KOHTUJURISTI ETTEPANEK
PHILIPPE LÉGER
esitatud 22. novembril 2005(1)
Kohtuasi C‑317/04
Euroopa Parlament
versus
Euroopa Liidu Nõukogu
Üksikisikute kaitse seoses isikuandmete töötlemisega – Tühistamishagi – Nõukogu otsus 2004/496/EÜ – Euroopa Ühenduse ja Ameerika Ühendriikide vaheline leping lennuettevõtjate poolt reisijate isikuandmete (Passenger Name Records) töötlemise ja edastamise kohta
Kohtuasi C‑318/04
Euroopa Parlament
versus
Euroopa Ühenduste Komisjon
Tühistamishagi – Komisjoni otsus 2004/535/EÜ Ameerika Ühendriikide Tolli- ja Piirivalveametile edastatavates reisijaregistrites sisalduvate lennureisijate isikuandmete piisava kaitse kohta – Direktiiv 95/46/EÜSisukord
I. Vaidluse taust
II. Kahe kohtuasja õiguslik raamistik
A. Euroopa Liidu leping
B. Euroopa Ühenduse asutamisleping
C. Euroopa isikuandmete kaitse õigus
III. Vaidlustatud otsused
A. Piisava kaitse otsus
B. Nõukogu otsus
IV. Euroopa Parlamendi väited mõlemas kohtuasjas
V. Piisava kaitse otsuse tühistamiseks esitatud hagi (kohtuasi C‑318/04)
A. Väide, mis tuleneb komisjonipoolsest pädevuse ületamisest piisava kaitse otsuse vastuvõtmisel
1. Poolte argumendid
2. Hinnang
B. Põhiõiguste rikkumisest ja proportsionaalsuse põhimõtte eiramisest tulenevad väited
VI. Nõukogu otsuse tühistamiseks esitatud hagi (kohtuasi C‑317/04)
A. Väide, mis tuleneb asjaolust, et nõukogu otsuse õigusliku alusena on ekslikult kasutatud EÜ artiklit 95
1. Poolte argumendid
2. Hinnang
B. Väide, mis tuleneb EÜ artikli 300 lõike 3 teise lõigu rikkumisest direktiivi 95/46 muutmise tõttu
1. Poolte argumendid
2. Hinnang
C. Väited, mis tulenevad isikuandmete kaitse õiguse ja proportsionaalsuse põhimõtte rikkumisest
1. Poolte argumendid
2. Hinnang
a) Eraellu sekkumise olemasolu
b) Eraellu sekkumise õigustatus
i) Kas eraellu sekkumine on seadusega ette nähtud?
ii) Kas sekkumine toimub õiguspärasel eesmärgil?
iii) Kas sekkumine on demokraatlikus ühiskonnas selle eesmärgi saavutamiseks vajalik?
D. Väide, et nõukogu otsus ei ole piisavalt põhjendatud
E. Väide, mis tuleneb EÜ artiklis 10 sätestatud lojaalse koostöö põhimõtte rikkumisest
VII. Kohtukulud
VIII. Ettepanek
1. Euroopa Parlament esitas Euroopa Kohtule EÜ artikli 230 alusel kaks tühistamishagi. Kohtuasjas C‑317/04: parlament vs. nõukogu palutakse hagiga tühistada nõukogu 17. mai 2004. aasta otsus, mis käsitleb Euroopa Ühenduse ja Ameerika Ühendriikide vahelise lepingu sõlmimist lennuettevõtjate poolt reisijate isikuandmete töötlemise ja edastamise kohta Ameerika Ühendriikide Sisejulgeolekuministeeriumi Tolli- ja Piirivalvebüroole.(2) Kohtuasjas C‑318/04: parlament vs. komisjon taotleb Euroopa Parlament komisjoni 14. mai 2004. aasta otsuse Ameerika Ühendriikide Tolli- ja Piirivalveametile edastatavates reisijaregistrites sisalduvate lennureisijate isikuandmete piisava kaitse kohta tühistamist.(3)
2. Nimetatud kahes kohtuasjas palutakse Euroopa Kohtul võtta seisukoht seonduvalt lennureisijate isikuandmete kaitse problemaatikaga, kuna andmete edastamise ja kolmandas riigis – antud juhul Ameerika Ühendriikides(4) – töötlemise õigustamiseks tuginetakse nõuetele, mis tulenevad avalikust korrast ja kuuluvad kriminaalõiguse valdkonda, nagu terrorismi ja muude raskete kuritegude ennetamine ja nende vastu võitlemine.
3. Need kaks kohtuasja said alguse reast sündmustest, mis tuleks nüüd välja tuua. Seejärel täpsustan ma üksikasjalikult nende õiguslikku raamistikku.
I. Vaidluse taust
4. Pärast 2001. aasta 11. septembri terrorirünnakuid võtsid Ühendriigid vastu seaduse, mis sätestab, et lennuettevõtjad, kes teostavad lennuühendusi Ühendriikidesse saabuvatel, sealt väljuvatel või selle territooriumi läbivatel lendudel, on kohustatud Ühendriikide tolliasutustele võimaldama elektroonilist juurdepääsu andmetele, mis sisalduvad automaatsetes reserveerimise ja väljumiste kontrollisüsteemides, mida tähistatakse terminiga „Passenger Name Records” (edaspidi „PNR-andmed”)(5). Tunnustades küll silmas peetavate julgeolekuhuvide õigustatust, teatas Euroopa Ühenduste Komisjon Ühendriikide ametiasutustele juunist 2002, et nimetatud sätted võivad olla vastuolus ühenduse ja liikmesriikide isikuandmete kaitse alaste õigusaktidega ning arvutipõhiste ettetellimissüsteemide kasutamist käsitleva määruse (AES)(6) teatavate sätetega. Ühendriikide ametiasutused teatasid uute sätete jõustumisest, kuid keeldusid loobumast sanktsioonide kohaldamisest nende lennuettevõtjate suhtes, kes pärast 5. märtsi 2003 ei olnud täitnud kõnesolevaid õigusnorme. Paljud liikmesriikide suured lennuettevõtjad olid sellest kuupäevast võimaldanud Ühendriikide ametiasutustele juurdepääsu oma PNR-andmetele.
5. Komisjon alustas Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivi 95/46/EÜ (üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta)(7) artikli 25 lõike 6 alusel Ühendriikide poolt isikuandmetele tagatava piisava kaitse otsuse vastuvõtmiseks Ühendriikide ametiasutustega läbirääkimisi, mille tulemusel koostati Ameerika Ühendriikide Tolli- ja Piirivalveameti (CBP) kohustusi sisaldav akt.
6. Andmekaitsealane(8) niinimetatud „artikli 29” töörühm esitas 13. juunil 2003 arvamuse, milles väljendas kahtlusi seoses sellega, kas nende kohustustega tagatud kaitse tase on kavandatava andmetöötluse puhul piisav.(9) Töörühm kordas neid kahtlusi ka 29. jaanuari 2004. aasta arvamuses.(10)
7. Komisjon esitas 1. märtsil 2004 Euroopa Parlamendile piisava kaitse otsuse eelnõu, millega oli kaasas CBP kohustuste eelnõu.
8. 17. märtsil 2004 edastas komisjon EÜ artikli 300 lõike 3 esimeses lõigus ette nähtud konsulteerimist silmas pidades parlamendile ettepaneku Ameerika Ühendriikidega lepingu sõlmimist käsitleva Euroopa Liidu Nõukogu otsuse kohta. Nõukogu palus 25. märtsil 2004 Euroopa Parlamendi kodukorra artiklis 112 (nüüd artikkel 134) sätestatud kiireloomulisele menetlusele osundades parlamendil esitada viidatud ettepaneku kohta arvamus hiljemalt 22. aprilliks 2004. Nõukogu rõhutas oma kirjas, et „[t]errorismivastane võitlus, mis õigustab pakutud meetmeid, on Euroopa Liidu üks olulisi prioriteete. Hetkel on lennuettevõtjate ja reisijate olukord ebakindel ning seda tuleb viivitamatult parandada. Pealegi on oluline kaitsta asjassepuutuvate poolte finantshuve”.
9. Parlament võttis 31. märtsil 2004 nõukogu 28. juuni 1999. aasta otsuse, millega kehtestatakse komisjoni rakendusvolituste kasutamise menetlused,(11) artikli 8 alusel vastu resolutsiooni, milles nägi esitatud ettepaneku osas ette teatud arvu õiguslikke reservatsioone. Nimelt asus parlament seisukohale, et piisava kaitse otsuse eelnõu ületab komisjonile direktiivi 95/46 artikliga 25 antud pädevuse piire. Parlament kutsus üles sõlmima asjakohase rahvusvahelise lepingu, milles peetaks kinni põhiõigustest, ning palus komisjonil esitada otsuse uus eelnõu. Lisaks jättis ta endale võimaluse pöörduda Euroopa Kohtusse, et kontrollida kavandatava rahvusvahelise lepingu seaduslikkust, eelkõige aga seda, kas see on kooskõlas eraelu kaitse põhimõtetega.
10. 21. aprillil 2004 kinnitas parlament presidendi taotluse alusel õigusasjade- ja siseturukomisjoni soovituse, mille kohaselt tuleks EÜ artikli 300 lõike 6 alusel taotleda Euroopa Kohtult arvamust selle kohta, kas kavandatav leping on kooskõlas asutamislepingu sätetega, ja see menetlus algatati samal päeval. Samuti otsustas parlament samal päeval saata komisjonile tagasi nõukogu otsuse ettepaneku kohta esitatud aruande, lükates seeläbi tagasi nõukogu 25. märtsi 2004. aasta taotluse vaadata kõnealune ettepanek läbi kiireloomulisena.
11. Nõukogu saatis 28. aprillil 2004 EÜ artikli 300 lõike 3 esimesele lõigule tuginedes parlamendile kirja, milles palus sel esitada arvamus lepingu sõlmimise kohta enne 5. maid 2004. Taotluse kiireloomulisuse põhjenduseks tõi nõukogu uuesti välja 25. märtsi 2004. aasta kirjas esitatud põhjused.(12)
12. Euroopa Kohtu kohtusekretär teatas 30. aprillil 2004 parlamendile, et Euroopa Kohus määras arvamuse esitamise taotluse nr 1/04 kohta liikmesriikide, nõukogu ja komisjoni märkuste esitamise tähtajaks 4. juuni 2004.
13. Parlament jättis 4. mail 2004 talle 28. aprillil(13) nõukogu esitatud asja kiireloomulise menetlemise ettepaneku rahuldamata. Sellest ülejärgmisel päeval pöördus parlamendi president nõukogu ja komisjoni poole, paludes neil mitte astuda edasisi samme enne, kui Euroopa Kohus on esitanud 21. aprillil 2004 taotletud arvamuse.
14. Komisjon võttis 14. mail 2004 direktiivi 95/46 artikli 25 lõike 6 alusel vastu otsuse CBP-le edastatavates lennureisijate registrites sisalduvate isikuandmete piisava kaitse kohta.
15. 17. mail 2004 võttis nõukogu vastu otsuse Euroopa Ühenduse ja Ameerika Ühendriikide vahel PNR-andmete töötlemist ja nende lennuettevõtjate poolt CBP-le edastamist käsitleva lepingu sõlmimise kohta.
16. Parlament teatas 9. juuli 2004. aasta kirjaga Euroopa Kohtule, et võtab tagasi nr 1/04 all registreeritud arvamuse esitamise taotluse.(14) Seejärel otsustas ta alustada kohtuvaidlust küsimustes, milles tema ning nõukogu ja komisjoni seisukohad lahknevad.
II. Kahe kohtuasja õiguslik raamistik
A. Euroopa Liidu leping
17. EL artikkel 6 sätestab:
„1. Liit on rajatud vabaduse, demokraatia, inimõiguste ja põhivabaduste austamise ning õigusriigi põhimõtetele, mis on ühised kõikidele liikmesriikidele.
2. Liit austab põhiõigusi kui ühenduse õiguse üldpõhimõtteid, nagu need on tagatud Euroopa inimõiguste ja põhivabaduste kaitse konventsiooniga, mis on alla kirjutatud Roomas 4. novembril 1950, ning nagu need tulenevad liikmesriikide ühesugustest riigiõiguslikest tavadest.
[…]”.
B. Euroopa Ühenduse asutamisleping
18. EÜ artikli 95 lõige 1 sätestab:
„Erandina artiklist 94 ning kui käesolevas lepingus ei ole ette nähtud teisiti, kohaldatakse artiklis 14 seatud eesmärkide saavutamiseks järgmisi sätteid. Vastavalt artiklis 251 sätestatud menetlusele ning pärast konsulteerimist majandus- ja sotsiaalkomiteega võtab nõukogu liikmesriikides nii õigus- kui ka haldusnormide ühtlustamiseks meetmed, mille eesmärk on siseturu rajamine ja selle toimimine”.
19. Ühenduse rahvusvaheliste lepingute sõlmimise menetluse kohta näeb EÜ artikli 300 lõike 2 esimene lõik ette, et „[k]ui komisjonile selles valdkonnas antud volitustest ei johtu teisiti, otsustab nõukogu kvalifitseeritud häälteenamusega komisjoni ettepaneku põhjal lepingute allakirjutamise […]”.
20. EÜ artikli 300 lõige 3 on sõnastatud nii:
„Välja arvatud artikli 133 lõikes 3 märgitud lepingud, sõlmib nõukogu lepingud pärast konsulteerimist Euroopa Parlamendiga, sealhulgas juhul, kui leping käsitleb valdkonda, mille puhul ühendusesiseste eeskirjade vastuvõtmiseks on nõutav artiklis 251 või 252 sätestatud menetlus. Euroopa Parlament esitab oma arvamuse tähtaja jooksul, mille komisjon võib määrata sõltuvalt asja kiireloomulisusest. Kui selle tähtaja jooksul arvamust ei ole esitatud, võib nõukogu teha otsuse.
Erandina eelmisest lõigust sõlmitakse artiklis 310 märgitud lepingud, muud lepingud, mis kehtestavad koostöömenetluste korraldamisega spetsiifilise institutsioonilise raamistiku, lepingud, mis oluliselt mõjutavad ühenduse eelarvet, ja lepingud, mis tingivad artiklis 251 sätestatud menetluse kohaselt vastuvõetud õigusakti muutmise, pärast seda, kui on saadud Euroopa Parlamendi nõusolek.
Nõukogu ja Euroopa Parlament võivad kiireloomulise olukorra puhul kokku leppida nõusoleku andmise tähtaja suhtes.”
C. Euroopa isikuandmete kaitse õigus
21. Euroopa inimõiguste ja põhivabaduste kaitse konventsiooni (edaspidi „EIÕK”) artikkel 8 sätestab:
„1. Igaühel on õigus sellele, et austataks tema era- ja perekonnaelu ja kodu ning korrespondentsi saladust.
2. Võimud ei sekku selle õiguse kasutamisse muidu, kui kooskõlas seadusega ja kui see on demokraatlikus ühiskonnas vajalik riigi julgeoleku, ühiskondliku turvalisuse või riigi majandusliku heaolu huvides, korratuse või kuriteo ärahoidmiseks, tervise või kõlbluse või kaasinimeste õiguste ja vabaduste kaitseks.”
22. Euroopa andmekaitseõiguse väljatöötamist alustati kõigepealt Euroopa Nõukogu raames. Nii avati 28. jaanuaril 1981 Strasbourg’is Euroopa Nõukogu liikmesriikidele allakirjutamiseks isikuandmete automatiseeritud töötlemisel isiku kaitse konventsioon.(15) Selle eesmärk on tagada osalisriigi territooriumil igale isikule, olenemata tema kodakondsusest või alalisest elukohast, tema õiguste ja põhivabaduste austamine, eriti oluline on isikuandmete automatiseeritud töötlemisel tagada isiku õigus säilitada privaatsus.
23. Euroopa Liidu suhtes on lisaks Euroopa Liidu põhiõiguste harta(16) artiklile 7, mis käsitleb era- ja perekonnaelu austamist, selle artikkel 8 pühendatud spetsiaalselt isikuandmete kaitsele. See artikkel on sõnastatud järgmiselt:
„1. Igaühel on õigus tema isikuandmete kaitsele.
2. Selliseid andmeid tuleb töödelda asjakohaselt ning kindlaksmääratud eesmärkidel ja asjaomase isiku nõusolekul või muul seaduses ettenähtud õiguslikul alusel. Igaühel on õigus tutvuda tema kohta kogutud andmetega ja nõuda nende parandamist.
3. Nende sätete täitmist kontrollib sõltumatu asutus.”
24. Ühenduse esmases õiguses näeb EÜ artikli 286 lõige 1 ette, et „[a]lates 1. jaanuarist 1999 kohaldatakse käesoleva lepinguga või selle alusel asutatud institutsioonide ja organite suhtes ühenduse õigusakte, mis käsitlevad üksikisikute kaitset isikuandmete töötlemisel ja nende andmete vaba liikumist”.(17)
25. Ühenduse teiseses õiguses on selle valdkonna alusnorm direktiiv 95/46.(18) Selle seos Euroopa Nõukogu tekstidega nähtub sõnaselgelt kümnendast ja üheteistkümnendast põhjendusest. Kümnes põhjendus sedastab nimelt, et „isikuandmete töötlemist käsitlevate õigusaktide eesmärk on kaitsta Euroopa inimõiguste ja põhivabaduste kaitse konventsiooni artiklis 8 ja ühenduse õiguse üldistes põhimõtetes tunnustatud põhiõigusi ja -vabadusi, eelkõige õigust eraelu puutumatusele; nimetatud põhjusel ei tohi kõnealuste õigusaktide ühtlustamise tagajärjel nendega pakutav kaitse väheneda, vaid vastupidi – ühenduses tagatava kaitstuse tase peab olema kõrgem”. Lisaks märgitakse direktiivi 95/46 üheteistkümnendas põhjenduses, et „käesolevas direktiivis sisalduvad üksikisikute õiguste ja vabaduste, eriti eraelu puutumatuse õiguse kaitsmise põhimõtted täpsustavad ja võimendavad põhimõtteid, mida sisaldab […] konventsioon [nr 108]”.
26. EÜ asutamislepingu artikli 100a (muudetuna EÜ artikkel 95) alusel vastu võetud direktiiv 95/46 lähtub selle kolmandas põhjenduses väljendatud ideest, mille kohaselt „[…] siseturu rajamine ja toimimine […] ei eelda mitte ainult isikuandmete vaba liikumist ühest liikmesriigist teise, vaid ka üksikisikute põhiõiguste kaitset”. Täpsemalt lähtub ühenduse seadusandja asjaolust, et „üksikisikute õiguste ja vabaduste, eelkõige eraelu puutumatuse õiguse kaitse tase seoses isikuandmete töötlemisega on liikmesriigiti erinev ja see võib takistada selliste andmete edastamist ühest liikmesriigist teise”(19), mis võib nimelt saada takistuseks ühenduse tasandi majandustegevusele ja moonutada konkurentsi. Samuti leidis ühenduse seadusandja, et „takistuste kõrvaldamiseks isikuandmete liikumisel peab selliste andmete töötlemisega seotud üksikisikute õiguste ja vabaduste kaitse olema kõigis liikmesriikides samal tasemel”.(20) Selle lähenemisviisi tulemuseks peab olema, et „kuna siseriiklike õigusaktide ühtlustamisega saavutatakse samaväärne kaitstuse tase, ei saa liikmesriigid enam takistada isikuandmete vaba liikumist ühest liikmesriigist teise põhjustel, mis on seotud üksikisikute õiguste ja vabaduste, eelkõige eraelu puutumatuse õiguse kaitsmisega”(21).
27. Direktiivi 95/46 artikkel 1 pealkirjaga „Direktiivi eesmärk” sätestab selle lähenemisviisi järgmiselt:
„1. Vastavalt käesolevale direktiivile kaitsevad liikmesriigid isikuandmete töötlemisel füüsiliste isikute põhiõigusi ja -vabadusi ning eelkõige nende õigust eraelu puutumatusele.
