Väliaikainen versio
UNIONIN TUOMIOISTUIMEN TUOMIO (suuri jaosto)
21 päivänä maaliskuuta 2024(*)
Ennakkoratkaisupyyntö – Asetus (EU) 2019/1157 – Euroopan unionin kansalaisten henkilökorttien turvallisuuden lisääminen – Pätevyys – Oikeusperusta – SEUT 21 artiklan 2 kohta – SEUT 77 artiklan 3 kohta – Asetus (EU) 2019/1157 – 3 artiklan 5 kohta – Jäsenvaltioiden velvollisuus sisällyttää henkilökorttien tallennusvälineeseen kaksi sormenjälkeä yhteentoimivassa digitaalisessa muodossa – Euroopan unionin perusoikeuskirjan 7 artikla – Yksityis- ja perhe-elämän kunnioittaminen – Perusoikeuskirjan 8 artikla – Henkilötietojen suoja – Asetus (EU) 2016/679 – 35 artikla – Velvollisuus tehdä tietosuojaa koskeva vaikutustenarviointi – Pätemättömäksi todetun asetuksen ajallisten vaikutusten voimassa pitäminen
Asiassa C-61/22,
jossa on kyse SEUT 267 artiklaan perustuvasta ennakkoratkaisupyynnöstä, jonka Verwaltungsgericht Wiesbaden (Wiesbadenin hallintotuomioistuin, Saksa) on esittänyt 13.1.2022 tekemällään päätöksellä, joka on saapunut unionin tuomioistuimeen 1.2.2022, saadakseen ennakkoratkaisun asiassa
RL
vastaan
Landeshauptstadt Wiesbaden
UNIONIN TUOMIOISTUIN (suuri jaosto),
toimien kokoonpanossa: presidentti K. Lenaerts, varapresidentti L. Bay Larsen, jaostojen puheenjohtajat A. Arabadjiev, A. Prechal, E. Regan (esittelevä tuomari), T. von Danwitz, F. Biltgen ja Z. Csehi sekä tuomarit J.-C. Bonichot, S. Rodin, D. Gratsias, M. L. Arastey Sahún ja M. Gavalec,
julkisasiamies: L. Medina,
kirjaaja: yksikönpäällikkö D. Dittert,
ottaen huomioon kirjallisessa käsittelyssä ja 14.3.2023 pidetyssä istunnossa esitetyn,
ottaen huomioon huomautukset, jotka sille ovat esittäneet
– RL, edustajanaan W. Achelpöhler, Rechtsanwalt,
– Saksan hallitus, asiamiehinään J. Möller ja P.-L. Krüger,
– Belgian hallitus, asiamiehinään P. Cottin ja A. Van Baelen, avustajanaan P. Wytinck, advocaat,
– Espanjan hallitus, asiamiehenään L. Aguilera Ruiz,
– Puolan hallitus, asiamiehenään B. Majczyna,
– Euroopan parlamentti, asiamiehinään G. C. Bartram, P. López-Carceller ja J. Rodrigues,
– Euroopan unionin neuvosto, asiamiehinään M. França ja Z. Šustr,
– Euroopan komissio, asiamiehinään H. Kranenborg, E. Montaguti ja I. Zaloguin,
kuultuaan julkisasiamiehen 29.6.2023 pidetyssä istunnossa esittämän ratkaisuehdotuksen,
on antanut seuraavan
tuomion
1 Ennakkoratkaisupyyntö koskee unionin kansalaisten henkilökorttien sekä oikeuttaan vapaaseen liikkuvuuteen käyttäville unionin kansalaisille ja heidän perheenjäsenilleen myönnettävien oleskeluasiakirjojen turvallisuuden lisäämisestä 20.6.2019 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2019/1157 (EUVL 2019, L 188, s. 67) ja erityisesti sen 3 artiklan 5 kohdan pätevyyttä.
2 Tämä pyyntö on esitetty oikeusriidassa, jossa vastakkain ovat RL ja Landeshauptstadt Wiesbaden (osavaltion pääkaupunki Wiesbaden, Saksa; jäljempänä Wiesbadenin kaupunki) ja jossa on kyse siitä, että Wiesbadenin kaupunki on hylännyt RL:n hakemuksen sellaisen henkilökortin myöntämisestä, johon ei ollut tallennettu hänen sormenjälkiään.
I Asiaa koskevat oikeussäännöt
A Unionin oikeus
1. Asetus 2019/1157
3 Asetuksen 2019/1157 johdanto-osan 1, 2, 4, 5, 17–21, 23, 26–29, 32, 33, 36, 40–42 ja 46 perustelukappaleessa todetaan seuraavaa:
” (1) [EU-]sopimuksessa sitoudutaan helpottamaan henkilöiden vapaata liikkuvuutta varmistaen samalla kansojen suoja ja turvallisuus toteuttamalla [EU-]sopimuksen ja [EUT-]sopimuksen määräysten mukaisesti vapauteen, turvallisuuteen ja oikeuteen perustuva alue.
(2) [Euroopan] unionin kansalaisuus antaa jokaiselle unionin kansalaiselle oikeuden liikkua vapaasti tietyin rajoituksin ja edellytyksin. Kyseinen oikeus pannaan täytäntöön [Euroopan unionin kansalaisten ja heidän perheenjäsentensä oikeudesta liikkua ja oleskella vapaasti jäsenvaltioiden alueella, asetuksen (ETY) N:o 1612/68 muuttamisesta ja direktiivien 64/221/ETY, 68/360/ETY, 72/194/ETY, 73/148/ETY, 75/34/ETY, 75/35/ETY, 90/364/ETY, 90/365/ETY ja 93/96/ETY kumoamisesta 29.4.2004 annetulla] Euroopan parlamentin ja neuvoston direktiivillä 2004/38/EY [(EUVL 2004, L 158, s. 77)]. Myös Euroopan unionin perusoikeuskirjan, jäljempänä ’perusoikeuskirja’, 45 artiklassa määrätään liikkumis- ja oleskeluvapaudesta. Vapaa liikkuvuus sisältää oikeuden poistua jäsenvaltioista ja tulla niihin voimassa olevan henkilökortin tai passin avulla.
– –
(4) Direktiivissä [2004/38] säädetään, että jäsenvaltiot voivat toteuttaa tarpeelliset toimenpiteet evätäkseen, lopettaakseen tai peruuttaakseen direktiivissä tarkoitetut oikeudet, jos ne on saatu oikeuksien väärinkäytöllä tai petoksella. Asiakirjojen väärentäminen tai oleskeluoikeuteen liittyviä ehtoja koskevien aineellisten tosiseikkojen väärä esittäminen on yksilöity tyypillisiksi kyseiseen direktiiviin liittyviksi petoksiksi.
(5) Jäsenvaltioiden myöntämien kansallisten henkilökorttien ja toisessa jäsenvaltiossa asuvien unionin kansalaisten ja heidän perheenjäsentensä oleskelulupien turvallisuustaso vaihtelee merkittävästi. Nämä vaihtelut lisäävät väärentämisen ja asiakirjapetosten riskiä ja aiheuttavat myös kansalaisille käytännön ongelmia heidän halutessaan käyttää oikeuttaan vapaaseen liikkuvuuteen. Asiakirjapetoksiin liittyvän eurooppalaisen riskianalyysiverkoston tilastot osoittavat, että vilpilliset henkilökortit ovat lisääntyneet ajan myötä.
– –
(17) Turvaominaisuudet ovat tarpeen asiakirjan aitouden todentamiseksi ja henkilön henkilöllisyyden toteamiseksi. Turvallisuutta koskevien vähimmäisvaatimusten vahvistaminen ja biometristen tietojen sisällyttäminen henkilökortteihin ja sellaisten perheenjäsenten oleskelukortteihin, jotka eivät ole minkään jäsenvaltion kansalaisia, ovat tärkeitä askelia tehtäessä niiden käytöstä unionissa turvallisempaa. Tällaisten biometristen tunnisteiden lisäämisen pitäisi mahdollistaa se, että unionin kansalaiset voivat täysimääräisesti hyödyntää oikeuttaan vapaaseen liikkuvuuteen.
(18) Kasvokuvan ja kahden sormenjäljen, jäljempänä ’biometristen tietojen’, tallentaminen henkilö- ja oleskelukortteihin, kuten jo tehdään biometrisissä passeissa ja kolmansien maiden kansalaisten oleskeluluvissa, on asianmukaisin tapa yhdistää luotettava todentaminen ja aitouden varmistaminen alhaisempaan petosriskiin, jotta voidaan lisätä henkilö- ja oleskelukorttien turvallisuutta.
(19) Jäsenvaltioiden olisi yleisenä käytäntönä asiakirjan aitouden ja haltijan henkilöllisyyden todentamiseksi tarkastettava ensisijaisesti kasvokuva, ja kun se on tarpeen aitouden ja henkilöllisyyden varmistamiseksi, tarvittaessa myös sormenjäljet.
(20) Jäsenvaltioiden olisi varmistettava, että tapauksissa, joissa biometristen tietojen todentaminen ei vahvista asiakirjan aitoutta tai sen haltijan henkilöllisyyttä, pätevä henkilöstö suorittaa pakollisen manuaalisen tarkastuksen.
(21) Tämä asetus ei anna oikeusperustaa kansallisen tason tietokantojen perustamiselle tai ylläpitämiselle biometristen tietojen tallentamista varten jäsenvaltioissa, mikä kuuluu kansallisen lainsäädännön piiriin, jonka on oltava tietosuojaa koskevan unionin oikeuden mukainen. Asetus ei myöskään anna oikeusperustaa unionin tason keskitetyn tietokannan perustamiselle tai ylläpitämiselle.
– –
(23) Tässä asetuksessa olisi otettava huomioon [Kansainvälisen siviili-ilmailujärjestön (ICAO)] asiakirjan 9303 eritelmät, joilla varmistetaan maailmanlaajuinen yhteentoimivuus, mukaan lukien koneellinen luettavuus ja visuaalinen tarkastus.
– –
(26) Jäsenvaltioiden olisi varmistettava, että biometristen tunnisteiden keräämisessä käytetään asianmukaisia ja tehokkaita menettelyjä, joissa kunnioitetaan oikeuksia ja periaatteita, joista määrätään perusoikeuskirjassa, [Roomassa 4.11.1950 allekirjoitetussa] ihmisoikeuksien ja perusvapauksien suojaamiseksi tehdyssä Euroopan neuvoston yleissopimuksessa ja [Yhdistyneiden kansakuntien yleiskokouksen 20.11.1989 hyväksymässä] yleissopimuksessa lapsen oikeuksista [(Yhdistyneiden kansakuntien sopimuskokoelma, nide 1577, s. 3), joka tuli voimaan 2.9.1990]. Jäsenvaltioiden olisi varmistettava, että lapsen etu otetaan ensisijaisesti huomioon koko keräämismenettelyn ajan. Pätevän henkilöstön olisi saatava asianmukainen koulutus lapsiystävällisistä käytännöistä biometristen tunnisteiden keräämistä varten.
(27) Jos biometristen tunnisteiden keräämisessä ilmenee vaikeuksia, jäsenvaltioiden olisi varmistettava, että käytössä on asianmukaiset menettelyt asianomaisen henkilön ihmisarvon kunnioittamiseksi. Sen vuoksi olisi otettava huomioon sukupuoleen sekä lasten ja haavoittuvassa asemassa olevien henkilöiden erityistarpeisiin liittyvät näkökohdat.
(28) Henkilökorttien turvallisuutta ja muotoa koskevien vähimmäisvaatimusten käyttöönoton myötä jäsenvaltioiden olisi voitava luottaa näiden asiakirjojen aitouteen, kun unionin kansalaiset käyttävät oikeuttaan vapaaseen liikkuvuuteen. Tiukennettujen turvavaatimusten käyttöönoton olisi tarjottava viranomaisille ja yksityisille tahoille riittävät takeet siitä, että ne voivat luottaa henkilökorttien aitouteen, kun unionin kansalaiset käyttävät niitä henkilöllisyyden tunnistamista varten.
(29) Asiakirjan myöntävän jäsenvaltion kaksikirjaiminen maakoodi negatiivina sinisessä suorakulmiossa ja kahdentoista keltaisen tähden ympäröimänä olisi tunnus, joka helpottaa asiakirjan visuaalista tarkastusta erityisesti silloin, kun haltija käyttää oikeuttaan vapaaseen liikkuvuuteen.
– –
(32) Jäsenvaltioiden olisi toteutettava kaikki tarvittavat toimenpiteet sen varmistamiseksi, että biometrisillä tiedoilla tunnistetaan oikein henkilö, jolle henkilökortti on myönnetty. Tätä varten jäsenvaltiot voisivat harkita, että henkilökortteja myöntävät kansalliset viranomaiset keräävät biometriset tunnisteet, erityisesti kasvokuvan, henkilökohtaisella rekisteröinnillä.
(33) Jäsenvaltioiden olisi vaihdettava keskenään tällaisia tietoja siltä osin kuin on tarpeen turvalliseen tallennusvälineeseen sisältyviin tietoihin pääsyyn, niiden aitouden varmistamiseen sekä niiden todentamiseen. Turvallisessa tallennusvälineessä käytettävien tiedostomuotojen olisi oltava yhteentoimivia, myös automatisoitujen rajanylityspaikkojen suhteen.
– –
(36) Unionin kansalaisille myönnetyissä oleskeluasiakirjoissa olisi oltava tiettyjä tietoja sen varmistamiseksi, että ne tunnistetaan oleskeluasiakirjoiksi kaikissa jäsenvaltioissa. Tämän pitäisi helpottaa sen tunnustamista, että unionin kansalainen käyttää oikeuttaan vapaaseen liikkuvuuteen, ja tähän käyttöön liittyviä oikeuksia, mutta yhdenmukaistaminen ei saisi ylittää sitä, mikä on asianmukaista nykyisten asiakirjojen heikkouksiin puuttumiseksi. Jäsenvaltiot voivat vapaasti valita asiakirjojen myöntämismuodon, ja voivat antaa ne muodossa, joka täyttää ICAOn asiakirjan nro 9303 eritelmät.
