Viimeksi julkaistu 31.7.2025 16.23

Valtioneuvoston U-kirjelmä U 5/2025 vp Valtioneuvoston kirjelmä eduskunnalle Euroopan unionin ja Islannin välisestä sopimuksesta matkustajarekisteritietojen (PNR) siirtämisestä ja käytöstä terrorismin ja muun vakavan kansainvälisen rikollisuuden ehkäisemiseksi ja torjumiseksi (EU-Islanti PNR-sopimus)

Perustuslain 96 §:n 2 momentin perusteella lähetetään eduskunnalle muistio Euroopan unionin ja Islannin välisestä sopimuksesta matkustajarekisteritietojen (PNR) siirtämisestä ja käytöstä terrorismin ja muun vakavan kansainvälisen rikollisuuden ehkäisemiseksi ja torjumiseksi (EU-Islanti PNR-sopimus). 

Helsingissä 13.3.2025 
Oikeusministeri 
Leena 
Meri 
 
Erityisasiantuntija 
Amanda 
Mäkelä 
 

MUISTIOOIKEUSMINISTERIÖ13.3.2025EU/1081/2023EUROOPAN UNIONIN JA ISLANNIN VÄLINEN SOPIMUS MATKUSTAJAREKISTERITIETOJEN (PNR) SIIRTÄMISESTÄ JA KÄYTÖSTÄ TERRORISMIN JA MUUN VAKAVAN KANSAINVÄLISEN RIKOLLISUUDEN EHKÄISEMISEKSI JA TORJUMISEKSI (EU-ISLANTI PNR-SOPIMUS)

Tausta ja tavoitteet

Euroopan unionin neuvosto hyväksyi 4.3.2024 päätöksen valtuuksien antamisesta komissiolle aloittaa EU:n ja Islannin väliset sopimusneuvottelut matkustajarekisteritietojen (passenger name record, PNR) siirtämisestä ja käytöstä terrorismin ja muun vakavan kansainvälisen rikollisuuden ehkäisemiseksi ja torjumiseksi (ks. E 45/2023 vp). PNR-tiedoilla tarkoitetaan lentomatkustajia koskevia henkilötietoja, joita lentoliikenteen harjoittajat tarvitsevat varausten käsittelyä varten. 

PNR-tiedot ovat tärkeä työkalu terrorismin ja muun vakavan kansainvälisen rikollisuuden torjunnassa. PNR-sopimusten tarkoituksena on säännellä PNR-tietojen siirtoa ja käyttöä ainoastaan terrorismin ja muun vakavan kansainvälisen rikollisuuden ehkäisemiseksi ja torjumiseksi siten, että noudatetaan täysimääräisesti sopimuksessa määriteltäviä henkilötietojen suojaa koskevia ehtoja. Sopimus muodostaisi oikeusperustan, jonka nojalla lentoliikenteen harjoittajat voivat siirtää PNR-tietoja. Sopimuksessa määrättäisiin, miten PNR-tietoja voidaan siirtää Islantiin ja käsitellä Islannissa. Sopimus sisältäisi lisäksi määräykset EU:n jäsenvaltioiden ja Islannin viranomaisten sekä Europolin ja Eurojustin välisestä PNR-tietojenvaihdosta. Sopimus on liiteasiakirjoineen kaikkia osapuolia oikeudellisesti sitova. 

EU:lla on tällä hetkellä kolme PNR-tietojen luovuttamista koskevaa kansainvälistä sopimusta kolmansien maiden kanssa. Sopimukset on tehty Yhdysvaltojen, Australian ja Iso-Britannian kanssa. EU-Kanada PNR-sopimus on allekirjoitettu syksyllä 2024 ja odottaa tällä hetkellä parlamentin hyväksyntää. Neuvosto on antanut lisäksi komissiolle valtuudet aloittaa neuvottelut PNR-sopimuksen tekemiseksi Meksikon, Japanin, Sveitsin ja Norjan kanssa. EU:n ja Islannin välisen PNR-sopimuksen sisältö tullee vastaamaan pitkälti aiempia EU:n ja kolmansien maiden välisiä PNR-sopimuksia, joissa on huomioitu unionin oikeus, siten kuin EU-tuomioistuin on sitä tulkinnut. Huomioiden, että Islanti on Euroopan talousalueeseen (ETA) kuuluva maa, Schengenin yleissopimuksen osapuoli ja että Islannissa sovelletaan mukautuksin EU:n tietosuojasääntelyä, sopimukseen ei ole kuitenkaan tarve sisällyttää täysin vastaavia säännöksiä kaikista EU-tuomioistuimen edellyttämistä seikoista. 