2. Liikmesriigid ei piira ega keela isikuandmete vaba liikumist liikmesriikide vahel põhjustel, mis on seotud lõikes 1 sätestatud kaitsega.”
28. Kõnesoleva direktiivi artiklis 2 määratletakse nimelt „isikuandmete”, „isikuandmete töötlemise” ja „vastutava töötleja” mõisted.
29. Nii on direktiivi 95/46 artikli 2 punkti a kohaselt isikuandmed „igasugune teave tuvastatud või tuvastatava füüsilise isiku […] kohta. Tuvastatav isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige isikukoodi põhjal või ühe või mitme tema füüsilisele, füsioloogilisele, vaimsele, majanduslikule, kultuurilisele või sotsiaalsele identsusele omase joone põhjal”.
30. Isikuandmete töötlemine on direktiivi artikli 2 punkti b kohaselt „iga isikuandmetega tehtav toiming või toimingute kogum, olenemata sellest, kas see on automatiseeritud või mitte, näiteks kogumine, salvestamine, korrastamine, säilitamine, kohandamine või muutmine, väljavõtete tegemine, päringu teostamine, kasutamine, üleandmine, levitamine või muul moel avaldamine, ühitamine või ühendamine, sulgemine, kustutamine või hävitamine”.
31. Direktiivi 95/46 artikli 2 punktis d määratletakse vastutav töötleja kui „füüsiline või juriidiline isik, riigiasutus, esindused või mõni muu organ, kes määrab üksi või koos teistega kindlaks isikuandmete töötlemise eesmärgid ja vahendid […]”.
32. Direktiivi 95/46 kohaldamisala osas on direktiivi artikli 3 lõikes 1 ette nähtud, et direktiivi „kohaldatakse isikuandmete täielikult või osaliselt automatiseeritud töötlemise suhtes ja isikuandmete automatiseerimata töötlemise suhtes, kui kõnealused isikuandmed kuuluvad kataloogi või kui need kavatsetakse hiljem sellesse kanda”.
33. Kõnesoleva direktiivi artikli 3 lõikega 2 on lubatud tunnistada ühte direktiivi kohaldamisala piirangut, kuivõrd see sätestab, et:
„Käesolevat direktiivi ei kohaldata isikuandmete töötlemise suhtes:
– kui see toimub sellise tegevuse käigus, mis jääb väljapoole ühenduse õigust, nagu näiteks Euroopa Liidu lepingu V ja VI jaotises osutatud tegevused, ja igal juhul sellise töötlemise suhtes, mis on seotud avaliku korra, riigikaitse, riigi julgeoleku (sealhulgas riigi majanduslik heaolu, kui töötlemine on seotud riigi julgeoleku küsimustega) ja riigi toimingutega kriminaalõiguse valdkonnas,
[…]”.
34. Direktiivi 95/46 II peatükk sätestab „[ü]ldised eeskirjad isikuandmete töötlemise seaduslikkuse kohta”. Selle peatüki I jagu käsitleb „[p]õhimõtteid andmete kvaliteedi kohta”. Selle direktiivi artiklis 6 on loetletud need isikuandmete töötlemise nn õigluse, seaduslikkuse, sihipärasuse, proportsionaalsuse ja täpsuse põhimõtted. Artikkel on sõnastatud järgmiselt:
„1. Liikmesriigid sätestavad selle, et:
a) isikuandmeid töödeldakse õiglaselt ja seaduslikult;
b) isikuandmeid kogutakse täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel ega töödelda hiljem viisil, mis on vastuolus kõnealuste eesmärkidega […];
c) isikuandmed on piisavad, asjakohased ega ületa selle otstarbe piire, mille tarvis neid kogutakse ja/või hiljem töödeldakse;
d) andmed on täpsed ja vajaduse korral ajakohastatud […];
e) isikuandmeid säilitatakse kujul, mis võimaldab andmesubjekte tuvastada ainult seni, kuni see on vajalik seoses andmete kogumise või hilisema töötlemise eesmärkidega.
2. Lõike 1 järgimise tagab vastutav töötleja.”
35. Kõnesoleva direktiivi II peatüki II jagu käsitleb „[a]ndmetöötluse seaduslikkuse kriteeriume”. Selle jao moodustav artikkel 7 kõlab järgmiselt:
„Liikmesriigid sätestavad, et isikuandmeid võib töödelda ainult juhul, kui:
a) andmesubjekt on selleks andnud oma ühemõttelise nõusoleku või
b) töötlemine on vajalik sellise lepingu täitmiseks, mille osapool andmesubjekt on, või lepingu sõlmimisele eelnevate meetmete võtmiseks vastavalt andmesubjekti taotlusele või
c) töötlemine on vajalik vastutava töötleja seadusjärgse kohustuse täitmiseks
[…]”.
36. Üldiselt „delikaatseteks” peetavate isikuandmete kohta sätestab artikli 8 lõige 1 nende töötlemise keelu põhimõtte. See näeb ette, et „[l]iikmesriigid keelavad töödelda selliseid isikuandmeid, mis paljastavad rassilise või etnilise päritolu, poliitilised vaated, usulised või filosoofilised veendumused, ametiühingusse kuulumise, ning tervislikku seisundit või seksuaalelu käsitlevate andmete töötlemise.” Sellest keelupõhimõttest on lubatud siiski mitu erandit, mille sisu ja kord on üksikasjalikult sätestatud sama artikli järgnevates lõigetes.
37. Direktiivi 95/46 artikli 13 pealkirjaga „Erandid ja piirangud” lõige 1 sätestab:
„Liikmesriigid võivad artikli 6 lõikes 1, artiklis 10, artikli 11 lõikes 1 ja artiklites 12 ja 21 sätestatud kohustuste ja õiguste ulatuse piiramiseks võtta vastu õigusakte, kui sellised piirangud on vajalikud, et kindlustada:
a) riigi julgeolek;
b) riigikaitse;
c) avalik kord;
d) kuritegude või reguleeritud kutsealade ametieetika rikkumiste ennetamine, uurimine, avastamine ja nende eest vastutuselevõtmine;
e) liikmesriigi või Euroopa Liidu olulised majanduslikud või rahanduslikud huvid, sealhulgas raha-, eelarve- ja maksuküsimused;
f) jälgimine, kontrollimine ja regulatiivne funktsioon, mis on kas või ajutiselt seotud avaliku võimu teostamisega punktides c, d ja e osutatud juhtudel;
g) andmesubjekti kaitse või teiste isikute õiguste ja vabaduste kaitse.”
38. Ühenduse seadusandja soovis ühtlasi, et selliselt kehtestatud kaitsekorda ei ohustataks isikuandmete väljumisel ühendusest. Nimelt ilmnes, et teabevoogude rahvusvaheline mõõde(22) muudaks ebapiisavaks – kui mitte kasutuks – sellise määruse, mille tõhusus hõlmab ainult ühenduse territooriumi. Ühenduse seadusandja otsustas seega süsteemi kasuks, mis nõuab isikuandmete kolmandale riigile edastamise lubamiseks, et nimetatud riik tagaks nende andmete „kaitse piisava taseme”.
39. Seega kehtestas ühenduse seadusandja reegli, mille kohaselt „tuleb keelata isikuandmete edastamine kolmandatesse riikidesse, kus nende kaitse tase ei ole piisav”(23).
40. Selleks nähakse direktiivi 95/46 artiklis 25 ette põhimõtted, mida tuleb isikuandmete kolmandatesse riikidesse edastamisel järgida:
„1. Liikmesriigid sätestavad, et töödeldavate või pärast edastamist töötlemiseks kavandatud isikuandmete edastamine kolmandatesse riikidesse võib toimuda ainult juhul, kui kõnealune kolmas riik tagab andmekaitse piisava taseme, kui käesoleva direktiivi muude sätete kohaselt vastuvõetud siseriiklikest sätetest ei tulene teisiti.
2. Andmekaitse taset kolmandates riikides hinnatakse, pidades silmas kõiki andmete edastamise toimingute või andmete edastamise toimingute kogumi asjaolusid; tähelepanu pööratakse eelkõige andmete laadile, kavandatud töötlemistoimingu või töötlemistoimingute eesmärgile ja kestusele, päritoluriigile ja lõppsihtriigile, kõnealuses kolmandas riigis kehtivatele nii üldistele kui ka konkreetse sektori õigusnormidele ja kõnealuses riigis järgitavatele ametieeskirjadele ja turvameetmetele.
3. Liikmesriigid ja komisjon teatavad üksteisele juhtudest, mille puhul nad leiavad, et kolmas riik ei taga kaitse piisavat taset lõike 2 tähenduses.
4. Kui komisjon artikli 31 lõikes 2 ettenähtud korras leiab, et kolmas riik ei taga kaitse piisavat taset käesoleva artikli lõike 2 tähenduses, võtavad liikmesriigid vajalikke meetmeid tagamaks, et sama liiki andmeid kõnealusesse kolmandasse riiki ei edastata.
5. Sobival ajal alustab komisjon läbirääkimisi, et parandada olukorda, mis tekkis lõike 4 kohaselt tehtud avastuse tõttu.
6. Komisjon võib leida artikli 31 lõikes 2 sätestatud korras, et kolmas riik tagab kaitse piisava taseme käesoleva artikli lõike 2 tähenduses oma siseriikliku õigusega või endale võetud rahvusvaheliste kohustustega, mis tulenevad eelkõige lõikes 5 osutatud läbirääkimistest, et kaitsta eraelu puutumatust ja üksikisikute põhivabadusi ja -õigusi.
Liikmesriigid võtavad komisjoni otsuse järgimiseks vajalikke meetmeid.”
41. Lõpuks tuleb märkida, et Euroopa Liidu lepingu VI jaotises sätestatud politseikoostöö ja õigusalase koostöö raames on isikuandmete kaitse sätestatud teatavates eri õigusaktides. Siin mõeldakse eelkõige õigusakte, millega luuakse Euroopa tasandil ühised infosüsteemid, näiteks Schengeni lepingu rakendamise konventsioon,(24) mis sisaldab Schengeni infosüsteemi (SIS)(25) suhtes kohaldatavaid teatavaid andmekaitse erisätteid; konventsiooni Euroopa Liidu lepingu artikli K.3 alusel Euroopa Politseiameti loomise kohta,(26) nõukogu otsust Eurojusti loomise kohta(27) ja töökorra eeskirju Eurojustis töödeldavate isikuandmete ja nende kaitse kohta,(28) Euroopa Liidu lepingu artikli K.3 alusel koostatud konventsiooni infotehnoloogia tollialase kasutamise kohta, kaasa arvatud tolliinfosüsteemi suhtes kohaldatavaid isikuandmete kaitse sätteid,(29) ja Euroopa Liidu liikmesriikide vahelist vastastikust õigusabi kriminaalasjades käsitlevat konventsiooni.(30)
42. Komisjon tegi 4. oktoobril 2005 ettepaneku vastu võtta nõukogu raamotsus kriminaalasjadega seotud politsei- ja õigusalase koostöö raames töödeldavate isikuandmete kaitse kohta.(31)
III. Vaidlustatud otsused
43. Ma analüüsin vaidlustatud otsuseid nende vastuvõtmise ajalises järjekorras.
A. Piisava kaitse otsus
44. Komisjon võttis direktiivi 95/46 artikli 25 lõike 6 alusel, mis – tuletan meelde – annab talle õiguse nentida, et kolmas riik tagab isikuandmete kaitse piisava taseme, vastu piisava kaitse otsuse.(32) Nagu on märgitud selle otsuse teises põhjenduses, võib „[k]omisjon […] jõuda järeldusele, et kolmas riik tagab kaitse piisava taseme. Sel juhul võib liikmesriikidest isikuandmeid edastada ilma lisatagatiseta”.
45. Kõnesoleva otsuse üheteistkümnendas põhjenduses märgib komisjon, et „[l]ennuettevõtjate reisijaregistrites sisalduvate CBP-le edastatud isikuandmete töötlemist […] reguleerivad sisejulgeolekuministeeriumi tolli- ja piirivalveameti 11. mai 2004. aasta kohustused (Undertakings of the Department of Homeland Security Bureau of Customs and Border Protection (CBP) of 11 May 2004) (edaspidi „kohustused”) ning USA siseriiklikud õigusaktid kohustustes osutatud ulatuses”. Samuti täheldab komisjon sama otsuse neljateistkümnendas põhjenduses, et „[s]tandardid, mille alusel CBP töötleb reisijate PNR-andmeid USA õigusaktide ning kohustuste põhjal, hõlmavad peamisi põhimõtteid, mis on vajalikud füüsiliste isikute piisavaks kaitseks”.
46. Seega sätestab piisava kaitse otsuse artikkel 1:
„Direktiivi 95/46/EÜ artikli 25 lõike 2 kohaldamisel loetakse, et Ameerika Ühendriikide Tolli- ja Piirivalveamet (CBP) tagab andmekaitse piisava taseme ühendusest edastatavate PNR-andmete puhul, mis on seotud lendudega USA-sse ja sealt välja, vastavalt lisas sätestatud kohustustele.”
47. Lisaks näeb piisava kaitse otsuse artikkel 3 ette, et liikmesriikide pädevad asutused võivad kasutada oma volitusi CBP-le andmeedastuste peatamiseks järgmistel tingimustel:
„1. Ilma et see piiraks liikmesriikide pädevate asutuste volitusi võtta meetmeid selliste siseriiklike sätete järgimise tagamiseks, mis on vastu võetud muude sätete alusel kui direktiivi 95/46/EÜ artikkel 25, võivad need ametiasutused järgmistel juhtudel kasutada oma volitusi CBP-le andmeedastuste peatamiseks, et tagada üksikisikute kaitse seoses nende isikuandmete töötlemisega:
a) USA pädev ametiasutus on kindlaks teinud, et CBP rikub kehtivaid kaitsenõudeid; või
b) on väga tõenäoline, et lisas sätestatud kaitsenõudeid rikutakse, on põhjust arvata, et CBP ei võta ega kavatse võtta õigeaegselt asjakohaseid meetmeid kõnealuse olukorra lahendamiseks, andmeedastuse jätkamine võib kujutada andmesubjektide jaoks tõsise kahju viivitamatut ohtu ning liikmesriigi pädevad ametiasutused on asjaolusid arvestades võtnud piisavaid meetmeid CBP teavitamiseks ja andnud talle võimaluse vastata.
2. Peatamine lõpetatakse kohe, kui on tagatud kaitsenõuete järgimine ning asjaomaste liikmesriikide pädevatele ametiasutustele on sellest teatatud.”
48. Liikmesriigid on kohustatud piisava kaitse otsuse artikli 3 alusel võetud meetmetest komisjoni teavitama. Peale selle teavitavad liikmesriigid ja komisjon selle otsuse artikli 4 lõike 2 kohaselt üksteist mis tahes muudatustest kaitsenõuetes ning juhtudest, mil ilmneb, et nende nõuete järgimine ei ole piisavalt tagatud. Nende muudatuste tagajärjel näeb piisava kaitse otsuse artikli 4 lõige 3 ette, et „[k]ui vastavalt artiklile 3 ja käesoleva artikli lõigetele 1 ja 2 kogutud andmed tõendavad, et enam ei täideta peamisi põhimõtteid, mis on vajalikud füüsiliste isikute piisavaks kaitseks, või lisas sätestatud CBP kaitsenõuete järgimise tagamise eest vastutavad asutused ei täida oma ülesandeid tõhusalt, teavitatakse CBP-d ning kohaldatakse vajadusel direktiivi 95/46/EÜ artikli 31 lõikes 2 osutatud menetlust eesmärgiga käesolev otsus kehtetuks tunnistada või peatada.”
49. Peale selle kehtestatakse piisava kaitse otsuse artiklis 5 reegel, mille kohaselt jälgitakse selle otsuse toimimist ning „direktiivi 95/46/EÜ artikli 31 alusel moodustatud komiteele antakse aru kõigi asjakohaste järelduste […] kohta”.
50. Lisaks sellele märgitakse piisava kaitse otsuse artiklis 7, et otsus „kaotab kehtivuse kolme aasta ja kuue kuu möödumisel selle teatavakstegemise kuupäevast, välja arvatud juhul, kui seda pikendatakse direktiivi 95/46/EÜ artikli 31 lõikes 2 sätestatud korras”.
51. Nimetatud otsuse lisas on esitatud CBP kohustused, mille sissejuhatuses täpsustatakse, et need on kehtestatud „toetamaks” komisjoni kava tunnustada CBP-le edastatavate andmete kaitse piisavat taset. 48 punktist koosnevates kohustustes on sätestatud, et nendega „ei looda ega anta ühelegi era- ega avalik-õiguslikule isikule mis tahes õigusi ega eeliseid”(33).
52. Ma esitan oma arutelu käigus vaidluse lahendamiseks asjassepuutuvate kohustuste põhisisu.
53. Lõpuks sisaldab piisava kaitse otsus lisa „A”, milles loetletakse 34 PNR-andmeelementi, mida CBP lennuettevõtjatelt soovib.(34)
54. Seda komisjoni otsust täiendab nõukogu otsus Euroopa Ühenduse ja Ühendriikide vahel rahvusvahelise lepingu sõlmimise kohta.
B. Nõukogu otsus
55. Nõukogu võttis otsuse vastu EÜ artikli 95 alusel selle koostoimes EÜ artikli 300 lõike 2 esimese lõigu esimese lausega.
56. Otsuse esimeses põhjenduses on märgitud, et „23. veebruaril 2004 volitas nõukogu komisjoni ühenduse nimel pidama läbirääkimisi Ameerika Ühendriikidega lepingu üle, mis käsitleb lennuettevõtjate poolt reisijate isikuandmete töötlemist ja edastamist [CBP-le]”(35). Selle otsuse teises põhjenduses märgitakse, et „Euroopa Parlament ei ole esitanud arvamust tähtaja jooksul, mille nõukogu asutamislepingu artikli 300 lõike 3 esimese lõigu kohaselt kehtestas, pidades silmas kiireloomulist vajadust parandada lennuettevõtjate ja reisijate ebakindlat olukorda ja kaitsta asjassepuutuvate isikute finantshuve”.
57. Nõukogu otsuse artikli 1 kohaselt kiidetakse leping ühenduse nimel heaks. Lisaks annab nimetatud otsuse artikkel 2 nõukogu eesistujale õiguse määrata isik(ud), kes on volitatud Euroopa Ühenduse nimel lepingule alla kirjutama.
58. Lepingu tekst on lisatud nõukogu otsusele. Kõnesoleva lepingu artikkel 7 näeb ette, et leping jõustub allakirjutamisel. Selle artikli kohaselt jõustus Washingtonis 28. mail 2004 alla kirjutatud leping samal päeval.(36)
59. Lepingu preambulis tunnustavad Euroopa Ühendus ja Ameerika Ühendriigid, „põhiõiguste ja -vabaduste, eriti eraelu puutumatuse austamise tähtsust ja tunnustades nende väärtuste austamise tähtsust terrorismi ja sellega seotud kuritegude ning muude tõsiste rahvusvahelise iseloomuga kuritegude, sealhulgas organiseeritud kuritegevuse vastases võitluses ja nende ärahoidmises”.
60. Lepingu preambulis osutatakse järgmistele tekstidele: direktiiv 95/46 ja eriti selle artikli 7 punkt c, CBP kohustused ning piisava kaitse otsus.(37)
61. Lepingupooled märgivad samuti, et „lennuettevõtjad, kellel on Euroopa Liidu liikmesriikide territooriumidel reserveerimise ja väljumiste kontrollisüsteemid, peaksid korraldama [PNR-andmete] edastamise [CBP-le] nii kiiresti, kui tehnilised võimalused lubavad, selle ajani aga peaks USA ametivõimudel vastavalt käesolevale lepingule olema luba neile andmetele otse ligi pääseda”(38).
62. Nii näeb lepingu punkt 1 ette, et „[CBP] võib elektrooniliselt kasutada lennuettevõtjate Euroopa Ühenduse liikmesriikide territooriumidel asuvates reserveerimise ja väljumiste kontrollisüsteemides […] sisalduvaid isikuandmeid [PNR-andmeid], järgides rangelt otsust(39) ja nii kaua, kuni otsus on kohaldatav, ning ainult seni, kuni on paigaldatud rahuldav süsteem, mis võimaldab selliste andmete edastamist lennuettevõtjate poolt”.
