KOHTUJURISTI ETTEPANEK
PAOLO MENGOZZI
esitatud 13. juunil 2013(1)
Kohtuasi C‑291/12
Michael Schwarz
versus
Stadt Bochum
(eelotsusetaotlus, mille on esitanud Verwaltungsgericht Gelsenkirchen (Saksamaa))
Vabadusel, turvalisusel ja õigusel rajanev ala – Liikmesriikide poolt väljastatud passide ja reisidokumentide turvaelementide ja biomeetria standardid – Määruse (EÜ) nr 2252/2004 artikli 1 lõige 2, muudetud määrusega (EÜ) nr 444/2009 – Õigus isikuandmete kaitsele
Sisukord
I. Sissejuhatus
II. Õiguslik raamistik
A. Liidu õigus
B. Saksa õigus
III. Põhikohtuasi ja eelotsuse küsimus
IV. Menetlus Euroopa Kohtus
V. Õiguslik analüüs
A. Väidetav õigusliku aluse ebapiisavus
1. Määruse nr 2252/2004 (muudetud redaktsioonis) sisu ja eesmärk
2. EÜ artikli 62 punkti 2 alapunkti a sobivus määruse nr 2252/2004 (muudetud kujul) õiguslikuks aluseks
B. Parlamendiga konsulteerimise kohustuse väidetav rikkumine
C. Isikuandmete kaitse põhiõiguse väidetav rikkumine
1. Sissejuhatavad märkused põhiõiguste koha kohta määruse nr 2252/2004 (muudetud redaktsioonis) kontekstis
2. Määruse nr 2252/2004 artikli 1 lõikes 2 (muudetud redaktsioonis) sisalduv kohustus kujutab endast isikuandmete kaitse põhiõiguse riivet, mis on seadusega ette nähtud ja taotleb liidu poolt tunnustatud üldise huvi eesmärki
3. Riive proportsionaalsus
a) Piirang on sobiv liidu poolt tunnustatud üldise huvi eesmärgi taotlemiseks
b) Määruse nr 2252/2004 muudetud redaktsiooni artikli 1 lõige 2 on vajalik liidu poolt tunnustatud üldise huvi eesmärgi saavutamiseks
c) Lõppmärkused
VI. Ettepanek
I. Sissejuhatus
1. „Biomeetria kasutamine infosüsteemides ei ole kunagi kerge valik, eelkõige, kui kõnealune süsteem puudutab tohutut hulka üksikisikuid. Biomeetria […] muudab pöördumatult keha ja identiteedi vahelist suhet, muutes inimkeha tunnused „masinloetavateks” ning edasise kasutamise objektiks. Isegi kui biomeetrilised tunnused ei ole inimsilmale loetavad, saab neid alati asjakohaste vahenditega lugeda ja kasutada kõikjal, kuhu isik läheb.”
2. Sellel Euroopa andmekaitseinspektori hoiatusel(2) on eriline kõlapind praegusel juhul, kus Euroopa Kohtul palutakse otsustada, kas nõukogu 13. detsembri 2004. aasta määrusega (EÜ) nr 2252/2004 (liikmesriikide poolt väljastatud passide ja reisidokumentide turvaelementide ja biomeetria standardite kohta(3), muudetud Euroopa Parlamendi ja nõukogu 28. mai 2009. aasta määrusega (EÜ) nr 444/2009(4)) (edaspidi „määrus nr 2252/2004 muudetud redaktsioonis”) liikmesriikidele kehtestatud kohustus väljastada oma kodanikele passe üksnes tingimusel, et need kodanikud on kohustatud andma kaks oma sõrmejälge, mille kujutis salvestatakse passi endasse, on kehtiv, eelkõige arvestades põhiõigust isikuandmete kaitsele, nagu see on sätestatud Euroopa Liidu põhiõiguste hartas (edaspidi „harta”).
II. Õiguslik raamistik
A. Liidu õigus
3. Määruse nr 2252/2004 artikli 1 lõige 2 sätestas, et „[p]assidele ja reisidokumentidele lisatakse andmekandja, mis sisaldab näokujutist. Liikmesriigid lisavad samuti koostalitlusvõimelistes vormingutes sõrmejäljed. Andmed on turvatud ja andmekandja on piisava salvestusmahu ja ‑võimega, et tagada andmete terviklikkus, autentsus ja konfidentsiaalsus”.
4. Määruse nr 444/2009 artikkel 1 muutis määruse nr 2252/2004 artikli 1 lõiget 2, mis on nüüd sõnastatud järgmiselt:
„Passidele ja reisidokumentidele lisatakse äärmiselt turvaline andmekandja, mis sisaldab näokujutist. Liikmesriigid lisavad samuti koostalitlusvõimelistes vormingutes otsevajutusega võetud kaks sõrmejälge. Andmed on turvatud ja andmekandja on piisava salvestusmahu ja ‑võimega, et tagada andmete terviklikkus, autentsus ja konfidentsiaalsus.”
B. Saksa õigus
5. 19. aprilli 1986. aasta Passgesetz’i (passiseadus) – mida on viimati muudetud 30. juuli 2009. aasta seadusega(5) – § 4 lõige 3 sätestab:
„Vastavalt nõukogu [määrusele nr 2252/2004] tuleb passile, teenistuspassile ja diplomaatilisele passile lisada elektrooniline andmekandja, millele salvestatakse foto, sõrmejäljed, nende sõrmede nimetus, millelt jäljed on võetud, andmed sõrmejälgede kvaliteedi kohta ning lõike 2 teises lauses nimetatud teave. Salvestatud andmeid turvatakse loata lugemise, muutmise ja kustutamise eest. Esimeses lauses nimetatud biomeetriliste andmete üleriigilist andmebaasi ei looda.”
III. Põhikohtuasi ja eelotsuse küsimus
6. Saksamaa kodanik M. Schwarz taotles Stadt Bochumi (Bochumi linn) pädevatelt talitustelt passi väljastamist, ent keeldus samas kohustuslikust sõrmejälgede andmisest. 8. novembril 2007 keeldusid kõnealused talitused 19. aprilli 1986. aasta passiseaduse (viimati muudetud 30. juuli 2009. aasta seadusega) § 4 lõikele 3 tuginedes selle dokumendi väljastamisest, leides, et passi ei saa väljastada ilma sõrmejälgede andmise kohustuse täitmiseta.
