LIIKENNE- JA VIESTINTÄVALIOKUNNAN LAUSUNTO 21/2003 vp

LiVL 21/2003 vp - E 58/2003 vp

Tarkistettu versio 2.0

Valtioneuvoston selvitys Euroopan unionin ja Yhdysvaltain neuvotteluista koskien Yhdysvaltain vaatimusta EU:n alueelta tulevien lentomatkustajien matkustajatietojen luovuttamisesta

Suurelle valiokunnalle

JOHDANTO

Vireilletulo

Suuri valiokunta on 5 päivänä marraskuuta 2003 lähettänyt valtioneuvoston selvityksen Euroopan unionin ja Yhdysvaltain neuvotteluista koskien Yhdysvaltain vaatimusta EU:n alueelta tulevien lentomatkustajien matkustajatietojen luovuttamisesta (E 58/2003 vp) liikenne- ja viestintävaliokunnalle mahdollisia toimenpiteitä varten.

Asiantuntijat

Valiokunnassa ovat olleet kuultavina

ylitarkastaja Leena Rantalankila, oikeusministeriö

vanhempi hallitussihteeri Rita Linna, liikenne- ja viestintäministeriö

tietosuojavaltuutettu Reijo Aarnio, Tietosuojavaltuutetun toimisto, OM

suunnittelija Nina Kamsani, Finnair Oyj

VALTIONEUVOSTON SELVITYS

Ehdotus

Yhdysvaltain lainsäädäntö on vuodesta 2001 edellyttänyt lentomatkustajia koskevien henkilötietojen luovuttamista Yhdysvaltain viranomaisille. Vaatimukset ovat kohdistuneet matkustajan nimitietoihin, PNR-tietoihin (Passenger name record), ja APIS- (tai API-) tietoihin (Advanced passenger information system).

APIS-tiedot.

APIS-tiedot ovat tietoja, joita lentoyhtiöt keräävät lähtöselvityksessä. Luovutettavat tiedot ovat tieto lennosta ja sen päivämäärästä, tieto lennon lähtö- ja saapumispaikasta sekä passiin sisältyvät tiedot. APIS-tiedot luovutetaan vasta, kun kone on noussut ilmaan eli noin 15 minuuttia lähtöajasta.

Huhtikuusta 2002 lukien Yhdysvallat on säätänyt matkustajia ja miehistöä koskevien APIS-tietojen luovutuksen pakolliseksi. Luovutettavaksi vaaditaan myös tiedot, jotka tällä hetkellä kerätään lentokoneessa täytettävällä maahantulokaavakkeella (esimerkiksi tieto Yhdysvaltain vierailun aikaisesta osoitteesta). Täydellisten APIS-tietojen antamatta jättämisestä seuraa huomattavat sakot lentoyhtiöille.

Tiettävästi marraskuussa tulee voimaan nk. Final rule, josta käy ilmi, mitä APIS-tietoja Yhdysvallat tulee jatkossa vaatimaan. Tämän jälkeen lentoyhtiöillä on 6 kuukautta aikaa toteuttaa luovutukset.

PNR-tiedot.

Terrorismin vastaiseen taisteluun vedoten Yhdysvaltain viranomaiset ovat alkaneet vaatia lentoyhtiöiltä myös PNR-tietoja, jotka ovat matkatoimistojen ja lentoyhtiöiden matkanvarausjärjestelmiin tallettamia tietoja. PNR-tiedot ovat APIS-tietoja tarkempia ja laajempia tietoja, joita luovutettaisiin jo matkan varanneista (ei siis välttämättä Yhdysvaltoihin matkalla olevista) henkilöistä. Kaikki lentoyhtiöt eivät kerää samoja PNR-tietoja, toisilla tietoja on enemmän, toisilla vähemmän. Finnairilla olevat matkanvaraustiedot ovat: matkustajan sukunimi, etunimi, sukupuoli, reititys, yhteystiedot, maksutapa, lentolipun numero, varauspäivämäärä, Frequent Flyer -numero sekä mahdolliset erikoispalvelut, joita matkustaja on pyytänyt (esimerkiksi erikoisruoka ja paikkatoivomus).