– –
(40) [Luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annettua] Euroopan parlamentin ja neuvoston asetusta (EU) 2016/679 [(yleinen tietosuoja-asetus) (EUVL 2016, L 119, s. 1)] sovelletaan tämän asetuksen soveltamisen yhteydessä käsiteltäviin henkilötietoihin. On tarpeen täsmentää käsiteltyihin henkilötietoihin ja erityisesti arkaluonteisiin tietoihin kuten biometrisiin tunnisteisiin sovellettavat suojatoimet. Rekisteröityjen olisi saatava tietoa siitä, että heidän asiakirjoissaan on tallennusväline, jossa on heidän biometrisiä tietojaan, ja myös siitä, että asiakirjaan on kontaktiton pääsy, sekä kaikista tapauksista, joissa heidän henkilökortteihinsa ja oleskeluasiakirjoihinsa sisältyviä tietoja käytetään. Rekisteröidyillä olisi joka tapauksessa oltava pääsy henkilökorteissaan ja oleskeluasiakirjoissaan käsiteltyihin henkilötietoihin ja mahdollisuus oikaista niitä siten, että myönnetään uusi asiakirja, jos kyseiset tiedot ovat virheellisiä tai puutteellisia. Tallennusvälineen olisi oltava erittäin turvallinen ja suojattava siihen tallennetut henkilötiedot tehokkaasti luvattomalta pääsyltä.
(41) Jäsenvaltioiden olisi vastattava biometristen tietojen asianmukaisesta käsittelystä aina keräämisestä tietojen sisällyttämiseen erittäin turvalliseen tallennusvälineeseen [yleisen tietosuoja-asetuksen] mukaisesti.
(42) Jäsenvaltioiden olisi noudatettava erityistä varovaisuutta tehdessään yhteistyötä ulkoisen palveluntarjoajan kanssa. Tällainen yhteistyö ei saisi sulkea pois unionin oikeudesta tai kansallisesta lainsäädännöstä johtuvaa jäsenvaltion vastuuta henkilötietovelvoitteiden rikkomisesta.
– –
(46) Jäsenvaltiot eivät voi riittävällä tavalla saavuttaa tämän asetuksen tavoitteita eli turvallisuuden parantamista ja unionin kansalaisten ja heidän perheenjäsentensä oikeuden vapaaseen liikkuvuuteen käyttämisen helpottamista, vaan ne voidaan toiminnan laajuuden ja vaikutusten vuoksi saavuttaa paremmin unionin tasolla. Sen vuoksi unioni voi toteuttaa toimenpiteitä [EU]-sopimuksen 5 artiklassa vahvistetun toissijaisuusperiaatteen mukaisesti. Mainitussa artiklassa vahvistetun suhteellisuusperiaatteen mukaisesti tässä asetuksessa ei ylitetä sitä, mikä on tarpeen näiden tavoitteiden saavuttamiseksi”.
4 Asetuksen 2019/1157 1 artiklassa, jonka otsikko on ”Kohde”, säädetään seuraavaa:
”Tässä asetuksessa vahvistetaan turvavaatimukset, joita sovelletaan henkilökortteihin, joita jäsenvaltiot myöntävät kansalaisilleen, ja oleskeluasiakirjoihin, joita jäsenvaltiot myöntävät unionin kansalaisille ja heidän perheenjäsenilleen heidän käyttäessään oikeuttaan vapaaseen liikkuvuuteen unionissa.”
5 Tämän asetuksen 2 artiklassa, jonka otsikko on ”Soveltamisala”, säädetään seuraavaa:
”Tätä asetusta sovelletaan
a) henkilökortteihin, joita jäsenvaltiot myöntävät omille kansalaisilleen direktiivin [2004/38] 4 artiklan 3 kohdan mukaisesti;
tätä asetusta ei sovelleta alle kuusi kuukautta voimassa olevien väliaikaisten henkilöllisyyttä osoittavien asiakirjojen myöntämiseen;
b) rekisteröintitodistuksiin, joita myönnetään direktiivin [2004/38] 8 artiklan mukaisesti unionin kansalaisille, jotka oleskelevat vastaanottavassa jäsenvaltiossa yli kolme kuukautta, ja unionin kansalaisille hakemuksesta myönnettäviin direktiivin [2004/38] 19 artiklan mukaisesti pysyvän oleskeluoikeuden osoittaviin todistuksiin;
c) oleskelukortteihin, joita myönnetään direktiivin [2004/38] 10 artiklan mukaisesti unionin kansalaisten perheenjäsenille, jotka eivät ole minkään jäsenvaltion kansalaisia, ja pysyviin oleskelukortteihin, joita myönnetään direktiivin [2004/38] 20 artiklan mukaisesti unionin kansalaisten perheenjäsenille, jotka eivät ole minkään jäsenvaltion kansalaisia.”
6 Mainitun asetuksen 3 artiklan, jonka otsikko on ”Turvavaatimukset/muoto/eritelmät”, 5–7 ja 10 kohdassa säädetään seuraavaa:
”5. Henkilökortteihin on sisällyttävä erittäin turvallinen tallennusväline, jonka on sisällettävä biometrisiä tietoja, jotka ovat kortin haltijan kasvokuva ja kaksi sormenjälkeä yhteentoimivassa digitaalisessa muodossa. Jäsenvaltioiden on biometristen tunnisteiden keräämisessä sovellettava [teknisistä eritelmistä kolmansien maiden kansalaisten oleskeluluvan yhtenäistä kaavaa varten ja päätöksen C(2002) 3069 kumoamisesta 30.11.2018 annetussa] komission täytäntöönpanopäätöksessä C(2018) 7767 vahvistettuja teknisiä eritelmiä.
6. Tallennusvälineellä on oltava riittävä kapasiteetti ja kyky varmistaa tietojen eheys, aitous ja luottamuksellisuus. Tallennettavien tietojen on oltava käytettävissä kontaktittomasti ja suojatusti täytäntöönpanopäätöksen C(2018) 7767 mukaisesti. Jäsenvaltioiden on vaihdettava tietoja, jotka ovat tarpeen tallennusvälineen aitouden varmistamiseksi ja pääsyn saamiseksi 5 kohdassa tarkoitettuihin biometrisiin tietoihin sekä niiden todentamiseksi.
7. Alle 12-vuotiaisiin lapsiin ei tarvitse soveltaa sormenjälkien antamista koskevaa vaatimusta.
Alle 6-vuotiaisiin lapsiin ei sovelleta sormenjälkien antamista koskevaa vaatimusta.
Henkilöihin, jotka eivät fyysisten rajoitteiden vuoksi pysty antamaan sormenjälkiä, ei sovelleta sormenjälkien antamista koskevaa vaatimusta.
– –
10. Jos jäsenvaltiot tallentavat henkilökortteihin tietoja sähköisiä palveluja kuten sähköistä hallintoa ja sähköistä liiketoimintaa varten, tällaiset kansalliset tiedot on erotettava fyysisesti tai loogisesti 5 kohdassa tarkoitetuista biometrisistä tiedoista.”
7 Asetuksen 5 artiklassa, jonka otsikko on ”Vaiheittainen käytöstä poistaminen”, säädetään seuraavaa:
”1. Henkilökortit, jotka eivät täytä 3 artiklassa säädettyjä vaatimuksia, lakkaavat olemasta voimassa niiden voimassaolon päättyessä tai 3 päivänä elokuuta 2031 sen mukaan, kumpi ajankohta on aikaisempi.
2. Poiketen siitä, mitä 1 kohdassa säädetään,
a) henkilökortit, – – jotka eivät sisällä 3 kohdassa määriteltyä toiminnallista koneellisesti luettavaa aluetta, lakkaavat olemasta voimassa niiden voimassaolon päättyessä tai 3 päivänä elokuuta 2026 sen mukaan, kumpi ajankohta on aikaisempi;
– –
3. Edellä olevan 2 kohdan soveltamiseksi toiminnallisella koneellisesti luettavalla alueella tarkoitetaan
a) ICAOn asiakirjan 9303 osan 3 mukaista koneellisesti luettavaa aluetta; tai
b) muuta koneellisesti luettavaa aluetta, jonka osalta myöntävä jäsenvaltio ilmoittaa sen sisältämien tietojen lukemista ja esittämistä koskevat säännöt, paitsi jos jokin jäsenvaltio ilmoittaa [Euroopan] komissiolle viimeistään 2 päivänä elokuuta 2021, että se ei pysty lukemaan ja esittämään näitä tietoja.
– – ”
8 Asetuksen 2019/1157 6 artiklan, jonka otsikko on ”Mainittavat vähimmäistiedot”, ensimmäisessä kohdassa säädetään seuraavaa:
”Jäsenvaltioiden unionin kansalaisille myöntämissä oleskeluasiakirjoissa on mainittava vähintään seuraavat tiedot:
– –
f) direktiivin [2004/38] 8 ja 19 artiklan mukaisesti myönnettyihin rekisteröintitodistuksiin ja pysyvän oleskeluoikeuden osoittaviin asiakirjoihin sisällytettävät tiedot;
– – ”
9 Kyseisen asetuksen 10 artiklassa, jonka otsikko on ”Biometristen tunnisteiden kerääminen”, säädetään seuraavaa:
”1. Biometriset tunnisteet saa kerätä yksinomaan henkilö- tai oleskelukorttien myöntämisestä vastaavien viranomaisten nimeämä pätevä ja asianmukaisesti valtuutettu henkilöstö 3 artiklan 5 kohdassa (henkilökortit) ja 7 artiklan 1 kohdassa (oleskelukortit) säädettyyn erittäin turvalliseen tallennusvälineeseen sisällyttämiseksi. Ensimmäisestä virkkeestä poiketen sormenjäljet saa ottaa yksinomaan tällaisten viranomaisten pätevä ja asianmukaisesti valtuutettu henkilöstö, lukuun ottamatta hakemuksia, jotka on jätetty jäsenvaltion diplomaatti- ja konsuliviranomaisille.
Jotta varmistetaan biometristen tunnisteiden yhtäpitävyys hakijan henkilöllisyyden kanssa, hakijan on oltava henkilökohtaisesti läsnä vähintään kerran kunkin hakemuksen myöntämisprosessin yhteydessä.
2. Jäsenvaltioiden on varmistettava, että biometristen tunnisteiden keräämisessä käytetään asianmukaisia ja tehokkaita menettelyjä ja että näissä menettelyissä kunnioitetaan oikeuksia ja periaatteita, jotka on vahvistettu perusoikeuskirjassa, ihmisoikeuksien ja perusvapauksien suojaamiseksi tehdyssä yleissopimuksessa ja YK:n yleissopimuksessa lapsen oikeuksista.
Jos biometristen tunnisteiden keräämisessä ilmenee vaikeuksia, jäsenvaltioiden on varmistettava, että käytössä on asianmukaiset menettelyt asianomaisen henkilön ihmisarvon kunnioittamisen varmistamiseksi.
3. Lukuun ottamatta unionin oikeudessa ja kansallisessa lainsäädännössä vaadittua käsittelyä, henkilökorttien tai oleskeluasiakirjojen yksilöintiä varten tallennetut biometriset tunnisteet on säilytettävä erittäin turvallisesti ja ainoastaan asiakirjan noutopäivään asti ja joka tapauksessa enintään 90 päivää kyseisen asiakirjan myöntämispäivästä. Tämän jälkeen biometriset tunnisteet on välittömästi poistettava tai hävitettävä.”
10 Mainitun asetuksen 11 artiklan, jonka otsikko on ”Henkilötietojen suoja sekä vastuu”, 4 ja 6 kohdassa säädetään seuraavaa:
”4. Yhteistyö ulkoisten palveluntarjoajien kanssa ei sulje pois unionin oikeudesta tai kansallisesta lainsäädännöstä johtuvaa mahdollista jäsenvaltion vastuuta henkilötietovelvoitteiden rikkomisesta.
– –
6. Henkilökorttien ja oleskeluasiakirjojen tallennusvälineeseen tallennettuja biometrisiä tietoja saa käyttää ainoastaan toimivaltaisten kansallisten viranomaisten ja unionin virastojen asianmukaisesti valtuutettu henkilöstö unionin oikeuden ja kansallisen lainsäädännön mukaisesti
a) henkilökortin tai oleskeluasiakirjan aitouden todentamiseen;
b) asiakirjan haltijan henkilöllisyyden todentamiseen vertaamalla biometrisiä tunnisteita suoraan saatavilla ja verrattavissa oleviin tunnisteisiin tilanteessa, jossa henkilökortti tai oleskeluasiakirja on lain mukaan esitettävä.”
11 Asetuksen 14 artiklan, jonka otsikko on ”Tekniset lisäeritelmät”, 1 ja 2 kohdassa säädetään seuraavaa:
”1. Jotta voidaan tarvittaessa varmistaa, että 2 artiklan a ja c alakohdassa tarkoitetut henkilökortit ja oleskeluasiakirjat ovat tulevien turvallisuutta koskevien vähimmäisvaatimusten mukaisia, komissio vahvistaa täytäntöönpanosäädöksillä tekniset lisäeritelmät, jotka koskevat seuraavia seikkoja:
a) turvallisuutta koskevat lisäominaisuudet ja -vaatimukset, mukaan lukien tehostetut vaatimukset väärentämisen estämiseksi;
b) 3 artiklan 5 kohdassa tarkoitetut tekniset eritelmät biometristen tunnisteiden tallennusvälinettä ja näiden tunnisteiden turvallisuutta varten, mukaan lukien luvattoman pääsyn estäminen ja helpotettu todentaminen;
c) kasvokuvaa ja sormenjälkiä koskevat laatuvaatimukset ja yhteiset tekniset vaatimukset.
Nämä täytäntöönpanosäädökset hyväksytään 15 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.