7. Selle otsuse järel esitas põhikohtuasja kaebaja kaebuse, nõudes, et eelotsusetaotluse esitanud kohus kohustaks Stadt Bochumi talle passi väljastama ilma sõrmejälgi võtmata. Selleks esitab ta eelkõige argumendi, et määruse nr 2252/2004 muudetud redaktsiooni artikli 1 lõige 2, millest tuleneb liikmesriikidele seatud kohustus võtta kaks sõrmejälge igalt isikult, kes soovib endale passi väljastamist, on kehtetu.
8. Jagades põhikohtuasja kaebaja kahtlusi, ei ole eelotsusetaotluse esitanud kohus kindel, kas EÜ artikli 62 punkti 2 alapunkt a on piisav õiguslik alus määruse nr 2252/2004 (muudetud redaktsioonis) artikli 1 lõike 2 vastuvõtmiseks. Lisaks tõstatab ta küsimuse, kas asjaolu, et Euroopa Parlamendiga ei konsulteeritud pärast seda, kui Euroopa Liidu Nõukogu muutis kohustuslikuks sõrmejälgede võtmise võimaluse, mis sisaldus algselt määruse eelnõus, kujutab endast menetlusnormide rikkumist, mis võib mõjutada kõnealuse artikli 1 kehtivust. Viimaks märgib eelotsusetaotluse esitanud kohus, et teine põhjus, mis võib muuta kõnealuse artikli kehtetuks, on asjaolu, et see rikub põhiõigust isikuandmete kaitsele, mis tuleneb 4. novembril 1950 Roomas alla kirjutatud Euroopa inimõiguste ja põhivabaduste kaitse konventsiooni (edaspidi „EIÕK”) artiklist 8 ja mida on kinnitatud harta artikliga 8.
9. Neil asjaoludel otsustaski Verwaltungsgericht Gelsenkirchen menetluse peatada ning esitada Euroopa Kohtule eelotsusetaotlusega, mis saabus Euroopa Kohtu kantseleisse 12. juunil 2012, ELTL artikli 267 alusel järgmise eelotsuse küsimuse:
„Kas määruse [nr 2252/2004] artikli 1 lõige 2 [mida on muudetud määrusega nr 444/2009] on kehtiv?”
IV. Menetlus Euroopa Kohtus
10. Põhikohtuasja kaebaja, Stadt Bochum, Saksamaa ja Poola valitsus, parlament, nõukogu ja Euroopa Komisjon esitasid Euroopa Kohtule kirjalikud seisukohad.
11. Kaebaja põhikohtuasjas, Saksamaa valitsus, parlament, nõukogu ja komisjon esitasid 13. märtsil 2013 toimunud kohtuistungil oma suulised seisukohad.
V. Õiguslik analüüs
12. Analüüsin järjestikku kolme esitatud kehtetuse põhjust, st õigusliku aluse ebapiisavust, menetlusnormide rikkumist määruse nr 2252/2004 (muudetud redaktsioonis) vastuvõtmisel ja väidetavat harta artikli 8 rikkumist.
A. Väidetav õigusliku aluse ebapiisavus
13. Määruse nr 2252/2004 nagu ka määruse nr 444/2009 õiguslik alus on EÜ artikli 62 punkti 2 alapunkt a, mille kohaselt „[v]astavalt artiklis 67 osutatud menetlusele võtab nõukogu […] 2) liikmesriikide välispiiride ületamisega seotud meetmed, millega kehtestatakse […] a) normid ja kord, mida liikmesriigid järgivad isikute kontrollimisel sellistel piiridel”.
14. Kaebaja põhikohtuasjas väidab, et üldiselt keelas EÜ artikli 18 lõige 3(6) institutsioonidel võtta vastu õigusnorme Euroopa kodanike passide kohta. Igal juhul ei saa tema väitel liidu kodanike passe käsitlevate õigusnormide alus põhjendatult olla nimetatud artikkel 62, sest mõiste „isikute kontrollimine välispiiridel” selle artikli tähenduses välistab meetmed, mis puudutavad ainuüksi liidu kodanikke. Peale selle ei kasutata liidu kodanikele väljastatud passe spetsiaalselt kontrollideks liidu välispiiridel. Viimaks, määruse nr 2252/2004 (muudetud redaktsioonis) artikli 1 lõikes 2 ette nähtud sõrmejälgede võtmise kohustus ei kuulu tema väitel EÜ artikli 62 punkti 2 alapunktis a kirjeldatud tegevusvälja, sest see kohustus ei kuulu mõiste alla „normid” ega „kord, mida liikmesriigid järgivad isikute kontrollimisel [välis]piiridel”.
15. Kohe tuleb kõrvale jätta argument EÜ artikli 18 lõike 3 kohta, mille mõju seisnes pelgalt selles, et see välistas passe puudutavate õigusnormide vastuvõtmise Euroopa kodakondsust käsitlevate aluslepingu sätete alusel, ja täpsemalt EÜ artikli 18 lõike 2 alusel. EÜ artikli 18 lõikest 3 ei tulenenud seevastu institutsioonidele üldist keeldu võtta vastu mis tahes õigusnorme passide kohta.
16. Etteheide, mis käsitleb ainult EÜ artikli 62 punkti 2 alapunkti a kasutamist õigusliku alusena, on tõsiseltvõetavam. Tõsi küll, Suurbritannia ja Põhja-Iirimaa Ühendkuningriik on Euroopa Kohtule juba varem esitanud tühistamishagi määruse nr 2252/2004 peale.(7) Selle hagi raames puudutas Euroopa Kohus õigusliku aluse küsimust põgusalt ja väga üldiselt.(8) Näib, et Euroopa Kohtul ei olnud mingit kahtlust selle kohta, et määrusel nr 2252/2004 oli õige õiguslik alus. Kuna aga see küsimus on käesoleva eelotsusetaotluse raames Euroopa Kohtule selgelt esitatud ja käsitleb määruse nr 2252/2004 (muudetud redaktsioonis) artikli 1 lõike 2 kehtivust, tasub seda käesoleva ettepaneku raames põhjalikumalt käsitleda.