Komissio on jakanut sopimusluonnoksen EU-Islanti PNR-sopimuksesta. Sopimusluonnosta käsiteltiin EU:n neuvoston tietojenvaihtotyöryhmässä (IXIM) 24.2.2025. Komissio ilmoitti kokouksessa aikovansa viimeistellä sopimuksen sisällön Islannin kanssa maaliskuun alkupuolella. Komissio tulee tämän jälkeen luonnostelemaan suositukset neuvoston päätöksiksi hyväksyä ja allekirjoittaa sopimus. Komission tavoitteena on, että allekirjoitus olisi viimeistään toukokuussa. Sopimuksen tekeminen edellyttää neuvoston lisäksi myös parlamentin hyväksyntää. 

Komissio on tiedottanut neuvotteluiden etenemisestä IXIM-työryhmää edellisen kerran 13.11.2024. Komissio tulee informoimaan myös parlamenttia sopimusneuvotteluiden etenemisestä lähiaikoina. 

Ehdotuksen pääasiallinen sisältö

2.1  EU-Islanti PNR-sopimuksesta

EU-Islanti PNR-sopimuksessa on oikeudellisen perustan luomisen lisäksi otettava huomioon henkilötietojen suojaa ja PNR-tietoja koskeva EU:n oikeudellinen kehys eli yleinen tietosuoja-asetus (EU) 2016/679, niin sanottu rikosasioiden tietosuojadirektiivi (EU) 2016/680 sekä PNR-direktiivi (EU) 2016/681. Komissio on huomioinut neuvotteluissa unionin oikeuden ohella Euroopan unionin perussopimukset ja perusoikeuskirjan, sellaisina kuin unionin tuomioistuin on tulkinnut niitä PNR-asioita koskevassa oikeuskäytännössä, erityisesti tuomioistuimen lausunnossa 1/15, joka koski EU-Kanada PNR-sopimusta. Sopimusneuvotteluissa on huomioitu niin ikään kansainvälisen siviili-ilmailujärjestö ICAO:n hyväksymät PNR-tietoja koskevat standardit ja suositellut menettelytavat, joilla määritetään korkeatasoiset suojatoimet tietosuojan suhteen ja edistetään suojan tasoa kansainvälisellä tasolla. 

Islanti on ETA-maa ja koska yleinen tietosuoja-asetus on sisällytetty mukautuksin ETA-alueesta tehdyn sopimuksen liitteeseen, yleistä tietosuoja-asetusta sovelletaan mukautuksin myös Islannissa. Islanti on lisäksi Schengenin yleissopimuksen osapuoli ja on osana Schengenin säännöstön täytäntöönpanoa hyväksynyt ja täytäntöönpannut myös rikosasioiden tietosuojadirektiivin (EU) 2016/680. Kyseistä täytäntöönpanosääntelyä sovelletaan lainvalvontaviranomaisten suorittamaan henkilötietojen käsittelyyn rikosten ennalta estämistä, tutkintaa, paljastamista ja rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten. Kyseistä sääntelyä sovelletaan myös neuvoteltavana olevan sopimuksen tarkoittamaan henkilötietojen käsittelyyn. 

Koska PNR-direktiivi ei sido Islantia, sopimuksessa tulee huomioida PNR-direktiivin kansainvälisiä tiedonsiirtoja koskevat reunaehdot. Sopimuksessa tulee siten varmistaa, että Islanti takaa sellaisen henkilötietojen suojan tason, joka vastaa olennaisin osin unionissa taatun suojan tasoa. Suojan taso varmistetaan sisällyttämällä sopimukseen PNR-tietojen käsittelyä koskevat asianmukaiset suojatoimet, jotta osapuolet voivat lainmukaisesti vastaanottaa ja käsitellä PNR-tietoja tavalla, jolla varmistetaan sekä sisärajatarkastuksista vapaalla yhteisellä alueella liikkuvien yksilöiden turvallisuus että näitä yksilöitä koskevien henkilötietojen suoja. 

2.2  Sopimusluonnoksen sisällöstä

Komissio on neuvotellut neuvoston päätöksessä ja sen liitteenä olevien neuvotteluohjeiden (ST/5388/2024/INIT, ST 5388 2024 ADD 1) pohjalta sopimusluonnoksen EU-Islanti PNR-sopimuksesta. 