Henkilötietojen luovuttaminen.

EY:n henkilötietodirektiivin (95/46/EY) pääsäännön mukaan henkilötietojen siirto on sallittua ainoastaan sellaiseen EU:n ulkopuoliseen maahan (ns. kolmanteen maahan), jossa taataan riittävä tietosuojan taso. Tietoja voidaan siirtää myös mm., jos rekisteröity on yksiselitteisesti antanut suostumuksensa suunniteltuun siirtoon.

Henkilötietodirektiivi on pantu kansallisesti täytäntöön henkilötietolailla (523/1999). Henkilötietojen siirtoa koskevia säännöksiä on täydennetty vuonna 2000 (986/2000).

Suomessa Finnair pyytää matkustajilta suostumuksen heidän tietojensa luovuttamiseen Yhdysvaltoihin. Kyseenalaista kuitenkin on, voidaanko suostumusta aina pitää henkilötietolain edellyttämällä tavalla yksiselitteisenä ja vapaaehtoisena mm., koska lippua ei myydä matkustajalle, joka ei suostu tietojensa luovuttamiseen. Lippua ei voida Finnairin mukaan myydä, koska kun Yhdysvalloille on avattu tietoyhteys, yksittäisen matkustajan tietojen katselun estäminen ei ole mahdollista. Kaikkien matkustajien varaustiedot tallentuvat varausjärjestelmään automaattisesti. Ellei matkustaja suostu tietojen luovutukseen, varausta ei siten edes teknisistä syistä voida tehdä lainkaan. Suostumuksen vapaaehtoisuus ja yksiselitteisyys on kyseenalainen myös esimerkiksi tilanteessa, jossa työnantaja määrää henkilön matkustamaan Yhdysvaltoihin.

Tietosuojan taso Yhdysvalloissa ja käydyt neuvottelut.

Komission ja jäsenmaiden tietosuoja-asiantuntijoiden käsityksen mukaan tietosuojan taso Yhdysvalloissa ei ole riittävä. Komissio on tämän vuoksi syksystä 2002 lukien käynyt korkean tason neuvotteluja Yhdysvaltain viranomaisten kanssa luovutuksissa noudatettavista tietosuojaperiaatteista tavoitteenaan päätös luovutuksissa taattavasta tietosuojan riittävästä tasosta.

Neuvottelujen tuloksena hyväksyttiin 17/18 helmikuuta 2003 tietojen luovutuksia koskeva komission ja Yhdysvaltain tullin (US Customs) yhteinen julkilausuma (Joint Statement). Julkilausuman perusteella Air France, British Airways, Iberia ja Lufthansa avasivat CBP:lle teknisen käyttöyhteyden PNR-tietoihinsa 5.3.2003 lukien. Neuvottelujen tuloksena on syntynyt myös CBP:n ja TSA:n antamat sitoumukset (Undertakings), joiden liitteenä on lista vaadittavista 39:stä PNR-tiedosta.

Neuvottelut eivät kuitenkaan toistaiseksi ole johtaneet tietosuojan kannalta tyydyttävään tulokseen, ja komissio pitää virallisesti lentomatkustajia koskevien tietojen luovutusten laillisuutta hauraana (legally fragile). Neljä suurinta ongelmaa ovat tietojen käyttötarkoituksen epämääräisyys (eli terrorismin ehkäisemisen lisäksi muun vakavan rikollisuuden ehkäiseminen), vaadittujen tietojen määrä ja laatu, tietojen pitkät säilytysajat sekä riippumattoman valitusmekanismin puuttuminen.

Komissio on kannustanut kansallisia tietosuojaviranomaisia olemaan puuttumatta tietojen luovutuksiin neuvottelujen aikana mm. katsomalla edellä mainitussa Joint Statement -asiakirjassa, että EU:n tietosuojaviranomaiset eivät neuvotteluprosessi huomioon ottaen ehkä katso tarpeelliseksi ryhtyä täytäntöönpanotoimenpiteisiin niitä lentoyhtiöitä vastaan, jotka noudattavat Yhdysvaltain vaatimuksia.