17. Selleks aga, et kontrollida, kas EÜ artikli 62 punkti 2 alapunkt a sobib asjaomase õigusakti õiguslikuks aluseks, tuleb meenutada, et Euroopa Kohus on korduvalt kinnitanud, et Euroopa Liidu pädevuste süsteemi raames „peab õigusakti õigusliku aluse valik põhinema objektiivsetel asjaoludel, mis on kohtulikult kontrollitavad ning mille hulka kuuluvad eelkõige õigusakti eesmärk ja sisu”.(9) Selleks et kontrollida, kas EÜ artikli 62 punkti 2 alapunkt a on määruse nr 2252/2004 (muudetud redaktsioonis) piisav õiguslik alus, tuleb seega esiteks määrata kindlaks selle määruse eesmärk ja sisu, ning seejärel kontrollida, kas seda sisu ja seda eesmärki võis kohaselt määratleda niisugusel õiguslikul alusel vastu võetud määruse raames.
1. Määruse nr 2252/2004 (muudetud redaktsioonis) sisu ja eesmärk
18. Seatud eesmärgi osas nähtub määruse nr 2252/2004 pealkirjast endast, et selle määrusega soovitakse kehtestada liikmesriikide poolt väljastatud passide turvaelementide ja biomeetria standardid.
19. Biomeetriliste elementide, sealhulgas kahe sõrmejälje kasutuselevõtmine passides koos turvaelementide ühtlustamisega järgib eesmärki luua kindlam seos passi ja selle kasutaja vahel ning võidelda selle võltsimise ja kuritahtliku kasutamise vastu(10) – seda eesmärki peab Euroopa Kohus oma kohtupraktikas määruse nr 2252/2004 eesmärgiks.(11)
20. Peale selle on passide biomeetrilisi elemente käsitlevate standardite ühtlustamise eesmärk saavutada nende elementide osas liidus ühtne lähenemisviis, eelkõige võrreldes kolmandate riikide kodanikele väljastatud viisasid käsitlevate eeskirjadega,(12) et liidu kodanikele väljastatud passidel ei oleks „ebatäiuslikumaid turvaelemente kui need, mis on juba ette nähtud kolmandate riikide kodanike ühtse viisavormi ja ühtse elamisloavormi tehniliste tunnustega”.(13)
21. Viimaks on määruse nr 2252/2004 põhjenduses 9 nimetatud „ühtsete turvastandardite ja koostalitlusvõimeliste biomeetriliste tunnuste kasutuselevõtmise peamis[t] eesmär[k]i”, mille jaoks on liidu seadusandja sõnul vaja sätestada eeskirjad kõikidele liikmesriikidele, kes jõustavad 14. juuni 1985. aasta Schengeni lepingu rakendamise konventsiooni.(14) Seega on määruse nr 2252/2004 (muudetud redaktsioonis) eesmärk ka „lihtsustada piirikontrolli”(15) ühtsete turvastandardite ühtlustamise teel.
22. Olen arvamusel, et määruse nr 2252/2004 (muudetud redaktsioonis) peamist eesmärki saab mõista üksnes siis, kui paigutada see laiemasse konteksti, st süsteemi, mille raames see määrus vastu võeti, ning erilist tähelepanu tuleb pöörata selle seostele Schengeni lepinguga loodud süsteemiga. Määruse põhjendused 10–14 meenutavadki, et see määrus kujutab endast Schengeni acquis’ sätete edasiarendamist, mida Euroopa Kohus on muide juba kinnitanud(16). Just nimelt selle acquis’ raames kujundati täpselt välja Schengeni lepinguga loodud süsteemis osalevate liikmesriikide välispiiride integreeritud haldamise poliitika, ja täpsemalt välispiiride ületamist käsitlevad reeglid. Ühtlustades nende reisidokumentide sisu ja tehnilised tunnused, mis peavad olema liidu kodanike valduses välispiiride ületamisel, aitab eesmärk, mida seadusandja soovib saavutada määruse nr 2252/2004 (muudetud redaktsioonis) raames, ilmselgelt kaasa laiema eesmärgi, st kõnealuste piiride kindlustamise saavutamisele.
23. Sisu osas sisaldab määrus nr 2252/2004 (muudetud redaktsioonis), täielikus kooskõlas selle eesmärgiga, kolme liiki sätteid. Esiteks sätted, mis käsitlevad sõrmejälgede võtmise kohustust kui sellist, erandeid sellest kohustusest ja juhtumeid, kus sõrmejälgede võtmine on võimatu.(17) Teiseks on selles sätted, mis käsitlevad passides sisalduvaid andmeid puudutavat üldist korda.(18) Teised sätted ja kõnealuse määruse lisa on pühendatud puhttehnilistele küsimustele, mis käsitlevad minimaalseid turvastandardeid, mida liikmesriigid peavad täitma, kui nad passe väljastavad. Üritamata esitada ammendavat loetelu, piirdun siinkohal sellega, et nimetan tehnilisi spetsifikatsioone, mis käsitlevad andmekandjat, salvestamise liiki, andmete kogumise menetlust ennast, andmete turvamise eeskirju, trükkimistehnikat ning andmete lugemise ja säilitamine eeskirju.(19) Määrus nr 2252/2004 (muudetud redaktsioonis) viib seega „läbi liikmesriikide väljastatud passide […] minimaalsete turvastandardite ühtlustamise ja parandamise ning näeb nendes [passides] ette teatud hulga nende dokumentide kasutajat puudutavate biomeetriliste elementide kasutuselevõtu” (20).