Luonnoksen perusteella sopimuksen luvussa I (Yleiset säännökset) määrättäisiin sopimuksen tavoitteesta ja soveltamisalasta (1 artikla) ja määritelmistä (2 artikla). Luonnoksen mukaan sopimuksen tavoitteena olisi mahdollistaa lentoliikenteen harjoittajien matkustajarekisteritietojen (PNR) siirto unionista Islantiin ja vahvistaa säännöt ja edellytykset, joiden mukaisesti Islanti voisi käsitellä PNR-tietoja. Tavoitteena olisi lisäksi parantaa unionin ja Islannin välistä poliisiyhteistyötä ja oikeudellista yhteistyötä PNR-tietojen osalta. Sopimuksen soveltamisalaan kuuluisivat lentoliikenteen harjoittajat, jotka harjoittavat matkustajalentoja unionin ja Islannin välillä, sekä lentoliikenteen harjoittajat, jotka on rekisteröity unioniin tai jotka tallentavat siellä tietoja, ja lentoliikenteen harjoittajat, jotka harjoittavat lentoja Islantiin tai Islannista. Artiklassa 2 määrättäisiin keskeisistä määritelmistä, jotka vastaisivat PNR-direktiivin 3 artiklassa säädettyjä määritelmiä. 

Sopimuksen luvussa II määrättäisiin PNR-tietojen siirtämisestä. Artikla 3 koskisi PNR-tietojen siirtotapaa ja siirtojen tiheyttä. Artiklassa edellytettäisiin Islantia varmistamaan, että lentoliikenteen harjoittajat siirtävät PNR-tiedot Islannin matkustajatietoyksikölle (jäljempänä Islannin PIU) siirtämällä vaaditut PNR-tiedot pyynnön esittäneen viranomaisen tietokantaan yksinomaan työntöjärjestelmällä (push method), jolla tarkoitetaan sitä, että lentoliikenteen harjoittajat siirtävät PNR-tiedot itse kolmannen maan toimivaltaiselle viranomaiselle PNR-sopimuksen mukaisesti (verrattuna kysyntäjärjestelmään, pull method, jossa kolmannen maan viranomaiselle annettaisiin pääsy lentoliikenteen harjoittajan varausjärjestelmään tietojen saamiseksi). Artiklassa määriteltäisiin tarkemmin siitä, ettei Islanti saisi vaatia lentoliikenteen harjoittajia luovuttamaan ylimääräisiä PNR-tietoja, ja poistamaan mahdolliset lentoliikenteen harjoittajan toimittamat ylimääräiset tiedot. Artiklassa määrättäisiin tarkasti myös siitä, miten ja missä määräajassa lentoliikenteen harjoittajien tulee toimittaa PNR-tiedot sekä erityistilanteen mahdollistamasta poikkeuksesta, kun kyse on erityisen uhan torjumisesta. Sopimuksessa määrättäisiin lisäksi API-PNR-reitittimen mahdollisesta käyttöönotosta (4 artikla) ja sen käyttöön liittyvistä edellytyksistä. Islanti voisi sopimuksen mukaan ottaa käyttöön API-PNR reitittimen siten, kuin kyseisestä reitittimestä säädetään Euroopan parlamentin ja neuvoston asetuksessa (EU) 2025/13 (jäljempänä lainvalvonta-API-asetus). Islanti on ilmaissut kiinnostuksensa reitittimen käyttöön. 

Sopimuksen luvussa III määrättäisiin PNR-tietojen käsittelystä ja käsittelyyn liittyvistä suojatoimenpiteistä. Olennaisena osana sopimuksessa määrättäisiin PNR-tietojen käyttötarkoituksista (5 artikla). Sopimuksen mukaan PNR-tietoja voidaan käsitellä ainoastaan terrorismirikosten tai vakavan rikollisuuden estämiseksi, havaitsemiseksi, tutkimiseksi ja syytteeseen panemiseksi. Sopimuksen 6 artiklassa määrättäisiin tarkemmin PNR-tietojen käsittelyyn liittyvistä edellytyksistä, joiden mukaan Islannin PIU voisi käsitellä PNR-tietoja vain, kun se arvioi matkustajia ennen niiden suunniteltua saapumista Islantiin tai lähtöä Islannista lisätutkimuksia vaativien henkilöiden tunnistamiseksi (reaaliaikainen arviointi), tekee hakuja PNR-rekisteriin toimivaltaisten viranomaisten tietopyyntöihin vastaamiseksi sekä analysoi PNR-tietoja analysointi 7 artiklassa tarkoitettujen arviointikriteerien päivittämiseksi, testaamiseksi tai luomiseksi. Sopimuksen 7 artiklassa määrättäisiin tarkemmin reaaliaikaisen arvioinnin edellytyksistä. Artiklan mukaan PNR-tietoja voitaisiin verrata ainoastaan haettuja tai hälytyksen alaisia henkilöitä tai esineitä koskeviin tietokantoihin sekä ennalta määriteltyjen kriteerien mukaisesti. Islannin olisi varmistettava, artiklassa viitatut tietokannat sekä ennalta määritellyt kriteerit ovat syrjimättömiä, luotettavia ja ajantasaisia. Islannin on varmistettava, että PNR-tietojen käsittelyn tuloksena saadut osumat on tarkistettava yksittäin, ei-automaattisen käsittelyn keinoin. Sopimusluonnokseen sisällytetyt edellytykset vastaavat, mitä PNR-direktiivissä säädetään PNR-tietojen käsittelystä ja mitä EU-tuomioistuin on edellyttänyt PNR-sopimuksilta asianmukaisina suojatoimina. 