2. Jäljempänä 15 artiklan 2 kohdassa tarkoitettua menettelyä noudattaen voidaan päättää, että tässä artiklassa tarkoitetut eritelmät ovat salaisia eikä niitä julkaista. – – ”
2. Yleinen tietosuoja-asetus
12 Yleisen tietosuoja-asetuksen johdanto-osan 51 perustelukappaleessa todetaan seuraavaa:
”Henkilötietoja, jotka ovat erityisen arkaluonteisia perusoikeuksien ja -vapauksien kannalta, on suojeltava erityisen tarkasti, koska niiden käsittelyn asiayhteys voisi aiheuttaa huomattavia riskejä perusoikeuksille ja -vapauksille. – – Valokuvien käsittelyä ei olisi automaattisesti katsottava henkilötietojen erityisryhmien käsittelyksi, koska valokuvat kuuluvat biometristen tietojen määritelmän piiriin ainoastaan siinä tapauksessa, että niitä käsitellään erityisin teknisin menetelmin, jotka mahdollistavat luonnollisen henkilön yksilöllisen tunnistamisen tai todentamisen. Tällaisia henkilötietoja ei pitäisi käsitellä, ellei käsittelyä sallita tässä asetuksessa vahvistetuissa erityistapauksissa, ottaen huomioon, että jäsenvaltioiden lainsäädännössä voidaan vahvistaa erityisiä tietosuojasäännöksiä tämän asetuksen sääntöjen soveltamisen mukauttamiseksi lakisääteisen velvoitteen noudattamista tai yleistä etua koskevan tehtävän suorittamista tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämistä varten. Tällaista käsittelyä koskevien erityisvaatimusten lisäksi olisi sovellettava tämän asetuksen yleisiä periaatteita ja muita sääntöjä erityisesti lainmukaisen tietojenkäsittelyn osalta. Olisi kuitenkin nimenomaisesti säädettävä poikkeuksista yleiseen kieltoon, joka koskee erityisiin henkilötietojen ryhmiin kuuluvien tietojen käsittelyä, muun muassa silloin, kun rekisteröity antaa nimenomaisen suostumuksensa – – ”
13 Tämän asetuksen 4 artiklassa, jonka otsikko on ”Määritelmät”, säädetään seuraavaa:
”Tässä asetuksessa tarkoitetaan
– –
2) ’käsittelyllä’ toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista,
– –
7) ’rekisterinpitäjällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti,
– –”
14 Mainitun asetuksen 9 artiklan, jonka otsikko on ”Erityisiä henkilötietoryhmiä koskeva käsittely”, 1 kohdassa säädetään seuraavaa:
”Sellaisten henkilötietojen käsittely, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys sekä geneettisten tietojen käsittely, biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevien tietojen käsittely on kiellettyä.”
15 Asetuksen 35 artiklan, jonka otsikko on ”Tietosuojaa koskeva vaikutustenarviointi”, 1, 3 ja 10 kohdassa säädetään seuraavaa:
”1. Jos tietyntyyppinen käsittely etenkin uutta teknologiaa käytettäessä todennäköisesti aiheuttaa – käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset huomioon ottaen – luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin, rekisterinpitäjän on ennen käsittelyä toteutettava arviointi suunniteltujen käsittelytoimien vaikutuksista henkilötietojen suojalle. Yhtä arviota voidaan käyttää samankaltaisiin vastaavia korkeita riskejä aiheuttaviin käsittelytoimiin.
– –
3. Edellä 1 kohdassa tarkoitettu tietosuojaa koskeva vaikutustenarviointi vaaditaan erityisesti tapauksissa joissa:
a) luonnollisten henkilöiden henkilökohtaisten ominaisuuksia arvioidaan järjestelmällisesti ja kattavasti perustuen automaattiseen käsittelyyn, kuten profilointiin, mikä johtaa päätöksiin, joilla on luonnollista henkilöä koskevia oikeusvaikutuksia tai jotka vaikuttavat luonnolliseen henkilöön vastaavalla tavalla merkittävästi;
b) laajamittainen käsittely kohdistuu 9 artiklan 1 kohdassa tarkoitettuihin erityisiin henkilötietoryhmiin tai 10 artiklassa tarkoitettuihin rikostuomioita tai rikoksia koskeviin tietoihin; tai
c) on kyse yleisölle avoimen alueen järjestelmällisestä ja laajamittaisesta valvonnasta.
– –
10. Jos 6 artiklan 1 kohdan c tai e alakohdan mukaisen käsittelyn oikeusperusteena on rekisterinpitäjään sovellettava unionin oikeus tai jäsenvaltion lainsäädäntö, joka säätelee siihen liittyvää käsittelytointa tai käsittelytoimia, ja tietosuojaa koskeva vaikutustenarviointi on jo tehty yleisen vaikutustenarvioinnin osana kyseisen käsittelyn oikeusperusteen hyväksymisen yhteydessä, 1–7 kohtaa ei sovelleta, paitsi jos jäsenvaltiot katsovat tarpeelliseksi toteuttaa tällaisen arvioinnin ennen käsittelytoimien aloittamista.”
3. Asetus (EU) 2016/399
16 Henkilöiden liikkumista rajojen yli koskevasta unionin säännöstöstä (Schengenin rajasäännöstö) 9.3.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/399 (EUVL 2016, L 77, s. 1), sellaisena kuin se on muutettuna 15.3.2017 annetulla Euroopan parlamentin ja neuvoston asetuksella (EU) 2016/458 (EUVL 2016, L 74, s. 1), 8 artiklan 1 ja 2 kohdassa säädetään seuraavaa:
”1. Rajavartijat valvovat rajanylitysliikennettä ulkorajoilla tarkastuksin. Tarkastukset suoritetaan tämän luvun säännösten mukaisesti.
– –
2. Unionin lainsäädännön mukaisen vapaata liikkuvuutta koskevan oikeuden piiriin kuuluville henkilöille tehdään heidän saapuessaan maahan ja poistuessaan maasta seuraavat tarkastukset:
a) tarkastetaan henkilön henkilöllisyys ja kansalaisuus sekä rajanylitykseen oikeuttavan matkustusasiakirjan aitous ja voimassaolo, myös tekemällä hakuja asiaankuuluviin tietokantoihin – –
b) tarkastetaan, – – että unionin lainsäädännön mukaisen vapaata liikkuvuutta koskevan oikeuden piiriin kuuluvan henkilön ei katsota muodostavan uhkaa minkään jäsenvaltion yleiselle järjestykselle, sisäiselle turvallisuudelle, kansanterveydelle tai kansainvälisille suhteille. – –
Jos matkustusasiakirjan aitoudesta tai sen haltijan henkilöllisyydestä on epäilyjä, on tarkastettava vähintään yksi [jäsenvaltioiden myöntämien passien ja matkustusasiakirjojen turvatekijöitä ja biometriikkaa koskevista vaatimuksista 13.12.2004 annetun neuvoston] asetuksen (EY) N:o 2252/2004 [(EUVL 2004, L 385, s. 1)] mukaisesti myönnettyihin passeihin ja matkustusasiakirjoihin liitetty biometrinen tunniste. Tällainen tarkastaminen tehdään mahdollisuuksien mukaan myös muille kuin tuon asetuksen kattamille asiakirjoille.
– – ”
4. Direktiivi 2004/38
17 Direktiivin 2004/38 4 artiklan, jonka otsikko on ”Oikeus maasta poistumiseen”, 1 ja 3 kohdassa säädetään seuraavaa:
”1. Unionin kansalaisilla, joilla on voimassa oleva henkilötodistus tai passi, ja heidän perheenjäsenillään, jotka eivät ole minkään jäsenvaltion kansalaisia mutta joilla on voimassa oleva passi, on oikeus poistua jäsenvaltion alueelta matkustaakseen toiseen jäsenvaltioon, sanotun kuitenkaan rajoittamatta matkustusasiakirjoihin kansallisilla rajoilla kohdistettavia tarkastuksia koskevien määräysten soveltamista.
– –
3. Jäsenvaltioiden on kunkin oman lainsäädäntönsä mukaisesti myönnettävä kansalaisilleen henkilötodistus tai passi, jossa mainitaan haltijan kansalaisuus, sekä uusittava se.”
18 Direktiivin 5 artiklan, jonka otsikko on ”Oikeus maahantuloon”, 1 kohdassa säädetään seuraavaa:
”Jäsenvaltioiden on sallittava unionin kansalaisen, jolla on voimassa oleva henkilötodistus tai passi, ja hänen perheenjäsentensä, jotka eivät ole minkään jäsenvaltion kansalaisia ja joilla on voimassa oleva passi, tulo alueelleen, sanotun kuitenkaan rajoittamatta matkustusasiakirjoihin kansallisilla rajoilla kohdistettavia tarkastuksia koskevien määräysten soveltamista.
Unionin kansalaiselta ei saa vaatia viisumia eikä muun vastaavan muodollisuuden noudattamista. ”
19 Mainitun direktiivin 6 artiklassa, jonka otsikko on ”Oikeus oleskella enintään kolme kuukautta”, säädetään seuraavaa:
”1. Unionin kansalaisilla on oikeus oleskella toisen jäsenvaltion alueella enintään kolmen kuukauden ajan ilman muita edellytyksiä tai muodollisuuksia kuin se, että heillä on oltava voimassa oleva henkilökortti tai passi.
2. Edellä 1 kohdan säännöksiä sovelletaan myös perheenjäseniin, jotka eivät ole minkään jäsenvaltion kansalaisia, joilla on voimassa oleva passi ja jotka tulevat unionin kansalaisen mukana tai seuraavat häntä myöhemmin.”
20 Direktiivin 2004/38 8 artiklan, jonka otsikkona on ”Unionin kansalaisiin sovellettavat hallinnolliset muodollisuudet”, 1 kohdassa säädetään seuraavaa:
”1. Kun oleskelu kestää yli kolme kuukautta, vastaanottava jäsenvaltio voi vaatia unionin kansalaisia rekisteröitymään asianomaisen viranomaisen luona, sanotun kuitenkaan rajoittamatta 5 artiklan 5 kohdan soveltamista.
– –
3. Rekisteröintitodistuksen antamista varten jäsenvaltiot voivat vaatia ainoastaan, että
– 7 artiklan 1 kohdan a alakohdassa tarkoitettu unionin kansalainen esittää voimassa olevan henkilökortin tai passin, työnantajalta saadun vahvistuksen työsuhteesta tai todistuksen työssäolosta taikka selvityksen siitä, että hän on itsenäinen ammatinharjoittaja,
– 7 artiklan 1 kohdan b alakohdassa tarkoitettu unionin kansalainen esittää voimassa olevan henkilökortin tai passin ja selvityksen siitä, että hän täyttää mainitussa alakohdassa esitetyt edellytykset,
– 7 artiklan 1 kohdan c alakohdassa tarkoitettu unionin kansalainen esittää voimassa olevan henkilökortin tai passin, selvityksen siitä, että hän on kirjoilla hyväksytyssä laitoksessa ja että hänellä on kattava sairausvakuutusturva, sekä 7 artiklan 1 kohdan c alakohdassa tarkoitetun vakuutuksen tai vastaavan osoituksen. Jäsenvaltiot eivät saa vaatia, että tässä vakuutuksessa on mainittava jokin tietty määrä varoja.”
5. Toimielinten välinen sopimus
21 Paremmasta lainsäädännöstä 13.4.2016 tehdyn Euroopan parlamentin, Euroopan unionin neuvoston ja Euroopan komission välisen toimielinten sopimuksen (EUVL 2016, L 123, s. 1; jäljempänä toimielinten välinen sopimus) 12–14 kohdassa määrätään seuraavaa:
”12. – –
Vaikutustenarvioinnit auttavat toimielimiä tekemään tietoon perustuvia päätöksiä, mutta ne eivät korvaa poliittisia päätöksiä demokraattisessa päätöksenteossa. – –
Vaikutustenarvioinneissa olisi käsiteltävä kysymystä ongelman olemassaolosta, sen laajuudesta ja siitä aiheutuvista seurauksista sekä sitä, tarvitaanko unionin toimia vai ei. Niissä olisi kartoitettava vaihtoehtoisia ratkaisuja ja, mahdollisuuksien mukaan, mahdollisia lyhyen ja pitkän aikavälin kustannuksia ja hyötyjä ja arvioitava kokonaisvaltaisesti ja tasapainoisesti taloudellisia, sosiaalisia ja ympäristövaikutuksia käyttäen apuna sekä laadullisia että määrällisiä analyyseja. Toissijaisuus- ja suhteellisuusperiaatteita olisi sovellettava täysimääräisesti ja perusoikeuksia olisi kunnioitettava täysimääräisesti. – – Vaikutustenarviointien olisi perustuttava tarkkoihin, objektiivisiin ja täydellisiin tietoihin, ja niiden olisi oltava laajuudeltaan ja painopisteiltään oikeasuhteisia.
13. Komissio tekee vaikutustenarviointeja sellaisista [lainsäädäntöaloitteistaan], joilla odotetaan olevan merkittäviä taloudellisia, sosiaalisia tai ympäristövaikutuksia. Pääsääntöisesti komission työohjelmaan tai yhteiseen julistukseen sisältyviin aloitteisiin liitetään vaikutustenarviointi.
– – Vaikutustenarviointien lopulliset tulokset toimitetaan Euroopan parlamentille, [Euroopan unionin] neuvostolle ja kansallisille parlamenteille ja julkistetaan yhdessä sääntelyntarkastelulautakunnan lausunnon tai lausuntojen kanssa komission aloitteen hyväksymisen yhteydessä.
14. [Parlamentti] ja neuvosto ottavat komission vaikutustenarvioinnit täysimääräisesti huomioon, kun ne käsittelevät komission säädösehdotuksia. Vaikutustenarvioinnit on sen vuoksi esitettävä tavalla, joka helpottaa komission tekemien valintojen tarkastelua [parlamentissa] ja neuvostossa.”
B Saksan oikeus
22 Henkilökorteista ja sähköisestä henkilöllisyystodistuksesta 18.6.2009 annetun lain (Gesetz über Personalausweise und den elektronischen Identitätsnachweis; BGBl. I, s. 1346), sellaisena kuin sitä sovelletaan pääasian tosiseikkoihin (jäljempänä PAuswG), 5 §:n, jonka otsikko on ”Henkilökortinmalli; tallennetut tiedot”, 9 momentissa säädetään seuraavaa:
”Sähköiselle tallennusvälineelle [asetuksen 2019/1157] mukaisesti tallennettavat [henkilökortin] hakijan kaksi sormenjälkeä tallennetaan siten, että henkilökortin sähköiselle tallennus- ja käsittelyvälineelle tallennetaan kaksi sormenjälkeä, jotka otetaan alas painetusta vasemmasta ja oikeasta etusormesta. Jos etusormi puuttuu, jos sormenjäljen laatu on riittämätön tai jos sormenpää on vahingoittunut, sen sijasta tallennetaan sormenjälki, joka otetaan joko alas painetusta peukalosta, keskisormesta tai nimettömästä. Sormenjälkiä ei tallenneta, jos sormenjälkien ottaminen ei ole mahdollista muista kuin tilapäisistä lääketieteellisistä syistä.”