63. Lisaks CBP-le antud õigusele PNR-andmetele vahetult juurde pääseda kehtestab lepingu punkt 2 lennuettevõtjatele, kes teostavad reisijate välislennutransporti Ameerika Ühendriikidesse saabuvatel või sealt väljuvatel lendudel, kohustuse töödelda oma automaatsetes broneerimissüsteemides sisalduvaid isikuandmeid „vastavalt [CBP] USA seaduste alusel esitatavatele nõudmistele, järgides rangelt otsust,(40) ja nii kaua, kuni otsus on kohaldatav”.
64. Peale selle on lepingu punktis 3 täpsustatud, et CBP „võtab [piisava kaitse] otsust arvesse” ja „teatab, et ta kohaldab sellele lisatud kohustusi”. Lisaks näeb nimetatud lepingu punkt 4 ette, et „[CBP] töötleb saadud isikuandmeid ja kohtleb isikuid, keda puudutavaid andmeid töödeldakse, vastavalt kohaldatavatele USA seadustele ja põhiseaduslikele nõudmistele, ilma seadusevastase diskrimineerimiseta, iseäranis rahvuse ja elukohariigi alusel”.
65. Pealegi kohustuvad CBP ja Euroopa Ühendus lepingu rakendamist ühiselt ja regulaarselt üle vaatama.(41) Leping näeb ühtlasi ette, et „[j]uhul kui Euroopa Liidus või selle ühes või mitmes liikmesriigis võetakse kasutusele lennureisijate identifitseerimissüsteem, milles nõutakse, et lennuettevõtjad lubaksid ametiasutustel kasutada PNR-andmeid isikute kohta, kelle reisiplaanis sisaldub Euroopa Liitu saabuv või sealt väljuv lend, edendab DHS [Department of Homeland Security] oma pädevuse piires aktiivselt lennuettevõtjate koostööd, niivõrd kui see on võimalik ja lähtudes rangelt vastastikkuse põhimõttest”(42).
66. Lisaks sellele, et leping jõustub allakirjutamisel, on punktis 7 täpsustatud, et kumbki pool võib lepingu igal ajal lõpetada. Sel juhul lõpeb leping 90 päeva pärast seda, kui teisele poolele on sellest teatatud. Peale selle on samas punktis ette nähtud, et lepingut võib igal ajal poolte kirjalikul kokkuleppel muuta.
67. Lõpuks sätestab lepingu punkt 8, et „[k]äesoleva lepinguga ei kavatseta lepinguosaliste seadusandlusest kõrvale kalduda ega seda muuta, samuti ei loo ega anna käesolev leping mingeid õigusi ega hüvesid ühelegi muule era- või avalik-õiguslikule isikule ega üksusele”.
IV. Euroopa Parlamendi väited mõlemas kohtuasjas
68. Kohtuasjas C-317/04 esitab parlament nõukogu otsuse vastu kuus väidet:
– õiguslikuks aluseks ekslikult valitud EÜ artikkel 95;
– EÜ artikli 300 lõike 3 teise lõigu rikkumine direktiivi 95/46 muutmise tõttu;
– isikuandmete kaitse õiguse rikkumine;
– proportsionaalsuse põhimõtte rikkumine;
– vaidlustatud otsuse ebapiisav põhjendamine;
– EÜ artiklis 10 sätestatud lojaalse koostöö põhimõtte rikkumine.
69. Suurbritannia ja Põhja-Iiri Ühendkuningriigile ning komisjonile anti luba astuda menetlusse nõukogu nõuete toetuseks.(43) Peale selle lubati parlamendi nõuete toetuseks menetlusse astuda Euroopa andmekaitseinspektoril (edaspidi „CEPD”).(44)
70. Kohtuasjas C‑318/04 esitab parlament komisjoni otsuse vastu neli väidet:
– pädevuse ületamine;
– direktiivi 95/46 peamiste põhimõtete rikkumine;
– põhiõiguste rikkumine;
– proportsionaalsuse põhimõtte rikkumine.
71. Ühendkuningriigile anti luba komisjoni nõuete toetuseks menetlusse astuda.(45) Lisaks anti CEPD-le luba menetlusse astuda parlamendi nõuete toetuseks.(46)
72. Ma analüüsin neid kahte hagi vaidlustatud otsuste tegemise järjekorras. Seega uurin ma esiteks piisava kaitse otsuse tühistamiseks esitatud hagi (kohtuasi C‑318/04) ja seejärel nõukogu otsuse tühistamiseks esitatud hagi (kohtuasi C‑317/04).
V. Piisava kaitse otsuse tühistamiseks esitatud hagi (kohtuasi C‑318/04)
A. Väide, mis tuleneb komisjonipoolsest pädevuse ületamisest piisava kaitse otsuse vastuvõtmisel
1. Poolte argumendid
73. Euroopa Parlament väidab selle väite toetuseks esiteks, et piisava kaitse otsuse vastuvõtmisel, kuivõrd see võeti vastu avaliku korra ja kriminaalõiguse valdkonda kuuluval eesmärgil, on rikutud direktiivi 95/46, sest see puudutab kõnesoleva direktiivi ratione materiae kohaldamisalast välja jäävat valdkonda. Väljajätmine on sõnaselgelt ette nähtud direktiivi 95/46 artikli 3 lõike 2 esimeses taandes ja seda ei või tõlgendada selle ulatust piiraval viisil. Asjaolu, et isikuandmeid kogutakse majandustegevuse, nimelt teenustele õigust andva lennupileti müügi raames, ei õigusta kõnesoleva direktiivi ja eriti selle artikli 25 kohaldamist direktiivi kohaldamisalast välja jäävas valdkonnas.
74. Teiseks väidab parlament, et CBP ei ole kolmas riik direktiivi 95/46 artikli 25 tähenduses. Selle artikli lõige 6 sätestab, et komisjoni otsus isikuandmete kaitse piisava taseme kohta tehakse „kolmanda riigi”, see tähendab riigi või riigiga samastatava üksuse, mitte riigi täitevvõimu osaks oleva üksuse kohta.
75. Kolmandaks on parlament seisukohal, et piisava kaitse otsuse tegemisega on komisjon ületanud pädevust, kuivõrd sellele lisatud kohustustes on CBP-l sõnaselgelt lubatud edastada PNR-andmeid teistele Ameerika Ühendriikide või välisriikide valitsusasutustele.
76. Neljandaks leiab parlament, et piisava kaitse otsus sisaldab teatavaid piiranguid ja erandeid direktiivis 95/46 esitatud põhimõtetest, samas jätab direktiivi artikkel 13 selle õiguse ainult liikmesriikidele. Nii on komisjon piisava kaitse otsuse vastuvõtmisel toiminud liikmesriikide asemel ja seeläbi rikkunud nimetatud direktiivi artiklit 13. Komisjon on direktiivi 95/46 rakendusaktiga endale võtnud rangelt liikmesriikidele reserveeritud volitused.
77. Viiendaks toob parlament välja argumendi, mille kohaselt ei olevat pull süsteemi (väljavõtmine) kaudu andmete kättesaadavaks tegemine „edastamine” direktiivi 95/46 artikli 25 tähenduses ja see ei tohiks seega olla lubatud.
78. Viimaseks, arvestades piisava kaitse otsuse ja Euroopa Ühenduse ja Ameerika Ühendriikide vahelise lepingu omavahelist sõltuvust, tuleks kõnesolevat otsust parlamendi arvates pidada meetmeks, mis ei ole sobiv PNR-andmete edastamise kohustuse kehtestamiseks.
79. Erinevalt parlamendist leiab CEPD, et kolmanda riigi isikule või institutsioonile andmetele juurdepääsu võimaldamist võib pidada andmeedastuseks, ja et seega on direktiivi 95/46 artikkel 25 kohaldatav. Ta on nimelt seisukohal, et mõiste piiramine saatja poolt andmete edastamisega võimaldaks selles artiklis sätestatud tingimusi eirata ja see kahjustaks kõnesolevas artiklis ette nähtud andmekaitset.
80. Komisjon, keda toetab Ühendkuningriik, leiab, et lennuettevõtjate tegevus kuulub ühenduse õiguse kohaldamisalasse ja et järelikult on direktiiv 95/46 tervikuna kohaldatav. PNR-andmete edastamise raames kehtestatud kord ei reguleeri ühenduse õiguse kohaldamisalast välja jäävat liikmesriigi või riigi ametiasutuste tegevust.
81. Peale selle märgib komisjon, et piisava kaitse otsusele lisatud leping sõlmiti Ühendriikide nimel ja mitte ühe valitsusasutuse nimel. PNR-andmete hilisema edastamise suhtes CBP poolt leiab komisjon, et andmeedastuse lubamine ei ole isikuandmete kaitsega vastuolus tingimusel, et seejuures järgitakse asjakohaseid ja vajalikke piiranguid.
82. Lõpuks märgib komisjon, et direktiivi 95/46 artikkel 13 ei ole käesolevas kohtuasjas asjassepuutuv ja et „edastamine” kujutab selle direktiivi artikli 25 tähenduses lennuettevõtjate jaoks endast PNR-andmete aktiivset avaldamist CBP-le. Seega hõlmab uuritav süsteem andmeedastust direktiivi 95/46 tähenduses.
2. Hinnang
83. Parlament kinnitab esimeses väites, et piisava kaitse otsuse vastuvõtmisel on rikutud direktiivi 95/46, eriti selle artikli 3 lõiget 2 ning artikleid 13 ja 25. Ta väidab nimelt, et kõnealune direktiiv ei ole selle otsuse jaoks nõuetekohane alusakt.
84. Nagu ma juba selgitasin, on direktiivi 95/46 eesmärk kõrvaldada siseturu rajamise ja toimimise huvides takistused isikuandmete vabale liikumisele, muutes isikute õiguste ja vabaduste kaitse taseme nende andmete töötlemisel liikmesriikides võrdväärseks.
85. Ühtlasi soovis ühenduse seadusandja, et sel viisil kehtestatud kaitsekord ei oleks ohus isikuandmete väljumisel ühenduse territooriumilt. Seega otsustas ta sellise süsteemi kasuks, mis nõuab isikuandmete kolmandale riigile edastamise lubamiseks, et nimetatud riik tagaks nende andmete kaitse piisava taseme. Nii sisaldab direktiiv 95/46 põhimõtet, et kui kolmas riik ei paku piisavat kaitsetaset, tuleb isikuandmete edastamine sellesse riiki keelata.
86. Kõnesoleva direktiivi artiklis 25 sätestatakse liikmesriikidele ja komisjonile rida kohustusi isikuandmete kolmandale riigile edastamise kontrollimiseks, arvestades sellistele andmetele igas riigis tagatud kaitsetaset. Samuti nähakse ette meetod ja kriteeriumid, mille järgi hinnata, et kolmas riik tagab talle edastatud isikuandmete kaitse piisava taseme.
87. Euroopa Kohus on pidanud isikuandmete kolmandasse riiki edastamise korda „erieeskirjadega erikorraks, mille eesmärk on tagada liikmesriikide poolne kontroll isikuandmete edastamisel kolmandasse riiki”. Ta täpsustas samuti, et see on „selle isikuandmete töötlemise seaduslikkust käsitleva direktiivi II peatükiga kehtestatud üldist korda täiendav kord”(47).
88. Isikuandmete kolmandasse riiki edastamist reguleerivate eeskirjade eripära on suures osas seletatav piisava kaitse mõiste põhirolliga. Selle mõiste ulatuse piiritlemiseks tuleks seda selgelt eristada samaväärse kaitse mõistest, mis omalt poolt nõuab, et kolmas riik tunnustaks ja kohaldaks tõhusalt kõiki direktiivis 95/46 sätestatud põhimõtteid.
89. Piisava kaitse mõiste tähendab, et kolmas riik peab olema suuteline tagama isikuandmete kaitstuse taseme jaoks vastuvõetavaks peetud normile vastava sobiva kaitse. Selline kolmanda riigi tagataval piisaval kaitsel põhinev süsteem jätab liikmesriikidele ja komisjonile andmete sihtriigis antavate tagatiste hindamisel olulise kaalutlusruumi. Hindamisel juhindutakse direktiivi 95/46 artikli 25 lõikest 2, kus on loetletud teatavad asjaolud, mida võidakse sellel hindamisel arvestada.(48) Selles osas on ühenduse seadusandja kehtestanud reegli, et „[a]ndmekaitse taset kolmandates riikides hinnatakse, pidades silmas kõiki andmete edastamise toimingute või andmete edastamise toimingute kogumi asjaolusid”.
90. Nagu Euroopa Kohus on juba varem nentinud, ei määratle direktiiv 95/46 „kolmandasse riiki edastamise” mõistet.(49) Nimelt ei täpsustata selles, kas mõiste hõlmab ainult vastutava töötleja toimingut isikuandmete aktiivselt kolmandasse riiki edastamiseks või kas see laieneb juhtudele, kus kolmanda riigi üksusele on antud juurdepääs liikmesriigis asuvatele andmetele. Seega vaikib direktiiv 95/46 selles osas, mis meetodil võib isikuandmeid kolmandasse riiki edastada.
91. Vastupidi Euroopa Parlamendile leian mina, et käesolevas kohtuasjas kuulub CBP-le võimaldatav juurdepääs PNR-andmetele „kolmandasse riiki edastamise” mõiste alla. Nimelt on sellise edastamise iseloomustamiseks minu arvates määrav andmete liikumine liikmesriigist kolmandasse riiki, antud juhul Ühendriikidesse.(50) Selles suhtes ei ole oluline, kas edastamistoimingu teostab saatja või vastuvõtja. Nagu CEPD märgib, oleks juhul, kui direktiivi 95/46 artikli 25 ulatus piirduks edastamisega saatja poolt, kerge eirata selles artiklis sätestatud tingimusi.
92. Olles seda täpsustanud, tuleks siiski rõhutada asjaolu, et kõnesoleva direktiivi IV peatükk, kuhu kuulub artikkel 25, ei ole mõeldud isikuandmete kolmandasse riiki edastamise kõikide juhtude reguleerimiseks, sõltumata nende olemusest. See hõlmab direktiivi artikli 25 lõike 1 kohaselt ainult „töödeldavate või pärast edastamist töötlemiseks kavandatud” isikuandmete edastamist.
93. Tuletan sellega seoses meelde, et direktiivi 95/46 artikli 2 punkti b kohaselt on isikuandmete töötlemine „iga isikuandmetega tehtav toiming või toimingute kogum […], näiteks kogumine, salvestamine, […] päringu teostamine, kasutamine, üleandmine, levitamine või muul moel avaldamine […]”(51).
94. Olenemata isikuandmete kolmandasse riiki edastamise korra eripärast, mis tugineb suuresti, nagu nägime, piisava kaitsetaseme mõistele, tuleb selle puhul järgida eeskirju, mis puudutavad direktiivi 95/46 kohaldamisala, kuna kõnealune kord kuulub selle alla.(52)
95. Selleks et kolmandasse riiki edastamisele kohaldataks direktiivi 95/46 artikli 25 sätteid, peab see puudutama isikuandmeid, mille töötlemine kuulub – olenemata sellest, kas see toimub tegelikult ühenduses või on mõeldud toimima ainult kolmandas riigis – kõnesoleva direktiivi kohaldamisalasse. Ainult sel tingimusel võib piisava kaitse otsus olla nõuetekohaselt direktiivi 95/46 rakendusakt.
96. Tuletan selle suhtes meelde, et ratione materiae seisukohast ei ole kõnesolev direktiiv kohaldatav isikuandmete töötlemise kõikide vormide suhtes, mis võivad kuuluda ühte selle artikli 2 punktis b osutatud toimingute kategooriasse. Nimelt sätestab direktiivi 95/46 artikli 3 lõike 2 esimene lõik, et direktiivi ei kohaldata isikuandmete töötlemise suhtes, kui see „toimub sellise tegevuse käigus, mis jääb väljapoole ühenduse õigust, nagu näiteks Euroopa Liidu lepingu V ja VI jaotises osutatud tegevused, ja igal juhul sellise töötlemise suhtes, mis on seotud avaliku korra, riigikaitse, riigi julgeoleku (sealhulgas riigi majanduslik heaolu, kui töötlemine on seotud riigi julgeoleku küsimustega) ja riigi toimingutega kriminaalõiguse valdkonnas”(53).
97. Ma leian, et liikmesriikide territooriumil asuvate lennuettevõtjate broneerimissüsteemidest pärinevate lennureisijaandmete kohta päringute teostamine, kasutamine CBP poolt ja talle nende avaldamine kujutab endast isikuandmete töötlemist avaliku korra huvides ja puudutab riigi toiminguid kriminaalõiguse valdkonnas. Selline töötlemine jääb järelikult direktiivi 95/46 kohaldamisalast välja.
98. Piisava kaitse otsuse sõnastus näitab lennureisijate isikuandmete töötlemise eesmärki. Olles märkinud, et PNR-is sisalduvate isikuandmete CBP-le edastamise õiguslikuks aluseks on Ameerika Ühendriikides 2001. aasta novembris vastuvõetud seadus ning selle seaduse alusel CBP vastuvõetud rakenduseeskirjad,(54) täpsustab komisjon, et Ühendriikide õigusakti üks eesmärke on „julgeoleku parandamine”(55). Ühtlasi on märgitud, et „[ü]hendus on otsustanud täielikult toetada USA-d terrorismivastases võitluses ühenduse õigusaktides kehtestatud piires”(56).
99. Lisaks on piisava kaitse otsuse viieteistkümnendas põhjenduses märgitud, et „PNR-andmeid kasutatakse eelkõige üksnes järgmiste nähtuste ennetamiseks ja nende vastu võitlemiseks: terrorism ja sellega seotud kuriteod; muud rasked kuriteod, sealhulgas organiseeritud kuritegevus, millel on rahvusvaheline mõõde; ning selliste kuritegude puhul vahistamisel või kinnipidamiskohast põgenemine”.
100. Minu arvates ei ole direktiiv 95/46 ja eriti selle artikli 25 lõige 6 sobiv alus komisjoni sellise rakendusakti vastuvõtmiseks nagu seda on piisava kaitse otsus, mis puudutab isikuandmeid, mille töötlemine on selle direktiivi kohaldamisalast sõnaselgelt välja jäetud. Nende andmete edastamise lubamine selle direktiivi alusel tähendaks tegelikult direktiivi kohaldamisala omavolilist laiendamist.
101. Tuleks aga meeles pidada, et EÜ asutamislepingu artikli 100a alusel vastu võetud direktiiv 95/46 määratleb kaitsepõhimõtted, mida tuleb kohaldada isikuandmete töötlemisele, kui vastutava töötleja tegevus kuulub ühenduse õiguse kohaldamisalasse, aga et direktiivi õigusliku aluse valiku tõttu ei saa sellega reguleerida riigi toiminguid, näiteks avaliku korra või õiguskaitsega seonduvat tegevust, mis ei kuulu ühenduse õiguse kohaldamisalasse.(57)
102. Tõsi on, et töötlemine, mis seisneb lennureisijate andmete kogumises ja registreerimises lennuettevõtjate poolt, toimub üldiselt kommertseesmärgil, kuivõrd see seondub otseselt lennuettevõtja tagatud lennuga. Samuti on õige arvestada, et lennuettevõtjad koguvad esialgu PNR-andmeid ühenduse õigusega reguleeritud tegevuse, nimelt lennukipileti müügi raames, mis annab õiguse teenustele. Piisava kaitse otsuses arvesse võetud andmetöötlus on aga hoopis teist laadi, kuna see puudutab esialgsest andmekogumisest hilisemat etappi. Nimelt tähendab see, nagu nägime, liikmesriikide territooriumil asuvate lennuettevõtjate broneerimissüsteemidest pärinevates lennureisijate andmetes päringute teostamist, nende kasutamist CBP poolt ning talle andmete avaldamist.