Sopimuksen 8 artiklassa kiellettäisiin EU-tuomioistuimen edellyttämällä tavalla nimenomaisesti erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely. Erityisiin henkilötietoryhmiin kuuluvilla tiedoilla tarkoitetaan henkilötietoja, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus taikka ammattiliiton jäsenyys, sekä geneettisien tietojen, luonnollisen henkilön yksiselitteiseen tunnistamiseen tarkoitettujen biometristen tietojen tai terveyttä taikka luonnollisen henkilön seksuaalista käyttäytymistä ja seksuaalista suuntautumista koskevia tietoja. Artiklassa määrättäisiin edelleen, että siltä osin kuin Islannin PIU:n tämän sopimuksen nojalla vastaanottamat PNR-tiedot sisältäisivät edellä mainittuja arkaluonteisina pidettäviä tietoja, Islannin PIU:n tulisi poistaa tällaiset tiedot välittömästi. 

Komission jakama sopimusluonnos sisältää lisäksi määräykset PNR-tietojen käsittelyn turvallisuudesta sekä eheydestä (9 artikla). Artiklassa määrättäisiin erinäisistä tietoturvaan ja eheyteen liittyvistä vaatimuksista ja Islannin PIU:n velvollisuudesta ilmoittaa tietoturvaloukkauksista kansalliselle tietosuojaviranomaiselle. Sopimus sisältäisi edelleen määräykset myös lokitietojen säilyttämisestä ja lokitietoihin liittyvästä dokumentointivelvollisuudesta (10 artikla). 

Sopimuksen IV luvussa määrättäisiin täsmällisesti PNR-tietojen säilyttämisestä ja luovuttamisesta. Sopimuksen PNR-tietojen säilyttämistä ja niiden häivyttämistä koskevat säännökset vastaisivat PNR-direktiiviä ja niissä huomioidaan EU-tuomioistuimen edellytykset. Sopimuksen 11 artiklan mukaan Islannin olisi varmistettava, että PNR-tiedot säilytetään ainoastaan, jos tallennettujen PNR-tietojen ja vähintään yhden 5 artiklassa tarkoitetun käyttötarkoituksen välillä on suora tai epäsuora objektiivinen yhteys. Tällaiset tiedot voitaisiin tallentaa enintään viideksi vuodeksi. Artiklassa määrättäisiin edelleen, että Islannin PIU voisi säilyttää kaikkien lentomatkustajien PNR-tietoja kansallisessa lainsäädännössä määritellyn ajan, joka ei saa ylittää sitä, mikä on ehdottoman välttämätöntä. Tämän jälkeen Islannin PIU voisi tallentaa PNR-tietoja vain sellaisilta matkustajilta, joiden osalta on objektiivista näyttöä, jolla voidaan osoittaa terrorismirikoksiin tai vakaviin rikoksiin liittyvä riski. PNR-tiedot tulee poistaa tai anonymisoida edellä mainittujen säilytysaikojen päätyttyä. Sopimuksessa mahdollistettaisiin, että PNR-tietoja voitaisiin säilyttää artiklassa mainittua viiden vuoden määräaikaa pidempään, jos PNR-tietoja tarvittaisiin uudelleentarkastelua, tutkintaa, täytäntöönpanotoimia, oikeudenkäyntiä, syytteeseenpanoa tai seuraamusten täytäntöönpanoa varten. Sopimuksen 12 artiklassa määrättäisiin tunnistamisen mahdollistavien tiedonosien erottamisesta siten, että PNR-tiedoista erotetaan häivyttämällä sellaiset tiedonosat, joiden avulla voisi olla mahdollista tunnistaa välittömästi matkustaja, johon PNR-tiedot liittyvät. Islannin PIU voisi sopimusluonnoksen mukaan luovuttaa kyseisiä tietoja ainoastaan sopimuksessa määriteltyjä käyttötarkoituksia varten (5 artikla) ja tietojen luovuttamista koskevien edellytysten mukaisesti (13 ja 14 artikla). 