23 PAuswG:n 6 §:n 1 ja 2 momentissa säädetään seuraavaa:
”(1) Henkilökortit myönnetään kymmeneksi vuodeksi.
(2) Ennen henkilökortin voimassaolon päättymistä voidaan hakea uutta henkilökorttia, jos voidaan osoittaa oikeutettu intressi uuden henkilökortin myöntämiseen.”
24 PAuswG:n 9 §:n, jonka otsikko on ”Henkilökortin myöntäminen”, 1 momentin ensimmäisessä virkkeessä säädetään seuraavaa:
”Saksan perustuslain 116 §:n 1 momentissa tarkoitetuille Saksan kansalaisille myönnetään hakemuksesta henkilökortit ja väliaikaiset henkilökortit.”
25 PAuswG:n 28 §:n, jonka otsikko on ”Pätemättömyys”, 3 momentissa säädetään seuraavaa:
”Sähköisen tallennus- ja käsittelyvälineen toimintahäiriöt eivät vaikuta henkilökortin voimassaoloon.”
II Pääasia ja ennakkoratkaisukysymys
26 Pääasian kantaja haki 30.11.2021 Wiesbadenin kaupungilta uutta henkilökorttia sillä perusteella, että hänen vanhan korttinsa siru oli viallinen. Hän pyysi kuitenkin, että uuteen korttiin ei sisällytettäisi hänen sormenjälkiään.
27 Wiesbadenin kaupunki hylkäsi hakemuksen kahdella perusteella. Yhtäältä pääasian kantajalla ei ollut oikeutta saada uutta henkilökorttia, koska hänellä oli jo hallussaan voimassa oleva henkilökortti. PAuswG:n 28 §:n 3 momentin mukaan henkilökortti nimittäin pysyy voimassa, vaikka sen siru olisi viallinen. Toisaalta ja joka tapauksessa 2.8.2021 lähtien kahden sormenjäljen sisällyttäminen henkilökorttien tallennusvälineeseen on pakollista PAuswG:n 5 §:n 9 momentin, jolla pannaan täytäntöön asetuksen 2019/1157 3 artiklan 5 kohta, nojalla.
28 Pääasian kantaja nosti 21.12.2021 Verwaltungsgericht Wiesbadenissa (Wiesbadenin hallintotuomioistuin, Saksa) eli ennakkoratkaisua pyytäneessä tuomioistuimessa kanteen, jotta Wiesbadenin kaupunki velvoitettaisiin myöntämään hänelle henkilökortti ilman, että häneltä otetaan sormenjäljet.
29 Ennakkoratkaisua pyytänyt tuomioistuin on epävarma kummastakin pääasiassa esitetystä kyseessä olevan päätöksen perustelusta. Se on taipuvainen katsomaan erityisesti toisesta perustelusta, että asetuksen 2019/1157 tai ainakin sen 3 artiklan 5 kohdan pätevyys voidaan kyseenalaistaa.
30 Ennakkoratkaisua pyytänyt tuomioistuin pohtii ensinnäkin, olisiko kyseinen asetus pitänyt antaa SEUT 77 artiklan 3 kohdan nojalla ja siten kyseisessä määräyksessä määrättyä erityistä lainsäätämisjärjestystä noudattaen eikä SEUT 21 artiklan 2 kohdan nojalla ja tavallista lainsäätämisjärjestystä noudattaen. Yhtäältä SEUT 77 artiklan 3 kohdassa viitataan nimenomaisesti unionin toimivaltaan antaa muun muassa henkilötodistuksia koskevia säännöksiä ja se on siten SEUT 21 artiklan 2 kohtaa erityisempi määräys. Toisaalta unionin tuomioistuin on katsonut 17.10.2013 antamassaan tuomiossa Schwarz (C-291/12, EU:C:2013:670), että siltä osin kuin asetuksessa N:o 2252/2004 vahvistetaan passien biometriikkaa koskevat vaatimukset, se perustui pätevästi EY 62 artiklan 2 kohdan a alakohtaan, jota vastaa nykyään SEUT 77 artiklan 3 kohta.
31 Toiseksi ennakkoratkaisua pyytänyt tuomioistuin vetoaa asetuksen 2019/1157 antamiseen mahdollisesti liittyvään menettelyvirheeseen. Kuten Euroopan tietosuojavaltuutettu on korostanut 10.8.2018 antamassaan lausunnossa 7/2018, joka koskee ehdotusta asetukseksi unionin kansalaisten henkilökorttien ja muiden asiakirjojen turvallisuuden lisäämisestä (jäljempänä lausunto 7/2018), sormenjälkien kerääminen ja tallentaminen ovat henkilötietojen käsittelyä, josta on tehtävä vaikutustenarviointi yleisen tietosuoja-asetuksen 35 artiklan 10 kohdan nojalla. Nyt käsiteltävässä asiassa tällaista vaikutustenarviointia ei kuitenkaan ole tehty. Se toteaa erityisesti, että mainitun asetusehdotuksen liitteenä olevaa asiakirjaa, jonka otsikko on ”Impact assessment”, ei voida pitää kyseisessä säännöksessä tarkoitettuna vaikutustenarviointina.
32 Kolmanneksi ennakkoratkaisua pyytänyt tuomioistuin pohtii tarkemmin asetuksen 2019/1157 3 artiklan 5 kohdan yhteensopivuutta perusoikeuskirjan 7 artiklan, joka koskee yksityis- ja perhe-elämän kunnioittamista, ja 8 artiklan, joka koskee henkilötietojen suojaa, kanssa. Jäsenvaltioille asetettu velvollisuus myöntää henkilökortteja, joiden tallennusväline sisältää kaksi sormenjälkeä, rajoittaa nimittäin näissä kahdessa perusoikeuskirjan määräyksessä tunnustettujen oikeuksien käyttämistä, ja tämä rajoitus voidaan oikeuttaa vain, jos se täyttää perusoikeuskirjan 52 artiklan 1 kohdassa asetetut edellytykset.
33 Yhtäältä mainittu rajoitus ei ennakkoratkaisua pyytäneen tuomioistuimen mukaan ehkä vastaa yleisen edun mukaista tavoitetta. Unionin tuomioistuin on kyllä katsonut 17.10.2013 antamassaan tuomiossa Schwarz (C-291/12, EU:C:2013:670), että kolmansien maiden kansalaisten unionin alueelle tapahtuvan laittoman saapumisen torjunta on unionin oikeudessa tunnustettu tavoite. Henkilökortti ei kuitenkaan ensisijaisesti ole passin kaltainen matkustusasiakirja, ja sen tarkoituksena on ainoastaan mahdollistaa unionin kansalaisen henkilöllisyyden todentaminen hänen suhteissaan niin hallintoviranomaisiin kuin kolmansiin henkilöihin.
34 Jos toisaalta katsotaan, että kyseisellä asetuksella pyritään unionin oikeudessa tunnustettuun yleisen edun mukaiseen tavoitteeseen, tämän saman rajoituksen oikeasuhteisuutta on syytä epäillä. Unionin tuomioistuimen 17.10.2013 antamassaan tuomiossa Schwarz (C-291/12, EU:C:2013:670) omaksumaa ratkaisua ei nimittäin voida soveltaa asetukseen 2019/157, koska se koski passeja, joiden hallussapito, toisin kuin henkilökortit, on Saksassa vapaaehtoista, ja niillä on eri käyttötarkoitus.
35 Lausunnosta 7/2018 ilmenee ennakkoratkaisua pyytäneen tuomioistuimen mukaan sitä vastoin, että sormenjälkien liittämisellä ja tallentamisella on laaja vaikutus, joka voi koskea jopa 370:ä miljoonaa EU:n kansalaista, ja vaatimus pakollisesta sormenjälkien ottamisesta voi mahdollisesti koskea 85 prosenttia EU:n väestöstä. Tämä laaja vaikutus yhdistettynä käsiteltyjen tietojen huomattavaan arkaluonteisuuteen (kasvokuva yhdessä kahden sormenjäljen kanssa) merkitsee sitä, että perusoikeuskirjan 7 ja 8 artiklassa taattujen oikeuksien käytön rajoitus, joka johtuu sormenjälkien pakollisesta keräämisestä henkilökorttien laatimista varten, on merkittävämpi kuin passien osalta, mikä vastapainoksi edellyttää kyseessä olevan toimenpiteen vahvempia perusteluja ja tarpeellisuuden arviointiin perustuvaa tarkkaa tarkastelua.
36 Joka tapauksessa oikeasuhteisuuden tarkka valvonta on tarpeen myös yleisen tietosuoja-asetuksen 9 artiklan 1 kohdan nojalla; sen mukaan tällaisten biometristen tietojen käsittely on lähtökohtaisesti kielletty ja se voidaan sallia vain poikkeuksellisissa ja tiukasti rajatuissa tapauksissa.
37 Vaikka ennakkoratkaisua pyytänyt tuomioistuin katsoo tässä yhteydessä, että biometristen tietojen käyttö vähentää asiakirjan väärentämisen riskiä, se on epävarma siitä, voidaanko pelkästään tällä seikalla perustella henkilötietojen suojaa koskevaan oikeuteen kohdistuvan rajoituksen laajuutta, kun otetaan huomioon erityisesti jäljempänä esitetyt syyt.
38 Ensinnäkin Euroopan tietosuojavaltuutettu on korostanut lausunnossaan 7/2018, että muut henkilöllisyyttä osoittavien asiakirjojen turvalliset painamistekniikat, kuten hologrammit tai vesileimat, ovat selvästi vähemmän yksityisyyteen puuttuvia ja mahdollistavat myös näiden asiakirjojen väärentämisen torjumisen ja niiden aitouden tarkistamisen. Lisäksi se, että Saksan oikeudessa sallitaan se, että henkilökortti, jonka siru on viallinen, pysyy voimassa, osoittaa, että fyysiset elementit, erityisesti mikrokirjoitus tai ultraviolettivalossa näkyvät painatukset riittävät takaamaan mainittujen korttien turvallisuuden.
39 Lisäksi asetuksen 2019/1157 3 artiklan 7 kohdassa annetaan ennakkoratkaisua pyytäneen tuomioistuimen mukaan jäsenvaltioille mahdollisuus vapauttaa alle 12-vuotiaat lapset sormenjälkiensä antamista koskevasta velvollisuudesta ja ne velvoitetaan joka tapauksessa vapauttamaan alle kuusivuotiaat lapset tästä velvollisuudesta, mikä osoittaa, ettei kahden sormenjäljen ottaminen ole ehdottoman välttämätöntä.
40 Lisäksi ennakkoratkaisua pyytänyt tuomioistuin toteaa, että asetuksen 2019/1157 3 artiklan 5 kohdassa ei noudateta tietojen minimoinnin periaatetta, josta säädetään yleisen tietosuoja-asetuksen 5 artiklassa, josta ilmenee, että henkilötietojen keräämisen ja käytön on oltava asianmukaista, olennaista ja rajoitettua siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään. On nimittäin niin, että vaikka kahden täydellisen sormenjäljen ottaminen pelkästään näiden sormenjälkien erikoiskohtien (”minutiæ”) keräämisen sijaan edistää erityyppisten järjestelmien yhteentoimivuutta, se lisää myös tallennettujen henkilötietojen määrää ja näin ollen tietovuotoon liittyvän identiteettipetoksen riskiä. Tämä riski ei sitä paitsi ole merkityksetön, koska henkilökorteissa käytetyt sirut saattavat olla luvattomien skannerien luettavissa.
41 Lopuksi ennakkoratkaisua pyytänyt tuomioistuin toteaa, että perusoikeuskirjan 7 ja 8 artiklassa taattujen oikeuksien käytön rajoittaminen saattaa olla perusteetonta, koska Euroopan tietosuojavaltuutettu on todennut lausunnossaan 7/2018, että kun asetus 2019/1157 annettiin, vilpillisten henkilökorttien määrä oli suhteellisen pieni suhteessa myönnettyjen korttien määrään (38 870 vuosina 2013–2017 todettua vilpillistä korttia) ja että tämä määrä oli vähentynyt useiden vuosien ajan.
42 Tässä tilanteessa Verwaltungsgericht Wiesbaden on päättänyt lykätä asian käsittelyä ja esittää unionin tuomioistuimelle seuraavan ennakkoratkaisukysymyksen:
” Onko [asetuksen 2019/1157] 3 artiklan 5 kohdassa säädetty velvollisuus ottaa sormenjäljet ja tallentaa ne henkilökortteihin ristiriidassa ylemmäntasoisen unionin oikeuden, erityisesti
a) SEUT 77 artiklan 3 kohdan
b) [perusoikeuskirjan] 7 ja 8 artiklan
c) yleisen tietosuoja-asetuksen 35 artiklan 10 kohdan, kanssa
ja siksi jonkin edellä mainitun perusteella pätemätön?”
III Ennakkoratkaisukysymyksen tarkastelu
43 Ennakkoratkaisua pyytänyt tuomioistuin kysyy kysymyksellään, onko asetus 2019/1157 kokonaan tai osittain pätemätön ensinnäkin sillä perusteella, että se on annettu väärän oikeusperustan nojalla, toiseksi sillä perusteella, että se on yleisen tietosuoja-asetuksen 35 artiklan 10 kohdan vastainen, ja kolmanneksi sillä perusteella, että sillä rikotaan perusoikeuskirjan 7 ja 8 artiklaa.
A Ensimmäinen pätemättömyysperuste, joka koskee väärän oikeusperustan käyttämistä
44 Ensimmäinen pätemättömyysperuste, jonka ennakkoratkaisua pyytänyt tuomioistuin esittää, koskee kysymystä siitä, että kun otetaan huomioon erityisesti SEUT 77 artiklan 3 kohdassa oleva nimenomainen viittaus henkilötodistuksiin sekä 17.10.2013 annetussa tuomiossa Schwarz (C-291/12, EU:C:2013:670) omaksuttu ratkaisu, olisiko asetus 2019/1157 pitänyt antaa kyseisen 77 artiklan 3 kohdan nojalla ja siinä määrättyä erityistä lainsäätämisjärjestystä noudattaen eikä – kuten tapahtui – SEUT 21 artiklan 2 kohdan nojalla ja tavallisessa lainsäätämisjärjestyksessä.
