Esityksessä ehdotetaan, että eduskunta hyväksyisi yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä tehtyyn Euroopan neuvoston yleissopimukseen tehdyn valvontaviranomaisia ja maan rajan yli tapahtuvaa tietojen siirtoa koskevan lisäpöytäkirjan siltä osin kuin se kuuluu Suomen toimivaltaan.

Lisäpöytäkirja sisältää määräyksiä tietosuojan valvontaviranomaisista, joiden tehtävänä on valvoa niiden kansallisten toimenpiteiden noudattamista, joilla lisäpöytäkirjan määräykset, yleissopimuksen tietosuojan perusperiaatteet ja yleissopimuksen kansainvälistä tietojen siirtoa koskevat määräykset on saatettu voimaan. Lisäpöytäkirja sisältää määräyksiä myös henkilötietojen siirrosta yleissopimuksen ulkopuolisen valtion tai järjestön lainkäyttövaltaan kuuluvalle vastaanottajalle.

Esityksessä ehdotetaan myös, että eduskunta hyväksyisi yleissopimukseen annettavat kaksi selitystä. Ensimmäisen selityksen mukaan Suomi ei sovella yleissopimusta henkilötietojen käsittelyyn, jonka luonnollinen henkilö suorittaa yksinomaan henkilökohtaisiin tai niihin verrattaviin tavanomaisiin yksityisiin tarkoituksiinsa. Toisen selityksen mukaan Suomi soveltaa yleissopimusta henkilötietojen automaattisen käsittelyn ohella myös muuhun henkilötietojen käsittelyyn silloin, kun henkilötiedot muodostavat tai niiden on tarkoitus muodostaa henkilörekisteri tai sen osa. Selityksillä saatetaan yleissopimuksen soveltamisala Suomen osalta vastaamaan henkilötietodirektiivin ja henkilötietolain soveltamisalasäännöksiä.

Esitykseen sisältyy lakiehdotus lisäpöytäkirjan lainsäädännön alaan kuuluvien määräysten voimaansaattamisesta.

Pöytäkirja tulee Suomen osalta voimaan seuraavan kuukauden ensimmäisenä päivänä sen jälkeen, kun on kulunut kolme kuukautta hyväksymiskirjan tallettamisesta. Laki on tarkoitettu tulemaan voimaan tasavallan presidentin asetuksella säädettävänä ajankohtana samaan aikaan kun pöytäkirja tulee Suomen osalta voimaan.

---

Euroopan neuvoston yleissopimus yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä (ETS nro 108, SopS 36/1992), jäljempänä tietosuojasopimus, tehtiin Strasbourgissa 28 päivänä tammikuuta 1981. Tietosuojasopimuksen tarkoituksena on turvata henkilötietojen automaattisessa tietojenkäsittelyssä jokaisen osapuolen alueella jokaiselle yksilölle hänen oikeutensa ja perusvapautensa ja erityisesti hänen oikeutensa yksityisyyteen. Tietosuojasopimus sisältää tietosuojan perusperiaatteiden lisäksi määräykset osapuolten väliset rajat ylittävästä henkilötietojen siirrosta ja keskinäisestä avunannosta, mutta ei määräyksiä valvontaviranomaisista tai kattavia määräyksiä henkilötietojen siirrosta kolmansiin valtioihin. Tietosuojasopimus tuli kansainvälisesti voimaan 1 päivänä lokakuuta 1985 ja Suomen osalta 1 päivänä huhtikuuta 1992.

Euroopan unionissa henkilötietojen suojasta ja henkilötietojen kansainvälisestä siirrosta säädetään Euroopan parlamentin ja neuvoston direktiivissä yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (95/46/EY), jäljempänä henkilötietodirektiivi. Henkilötietodirektiivi sisältää muun ohella säännökset valvontaviranomaisista ja henkilötietojen siirrosta kolmansiin maihin ja on näiltä osin tietosuojasopimusta kattavampi.

Henkilötietojen suojasta säädetään perustuslain 10 §:n 1 momentin mukaan tarkemmin lailla. Yleiset säännökset henkilötietojen käsittelystä sisältyvät henkilötietolakiin (523/1999), jolla on saatettu henkilötietojen käsittelyä koskeva kansallinen lainsäädäntö vastaamaan tietosuojasopimuksen määräyksiä ja henkilötietodirektiivin säännöksiä.

Euroopan neuvoston ja sen jäsenvaltioiden on tullut tehostaa tietosuojasopimuksessa turvattujen oikeuksien suojaa. Tehokkaan suojan turvaaminen on puolestaan edellyttänyt tietosuojan perusperiaatteiden harmonisoinnin lisäksi myös periaatteiden toimeenpanokeinojen ja henkilötietojen rajat ylittävää siirtoa koskevien edellytysten harmonisointia. Kun Euroopan neuvostossa arvioitiin vuosituhannen vaihteessa tietosuojasopimuksen ajantasaistamisen tarvetta, huomiota kiinnitettiin Euroopan unionin lainsäädännön kehitykseen ja erityisesti henkilötietodirektiivin säännöksiin valvontaviranomaisista ja henkilötietojen siirrosta kolmansiin maihin. Neuvostossa katsottiin, että tarvittavat uudistukset voitiin toteuttaa parhaiten tietosuojasopimukseen tehtävällä lisäpöytäkirjalla.

Valvontaviranomaisista ja maan rajan yli tapahtuvasta tietojen siirrosta tehty lisäpöytäkirja (ETS nro 181), jäljempänä lisäpöytäkirja, avattiin allekirjoitettavaksi 8 päivänä marraskuuta 2001, jolloin myös Suomi allekirjoitti sen. Lisäpöytäkirjaan on marraskuun 2011 loppuun mennessä sitoutunut 31 valtiota mukaan lukien 19 Euroopan unionin jäsenvaltiota.

Vain tietosuojasopimuksen osapuolet voivat sitoutua lisäpöytäkirjaan. Tietosuojasopimusta muutettiin 15 päivänä kesäkuuta 1999, jotta Euroopan unioni voisi liittyä siihen. Muutos tulee voimaan sen jälkeen, kun kaikki tietosuojasopimuksen osapuolet ovat hyväksyneet sen. Marraskuun 2011 loppuun mennessä tietosuojasopimuksen 43 osapuolesta 12 ei ollut hyväksynyt muutosta. Muutoksen voimaantulon jälkeen Euroopan unioni voi liittyä lisäpöytäkirjaan.