Sopimus sisältäisi säännökset PNR-tietojen luovuttamisesta Islannissa (13 artikla) sekä Islannin ja EU:n ulkopuolelle (14 artikla). PNR-tietojen luovuttamista koskevat säännökset vastaisivat PNR-direktiivin edellytyksiä. Islannin PIU voisi luovuttaa PNR-tietoja kansallisille toimivaltaisille viranomaisille ainoastaan, jos luovuttaminen on tarpeen terrorismirikosten tai vakavan rikollisuuden estämiseksi, havaitsemiseksi, tutkimiseksi ja syytteeseen panemiseksi ja PNR-tietoja luovutetaan vain pienin mahdollinen määrä (minimointiperiaate). Tietoja voitaisiin toimittaa toimivaltaisille viranomaisille vain tapauskohtaisesti. Sopimuksessa edellytettäisiin lisäksi, että vastaanottava toimivaltainen viranomainen varmistaa vastaavan suojan tason kuin tässä sopimuksessa edellytetään. Tietojen luovuttamisen edellyttäisi lisäksi aina joko oikeusviranomaisen tai muun riippumattoman elimen etukäteislupaa. Sopimuksessa määrättäisiin, että Islannin PIU voisi kuitenkin perustelluissa kiireellisissä tilanteissa luovuttaa PNR-tietoja ilman etukäteislupaa. Islannin tulee kuitenkin tällaisissa tilanteissa tehdä nopeassa ajassa jälkikäteinen arviointi, onko PNR-tietoja luovutettu minimointiperiaatteen mukaisesti. Sopimuksessa varmistettaisiin lisäksi, että tiedot vastaanottanut toimivaltainen viranomainen ei voi luovuttaa PNR-tietoja edelleen toiselle viranomaiselle ilman Islannin PIU:n nimenomaista lupaa. Edellä mainittuja reunaehtoja edellytettäisiin myös silloin, kun tietoja luovutettaisiin Islannin ja EU:n ulkopuolelle, sillä erotuksella, että vastaanottavan kolmannen maan, jonka toimivaltaiselle viranomaiselle PNR-tiedot luovutetaan, varmistaa EU:n oikeudessa tarkoitetun tietosuojan riittävän tason. Islannin PIU voisi kuitenkin sopimuksen mukaan luovuttaa PNR-tietoja tällaiselle toiselle maalle, jos se katsoo tietojen luovuttamisen olevan tarpeen yleistä turvallisuutta uhkaavan vakavan ja välittömän uhan torjumiseksi tai tutkimiseksi ja jos kyseinen maa antaa järjestelyn, sopimuksen tai muun järjestelyn nojalla kirjallisen vakuutuksen siitä, että tiedot suojataan tässä sopimuksessa määrättyjen takeiden mukaisesti. Sopimuksen 15 artikla sisältäisi myös säännökset PNR-tietojen, näiden tietojen käsittelyn tulosten sekä PNR-tietoihin perustuvien analyysitietojen vaihtamisesta Islannin PIU:n ja EU-jäsenvaltioiden matkustajatietoyksiköiden, Europolin sekä Eurojustin välillä oma-aloitteisesti tai pyynnöstä. 

Sopimuksen V luvussa säädettäisiin henkilötietojen suojasta ja siihen liittyvistä suojatoimista EU-tuomioistuimen edellyttämällä tavalla. Sopimuksen 16 artiklassa edellytettäisiin, että matkustajarekisteritietojen käsittelyyn sovelletaan samoja oikeuksia ja velvollisuuksia kuin rikosasioiden tietosuojadirektiivissä säädetään. Artiklassa edellytettäisiin lisäksi, että Islannin PIU:n suorittamaa henkilötietojen valvoo käsittelyä rikosasioiden tietosuojadirektiivin tarkoittama kansallinen toimivaltainen viranomainen (tietosuojaviranomainen). Sopimuksen 17 artiklassa määrättäisiin läpinäkyvyydestä ja matkustajille ilmoittamisesta. Artiklan mukaan Islannin on varmistettava, että sen toimivaltaisen viranomaisen verkkosivuilla on PNR-direktiiviä vastaavalla tavalla tiedot, miten PNR-tietoja käsitellään ja mihin käsittely perustuu. Islannin on sopimuksen mukaan tehtävä myös yhteistyötä esimerkiksi lentoliikennealan kanssa läpinäkyvyyden lisäämiseksi, erityisesti matkustajan oikeudesta saada tietoa PNR-tietojen käsittelystä, oikeudesta pyytää tietojen korjaamista sekä oikeudesta hakea muutosta. 

Sopimusluonnoksen VI luku sisältäisi loppusäännökset, joissa määrättäisiin muun muassa ilmoittamisvelvollisuuksista (18 artikla), sopimuksen voimaantulosta (19 artikla), riitojenratkaisusta ja sopimuksen soveltamisen keskeyttämisestä (20 artikla), sopimuksen voimassaolon päättämisestä (21 artikla), mahdollisista muutoksista sopimukseen (22 artikla), sopimuksen tarkastelusta ja arvioinnista (23 artikla) sekä sopimuksen alueellisesta soveltamisalasta (24 artikla). Sopimus laadittaisiin kaikilla EU:n virallisilla kielillä, joista kukin kieliversio on yhtä todistusvoimainen. Jos kielitoisintojen välillä on eroja, englanninkielinen toisinto olisi todistusvoimainen. 