2. EÜ artikli 62 punkti 2 alapunkti a sobivus määruse nr 2252/2004 (muudetud kujul) õiguslikuks aluseks
24. Kas eespool kirjeldatud elemente võis vastu võtta EÜ artikli 62 punkti 2 alapunkti a alusel? Ma arvan, et jah.
25. Esiteks, määrusega nr 2252/2004 (muudetud redaktsioonis) ühtlustatud elementide eesmärk on ühtsustada liikmesriikide poolt Euroopa kodanikele väljastatud passide sisu ja turvastandardeid. Vastupidi põhikohtuasja kaebaja seisukohale on ekslik väita, et EÜ artikli 62 punkti 2 alapunkt a saab õiguslikuks aluseks olla üksnes meetmetele, mis puudutavad kolmandate riikide kodanike kontrollimist välispiiridel. Kõnealuse artikli 62 sõnastuses ei ole niisugust piirangut, sest selles on käsitletud pelgalt „isikute kontrollimis[t]”. Peale selle nähtub Schengeni acquis’st selgelt, et ka liidu kodanikud läbivad liidu välispiiride ületamisel minimaalse kontrolli.(21) See kontroll, nagu ka üldisemalt välispiiride osas tagatiste tõhustamine, peab kaasnema kontrolli puudumisega liidu sisepiiridel ning samal ajal on see eeltingimus liidu territooriumil liikumise vabaduse täielikule kasutamisele. Määrus nr 2252/2004 (muudetud redaktsioonis) puudutab seega tõepoolest „isikute kontrollimist [välis]piiridel” EÜ artikli 62 punkti 2 alapunkti a tähenduses.(22)
26. Teiseks kohustab kõnealune määrus liikmesriike väljastama passe, mille sisu ja tehnilised tunnused on ühtlustatud. Nõnda kindlustab liidu seadusandja, et liidu kodanike kontrollimine välispiiridel toimub ühel ja samal alusel ning et siseriiklikud ametiasutused kontrollivad kõnealuste kodanike isikusamasust erinevates piiripunktides samade andmete alusel. Järelikult aitas see määrus muuta kõnealuste piiride haldamise poliitikat veelgi integreeritumaks.(23) Asjaolu, et liidu piiripolitsei käsutusse antakse liidu kodanike passide kontrollimisel ühtne turvatud andmete kogum, tugevdab kontrollimise julgeolekutaset ning hõlbustab seda kontrollimist.
27. Tõsi küll, sõrmejälgede võtmise kohustuse tulemus on toiming, mis viiakse läbi enne kontrollimist ennast. Sellegipoolest mõjutab see ilmselgelt kontrolli kui niisuguse teostamist. Seega tundub mulle pisut kunstlik väita, et sätteid, mis käsitlevad passides sisalduvaid andmeid, mida tuleb liidu välispiiride ületamisel kontrollida, ei saa vastu võtta sellisel õiguslikul alusel, mida kasutatakse kontrollimise enese jaoks. Käsitades mõistlikult EÜ artikli 62 punkti 2 alapunkti a sisu ja tõlgendamist, tuleb nentida, et kahe sõrmejälje võtmise kohustus määruse nr 2252/2004 (muudetud redaktsioonis) artikli 1 lõikes 2 ette nähtud tingimustel kuulub mõiste alla „normid ja kord, mida liikmesriigid järgivad isikute kontrollimisel sellistel piiridel”, kuna see kohustus kujutab endast eeldust, mis on lahutamatu liidu kodanike kontrollimisest välispiiridel.
28. Kõikidel eespool esitatud põhjustel leian, et EÜ artikli 62 punkti 2 alapunkt a on sobiv õiguslik alus määruse nr 2252/2004 (muudetud redaktsioonis) vastuvõtmiseks.
B. Parlamendiga konsulteerimise kohustuse väidetav rikkumine
29. Nõukogu pidi meetmed, mille õiguslik alus on EÜ artikli 62 punkti 2 alapunkt a, vastu võtma vastavalt EÜ artiklis 67 ette nähtud menetlusele. Kuupäeval, mil määrus nr 2252/2004 vastu võeti, tuli kõnealuse menetluse kohaselt konsulteerida parlamendiga.(24) Põhikohtuasja kaebaja väidab, et seda menetlust ei järgitud, kuna parlamendiga konsulteeriti määruse ettepaneku osas, mis nägi liikmesriikidele ette pelgalt sõrmejälgede võtmise võimaluse, samas kui see võimalus muudeti lõplikus eelnõus kohustuseks, ilma et parlament oleks saanud selle kohta oma seisukohta esitada.
30. Tuleb kohe märkida, et põhikohtuasja kaebaja väidetud menetlusnormide rikkumine puudutab menetlust, mille tulemusena võeti vastu määruse nr 2252/2004 artikli 1 lõige 2. Eelotsusetaotluse esitanud kohtu tõstatatud kehtivuse küsimus käsitleb aga selgelt määruse nr 2252/2004 artikli 1 lõike 2 muudetud redaktsiooni kehtivust.(25) Vaidlust ei ole selles, et see võeti vastu vastavalt EÜ artikli 67 lõikes 2 antud võimalusele EÜ artiklis 251 sätestatud menetlust, st kaasotsustamismenetlust järgides. Põhikohtuasja kaebaja väidetud menetlusnormide rikkumine ei saa seega mõjutada määruse nr 2252/2004 artikli 1 lõike 2 muudetud redaktsiooni kehtivust.
31. Sellele vaatamata ja selleks, et lõpetada selles küsimuses igasugune vaidlus, soovin siiski esitada kiiresti mõned märkused, et näidata, et määruse nr 2252/2004 artikli 1 lõike 2 – seega selle algse redaktsiooni – puhul ei rikutud samuti menetlusnormi.
32. Esiteks nähtub Euroopa Kohtu väljakujunenud praktikast, et „kohustus konsulteerida seadusandliku menetluse raames asutamislepinguga ette nähtud juhtudel Euroopa Parlamendiga eeldab uut konsulteerimist iga kord, kui lõplikult vastu võetud tekst erineb tervikuna vaadeldes oma olemuselt sellest tekstist, mille suhtes on parlamendiga juba konsulteeritud”.(26) Kuigi on tõsi, et komisjoni esitatud nõukogu määruse ettepanek nägi liikmesriikidele ette üksnes võimaluse lisada passidesse kantava teabe hulka sõrmejäljed(27) ja see võimalus muudeti määruse lõplikus redaktsioonis kohustuseks, ei saa niisugune muutus kujutada endast olulist muutust Euroopa Kohtu praktika tähenduses, mille puhul oleks vaja uuesti parlamendiga konsulteerida. Küsimus, kas sõrmejälgede võtmine oli vabatahtlik või kohustuslik, ei olnud põhiline küsimus, sest parlament pidi igal juhul võtma arvesse võimalust, et kõik liikmesriigid võivad otsustada seda võimalust kasutada.