Lisäpöytäkirjan 3 artiklan 1 kohdan mukaan osapuolet katsovat, että lisäpöytäkirjan aineelliset määräykset täydentävät yleissopimusta, ja kaikkia tietosuojasopimuksen määräyksiä sovelletaan sen mukaisesti. Näin ollen lisäpöytäkirjan soveltamisala määräytyy tietosuojasopimuksen määräysten mukaan. Tietosuojasopimuksen 3 artiklan 1 kappaleessa osapuolet sitoutuvat soveltamaan sopimusta automaattisesti käsiteltäviin henkilörekistereihin ja henkilötietojen automaattiseen tietojenkäsittelyyn julkisella ja yksityisellä sektorilla. Sopimuksen 3 artiklan 2 kappaleessa osapuolelle annetaan oikeus antaa selitys, jonka mukaan se ei sovella sopimusta tiettyihin automaattisesti käsiteltäviin henkilörekistereiden ryhmiin tai jonka mukaan se soveltaa sopimusta tiettyihin tietoihin tai henkilörekistereihin. Suomi ei ole antanut tällaista selitystä. Yleissopimuksen soveltamisalaa Suomessa ei ole näin ollen rajoitettu henkilörekisterin sisällön mukaan tai sen mukaan, minkälaisessa toiminnassa henkilötietoja käsitellään.

Henkilötietodirektiiviä sovelletaan osittain tai kokonaan automatisoituun tietojenkäsittelyyn sekä sellaisten henkilötietojen manuaaliseen käsittelyyn, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa. Henkilötietodirektiiviä ei sovelleta sen 3 artiklan 2 kohdan mukaan henkilötietojen käsittelyyn, joka suoritetaan unionin oikeuden soveltamisalan ulkopuolisessa toiminnassa, kuten direktiiviä tehtäessä voimassa olleen Euroopan unionista tehdyn sopimuksen V (yhteinen ulko- ja turvallisuuspolitiikka) ja VI (poliisiyhteistyö ja oikeudellinen yhteistyö rikosasioissa) osastossa tarkoitetussa toiminnassa, ja kaikissa tapauksissa käsittelyyn, joka koskee yleistä turvallisuutta, puolustusta, valtion turvallisuutta ja rikosoikeuden alalla tapahtuvaa valtion toimintaa. Direktiiviä ei niin ikään sovelleta henkilötietojen käsittelyyn, jonka luonnollinen henkilö suorittaa yksinomaan henkilökohtaisessa tai kotitalouttaan koskevassa toiminnassa.

Euroopan unionin neuvosto on tehnyt 27 päivänä marraskuuta 2008 puitepäätöksen rikosasioissa tehtävässä poliisi- ja oikeudellisessa yhteistyössä käsiteltävien henkilötietojen suojaamisesta (2008/977/YOS), jäljempänä tietosuojapuitepäätös. Tietosuojapuitepäätöstä sovelletaan sen 1 artiklan 2 kohdan mukaan ainoastaan tietoihin, joita toimivaltaiset viranomaiset keräävät tai käsittelevät rikosten torjumiseksi, tutkimiseksi, selvittämiseksi tai niistä syyttämiseksi tai rikosoikeudellisten seuraamusten täytäntöönpanemiseksi. Soveltamisala ei kata henkilötietojen siirtoa unionin ulkopuolelle. Tietosuojapuitepäätöksen 1 artiklan 3 kohdan mukaan puitepäätöstä sovelletaan henkilötietojen osittain tai kokonaan automatisoituun tietojenkäsittelyyn sekä sellaisten henkilötietojen manuaaliseen käsittelyyn, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa. Puitepäätös ei sen 1 artiklan 4 kohdan mukaan vaikuta olennaisiin kansallisiin turvallisuusetuihin eikä kansallisen turvallisuuden alan erityisiin tiedustelutoimiin. Puitepäätöksen kansallisen täytäntöönpanon valmistelu on parhaillaan käynnissä.

Henkilötietolakia ei sovelleta sen 2 §:n 3 momentin mukaan henkilötietojen käsittelyyn, jonka luonnollinen henkilö suorittaa yksinomaan henkilökohtaisiin tai niihin verrattaviin tavanomaisiin yksityisiin tarkoituksiinsa. Tietosuojasopimuksen soveltamisala on näiltä osin henkilötietolain ja henkilötietodirektiivin soveltamisalaa laajempi, koska Suomi ei ole antanut, toisin kuin monet muut osapuolet, tietosuojasopimuksen 3 artiklan 2 kappaleen a kohdan mukaista selitystä.

Henkilötietolakia sovelletaan sen 2 §:n 2 momentin mukaan henkilötietojen automaattiseen käsittelyyn. Lakia sovelletaan myös muuhun henkilötietojen käsittelyyn silloin, kun henkilötiedot muodostavat tai niiden on tarkoitus muodostaa henkilörekisteri tai sen osa. Tietosuojasopimuksen soveltamisala on näiltä osin henkilötietolain ja henkilötietodirektiivin soveltamisalaa suppeampi. Suomi ei ole antanut tietosuojasopimuksen 3 artiklan 2 kappaleen c kohdan mukaista selitystä, jolla tietosuojasopimuksen soveltamisalaa laajennettaisiin näiltä osin vastaamaan henkilötietolain ja henkilötietodirektiivin soveltamisalaa.

Lisäpöytäkirjan tavoitteena on parantaa tietosuojasopimuksessa turvattujen oikeuksien suojaa lisäämällä sopimukseen määräykset valvontaviranomaisista, joilla on asianmukaiset valtuudet ja oikeudet valvoa näiden oikeuksien toteutumista sekä oikeus joko itse nostaa kanne toimivaltaisissa lainkäyttöelimissä tai muuten saattaa mahdolliset rikkomukset niiden tietoon.

Lisäpöytäkirja sisältää myös määräykset maan rajan yli tapahtuvasta henkilötietojen siirrosta sellaisiin valtioihin tai järjestöihin, jotka eivät ole tietosuojasopimuksen osapuolia. Tarkoituksena on, että henkilötietoja siirretään vain sellaisiin valtioihin tai järjestöihin, jotka pystyvät takaamaan riittävän tietosuojan.

Lisäpöytäkirjan määräykset vastaavat pitkälti henkilötietodirektiivin asiaa koskevia säännöksiä, jotka on Suomessa pantu täytäntöön henkilötietolailla. Pöytäkirjan määräysten hyväksyminen ja voimaansaattaminen eivät edellytä muutoksia kansalliseen lainsäädäntöön.

Esityksessä ehdotetaan lisäksi, että eduskunta hyväksyisi tietojuojasopimukseen annettavat kaksi selitystä. Ensimmäisen selityksen mukaan Suomi ei sovella tietosuojasopimusta henkilötietojen käsittelyyn, jonka luonnollinen henkilö suorittaa yksinomaan henkilökohtaisiin tai niihin verrattaviin tavanomaisiin yksityisiin tarkoituksiinsa. Toisen selityksen mukaan Suomi soveltaa tietosuojasopimusta henkilötietojen automaattisen käsittelyn ohella myös muuhun henkilötietojen käsittelyyn silloin, kun henkilötiedot muodostavat tai niiden on tarkoitus muodostaa henkilörekisteri tai sen osa. Näillä selityksillä on tarkoitus saattaa tietosuojasopimuksen soveltamisala Suomen osalta vastaamaan henkilötietodirektiivin ja henkilötietolain soveltamisalasäännöksiä.