Liikenne-, kauppa- ja kilpailupoliittiset näkökulmat.

Asiassa on tietosuojanäkökulman lisäksi liikenne-, kauppa- ja kilpailupoliittisia näkökulmia. Lentoliikenteen sujuvuus on kaikkien intressissä, ja lentoliikenneoikeuksien menettäminen ja siitä seuraava liikenteen lakkaaminen tulee estää. Tietojen luovuttamisesta ei saisi aiheutua kohtuuttomia lisärasitteita lentoyhtiöille, jotka ovat viime aikoina olleet poikkeuksellisen vaikeassa tilanteessa mm. syyskuun 11. päivän 2001 tapahtumien ja SARS-epidemian vaikutusten takia. Keskeistä on, että kaikkia lento-yhtiöitä kohdellaan tasapuolisesti. Kilpailun vääristämisen estämiseksi on välttämätöntä, että tietojen luovuttamista koskevat säännöt ovat kaikille lentoyhtiöille samat. Keskeistä on myös varmistaa, että tietoja ei käytetä kaupallisesti vääriin tarkoituksiin (täydelliset tiedot reittien kapasiteetista kilpailijoille jne.).

Valtioneuvoston kanta

Ulkoasiainministeriö järjesti asian tiimoilta koordinaatiokokouksen 2.10.2003. Kokouksessa, johon osallistuivat ulkoasiainministeriö, oikeusministeriö, liikenne- ja viestintäministeriö, Finnair, Ilmailulaitos, Rajavartiolaitos, Tullihallitus ja tietosuojavaltuutettu, muodostettiin Suomen alustavia kantoja tietojen luovutuksiin:

  • Suomen mielestä kansainvälisen sopimuksen solmiminen EU:n ja Yhdysvaltain välillä on tarpeellista, jotta oikeudelliset kehykset menettelylle saataisiin aikaiseksi ja jotta Yhdysvaltain antamat sitoumukset olisivat velvoittavia. Sopimuksessa tulisi huomioida niin pitkälle kuin mahdollista henkilötietodirektiivin määräykset.
  • Suomelle tärkein kynnyskysymys on luovutettavien tietojen käyttötarkoituksen täsmällinen määrittely ja selkeä rajaus (esimerkiksi terrorismin ehkäiseminen).
  • Kerättävien tietojen laajuutta ja tietojen säilyttämisaikaa tulee peilata suhteessa käyttötarkoitukseen.
  • Toinen kynnyskysymys on riippumaton valitusmekanismi ja velvoite selkeälle tiedottamiselle valitusmekanismista.
  • Kannatetaan ajatusta selvittää Itävallan tietosuojavaltuutetun ehdotusta EU:n viranomaisten keskitetystä tietokannasta, joka olisi osa siirtymisestä tietojen luovuttamisessa pull-menettelystä push-menettelyyn.
  • Todettiin kansainvälinen siviili-ilmailujärjestö ICAO oikeaksi tahoksi asian multilateraaliselle käsittelylle.
  • Lentoliikenteen sujuva ja häiriötön toiminta sekä yhteisön lentoyhtiöiden tasapuoliset toimintaedellytykset tulee turvata.

VALIOKUNNAN KANNANOTOT

Perustelut

Valiokunta toteaa, että perusongelmana EU:n alueelta Yhdysvaltoihin tulevien lentomatkustajien matkustajatietojen luovuttamisessa on, että eurooppalaisilla lentoyhtiöillä ei ole oikeudellista perustetta luovuttaa matkustajatietoja Yhdysvaltoihin. Toisaalta tietojen antamatta jättämisestä seuraa huomattavat rahalliset sanktiot lentoyhtiöille, maahantulomenettelyjen hitaus ja viimeisenä sanktioaskeleena lentokielto Yhdysvaltoihin.Tämän vuoksi onkin pidetty tärkeänä turvata sujuva lentoliikenne tasavertaisesti kaikille lentoyhtiöille ja on katsottu, että tulee pyrkiä välttämään kohtuuttomia rasitteita lentoyhtiöille.