1. Alustavat huomautukset
45 Vakiintuneen oikeuskäytännön mukaan unionin toimen oikeusperustan valinnan on perustuttava sellaisiin objektiivisiin seikkoihin, jotka voivat olla tuomioistuimen suorittaman valvonnan kohteena ja joihin kuuluvat toimen tarkoitus ja sisältö (tuomio 16.2.2022, Unkari v. parlamentti ja neuvosto, C-156/21, EU:C:2022:97, 107 kohta ja tuomio 16.2.2022, Puola v. parlamentti ja neuvosto, C-157/21, EU:C:2022:98, 121 kohta).
46 Lisäksi on todettava, että kun perussopimuksissa on erityinen määräys, joka voi olla kyseessä olevan toimen oikeusperusta, toimen on perustuttava kyseiseen määräykseen (tuomio 6.9.2012, parlamentti v. neuvosto, C-490/10, EU:C:2012:525, 44 kohta ja tuomio 8.12.2020, Puola v. parlamentti ja neuvosto, C-626/18, EU:C:2020:1000, 48 kohta oikeuskäytäntöviittauksineen).
47 Lopuksi on huomautettava, että jos unionin toimea tarkasteltaessa ilmenee, että sillä on useita eri tarkoituksia tai että siinä on useita tekijöitä, ja jos yksi näistä on yksilöitävissä toimen pääasialliseksi tai määrääväksi tarkoitukseksi tai tekijäksi, kun taas muut ovat ainoastaan liitännäisiä tai niiden ulottuvuus on äärimmäisen rajallinen, toimen toteuttamisen oikeusperusta on määritettävä pääasiallisen tarkoituksen tai tekijän perusteella (ks. vastaavasti tuomio 20.11.2018, komissio v. neuvosto (Etelämantereen merelliset suojelualueet), C-626/15 ja C-659/16, EU:C:2018:925, 77 kohta ja lausunto 1/19 (Istanbulin yleissopimus), 6.10.2021, ECLI:EU:C:2021:832, 286 kohta).
2. SEUT 21 artiklan 2 kohdan ja SEUT 77 artiklan 3 kohdan soveltamisalat
48 SEUT 21 artiklan 2 kohdassa määrätään, että jos jokin unionin toimi osoittautuu tarpeelliseksi, jotta voidaan taata jokaisen kansalaisen oikeus liikkua ja oleskella vapaasti jäsenvaltioiden alueella, eikä perussopimuksissa ole määräyksiä tähän tarvittavista valtuuksista, Euroopan parlamentti ja neuvosto voivat tavallista lainsäätämisjärjestystä noudattaen antaa säännöksiä näiden oikeuksien käyttämisen helpottamiseksi.
49 Tästä seuraa, että kyseisellä määräyksellä annetaan unionille yleinen toimivalta antaa tarvittavat säännökset, joilla helpotetaan unionin kansalaisten SEUT 20 artiklan 2 kohdan a alakohdassa tarkoitetun vapaata liikkumista ja oleskelua jäsenvaltioiden alueella koskevan oikeuden käyttämistä, jollei perussopimuksissa tätä varten määrätyistä valtuuksista muuta johdu.
50 Toisin kuin SEUT 21 artiklan 2 kohdassa, SEUT 77 artiklan 3 kohdassa määrätään nimenomaisesti tällaisista valtuuksista siltä osin kuin on kyse sellaisten toimenpiteiden toteuttamisesta, jotka koskevat unionin kansalaisille myönnettäviä passeja, henkilötodistuksia, oleskelulupia tai muita niihin rinnastettavia asiakirjoja ja joiden tarkoituksena on helpottaa SEUT 20 artiklan 2 kohdan a alakohdassa tarkoitetun vapaata liikkumista ja oleskelua jäsenvaltioiden alueella koskevan oikeuden käyttämistä.
51 On totta, että SEUT 77 artiklan 3 kohta sisältyy kyseisen sopimuksen V osastoon, joka koskee vapauden, turvallisuuden ja oikeuden aluetta, ja tarkemmin sanottuna kyseisen osaston 2 lukuun, jonka otsikko on ”Rajavalvonta-, turvapaikka- ja maahanmuuttopolitiikka”. SEUT 77 artiklan 1 kohdan mukaan unioni kehittää kuitenkin politiikan, jonka tarkoituksena on varmistaa sekä se, ettei sisärajoja ylittäviä henkilöitä heidän kansalaisuudestaan riippumatta tarkasteta, sekä henkilöiden tarkastukset ja tehokas valvonta ulkorajojen ylittämisen yhteydessä, ja ottaa vaiheittain käyttöön yhdennetty ulkorajojen rajaturvallisuusjärjestelmä. Passeja, henkilötodistuksia, oleskelulupia tai muita niihin rinnastettavia asiakirjoja koskevat säännökset, joita kyseisen 77 artiklan 3 kohdassa määrätty toimivalta koskee, ovat erottamaton osa tällaista unionin politiikkaa. Näiden asiakirjojen avulla unionin kansalaiset voivat nimittäin muun muassa todistaa, että heillä on oikeus liikkua ja oleskella vapaasti jäsenvaltioiden alueella, ja siis käyttää tätä oikeutta. Näin ollen mainittu 77 artiklan 3 kohta voi olla perustana mainittuja asiakirjoja koskevien toimenpiteiden toteuttamiselle, jos osoittautuu, että tällaista toimintaa tarvitaan helpottamaan mahdollisuutta käyttää SEUT 20 artiklan 2 kohdan a alakohdassa tarkoitettua oikeutta..
52 Tätä SEUT 77 artiklan 3 kohdan aineellisen ulottuvuuden tulkintaa ei horjuta se perussopimusten historiallinen kehitys, joka koskee unionin toimivaltaa toteuttaa passeja, henkilötodistuksia, oleskelulupia ja muita niihin rinnastettavia asiakirjoja koskevia toimenpiteitä ja johon parlamentti, neuvosto ja komissio viittaavat, eikä se Saksan hallituksen mainitsema seikka, jonka mukaan kyseistä määräystä sovelletaan, ”[jollei] perussopimuksissa ole määräyksiä tähän tarvittavista valtuuksista”.
53 Lissabonin sopimuksella tosin poistettiin aiemmin EY 18 artiklan 3 kohtaan sisältynyt määräys, jossa nimenomaisesti suljettiin pois unionin lainsäätäjän mahdollisuus käyttää EY 18 artiklan 2 kohtaa (josta on tullut SEUT 21 artiklan 2 kohta) oikeusperustana annettaessa sekä ”passeja, henkilötodistuksia, oleskelulupia tai muita niihin rinnastettavia asiakirjoja koskevia määräyksiä” että ”sosiaaliturvaa tai sosiaalista suojelua koskevia määräyksiä”. Kyseisessä sopimuksessa annetaan kuitenkin samaan aikaan nimenomaisesti unionille toimivalta näillä kahdella alalla – eli yhtäältä SEUT 21 artiklan 3 kohdassa sosiaaliturvan ja sosiaalisen suojelun osalta ja toisaalta SEUT 77 artiklan 3 kohdassa passeja, henkilötodistuksia, oleskelulupia tai muita niihin rinnastettavia asiakirjoja koskevien säännösten osalta – ja asetetaan mainittujen alojen toimenpiteiden hyväksymisen edellytykseksi erityinen lainsäätämisjärjestys ja erityisesti neuvoston yksimielisyys.
54 Näin ollen EY 18 artiklan 3 kohdassa aiemmin olleen määräyksen poistamisesta ei voida päätellä, että vastedes olisi mahdollista antaa ”säännöksiä, jotka koskeva passeja, henkilötodistuksia, oleskelulupia tai muita niihin rinnastettavia asiakirjoja” SEUT 21 artiklan 2 kohdan nojalla. Historiallisesta kehityksestä ilmenee päinvastoin, että perussopimusten laatijoiden tarkoituksena on ollut antaa SEUT 77 artiklan 3 kohdassa unionille tällaisten säännösten, joilla pyritään helpottamaan SEUT 20 artiklan 2 kohdan a alakohdassa taatun vapaata liikkumista ja oleskelua jäsenvaltioiden alueella koskevan oikeuden käyttämistä, antamista koskeva toimivalta, joka on erityisempi kuin kyseisessä 21 artiklan 2 kohdassa määrätty yleisempi toimivalta.
55 Lisäksi SEUT 77 artiklan 3 kohdassa oleva maininta, jonka mukaan kyseistä määräystä sovelletaan, ”[jollei] perussopimuksissa ole määräyksiä tähän tarvittavista valtuuksista”, on ymmärrettävä EUT-sopimuksen yleinen rakenne huomioon ottaen siten, että tällaisia valtuuksia eivät ole ne, jotka on annettu SEUT 21 artiklan 2 kohdan kaltaisella yleisemmin sovellettavalla määräyksellä vaan vielä erityisemmällä määräyksellä.
56 Näin ollen asetuksen 2019/1157 antaminen saattoi perustua SEUT 21 artiklan 2 kohtaan vain sillä edellytyksellä, että kyseisen asetuksen pääasiallinen tai määräävä tarkoitus tai tekijä ei kuulu SEUT 77 artiklan 3 kohdan erityiseen soveltamisalaan, joka on SEUT 20 artiklan 2 kohdan a alakohdassa tarkoitetun oikeuden käyttämisen helpottamiseksi tapahtuva passien, henkilötodistusten, oleskelulupien tai muiden niihin rinnastettavien asiakirjojen myöntäminen.
3. Asetuksen 2019/1157 pääasiallinen tai määräävä tarkoitus tai tekijä
57 Ensinnäkin asetuksen 2019/1157 tarkoituksesta on todettava, että sen 1 artiklassa säädetään, että asetuksen tarkoituksena on vahvistaa turvavaatimukset, joita sovelletaan henkilökortteihin, joita jäsenvaltiot myöntävät kansalaisilleen, ja oleskeluasiakirjoihin, joita jäsenvaltiot myöntävät unionin kansalaisille ja heidän perheenjäsenilleen heidän käyttäessään oikeuttaan vapaaseen liikkuvuuteen unionissa.
58 Vastaavasti kyseisen asetuksen johdanto-osan 46 perustelukappaleessa todetaan, että asetuksen tavoitteena on näiden matkustus- ja henkilöasiakirjojen ”turvallisuuden parantami[nen]” ”unionin kansalaisten ja heidän perheenjäsentensä oikeuden vapaaseen liikkuvuuteen käyttämisen helpottamis[eksi]”, mikä vahvistetaan myös mainitun asetuksen johdanto-osan 1, 2, 5, 17, 28, 29 ja 36 perustelukappaleessa.
59 Toiseksi asetuksen 2019/1157 sisällöstä on todettava, että asetus sisältää kuusitoista artiklaa. Kyseisen asetuksen 1 ja 2 artiklassa määritellään asetuksen kohde ja soveltamisala. Asetuksen 3 ja 4 sekä 6 ja 7 artiklassa, jotka ovat sen pääasiallisia tekijöitä, säädetään muun muassa turvallisuutta, sisältöä, muotoa tai eritelmiä koskevista vaatimuksista, jotka jäsenvaltioiden myöntämien henkilökorttien ja oleskeluasiakirjojen on täytettävä, kun taas asetuksen 5 ja 8 artiklassa säädetään sellaisten henkilökorttien ja oleskelukorttien vaiheittaisesta käytöstä poistamisesta, jotka eivät täytä asetuksessa säädettyjä vaatimuksia. Lopuksi asetuksen 2019/1157 9–16 artiklassa täsmennetään, miten siinä säädetyt velvoitteet on pantava täytäntöön erityisesti biometristen tunnisteiden keräämisen ja henkilötietojen suojan osalta.
60 Asetuksen 2019/1157 2 artiklassa kyllä säädetään, että asetusta sovelletaan paitsi henkilökortteihin, joita jäsenvaltiot myöntävät omille kansalaisilleen, myös rekisteröintitodistuksiin, joita myönnetään direktiivin 2004/38 8 artiklan mukaisesti unionin kansalaisille, jotka oleskelevat vastaanottavassa jäsenvaltiossa yli kolme kuukautta, ja tämän direktiivin 19 artiklan mukaisesti myönnettyihin pysyvän oleskeluoikeuden osoittaviin todistuksiin, eikä näitä todistuksia voida rinnastaa henkilökortteihin, passeihin tai oleskelulupiin. Asetuksessa 2019/1157 ei kuitenkaan ole lainkaan näitä todistuksia sääteleviä säännöksiä, ja sen 6 artiklan ensimmäisen kohdan f alakohdassa todetaan vain, että unionin kansalaisille myöntämissä oleskeluasiakirjoissa on mainittava direktiivin 2004/38/EY 8 ja 19 artiklan mukaisesti myönnettyihin rekisteröintitodistuksiin ja pysyvän oleskeluoikeuden osoittaviin asiakirjoihin sisällytettävät tiedot. Niinpä on katsottava, että kyseisen asetuksen tarkoitus ja tekijä, jotka liittyvät näihin todistuksiin, ovat ulottuvuudeltaan äärimmäisen rajallisia, joten kyseisen asetuksen oikeusperustaa ei voida määrittää tämän tarkoituksen tai tekijän perusteella.
61 Niinpä asetuksen 2019/1157 pääasiallisesta tarkoituksesta ja pääasiallisista tekijöistä seuraa, että asetus kuuluu toimiin, jotka kuuluvat SEUT 77 artiklan 3 kohdan erityiseen soveltamisalaan, sellaisena kuin soveltamisala on yksilöity tämän tuomion 48–51 kohdassa.
62 Näin ollen unionin lainsäätäjä rikkoi SEUT 77 artiklan 3 kohtaa ja noudatti väärää lainsäätämisjärjestystä antaessaan asetuksen 2019/1157 SEUT 21 artiklan 2 kohdan nojalla.
63 Tästä seuraa, että ennakkoratkaisua pyytäneen tuomioistuimen esiin tuoma ensimmäinen pätemättömyysperuste, jonka mukaan asetus 2019/1157 on annettu virheellisesti SEUT 21 artiklan 2 kohdan nojalla ja tavallista lainsäätämisjärjestystä noudattaen, voi johtaa kyseisen asetuksen pätemättömyyteen.