Sopimuksen liite sisältäisi luettelon sopimuksen tarkoittamista PNR-tiedoista. Liite on sisällöltään täysin identtinen PNR-direktiivin liitteen I kanssa. 

Ehdotuksen oikeusperusta ja suhde suhteellisuus- ja toissijaisuusperiaatteisiin

Sopimusta neuvotellaan unionin puolesta Euroopan unionin toiminnasta tehdyn sopimuksen (SEUT) 218 artiklan mukaisessa menettelyssä. Sopimuksen aineellinen oikeusperusta voidaan määritellä tarkasti vasta siinä vaiheessa, kun lopullinen sopimusteksti on valmis. Sopimuksen aineellinen oikeusperusta voisi olla Euroopan unionin toiminnasta tehdyn sopimuksen (SEUT) 16 artiklan 2 kohta (henkilötietojen suoja) ja 87 artiklan 2 kohdan a alakohta (poliisiyhteistyö), vastaavasti kuin EU-tuomioistuin on lausunnossaan 1/15 katsonut.  

Jos aineellisena oikeusperustana käytetään edellä mainittuja artikloja, tekee neuvosto päätökset sopimuksen allekirjoittamisesta ja tekemisestä unionin puolesta määräenemmistöllä SEUT 218 artiklan 5, 6 ja 8 kohdan mukaisesti. Neuvoston päätös sopimuksen allekirjoittamisesta ei edellytä Euroopan parlamentin kuulemista tai hyväksyntää. Neuvoston päätös sopimuksen tekemisestä edellyttäisi kuitenkin edellä todettujen aineellisten oikeusperustojen nojalla parlamentin hyväksyntää, koska sopimus tehdään alalla, jolla sovelletaan tavallista lainsäätämisjärjestystä SEUT 218 artiklan 6 kappaleen a alakohdan v alakohdan mukaisesti. 

Ehdotuksen vaikutukset

Ehdotettu sopimus tulisi osana EU-oikeutta myös Suomea sitovaksi, eikä se edellyttäisi erillistä voimaansaattamista. 

Neuvoteltavalla sopimuksella ei arvioida olevan julkistaloudellisia vaikutuksia. 

Sopimuksella voi olla taloudellisia vaikutuksia lentoyhtiöille, jotka kuuluisivat sopimuksen soveltamisalaan. 

Ehdotuksen suhde perustuslakiin sekä perus- ja ihmisoikeuksiin

Ehdotettu sopimus on merkityksellinen perustuslain 10 §:n 1 momentissa turvatun henkilötietojen ja yksityiselämän suojan näkökulmasta. Ehdotettu sopimus on merkityksellinen niin ikään Euroopan perusoikeuskirjan 7 artiklassa turvatun yksityiselämän ja 8 artiklassa turvatun henkilötietojen suojan näkökulmasta. 

Henkilötietojen siirto EU:sta kolmanteen maahan edellyttää käsittelyn yleisen oikeusperustan lisäksi, että unionin oikeudessa säädettyjä kansainvälisiä tiedonsiirtoja koskevia säännöksiä noudatetaan. Näillä säännöksillä pyritään varmistamaan, ettei unionin oikeudessa taattua luonnollisten henkilöiden henkilötietojen suojan tasoa vaaranneta. Sopimuksen tavoitteena on luoda lentoliikenteen harjoittajille oikeudellinen perusta PNR-tietojen siirrolle ja taata näiden tietojen siirroissa Islantiin henkilötietojen suojan asianmukainen taso. Asianmukaisen henkilötietojen suojan tason varmistamiseksi PNR-tietojen luovuttamisessa tulee huolehtia rikosasioiden tietosuojadirektiivin ja PNR-direktiivin asettamista reunaehdoista. PNR-direktiivin 11 artiklan mukaan PNR-tietoja ja kyseisten tietojen käsittelyn tuloksia voidaan siirtää kolmanteen maahan vain tapauskohtaisesti ja edellyttäen, että rikosasioiden tietosuojadirektiivin 35 artiklassa säädettyjä edellytyksiä kansainvälisille tiedonsiirroille noudatetaan ja että tietojen siirtäminen on tarpeen terrorismirikosten tai vakavan rikollisuuden ennalta estämistä, paljastamista ja tutkintaa sekä tällaisiin rikoksiin liittyviä syytetoimia varten. Rikosasioiden tietosuojadirektiivin 35 artiklan mukaan henkilötietojen siirrot kolmansiin maihin voivat muun muassa perustua kyseisen direktiivin 36 artiklassa tarkoitettuun komission tekemään riittävyyspäätökseen tai jos asianmukaisista suojatoimista on säädetty (tai ne ovat olemassa) 37 artiklan mukaisesti. Koska Islannin osalta ei ole riittävyyspäätöstä, sopimuksessa tulee huolehtia rikosasioiden tietosuojadirektiivin 37 artiklassa tarkoitetuista asianmukaisista suojatoimista.  