33. Teiseks nähtub Euroopa Kohtule esitatud kronoloogilistest andmetest, et määruse ettepanek saadeti parlamendile 25. veebruaril 2004. Poliitiline kokkulepe nõukogus muuta sõrmejälgede võtmise võimalus kohustuseks tehti 26. oktoobril 2004. Nõukogu saatis 24. novembril 2004 parlamendile uue dokumendi koos infolehega. Parlament esitas oma arvamuse(28) 2. detsembril 2004, st – tõsi küll – vähe aega pärast eelnimetatud teabe saatmist, kuid selle arvamuse alustes tehtud viide nõukogu uuele käsitusele näitab, et arvamuse esitamise ajal oli parlament täielikult informeeritud sellest nõukogu lähenemisviisi muutusest, mille kohta parlament ei väljendanud mingisugust reaktsiooni. Lisaks ei kaevanud parlament konsulteerimiskohustuse rikkumise üle ega vaidlustanud kohtuistungil täpsustusi, mis esitati konsulteerimismenetluse toimumise kohta seoses määrusega nr 2252/2004.
34. Neil põhjustel, ja kuigi olen endiselt veendunud, et määruse nr 2252/2004 artikli 1 lõike 2 vastuvõtmise menetluse õiguspärasuse küsimus ei ole põhikohtuasjas asjakohane, tuleb järeldada, et asjaolust, et parlamendiga ei konsulteeritud uuesti pärast passidesse kandmise jaoks sõrmejälgede võtmise võimaluse muutmist kohustuseks, ei tulene, et selle vastuvõtmise käigus rikuti menetlusnorme.
C. Isikuandmete kaitse põhiõiguse väidetav rikkumine
35. Kuna eelotsusetaotluses on piirdutud märkimisega, et määruse nr 2252/2004 artikli 1 lõige 2 (muudetud redaktsioonis) on vastuolus ka „õigusega vabalt riiki siseneda ja riigist lahkuda, kodaniku- ja poliitiliste õiguste rahvusvahelise pakti artikliga 17 ning mitmesuguste võrdse kohtlemise põhimõtete ja diskrimineerimiskeeldudega”, esitamata põhjuseid, miks nimetatud artikli kehtivust tuleks analüüsida nende vabaduste ja põhimõtete seisukohast, ning tegemata isegi kindlaks, kas need on niisuguse kontrolli raames asjakohased, ja kuna Euroopa Kohtu menetluses osalevad huvitatud pooled, sealhulgas põhikohtuasja kaebaja, keskendusid oma seisukohtades isikuandmete kaitse põhiõiguse rikkumisele, on alljärgnevas arutluskäigus määruse nr 2252/2004 artikli 1 lõike 2 (muudetud redaktsioonis) kehtivust analüüsitud üksnes selle põhiõiguse seisukohast.
36. Harta artikli 8 lõike 1 kohaselt on igaühel „õigus oma isikuandmete kaitsele”. Sõrmejäljed on aga ilmselgelt isikuandmed.(29) Täpsemalt näeb nimetatud artikli lõige 2 ette, et „[s]elliseid andmeid tuleb töödelda asjakohaselt ning kindlaksmääratud eesmärkidel ja asjaomase isiku nõusolekul või muul seaduses ettenähtud õiguslikul alusel. Igaühel on õigus tutvuda tema kohta kogutud andmetega ja nõuda nende parandamist.”
37. Selle õiguse mis tahes viisil piiramine peab vastama harta artikli 52 lõike 1 nõuetele. Seega peab see olema seadusega ette nähtud, arvestama asjaomase õiguse olemust ja proportsionaalsuse põhimõtet, st olema vajalik ning vastama tegelikult liidu poolt tunnustatud üldist huvi pakkuvatele eesmärkidele või vajadusele kaitsta teiste isikute õigusi ja vabadusi.
38. Enne konkreetset kontrollimist, kas määruse nr 2252/2004 artikli 1 lõige 2 (muudetud redaktsioonis) on harta artiklit 8 arvestades kehtiv, soovin meenutada, et põhiõiguste küsimus ei ole kõnealusele määrusele mitte sugugi võõras. Seejärel tõendan, et isikuandmete kaitse põhiõiguse riivamine, mida kujutab endast kohustus koguda ja salvestada lugemise eesmärgil kahe sõrmejälje kujutis, on seadusega ette nähtud ja taotleb liidu poolt tunnustatud üldist huvi pakkuvat eesmärki. Viimaks esitan oma seisukoha selle rikkumise proportsionaalsuse kohta.
1. Sissejuhatavad märkused põhiõiguste koha kohta määruse nr 2252/2004 (muudetud redaktsioonis) kontekstis
39. Sissejuhatuseks tuleb märkida, et nagu meenutab määruse nr 2252/2004 põhjendus 8, kohaldatakse passide väljastamisega seoses töödeldavate andmete kaitse suhtes direktiivi 95/46. See direktiiv, mida on nimetatud harta artiklit 8 käsitlevates selgitustes, kehtestab hulga aluspõhimõtteid, mille on lisaks samuti ette näinud Euroopa Inimõiguste Kohus,(30) nagu nii andmete õiglane ja seaduslik töötlemine kui ka sobivate ja asjakohaste andmete kogumine täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel, kusjuures need andmed ei ületa ette nähtud otstarbe piire, on täpsed, ajakohastatud ning neid ei säilitata jäädavalt. Kõnealune direktiiv kehtestab ka põhimõtte, et andmesubjektilt tuleb saada nõusolek tema andmete töötlemiseks, nähes samas ette rea erandeid, nagu üldiste huvidega seotud ülesande täitmine, avaliku võimu teostamine või õigustatud huvide elluviimine.(31) Teise olulise asjaoluna kehtestab see direktiiv, et andmesubjektidel, keda isikuandmete töötlemine puudutab, on õigus tutvuda terve hulga teabega,(32) õigus esitada teatud tingimustel vastuväiteid(33) ning õigus õiguskaitsevahenditele(34).
40. Määruse nr 2252/2004 artikkel 1a, mis lisati määrusega nr 444/2009, näeb pealegi sõnaselgelt ette, et biomeetriliste tunnuste kogumise siseriiklikud menetlused peavad olema kooskõlas „[EIÕK‑s] ning ÜRO lapse õiguste konventsioonis sätestatud tagatistega”, ning nõuab, et need menetlused tagaksid asjaomaste isikute inimväärikuse juhul, kui andmete registreerimisega on raskusi.