Esityksellä ei ole taloudellisia vaikutuksia eikä vaikutuksia viranomaisten toimintaan. Tietosuojasopimukseen annettavien selitysten myötä lisäpöytäkirja ei laajenna tietosuojaviranomaisten nykyisiä valvontatehtäviä. Lisäpöytäkirjan määräykset vastaavat nykyistä lainsäädäntöä.

Perustuslain 10 §:ssä säädetään perusoikeuksiin kuuluvasta yksityiselämän suojasta. Pykälän mukaan lainsäädännöllä on varmistettava yksilön oikeusturva ja yksityisyyden suoja henkilötietojen käsittelyssä. Hyväksyessään pöytäkirjan Suomi sitoutuu varmistamaan, että kansalliset viranomaiset valvovat tietosuojasopimuksen ja lisäpöytäkirjan määräysten noudattamista. Suomi sitoutuu myös siihen, että henkilötietoja ei siirretä Suomesta sellaisten valtioiden tai järjestöjen lainkäyttövaltaan kuuluville alueille, jotka eivät takaa henkilötiedoille riittävää tietosuojaa.

Pöytäkirjan hyväksyminen vahvistaisi siten yksityiselämän ja henkilötietojen suojaa. Pöytäkirjan osapuolena Suomi sitoutuu kansainvälisesti siihen, että se pitää lainsäädäntönsä pöytäkirjan määräysten mukaisena.

Tietosuojasopimuksen V luvussa määrätään sopimuksen voimaantulon jälkeen perustettavasta neuvoa-antavasta komiteasta, jossa kaikki osapuolet ovat edustettuina. Komitean tehtävänä on muun ohella tehdä ehdotuksia yleissopimuksen muuttamiseksi sekä sen soveltamisen helpottamiseksi ja parantamiseksi. Komitea sai valmiiksi kesäkuussa 1999 ehdotuksensa uudeksi valvontaviranomaisia ja maan rajan yli tapahtuvaa tiedon siirtoa koskevaksi lisäpöytäkirjaksi.

Luonnos toimitettiin Euroopan neuvoston ministerikomitealle, joka lähetti sen edelleen parlamentaariselle yleiskokoukselle. Saatuaan parlamentaarisen yleiskokouksen kannan neuvoa-antava komitea hyväksyi luonnoksen 6—8 päivänä kesäkuuta 2000 pitämässään kokouksessa. Ministerikomitea hyväksyi lisäpöytäkirjan 23 päivänä toukokuuta 2001. Pöytäkirja avattiin allekirjoitettavaksi 8 päivänä marraskuuta 2001.

Euroopan unionin neuvosto valtuutti helmikuussa 1999 komission neuvottelemaan Euroopan neuvoston toimivaltaisten yksikköjen kanssa tarkistuksista tietosuojasopimukseen ja osapuolille mahdollisesti esitettävistä suosituksista tietosuojasopimuksen soveltamiseksi. Lisäpöytäkirjaa käsiteltiin sen valmisteluvaiheessa myös unionin neuvoston taloudellisten asioiden tietosuojatyöryhmässä, jossa muotoiltiin unionin yleisiä kantoja. Euroopan unionin neuvosto valtuutti 24 päivänä huhtikuuta 2001 unionin jäsenvaltiot äänestämään lisäpöytäkirjan hyväksymisen puolesta Euroopan neuvoston toimivaltaisissa yksiköissä silloisen yhteisön puolesta siltä osin kuin kysymys oli yhteisön toimivaltaan kuuluvista asioista.

Lisäpöytäkirjaan on laadittu selitysmuistio, jonka sisältöä on selostettu esityksen yksityiskohtaisissa perusteluissa. Selitysmuistiossa esitetyt tulkintasuositukset eivät sido oikeudellisesti osapuolia.

Tasavallan presidentti myönsi lisäpöytäkirjan allekirjoitusvaltuudet 26 päivänä lokakuuta 2001. Suomi allekirjoitti lisäpöytäkirjan 8 päivänä marraskuuta 2001.

Hallituksen esitys on valmisteltu oikeusministeriössä. Esityksestä on pyydetty lausunnot sisäasiainministeriöltä, ulkoasiainministeriöltä, valtiovarainministeriöltä, tietosuojavaltuutetulta sekä Ahvenanmaan maakunnan hallitukselta. Lausunnoissa esitetyt kannanotot on otettu huomioon esityksen jatkovalmistelussa.

Esitykseen sisältyvän lakiehdotuksen 2 §:n mukaan lain voimaantulosta säädettäisiin tasavallan presidentin asetuksella. Eduskunta hyväksyi lokakuussa 2011 lepäämässä olleen ehdotuksen laiksi Suomen perustuslain muuttamisesta (EK 16/2011 vp – LJL 3/2011 vp). Uudella 1 päivänä maaliskuuta 2012 voimaan tulevalla lailla (1112/2011) muutetaan perustuslain 95 §:n 1 momenttia siten, että valtiosopimuksen ja muun kansainvälisen velvoitteen muut kuin lainsäädännön alaan kuuluvat määräykset saatetaan voimaan asetuksella. Nykyisen 1 momentin mukaan kansainvälisten velvoitteiden muut kuin lainsäädännön alaan kuuluvat määräykset saatetaan voimaan tasavallan presidentin asetuksella. Perustuslain muutoksen mukaan voimaansaattamisasetuksen antajaa ei enää yksilöidä pykälässä. Perusteet asetuksenantoa koskevalle toimivallanjaolle tulevat näin ollen olemaan voimaansaattamisasetusten kohdalla samat kuin asetuksenantovallan jakautumisessa yleisesti perustuslain 80 §:n mukaan. Perustuslain 80 §:stä johtuu, että jos asetuksen antajasta ei ole erikseen säädetty, asetuksen antaa valtioneuvosto.

Johdanto. Lisäpöytäkirjan johdannossa osapuolet vahvistavat, että täysin riippumattomasti tehtäviään hoitavat valvontaviranomaiset ovat osa yksilöiden tehokasta suojelua henkilötietojen automaattisessa tietojenkäsittelyssä. Osapuolet ottavat huomioon kansojen välisen tiedonvälityksen merkityksen. Osapuolten mukaan kansallisten rajojen yli tapahtuvan henkilötietojen vaihdon lisääntyessä on tarpeen varmistaa, että ihmisoikeuksia ja perusvapauksia, sekä erityisesti oikeutta yksityiselämään, suojellaan tehokkaasti tällaisen henkilötietojen vaihdon yhteydessä.