B Toinen pätemättömyysperuste, joka koskee yleisen tietosuoja-asetuksen 35 artiklan 10 kohdan noudattamatta jättämistä
64 Ennakkoratkaisua pyytäneen tuomioistuimen esittämän toisen pätemättömyysperusteen mukaan asetus 2019/1157 on annettu ilman tietosuojaa koskevaa vaikutustenarviointia, mikä on vastoin yleisen tietosuoja-asetuksen 35 artiklan 10 kohtaa.
65 Tästä on todettava, että yleisen tietosuoja-asetuksen 35 artiklan 1 kohdassa säädetään, että jos tietyntyyppinen käsittely etenkin uutta teknologiaa käytettäessä todennäköisesti aiheuttaa – käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset huomioon ottaen – luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin, rekisterinpitäjän on ennen käsittelyä toteutettava arviointi suunniteltujen käsittelytoimien vaikutuksista henkilötietojen suojalle. Kyseisen asetuksen 35 artiklan 3 kohdassa täsmennetään, että tällainen arviointi vaaditaan, kun käsitellään laajamittaisesti asetuksen 9 artiklan 1 kohdassa tarkoitettuja erityisiä tietoryhmiä, kuten biometrisiä tietoja luonnollisen henkilön yksiselitteistä tunnistamista varten.
66 Koska nyt käsiteltävässä asiassa asetuksessa 2019/1157 ei itsessään suoriteta mitään toimintoa, joka kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin, vaan siinä säädetään vain, että jäsenvaltiot suorittavat tiettyjä käsittelyjä henkilökorttia haettaessa, on todettava, että kyseisen asetuksen antaminen ei edellyttänyt, että suunniteltujen käsittelytoimien vaikutuksista olisi ensin tehty yleisen tietosuoja-asetuksen 35 artiklan 1 kohdassa tarkoitettu arviointi. Tämän asetuksen 35 artiklan 10 kohta on poikkeus kyseisen asetuksen 35 artiklan 1 kohdasta.
67 Tästä seuraa, että koska – kuten edellä esitetystä ilmenee – yleisen tietosuoja-asetuksen 35 artiklan 1 kohtaa ei ollut tarkoitus soveltaa asetusta 2019/1157 annettaessa, tällä asetuksen antamisella ei ole voitu rikkoa asetuksen 2016/679 35 artiklan 10 kohtaa.
68 Edellä esitetyn perusteella toinen peruste, joka koskee yleisen tietosuoja-asetuksen 35 artiklan 10 kohdan rikkomista, ei voi johtaa asetuksen 2019/1157 pätemättömyyteen.
C Kolmas pätemättömyysperuste, joka koskee asetuksen 2019/1157 3 artiklan 5 kohdan yhteensopimattomuutta perusoikeuskirjan 7 ja 8 artiklan kanssa
69 Ennakkoratkaisua pyytäneen tuomioistuimen mainitsema kolmas asetuksen 2019/1157 pätemättömyyteen liittyvä peruste koskee kysymystä siitä, merkitseekö kyseisen asetuksen 3 artiklan 5 kohdassa säädetty velvollisuus sisällyttää jäsenvaltioiden myöntämien henkilökorttien tallennusvälineeseen kaksi täydellistä sormenjälkeä perusoikeuskirjan 7 ja 8 artiklassa taattujen oikeuksien perusteetonta rajoittamista.
1. Rajoittamisen arviointi
70 Perusoikeuskirjan 7 artiklassa määrätään muun muassa, että jokaisella on oikeus siihen, että hänen yksityiselämäänsä kunnioitetaan. Perusoikeuskirjan 8 artiklan 1 kohdan mukaan jokaisella on oikeus henkilötietojensa suojaan. Yhdessä luettuina näistä määräyksistä seuraa, että lähtökohtaisesti näitä oikeuksia saatetaan loukata millä tahansa ulkopuolisen suorittamalla henkilötietojen käsittelyllä (tuomio 17.10.2013, Schwarz, C-291/12, EU:C:2013:670, 25 kohta).
71 Nyt käsiteltävässä asiassa on todettava, että asetuksen 2019/1157 3 artiklan 5 kohdassa säädetään, että jäsenvaltioiden kansalaisilleen myöntämiin henkilökortteihin on sisällyttävä erittäin turvallinen tallennusväline, jonka on sisällettävä biometrisiä tietoja, jotka ovat kortin haltijan kasvokuva ja kaksi sormenjälkeä yhteentoimivassa digitaalisessa muodossa.
72 Tällaiset henkilötiedot mahdollistavat kuitenkin asianomaisten luonnollisten henkilöiden täsmällisen tunnistamisen, ja ne ovat erityisen arkaluonteisia, koska niiden käytöstä voi aiheutua huomattavia riskejä perusvapauksille ja -oikeuksille, kuten ilmenee erityisesti yleisen tietosuoja-asetuksen, jota sovelletaan kyseessä oleviin tietoihin, kuten asetuksen 2019/1157 johdanto-osan 40 perustelukappaleessa todetaan, johdanto-osan 51 perustelukappaleesta.
73 Näin ollen asetuksen 2019/1157 3 artiklan 5 kohdassa säädetyllä velvollisuudella sisällyttää kaksi sormenjälkeä henkilökorttien tallennusvälineeseen rajoitetaan sekä yksityiselämän kunnioittamista koskevaa oikeutta että oikeutta henkilötietojen suojaan, jotka vahvistetaan perusoikeuskirjan 7 ja 8 artiklassa.
74 Lisäksi tämä velvollisuus merkitsee sitä, että ensin suoritetaan kaksi peräkkäistä henkilötietojen käsittelytoimea eli kyseisten sormenjälkien kerääminen rekisteröidyltä ja niiden väliaikainen tallentaminen henkilökorttien yksilöintiä varten, ja näistä toimista säädetään mainitun asetuksen 10 artiklassa. Mainituilla toimilla rajoitetaan myös perusoikeuskirjan 7 ja 8 artiklassa vahvistettuja oikeuksia.
2. Rajoittamisen oikeuttaminen
75 Kuten vakiintuneesta oikeuskäytännöstä ilmenee, perusoikeuskirjan 7 artiklassa taattu yksityiselämän kunnioittamista koskeva oikeus ja 8 artiklassa taattu henkilötietojen suoja eivät ole ehdottomia vaan ne on suhteutettava siihen tehtävään, joka niillä on yhteiskunnassa (ks. vastaavasti tuomio 20.9.2022, SpaceNet ja Telekom Deutschland (C-793/19 ja C-794/19, EU:C:2022:702, 63 kohta).
76 Näitä oikeuksia voidaan siis rajoittaa, kunhan rajoituksista säädetään perusoikeuskirjan 52 artiklan 1 kohdan ensimmäisen virkkeen mukaisesti lailla ja kyseisten oikeuksien keskeistä sisältöä kunnioittaen. Lisäksi kyseisen kohdan toisen virkkeen mukaan suhteellisuusperiaatteen mukaisesti rajoituksia voidaan säätää ainoastaan, jos ne ovat välttämättömiä ja vastaavat tosiasiallisesti unionin tunnustamia yleisen edun mukaisia tavoitteita tai tarvetta suojella muiden henkilöiden oikeuksia ja vapauksia. Tältä osin perusoikeuskirjan 8 artiklan 2 kohdassa täsmennetään, että henkilötietojen käsittelyn on muun muassa ”tapahduttava tiettyä tarkoitusta varten ja asianomaisen henkilön suostumuksella tai muun laissa säädetyn oikeuttavan perusteen nojalla”.
a) Laillisuusperiaatteen kunnioittaminen
77 Perusoikeuskirjan 52 artiklan 1 kohdan ensimmäisessä virkkeessä määrätystä edellytyksestä, jonka mukaan perusoikeuksien käyttämistä voidaan rajoittaa ainoastaan lailla, on huomautettava, että se tarkoittaa sitä, että itse siinä toimessa, joka mahdollistaa puuttumisen näihin oikeuksiin, on määritettävä asianomaisen oikeuden käyttämiselle asetettavan rajoituksen laajuus, ja on täsmennettävä yhtäältä, että kyseinen edellytys ei sulje pois sitä, että rajoitus muotoillaan riittävän avoimesti niin, että se voi mukautua erilaisiin tapauksiin ja tilanteiden muutoksiin, ja toisaalta, että unionin tuomioistuin voi tarvittaessa täsmentää tulkintateitse rajoituksen konkreettisen ulottuvuuden sekä kyseessä olevan unionin lainsäädännön sanamuodon kannalta että sen yleisen järjestelmän ja sillä tavoiteltujen päämäärien kannalta, siten kuin näitä tulkitaan perusoikeuskirjassa taattujen perusoikeuksien mukaisesti (tuomio 21.6.2022, Ligue des droits humains, C-817/19, EU:C:2022:491, 114 kohta).
78 Nyt käsiteltävässä asiassa perusoikeuskirjan 7 ja 8 artiklassa taattujen perusoikeuksien käytön rajoitukset, jotka johtuvat velvollisuudesta sisällyttää kaksi täydellistä sormenjälkeä jäsenvaltioiden myöntämien henkilökorttien tallennusvälineeseen, sekä näiden rajoitusten soveltamisedellytykset ja ulottuvuus on määritelty selvästi ja täsmällisesti asetuksen 2019/1157 3 artiklan 5 kohdassa ja 10 artiklan 1 ja 3 kohdassa, jotka unionin lainsäätäjä on hyväksynyt tavallisessa lainsäätämisjärjestyksessä ja joiden vaikutukset pysytetään voimassa tällä tuomiolla.
79 Näin ollen mainitut perusoikeuskirjan 7 ja 8 artiklassa taattujen perusoikeuksien käyttämistä koskevat rajoitukset ovat perusoikeuskirjan 52 artiklan 1 kohdan ensimmäisessä virkkeessä tarkoitetun laillisuusperiaatteen mukaisia.
b) Perusoikeuskirjan 7 ja 8 artiklassa taattujen perusoikeuksien keskeisen sisällön kunnioittaminen
80 On todettava, että sormenjälkien antamat tiedot eivät yksinään mahdollista kuvan saamista asianomaisten henkilöiden yksityis- ja perhe-elämästä.
81 Näin ollen rajoitus, joka aiheutuu velvollisuudesta sisällyttää kaksi sormenjälkeä jäsenvaltioiden myöntämien henkilökorttien tallennusvälineeseen ja josta säädetään asetuksen 2019/1157 3 artiklan 5 kohdassa, ei loukkaa perusoikeuskirjan 7 ja 8 artiklassa vahvistettujen perusoikeuksien keskeistä sisältöä (ks. analogisesti tuomio 21.6.2022, Ligue des droits humains, C-817/19, EU:C:2022:491, 120 kohta).
c) Suhteellisuusperiaatteen noudattaminen
82 Kuten perusoikeuskirjan 52 artiklan 1 kohdan toisesta virkkeestä ilmenee, jotta perusoikeuskirjassa taattujen perusoikeuksien käyttämistä voidaan rajoittaa suhteellisuusperiaatteen mukaisesti, rajoitusten on oltava välttämättömiä ja vastattava tosiasiallisesti unionin tunnustamia yleisen edun mukaisia tavoitteita tai tarvetta suojella muiden henkilöiden oikeuksia ja vapauksia.
83 Erityisesti on todettava, että poikkeukset henkilötietojen suojaan ja sitä koskevat rajoitukset toteutetaan täysin välttämättömän rajoissa, ja silloin, kun on mahdollista valita usean tavoiteltujen hyväksyttävien päämäärien toteuttamiseen soveltuvan toimenpiteen välillä, on valittava vähiten rajoittava. Yleisen edun mukaiseen tavoitteeseen ei myöskään voida hyväksyttävästi pyrkiä ottamatta huomioon sitä, että se on sovitettava yhteen niiden perusoikeuksien kanssa, joita kyseessä oleva toimenpide koskee, saattamalla yhtäältä yleisen edun mukainen tavoite ja toisaalta kyseessä olevat oikeudet keskenään harmoniseen tasapainoon, jotta varmistetaan, että tästä toimenpiteestä aiheutuvat haitat eivät ole liian suuria tavoiteltuihin päämääriin nähden. Mahdollisuutta oikeuttaa perusoikeuskirjan 7 ja 8 artiklassa taattujen oikeuksien rajoittaminen on siis arvioitava tutkimalla tällaiseen rajoittamiseen sisältyvän puuttumisen vakavuutta ja tarkastamalla, että kyseisen rajoituksen yleisen edun mukaisen tavoitteen tärkeys on oikeassa suhteessa tähän vakavuuteen (tuomio 22.11.2022, Luxembourg Business Registers, C-37/20 ja C-601/20, EU:C:2022:912, 64 kohta oikeuskäytäntöviittauksineen).
84 Näin ollen sen selvittämiseksi, onko perusoikeuskirjan 7 ja 8 artiklassa taattuihin oikeuksiin puuttuminen, joka johtuu velvollisuudesta liittää kaksi sormenjälkeä henkilökorttien tallennusvälineeseen, josta säädetään asetuksen 2019/1157 3 artiklan 5 kohdassa, nyt käsiteltävässä asiassa suhteellisuusperiaatteen mukaista, on tutkittava ensinnäkin, pyritäänkö kyseisellä toimenpiteellä yhteen tai useampaan unionin tunnustamaan yleisen edun mukaiseen tavoitteeseen ja voidaanko sillä tosiasiallisesti saavuttaa nämä tavoitteet, toiseksi, rajoittuuko kyseisestä velvollisuudesta johtuva puuttuminen täysin välttämättömään siinä mielessä, että kyseisiä tavoitteita ei voitaisi kohtuudella saavuttaa yhtä tehokkaasti muilla näitä rekisteröityjen perusoikeuksia vähemmän rajoittavilla keinoilla, ja kolmanneksi, ettei tämä puuttuminen ole suhteeton tavoitteisiin nähden, mikä edellyttää erityisesti näiden tavoitteiden tärkeyden ja mainitun puuttumisen vakavuuden punnintaa (ks. vastaavasti tuomio 22.11.2022, Luxembourg Business Registers, C-37/20 ja C-601/20, EU:C:2022:912, 66 kohta ja tuomio 8.12.2022, Orde van Vlaamse Balies ym., C-694/20, EU:C:2022:963, 42 kohta).