103. Tegelikult ei puuduta piisava kaitse otsus mitte teenuse osutamiseks vajalikku andmetöötlust, vaid sellega peetakse silmas andmetöötlust avaliku korra ning õiguskaitse eesmärkidel. See ongi PNR-andmete edastamise ja töötlemise eesmärk. Järelikult ei saa minu arvates asjaolu, et isikuandmeid kogutakse majandustegevuse raames, õigustada direktiivi 95/46 ja eriti selle artikli 25 kohaldamist selle kohaldamisalast välja jäävas valdkonnas.
104. Need elemendid on minu arvates piisavad, et arvestada – nagu leiab parlament – et komisjonil puudus pädevus võtta direktiivi 95/46 artikli 25 alusel vastu otsus, mis puudutab kõnesoleva direktiivi kohaldamisalast sõnaselgelt välja jäetud töötlemise raames ja eesmärgil edastatavate isikuandmete piisavat kaitset.(58)
105. Seega on piisava kaitse otsuse vastuvõtmisel rikutud alusakti, milleks on direktiiv 95/46 ja eelkõige selle artikkel 25, mis ei ole selle otsuse jaoks sobiv õiguslik alus. Leian, et sel põhjusel tuleb otsus tühistada.
106. Peale selle – kuivõrd ma leian, et piisava kaitse otsus jääb direktiivi 95/46 kohaldamisalast välja – näib mulle, et seda otsust ei ole asjakohane analüüsida, nagu palub parlament oma teises väites, kõnesolevas direktiivis sätestatud peamiste põhimõtete seisukohast.(59) Niisiis leian, et seda teist väidet ei ole vaja uurida.
107. Mis puutub käesoleva hagi kolmandasse ja neljandasse väitesse, mida ma vaatlen vaid teise võimalusena, siis neid ei saa minu arvates analüüsida eraldi, kuna piisava kaitse otsuse kontrollimine võimaliku põhiõiguste rikkumise küsimuses hõlmab tingimata kontrollimist, kas kõnealuse akti puhul on sellega taotletavat eesmärki arvestades järgitud proportsionaalsuse põhimõtet. Teen niisiis Euroopa Kohtule ettepaneku uurida kolmandat ja neljandat väidet koos.
B. Põhiõiguste rikkumisest ja proportsionaalsuse põhimõtte eiramisest tulenevad väited
108. Parlament väidab, et piisava kaitse otsuse puhul ei ole järgitud õigust isikuandmete kaitsele, mis on tagatud EIÕK artikliga 8. Täpsemalt leiab ta selles artiklis sätestatud tingimustest lähtuvalt, et kõnesolev otsus tähendab eraellu sekkumist, mida ei saa pidada seaduses ettenähtuks, sest see on meede, mis ei ole kättesaadav ega ootuspärane. Peale selle on parlament seisukohal, et see meede ei ole sellega taotletava eesmärgiga proportsionaalne, arvestades eelkõige nõutavate PNR-andmeelementide liiga suurt arvu ja andmete säilitamise liiga pikka kestust.
109. Parlament tugineb nõukogu otsuse tühistamiseks algatatud kohtuasjas C‑317/04 esitatud hagis ka nendele kahele väitele ja esitab nende toetuseks suures osas kattuvaid argumente. Ma leian, et neid kahes Euroopa Kohtusse antud kohtuasjas esitatud väiteid tuleb uurida koos ja selles on minu arvates asjakohane lähtuda minu arutluskäigust kohtuasjas C-317/04.
110. Nimelt nähtub poolte avaldustes esitatud argumentidest, et eraelu puutumatuse õiguse seisukohast on võimatu kõiki CBP poolt läbiviidava PNR-andmete töötlemise korra(60) elemente käsitleda eraldi, kuna nimetatud kord hõlmab nõukogu otsusega heakskiidetud lepingut, piisava kaitse otsust ja CBP kohustusi, mis on ära toodud komisjoni otsuse lisana. Pooled viitavad oma väidete tõendamiseks muide korduvalt ühele või teisele nendest aktidest.
111. PNR-korra nende kolme elemendi omavaheline sõltuvus tuleb sõnaselgelt välja lepingu enda sätetest. Nimelt osutatakse lepingu preambulis nii CBP kohustustele kui ka piisava kaitse otsusele. Seejärel täpsustatakse selle lepingu punktis 1, et CBP võib PNR-andmeid kasutada, „järgides rangelt [piisava kaitse] otsust ja nii kaua, kuni otsus on kohaldatav […]”. Samuti, kui kõnesoleva lepingu punkti 2 kohaselt peavad selleks määratud lennuettevõtjad töötlema PNR-andmeid „vastavalt büroo USA seaduste alusel esitatavatele nõudmistele”, seda jällegi „järgides rangelt [piisava kaitse] otsust, ja nii kaua, kuni otsus on kohaldatav”. Lõpuks sätestatakse lepingu punktis 3, et „[b]üroo võtab [piisava kaitse] otsust arvesse ja teatab, et ta kohaldab sellele lisatud kohustusi”.
112. Nendest elementidest tuleneb, et lepinguga CBP-le antud õigus kasutada PNR-andmeid ning ka lepingus nimetatud lennuettevõtjate kohustus neid andmeid töödelda sõltuvad piisava kaitse otsuse rangest ja tõhusast kohaldamisest.
113. PNR-korra kolme elemendi omavaheline sõltuvus ning asjaolu, et parlament esitab põhiõiguste ja proportsionaalsuse põhimõtte rikkumisest tulenevad väited mõlemas Euroopa Kohtu otsustada antud kohtuasjas, panevad mind mõtlema, et nende väidetega tahetakse, et Euroopa Kohus tuvastaks PNR-korra – selle kolme elemendi osas – kokkusobimatust õigusega eraelu puutumatusele, mis on tagatud EIÕK artikliga 8. Minu arvates oleks tõepoolest kunstlik uurida piisava kaitse otsust, võtmata arvesse lepingut, mis kehtestab lennuettevõtjatele teatavad kohustused, ja vastupidi – uurida seda lepingut, võtmata arvesse teisi kohaldatavaid akte, millele selles õigusaktis sõnaselgelt viidatakse.
114. Arvestades asjaolu, et süsteem koosneb mitmest lahutamatust osast, ei tohi analüüsi seega kunstlikult poolitada.
115. Sellest aspektist kujutavad nõukogu otsusega heakskiidetud leping, piisava kaitse otsus ja CBP kohustused nende koostoimes endast eraellu sekkumist. Selle sekkumise uurimine on seadusega ette nähtud, see toimub õigustatud eesmärgil ja on demokraatlikus ühiskonnas vajalik, samuti tuleb arvesse võtta selliselt kehtestatud „kolme käigu” mehhanismi tervikuna, nagu seda teeb parlament oma kahes hagiavalduses. PNR-korrast üldise ülevaate saamiseks uurin ma seda nõukogu otsuse tühistamiseks esitatud hagi raames.
VI. Nõukogu otsuse tühistamiseks esitatud hagi (kohtuasi C‑317/04)
A. Väide, mis tuleneb asjaolust, et nõukogu otsuse õigusliku alusena on ekslikult kasutatud EÜ artiklit 95
1. Poolte argumendid
116. Euroopa Parlament väidab, et EÜ artikkel 95 ei ole nõukogu otsuse jaoks õige õiguslik alus. Nimelt ei ole otsuse eesmärk ja sisu siseturu rajamine ja toimimine. Nõukogu otsuse eesmärk on pigem muuta seaduslikuks kohustus töödelda isikuandmeid, mis on Euroopa ühenduse territooriumil asutatud lennuettevõtjatele ette nähtud Ameerika Ühendriikide õigusaktiga. Otsuses ei täpsustata, mil määral aitaks andmete kolmandatesse riikidesse edastamise seaduslikuks muutmine kaasa siseturu rajamisele ja toimimisele.
117. Parlamendi sõnul ei tulene nõukogu otsuse sisust ka see, et EÜ artikli 95 kasutamine õigusliku alusena oleks õigustatud. Otsusega antakse CBP-le õigus pääseda juurde ühenduse territooriumil asutatud lennuettevõtjate broneerimissüsteemidele ja seda Ühendriikide ja liikmesriikide vaheliste lendude teostamisel kooskõlas Ühendriikide õigusaktidega, et ennetada terrorismi ja selle vastu võidelda. Nende eesmärkide taotlemine ei kuulu EÜ artikli 95 alla.
118. Lõpuks lisab parlament, et EÜ artikkel 95 ei ole olemuselt selline, et see annaks ühendusele pädevuse asjaomase lepingu sõlmimiseks, kuna see puudutab avaliku korra huvides toimuvat andmetöötlust, mis on seega sel asutamislepingu artiklil põhineva direktiivi 95/46 kohaldamisalast välja arvatud.
119. Nõukogu leiab seevastu, et tema otsuse põhinemine EÜ artiklil 95 on nõuetekohane. Tema arvates võivad sellele artiklile tugineda meetmed, mille eesmärk on tagada, et siseturul ei moonutataks konkurentsitingimusi. Nõukogu kinnitusel on lepingu eesmärk kaotada liikmesriikide lennuettevõtjate vahelise konkurentsi ning nende ja kolmandate riikide lennuettevõtjate vahelise konkurentsi moonutamine, mis võib isikute õiguste ja vabaduste kaitsega seonduvatel põhjustel tuleneda Ühendriikide poolt kehtestatud nõuetest. Ameerika Ühendriikidesse suunduvatel ja sealt lähtuvatel lennuliinidel rahvusvahelist reisijateveoteenust osutavate liikmesriikide lennuettevõtjate vahelise konkurentsi tingimusi kahjustaks see, kui üksnes mõningad neist võimaldaksid Ühendriikide ametiasutustele juurdepääsu oma andmebaasidele.
120. Samamoodi rõhutab nõukogu ühelt poolt, et lennuettevõtjatele, kes ei täida Ühendriikide nõudeid, võivad Ühendriikide ametiasutused määrata trahve, nende lennud võivad hilineda ja nad võivad kaotada reisijaid teistele lennuettevõtjatele, kes on sõlminud Ühendriikidega kokkulepped. Teiselt poolt oleksid mõned liikmesriigid võinud kehtestada sanktsioone kõnesolevaid isikuandmeid edastavatele lennuettevõtjatele, samas kui teised liikmesriigid ei oleks tingimata nii toiminud.
121. Neil asjaoludel – ja kuna puuduvad ühtsed õigusnormid Ühendriikide ametiasutuste juurdepääsu kohta PNR-andmetele – leiab nõukogu, et võidakse moonutada konkurentsitingimusi ja et see võib tõsiselt kahjustada siseturu ühtsust. Seega tuleb tema arvates kehtestada ühtlustatud nõuded Ühendriikide ametiasutuste juurdepääsu kohta kõnesolevatele andmetele, säilitades samal ajal ühenduse nõuded põhiõiguste järgimise kohta. Tegemist on ühtsete kohustuste kehtestamisega kõikidele asjaomastele lennuettevõtjatele ning siseturu rajamise ja toimimise ühendusevälise aspektiga.
122. Lõpuks märgib nõukogu, et leping sõlmiti pärast komisjoni piisava kaitse otsust, mis võeti vastu direktiivi 95/46 artikli 25 lõike 6 alusel. Tema arvates oli seega normaalne ja õige kasutada lepingu sõlmimise otsuse jaoks sama õiguslikku alust, mida kasutati kõnesoleva direktiivi jaoks, nimelt EÜ artiklit 95.
123. Komisjon rõhutab menetlusse astuja seisukohtades, et lepingu preambuli sätted näitavad, et Ühendriikide jaoks on esmane eesmärk terrorismivastane võitlus, samas kui Euroopa Ühenduse põhieesmärk on säilitada isikuandmete kaitse alase õigusakti põhielemendid.
124. Ta märgib, et kuigi parlament peab EÜ artikli 95 kasutamist nõukogu otsuse õigusliku alusena ekslikuks, ei esita ta usutavat alternatiivi. Komisjoni arvates on see artikkel nõukogu otsuse „loomulik” õiguslik alus, kuivõrd isikuandmete kaitse välismõõde peaks põhinema asutamislepingu artiklil, mis toetab sisemeedet, milleks on direktiiv 95/46, ja seda enam, et see välisaspekt on kõnesoleva direktiivi artiklites 25 ja 26 sõnaselgelt ette nähtud. Lisaks, arvestades lepingu, piisava kaitse otsuse ja CBP kohustuste vahelist tihedat seost ja omavahelist sõltuvust, osutub EÜ artikkel 95 asjakohaseks õiguslikuks aluseks. Komisjon väidab, et igal juhul võis nõukogu selle artikli alusel lepingu sõlmida, sest AETR kohtupraktika(61) kohaselt oleks direktiivi 95/46 rikutud juhul, kui liikmesriigid oleks eraldi või koos sõlminud sellise lepingu ühenduseväliselt.
125. Lõpuks väidab komisjon, et kõnesolevate andmete esialgne töötlemine lennuettevõtjate poolt toimus kommertseesmärkidel. Samuti asjaolu, et neid andmeid kasutavad Ameerika Ühendriikide ametiasutused, ei jäta neid direktiivi 95/46 kohaldamisalast välja.
2. Hinnang
126. Euroopa Parlament palub esimeses väites Euroopa Kohtul otsustada, kas EÜ artikkel 95 on õige õiguslik alus nõukogu otsuse jaoks, mis puudutab ühenduse poolt sellise rahvusvahelise lepingu sõlmimist nagu käesolevas kohtuasjas käsitletu. Sellele küsimusele vastamiseks tuleks kohaldada Euroopa Kohtu väljakujunenud praktikat, mille kohaselt peab ühenduse õigusakti õigusliku aluse valik põhinema objektiivsetel asjaoludel, mis on kohtulikult kontrollitavad ja mille hulka kuuluvad ennekõike õigusakti eesmärk ja sisu.(62) Nimelt „ei saa ühenduse pädevuste jagunemise korra raames õigusakti õigusliku aluse valik sõltuda ainult ühe institutsiooni veendumusest taotletava eesmärgi osas […]”(63) [mitteametlik tõlge].
127. Meenutan, et Euroopa Kohus on väljendanud seisukohta, et „õige õigusliku aluse valik on põhiseadusliku tähtsusega. Kuna ühendusel on ainult antud volitused, peab ta siduma [asjaomase rahvusvahelise lepingu] asutamislepingu sättega, mis volitab teda sellist õigusakti vastu võtma”. Euroopa Kohtu seisukohalt „[v]õib ekslikult valitud õiguslik alus seega muuta kehtetuks lepingu sõlmimise akti enda ja sellest lähtuvalt muuta kehtetuks ühenduse nõusoleku olla seotud lepinguga, mille viimane on sõlminud”(64) [mitteametlik tõlge].
128. Lähtudes Euroopa Kohtu poolt kasutatud analüüsi meetodist uurin seega, kas lepingu eesmärk ja sisu annaksid nõukogule õiguse võtta EÜ artikli 95 alusel vastu otsus, mille artikli 1 kohaselt on selle eesmärk kiita nimetatud leping ühenduse nimel heaks.
129. Lepingu eesmärgi osas nähtub selle preambuli esimesest lõigust selgelt, et lepinguga peetakse silmas kahte eesmärki: ühelt poolt terrorismi ja sellega seotud kuritegude ning muude tõsiste rahvusvahelise iseloomuga kuritegude, sealhulgas organiseeritud kuritegevuse vastane võitlus ja nende ärahoidmine,(65) ning teiselt poolt põhiõiguste ja -vabaduste, eriti eraelu puutumatuse austamine.
130. Eesmärki võidelda terrorismi ja muude tõsiste kuritegude vastu tõendab preambuli teises lõigus toodud viide pärast 2001. aasta 11. septembri terrorismirünnakuid vastu võetud Ühendriikide seadustele ja määrustele, mis nõuavad, et iga lennuettevõtja, kes teostab reisijatevedu rahvusvahelistel lendudel Ameerika Ühendriikidesse saabuvatel või sealt väljuvatel lendudel, võimaldaks CBP-le elektroonilist juurdepääsu reisijate isikuandmetele, mida kogutakse ja salvestatakse lennuettevõtja automaatsetes broneerimise ja väljumiste kontrollisüsteemides.
131. Mis puutub põhiõiguste ja eelkõige eraelu puutumatuse austamise eesmärki, siis seda näitab viide direktiivile 95/46. Seega on tegemist lendudel veetavatele üksikisikutele nende isikuandmete kaitse tagamisega.
132. Seda on püütud tagada nii CBP poolt 11. mail 2004 võetud kohustustes, mille kohta märgitakse lepingu preambuli neljandas lõigus, et need avaldatakse föderaalregistris, kui ka piisava kaitse otsuses, mida on mainitud sama preambuli viiendas lõigus.
133. Lepingu preambuli esimese lõigu kohaselt tuleb neid kahte eesmärki taotleda korraga. Euroopa Ühenduse ja Ühendriikide vahel sõlmitud lepingus püütakse seega neid kahte eesmärki ühitada, see tähendab, et leping tugineb ideel, et terrorismi ja muude raskete kuritegude vastases võitluses tuleb järgida põhiõigusi, eelkõige eraelu puutumatust ja täpsemalt õigust isikuandmete kaitsele.
134. Lepingu sisu kinnitab seda analüüsi. Nimelt näeb lepingu punkt 1 ette, et CBP võib elektrooniliselt kasutada lennuettevõtjate liikmesriikide territooriumidel asuvates reserveerimise ja väljumiste kontrollisüsteemides sisalduvaid PNR-andmeid „järgides rangelt” piisava kaitse otsust „ja nii kaua, kuni otsus on kohaldatav”. Ma järeldan sellest, et terrorismi ja muude raskete kuritegude vastu võitlemise viis, mida kujutab endast lennureisijate PNR-andmete kasutamine, on lepinguga lubatud vaid sel määral, mil tunnistatakse, et nendele andmetele tagatakse Ühendriikides piisav kaitsetase. Seeläbi väljendab see lepingusäte kahe eesmärgi, st terrorismi ja muude raskete kuritegude vastase võitluse ning isikuandmete kaitse ühekorraga taotlemist.
135. Sama ilmneb lepingu punktist 2, mis kohustab lennuettevõtjad, kes teostavad reisijate välislennutransporti Ameerika Ühendriikidesse saabuvatel või sealt väljuvatel lendudel, töötlema oma automaatsetes broneerimissüsteemides sisalduvaid isikuandmeid „vastavalt [CBP] USA seaduste alusel esitatavatele nõudmistele, järgides rangelt [piisava kaitse] otsust, ja nii kaua, kuni otsus on kohaldatav”. Ka siin seondub lennuettevõtjatel nüüdsest terrorismi ja muude raskete kuritegude vastase võitluse eesmärgil lasuv kohustus tihedalt lennureisijate isikuandmete piisava kaitsega.
136. Veel teisedki lepingusätted väljendavad terrorismi ja muude raskete kuritegude vastase võitluse ning lennureisijate isikuandmete kaitse eesmärke.
137. Nii on lepingu punktis 3 konkreetselt reisijate isikuandmete kaitse eesmärgi kohta märgitud, et „[CBP] võtab [piisava kaitse] otsust arvesse ja teatab, et ta kohaldab sellele lisatud kohustusi”.
138. Peale selle näeb lepingu punkt 6 ette võimaluse, et Euroopa Liidus võetakse omakorda kasutusele lennureisijate identifitseerimise süsteem, mille raames liit nõuab, et lennuettevõtjad lubaksid pädevatel ametivõimudel kasutada isikuandmeid isikute kohta, kelle reisiplaanis sisaldub Euroopa Liitu saabuv või sealt väljuv lend. Juhul kui Euroopa Liit seda meedet rakendab, näeb leping ette, et sisejulgeolekuministeerium (Department of Homeland Security) „edendab […] oma pädevuse ulatuses aktiivselt lennuettevõtjate koostööd, tehes seda teostatavuse piires ja rangelt vastastikuse alusel”. Tegemist on seega sättega, mis veel kord väljendab terrorismi ja muude raskete kuritegude vastase võitluse eesmärki.