Asianmukaisia suojatoimia arvioidessa on otettava huomioon EU-tuomioistuimen heinäkuussa 2017 antama lausunto 1/15, jonka mukaan EU:n ja Kanadan välillä neuvoteltu PNR-sopimus ei ollut EU:n perusoikeuskirjan mukainen. Tuomioistuin esitti lausunnossaan useita kriteereitä, joiden olisi täytyttävä, jotta PNR-tietojen siirtämistä ja käsittelyä koskeva sopimus sopisi yhteen perusoikeuskirjan vaatimusten kanssa. Tuomioistuin kiinnitti huomiota ennen muuta siihen, ettei EU:n ja Kanadan välillä neuvoteltu PNR-sopimus sulkenut pois arkaluonteisten tietojen siirtoa EU:sta Kanadaan eikä myöskään näiden tietojen käyttöä ja säilyttämistä. Tuomioistuin edellytti lisäksi, että PNR-sopimuksissa tulee muun muassa määrätä selvästi ja täsmällisesti EU:sta kolmansiin maihin siirrettävistä PNR-tiedoista ja lentomatkustajien asianmukaisesta informoinnista sekä taattava, että tietojen käsittelyä valvoo kolmannessa maassa riippumaton valvontaviranomainen. EU-tuomioistuin on lisäksi edellyttänyt, että PNR-tietojen automaattisen käsittelyn yhteydessä käytettävät mallit ja kriteerit ovat erityisiä ja luotettavia sekä syrjimättömiä. Tuomioistuin on kiinnittänyt huomiota edelleen myös oikeussuojakeinojen varmistamiseen ja siihen, että lentomatkustajilla on käytettävissään oikeussuojakeino tuomioistuimessa riippumatta heidän kansalaisuudestaan, asuinpaikastaan tai kotipaikastaan. EU-tuomioistuin on vahvistanut PNR-tietojen käsittelyyn liittyviä edellytyksiä myös antamassaan PNR-tuomiossa, jossa se on katsonut, että PNR-tietojen luovuttaminen edellyttää lähtökohtaisesti (asianmukaisesti perusteltuja kiireellisiä tapauksia lukuun ottamatta) joko tuomioistuimen tai riippumattoman hallintoelimen etukäteisvalvontaa ja sitä, että kyseisen tuomioistuimen tai elimen ratkaisu annetaan perustellusta pyynnöstä, jonka toimivaltaiset viranomaiset esittävät muun muassa rikoksen estämis-, selvittämis- tai syyteharkintamenettelyssä. Asianmukaisesti perustelluissa kiireellisissä tapauksissa kyseinen valvonta on suoritettava ensi tilassa. PNR-tuomiossa kiinnitettiin edelleen huomiota myös PNR-tietojen säilytysaikoihin. EU-tuomioistuin on katsonut, että vain sellaisten lentomatkustajien PNR-tietoja voidaan säilyttää maksimissaan viiden vuoden ajan, joiden osalta voidaan näyttää objektiivisten seikkojen olemassaoloa ja todeta terrorismirikoksiin tai vakavaan rikollisuuteen liittyvä riski, jolla on ainakin välillinen objektiivinen yhteys matkustajien lentomatkaan. Muiden lentomatkustajien osalta tiedot tulee poistaa tai anonymisoida asianmukaisen säilytysajan päätyttyä. PNR-direktiivissä ja PNR-tuomiossa tällaisena asianmukaisena säilytysaikana on pidetty maksimissaan kuutta kuukautta. 

Komission jakaman sopimusluonnoksen arvioidaan täyttävän unionin oikeuden edellyttämät asianmukaiset suojatoimet sekä ottavan huomioon myös edellä esiin tuodun EU-tuomioistuimen oikeuskäytännön sekä siinä asetetut reunaehdot. Sopimusluonnoksen mukaan sopimuksessa määrättäisiin täsmällisesti siitä, miten lentoliikenteen harjoittajat toimittaisivat PNR-tietoja Islannin PIU:lle sekä siitä, miten se voisi käsitellä vastaanottamiaan PNR-tietoja sekä luovuttaa niitä eteenpäin. PNR-tietojen käsittely olisi sidottu tiukasti terrorismirikosten tai vakavan rikollisuuden ennalta estämiseen, paljastamiseen ja tutkintaan sekä tällaisiin rikoksiin liittyviin syytetoimiin. Toimivaltaisten viranomaisten henkilötietojen käsittelyä valvoisi tietosuojaviranomainen. Poiketen aiemmista EU:n ja kolmansien maiden välisistä PNR-sopimuksista, komission jakamassa sopimusluonnoksessa ei ole nimenomaisia säännöksiä esimerkiksi oikeussuojakeinoista ja rekisteröidyn oikeuksista. Koska rikosasioiden tietosuojadirektiivissä säädetään kyseisistä seikoista ja koska Islanti on täytäntöönpannut direktiivin, erillisiä säännöksiä ei tarvita. 

