseen käyttötarkoitukseen liittyvä toiminta muodostuu rekisterin pääasialliseksi tai edes merkittäväksi käyttötavaksi (ks. PeVL 23/2022 vp, kappale 18 ja siinä viitatut PeVL 15/2018 vp, s. 45, PeVL 1/2018 vp, s. 4, PeVL 14/2017 vp, s. 5—6). 

Perustuslakivaliokunta on painottanut, että yksityiselämän ja henkilötietojen suoja tulee suhteuttaa toisiin perus- ja ihmisoikeuksiin sekä muihin painaviin yhteiskunnallisiin intresseihin, kuten esimerkiksi yleiseen turvallisuuteen liittyviin intresseihin, jotka voivat ääritapauksessa palautua henkilökohtaisen turvallisuuden perusoikeuteen (PeVL 5/1999 vp, s. 2/II). Lainsäätäjän tulee turvata yksityiselämän ja henkilötietojen suoja tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuudessa (ks. esim. PeVL 13/2016 vp, s. 3-4). Yksityiselämän ja henkilötietojen suojalla ei ole etusijaa muihin perusoikeuksiin nähden. Arvioinnissa on kyse kahden tai useamman perusoikeussäännöksen yhteensovittamisesta ja punninnasta. (PeVL 14/2018 vp ja siinä viitatut valiokunnan aiemmat lausunnot.) Perustuslakivaliokunnan mielestä varsin vakiintuneesta käyttötarkoitussidonnaisuutta koskevasta tulkintakäytännöstä ei kuitenkaan ole syytä irtaantua etenkään sääntelyn perusteiden osalta ilman riittäviä perusteluita ja huolellista harkintaa. Mahdollinen käyttötarkoitussidonnaisuutta rajaava sääntely olisi hyväksyttävien perusteluiden vallitessa perusteltava ja laadittava huolellisesti asianmukaisin vaikutusarvioin ja arvioin yhteensopivuudesta sekä perus- että ihmisoikeuksiin ottaen huomioon myös EU:n tietosuojasääntelyn vaikutukset. (ks. PeVL 23/2022 vp, kappale 21.) PNR-direktiivin kansallista täytäntöönpanolakia koskevassa lausunnossaan perustuslakivaliokunta on arvioinut, että erityisesti terrorismin ja vakavien rikosten torjuntaa voidaan pitää sellaisena painavana intressinä, jonka perusteella tapahtuvaa henkilötietojen käsittelyä ja yksityiselämän suojan rajoituksia voidaan pitää tarkoitukseltaan hyväksyttävinä (PeVL 29/2018 vp, s. 3). Perustuslakivaliokunta on myös korostanut, että erityisen vakavien rikosten ennalta estämiseen, paljastamiseen tai selvittämiseen voi liittyä sellaisia painavia, perusoikeusjärjestelmäänkin palautuvia yhteiskunnallisia intressejä, jotka riittävästi perustelevat käyttötarkoitussidonnaisuudesta poikkeamista. Perustuslakivaliokunnan mielestä on näiltä osin valtiosääntöisesti mahdollista tehdä rajattuja poikkeuksia käyttötarkoitussidonnaisuuden periaatteeseen, mikäli huolellisesti laadittu sääntely kokonaisuutena arvioiden täyttää perus- ja ihmisoikeuksien vaatimukset ja on yhteensopivaa EU-oikeuden asettamien vaatimusten kanssa. (PeVL 23/2022 vp., kappale 23) 

Komissio nostaa esiin, että asetusehdotusten soveltamisala on tarkoin rajattu peruskirjassa taattujen perusoikeuksien, erityisesti yksityisyyden ja henkilötietojen suojan, toteutumisen varmistamiseksi. Ehdotukset sisältävät tiukkoja rajoituksia ja suojatoimia henkilötietojen suojaamiseksi. API-tietoja voitaisiin ehdotettujen asetusten perusteella kerätä ja siirtää ainoastaan terrorismirikosten ja vakavan rikollisuuden ehkäisemistä, havaitsemista, tutkimista ja syytteeseenpanoa varten. Sääntelyssä asetettaisiin yhdenmukaiset kriteerit API-tietojen keräämiselle ja siirrolle toisaalta EU:n alueen ulkopuolelta ja ulkopuolelle suuntautuville lennoille ja toisaalta valikoiduille EU-alueen sisäisille lennoille. Ehdotetut API-tietojen keräämistä ja siirtoa koskevat säännökset ovat linjassa PNR-direktiivin säännösten kanssa ja niissä on otettu huomioon EU-tuomioistuimen viimeaikainen ratkaisukäytäntö, erityisesti ratkaisussa C-817/19 (Ligue des droits humains) edellytetyt rajoitukset EU-alueen sisäisiä lentoja koskevien PNR-tietojen käsittelylle. Ratkaisun C-817/19 mukaan PNR-direktiivillä käyttöön otettua järjestelmää ei voida laajentaa erotuksetta kaikkiin EU:n sisäisiin lentoihin silloin, kun kyseessä olevaan jäsenvaltioon ei kohdistu todellista ja välitöntä tai ennakoitavissa olevaa terroriuhkaa. EU-alueen sisäisten lentojen valinta tapahtuisi ratkaisun edellyttämällä tavalla jäsenvaltioiden suorittaman arvion perusteella. Lentoliikenteen harjoittajien velvollisuus kerätä ja siirtää API-tiedot reitittimeen kattaa kaikki EU-alueen sisäiset lennot. Reitittimestä PIU-yksiköihin tapahtuva siirto rajoitettaisiin kuitenkin teknisesti vain valikoituihin lentoihin.  