41. Määruse nr 2252/2004 muudetud redaktsiooniga antud tagatisi tuleb seega käsitada koostoimes direktiivis 95/46 antud tagatistega ja selles määruses sisalduvate viidetega EIÕK‑le ja inimväärikusele. Kõnealuse määruse artikli 1 lõike 2 kehtivuse kontrollimisel tuleb seega tingimata silmas pidada neid põhitegureid.
2. Määruse nr 2252/2004 artikli 1 lõikes 2 (muudetud redaktsioonis) sisalduv kohustus kujutab endast isikuandmete kaitse põhiõiguse riivet, mis on seadusega ette nähtud ja taotleb liidu poolt tunnustatud üldise huvi eesmärki
42. Ühelt poolt riivavad asjaolu, et pädevad siseriiklikud ametiasutused võtavad kohustuslikus korras määruse nr 2252/2004 artikli 1 lõikes 2 (muudetud redaktsioonis) kirjeldatud tingimustel sõrmejälgi, registreerivad ja salvestavad need passidesse, ning piiripolitseile antud võimalus neid andmeid lugeda ilma asjaomase isiku nõusolekuta ilmselgelt harta artiklis 8 tunnustatud õigust. Välja arvatud juhul, kui loobuda passi omamisest ja sellest tulenevalt minemisest enamikku kolmandatest riikidest, ei saa taotlejad keelduda oma sõrmejälgede võtmisest ja salvestamisest.
43. Teisalt tuleb esiteks märkida, et sõrmejälgede andmise kohustusest tulenevat riivet tuleb käsitada nii, et see on harta artikli 52 lõike 1 tähenduses „seadusega ette nähtud”, sest see sõrmejälgede andmine on sõnaselgelt ette nähtud määruse nr 2252/2004 artikli 1 lõikega 2 (muudetud redaktsioonis), mis täidab lisaks vastavalt Euroopa Inimõiguste Kohtu praktikale juurdepääsu, selguse ja ettenähtavuse nõudeid.(35)
44. Teiseks, nagu ma juba eespool märkisin,(36) on määruse nr 2252/2004 (muudetud redaktsioonis) põhieesmärk välispiiride kindlustamine, rakendades nende piiride integreeritud haldamise poliitikat. Peale selle on passi turvatud andmekandjale sõrmejälgede salvestamise eesmärk muuta dokumendi kasutaja ja selle dokumendi enda vaheline seos kindlamaks, ning nõnda muudab see raskemaks võltsimise ja kuritahtliku kasutamise ning seega ebaseadusliku sisserände. Lisaks oli seadusandja tegevus veelgi olulisem turvalisusel, vabadusel ja õigusel rajaneva ala järkjärgulist rajamist(37) silmas pidades ja, nagu ma juba märkisin, kontrolli puudumise tõttu liidu sisepiiridel.
45. Minu arvates on selge, et need „kõrvaleesmärgid” aitavad kaasa eespool nimetatud peaeesmärgi saavutamisele. Seega tuleb nentida, et sätestades kahe sõrmejälje võtmise kohustuse, et need passidesse kanda ja seal salvestada, taotleb määruse nr 2252/2004 artikli 1 lõige 2 (muudetud redaktsioonis) liidu poolt tunnustatud üldise huvi eesmärki.
3. Riive proportsionaalsus
46. Isikuandmete kaitse põhiõiguse piiramine peab järgima ka proportsionaalsuse põhimõtet, st olema vajalik ja tegelikult vastama taotletavale eesmärgile.
a) Piirang on sobiv liidu poolt tunnustatud üldise huvi eesmärgi taotlemiseks
47. Selles osas vaidlustab põhikohtuasja kaebaja selle, et passi väljastamist taotlevate liidu kodanike sõrmejälgede kohustuslik võtmine on sobiv meede taotletava eesmärgi saavutamiseks, ning kahtleb, et see aitab tegelikult kaasa välispiiride kindlustamisele. Ta väidab sisuliselt, et valitud biomeetriameetod on eriti ebarahuldav ja sellel on igal juhul piiratud kasu nende liidu kodanike puhul, kellelt niisuguste andmete kogumine ei ole võimalik haiguse, vigastuse või põletuste tõttu. Kõnealune meetod ei saa tema väitel tagada taotletud eesmärgi saavutamist, kuna andmekandja kiip ei ole oma olemuselt vastupidav ning selle kasutusiga on palju lühem kui passi kehtivusaeg. Viimaks on sellel meetodil oluline veamäär ja see ei ole piisavalt usaldusväärne selleks, et tagada täiesti kindlat seost passi ja selle õiguspärase kasutaja vahel.
48. Siiski tundub olevat raske vastu vaielda sellele, et biomeetriliste andmete lisamine passi muudab iseenesest tingimata mitte üksnes keerulisemaks sellise passi võltsimise, vaid ka kindlamaks passi õiguspärase kasutaja isikusamasuse tuvastamise protsessi, sest liidu välispiiride kontrolliga tegelevate ametiasutuste käsutuses on nüüd lisaks näokujutisele kaks biomeetrilist elementi.(38) Samuti ei ole kahtlust selles, et kui mõned harvad näited välja arvata, on kõnealused biomeetrilised andmed kohased andmed isikute individualiseerimiseks ja isikusamasuse tuvastamiseks.