1 artikla. Valvontaviranomaiset. Artiklan 1 kohdan mukaan kukin osapuoli varmistaa, että yksi tai useampi viranomainen valvoo niiden kansallisten lainsäädäntötoimenpiteiden noudattamista, joilla tietosuojasopimuksen II ja III luvun ja lisäpöytäkirjan periaatteet on saatettu voimaan. Lisäpöytäkirjan selitysmuistion mukaan pöytäkirjan 1 artiklan tarkoituksena on vahvistaa yksilön suojaa velvoittamalla osapuolet perustamaan yhden tai useamman valvontaviranomaisen. Muistion mukaan artiklan tarkoituksena on myös harmonisoida osapuolten valvontaviranomaisia koskevia kansallisia säännöksiä.

Tietosuojasopimuksen II luku (4—11 artikla) sisältää määräykset tietosuojan perusperiaatteista ja III luku (12 artikla) kansainvälisestä tietojen siirrosta. Sopimuksen 10 artikla velvoittaa osapuolia huolehtimaan siitä, että on olemassa tarpeelliset rangaistukset ja oikeuskeinot sen kansallisen lainsäädännön rikkomisesta, jolla sopimuksen II luvun tietosuojan perusperiaatteet toteutetaan. Tietosuojasopimus ei velvoita osapuolia perustamaan tähän tarkoitukseen erityisiä valvontaviranomaisia.

Henkilötietodirektiivin 28 artiklan 1 kohdan mukaan kunkin jäsenvaltion on säädettävä siitä, että jäsenvaltioiden henkilötietodirektiivin mukaisesti toteuttamien toimenpiteiden soveltamista sen alueella valvoo yksi tai useampi julkinen viranomainen.

Tietosuojapuitepäätöksen 25 artiklan mukaan kunkin jäsenvaltion on säädettävä siitä, että yhden tai useamman viranomaisen tehtävänä on toimia neuvojana ja valvojana jäsenvaltioiden puitepäätöksen nojalla antamien säännösten soveltamisessa sen alueella.

Suomessa tietosuojaviranomaisina toimivat tietosuojalautakunta ja tietosuojavaltuutettu, joista säädetään henkilötietolain 9 luvussa, laissa tietosuojalautakunnasta ja tietosuojavaltuutetusta (389/1994) sekä asetuksessa tietosuojalautakunnasta ja tietosuojavaltuutetusta (432/1994). Henkilötietolain 38 §:n mukaan tietosuojavaltuutettu antaa henkilötietojen käsittelyä koskevaa ohjausta ja neuvontaa sekä valvoo henkilötietojen käsittelyä henkilötietolain tavoitteiden toteuttamiseksi ja käyttää päätösvaltaa siten kuin henkilötietolaissa säädetään. Tietosuojalautakunta käsittelee henkilötietojen käsittelyyn liittyviä lain soveltamisalan kannalta periaatteellisesti tärkeitä kysymyksiä ja käyttää päätösvaltaa tietosuoja-asioissa siten kuin henkilötietolaissa säädetään. Tietosuojalautakunnasta ja tietosuojavaltuutetusta annetun lain 2 §:ssä tietosuojalautakunnan tehtäväksi on annettu käsitellä ja ratkaista asiat, jotka henkilötietolain mukaan kuuluvat sen päätettäväksi sekä seurata henkilötietojen käsittelyä koskevan lainsäädännön kehittämistarvetta ja tehdä tarpeelliseksi katsomiaan aloitteita. Tietosuojavaltuutetun tehtävänä on lain 5 §:n mukaan käsitellä ja ratkaista henkilötietojen ja luottotietojen käsittelyä koskevat asiat siten kuin henkilötietolaissa ja luottotietolaissa (527/2007) säädetään sekä hoitaa muut mainituista laeista johtuvat tehtävät, seurata henkilötietojen ja luottotietojen käsittelyn yleistä kehitystä ja tehdä tarpeelliseksi katsomiaan aloitteita, huolehtia toimialaansa kuuluvasta tiedotustoiminnasta, sekä huolehtia henkilötietojen käsittelyyn liittyvästä kansainvälisestä yhteistyöstä.

Lisäpöytäkirjan 1 artiklan 2 kohdan a alakohdan mukaan kyseisillä viranomaisilla tulee olla artiklan 1 kohdassa mainittua valvontatehtävää varten erityisesti tutkintavaltuudet ja väliintulo-oikeus, sekä valtuudet olla asianosaisena oikeudenkäynnissä tai saattaa artiklan 1 kohdan mukaisten periaatteiden täytäntöönpanosta annettujen kansallisten säännösten rikkomukset toimivaltaisten lainkäyttöviranomaisten tietoon.

Selitysmuistion mukaan osapuolilla on laaja harkintavalta sen suhteen, mitä valtuuksia ja oikeuksia valvontaviranomaiselle annetaan. Valvontaviranomaisilla tulee kuitenkin olla vähintään kohdassa mainitut valtuudet ja oikeudet. Tutkintavaltuuksia käyttäessään valvontaviranomainen voi esimerkiksi pyytää ja saada rekisterinpitäjältä henkilötietojen käsittelyyn liittyviä tietoja. Väliintulo-oikeuteen voi kuulua esimerkiksi oikeus vaatia rekisterinpitäjää korjaamaan, poistamaan ja tuhoamaan vääriä tai laittomasti kerättyjä henkilötietoja sekä oikeus määrätä kielto sellaiselle rekisterinpitäjille, joka ei kohtuullisessa ajassa toimita pyydettyjä tietoja viranomaiselle.

Henkilötietodirektiivin 28 artiklan 3 kohdan mukaan kullakin valvontaviranomaisella on erityisesti oltava tutkintavaltuudet, kuten valtuudet saada käsiteltäviä tietoja ja kerätä kaikki valvontatehtäväänsä suorittamiseksi tarvittavat tiedot. Valvontaviranomaisella on erityisesti oltava myös tehokkaat toimintavaltuudet, kuten esimerkiksi valtuudet direktiivin 20 artiklan mukaisesti antaa lausuntoja ennen käsittelyn toteuttamista ja varmistaa näiden lausuntojen asianmukainen julkistaminen taikka valtuudet määrätä tietojen suojaamisesta, poistamisesta tai tuhoamisesta tai kieltää käsittely väliaikaisesti tai lopullisesti taikka valtuudet antaa rekisterinpitäjälle huomautus tai varoitus taikka valtuudet saattaa asioita käsiteltäväksi kansalliselle parlamentille tai muille poliittisille elimille. Lisäksi valvontaviranomaisella on erityisesti oltava valtuudet olla asianosaisena oikeudenkäynnissä, jos direktiivin mukaisesti toteutettuja kansallisia toimenpiteitä rikotaan, tai valtuudet saattaa nämä rikkomukset lainkäyttöviranomaisten tietoon. Tietosuojapuitepäätöksen 25 artiklan 2 kohta sisältää vastaavat säännökset kansallisten valvontaviranomaisten valtuuksista.