Valiokunta kiinnittää huomiota siihen, että henkilötietojen siirto EU:n ulkopuolelle on EY:n henkilötietodirektiivin ja kansallisen henkilötietolain mukaan sallittu pääsääntöisesti ainoastaan, jos kyseisessä maassa taataan riittävä tietosuojataso. Tietoja voidaan siirtää myös, jos asianomainen on yksiselitteisesti antanut suostumuksensa tietojen siirtoon. Komissio voi todeta, että tietyssä EU:n ulkopuolisessa maassa tai tietyissä EU:n ulkopuoliseen maahan tapahtuvissa luovutuksissa taataan riittävä tietosuojan taso, jolloin päätökset sitovat jäsenmaita.

Tietosuojan taso Yhdysvalloissa ei kuitenkaan ole riittävä. Komissio on tämän vuoksi syksystä 2002 lukien käynyt korkean tason neuvotteluja Yhdysvaltojen kanssa luovutuksissa noudatettavista tietosuojaperiaatteista tavoitteenaan, että se voisi tehdä päätöksen luovutuksissa taattavasta tietosuojan riittävästä tasosta. Neljä suurinta ongelmaa neuvotteluissa ovat tietojen käyttötarkoituksen epämääräisyys, vaadittujen tietojen määrä ja laatu, tietojen pitkät säilytysajat sekä riippumattoman valitusmekanismin puuttuminen.

Valiokunta kiinnittää huomiota Itävallan esitykseen, jonka mukaan EU-maiden lentoyhtiöt lähettäisivät matkustajan nimitiedot, PNR-tiedot, keskitettyyn PNR-varastoon ja EU:n viranomaiset päättäisivät kenelle tietoja voidaan luovuttaa eteenpäin. EU kustantaisi tietopankin ylläpidon, ja lentoyhtiöille tulisi transaktiokulut tietojen lähettämisestä kyseiseen varastoon. Ehdotuksen mukaan päätökset tietojen luovuttamisesta tekisi viranomaistaho ja tarvittavat kahdenkeskiset ja monenväliset sopimukset tehtäisiin poliittisella tasolla. Valiokunta pitää esitystä periaatteessa kannatettavana, mutta painottaa, että kansainvälisiä kahdenkeskisiä sopimuksia ei asiassa tulisi tehdä vaan tulisi pyrkiä monenvälisiin sopimuksiin, mieluiten kansainvälisen lentojärjestön ICAOn puitteissa. Tämä tosin kestää vuosia, ja ennen sitä tulee pyrkiä saamaan aikaan ainakin väliaikainen sellainen sopimus Yhdysvaltojen ja EU:n välillä, jolla voidaan mahdollisimman hyvin turvata tietosuojanäkökohdat.

Lausunto

Lausuntonaan liikenne- ja viestintävaliokunta ilmoittaa,

että valiokunta yhtyy asiassa valtioneuvoston kantaan.

Helsingissä 28 päivänä marraskuuta 2003

Asian ratkaisevaan käsittelyyn valiokunnassa ovat ottaneet osaa

  • pj. Markku Laukkanen /kesk
  • vpj. Matti Kangas /vas
  • jäs. Leena Harkimo /kok
  • Saara Karhu /sd
  • Marjukka Karttunen /kok
  • Inkeri Kerola /kesk
  • Erkki Pulliainen /vihr
  • Pertti Salovaara /kesk
  • Arto Seppälä /sd
  • Timo Seppälä /kok
  • Harry Wallin /sd
  • Lasse Virén /kok
  • Raimo Vistbacka /ps
  • vjäs. Reijo Paajanen /kok

Valiokunnan sihteerinä on toiminut

valiokuntaneuvos Mika Boedeker