49. Meetodi ebakindlust käsitleva argumendi osas on õige väita, et sõrmejälgede võrdlemise teel isiku tuvastamine ei ole 100% kindel tuvastamismeetod ning selle veamäär on seega üle 0%.(39) Pealegi ei julgeks keegi väita, et määruse nr 2252/2004 muudetud redaktsioonis tehniliselt kirjeldatud pass on võltsimiskindel dokument. Siiski on selge, et liidu seadusandja täitis täiel määral oma rolli, üritades muuta võltsijate tööd keerulisemaks kahe biomeetrilise elemendi lisamisega ja turvaelementide suurema ühtlustamisega. Teisisõnu, asjaolu, et valitud biomeetriline meetod võib olla ebakindel ja see ei muuda passi täiesti võltsimiskindlaks või kõikide hävitamiskatsete suhtes vastupidavaks dokumendiks, ei tähenda, et see meetod on sobimatu taotletava eesmärgi saavutamiseks, sest on ütlematagi selge, et seni ei ole loodud ühtegi täiesti eksimatut meetodit. Muide, teatud osas korvavad seda ebakindlust andmete kogumise kohustuse suhtes kehtestatud erandid. Näiteks juhuks, kui sõrmejälgede võtmine ei ole isikusamasuse tuvastamiseks rahuldav, nagu eelkõige laste puhul, on liidu seadusandja näinud ette sellest kohustusest vabastuse korra.(40)
b) Määruse nr 2252/2004 muudetud redaktsiooni artikli 1 lõige 2 on vajalik liidu poolt tunnustatud üldise huvi eesmärgi saavutamiseks
50. Siinkohal tuleb kontrollida, et institutsioonid on „tasakaalustatult kaalunud ühelt poolt liidu huvi”(41) kindlustada oma välispiiride turvalisust ja teiselt poolt passi väljastamist soovivate liidu kodanike isikuandmete kaitse riivamist. „Isikuandmete kaitse erandite ja piirangute puhul tuleb [aga] piirduda rangelt vajalikuga”(42), nii et ei tohi olla olemas ühtegi teist samavõrd tõhusat, kuid vähem riivavat meedet kui see, mis teeb erandi isikuandmete kaitse põhiõigusest.
51. Euroopa Kohtus toimus eriti pikk arutelu küsimuse üle, kas seadusandja otsus valida sõrmejälgede võrdlemise biomeetriline meetod oli põhjendatud. Põhikohtuasja kaebaja väitel ei esitanud ega selgitanud seadusandja, eelkõige statistilisest vaatepunktist, põhjuseid, miks ta pidas määruste nr 2252/2004 ja nr 444/2009 vastuvõtmisel vajalikuks nõuda, et liikmesriigid lisaksid passidesse kaks sõrmejälge. Lõpuks vaidlustab põhikohtuasja kaebaja biomeetrilise meetodi igasuguse kasutamise peale näokujutise, ning isegi vajaduse tuvastada liidu kodanike isikusamasust liidu välispiiridel sedavõrd täpselt.(43) Talle tekitasid muret eelkõige võimalused omandada sõrmejälgede kujutisi ilma nende omanike teadmata, mille tõttu need andmed on lõppkokkuvõttes üsna vähe turvatud,(44) sest kõikide meie igapäevatoimetuste puhul jätame endast maha sõrmejälgi. Peale selle ei võimalda andmekandja kiibi ebapiisav turvatase tagada, et biomeetrilisi andmeid loevad ainuüksi vastava loaga ametiasutused. Lõppkokkuvõttes on harta artikliga 8 tagatud põhiõiguse riive tase vastuvõetamatu, sest esiteks puudutab see kõiki liidu kodanikke kümneaastase ajavahemiku jooksul, st terve passi kehtivusaja jooksul; teiseks kordub sekkumine iga välispiiridel teostatava kontrolli puhul, kolmandaks on olemas tegelik biomeetriliste andmete failides säilitamise risk ja neljandaks võib isikusamasuse tuvastamine sõrmejälgede kaudu põhjustada kuritarvitusi ja on oht, et see häbimärgistab teatud isikute kategooriaid. Kõikidel nendel põhjustel leiab M. Schwarz, et põhiõiguse riive ei ole seotud raskustega, mida liidu välispiiridel teostatavate kontrollide käigus tegelikult kohatakse, kas siis seoses liidu kodanike isikusamasuse tuvastamisega või võltsitud passiga ebaseaduslikult liidu territooriumile sisenemise katsete vastu võitlemisega.
52. Kuigi on tõsi, et määruse nr 2252 seletuskirjas ei ole eraldi välja toodud põhjuseid, miks seadusandja valis sõrmejälgede kujutiste kasutuselevõtmise, selgitab see siiski selgelt vajadust ühtsustada liidu kodanike passide osas kasutatavat lähenemisviisi võrreldes kolmandate riikide kodanikele väljastatud reisidokumentidega.(45) Viimati nimetatud dokumentide osas oli kõnealuste sõrmejälgede kasutuselevõtmine aga juba ette nähtud.(46) Lisaks on seletuskirjas samuti viidatud Rahvusvahelise Tsiviillennundusorganisatsiooni (ICAO) töö tulemustele, kes „valis peamise koostalitlusvõimelise biomeetrilise tunnusena samuti digitaalse foto ning sõrmejäljed ja/või silmaiirise kujutise”.(47) Igal juhul on kõikides arvamustes, mis Euroopa andmekaitseinspektor(48) või artikli 29 alusel asutatud töörühm(49) on esitanud muude biomeetriliste andmete kui näokujutise kasutuselevõtmise kohta, institutsioone hoiatatud üldiselt biomeetria kasutamisele iseloomulike riskide eest, kuid nendes ei ole kunagi seatud kahtluse alla sõrmejälgede kujutise kasutamise valikut ennast. Kõik need arvamused tuletasid üksmeelselt meelde, et biomeetrilistele andmetele iseloomulik tundlikkus nõuab erilisi kaitsemeetmeid, kuid nendes ei ole kunagi väidetud, et otsus võtta reisidokumentides täiendava biomeetrilise elemendina kasutusele sõrmejäljed on täiesti asjakohatu. Viimaks, arvestades asjaolu, et põhimõtteliselt saab iga isik kergesti anda oma sõrmejälgede kujutise ja need sõrmejäljed on talle eriomased, võis seadusandja minu arvates õiguspäraselt leida, et sõrmejäljed on sobiv biomeetriline tunnus, et muuta kindlamaks seos passi ja selle kasutaja vahel, ning samal ajal muudavad need sõrmejäljed raskemaks kõik kuritahtliku kasutamise või võltsimise katsed.
53. Seega ilmneb, et tuleb jätta kõrvale liidu seadusandja ilmse vea võimalus – mida võib ainsana karistada, kui tal on, nagu käesolevas asjas, „arenevas ja keerukas tehnikavaldkonnas […], võetavate meetmete olemuse ja ulatuse kindlaksmääramisel lai kaalutlusõigus, eeskätt äärmiselt keeruliste teaduslike ja tehniliste faktiliste asjaolude hindamisel”(50) –, seda enam, et Euroopa Kohus ei saa niisugustel asjaoludel asendada enda hinnanguga seadusandja hinnangut, kellele on aluslepinguga see ülesanne antud.