139. Vastuseks komisjoni teatud argumentidele täpsustan sellega seoses, et minu arvates on raske väita, et terrorismi ja muude raskete kuritegude vastase võitluse eesmärki peavad silmas ühepoolselt ja ainuüksi Ühendriigid, ning et Euroopa Ühenduse eesmärk on vaid lennureisijate isikuandmete kaitsmine.(66) Tegelikult arvan ma, et lepingu eesmärk ning sisu on iga lepingupoole seisukohast ja samal ajal ühitada terrorismi ja muude raskete kuritegude vastase võitluse eesmärk lennureisijate isikuandmete kaitse eesmärgiga. Sel viisil luuakse lepinguga pooltevaheline koostöö, mis on nimelt mõeldud selle topelteesmärgi saavutamiseks ühekorraga.
140. Niimoodi kirjeldatud lepingu eesmärki ja sisu arvestades leian, et EÜ artikkel 95 ei ole nõukogu otsuse jaoks õige õiguslik alus.
141. Sellega seoses tuleks meenutada, et EÜ artikli 95 lõige 1 näeb ette, et nõukogu võtab liikmesriikides nii õigus- kui ka haldusnormide ühtlustamiseks meetmed, mille eesmärk on siseturu rajamine ja selle toimimine.
142. Asutamislepingu selle artikliga ühendusele antud pädevus on olemuselt horisontaalne, see tähendab, et see ei piirdu ühe konkreetse valdkonnaga. Ühenduse pädevuse ulatus määratletakse seega „funktsionaalsuse kriteeriumi alusel ning see laieneb horisontaalselt kõikidele siseturu rajamiseks võetud meetmetele”(67) [mitteametlik tõlge].
143. Lisaks tuleneb Euroopa Kohtu praktikast, et EÜ artikli 95 lõikes 1 osutatud meetmed on mõeldud siseturu rajamise ja toimimise tingimuste parandamiseks, kusjuures see peab olema nende meetmete tegelik eesmärk ning need peavad kaasa aitama takistuste kõrvaldamisele kaupade vabalt liikumiselt või teenuste osutamise vabaduselt või veel konkurentsimoonutuste kaotamisele.(68) Sellest kohtupraktikast tuleneb samuti, et kuigi EÜ artiklit 95 on õigusliku alusena võimalik kasutada siis, kui soovitakse ennetada kaubavahetusele tulevikus tekkivaid takistusi, mis tulenevad siseriiklike õigusnormide erinevast arengust, peab selliste takistuste tekkimine olema tõenäoline ja asjaomase meetme eesmärk peab olema takistuste ennetamine.(69)
144. Nagu ma juba selgitasin, väidab nõukogu, et tema otsus võeti õigesti vastu EÜ artikli 95 alusel, sest liikmesriikide lennuettevõtjate ning liikmesriikide ja kolmandate riikide lennuettevõtjate vahelise konkurentsi moonutamise kaotamise teel aitab Ühendriikidega sõlmitud leping vältida tõsist ohtu siseturu ühtsusele.
145. Tõsi küll, tuleb märkida, et nõukogu otsuse teises põhjenduses sedastatakse „kiireloomuline vajadus parandada lennuettevõtjate ja reisijate ebakindlat olukorda ja kaitsta asjassepuutuvate isikute finantshuve”. Seda lauset võib mõista vihjena sanktsioonidele, mida Ühendriikide pädevad ametiasutused võivad kohaldada lennuettevõtjatele, kes keelduvad oma reisijate PNR-andmetele juurdepääsu võimaldamast, st sanktsioonidele, mis võivad tuua nendele lennuettevõtjatele rahalisi tagajärgi. On mõeldav, et sellisel juhul võivad need mõnedele ettevõtjatele ebasoodsate rahaliste tagajärgedega sanktsioonid põhjustada kõikide liikmesriikide territooriumil asutatud lennuettevõtjate vahelise konkurentsi moonutusi.
146. Peale selle võib samuti ette kujutada, et liikmesriikide erinev hoiak, kui mõned keelavad sanktsiooniähvardusel oma territooriumil asutatud lennuettevõtjatel lubada oma reisijate kohta PNR-andmete edastamist, samas kui teised ei toimi selliselt, võib võimalikest lennuettevõtjate vahelise konkurentsi moonutustest tulenevalt kas või kaudselt mõjutada siseturu toimimist.
147. Tuleb siiski täheldada, et selline eesmärk, millega püütakse vältida konkurentsimoonutusi ja kuivõrd nõukogu seda tegelikult taotleb, on kõrvaline, võrreldes kahe põhieesmärgiga: terrorismi ja muude raskete kuritegude vastane võitlus ja reisijate isikuandmete kaitse, mida, nagu nägime, nimetatakse ja rakendatakse lepingu sätetes sõnaselgelt.
148. Eesmärk vältida konkurentsi moonutamist – kas liikmesriikide lennuettevõtjate vahel või siis liikmesriikide ja kolmandate riikide lennuettevõtjate vahel – ei ole aga lepingu sätetes kuskil sõnaselgelt kirjas. See sisaldub selles vaikimisi ning on seega paratamatult kahe teise eesmärgi suhtes kõrvaline.
149. Meenutan, et – nagu Euroopa Kohus on seda juba varem nentinud – „asjaolust, et õigusakt võiks mõjutada siseturu rajamist ja toimimist, iseenesest ei piisa, et põhjendada selle artikli kasutamist õigusakti õigusliku alusena”(70) [mitteametlik tõlge].
150. Eelkõige nähtub Euroopa Kohtu väljakujunenud praktikast see, et kui ühenduse õigusakti kontrollimise käigus selgub, et see teenib kahte eesmärki või et sellega reguleeritakse kahte valdkonda, ning üks neist on määratletav peamise või ülekaalukana, samas kui teine on kõrvalise tähtsusega, peab õigusaktil olema üksainus õiguslik alus, st peamise või ülekaaluka eesmärgi tõttu nõutav õiguslik alus.(71) Vaid erandina peab õigusakt juhul, kui sel on mitu lahutamatult seotud eesmärki või mitu valdkonda, ilma et mõni neist oleks teisega võrreldes teisejärguline, põhinema neil vastavatel erinevatel õiguslikel alustel.(72) Antud juhul ei ole minu arvates tegemist sellise juhtumiga.
151. Märgin veel, et isegi kui arvestada, et lepingus taotletakse lahutamatult kõiki kolme eesmärki, tuleks nõukogu valikut – kasutada otsuse õigusliku alusena ainult EÜ artiklit 95 – pidada selle kohtupraktika alusel ebaõigeks.
152. Tegelikult tuleneb nõukogu otsuse teisest põhjendusest tervikuna, et selles nimetatud „kiireloomulise vajaduse” põhieesmärk on selgitada, et parlamendile anti tähtaeg arvamuse esitamiseks vastavalt EÜ artikli 300 lõike 3 esimesele lõigule, mis näeb ette, et lepingute sõlmimise menetluse raames „[e]sitab [Euroopa Parlament] oma arvamuse tähtaja jooksul, mille nõukogu võib määrata sõltuvalt asja kiireloomulisusest”. See artikkel sätestab samuti, et „[k]ui selle tähtaja jooksul arvamust ei ole esitatud, võib nõukogu otsuse teha”. Nii oligi see menetluses, mida järgiti nõukogu otsuse vastuvõtmisel.
153. Teisisõnu, kui „kiireloomuline vajadus parandada lennuettevõtjate ja reisijate ebakindlat olukorda ja kaitsta asjassepuutuvate isikute finantshuve” võis PNR-andmete korra kehtestamise protsessis tõepoolest arvesse tulla, siis näib mulle, et see mängis järgitud menetluse raames suuremat rolli kui lepingu eesmärgi ja sisu määratlemisel.
154. Mis puutub nõukogu ja komisjoni argumenti, et isikuandmete kaitse välismõõtmega seonduv õigusakt peaks põhinema samal õiguslikul alusel, millel põhineb ühendusesisene meede, st direktiiv 95/46, siis tuleb rõhutada, et Euroopa Kohus on juba varem asunud seisukohale, et asjaolust, et asutamislepingu konkreetne säte valitakse ühendusesiseste õigusaktide vastuvõtmise õiguslikuks aluseks, ei piisa tõestamaks, et seda sama alust tuleb kasutada ka sarnase eesmärgiga rahvusvahelise lepingu vastuvõtmiseks.(73) Lisaks näitasin ma, et ei lepingu põhieesmärk ega sisu ei ole siseturu toimimise tingimuste parandamine, samas kui EÜ artikli 95 alusel vastu võetud direktiivi 95/46 „eesmärk on tagada isikuandmete töötlemise suhtes üksikisikute kaitse alaste siseriiklike eeskirjade ühtlustamise teel isikuandmete vaba liikumine liikmesriikide vahel”(74) [mitteametlik tõlge].
155. Eespool öeldut silmas pidades leian, et lepingu eesmärgi ja sisu uurimine näitab, et EÜ artikkel 95 ei ole nõukogu otsuse jaoks õige õiguslik alus.
156. Teen seega Euroopa Kohtule ettepaneku asuda seisukohale, et Euroopa Parlamendi esimene väide on põhjendatud. Sellest tulenevalt tuleb nõukogu otsus väära õigusliku aluse tõttu tühistada.
157. Nüüd oleks kindlasti huvitav välja selgitada, mis peaks olema sellise otsuse õige õiguslik alus. Tuleb aga märkida, et seda delikaatset küsimust ei ole käesolevas kohtuasjas Euroopa Kohtule esitatud. Teen seega vaid mõned märkused selle probleemi ja üldiselt Ühendriikidega läbi räägitud PNR-korra olemuse kohta.
158. Kõigepealt, vastupidi nõukogu väidetavale tõigale, ei näita asjaolu, et PNR-korda ei kehtestatud Euroopa Liidu lepingu sätete raames, minu arvates nõukogu ja komisjoni lähenemisviisi õiguslikku kehtivust.
159. Üldisemalt võttes leian, et õigusakt, mis näeb ette isikuandmete päringute teostamise ja kasutamise üksuse poolt, kelle ülesanne on riigi sisejulgeoleku tagamine, ning nende andmete sellisele üksusele avaldamise, on samastatav riigiasutuste vahelise koostöö aktiga.(75)
160. Pealegi ei erine minu arvates asjaolu, et juriidilist isikut kohustatakse selliseks andmetöötluseks ja andmeedastuseks, põhimõtteliselt suuresti riigiasutuste vahelisest otsesest teabevahetustest.(76) Oluline on, et andmeedastus on kohustuslik julgeoleku ja õiguskaitse eesmärgil ning mitte see, kuidas see ühes või teises olukorras konkreetselt toimub. Antud kohtuasi puudutab tegelikult uut problemaatikat, mis seondub äriandmete kasutamisega õiguskaitse eesmärgil.(77)
161. Lõpuks tuleks märkida, et Esimese Astme Kohus otsustas, et „rahvusvahelise terrorismi vastast võitlust […] ei saa siduda ühegi ühenduse EÜ artiklites 2 ja 3 selgelt sätestatud eesmärgiga”(78).
162. Kuna tulenevalt minu hinnangust esimesele väitele teen Euroopa Kohtule ettepaneku tühistada nõukogu otsus selle õigusliku aluse eksliku valiku tõttu, uurin ma teisi parlamendi poolt käesoleva hagi toetuseks esitatud väiteid alles teise võimalusena.
B. Väide, mis tuleneb EÜ artikli 300 lõike 3 teise lõigu rikkumisest direktiivi 95/46 muutmise tõttu
1. Poolte argumendid
163. Euroopa Parlament kinnitab teises väites, et ühenduse ja Ühendriikide vahelist lepingut saab ühenduse nimel heaks kiita ainult EÜ artikli 300 lõike 3 teises lõigus sätestatud korras. See artikkel näeb nimelt ette, et „lepingud, mis tingivad artiklis 251 sätestatud menetluse kohaselt vastuvõetud õigusakti muutmise [sõlmitakse] […] pärast seda kui on saadud Euroopa Parlamendi nõusolek”. Parlament on seisukohal, et kõnealune leping eeldaks EÜ artiklis 251 sätestatud korras vastu võetud direktiivi 95/46 muutmist.
164. Parlament on seisukohal, et kohustused, mida Ühendriikide ametiasutused nõustusid lepingu kohaselt täitma, ei kata täielikult direktiivis 95/46 kehtestatud andmetöötluse tingimusi. Sellest tulenevalt kujutab leping endast erandit kõnesoleva direktiivi teatud peamistest põhimõtetest ja muudab seaduslikuks andmetöötluse, mis ei ole direktiiviga lubatud. Selles mõttes muudab leping direktiivi 95/46. Konkreetselt nimetab Euroopa Parlament järgmisi muudatusi.
165. Esiteks on lepingu eesmärk terrorismi ja muude tõsiste kuritegude ennetamine ja nende vastu võitlemine, samas kui direktiivi 95/46 artikli 3 lõike 2 esimeses taandes jäetakse direktiivi kohaldamisalast välja riigi avaliku korra huvides toimuv andmeedastus kolmanda riigi riigiasutustele. Parlament märgib, et liikmesriigid on selleks ette näinud erisätted Europoli konventsioonis ning et võib seega arvestada, et need kaks erinevatel õiguslikel alustel põhinevat õigusakti täiendavad teineteist selles valdkonnas.
166. Teiseks kujutab ka Ühendriikide pädevatele ametiasutustele võimaldatav otsene juurdepääs isikuandmetele ühenduse territooriumil (pull süsteem) endast direktiivi 95/46 muutmist. Nimelt ei sisalda direktiivi artiklid 25 ja 26 ühtegi sätet, mis annaks kolmandale riigile õiguse nendele andmetele otseseks juurdepääsuks.
167. Kolmandaks annab leping kohustustele viidates CBP-le õiguse omal äranägemisel ja vastavalt vajadusele edastada PNR-andmeid teistele õiguskaitse või terrorismivastase võitlusega tegelevatele valitsusasutustele peale Ühendriikide ametiasutuste. Ühendriikide ametiasutuste selline otsustusõigus rikub direktiivi 95/46 ja eelkõige selle artikli 25 lõiget 1, mille kohaselt „[võib] isikuandmete edastamine kolmandatesse riikidesse […] toimuda ainult juhul, kui kõnealune kolmas riik tagab andmekaitse piisava taseme”. Parlament on nimelt seisukohal, et nimetatud direktiivis kehtestatud kaitsesüsteem muutuks olematuks, kui kolmandal riigil, kelle suhtes on otsustatud, et ta tagab piisava kaitse, lubataks seejärel vabalt isikuandmeid edastada teistele riikidele, keda komisjon ei ole üldse hinnanud.
168. Neljandaks muudetakse lepinguga direktiivi 95/46 selles osas, et CBP-l on juriidiliselt lubatud „delikaatseid” isikuandmeid koguda – isegi kui ta otsustab neid andmeid mitte kasutada –, mis tähendab selle direktiivi artikli 2 punkti b tähenduses juba andmetöötlust.
169. Viiendaks on parlament seisukohal, et leping muudab nimetatud direktiivi selles osas, et kõnesoleva töötlemise suhtes kohaldatavate siseriiklike õigusaktidega kõikidele isikutele tagatud õiguste rikkumise korral ei ole direktiivi 95/46 artiklis 22 ette nähtud õiguskaitsevahendid piisavalt tagatud. Nimelt ei ole PNR-andmete edastamisest puudutatud isikul ühtegi õiguskaitsevahendit näiteks juhul, kui andmed tema kohta on valed, kasutatakse delikaatseid andmeid või kui andmeid edastatakse mõnele teisele ametiasutusele.
170. Kuuendaks ja viimaseks rõhutab parlament CBP-le edastatavate PNR-andmete säilitamise liiga pikka kestust, mis tähendab, et muudetakse direktiivi 95/46, ja konkreetsemalt selle artikli 6 lõike 1 punkti e, mis näeb ette andmete säilitamise ainult seni, „kuni see on vajalik seoses andmete kogumise või hilisema töötlemise eesmärkidega”.
171. CEPD toetab parlamendi järeldusi selles osas, et tema arvates mõjutab leping direktiivi 95/46. Ta on arvamusel, et lepingu oleks saanud sõlmida ainult parlamendi demokraatliku kontrolli all, kuivõrd see kahjustab selles direktiivis ette nähtud siseriiklike õigusaktide ühtlustamise taset ja isegi põhiõiguste austamist. Tema arvates rikutakse kõnesoleva direktiiviga ette nähtud isikuandmete kaitsetaset eelkõige seeläbi, et nii pull süsteemis kui ka push süsteemis on lennuettevõtjad kohustatud toimima direktiivi, eelkõige selle artikli 6 lõike 1 punkte b ja c rikkudes. Kuivõrd andmekaitse taseme kahjustamine eeldab direktiivi 95/46 muutmist, leiab CEPD, et ei ole järgitud EÜ artikli 300 lõike 3 teises lõigus ette nähtud menetluslike tagatiste nõuet. Lisaks leiab ta, et järgitud ei ole ka „sisuliste tagatiste” nõuet, eelkõige sellepärast, et CBP kohustused ei ole siduvad.
172. Seevastu leiab nõukogu, keda toetab komisjon, et leping ei tähenda direktiivi 95/46 muutmist. Selle arvamuse toetuseks tsiteerib ta kõnesoleva lepingu punkti 8, mille kohaselt „[ei kavatseta lepinguga] lepinguosaliste seadusandlusest kõrvale kalduda ega seda muuta”. Ta väidab samuti, et direktiiv annab komisjonile laia kaalutlusõiguse kolmanda riigi tagatud kaitse piisava taseme hindamiseks. Selles osas on nõukogu seisukohal, et küsimus, kas komisjon ületas oma pädevuse piire, kujutab endast pigem kohtuasjas C‑318/04 piisava kaitse otsuse tühistamiseks esitatud hagi eset.
173. Nõukogu meenutab samuti, et tema arvates ei kuulu põhjendused (julgeolek, terrorismivastane võitlus või muu), mis sundisid CBP-d nõudma PNR-andmete edastamist, ühenduse seisukohast ei lepingu eesmärgi ega sisu hulka. Peale selle olevat direktiiviga 95/46 lubatud, et siseturu kohaldamisalas võib isikuandmeid kasutada sellistel õiguspärastel eesmärkidel nagu riigi julgeoleku kaitse.
174. Igal juhul ei tähendavat see nõukogu arvates – isegi kui oletada, et ühendusel puudus pädevus Ühendriikidega lepingu sõlmimiseks –, et parlament oleks pidanud andma nõusoleku väidetaval põhjusel, et leping muudab direktiivi 95/46. Nõukogu täpsustab nimelt, et parlamendi nõusolek ei oleks mingil juhul saanud ühenduse pädevuse ulatust suurendada.
175. Mis puutub CBP võimalust kasutada vahetult PNR-andmeid (praegu kohaldatav pull süsteem, kuni seatakse sisse push süsteem), siis nõukogu tunnistab, et kuigi direktiivis 95/46 sellist võimalust sõnaselgelt ei nimetata, ei keelata seda seal samuti. Ühenduse seisukohast on olulised just andmete kasutamise tingimused.
176. Komisjon lisab sellele argumendile, et olenemata sellest, mis otstarbel CBP isikuandmeid kasutab, on ja jäävad need ühenduse lennuettevõtjate jaoks äriandmeteks, mille suhtes kohaldatakse direktiivi 95/46 ja mida tuleb järelikult kaitsta ja töödelda selle direktiivi kohaselt.
2. Hinnang
177. Ühenduse poolt rahvusvaheliste lepingute sõlmimisel on Euroopa Parlamendiga konsulteerimine väljaspool ühise kaubanduspoliitika valdkonda üldiselt kasutatav menetlus. Parlamendiga konsulteerimine toimub EÜ artikli 300 lõike 3 esimese lõigu alusel, sealhulgas juhul, kui leping puudutab valdkonda, mille puhul on ühendusesiseste eeskirjade vastuvõtmiseks nõutav EÜ artiklis 251 sätestatud kaasotsustusmenetlusega.