Henkilötietolain 39 §:ssä säädetään tietosuojaviranomaisten tiedonsaanti- ja tarkastusoikeudesta. Tietosuojavaltuutetulla on oikeus salassapitosäännösten estämättä saada tiedot käsiteltävistä henkilötiedoista sekä kaikki tiedot, jotka ovat tarpeen henkilötietojen käsittelyn lainmukaisuuden valvonnassa. Tietosuojalautakunnalla on vastaava oikeus sen käsiteltävissä asioissa. Tietosuojavaltuutetulla on oikeus tarkastaa henkilörekistereitä ja käyttää tarkastuksessa asiantuntijoita. Tarkastuksen toimittamista varten tietosuojavaltuutetulla ja asiantuntijalla on oikeus päästä sellaisiin rekisterinpitäjän ja hänen toimeksiannostaan toimivan hallussa oleviin huoneistoihin, joissa henkilötietoja käsitellään tai henkilörekistereitä pidetään, sekä saada käytettäväkseen tarkastuksen toimittamisessa tarvittavat tiedot ja laitteet. Kotirauhan piiriin kuuluvassa tilassa tarkastuksen saa toimittaa vain, jos esillä olevassa tapauksessa on olemassa yksilöity syy epäillä henkilötietojen käsittelyä koskevia säännöksiä rikotun tai rikottavan. Tarkastus on toimitettava niin, että siitä ei aiheudu rekisterinpitäjälle tarpeettomasti haittaa ja kustannuksia.

Henkilötietolain 40 §:n mukaan tietosuojavaltuutettu voi antaa rekisterinpitäjälle määräyksen rekisteröidyn tarkastusoikeuden toteuttamisesta tai tiedon korjaamisesta. Pykälässä säädetään myös tietosuojavaltuutetun velvollisuudesta saattaa tarvittaessa asia tietosuojalautakunnan päätettäväksi taikka ilmoitettava se syytteeseen panoa varten.

Lain 41 §:ssä säädetään viranomaisen velvollisuudesta kuulla tietosuojavaltuutettua valmisteltaessa lainsäädännöllisiä tai hallinnollisia uudistuksia, jotka koskevat henkilöiden oikeuksien ja vapauksien suojaamista henkilötietojen käsittelyssä. Pykälässä on lisäksi säännös virallisen syyttäjän velvollisuudesta kuulla tietosuojavaltuutettua ennen henkilötietolain vastaista menettelyä koskevan syytteen nostamista sekä tuomioistuimen velvollisuudesta varata tietosuojavaltuutetulle tilaisuus tulla kuulluksi tällaista asiaa käsitellessään.

Lain 44 § sisältää säännökset toimenpiteistä, joihin tietosuojalautakunta voi ryhtyä tietosuojavaltuutetun hakemuksesta. Lautakunta voi kieltää henkilötietojen käsittelyn, velvoittaa tietyissä asioissa asianomaisen oikaisemaan sen, mitä on oikeudettomasti tehty tai laiminlyöty, määrätä rekisteritoiminnan lopetettavaksi sekä peruuttaa luvan henkilötietojen käsittelyyn. Toisin kuin tietosuojavaltuutetulla, tietosuojalautakunnalla ei ole oikeutta ilmoittaa asiaa syytteeseen panoa varten.

Lisäpöytäkirjan 1 artiklan 2 kohdan b alakohdassa määrätään, että kunkin valvontaviranomaisen tulee toimivaltansa mukaisesti käsitellä kenen tahansa esittämä vaade, joka koskee kyseisen henkilön oikeuksien ja perusvapauksien suojelua henkilötietojen käsittelyssä.

Henkilötietodirektiivin 28 artiklan 4 kohdan ensimmäisessä alakohdassa säädetään, että kuka tahansa henkilö tai häntä edustava yhdistys voi esittää valvontaviranomaiselle oikeuksiensa ja vapauksiensa suojelua henkilötietojen käsittelyn osalta koskevan vaateen. Rekisteröidylle ilmoitetaan vaateen seurauksista. Kohdan toisessa alakohdassa säädetään, että kuka tahansa henkilö voi erityisesti esittää valvontaviranomaiselle vaateen käsittelyn laillisuuden tarkastamisesta sovellettaessa henkilötietodirektiivin 13 artiklan mukaisesti toteutettuja kansallisia toimenpiteitä.

Tietosuojapuitepäätöksen 25 artiklan 3 kohta sisältää henkilötietodirektiivin 28 artiklan 4 kohdan ensimmäistä alakohtaa vastaavan säännöksen.

Henkilötietolain 40 §:n 2 momentissa säädetään tietosuojavaltuutetun velvollisuudesta ratkaista asia, jonka rekisteröity on saattanut hänen käsiteltäväkseen lain 28 §:n (tarkastusoikeuden toteuttaminen) ja 29 §:n (tiedon korjaaminen) nojalla.

Lisäpöytäkirjan 1 artiklan 3 kohdassa määrätään, että valvontaviranomaiset hoitavat tehtävänsä täysin riippumattomasti. Artiklan 4 kohdassa määrätään valvontaviranomaisen päätökseen tyytymättömän oikeudesta valittaa tuomioistuimeen.

Henkilötietodirektiivin 28 artiklan 1 kohdan toisen alakohdan mukaan valvontaviranomaisten on hoidettava tehtäviään itsenäisesti. Artiklan 3 kohdan toisen alakohdan mukaan valvontaviranomaisten päätöksistä voi valittaa tuomioistuimeen. Tietosuojapuitepäätöksen 25 artiklan 1 kohta ja 2 kohdan c alakohta sisältävät henkilötietodirektiivin edellä mainittuja säännöksiä vastaavat säännökset.

Tietosuojalautakunnasta ja tietosuojavaltuutetusta annetun lain 1 §:n mukaan henkilötietolaissa ja luottotietolaissa tarkoitettujen asioiden käsittelemistä varten oikeusministeriön yhteydessä on tietosuojalautakunta ja tietosuojavaltuutetun virka. Lain 6 §:ssä säädetään, että tietosuojavaltuutetun nimittää valtioneuvosto virkaa haettavaksi julistamatta määräajaksi, enintään viideksi vuodeksi kerrallaan. Tietosuojalautakunnasta ja tietosuojavaltuutetusta annetun asetuksen 1 §:n mukaan valtioneuvosto määrää tietosuojalautakunnan puheenjohtajan, varapuheenjohtajan sekä jäsenet kolmeksi vuodeksi kerrallaan.