1) Yhteen tai useampaan unionin tunnustamaan yleisen edun mukaiseen tavoitteeseen pyrkiminen ja se, voidaanko toimenpiteellä saavuttaa nämä tavoitteet
i) Kyseisen toimenpiteen tavoitteiden yleisen edun mukaisuus
85 Asetuksen 2019/1157 1 artiklan mukaan asetuksen tarkoituksena on vahvistaa turvavaatimuksia, joita sovelletaan muun muassa henkilökortteihin, joita jäsenvaltiot myöntävät kansalaisilleen heidän käyttäessään oikeuttaan vapaaseen liikkuvuuteen.
86 Tarkemmin sanottuna ja kuten asetuksen 2019/1157 johdanto-osan 4, 5, 17–20 ja 32 perustelukappaleesta ilmenee, biometristen tietojen, joihin kuuluu kaksi täydellistä sormenjälkeä, sisällyttämisellä henkilökorttien tallennusvälineeseen pyritään varmistamaan kyseisten korttien aitous ja mahdollistamaan niiden haltijan luotettava tunnistaminen ja samalla edistämään kyseisen asetuksen johdanto-osan 23 ja 33 perustelukappaleen sekä 3 artiklan 5 kohdan mukaisesti henkilöllisyyttä osoittavien asiakirjojen todentamisjärjestelmien yhteentoimivuutta väärentämisen ja asiakirjapetosten riskin pienentämiseksi.
87 Unionin tuomioistuimella on jo ollut tilaisuus lausua passien myöntämisen (ks. vastaavasti tuomio 17.10.2013, Schwarz, C-291/12, EU:C:2013:670, 36–38 kohta) ja kolmansien maiden kansalaisia koskevan rekisterin perustamisen (ks. vastaavasti tuomio 3.10.2019, A ym., C-70/18, EU:C:2019:823, 46 kohta oikeuskäytäntöviittauksineen) osalta, että asiakirjapetosten torjuminen, joka kattaa muun muassa väärien henkilökorttien valmistuksen ja identiteettipetosten torjumisen, on unionin tunnustama yleisen edun mukainen tavoite.
88 Myös henkilöllisyyttä osoittavien asiakirjojen todentamisjärjestelmien yhteentoimivuuden tavoite on tällainen, koska – kuten asetuksen 2019/1157 johdanto-osan 17 perustelukappaleesta ilmenee – se helpottaa sitä, että unionin kansalaiset käyttävät heille SEUT 20 artiklassa tunnustettua oikeutta liikkua ja oleskella vapaasti jäsenvaltioiden alueella.
ii) Voidaanko kyseessä olevalla toimenpiteellä tosiasiallisesti saavuttaa yleisen edun mukaiset tavoitteet
89 Nyt käsiteltävässä asiassa kahden täydellisen sormenjäljen sisällyttämisellä henkilökorttien tallennusvälineeseen voidaan toteuttaa unionin lainsäätäjän tämän toimenpiteen oikeuttamiseksi esiin tuomat, väärien henkilökorttien valmistuksen ja identiteettipetosten torjumista sekä todentamisjärjestelmien yhteentoimivuutta koskevat yleisen edun mukaiset tavoitteet.
90 Sormenjälkien kaltaisten biometristen tietojen sisällyttäminen henkilökortteihin on ensinnäkin omiaan vaikeuttamaan väärien henkilökorttien valmistamista, koska muun muassa asetuksen 2019/1157 3 artiklan 5 kohdan, luettuna yhdessä kyseisen asetuksen 14 artiklan 1 ja 2 kohdan kanssa, mukaan tällaiset tiedot on tallennettava täsmällisten teknisten eritelmien mukaisesti, ja nämä eritelmät voidaan pitää salassa.
91 Tällaisten biometristen tietojen sisällyttäminen on keino, jolla voidaan asetuksen 2019/1157 11 artiklan 6 kohdan ja johdanto-osan 18 ja 19 perustelukappaleen mukaisesti todentaa luotettavasti henkilökortin aitous ja kortinhaltijan henkilöllisyys ja siten pienentää petoksen riskiä.
92 Lopuksi on todettava, että unionin lainsäätäjän päätös säätää täydellisten sormenjälkien sisällyttämisestä vaikuttaa myös soveltuvan henkilökortteja koskevien todentamisjärjestelmien yhteentoimivuuden tavoitteen saavuttamiseen, koska täydellisten sormenjälkien avulla voidaan varmistaa yhteensopivuus kaikkien jäsenvaltioiden käyttämien sormenjälkien automatisoitujen tunnistusjärjestelmien kanssa, vaikka tällaisissa järjestelmissä ei välttämättä käytetä samaa tunnistusmekanismia.
93 Ennakkoratkaisua pyytänyt tuomioistuin huomauttaa vielä, että asetuksen 2019/1157 3 artiklan 7 kohdan ensimmäisessä alakohdassa sallitaan se, että jäsenvaltiot vapauttavat muun muassa alle 12-vuotiaat lapset sormenjälkien antamisesta, ja kyseisen kohdan toisessa alakohdassa ne velvoitetaan jopa vapauttamaan alle kuusivuotiaat lapset tästä sormenjälkien antamisesta.
94 Lainsäädäntö on tosin omiaan takaamaan tavoitteen, johon vedotaan, toteutumisen vain, jos siinä säädetyillä toimenpiteillä tosiaan voidaan saavuttaa kyseinen tavoite ja jos ne pannaan täytäntöön johdonmukaisesti ja järjestelmällisesti (ks. analogisesti tuomio 5.12.2023, Nordic Info, C-128/22, EU:C:2023:951, 84 kohta oikeuskäytäntöviittauksineen).
95 Asetus 2019/1157 täyttää kuitenkin tämän vaatimuksen, vaikka siinä säädetään poikkeuksista lasten sormenjälkien keräämistä koskevan velvollisuuden osalta, koska – kuten asetuksen johdanto-osan 26 perustelukappaleesta ilmenee – näillä poikkeuksilla pyritään ottamaan huomioon lapsen etu.
96 Sama koskee asetuksen 2019/1157 5 artiklassa vahvistettua sääntöä, jonka mukaan henkilökortit, jotka eivät täytä tämän asetuksen 3 artiklassa säädettyjä vaatimuksia, lakkaavat olemasta voimassa niiden voimassaolon päättyessä tai viimeistään 3.8.2031. Unionin lainsäätäjä oli nimittäin oikeutettu katsomaan, että tällainen siirtymäaika oli asianmukainen, jotta jäsenvaltiot eivät joutuisi myöntämään uusia henkilökortteja kaikille rekisteröidyille hyvin lyhyessä ajassa, asettamatta kuitenkaan kyseenalaiseksi kyseisessä asetuksessa säädettyjen toimenpiteiden tehokkuutta pitkällä aikavälillä.
97 Siitä, että tietyt jäsenvaltiot säätävät lainsäädännössään, että niiden myöntämät henkilökortit pysyvät voimassa sähköisen tallennusvälineen viallisuudesta huolimatta, on riittävää todeta, että tällainen lainsäädäntö on yhteensopiva asetuksen 2019/1157 kanssa vain siltä osin kuin edellisessä kohdassa mainittu siirtymäaika ei ole päättynyt.
2) Kyseessä olevaan toimenpiteeseen turvautumisen tarpeellisuus tavoiteltujen yleisen edun mukaisten tavoitteiden saavuttamiseksi
98 Ensinnäkin itse periaatteesta, jonka mukaan sormenjäljet on sisällytettävä henkilökorttien tallennusvälineeseen, on todettava, että sormenjäljet ovat luotettava ja tehokas keino henkilön henkilöllisyyden varmaksi toteamiseksi ja että näiden sormenjälkien keräämisessä käytettävä menettely on yksinkertainen toteuttaa.
99 Erityisesti on huomautettava, että – kuten julkisasiamies on todennut ratkaisuehdotuksensa 90 kohdassa – pelkkä kasvokuvan sisällyttäminen olisi vähemmän tehokas tunnistamiskeino kuin kahden sormenjäljen sisällyttäminen tämän kuvan lisäksi, koska henkilön kasvojen anatomiset piirteet voivat muuttua ikääntymisen, elämäntapojen, sairauden tai esteettisen tai korjaavan kirurgisen toimenpiteen seurauksena.
100 On totta, että asetuksen 2019/1157 taustalla olevan asetusehdotuksen liitteenä olevassa komission vaikutustenarvioinnissa todettiin, että olisi suosittava vaihtoehtoa, jossa kahden sormenjäljen liittämistä henkilökorttien tallennusvälineeseen ei tehdä pakolliseksi.
101 Sen lisäksi, että komissio on itse päättänyt olla käyttämättä tätä vaihtoehtoa lainsäädäntöehdotuksessaan, on kuitenkin todettava, että vaikka toimielinten välisen sopimuksen 14 kohdassa määrätään, että parlamentti ja neuvosto ottavat komission vaikutustenarvioinnit täysimääräisesti huomioon, kun ne käsittelevät komission säädösehdotuksia, saman sopimuksen 12 kohdassa todetaan, että tällaiset vaikutustenarvioinnit ”auttavat toimielimiä tekemään tietoon perustuvia päätöksiä, mutta ne eivät korvaa poliittisia päätöksiä demokraattisessa päätöksenteossa”. Näin ollen on niin, että vaikka parlamentin ja neuvoston on otettava huomioon komission vaikutustenarvioinnit, näiden arviointien sisältö ja erityisesti niiden sisältämät arviot eivät sido parlamenttia eikä neuvostoa (ks. vastaavasti tuomio 21.6.2018, Puola v. parlamentti ja neuvosto, C-5/16, EU:C:2018:483, 159 kohta oikeuskäytäntöviittauksineen).
102 Näin ollen pelkästään se, että unionin lainsäätäjä on vahvistanut erilaisen ja mahdollisesti rajoittavamman toimenpiteen kuin vaikutustenarvioinnin jälkeen suositellut toimenpiteet, ei voi osoittaa, että se on ylittänyt ne rajat, jotka johtuvat siitä, mikä oli tarpeellista tavoitellun päämäärän saavuttamiseksi (ks. vastaavasti tuomio 4.5.2016, Pillbox 38, C-477/14, EU:C:2016:324, 65 kohta).
103 Tässä tapauksessa komission tekemässä vaikutustenarvioinnissa todettiin, että vaihtoehto, jossa sormenjälkien sisällyttäminen henkilökorttien tallennusvälineeseen tehdään pakolliseksi, oli tehokkain keino väärien henkilökorttien valmistuksen torjumisen ja asiakirjojen aitouden varmistamisen parantamista koskevan erityisen tavoitteen saavuttamiseksi. Näissä olosuhteissa vaihtoehdolla olla tekemättä tällaista sisällyttämistä pakolliseksi ei missään tapauksessa voida kyseenalaistaa tämän tuomion 84 kohdassa mainitussa oikeuskäytännössä tarkoitettua unionin lainsäätäjän hyväksymän toimenpiteenvälttämättömyyttä.
104 Toiseksi siltä osin kuin on kyse kahden täydellisen sormenjäljen sisällyttämisestä tiettyjen näiden sormenjälkien erikoiskohtien (”minutiæ”) sijaan, on ensinnäkin huomautettava yhtäältä, kuten julkisasiamies on todennut ratkaisuehdotuksensa 93 kohdassa, että erikoiskohdat eivät anna samoja takeita kuin täydellinen sormenjälki. Toisaalta täydellisen sormenjäljen sisällyttäminen on välttämätöntä henkilöllisyyttä osoittavien asiakirjojen todentamisjärjestelmien yhteentoimivuuden kannalta, mikä on yksi keskeisistä tavoitteista. Kuten lausunnon 7/2018 47 kohdasta ilmenee ja kuten myös ennakkoratkaisua pyytänyt tuomioistuin korostaa, jäsenvaltiot käyttävät sormenjälkien tunnistamisessa erilaisia tekniikoita, joten se, että henkilökortin tallennusvälineeseen sisällytetään vain joitakin sormenjäljen erikoiskohtia, vaarantaisi asetuksella 2019/1157 tavoitellun, henkilöllisyyttä osoittavien asiakirjojen todentamisjärjestelmien yhteentoimivuuden tavoitteen saavuttamisen.
105 Edellä esitetystä seuraa, että perusoikeuskirjan 7 ja 8 artiklassa taattujen perusoikeuksien rajoitukset, jotka johtuvat velvollisuudesta sisällyttää tallennusvälineeseen kaksi täydellistä sormenjälkeä, tapahtuvat täysin välttämättömän rajoissa.
3) Tasapaino yhtäältä kyseessä oleviin perusoikeuksiin puuttumisen vakavuuden ja toisaalta toimenpiteen tavoitteen välillä
i) Perusoikeuskirjan 7 ja 8 artiklassa taattujen oikeuksien käytön rajoittamisesta aiheutuvan oikeuksiin puuttumisen vakavuus
106 Perusoikeuskirjan 7 ja 8 artiklassa taattujen oikeuksien rajoittamisesta aiheutuvan puuttumisen vakavuuden arvioinnissa on otettava huomioon kyseessä olevien henkilötietojen luonne ja erityisesti näiden tietojen mahdollinen arkaluonteisuus sekä tietojen käsittelyn luonne ja konkreettiset menettelytavat, ja erityisesti niiden henkilöiden lukumäärä, joilla on pääsy näihin tietoihin, ja näihin tietoihin pääsyä koskevat yksityiskohdat. Tarvittaessa on otettava huomioon myös sellaisten toimenpiteiden olemassaolo, joilla pyritään estämään riski näiden tietojen väärinkäytöstä.
107 Nyt käsiteltävässä asiassa asetuksesta 2019/1157 johtuva perusoikeuskirjan 7 ja 8 artiklassa taattujen oikeuksien käytön rajoittaminen saattaa toki koskea suurta määrää henkilöitä, sillä komissio on arvioinut vaikutustenarvioinnissaan tämän määrän olevan 370 miljoonaa asukasta unionin silloisista 440 miljoonasta asukkaasta. Sormenjäljet biometrisinä tietoina ovat luonteeltaan erityisen arkaluonteisia, ja niitä suojellaan, kuten yleisen tietosuoja-asetuksen johdanto-osan 51 perustelukappaleesta ilmenee, unionin oikeudessa erityisen tarkasti.