178. Erandina sellest üldiselt kasutatavast menetlusest näeb EÜ artikli 300 lõike 3 teine lõik Euroopa Parlamendi nõusoleku ette neljal juhul, millest on antud kohtuasjas oluline see, mille puhul leping tingib „artiklis 251 sätestatud menetluse kohaselt vastuvõetud õigusakti muutmise”. Tegemist on kontrolli andmisega parlamendile kui kaasseadusandjale tema poolt vastu võetud õigusakti rahvusvahelise lepinguga tehtavate võimalike muudatuste üle.
179. Direktiiv 95/46 võeti vastu kaasotsustusmenetluses. Parlament väidab, et kuna Ühendriikidega sõlmitud leping tähendab kõnesoleva direktiivi muutmist, oli tema nõusolek nõutav selleks, et selle lepingu ühenduse nimel heakskiitmiseks tehtava nõukogu otsuse vastuvõtmisel oleks kinni peetud asutamislepingus sätestatud eeskirjadest.
180. Selle väite põhjendatuse hindamiseks täpsustan ma ennekõike, et minu silmis ei ole suurt tähtsust sellel, kas lepingu punktis 8 täpsustatakse, et lepinguga „ei kavatseta lepinguosaliste seadusandlusest kõrvale kalduda ega seda muuta”. Mis on EÜ artikli 300 lõike 3 teise lõigu tõhusaks muutmiseks oluline, on nimelt kontrollida, kas rahvusvaheline leping tähendab ühendusesisese õigusakti muutmist, see tähendab, kas sellega muudetakse nimetatud õigusakti, ja seda sõltumatult asjaolust, et see ei ole selle eesmärk.
181. Nüüd, kui seda on täpsustatud, näib, et Euroopa Kohus ei ole veel seisukohta avaldanud „artiklis 251 sätestatud menetluse kohaselt vastuvõetud õigusakti muutmise”(79) suhteliselt ebaselge väljendi kohta. Mõned autorid on arutanud, kas termin „muutmine” tähendab ühendusesisese õigusakti „tekstiga vastuolus olevat muudatust” või kas nõusoleku saamine on vajalik ka juhtudel, kui ühendusesisest õigusakti puudutavas osas esineb „mis tahes muudatusi, isegi kui need on teksti mõttega kooskõlas”(80).
182. EÜ artikli 300 lõike 3 teises lõigus kasutatud väljend tekitab samuti küsimuse, kas selleks, et nõutav oleks nõusolek, peab kavandatava lepingu kohaldamisala vähemalt osaliselt hõlmama vastu võetud ühendusesisese õigusakti kohaldamisala või kas piisab ainult asjaolust, et ühendusesisene õigusakt on vastu võetud samal õiguslikul alusel, mida kasutati nimetatud lepingu sõlmimiseks.(81)
183. Üldiselt olen ma arvamusel, et üks tingimus selleks, et rahvusvahelise lepinguga „muudetaks” kaasotsustusmenetluse teel vastu võetud ühenduse õigusakti, on see, et lepingu kohaldamisala kattub selle ühendusesisese õigusakti kohaldamisalaga. Sel juhul võib olla tegemist ühendusesisese õigusakti muutmisega rahvusvahelise lepingu poolt, mis võib seisneda kas lepingus sisalduvas ühendusesisese õigusaktiga vastuolus olevas sättes või asjaolus, et lepinguga on ühendusesisesele õigusaktile sisuliselt midagi lisatud, isegi kui otsest vastuolu ei esine.
184. Käesolevas kohtuasjas leian ma, et leping ei saanud direktiivi 95/46 sisu muuta.
185. Minu arvamus põhineb esiteks asjaolul, et – nagu tuleneb esimese väite analüüsist – lepingu põhieesmärk on võitlus terrorismi ja muude raskete kuritegudega, tagades samal ajal lennureisijate isikuandmete kaitse. Seevastu direktiivi 95/46 eesmärk on tagada isikuandmete vaba liikumine liikmesriikide vahel, ühtlustades siseriiklikke õigusnorme, mis reguleerivad üksikisikute kaitset nende andmete töötlemisel. Nende kahe õigusakti eesmärgid on seega täiesti erinevad ja seda vaatamata sellele, et mõlemad puudutavad isikuandmete kaitse valdkonda.(82)
186. Teiseks – ja mis on kooskõlas järeldusega, et lepingu ja direktiivi 95/46 eesmärgid on erinevad – ilmneb, et ka nende kohaldamisalad on erinevad. Nimelt, kui leping on kohaldatav isikuandmete töötlemise suhtes Ühendriikide sisejulgeolekualases tegevuses ning samal ajal ning konkreetsemalt terrorismi ja muude raskete kuritegude vastases võitluses, siis meenutan, et nimetatud direktiivi artikli 3 lõike 2 esimene taane jätab sõnaselgelt selle kohaldamisalast välja isikuandmete töötlemise, mis „toimub sellise tegevuse käigus, mis jääb väljapoole ühenduse õigust, nagu näiteks Euroopa Liidu lepingu V ja VI jaotises osutatud tegevused, ja igal juhul sellise töötlemise suhtes, mis on seotud avaliku korra, riigikaitse, riigi julgeoleku (sealhulgas riigi majandusliku heaoluga, kui töötlemine on seotud riigi julgeoleku küsimustega) ja riigi toimingutega kriminaalõiguse valdkonnas”(83).
187. Arvestades asjaolu, et antud juhul on kahe õigusakti eesmärgid ja kohaldamisalad erinevad, ei näe ma, kuidas võiks neist ühe sisu muuta teise sisu. Õieti öelda puudutab leping isikuandmete töötlemist, mille kohta ühenduse seadusandja on selgelt välistanud, et see võiks kuuluda direktiiviga 95/46 kehtestatud kaitsekorra alla. Ühenduse seadusandja selline lähenemine on muide kooskõlas kõnesoleva direktiivi õigusliku aluse valikuga, milleks on nimelt EÜ artikkel 95.
188. Seda analüüsi ei saa minu arvates kummutada komisjoni argumendiga, et olenemata sellest, mis eesmärgil CBP isikuandmeid kasutab, on ja jäävad need ühenduse lennuettevõtjate jaoks ikkagi äriandmeteks, mis kuuluvad direktiivi 95/46 kohaldamisalasse ning mida tuleb kaitsta ja töödelda selle direktiivi kohaselt.
189. Tuletan sellega seoses meelde, et kuigi on tõsi, et töötlemine, mis seisneb lennureisijate andmete kogumises ja salvestamises lennuettevõtjate poolt, toimub üldiselt kommertseesmärkidel, kuna see on otseselt seotud lennuettevõtja tagatud reisi kulgemisega, siis Ühendriikidega sõlmitud lepinguga reguleeritud andmetöötlus on hoopis teist laadi, kuna esiteks puudutab see andmete kogumisele järgnevat etappi ja teiseks toimub see julgeolekueesmärkidel.
190. Esitatud põhjendusest lähtudes leian ma, et parlamendi teine väide ei ole põhjendatud ja tuleb seega tagasi lükata.
191. Samadel põhjustel nagu minu analüüsis kohtuasjas C‑318/04(84) uurin ma nüüd koos Euroopa Parlamendi kolmandat ja neljandat väidet, nimelt isikuandmete kaitse õiguse ja proportsionaalsuse põhimõtte rikkumist.
192. Tuletan ühtlasi meelde, et nõukogu otsusega vastu võetud kujul lepingu, piisava kaitse otsuse ja kõnesolevale komisjoni otsusele lisatud CBP kohustuste omavahelist sõltuvust silmas pidades tuleb minu arvates nende väidete suhtes analüüsida kogu PNR-korda.(85)
C. Väited, mis tulenevad isikuandmete kaitse õiguse ja proportsionaalsuse põhimõtte rikkumisest
1. Poolte argumendid
193. Parlament väidab, et PNR-kord rikub õigust isikuandmete kaitsele, mis on ette nähtud EIÕK artiklis 8.
194. Ta on seisukohal, et kuna Ühendriikidega sõlmitud leping näeb ette, et CBP võib elektrooniliselt kasutada lennuettevõtjate Euroopa Ühenduse liikmesriikide territooriumidel asuvates broneerimissüsteemides sisalduvaid PNR-andmeid, ja sätestab, et nimetatud lennuettevõtjad võivad kõnesolevaid PNR-andmeid Ühendriikidesse suunduvatel ja sealt lähtuvatel lennuliinidel rahvusvahelist reisijateveoteenust osutades töödelda Ühendriikide seaduse alusel kehtestatud CBP nõuete kohaselt, siis puudutab see niisugust isikuandmete töötlemist, mis tähendab eraellu sekkumist EIÕK artikli 8 mõttes. Samamoodi ei ole ka piisava kaitse otsuses sellest artiklist kinni peetud.
195. Parlament täpsustab, et selleks, et niisugune sekkumine ei rikuks EIÕK artiklit 8, peab see olema seaduses ette nähtud, taotlema õiguspärast eesmärki ja selle eesmärgi saavutamine peab olema demokraatlikus ühiskonnas vajalik. Ta leiab, et leping ja piisava kaitse otsus ei vasta nendele tingimustele.
196. Mis puudutab – esiteks – tingimust, et sekkumine peab olema seadusega ette nähtud, siis parlament rõhutab, et ei leping ega piisava kaitse otsus ei vasta seaduse kättesaadavuse ja ootuspärasuse nõuetele, mis tulenevad Euroopa Inimõiguste Kohtu praktikast. Esmalt väljendab parlament seoses seaduse kättesaadavuse nõudega seisukohta, et kuna nii lepingus kui piisava kaitse otsuses on kohaldatavatele USA seadustele viidatud üldiselt ja ebatäpselt, siis need ise Euroopa lennureisijate ja -ettevõtjate õigusi ja kohustusi ei sisalda. Ent õiguskindluse põhimõtte kohaselt peavad ühenduse õigusnormid võimaldama asjaomastel isikutel täpselt teada nende õiguslike kohustuste ulatust, mida õigusakt ette näeb.(86) Peale selle– vastupidi seaduse kättesaadavuse nõudele – ei ole kohaldatavad Ühendriikide seadused kõikides ühenduse ametlikes keeltes kättesaadavad. Parlament märgib samuti lepingu preambulis toodud ekslikku viidet piisava kaitse otsusele ja selle vastuvõtmise kuupäevale. Teiselt poolt ei ole täidetud seaduse ootuspärasuse nõue, sest leping ja piisava kaitse otsus ei sisalda küllalt täpselt ühenduses asutatud lennuettevõtjate ja kodanike õigusi ja kohustusi. Pealegi saavad reisijad ainult üldist teavet, mis on vastuolus direktiivi 95/46 artiklites 10 ja 11 ning konventsiooni nr 108 artikli 8 punktis a sätestatud teavitamiskohustusega. Lõpuks esineb lepingus ja CBP kohustustes rida selliseid ebatäpsusi, mis ei ole EIÕK artikliga 8 kooskõlas.
197. Teiseks, mis puudutab tingimust, et EIÕK artikli 8 lõike 2 kohaselt peab eraelu puutumatuse õigusse sekkumine toimuma õiguspärasel eesmärgil, siis parlament möönab, et see on täidetud. Ta meenutab sellega seoses, et ta on terrorismivastases võitluses nõukogule korduvalt toetust avaldanud.
198. Mis puudutab – kolmandaks – tingimust, mille kohaselt peab õigusesse sekkumine kujutama endast meedet, mis on demokraatlikus ühiskonnas vajalik riigi julgeoleku, ühiskondliku turvalisuse, riigi majandusliku heaolu, korrakaitse huvides või kuritegevuse ärahoidmiseks, tervise või kõlbluse või kaasinimeste õiguste ja vabaduste kaitseks, siis parlament leiab, et see ei ole täidetud järgmistel põhjustel:
- CBP kohustuste punktist 3 tuleneb, et andmetöötlus ei piirdu üksnes terrorismivastase võitlusega, vaid selle eesmärk on ka muude raskete kuritegude, sealhulgas organiseeritud kuritegevuse ning selliste kuritegude puhul vahistamisel või kinnipidamiskohast põgenemise ärahoidmine ja nende vastu võitlemine. Kuivõrd andmetöötlus ületab üksnes terrorismivastase võitluse piire, ei ole see vajalik taotletava õiguspärase eesmärgi saavutamiseks;
- leping näeb ette ülemäärases koguses andmete edastamise (34 elementi), mistõttu ei vasta see proportsionaalsuse põhimõttele. Isikuandmete kaitse piisava taseme tagamise aspektist on nendest 34-st andmeelemendist vastuvõetavad 19. Parlament leiab, et lepingus(87) nõutav andmete arv „kaldub oluliselt kõrvale” Euroopa Liidu tasandil kohaldatavates võrreldavates õigusaktides ettenähtud arvust. Pealegi võivad mõned nõutavatest PNR-elementidest sisaldada delikaatseid andmeid;
- taotletavat eesmärki arvestades säilitavad Ühendriikide ametiasutused andmeid liiga kaua. Nimelt tuleneb CBP kohustustest, et CBP võimaldab üksnes volitatud CBP isikutele sidusjuurdepääsu andmetele kuni seitsmeks päevaks, mille möödumisel säilitatakse kõiki andmeid kolm ja pool aastat, seejärel teisaldab CBP nimetatud perioodil vältel manuaalselt kasutatud andmed toorandmete kujul kustutatud andmete faili, kuhu need jäävad kaheksaks aastaks, enne kui need hävitatakse. Võrreldes näiteks Schengeni lepingu rakendamise konventsiooni, Europoli konventsiooni ja Eurojusti otsuse raames loodud infosüsteemidega, mis näevad ette kolmeaastase säilitamisaja, osutub kohustustes nimetatud säilitamisaeg liiga pikaks;
- leping ei näe ette kohtulikku kontrolli Ühendriikide ametiasutustes toimuva andmetöötluse üle. Lisaks, kuna lepingu ja kohustustega ei anta õigusi isikutele, kelle isikuandmeid töödeldakse, ei näe parlament, kuidas need isikud saaksid nendele tugineda Ühendriikide kohtutes;
- leping võimaldab andmeid edastada teistele riigiasutustele; nii läheb see kaugemale, kui terrorismivastaseks võitluseks vajalik.
199. CEPD on seisukohal, et kuue andmeelemendi töötlemine on ilmselgelt eraelu puutumatuse õiguse rikkumine.(88) Rikkumine seisneb ka selles, et nende andmete põhjal on lubatud koostada isikuprofiile. CEPD toetab parlamendi väiteid, millega püütakse tõestada, et eraellu sekkumine ei ole EIÕK artikli 8 lõike 2 seisukohast õigustatud. Ta leiab ka, et CBP pakutav kaitsetase ei ole direktiivi 95/46 artikli 25 tähenduses piisav, eelkõige seetõttu, et EIÕK artiklit 8 ei järgita.
200. Nõukogu ja komisjon seevastu leiavad, et PNR-kord vastab EIÕK artikli 8 lõikes 2 sätestatud tingimustele, nagu neid on tõlgendanud Euroopa Inimõiguste Kohus.
201. Esiteks, mis puudutab tingimust, et sekkumine peab olema seadusega ette nähtud, siis nõukogu leiab, et seaduse kättesaadavuse nõude täitmiseks ei ole vajalik, et PNR-leping ise sisaldaks kõiki sätteid, mis võiksid puudutada asjaomaseid isikuid. Õigusevastane ei ole see, kui viidata lepingus piisava kaitse otsusele ja selle lisas esitatud CBP kohustustele, kuivõrd kõik need tekstid on avaldatud Euroopa Liidu Teatajas. Pealegi ei ole viimati nimetatu mõeldud kolmandate riikide seaduste avaldamiseks. Mis puudutab lepingu preambulis esinevat ekslikku viidet piisava kaitse otsusele, siis nõukogu märgib, et ta võtab meetmed, mis on vajalikud, et Euroopa Liidu Teatajas avaldataks parandus, kuid ta leiab, et need tehnilist laadi vead ei mõjuta kõnesolevate õigusaktide kättesaadavust Euroopa Inimõiguste Kohtu käsituses. Seaduse ootuspärasuse tingimuse kohta leiab nõukogu, et asjaolu, et lepingus endas ei ole täies ulatuses ära toodud asjassepuutuvad CBP kohustused ning Ühendriikide seadused ja põhiseadusest tulenevad nõudmised, ei kujuta endast selle nõude rikkumist. Peale selle võimaldavat piisava täpsusega esitatud CBP kohustused asjaomastel isikutel oma käitumises nendest lähtuda.
202. Teiseks, mis puudutab tingimust, et sekkumine peab toimuma õiguspärasel eesmärgil, siis nõukogu rõhutab, et võitlus muude raskete kuritegudega peale terrorismi kuulub mitmesse EIÕK artikli 8 lõikes 2 nimetatud õiguspärase huvi kategooriasse (nimelt riigi julgeolek, korrakaitse ja kuritegevuse ärahoidmine). Seega taotletakse lepingu ja CBP kohustustega õiguspärast eesmärki ka osas, milles need puudutavad muid raskeid kuritegusid.
203. Kolmandaks on nõukogu seisukohal, et sekkumine on taotletava eesmärgiga proportsionaalne. Täpsemalt väidab ta, et CBP nõutavaid PNR-andmeelemente kasutatakse terrorismiaktide või organiseeritud kuritegevuse ärahoidmiseks, samuti rünnakutejärgsete juurdluste jaoks, lihtsustades terrorismirühmitustega või organiseeritud kuritegevusega seotud isikute kindlakstegemist. Mis puudutab edastatavate PNR-andmete arvu, siis selle võrdlemine Euroopa Liidus loodud infosüsteemidega ei ole asjakohane, kuna peale selle, et nende süsteemide eesmärk ja sisu on PNR-korra omadest erinev, peab potentsiaalsete terroristide profiili koostamise vajadusest tingitult olema võimalik kasutada suuremal arvul andmeid. Mis puutub kolme PNR-andmeelementi, mis võivad parlamendi sõnul sisaldada delikaatseid andmeid,(89) siis märgib nõukogu, et CBP juurdepääs nendele kolmele andmeelemendile on CBP kohustuste punkti 5(90) alusel rangelt piiratud. Lisaks on kohustuste punktide 9, 10 ja 11 alusel igal juhul välistatud, et CBP võiks delikaatseid andmeid kasutada.(91) PNR-andmete säilitamise kestuse osas leiab nõukogu, et arvestades asjaolu, et rünnakutejärgsed juurdlused kestavad vahel aastaid, kujutab kolmeks ja pooleks aastaks kehtestatud normaalne säilitamisaeg – välja arvatud erijuhtudel, kus see kestus võib olla pikem – endast tasakaalustatud lahendust. Peale selle ei ole alust arvata, et sõltumatu kontrollisüsteem puudub. Lisaks on andmete teistele riigiasutustele edastamise kohta olemas piisavad tagatised; nimelt võib CBP edastada andmeid teistele riigiasutustele vaid üksikjuhtudel ja ainult terrorismi või muude raskete kuritegude ärahoidmise või nende vastu võitlemise eesmärgil.
204. Komisjoni silmis ei ole kahtlust, et leping, piisava kaitse otsus ja CBP kohustused koos võimaldavad teatud määral eraellu sekkuda, ning sekkumise aste varieerub sõltuvalt edastatavatest andmetest. Selline sekkumine on ette nähtud seadusega, st eelnimetatud aktide kogumiga, sekkumine taotleb õiguspärast eesmärki, nimelt Ühendriikide julgeolekualase seaduse ja isikuandmete kaitse alaste ühenduse õigusnormide vahelise vastuolu lepitamist, ning on demokraatlikus ühiskonnas selle eesmärgi saavutamiseks vajalik.
205. Ühendkuningriik leiab, et isikuandmete kaitse õiguse võimaliku rikkumise analüüsi raames tuleb nõukogu otsust, lepingut, piisava kaitse otsust ja CBP kohustusi uurida koos, sest need õigusaktid on tihedalt seotud. Samuti väljendab ta seisukohta, et uurida tuleb just kohaldatava ühenduse õiguse ja mitte Ühendriikide territooriumil kehtivate seaduste kättesaadavust ja ootuspärasust. Ühendkuningriik leiab, et kui vaadelda lepingut, piisava kaitse otsust ja CBP kohustusi nende koostoimes, siis ühenduse õiguses on kõikide asjaomaste poolte õiguslik seisund esitatud selgelt ja täielikult. Peale selle ei jaga ta arvamust, nagu oleks CBP kohustused olemuselt ühepoolsed ja Ühendriikide ametiasutused võiksid neid karistamatult muuta või tagasi võtta.