Perustuslain 21 §:n 1 momentin mukaan jokaisella on oikeus saada asiansa käsitellyksi asianmukaisesti ja ilman aiheetonta viivytystä lain mukaan toimivaltaisessa tuomioistuimessa tai muussa viranomaisessa sekä oikeus saada oikeuksiaan ja velvollisuuksiaan koskeva päätös tuomioistuimen tai muun riippumattoman lainkäyttöelimen käsiteltäväksi. Asianmukaista viranomaiskäsittelyä ja oikeusturvan saatavuutta täsmentävät perustuslain 21 §:n 2 momentissa luetellut menettelylliset perusoikeudet: käsittelyn julkisuus sekä oikeus tulla kuulluksi, saada perusteltu päätös sekä oikeus hakea muutosta. Nämä menettelyoikeudet samoin kuin muut oikeudenmukaisen oikeudenkäynnin ja hyvän hallinnon takeet turvataan lailla. Hallintolain (434/2003) 1 §:n mukaan hallintolain tarkoituksena on muun ohella toteuttaa ja edistää hyvää hallintoa sekä oikeusturvaa hallintoasioissa. Lain 6 §:ssä säädetään hallinnon oikeusperiaatteista. Pykälän mukaan viranomaisen on kohdeltava hallinnossa asioivia tasapuolisesti sekä käytettävä toimivaltaansa yksinomaan lain mukaan hyväksyttäviin tarkoituksiin. Viranomaisen toimien on oltava puolueettomia ja oikeassa suhteessa tavoiteltuun päämäärään nähden. Niiden on suojattava oikeusjärjestyksen perusteella oikeutettuja odotuksia.

Muutoksenhausta tietosuojavaltuutetun ja tietosuojalautakunnan päätöksiin säädetään henkilötietolain 45 §:ssä. Pykälän 1 momentin mukaan tietosuojavaltuutetun 40 §:n 2 momentin ja tietosuojalautakunnan 43 (lupa-asiat) ja 44 §:n (määräykset) nojalla tekemään päätökseen haetaan muutosta valittamalla noudattaen, mitä hallintolainkäyttölaissa (586/1996) säädetään. Tietosuojavaltuutettu voi hakea muutosta tietosuojalautakunnan 43 §:n nojalla tekemään päätökseen. Pykälän 2 momentin mukaan tietosuojalautakunnan päätöksessä voidaan määrätä, että päätöstä on noudatettava muutoksenhausta huolimatta, jollei valitusviranomainen toisin määrää.

Lisäpöytäkirjan 1 artiklan 5 kohdan mukaan valvontaviranomaiset toimivat yhteistyössä toistensa kanssa tietosuojasopimuksen IV luvun määräysten mukaisesti siinä määrin kuin se on tarpeen tehtäviensä hoitamiseksi, erityisesti vaihtamalla kaikkia tarvittavia tietoja, sanotun kuitenkaan rajoittamatta tietosuojasopimuksen 13 artiklan määräysten soveltamista. Tietosuojasopimuksen IV luvussa määrätään muun ohella osapuolten välisestä yhteistyöstä (13 artikla) ja ulkomailla asuvien rekisteröityjen avustamisesta (14 artikla).

Henkilötietodirektiivin 28 artiklan 6 kohdan toisessa alakohdassa säädetään, että valvontaviranomaisten on oltava yhteistyössä keskenään siinä määrin kuin on tarpeen tehtäviensä suorittamiseksi, erityisesti vaihtamalla hyödyllisiä tietoja. Tietosuojapuitepäätös ei sisällä vastaavaa säännöstä.

Tietosuojasopimuksen voimaansaattamista koskevassa asetuksessa (270/1992) tietosuojavaltuutettu on nimetty 13 artiklassa tarkoitetuksi viranomaiseksi, joka huolehtii osapuolten välisestä yhteistyöstä. Henkilötietolain 38 §:n 3 momentin mukaan tietosuojaviranomaiset toimivat yhteistyössä muiden Euroopan unionin jäsenvaltioiden tietosuojaviranomaisten kanssa ja antavat tarvittaessa virka-apua. Tietosuojalautakunnasta ja tietosuojavaltuutetusta annetun lain 5 §:n 4 kohdan mukaan tietosuojavaltuutetun tehtävänä on huolehtia henkilötietojen käsittelyyn liittyvästä kansainvälisestä yhteistyöstä.

2 artikla. Henkilötietojen siirto maan rajan yli vastaanottajalle, joka ei kuulu yleissopimuksen osapuolen lainkäyttövaltaan. Artiklan 1 kohdan mukaan kukin osapuoli sallii henkilötietojen siirron tietosuojasopimuksen osapuoliin kuulumattoman valtion tai järjestön lainkäyttövaltaan kuuluvalle vastaanottajalle ainoastaan, jos kyseinen valtio tai järjestö takaa aiotulle tietojen siirrolle riittävän suojan tason.

Tietosuojasopimuksessa määrätään vain välillisesti tiedonsiirrosta sellaisen valtion alueelle, joka ei ole sopimuksen osapuoli. Sopimuksen 12 artiklan 2 kappaleen mukaan osapuoli ei saa yksinomaan yksityisyyden suojelemiseksi kieltää henkilötietojen siirtoa toisen osapuolen alueelle tai vaatia erityistä valtuutusta tähän. Artiklan 3 kappaleen b kohdan mukaan osapuolella on kuitenkin oikeus poiketa 2 kappaleen määräyksistä, jos siirto tehdään sen alueelta toisen osapuolen alueen kautta sellaisen valtion alueelle, joka ei ole liittynyt sopimukseen. Poikkeamisen tarkoituksen on välttää tiedon alkuperämaan lainsäädännön kiertäminen tällaisten siirtojen avulla. Selitysmuistiossa todetaan, että lisäpöytäkirjan laatimisaikana jotkut osapuolet olivat säätäneet henkilötietojen siirrosta kolmansiin valtioihin. Sääntelyn erilaisuus oli vaarassa rajoittaa osapuolten välistä tiedonsiirtoa, mikä olisi vastoin tietosuojasopimuksen tarkoitusta.

Lisäpöytäkirjan 2 artiklan 1 kohdassa edellytetään, että kohdevaltio tai järjestö takaa aiotulle tiedonsiirrolle riittävän suojan tason. Selitysmuistion mukaan tason riittävyys arvioidaan kaikkien siirtoa koskevien olosuhteiden valossa ja tapauskohtaisesti jokaisen siirron tai siirtoluokan osalta. Arvioinnissa tulisi ottaa huomioon erityisesti tiedon tyyppi, käsittelyn tarkoitus ja kesto, alkuperämaa ja lopullinen kohdevaltio, kohdevaltiossa tai järjestössä voimassa olevat yleiset ja alakohtaiset säännökset sekä käytännesäännöt ja noudatettavat turvatoimet. Arvio voidaan tehdä myös järjestö- tai valtiokohtaisesti. Arviossa tulee selvittää, miten tietosuojasopimuksen II luvun ja käsillä olevan lisäpöytäkirjan periaatteet toteutuvat kohdevaltiossa tai -järjestössä ja miten tietojen kohteena oleva henkilö voi puolustaa etujaan rikkomustapauksessa.