Komissio nostaa esiin, että lentoliikenteen harjoittajien velvollisuus automaattiseen API-tietojen keräämiseen voi johtaa riskeihin muun muassa henkilötietojen suojan näkökulmasta. Riskien rajoittamiseksi ja hallitsemiseksi velvollisuus on kuitenkin rajattu vain tiettyihin API-tietoihin, jotka voidaan kerätä luotettavalla automatisoidulla tavalla (matkustusasiakirjojen koneluettavat tiedot). Asetuksissa säädettäisiin lisäksi tietojen automaattista keräämistä koskevista edellytyksistä, joita täsmennettäisiin delegoiduilla säännöksiä. Asetusehdotukset sisältävät myös useita suojatoimia, kuten lokitietojen keräämiseen, henkilötietojen suojaan ja tehokkaaseen valvontaan liittyviä säännöksiä. Komission arvion mukaan reitittimen toiminnallisuudet ja erityisesti reitittimen kyky kerätä ja tuottaa kattava tilastotietoa tukevat mahdollisuuksia valvoa asetuksen toimeenpanoa lentoliikenteen harjoittajissa ja PIU-yksiköissä. 

API-tietojen käsittely PIU-yksiköissä siirron jälkeen tapahtuisi noudattaen PNR-direktiivissä ja ratkaisussa C-817/19 edellytettyjä rajoituksia ja suojatoimia. Tietojen käsittelyyn lainvalvontatarkoituksessa sovellettaisiin PIU-yksiköissä PNR-direktiivin säännöksiä, jotka koskevat esimerkiksi tietojen käsittelytarkoituksia, säilytysaikaa, poistamista, tietojenvaihtoa jäsenvaltioiden välillä, tietojen siirtämistä kolmansiin maihin sekä henkilötietojen suojaamista. Henkilötietojen käsittelyyn sovellettaisiin lisäksi EU:n yleistä tietosuoja-asetusta (EU) 2016/679, rikosasioiden tietosuojadirektiiviä (EU) 2016/680 sekä EU:n toimielinten tietosuoja-asetusta (EU) 2018/1725 näiden säädösten soveltamisalan mukaisesti. 

Ahvenanmaan toimivalta

Ahvenanmaan itsehallintolain (1144/1991) 18 §:n 6 kohdan mukaan Ahvenanmaan maakunnalla on lainsäädäntövalta asioissa, jotka koskevat yleistä järjestystä ja turvallisuutta 27 §:n 27, 34 ja 35 kohdassa säädetyin poikkeuksin. Saman lain 27 §:n 26 ja 34 kohtien mukaan valtakunnalla on lainsäädäntövalta asioissa, jotka koskevat ulkomaalaislainsäädäntöä ja Rajavartiolaitosta. 

Ehdotusten käsittely Euroopan unionin toimielimissä ja muiden jäsenvaltioiden kannat

Komissio on esitellyt asetusehdotukset matkustajia koskevien ennakkotietojen keräämisestä ja siirtämisestä 20.12.2022 neuvoston tietojenvaihtoa käsittelevässä työryhmässä (IXIM). Asetusehdotuksien käsittely aloitetaan Ruotsin EU-puheenjohtajuuskaudella. 

Ehdotusten kansallinen käsittely

Luonnosta U-kirjelmäksi on käsitelty oikeus- ja sisäasiat -jaoston (EU 7) sekä liikennejaoston (EU 22) kirjallisessa menettelyssä 17. – 20.1.2023. 