206. Sekkumise vajalikkuse osas rõhutab Ühendkuningriik kõigepealt, et muude tõsiste kuritegude vastu võitlemine on selgelt lepingu eesmärgiks kuulutatud ja kujutab endast avaliku korra tagamise eesmärki, mis on niisama õiguspärane kui terrorismivastane võitlus. Edasi leiab Ühendkuningriik, et edastada lubatud andmete valik, nende hoidmise kestus ja teistele ametiasutustele edastamise võimalus vastavad nimetatud eesmärkidele ja on nendega proportsionaalsed, arvestades eelkõige kohustustes ja piisava kaitse otsuses sisalduvaid arvukaid tagatisi, mille eesmärk on piirata reisijate eraellu sekkumise riski. Ta täpsustab lõpetuseks, et tema arvates tuleb proportsionaalsuse kriteeriumi kohaldamisel lähtuda nii Euroopa Kohtu kui ka Euroopa Inimõiguste Kohtu praktikast, arvestades kõnealuste eesmärkide olemust ja tähtsust.
2. Hinnang
207. Euroopa Parlament väljendab eeltoodud väidetes seisukohta, et nii nõukogu otsusega kui ka piisava kaitse otsusega on rikutud EIÕK artikliga 8 tagatud õigust isikuandmete kaitsele.
208. Väljakujunenud kohtupraktika kohaselt on põhiõigused lahutamatu osa õiguse üldpõhimõtetest, mille järgimise tagab Euroopa Kohus.(92) Selleks juhindub Euroopa Kohus liikmesriikide ühesugustest riigiõiguslikest tavadest ning inimõiguste kaitse alastest rahvusvahelistest õigusaktidest, milles liikmesriigid teevad koostööd või millega nad on ühinenud. Euroopa Kohus on seisukohal, et EIÕK on selles suhtes „erilise tähendusega”(93). Seega ei ole selliselt tunnustatud ja tagatud inimõigusi eiravad meetmed ühenduses vastuvõetavad.(94) Neid põhimõtteid korratakse EL artikli 6 lõikes 2.
209. Euroopa Kohus on sellise praktika kujundamise käigus pidanud vajalikuks kaasata ühenduse õigusesse eraelu puutumatuse kaitse.(95) Õigus isikuandmete kaitsele on üks aspekt õigusest eraelu puutumatusele ja seega kaitstud EIÕK artikliga 8 – muu hulgas ka ühenduse õiguskorras – õiguse üldpõhimõtete kohaselt.
210. Uurin, kas PNR-kord rikub õigust eraelu puutumatusele, järgides EIÕK artikli 8 sõnastusest tulenevat analüüsi skeemi. Pärast seda, kui olen kontrollinud, kas kõnealune kord kujutab endast sekkumist lennureisijate eraellu, määran kindlaks, kas see sekkumine on nõuetekohaselt õigustatud.
a) Eraellu sekkumise olemasolu
211. Minu arvates ei ole vähimatki kahtlust selles, et nõukogu otsusega, millega leping heaks kiidetakse, piisava kaitse otsusega ja CBP kohustustega sekkutakse – nende koostoimes – eraellu. Minu arvates on selge, et ühenduse liikmesriikide territooriumil asuvate lennuettevõtjate broneerimissüsteemidest pärinevates lennureisijate andmetes päringute teostamine, nende kasutamine CBP poolt ja nende avaldamine CBP-le kujutab endast riigiasutuste sekkumist reisijate eraellu.
212. Täpsustan ühtlasi, et lennureisijate eraellu sekkumine näib mulle tõendatud, isegi kui mõnesid PNR-andmeelemente, mida vaadeldakse eraldiseisvatena, võib pidada sellisteks, et nendega iseenesest asjassepuutuvate reisijate eraellu ei sekkuta. Nimelt tuleb minu arvates CBP nõutavate PNR-andmeelementide loetelu vaadelda üldiselt, kuna nende andmete ristkontroll võimaldab koostada isikuprofiile.
213. Eraellu sekkumine rikub õigust eraelu puutumatusele, välja arvatud juhul, kui see on nõuetekohaselt õigustatud.
b) Eraellu sekkumise õigustatus
214. Selleks et eraellu sekkumine oleks õigustatud, peab olema täidetud kolm tingimust: see peab olema seadusega ette nähtud, see peab toimuma õiguspärasel eesmärgil ja olema demokraatlikus ühiskonnas vajalik.
i) Kas eraellu sekkumine on seadusega ette nähtud?
215. Euroopa Inimõiguste Kohtu väljakujunenud praktika kohaselt eeldab see tingimus, et vaidlusalune meede põhineb seadusel ja puudutab ka kõnesoleva seaduse kvaliteeti.(96) Seaduse kvaliteedi uurimine eeldab, et seadus peab olema kodanikele kättesaadav, täpne ja selle järelmid ootuspärased. See eeldab, et seaduses määratletakse piisava täpsusega tagatud õiguse piirangu tingimused ja kord, võimaldamaks kodanikul oma käitumist kohandada ja olla omavoli vastu vajalikul määral kaitstud.(97)
216. Parlament väidab, et sekkumist sätestav meede ei ole kättesaadav ning selle järelmid ei ole ootuspärased. Ma ei jaga seda arvamust.
217. Ma leian vastupidi, et nõukogu otsusest ja sellele lisatud lepingust ning piisava kaitse otsusest, mille lisas on esitatud CBP kohustused, saavad asjaomased isikud, nimelt lennuettevõtjad ja -reisijad oma käitumise kohandamiseks piisavalt täpset teavet.
218. Juhin tähelepanu CBP kohustuste 48-le suhteliselt üksikasjalikule punktile, mis annavad täpsustusi kohaldatava õigusliku raamistiku kohta. Lisaks on piisava kaitse otsuse preambulis esitatud viited asjassepuutuvale USA seadusele ning CBP poolt selle seaduse alusel vastuvõetud rakenduseeskirjadele.(98) Seega näib mulle liigne nõuda, et kohaldatavad USA õigus- ja haldusnormid tuleks tervikuna avaldada Euroopa Liidu Teatajas. Peale selle, et – nagu rõhutab nõukogu – viimati nimetatu ei ole mõeldud kolmandate riikide seaduste avaldamiseks, leian ma, et CBP kohustused, mis avaldati Euroopa Liidu Teatajas, sisaldavad põhiteavet andmete CBP poolt kasutamise korra ja nimetatud korraga antud tagatiste kohta.
219. Õiguskindluse nõude kohaselt teavitatakse lennuettevõtjaid, kelle suhtes PNR-kord kehtib, neile lepingust tulenevatest kohustustest, ning lennureisijaid teavitatakse nende õigustest, juurdepääsust andmetele ja andmete parandamise võimalustest.(99)
220. PNR-korra moodustavate elementide omavahelist sõltuvust silmas pidades on kahetsusväärne, et lepingu preambulis toodud viited piisava kaitse otsusele ja selle kuupäevale on väärad. Need vead teevad asja keeruliseks Euroopa kodanikele, kes soovivad Ühendriikidega kokkulepitud korra kohta teavet saada. Sellegipoolest ei muuda need minu arvates sellist otsingut üleliia raskeks, sest piisava kaitse otsus avaldati Euroopa Liidu Teatajas ja otsinguvahenditega – eelkõige arvutipõhistega – leiab selle kergesti. Peale selle lubas nõukogu Euroopa Liidu Teatajas paranduse avaldada, mida ta ka tegi.(100)
221. Neid põhjendusi arvestades leian, et asjaomaste lennureisijate eraellu sekkumist tuleb pidada EIÕK artikli 8 lõike 2 tähenduses „seadusega ette nähtuks”.
ii) Kas sekkumine toimub õiguspärasel eesmärgil?
222. EIÕK artikli 8 lõikes 2 märgitud erinevaid eesmärke arvestades leian, et käesolevas kohtuasjas arutatav eraellu sekkumine toimub õiguspärasel eesmärgil. Eelkõige kehtib see osas, mis puudutab terrorismivastast võitlust.
223. Sarnaselt nõukoguga olen seisukohal, et ka võitlus muude raskete kuritegudega peale terrorismi(101) kuulub mitmesse EIÕK artikli 8 lõikes 2 nimetatud õiguspäraste huvide kategooriasse nagu riigi julgeolek, ühiskondlik turvalisus, korrakaitse või kuritegevuse ärahoidmine. Seega leian, et PNR-korraga taotletakse õiguspärast eesmärki ka seeläbi, et see puudutab muid raskeid kuritegusid.
224. Edasi tuleks kontrollida sekkumise proportsionaalsust, selgitades välja, kas sekkumine on demokraatlikus ühiskonnas vajalik terrorismi ja muude raskete kuritegude ärahoidmiseks ja nende vastu võitlemiseks.
iii) Kas sekkumine on demokraatlikus ühiskonnas selle eesmärgi saavutamiseks vajalik?
225. Enne proportsionaalsuse tingimuse täitmise täpset kontrollimist teen kõigepealt mõned märkused Euroopa Kohtu teostatava kontrolli ulatuse kohta.
226. Euroopa Inimõiguste Kohus on märkinud, et omadussõna „vajalik” EIÕK artikli 8 lõike 2 tähenduses eeldab, et tegemist on „ülekaaluka sotsiaalse vajadusega” ning et võetud meede on „proportsionaalne taotletava õiguspärase eesmärgiga”(102). Peale selle „on siseriiklikele ametiasutustele jäetud kaalutlusruum, mille ulatus ei sõltu mitte üksnes sekkumise eesmärgist, vaid ka selle iseloomust”(103).
227. Riikidele jäetud kaalutlusõiguse kontrolli raames kontrollib Euroopa Inimõiguste Kohus tavaliselt, kas sekkumise õigustamiseks esitatud põhjendused on asjassepuutuvad ja piisavad; seejärel, kas sekkumine on taotletava õiguspärase eesmärgiga proportsionaalne, ning vaatab siis järele, et avalik huvi oleks üksikisiku huvidega tasakaalus.(104) Viidatud kohtupraktikast juhindudes võidi nii täheldada, et „[p]roportsionaalsuse põhimõte, mis väljendab õiguspärase eesmärgi ja selle saavutamiseks kasutatavate vahendite sobivuse nõuet, on seega riigi kaalutlusõiguse kontrollimise keskmes”(105).
228. Proportsionaalsuse kontrollimine Euroopa Inimõiguste Kohtu poolt varieerub sõltuvalt sellistest näitajatest nagu kõnesoleva õiguse ja tegevuse olemus, sekkumise eesmärk ja riikide õigussüsteemide võimaliku ühisnimetaja olemasolu.
229. Mis puudutab kõnealuse õiguse ja tegevuse olemust, siis kuna tegemist on sellise üksikisiku eraelusfääri lähedalt puudutava õigusega nagu õigus tervist puudutavate isikuandmete salastatusele,(106) siis näib Euroopa Inimõiguste Kohus olevat seisukohal, et riigi kaalutlusõigus on piiratud ja et temapoolne kohtulik kontroll peab olema rangem.(107)
230. Kui aga sekkumise eesmärk on riigi julgeoleku tagamine(108) või terrorismivastane võitlus,(109) kaldub Euroopa Inimõiguste Kohus toetama riikide laiaulatuslikku kaalutlusõigust.
231. Terrorismivastase võitluse, mis näib PNR-korras esmatähtis, eesmärgi olemust ja olulisust silmas pidades ja arvestades Euroopa ühenduse ja Ühendriikide läbirääkimiste poliitiliselt delikaatset konteksti, leian ma, et käesolevas kohtuasjas peaks Euroopa Kohus arvestama, et nõukogul ja komisjonil on Ühendriikide ametiasutustega PNR-korra sisu osas läbirääkimiseks ulatuslik kaalutlusruum. Siit järeldub, et sellise ulatusliku kaalutlusõiguse respekteerimise huvides peaks Euroopa Kohtu poolt sekkumise vajalikkuse osas teostatav kontroll piirduma minu arvates sellega, et kontrollitakse, ega kõnealused kaks institutsiooni ei ole teinud ilmselget kaalutlusviga.(110) Sel moel, st piiratud kontrolli teostamisega väldib Euroopa Kohus ohtu, et hindab ühenduse poliitiliste ametiasutuste asemel ise, millised on terrorismi ja muude raskete kuritegude vastase võitluse jaoks kõige sobivamad ja õigemad vahendid.
232. Euroopa Kohus võiks omapoolse kontrolli ulatuse kindlaksmääramiseks lisaks eespool viidatud Euroopa Inimõiguste Kohtu praktikale tugineda omaenda kohtupraktikale, milles ta on väljendanud seisukohta, et kui ühenduse institutsioonil on mingis konkreetses valdkonnas ulatuslik kaalutlusõigus, võib „[…] selles valdkonnas rakendatud meedet pidada ebaseaduslikuks ainult siis, kui see on pädeva institutsiooni taotletava eesmärgi saavutamiseks ilmselgelt sobimatu”(111). Sellise proportsionaalsuse kontrolli piiramine „on eriti oluline” juhul, kui „nõukogu peab tegutsema erinevate huvide lepitajana ja peab seega tegema valikuid tema vastutusalasse kuuluvate poliitiliste valikuvõimaluste raames”(112). Kontrolli piiramist võib õigustada ka asjaolu, et ühenduse institutsioonil tuleb mõnes tegevusvaldkonnas anda keerukaid hinnanguid.(113)
233. Mulle näib, et käesolevas kohtuasjas tuleb kohaldada seda kohtupraktikat ja selle põhjendusi, kuivõrd PNR-korra väljatöötamisel tuli nõukogul ja komisjonil teha poliitilisi valikuid erinevate raskesti ühildatavate huvide vahel ja anda keerukaid hinnanguid.(114) See oleks kooskõlas võimude lahususe põhimõttega, mis nõuab, et Euroopa Kohus peab järgima ühenduse õigus- ja haldusorganitele omistatud poliitilist vastutust ja niisiis mitte asuma viimati nimetatute asemele nende ülesandeks olevate poliitiliste valikute tegemisel.
234. Seega tulekski nüüd täpsemalt kontrollida, kas nõukogu ja komisjon, arvestades taotletavat õiguspärast eesmärki, ületasid erinevate PNR-korda moodustavate aktide vastuvõtmisel ilmselgelt neile kuuluva kaalutlusõiguse piire, mis seonduvad eraelu puutumatusega ja konkreetsemalt lennureisijate õigusega isikuandmete kaitse osas.
235. Uurimise jaoks on erilise tähtsusega CBP kohustuste sisu, kuna selles on üksikasjalikult ära toodud PNR-korras antavad tagatised. Märgin sellega seoses, et minu arvates oleks ekslik arvata, et kõnealused kohustused ei ole siduvad ja sisaldavad kohustusi, mida Ühendriikide ametiasutused võivad vabalt muuta või tagasi võtta.
236. Nimelt on kohustused – meenutan, et need on esitatud piisava kaitse otsuse lisas – üks PNR-korra element ja nende eiramine pärsiks seega kogu korda. Rõhutan sellega seoses, et lepingu punktid 1 ja 2 seavad lennuettevõtjatele kehtestatud PNR-andmete töötlemise kohustuse tingimuseks piisava kaitse otsuse range kohaldamise, kusjuures see kohustus kehtib vaid „nii kaua, kuni otsus on kohaldatav”. Lisaks kinnitab CBP lepingu punkti 3 kohaselt, „et ta võtab otsust arvesse ja teatab, et ta kohaldab sellele lisatud kohustusi”. Lõpuks määratletakse piisava kaitse otsuse artiklites 3, 4 ja 5 kohustustes sisalduvate kaitsenõuete täitmata jätmise korral võetavad meetmed. Nende meetmete hulgas on ette nähtud, et liikmesriikide pädevad ametiasutused võivad CBP-le andmete edastamise peatada, ja et juhul kui ei täideta peamisi põhimõtteid, mis on vajalikud nende isikute piisavaks kaitseks, keda puudutavate andmetega on tegemist, võidakse piisava kaitse otsus peatada või kehtetuks tunnistada, ning sel juhul ei ole lepingu punktid 1 ja 2 enam kohaldatavad.
237. Euroopa Parlament, soovides Euroopa Kohult kinnitust, et reisijate eraellu sekkumine ei vasta proportsionaalsuse põhimõttele, viitab esiteks asjaolule, et CBP nõuab lennuettevõtjatelt liiga palju andmeid. Pealegi leiab ta, et mõned nõutavatest PNR-andmeelementidest võivad sisaldada delikaatseid andmeid.
238. Ma leian, et kinnitades piisava kaitse otsuse lisas esitatud isikuandmete 34 elemendi loetelu, ei võtnud komisjon seeläbi vastu meedet, mis oleks terrorismi ja muude raskete kuritegude vastu võitlemise eesmärgi saavutamiseks ilmselgelt ebasobiv. Ühelt poolt tuleks rõhutada teavitustegevuse tähtsust terrorismivastases võitluses, kuna piisava teabe saamine võib lubada riigi julgeolekuteenistustel võimalikku terrorismirünnakut ära hoida. Sellest vaatepunktist lähtudes võib juurdepääs arvukatele andmetele olla vajalik potentsiaalsete terroristide isikuprofiilide koostamise jaoks. Teiselt poolt ei ole asjaolu, et muud Euroopa Liidus vastu võetud teabevahetusalased õigusaktid näevad ette väiksema hulga andmete edastamise, piisav tõestamaks, et PNR-korras kui konkreetses terrorismivastase võitluse õigusaktis nõutakse liiga palju andmeid.(115)
239. Peale selle, kuigi on õige märkida – nagu parlament seda teeb –, et kolm nõutavat andmeelementi võivad sisaldada delikaatseid andmeid.(116) täheldan, et esiteks on CBP juurdepääs nendele kolmele elemendile kohustuste punkti 5 alusel rangelt piiratud, ja teiseks on nimetatud kohustuste punktide 9–11 alusel delikaatsete andmete kasutamine CBP poolt välistatud, ning pealegi on CBP võetud kohustuste alusel seadnud sisse nende andmete filtreerimise süsteemi.(117)
240. Teiseks on parlament seisukohal, et taotletavat eesmärki arvestades säilitavad Ühendriikide ametiasutused lennureisijate PNR-andmeid liiga kaua.
241. Kõnealuste andmete säilitamise aeg on nimetatud kohustuste punktis 15, mis näeb sisuliselt ette sidusjuurdepääsu andmetele üksnes volitatud CBP kasutajatele esialgu kuni seitsmeks päevaks. Selle aja möödumisel on kolme aasta ja kuue kuu jooksul võimalik andmetele juurde pääseda väiksemal arvul volitatud ametnikel. Teise perioodi lõpul hävitatakse andmed, mida ei ole selle ajavahemiku jooksul manuaalselt kasutatud, samas kui andmed, mida on kolme ja poole aastase ajavahemiku jooksul manuaalselt kasutatud, teisaldab CBP kustutatud andmete faili, kuhu need jäävad kaheksaks aastaks, enne kui need hävitatakse.(118)
242. Sellest sättest tuleneb, et tavapärane PNR-registri andmete säilitamise aeg on kolm ja pool aastat, välja arvatud selle perioodi vältel manuaalselt kasutatud andmete puhul. Ma leian, et see kestus ei ole ilmselgelt liiga pikk, arvestades eelkõige asjaolu – nagu märgib nõukogu – et terrorismirünnakute või muude tõsiste kuritegude järgel teostatavad juurdlused kestavad vahel aastaid. Samuti, kui põhimõtteliselt on soovitav, et isikuandmeid säilitataks lühikest aega, tuleb käesolevas kohtuasjas PNR-registritest pärinevate andmete säilitamise aega vaadelda nende otstarbe – mitte üksnes terrorismi ärahoidmise, vaid laiemalt õiguskaitse – seisukohast.
243. Neid kaalutlusi arvestades ei ole kohustuste punktis 15 sätestatud andmesäilituskorra näol minu meelest tegemist eraelu puutumatuse õiguse ilmselge eiramisega.