Artiklan 2 kohdassa määrätään siitä, milloin osapuoli voi sallia henkilötietojen siirron, vaikka artiklan 1 kohdan edellytykset eivät olisi täyttyneet. Kohdan a ja b alakohdan mukaan siirto on sallittu, jos siirto on kyseisen osapuolen kansallisessa lainsäädännössä sallittu tietojen kohteena olevan henkilön erityisen edun perusteella tai oikeutetun ja erityisesti merkittävän yleisen edun perusteella, taikka jos toimivaltaiset viranomaiset katsovat, että siirron valvonnasta vastaavan tahon asettamat, erityisesti sopimusmääräyksistä johtuvat takeet, ovat kansallisen lainsäädännön mukaan riittävät.

Henkilötietodirektiivin IV luvussa säädetään henkilötietojen siirrosta kolmansiin maihin. Direktiivin 25 artiklan 1 kohdan mukaan jäsenvaltioiden on säädettävä siitä, että käsiteltävien tai siirron jälkeen käsiteltäviksi tarkoitettujen henkilötietojen siirto kolmanteen maahan voidaan suorittaa ainoastaan, jos kyseisessä kolmannessa maassa taataan tietosuojan riittävä taso, jollei direktiivin muiden säännösten mukaisesti säädetyistä kansallisista säännöksistä muuta johdu. Artiklan 2 kohdassa säädetään tietosuojan tason riittävyyden arvioinnissa käytetyistä kriteereistä ja 3—6 kohdassa noudatettavasta menettelystä tilanteissa, joissa jäsenvaltio tai komissio arvioi, että kolmannessa maassa ei taata riittävää tietosuojan tasoa.

Henkilötietodirektiivin 26 artiklassa säädetään edellytyksistä, joiden täyttyessä henkilötietoja voidaan siirtää kolmanteen maahan 25 artiklan säännöksistä poiketen. Artiklan 1 kohdan mukaan henkilötietoja voidaan siirtää muun ohella silloin, jos siirto on tarpeen tai lain vaatima tärkeän yleisen edun turvaamiseksi tai oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi (d alakohta) tai siirto on tarpeen rekisteröidyn elintärkeän edun suojaamiseksi (e alakohta). Jäsenvaltio voi hyväksyä henkilötietojen siirron tai siirtojen sarjan sellaiseen kolmanteen maahan, jossa ei taata 25 artiklan 2 kohdassa tarkoitettua tietosuojan riittävää tasoa, jos rekisterinpitäjä antaa riittävät takeet henkilöiden yksityisyyden suojasta ja perusoikeuksien ja -vapauksien suojasta sekä vastaavien oikeuksien soveltamisesta, sanotun kuitenkaan rajoittamatta 1 kohdan soveltamista; nämä takeet voivat erityisesti johtua soveltuvista sopimuslausekkeista (26 artiklan 2 kohta).

Henkilötietojen siirrosta Euroopan unionin ulkopuolelle säädetään henkilötietolain 5 luvussa. Lain 22 §:n mukaan henkilötietoja voidaan siirtää Euroopan unionin jäsenvaltioiden alueen tai Euroopan talousalueen ulkopuolelle ainoastaan, jos kyseisessä maassa taataan tietosuojan riittävä taso. Tietosuojan tason riittävyys on arvioitava ottaen huomioon tietojen luonne, suunnitellun käsittelyn tarkoitus ja kestoaika, alkuperämaa ja lopullinen kohde, asianomaisessa maassa voimassa olevat yleiset ja alakohtaiset oikeussäännöt sekä käytännesäännöt ja noudatettavat turvatoimet.

Säännöksiä henkilötietojen siirrosta Euroopan unionin ulkopuolelle täydennettiin vuonna 2000 tehdyllä henkilötietolain muutoksella (986/2000). Henkilötietolakiin sisällytettiin säännökset henkilötietodirektiivin nojalla tapahtuvasta komission päätöksenteosta. Uuden 22 a §:n 1 momentin mukaan henkilötietoja voidaan siirtää Euroopan unionin jäsenvaltioiden alueen tai Euroopan talousalueen ulkopuolelle siltä osin kuin Euroopan unionin komissio on henkilötietodirektiivin 3 artiklan ja 25 artiklan 6 kohdan mukaisesti todennut, että kyseisessä maassa taataan tietosuojan riittävä taso. Toteaminen tapahtuu siten, että komissio tekee päätöksen tietosuojan riittävästä tasosta.

Edelleen lain 22 a §:n 2 momentin mukaan henkilötietoja ei voida siirtää Euroopan unionin jäsenvaltioiden alueen tai Euroopan talousalueen ulkopuolelle siltä osin kuin komissio on henkilötietodirektiivin 3 artiklan ja 25 artiklan 4 kohdan mukaisesti todennut, että kyseisessä maassa ei taata tietosuojan riittävää tasoa. Lain 23 §:n poikkeusperusteita muutettiin ja täydennettiin henkilötietodirektiivin vaatimusten mukaisesti.

Poliisin henkilörekisterin tietojen luovuttamisesta ulkomaille on erityissäännöksiä henkilötietojen käsittelystä poliisitoimessa annetun lain (761/2003), jäljempänä poliisin henkilötietolaki, 6 luvussa. Tietojen muuta ulkomaille luovuttamista koskevassa 40 §:n 2 momentissa säädetään siitä, mille viranomaiselle sekä mihin käyttötarkoituksiin tietoja saadaan luovuttaa. Momentissa ei ole luovutuksen kohteen ja käyttötarkoituksen määrittelyn lisäksi erityisiä säännöksiä niistä edellytyksistä, joiden täyttyessä tietoja saadaan luovuttaa ulkomaille. Poliisin henkilötietolain soveltamisalaa koskevassa 1 §:ssä todetaan kuitenkin muun ohella, että henkilötietojen käsittelyyn sovelletaan henkilötietolakia siltä osin kuin poliisin henkilötietolaissa tai muussa laissa ei toisin säädetä.

Henkilötietojen käsittelystä rajavartiolaitoksessa annettu laki (579/2005), jäljempänä rajavartiolaitoksen henkilötietolaki, sisältää erityissäännöksiä rajavartiolaitoksen henkilötietorekisterin tietojen luovuttamisesta ulkomaille. Rajavartiolaitoksen henkilötietolain 39 §:ssä säädetään tietojen luovuttamisesta muulle ulkomaiselle viranomaiselle. Pykälässä säädetään siitä, mille viranomaiselle ja mihin käyttötarkoituksiin tietoja saadaan luovuttaa, mutta ei tiedonluovutuksen edellytyksistä. Rajavartiolaitoksen henkilötietolain 1 §:n mukaan henkilötietojen käsittelyyn rajavartiolaitoksessa sovelletaan henkilötietolakia siltä osin kuin rajavartiolaitoksen henkilötietolaissa tai muussa laissa ei toisin säädetä.