10  Valtioneuvoston kanta

Valtioneuvosto pitää tärkeinä toimia, joilla pyritään parantamaan unionin sisäistä turvallisuutta kehittämällä vakavan rikollisuuden ja terrorismin torjutaan hyödynnettäviä työkaluja. Valtioneuvosto painottaa EU:n vahvojen ulkorajojen merkitystä ja pitää tärkeänä EU-tason toimia, joilla voidaan helpottaa ulkorajojen valvontaa. Annettujen lainsäädäntöehdotusten tavoite on valtioneuvoston näkemyksen mukaan kannatettava.  

Valtioneuvosto näkee myönteisenä sen, että API-tietojen ja PNR-tietojen yhdistetty käyttö ja rinnakkainen käsittely mahdollistaa lainvalvontaviranomaisten suorittaman arvioinnin ja tarkemman seulonnan objektiivisten arviointikriteerien ja -käytäntöjen perusteella ja vähentää riskiä, että matkustajat joutuvat tarkastettavaksi harkinnanvaraisten tekijöiden perusteella. Valtioneuvosto tukee tavoitetta matkustajien yhdenvertaisuuden lisäämiseksi. 

Valtioneuvosto pitää ehdotusta uudesta reitittimestä kannatettavana. Matkustajatietojen välittämisessä tulisi mahdollisuuksien mukaan hyödyntää muiden EU:n tietojärjestelmien tarjoamat hyödyt siten, että ne palvelevat toimivaltaisten viranomaisten päivittäistyötä ja vähentävät liikenteenharjoittajille ja viranomaisille aiheutuvaa hallinnollista taakkaa sekä rajoittavat siirrettävän tiedon kokonaismäärää. 

Valtioneuvosto pitää API-tietojen keräämistä ja siirtämistä koskevien säännösten yhdenmukaistamista ja matkustajatietojen rinnakkaista käsittelyä yhdessä PNR-tietojen kanssa kannatettavana. 

Valtioneuvosto pitää tärkeänä, että matkustajatietojen käyttö ulkorajavalvonnassa ja lainvalvontatarkoituksessa tapahtuu perus- ja ihmisoikeuksia kunnioittavalla tavalla. Valtioneuvosto korostaa vahvan tietosuojan tärkeyttä. On tärkeää parantaa API-tietojen käsittelyn valvontaa ja tietosuojaa korkeilla turvallisuusstandardeilla sekä lisätä oikeusvarmuutta matkustajien ja liikenteenharjoittajien näkökulmista. Valtioneuvoston arvion mukaan säädösehdotukset ovat henkilötietojen suojan näkökulmasta lähtökohtaisesti hyväksyttäviä. Neuvottelujen yhteydessä on varmistettava, että asetusehdotukset ovat Euroopan unionin tuomioistuimen PNR-direktiivistä antaman tuomion mukaisia ja vastaavat EU:n tietosuojalainsäädännön vaatimuksia. 

Valtioneuvosto suhtautuu myönteisesti ehdotuksen toimiin, joilla vähennetään lentoliikenteen harjoittajille tietojen keräämisestä ja välittämisestä aiheutuvaa hallinnollista taakkaa. Valmistelun edetessä tulee kiinnittää huomiota siihen, että lentoliikenteen harjoittajille asetettavista velvoitteista aiheutuvat kustannukset ja kokonaisvaltainen hallinnollinen taakka eivät nouse liian suuriksi suhteessa ehdotuksen tavoitteisiin. Kerättäviä ja siirrettäviä tietoja koskevien vaatimusten tulisi olla kansainvälisesti mahdollisimman yhdenmukaisia niin, että matkustajatiedot voidaan toimittaa eri valtioiden viranomaisille yhdenmukaisella tavalla. 

Valtioneuvosto pitää tärkeänä, että kansallisesti voidaan määritellä API-tiedot vastaanottava yhteyspiste, joita voi olla yksi tai useampia. 

Ennakkomatkustustietojen keräämiseen liittyvän esityksen osalta valtioneuvosto pitää tarpeellisena selvittää neuvottelujen yhteydessä, onko tähän liittyvät muotoilut ristiriidassa pohjoismaisen passivapauden kanssa. Valtioneuvosto pitää tärkeänä, että asetus ei vaaranna Pohjoismaisen passivapauden käytännön toteutumista. 

Eu-LISA-viraston rahoitus sekä BMVI-ja ISF-ohjelmien rahoitus tulee pyrkiä ensisijaisesti järjestämään kohdentamalla uudelleen varoja EU-budjetin sisällä. Neuvottelujen kuluessa on pyrittävä varmistumaan, että ehdotukset voidaan rahoittaa kokonaisuudessaan kohdentamalla uudelleen varoja EU:n rahoituskehyksen asianomaisen otsakkeen sisällä. Valtioneuvosto katsoo, että EU:n toimielinten, elinten ja laitosten hallintomenojen taso sekä henkilöstömäärä on pidettävä maltillisena.