Ahvenanmaan toimivalta

Sopimusluonnokseen ei arvioida sisältyvän Ahvenanmaan toimivaltaan kuuluvia määräyksiä. Sopimus koskisi ilmailua ja järjestysvallan toimintaa valtion turvallisuuden varmistamiseksi, jotka Ahvenanmaan itsehallintolain (1144/1991) 27 §:n 14 ja 34 kohdan mukaan ovat valtakunnan lainsäädäntövaltaan kuuluvia asioita. 

Ehdotuksen käsittely Euroopan unionin toimielimissä ja muiden jäsenvaltioiden kannat

Sopimusluonnosta on käsitelty neuvoston tietojenvaihtotyöryhmässä (IXIM) 24.2.2025. Neuvotteluiden etenemisestä on informoitu IXIM-työryhmää lisäksi 13.11.2024. Komission päätösluonnokset neuvotteluiden aloittamisesta ja neuvottelumandaatin antamisesta käsiteltiin IXIM-työryhmässä 5.10.2023. Päätösluonnokset esiteltiin myös oikeus- ja sisäasioiden neuvosten kokouksessa 25.10.2023. Oikeus- ja sisäasioiden neuvosto hyväksyi 4.3.2024 päätöksen valtuuksien antamisesta komissiolle aloittaa EU:n ja Islannin väliset sopimusneuvottelut. 

Euroopan parlamentissa vastuuvaliokuntana on kansalaisvapauksien sekä oikeus- ja sisäasioiden valiokunta (LIBE). Euroopan parlamentille tiedotetaan välittömästi ja täysimääräisesti menettelyn kaikissa vaiheissa SEUT 218 artiklan 10 kohdan mukaisesti. Sopimuksen tekeminen tulee edellyttämään Euroopan parlamentin hyväksyntää, koska sopimus tehdään alalla, jolla sovelletaan tavallista lainsäätämisjärjestystä SEUT 218 artiklan 6 kappaleen a alakohdan v alakohdan mukaisesti. Komissio tulee informoimaan LIBE-valiokuntaa sopimusluonnoksesta suljetuin ovin lähiaikoina. 

Ehdotuksen kansallinen käsittely

Sopimusluonnosta ja sitä koskevaa U-kirjelmää on käsitelty oikeus- ja sisäasiat -jaoston (EU7) kirjallisessa menettelyssä 27.–28.2.2025. 

Alkuperäisestä neuvottelumandaatista on annettu eduskunnalle 6.11.2023 selvitys E-kirjeellä E 45/2023 vp. Eduskunnan hallintovaliokunta ja liikenne- ja viestintävaliokunta yhtyivät valtioneuvoston kantaan. 

Valtioneuvoston kanta

Valtioneuvosto kannattaa sitä, että EU pyrkii neuvottelemaan Islannin kanssa PNR-sopimuksen. Valtioneuvosto pitää tärkeänä sitä, että neuvottelut EU-Islanti PNR-sopimuksesta saadaan päätettyä mahdollisimman pian. 

Valtioneuvosto katsoo, että komission jakama sopimusluonnos vastaa pääosin komissiolle annettuja neuvotteluohjeita ja Suomen tavoitteita. Islanti on täytäntöönpannut EU:n rikosasioiden tietosuojadirektiivin. Näin ollen osa neuvotteluohjeissa edellytetyistä seikoista, kuten oikeussuojakeinoista, on saatettu Islannissa voimaan tätä kautta. Kyseisistä seikoista ei ole siten ollut tarvetta ottaa määräyksiä sopimusluonnokseen.  

Valtioneuvosto katsoo, että sopimusluonnoksessa on saavutettu tasapaino kansalaisten turvallisuuden varmistamisen ja perusoikeuksien kunnioittamisen välillä ja että se sisältää sellaiset suojatakeet, joilla valtioneuvoston mielestä voidaan varmistua sopimuksen yhteensopivuudesta EU:n perusoikeuskirjan keskeisten artiklojen kanssa. Sopimusluonnos kunnioittaa perusoikeuksia ja erityisesti oikeutta yksityisyyteen ja henkilötietojen suojaan sekä antaa lentoyhtiöille niiden toiminnassaan tarvitseman oikeusvarmuuden. Valtioneuvosto katsoo, että neuvottelujen lopputuloksena syntynyt sopimusluonnos on hyväksyttävissä.