244. Kolmandaks toob parlament seonduvalt PNR-korraga välja asjaolu, et selles ei ole Ühendriikide ametiasutuste poolt läbiviidava isikuandmete töötlemise osas ette nähtud kohtulikku kontrolli.
245. Märgin, et nii konventsioon nr 108 kui ka direktiiv 95/46 näevad ette õiguskaitsevahendid juhtudeks, mil rikutakse nendes kahes õigusaktis sisalduvate eeskirjade rakendamiseks võetud siseriiklikke õigusakte.(119)
246. EIÕK artikli 8 lõike 2 osas olen ma arvamusel, et kohustuste punktis 36 jj määratletud eeskirjad, mis näevad ette rida tagatisi teavitamise, andmetele juurdepääsu ja asjaomaste lennureisijate õiguskaitsevahendite osas, lubavad vältida võimalikku kuritarvitamist. Need tagatised kokku panevad mind arvama, et arvestades ulatuslikku kaalutlusõigust, mille olemasolu nõukogul ja komisjonil tuleb minu arvates antud juhul tunnistada, on lennureisijate eraellu sekkumine PNR-korraga taotletava õiguspärase eesmärgiga proportsionaalne.
247. Täpsemalt tuleb märkida, et lisaks üldisele teabele, mida CBP kohustub lennureisijatele andma,(120) näeb kohustuste punkt 37 ette, et andmesubjektid võivad vastavalt teabevabaduse seadusele(121) saada koopia PNR-andmetest, mis on nende kohta CBP andmebaasides.(122)
248. Tõsi on, et kohustuste punktis 38 nähakse ette CBP õigus „[t]eatavatel eriasjaoludel” keelduda kõigi (või osa) PNR-andmete avaldamisest või avaldamine edasi lükata näiteks juhul, kui selline avaldamine „võib segada täitemehhanisme” või kui „avaldamine tooks kaasa uurimistoimingute tehnikate ja menetluste teatavaks saamise”. Ometigi, lisaks sellele, et see õigus, mida CBP võib kasutada, on seadusega reguleeritud, tuleb märkida, et kohustuste sama punkti kohaselt on teabevabaduse seaduse alusel „igal taotlejal õigus halduskorras või kohtulikult vaidlustada CBP otsus teavet mitte avaldada”(123).
249. Peale selle täpsustatakse kohustuste punktis 40 CBP andmebaasis sisalduvate PNR-andmete parandamise taotluste ja üksikisikute kaebuste kohta seoses nende PNR-andmete töötlemisega viimase poolt, et need tuleb saata CBP „Assistant Commissioner”ile.(124)
250. Kui CBP ei saa kaebust lahendada, tuleb see suunata „sisejulgeoleku ministeeriumi eraelu kaitse ameti juhatajale” (Chief Privacy Officer)(125).
251. Peale selle on kohustuste punktis 42 ette nähtud, et „sisejulgeoleku ministeeriumi eraelu kaitse amet [käsitleb] kiirkorras kaebusi, mille talle on saatnud Euroopa Liidu (EL) liikmesriikide andmekaitseasutused EL-i elanike nimel ulatuses, milles asjaomane elanik on lubanud andmekaitseasutusel tema nimel tegutseda ning usub, et tema andmekaitsekaebust seoses PNR-andmetega ei ole CBP või eraelu kaitse amet vastavalt käesolevate kohustuste punktides 37–41 sätestatule rahuldavalt käsitlenud”.
252. Ühtlasi näeb punkt 42 ette, et nimetatud amet „teatab oma otsused ning laseb asjaomasel andmekaitseasutusel või asjaomastel andmekaitseasutustel võtta meetmeid”, ja et eraelu kaitse ameti juhataja „lisab oma aruandesse USA Kongressile andmed isikuandmete nagu PNR käsitlemise kaebuse numbri, sisu ja otsuse kohta”(126).
253. Parlament märgib õigesti, et eraelu kaitse ameti juhataja (Chief Privacy Officer) ei ole kohtuorgan. Märgin siiski, et tegemist on haldusorganiga, mis on sisejulgeolekuministeeriumist teatud määral sõltumatu ja kelle otsused on kohustuslikud.(127)
254. Niisiis, lennureisijatele selliselt antud võimalus esitada kaebusi eraelu kaitse ameti juhatajale ja kasutada FOIA-s ette nähtud õiguskaitsevahendeid kujutavad endast olulisi tagatisi osas, mis puudutab nende õigust eraelu puutumatusele. Nende tagatiste olemasolu tõttu leian, et nõukogu ja komisjon ei ületanud piire, mis kehtisid nende kaalutlusõiguse suhtes PNR-korra vastuvõtmisel.
255. Lõpuks on parlament seisukohal, et PNR-kord läheb kaugemale terrorismi ja muude tõsiste kuritegude vastaseks võitluseks vajalikust, kuivõrd selles on lubatud lennureisijate andmeid edastada teistele riigiasutustele. Tema arvates on CBP-l kaalutlusõigus, mis puudutab PNR-andmete edastamist teistele riigiasutustele, sealhulgas välisriikide valitsusasutustele, ning see on vastuolus EIÕK artikli 8 lõikega 2.
256. Ma ei jaga seda arvamust. Minu meelest annavad ka siin need tagatised, mis on ette nähtud PNR-andmete teistele valitsusasutustele edastamise puhuks, alust arvata, et lennureisijate eraellu sekkumine on PNR-korraga taotletava eesmärgiga proportsionaalne.
257. Isegi kui kohustustes tunnistatakse CBP-le ulatuslikku kaalutlusõigust, märgin, et see õigus on piiratud. Nii esitatakse kohustuste punkti 29 alusel PNR-andmeid teistele valitsusasutustele, „sealhulgas välisriikide valitsusasutustele, millel on terrorismivastase võitluse või õiguskaitsefunktsioonid, üksnes iga juhtumi korral eraldi” ja põhimõtteliselt ainult „punktis 3 määratletud kuritegude ennetamise või nende vastu võitlemise eesmärgil”. CBP peab nimetatud kohustuste punkti 30 alusel kontrollima, kas andmete avaldamine määratud asutustele vastab nimetatud eesmärgile.
258. On tõsi, et kohustuste punktid 34 ja 35 laiendavad neid eesmärke, kuivõrd need lubavad vastavalt PNR-andmeid kasutada või avaldada asjaomastele valitsusasutustele, „kui selline avaldamine on vajalik andmesubjektide või muude isikute eluliste huvide kaitseks, eelkõige seoses oluliste terviseriskidega”, ning teiselt poolt PNR-andmete kasutamist või avaldamist „seoses kriminaalkohtumenetlusega või muudel seaduses sätestatud juhtudel”.
259. Sellegipoolest märgin, et lisaks sellele, et need eesmärgid on suures osas seotud PNR-korraga taotletava õiguspärase eesmärgiga, sisaldavad kohustused ka teatud arvu tagatisi. Nii näiteks sätestab kohustuste punkt 31, et „[s]elliste PNR-andmete levitamise reguleerimise eesmärgil, mida võib jagada teiste määratud asutustega, loetakse CBP andmete omanikuks ning kõnealused määratud asutused kohustuvad avaldamise selgesõnaliste tingimuste kohaselt” täitma rea kohustusi. Neid andmeid vastuvõtvatele asutustele kehtestatud kohustuste hulgas on nimelt kohustus „tagada saadud PNR-andmete nõuetekohane hävitamine kooskõlas määratud asutuse andmete säilitamise korraga” ja „hankida CBP kirjalik luba mis tahes edasiseks levitamiseks”.
260. Peale selle täpsustatakse kohustuste punktis 32, et „[i]ga CBP poolne PNR-andmete avaldamine toimub tingimusel, et vastuvõttev asutus käsitleb neid andmeid […] konfidentsiaalsete äriandmetena ning õiguskaitse puhul tundlike andmetena ja andmesubjekti konfidentsiaalsete isikuandmetena, mida tuleks lugeda teabevabaduse seaduse alusel avaldamisest vabastatuks […]”. Lisaks on samas punktis märgitud, et „vastuvõtvale asutusele [teatatakse], et sellise teabe edasine avaldamine on CBP eelneva kirjaliku loata keelatud”, ning viimati nimetatu ei luba pealegi „PNR-andmeid edasi saata muudel eesmärkidel kui […] punktides 29, 34 või 35 määratletud eesmärgid”. Lõpuks sätestab kohustuste punkt 33, et „[a]sjaomastes määratud asutustes töötavate isikute suhtes, kes ilma nõuetekohase loata avaldavad PNR-andmeid, võidakse kohaldada kriminaalsanktsioone”.
261. Kõiki neid tagatisi arvestades ei saa minu meelest öelda, et nõukogu ja komisjon on kuritarvitanud neile kuuluvat ulatuslikku kaalutlusõigust, mille olemasolu on minu arvates terrorismi ja muude raskete kuritegude vastase võitluse eesmärgil õigustatud.
262. Sellest lähtuvalt ei ole isikuandmete kaitse õiguse ja proportsionaalsuse põhimõtte rikkumisest tulenevad väited põhjendatud ning seega peab need tagasi lükkama.
D. Väide, et nõukogu otsus ei ole piisavalt põhjendatud
263. Parlament rõhutab, et nõukogu otsus ei vasta EÜ artiklist 253 tulenevale põhjendatuse nõudele. Ta heidab nimetatud otsusele nimelt ette, et see ei sisalda põhjendust selle kohta, kas ja mil määral on selle õigusakti eesmärk siseturu toimimine.
264. Seevastu nõukogu, keda toetavad Ühendkuningriik ja komisjon, leiab, et tema otsus on Euroopa Kohtu kehtestatud nõuetele vastavalt põhjendatud.
265. Arvan, et kuigi nõukogu otsuse põhjendus on esitatud kokkuvõtlikult, on see piisav.
266. Väljakujunenud kohtupraktikast tuleneb, et EÜ artikliga 253 nõutav põhjendus „peab vastama asjaomase akti olemusele, sellest peab selgelt ja üheselt selguma akti andnud institutsiooni arutluskäik, mis võimaldab huvitatud isikutel mõista võetud meetme põhjuseid ja pädeval kohtuasutusel teostada kontrolli”. Kõnealusest kohtupraktikast tuleneb lisaks, et „[e]i ole nõutud, et põhjendus täpsustaks kõiki asjakohaseid faktilisi ja õiguslikke asjaolusid, kuna otsuse põhjenduse vastavust EÜ artikli 253 nõuetele tuleb hinnata mitte ainult selle sõnastust, vaid ka konteksti ja asjaomase valdkonna õiguslikku regulatsiooni silmas pidades”(128).
267. Õigusakti olemuse suhtes tuleks meenutada, et tegemist on otsusega, mille põhieesmärk on kiita ühenduse nimel heaks ühenduse ja Ühendriikide vaheline leping. Kõnealune otsus sisaldab vajalikke täpsustusi, mis puudutavad järgitud menetlust, nimelt seda, et nõukogu on otsuse vastu võtnud EÜ artikli 300 lõike 2 esimeses lõigus sätestatud korras, ning märget selle kohta, et Euroopa Parlament ei esitanud arvamust tähtajaks, mille nõukogu oli EÜ artikli 300 lõike 3 esimese lõigu alusel määranud. Peale selle märgin ma, et nõukogu otsuse preambulis viidatakse EÜ artiklile 95.
268. Lisaks, arvestades kõnealuse otsuse eripära, st et seda on raske täielikult eristada rahvusvahelisest lepingust, mille kohta see on tehtud, tuleb piisava põhjendatuse kontrollimisel minu arvates arvestada ka lepingu enda preambulit. Nõukogu otsus ja lepingu preambul nende koostoimes võimaldavad – nagu näitab eespool esitatud väidete analüüs – Euroopa Kohtul eelkõige valitud õigusliku aluse õigsuse suhtes kontrolli teostada.
269. Seetõttu leian, et väide, et nõukogu otsus ei ole piisavalt põhjendatud, ei ole põhjendatud ja tuleb seega tagasi lükata.
E. Väide, mis tuleneb EÜ artiklis 10 sätestatud lojaalse koostöö põhimõtte rikkumisest
270. Euroopa Parlament väidab, et isegi kui EÜ artikli 300 lõike 3 esimene lõik võimaldab nõukogul määrata talle asja kiireloomulisusest tulenevalt arvamuse esitamiseks tähtaja, ja kuigi EÜ artikli 300 lõikes 6 sätestatud menetlusel Euroopa Kohtult eelneva arvamuse taotlemiseks ei ole peatavat mõju, on nõukogu lepingu vastuvõtmise menetluses eiranud talle EÜ artiklis 10 kehtestatud lojaalse koostöö kohustust.
271. Nõukogu, keda toetavad komisjon ja Ühendkuningriik, leiab omalt poolt, et lepingu sõlmimisega ei ole ta lojaalse koostöö põhimõtet rikkunud, kuigi Euroopa Parlament oli Euroopa Kohtult EÜ artikli 300 lõike 6 alusel taotlenud eelnevat arvamust.
272. EÜ artikkel 10 kehtestab ühenduse institutsioonide suhtes liikmesriikidele lojaalse koostöö kohustuse, kuid selles ei sätestata sõnaselgelt nimetatud institutsioonide vahelise lojaalse koostöö põhimõtet. Euroopa Kohus leiab siiski, et institutsioonidevahelise dialoogi raames, millel nimelt rajaneb nõuandemenetlus, on esmatähtsad samad vastastikused lojaalse koostöö kohustused, mis reguleerivad liikmesriikide ja ühenduse institutsioonide vahelisi suhteid”(129).
273. Käesoleva kohtuasja faktilistest asjaoludest nähtub, et komisjon edastas 17. märtsil 2004 parlamendile nõukogu otsuse ettepaneku ja et 25. märtsi 2004. aasta kirjaga palus nõukogu parlamendil esitada selle ettepaneku kohta arvamus hiljemalt 22. aprilliks 2004. Nõukogu rõhutab oma kirjas: „[t]errorismivastane võitlus, mis õigustab pakutud meetmeid, on Euroopa Liidu üks olulisi prioriteete. Hetkel on lennuettevõtjate ja reisijate olukord ebakindel ning seda tuleb viivitamatult parandada. Pealegi on oluline kaitsta asjassepuutuvate poolte finantshuve.”
274. 21. aprillil 2004 otsustas parlament EÜ artikli 300 lõike 6 alusel taotleda Euroopa Kohtult arvamust kavandatava lepingu asutamislepingu sätetega kokkusobivuse kohta.
275. Nõukogu saatis 28. aprillil 2004 EÜ artikli 300 lõike 3 esimesele lõigule tuginedes parlamendile kirja, milles palus tal esitada arvamus lepingu sõlmimist käsitleva otsuse ettepaneku kohta enne 5. maid 2004. Taotluse kiireloomulisuse põhjenduseks tõi nõukogu uuesti välja 25. märtsi 2004. aasta kirjas esitatud põhjused.
276. Parlament jättis selle kiireloomulise menetlemise palve rahuldamata ja parlamendi president kutsus pealegi nõukogu ja komisjoni üles oma kavatsusi mitte täide viima, kuni Euroopa Kohus esitab 21. aprillil 2004 taotletud arvamuse. Nõukogu võttis kõigele vaatamata vaidlustatud otsuse 17. mail 2004 vastu.
277. Ma ei arva, et nõukogu rikkus lojaalse koostöö kohustust parlamendi suhtes, võttes selle otsuse lepingu sõlmimise kohta ühenduse nimel vastu enne, kui oli lõppenud parlamendi poolt Euroopa Kohtule EÜ artikli 300 lõike 6 alusel esitatud arvamuse taotluse menetlus.
278. Nimelt, nagu parlament muide ise tunnistab, ei ole Euroopa Kohtule sellise arvamuse taotluse esitamise menetlusel peatavat mõju. Seega ei takista see nõukogul lepingu sõlmimise kohta otsust tegemast, kuigi kõnesolev menetlus on veel pooleli ja seda isegi siis, kui ajavahemik Euroopa Kohtule arvamuse taotluse esitamisest lepingu sõlmimise otsuse vastuvõtmiseni on nagu antud juhul suhteliselt lühike.
279. Sellega seoses tuleks märkida, et Euroopa Kohtule EÜ artikli 300 lõike 6 alusel esitatud arvamuse taotluse peatava mõju puudumist võib järeldada nii selle artikli sõnastusest, mis ei näe niisugust peatavat mõju sõnaselgelt ette, kui ka Euroopa Kohtu praktikast. Nimelt on Euroopa Kohus väljendanud arvamuses 3/94(130) seisukohta, et juhul kui leping, mille kohta arvamust taotleti ja mis oli Euroopa Kohtusse pöördumise ajal väljatöötamisel, on vahepeal sõlmitud, langeb sellise arvamuse taotluse ese ära ning Euroopa Kohus ei pea sellele taotlusele vastama. Euroopa Kohus täpsustas ühtlasi ühelt poolt seda, et EÜ artikli 300 lõikes 6 sätestatud menetlus „on mõeldud ennekõike […] ühendusele siduvate rahvusvaheliste lepingute asutamislepinguga kokkusobimatusest tulenevate raskuste vältimiseks ja mitte arvamuse taotluse esitanud liikmesriigi või ühenduse institutsiooni huvide ja õiguste kaitsmiseks”(131) [mitteametlik tõlge], ning teiselt poolt, et „[i]gal juhul on arvamuse taotluse esitanud riigil või ühenduse institutsioonil võimalus esitada lepingu sõlmimise kohta tehtud nõukogu otsuse tühistamist taotlev hagi […]”(132).
280. Pealegi nähtub nii kohtutoimiku dokumentidest kui ka nõukogu otsuse teisest põhjendusest, et otsuses on piisavalt põhjendatud kiireloomulisust, millele viidati seonduvalt sellega, et Euroopa Parlamendilt sooviti vastavalt EÜ artikli 300 lõike 3 esimesele lõigule arvamust sedavõrd lühikese tähtaja jooksul. Märgin lõpetuseks, et nimetatud artikkel sätestab sõnaselgelt, et „[k]ui selle tähtaja jooksul arvamust ei ole esitatud, võib nõukogu teha otsuse”.
281. Kõike öeldut arvestades leian, et nõukogu lojaalse koostöö kohustuste rikkumisest tulenev väide ei ole põhjendatud ja tuleb seega tagasi lükata.
VII. Kohtukulud
282. Kohtuasjas C‑318/04 tähendab Euroopa Parlamendi esitatud hagi põhjendatus seda, et Euroopa Kohtu kodukorra artikli 69 lõike 2 sätete kohaselt mõistetakse kohtukulud välja komisjonilt. Kodukorra artikli 69 lõike 4 kohaselt kannavad menetlusse astujad, st Ühendkuningriik ja CEPD, ise oma kohtukulud.
283. Kohtuasjas C‑317/04 tähendab Euroopa Parlamendi esitatud hagi põhjendatus seda, et Euroopa Kohtu kodukorra artikli 69 lõike 2 sätete kohaselt mõistetakse kohtukulud välja nõukogult. Kodukorra artikli 69 lõike 4 kohaselt kannavad menetlusse astujad, st Ühendkuningriik, komisjon ja CEPD, ise oma kohtukulud.
VIII. Ettepanek
284. Esitatud põhjendustest lähtuvalt teen Euroopa Kohtule ettepaneku:
– kohtuasjas C‑318/04 tühistada komisjoni 14. mai 2004. aasta otsus 2004/535/EÜ Ameerika Ühendriikide Tolli- ja Piirivalveametile edastatavates reisijaregistrites sisalduvate lennureisijate isikuandmete piisava kaitse kohta;
– kohtuasjas C‑317/04 tühistada nõukogu 17. mai 2004. aasta otsus 2004/496/EÜ, mis käsitleb Euroopa Ühenduse ja Ameerika Ühendriikide vahelise lepingu sõlmimist lennuettevõtjate poolt reisijate isikuandmete töötlemise ja edastamise kohta Ameerika Ühendriikide Sisejulgeolekuministeeriumi Tolli- ja Piirivalvebüroole.