108 On kuitenkin korostettava, että kahden täydellisen sormenjäljen kerääminen ja tallentaminen on sallittua asetuksessa 2019/1157 vain näiden sormenjälkien sisällyttämiseksi henkilökorttien tallennusvälineeseen.
109 Lisäksi kyseisen asetuksen 3 artiklan 5 kohdasta, luettuna yhdessä sen 10 artiklan 3 kohdan kanssa, ilmenee, että kun tämä sisällyttäminen on tehty ja asianomaiselle henkilölle on annettu henkilökortti, kerätyt sormenjäljet säilytetään yksinomaan mainitun kortin tallennusvälineessä, joka on lähtökohtaisesti kyseisen henkilön hallussa.
110 Asetuksessa 2019/1157 säädetään lopuksi joukosta suojatoimia, joilla pyritään rajoittamaan riskejä siitä, että sitä täytäntöönpantaessa kerätään tai käytetään henkilötietoja muihin tarkoituksiin kuin sen tavoitteiden saavuttamiseksi, ja tämä koskee paitsi henkilötietojen käsittelytoimia, jotka tehdään tässä asetuksessa pakollisiksi, myös pääasiallisia käsittelyjä, joita mahdollisesti kohdistetaan henkilökorttien tallennusvälineeseen sisällytettyihin sormenjälkiin.
111 Siltä osin kuin on ensinnäkin kyse tietojen keräämisestä, asetuksen 2019/1157 10 artiklan 1 ja 2 kohdassa säädetään, että biometriset tunnisteet kerää ”yksinomaan – – pätevä ja asianmukaisesti valtuutettu henkilöstö” ja että tämän henkilöstön on käytettävä ”biometristen tunnisteiden keräämisessä – – asianmukaisia ja tehokkaita menettelyjä”, ja näissä menettelyissä on kunnioitettava oikeuksia ja periaatteita, jotka on vahvistettu perusoikeuskirjassa, ihmisoikeuksien ja perusvapauksien suojaamiseksi tehdyssä yleissopimuksessa ja YK:n yleissopimuksessa lapsen oikeuksista. Kuten tämän tuomion 93 kohdassa on todettu, kyseisen asetuksen 3 artiklan 7 kohtaan sisältyy lisäksi erityissääntöjä alle 12-vuotiaiden lasten osalta (ensimmäinen ja toinen alakohta) sekä sellaisten henkilöiden osalta, jotka eivät fyysisten rajoitteiden vuoksi pysty antamaan sormenjälkiä (kolmas alakohta), ja viimeksi mainittuihin henkilöihin ”ei sovelleta sormenjälkien antamista koskevaa vaatimusta”.
112 Toiseksi tietojen tallentamisesta on todettava, että yhtäältä asetuksessa 2019/1157 velvoitetaan jäsenvaltiot tallentamaan kasvokuva ja kaksi sormenjälkeä biometrisinä tietoina. Tältä osin tämän asetuksen johdanto-osan 21 perustelukappaleessa täsmennetään nimenomaisesti, että asetus ei anna ”oikeusperustaa kansallisen tason tietokantojen perustamiselle tai ylläpitämiselle biometristen tietojen tallentamista varten jäsenvaltioissa, mikä kuuluu kansallisen lainsäädännön piiriin, jonka on oltava tietosuojaa koskevan unionin oikeuden mukainen”, ja ettei se myöskään anna ”oikeusperustaa unionin tason keskitetyn tietokannan perustamiselle tai ylläpitämiselle”. Toisaalta mainitun asetuksen 10 artiklan 3 kohdassa säädetään, että ”biometriset tunnisteet on säilytettävä – – ainoastaan asiakirjan noutopäivään asti ja joka tapauksessa enintään 90 päivää kyseisen asiakirjan myöntämispäivästä”, ja siinä täsmennetään, että ”tämän jälkeen biometriset tunnisteet on välittömästi poistettava tai hävitettävä”.
113 Tästä seuraa erityisesti, että asetuksen 2019/1157 10 artiklan 3 kohdassa ei sallita jäsenvaltioiden käsittelevän biometrisiä tietoja muihin kuin tässä asetuksessa säädettyihin tarkoituksiin. Lisäksi tämä säännös on esteenä sormenjälkien keskitetylle säilyttämiselle, joka ylittää näiden sormenjälkien väliaikaisen tallentamisen henkilökorttien yksilöintiä varten.
114 Lopuksi asetuksen 2019/1157 11 artiklan 6 kohdassa viitataan siihen mahdollisuuteen, että turvalliseen tallennusvälineeseen tallennettuja biometrisiä tietoja saa käyttää toimivaltaisten kansallisten viranomaisten ja unionin virastojen asianmukaisesti valtuutettu henkilöstö unionin oikeuden ja kansallisen lainsäädännön mukaisesti.
115 Tämän säännöksen a alakohdasta on todettava, että siinä sallitaan henkilökorttien ja oleskeluasiakirjojen tallennusvälineeseen tallennettujen biometristen tietojen käyttö ainoastaan henkilökortin tai oleskeluasiakirjan aitouden todentamiseen.
116 Mainitun säännöksen b alakohdassa puolestaan säädetään, että henkilökorttien ja oleskeluasiakirjojen tallennusvälineeseen tallennettujen biometristen tietojen käyttö sallitaan asiakirjan haltijan henkilöllisyyden todentamiseen ”vertaamalla biometrisiä tunnisteita suoraan saatavilla ja verrattavissa oleviin tunnisteisiin tilanteessa, jossa henkilökortti tai oleskeluasiakirja on lain mukaan esitettävä”. Koska tällainen käsittely on kuitenkin omiaan antamaan lisätietoja rekisteröityjen yksityiselämästä, se voi tapahtua ainoastaan tiukasti rekisteröidyn tunnistamiseen liittyvissä tarkoituksissa ja laissa täsmällisesti määritellyissä olosuhteissa, joissa edellytetään henkilökortin tai oleskeluasiakirjan esittämistä.
117 Kolmanneksi siltä osin kuin on kyse henkilökorttien tallennusvälineeseen tallennettuja biometrisiä tietoja koskevista kyselyistä, on korostettava, että asetuksen 2019/1157 johdanto-osan 19 perustelukappaleessa vahvistetaan ensisijaisuusjärjestys käytettäessä keinoja todentaa asiakirjan aitous ja haltijan henkilöllisyys, kun siinä todetaan, että jäsenvaltioiden on ”tarkastettava ensisijaisesti kasvokuva”, ja kun se on tarpeen aitouden ja henkilöllisyyden varmistamiseksi, ”myös sormenjäljet”.
118 Neljänneksi siltä osin kuin on kyse riskistä luvattomaan pääsyyn tallennettuihin tietoihin, asetuksen 2019/1157 3 artiklan 5 ja 6 kohdassa säädetään tämän riskin minimoimiseksi, että sormenjäljet tallennetaan ”erittäin turvalli[selle] tallennusväline[elle]”, jolla on oltava ”riittävä kapasiteetti ja kyky varmistaa tietojen eheys, aitous ja luottamuksellisuus”. Lisäksi kyseisen asetuksen 3 artiklan 10 kohdasta ilmenee, että ”jos jäsenvaltiot tallentavat henkilökortteihin tietoja sähköisiä palveluja kuten sähköistä hallintoa ja sähköistä liiketoimintaa varten, tällaiset kansalliset tiedot on erotettava fyysisesti tai loogisesti” erityisesti kyseisen asetuksen perusteella kerätyistä ja tallennetuista sormenjäljistä. Lopuksi kyseisen asetuksen johdanto-osan 41 ja 42 perustelukappaleesta sekä 11 artiklan 4 kohdasta ilmenee, että jäsenvaltiot ovat edelleen vastuussa biometristen tietojen asianmukaisesta käsittelystä myös silloin, kun ne tekevät yhteistyötä ulkoisten palveluntarjoajien kanssa.
ii) Tavoitteiden merkitys
119 Kuten tämän tuomion 86 kohdassa on todettu, kahden sormenjäljen sisällyttämisellä henkilökorttien tallennusvälineeseen pyritään estämään väärien henkilökorttien valmistus ja identiteettipetokset sekä varmistamaan henkilöllisyyttä osoittavien asiakirjojen todentamisjärjestelmien yhteentoimivuus. Tällä perusteella se on omiaan edistämään rekisteröityjen yksityiselämän suojaa sekä laajemmin rikollisuuden ja terrorismin torjuntaa.
120 Lisäksi tällaisella toimenpiteellä voidaan vastata jokaisen unionin kansalaisen tarpeeseen saada käyttöönsä keino, jolla hän voi osoittaa henkilöllisyytensä luotettavasti, ja jäsenvaltioiden tarpeeseen varmistaa, että unionin oikeudessa tunnustettuihin oikeuksiin vetoavat henkilöt tosiaan ovat näiden oikeuksien haltijoita. Sillä helpotetaan siten erityisesti sitä, että unionin kansalaiset voivat käyttää oikeuttaan vapaaseen liikkuvuuteen ja oleskeluun, joka on myös perusoikeuskirjan 45 artiklassa taattu perusoikeus. Näin ollen asetuksen 2019/1157 tavoitteilla ja erityisesti kahden sormenjäljen sisällyttämisellä henkilökorttien tallennusvälineeseen on erityinen merkitys paitsi unionille ja jäsenvaltioille myös unionin kansalaisille.
121 Näiden tavoitteiden hyväksyttävyyttä ja merkitystä ei voida mitenkään kyseenalaistaa sillä ennakkoratkaisua pyytäneen tuomioistuimen mainitsemalla seikalla, että lausunnon 7/2018 24–26 kohdan mukaan vuosina 2013–2017 havaittiin vain 38 870 vilpillisiä henkilökortteja koskevaa tapausta ja että tämä luku oli ollut laskussa useiden vuosien ajan.
122 Vaikka nimittäin katsottaisiin, että vilpillisten henkilökorttien käytön määrä on vähäinen, unionin lainsäätäjä ei ole ollut velvollinen odottamaan tämän määrän kasvua toteuttaakseen toimenpiteitä tällaisten korttien käytön riskin torjumiseksi, vaan se on voinut erityisesti riskien hallitsemiseksi ennakoida tällaista kehitystä, kunhan muut suhteellisuusperiaatteen noudattamista koskevat edellytykset täyttyvät.
iii) Vertailu
123 Edellä esitetyn perusteella on todettava, että perusoikeuskirjan 7 ja 8 artiklassa taattujen oikeuksien käytön rajoitus, joka johtuu kahden sormenjäljen sisällyttämisestä henkilökorttien tallennusvälineeseen, ei vaikuta – kun otetaan huomioon kyseessä olevien tietojen luonne, käsittelytoimien luonne ja yksityiskohdat sekä säädetyt suojamekanismit – olevan vakavuudeltaan sellainen, että se olisi suhteeton kyseisellä toimenpiteellä tavoiteltujen eri tavoitteiden merkitykseen nähden. Tällaisen toimenpiteen on siis katsottava perustuvan yhtäältä näiden tavoitteiden ja toisaalta kyseessä olevien perusoikeuksien väliseen harmoniseen tasapainoon.
124 Näin ollen perusoikeuskirjan 7 ja 8 artiklassa taattujen oikeuksien käytön rajoittaminen ei loukkaa suhteellisuusperiaatetta, joten kolmas peruste ei voi johtaa asetuksen 2019/1157 pätemättömyyteen.
125 Kaikesta edellä esitetystä seuraa, että asetus 2019/1157 on pätemätön siltä osin kuin se on annettu SEUT 21 artiklan 2 kohdan nojalla.
IV Asetuksen 2019/1157 ajallisten vaikutusten pysyttäminen
126 Pätemättömäksi todetun toimen vaikutukset voidaan pysyttää oikeusvarmuuteen liittyvistä syistä erityisesti silloin, kun tuomion, jossa tämä pätemättömyys todetaan, välittömät vaikutukset aiheuttaisivat vakavia kielteisiä seurauksia asianomaisille henkilöille (ks. vastaavasti tuomio 17.3.2016, parlamentti v. komissio, C-286/14, EU:C:2016:183, 67 kohta).
127 Nyt käsiteltävässä asiassa asetuksen 2019/1157 pätemättömäksi toteamisesta välittömin vaikutuksin voisi aiheutua vakavia kielteisiä seurauksia merkittävälle määrälle unionin kansalaisia ja erityisesti heidän turvallisuudelleen vapauden, turvallisuuden ja oikeuden alueella.
128 Näin ollen unionin tuomioistuin katsoo, että tämän asetuksen vaikutukset on pysytettävä siihen saakka, kunnes sen korvaava SEUT 77 artiklan 3 kohtaan perustuva uusi asetus tulee voimaan kohtuullisessa ajassa, joka ei voi olla pidempi kuin kaksi vuotta tämän tuomion julistamispäivää seuraavan vuoden tammikuun ensimmäisestä päivästä.
Oikeudenkäyntikulut
129 Pääasian asianosaisten osalta asian käsittely unionin tuomioistuimessa on välivaihe kansallisessa tuomioistuimessa vireillä olevan asian käsittelyssä, minkä vuoksi kansallisen tuomioistuimen asiana on päättää oikeudenkäyntikulujen korvaamisesta. Oikeudenkäyntikuluja, jotka ovat aiheutuneet muille kuin näille asianosaisille huomautusten esittämisestä unionin tuomioistuimelle, ei voida määrätä korvattaviksi.
Näillä perusteilla unionin tuomioistuin (suuri jaosto) on ratkaissut asian seuraavasti:
1) Unionin kansalaisten henkilökorttien sekä oikeuttaan vapaaseen liikkuvuuteen käyttäville unionin kansalaisille ja heidän perheenjäsenilleen myönnettävien oleskeluasiakirjojen turvallisuuden lisäämisestä 20.6.2019 annettu Euroopan parlamentin ja neuvoston asetus (EU) 2019/1157 on pätemätön.
2) Asetuksen 2019/1157 vaikutukset pysytetään siihen saakka, kunnes sen korvaava SEUT 77 artiklan 3 kohtaan perustuva uusi asetus tulee voimaan kohtuullisessa ajassa, joka ei voi olla pidempi kuin kaksi vuotta tämän tuomion julistamispäivää seuraavan vuoden tammikuun ensimmäisestä päivästä.
Allekirjoitukset