54. Alternatiivsete meetodite osas, mis riivavad vähem põhiõigust isikuandmete kaitsele, ei saa silmaiirise kujutise kasutamist pidada vähem riivavaks. Pealegi on sellel teatud hulk puuduseid, mis on seotud nii selle (patenditud) meetodi kulukusega, terviseriskiga, mida kujutab endast silmaiirise skannimine, ning ka liidu välispiiridel teostatavate kontrollide aeglustumisega, mida põhjustaks silmaiirise vastavuse kontrollimine.(51) Üksnes näokujutise kasutamine on omalt poolt küll vähem riivav, kuid arvestades välimuse muutumist, mida see näokujutis ei suuda edasi anda, ei ole see sama tõhus juhul, kui kontrolli teostavatel ametiasutustel on vaja saada kinnitust isiku samasuse kohta ja selle kohta, kas tal on õiguspärane seos passiga, mille ta esitab.
55. Argumendi osas selle kohta, et kolmandad isikud või kolmandad riigid võivad andmeid enda käsutusse saada,(52) piirdun märkusega, et esimesena nimetatud võimaluse puhul ei tundu need riskid olevat väiksemad süsteemi puhul, kus kontrollimine põhineb ainuüksi näokujutisel. Kolmandate riikide osas ei nõustu ma kaebaja arvamusega, et määruse nr 2252/2004 artikli 1 lõike 2 (muudetud redaktsiooni) tõttu tekib liidu kodanikel risk sattuda nendes riikides kuritarvitamise ohvriks. Selles osas piisab märkimisest, et liit ei mõjuta nende formaalsuste kindlaksmääramist, mida tema kodanikel tuleb täita kolmandate riikide territooriumile sisenemiseks.
c) Lõppmärkused
56. Nende sõrmejälgede arv, mille kujutist tuleb koguda ja salvestada, on piiratud kahega. Sõrmejälgede andmise kohustus on üksnes nendel liidu kodanikel, kes soovivad reisida liidu sisepiiridest väljapoole. Neid andmeid tuleb kasutada rangelt kindlaksmääratud eesmärkidel: määrus nr 2252/2004 (muudetud redaktsioonis) näeb nimelt ette, et andmeid kasutatakse „üksnes [passi ehtsuse ja kasutaja isikusamasuse] kontrollimiseks”.(53) Andmed on kantud üheleainsale turvatud andmekandjale, mis on sisestatud passi, ning see tähendab, et põhimõtteliselt on liidu kodanik oma sõrmejälgede kujutise ainuvaldaja. Kõnealune määrus ei saa – ja see on oluline asjaolu – olla õiguslikuks aluseks nende andmete salvestamiseks mõeldud andmebaaside loomiseks liikmesriikides.(54) Sõrmejälgede kujutise passis talletamise kestus on samuti piiratud, sest see vastab passi kehtivusajale.
57. Igal juhul ei ole sõrmejälgede vastavuse kontrollimine süstemaatiline, vaid toimub juhuslikult, näiteks siis, kui üksnes näokujutise ja passis sisalduvate elementide põhjal teostatav kontroll ei kõrvaldanud täielikult kahtlusi passi ehtsuse ja/või selle kasutaja isikusamasuse kohta. Turvatud andmeid koguvad kvalifitseeritud ja volitatud töötajad(55) ning andmeid(56) saavad lugeda üksnes vastava loaga ametiasutused, kelle käsutuses on asjakohased töövahendid. Isikul, kelle sõrmejäljed on võetud ja salvestatud, on õigus neid kontrollida, parandada ja kustutada.(57) Viimaks, selleks et piirata meetodi ja tehnoloogia nõrkadest külgedest ja piiridest tuleneda võivaid puudusi, on ette nähtud, et „[k]ui võrdlemisel kokkulangevust ei tuvastata, ei mõjuta see iseenesest passi […] kehtivust välispiiride ületamise eesmärgil”(58), ja kehtestatud on erandkord alla 12‑aastastele lastele, isikutele, kellelt on füüsiliselt võimatu sõrmejälgi võtta, ja isikutele, kellelt sõrmejälgede võtmine on ajutiselt võimatu.(59) Nende erandite või vabastuste sätestamisega tagas liidu seadusandja seega isikute inimväärikuse kaitse.
58. Seega on sõrmejälgede võrdlemise teel isikusamasuse tuvastamine küll tõepoolest tehnika, millel on omad piirid, ja ma ei saa öelda, et määrus nr 2252/2004 (muudetud redaktsioonis) kehtestas korra, mis võimaldab täielikult välistada kõik riskid, sealhulgas seoses kuritahtliku kasutamisega ja võltsimisega. Siiski leian, arvestades kõiki eespool esitatud kaalutlusi ja võetud ettevaatusabinõusid, et seadusandja võttis kõik vajalikud meetmed selleks, et tagada passi väljastamiseks nõutud isikuandmete võimalikult õiglane ja seaduslik töötlemine. On vaieldamatu, et oma mõõduka suhtumisega kaalus ta seega tasakaalustatult asjakohaseid liidu huve.
59. Sellest tulenevalt tuleb määruse nr 2252/2004 (muudetud redaktsioonis) artikli 1 lõikest 2 ilmselgelt tulenevat isikuandmete kaitse põhiõiguse riivet pidada proportsionaalseks.
VI. Ettepanek
60. Eeltoodud kaalutlustest lähtudes teen Euroopa Kohtule ettepaneku vastata Verwaltungsgericht Gelsenkirchen’i esitatud eelotsuse küsimusele järgmiselt:
Esitatud küsimuse analüüsimisel ei ilmnenud ühtegi asjaolu, mis võiks mõjutada nõukogu 13. detsembri 2004. aasta määruse (EÜ) nr 2252/2004 (liikmesriikide poolt väljastatud passide ja reisidokumentide turvaelementide ja biomeetria standardite kohta) artikli 1 lõike 2 – mida on muudetud Euroopa Parlamendi ja nõukogu 28. mai 2009. aasta määrusega (EÜ) nr 444/2009 – kehtivust.