3 artikla. Loppumääräykset. Artiklan 1 kohdan mukaan osapuolet katsovat, että lisäpöytäkirjan 1 ja 2 artiklan määräykset täydentävät tietosuojasopimusta ja kaikkia tietosuojasopimuksen määräyksiä sovelletaan sen mukaisesti. Näin ollen lisäpöytäkirjan soveltamisala määräytyy tietosuojasopimuksen määräysten mukaan. Tietosuojasopimuksen 3 artiklan 1 kappaleen mukaan osapuolet sitoutuvat soveltamaan sopimusta automaattisesti käsiteltäviin henkilörekistereihin ja henkilötietojen automaattiseen tietojenkäsittelyyn julkisella ja yksityisellä sektorilla. Sopimuksen 3 artiklan 2 kappaleessa määrätään siitä, miten osapuoli voi selityksellään laajentaa ja rajoittaa edellä mainittua yleistä soveltamisvelvoitettaan. Lisäpöytäkirjan soveltamisalaa on käsitelty edellä yleisperustelujen 1.2 jaksossa.

Lisäpöytäkirjan allekirjoittamisesta, ratifioinnista ja hyväksymisestä määrätään artiklan 2 kohdassa. Pöytäkirja on avoinna allekirjoittamista varten tietosuojasopimuksen allekirjoittajavaltioille. Euroopan yhteisöt (unioni) voivat allekirjoittaa pöytäkirjan sen jälkeen, kun ne ovat liittyneet tietosuojasopimukseen sen määräysten mukaisesti. Lisäpöytäkirja tulee ratifioida tai hyväksyä. Pöytäkirjan allekirjoittaja ei voi ratifioida tai hyväksyä sitä, jollei se ole aiemmin tai samanaikaisesti ratifioinut tai hyväksynyt tietosuojasopimusta tai liittynyt siihen. Pöytäkirjan ratifioimis- ja hyväksymiskirjat talletetaan Euroopan neuvoston pääsihteerin huostaan.

Pöytäkirja tulee voimaan artiklan 3 kohdan mukaan seuraavan kuukauden ensimmäisenä päivänä, kun on kulunut kolme kuukautta siitä päivästä, jona viisi pöytäkirjan allekirjoittajaa on ilmaissut suostumuksensa tulla sen sitomaksi artiklan 2 kohdan määräysten mukaisesti.

Sellaisen pöytäkirjan allekirjoittajan osalta, joka myöhemmin ilmaisee suostumuksensa tulla sen sitomaksi, pöytäkirja tulee voimaan seuraavan kuukauden ensimmäisenä päivänä, kun on kulunut kolme kuukautta siitä päivästä, jona ratifioimis- tai hyväksymiskirja on talletettu.

Liittymisestä määrätään artiklan 4 kohdassa. Lisäpöytäkirjan voimaantulon jälkeen valtio, joka on liittynyt tietosuojasopimukseen, voi liittyä myös pöytäkirjaan. Lisäpöytäkirjaan liitytään tallettamalla liittymiskirja Euroopan neuvoston pääsihteerin huostaan. Liittyminen tulee voimaan seuraavan kuukauden ensimmäisenä päivänä, kun on kulunut kolme kuukautta liittymiskirjan tallettamisesta.

Lisäpöytäkirjan irtisanomisesta on määräyksiä artiklan 5 kohdassa. Osapuoli voi milloin tahansa irtisanoa pöytäkirjan Euroopan neuvoston pääsihteerille osoitetulla ilmoituksella. Irtisanominen tulee voimaan seuraavan kuukauden ensimmäisenä päivänä, kun on kulunut kolme kuukautta siitä päivästä, jona pääsihteeri on vastaanottanut ilmoituksen.

Artiklan 6 kohdan mukaan Euroopan neuvoston pääsihteeri ilmoittaa Euroopan neuvoston jäsenvaltioille, Euroopan yhteisöille ja muille pöytäkirjaan liittyneille valtioille: a) jokaisesta allekirjoituksesta; b) jokaisen ratifioimis- tai hyväksymiskirjan tallettamisesta; c) jokaisesta pöytäkirjan 3 artiklan mukaisesta voimaantulopäivästä; d) jokaisesta muusta pöytäkirjaan liittyvästä toimesta, ilmoituksesta tai tiedonannosta.

1 §. Pykälä sisältää tavanomaisen blankettilain säännöksen, jolla saatetaan voimaan lailla lisäpöytäkirjan lainsäädännön alaan kuuluvat määräykset. Lainsäädännön alaan kuuluvia määräyksiä selostetaan jäljempänä eduskunnan suostumuksen tarpeellisuutta koskevassa jaksossa.

2 §. Pykälä sisältää tavanomaisen voimaantulosäännöksen, jonka mukaan lain voimaantulosta säädettäisiin tasavallan presidentin asetuksella. Laki on tarkoitettu tulemaan voimaan samanaikaisesti kuin lisäpöytäkirja tulee Suomen osalta kansainvälisesti voimaan.

Lisäpöytäkirja tulee Suomen osalta kansainvälisesti voimaan sen 3 artiklan 3 kohdan b alakohdan nojalla seuraavan kuukauden ensimmäisenä päivänä, kun on kulunut kolme kuukautta siitä päivästä, jona hyväksymiskirja on talletettu. Lisäpöytäkirjan voimaansaattamislaki on tarkoitettu saatettavaksi voimaan samana ajankohtana kuin pöytäkirja tulee voimaan.

Tietosuojasopimukseen annettavat selitykset tulevat sopimuksen 3 artiklan 6 kappaleen mukaan voimaan kolmen kuukauden kuluttua siitä, kun Euroopan neuvoston pääsihteeri on ne vastaanottanut.

Ahvenanmaan itsehallintolain (1144/1991) 18 §:n 1 ja 4 kohdan mukaan maakunnalla on lainsäädäntövalta asioissa, jotka koskevat maakunnan hallitusta ja sen alaisia viranomaisia ja laitoksia sekä kuntien hallintoa. Maakuntalakien itsehallintolain 19 §:ssä tarkoitetussa lainsäädäntövalvonnassa on näiden lainkohtien nojalla katsottu, että maakunnan lainsäädäntövaltaan kuuluvat asiat, jotka koskevat edellä mainittujen viranomaistahojen hallussa olevien henkilötietojen suojaa. Ahvenanmaan maakuntapäivät antoi vuonna 1991 suostumuksensa tietosuojasopimuksen voimaansaattamislain voimaantulolle maakunnassa. Myös lisäpöytäkirjan henkilötietojen suojaa koskevat määräykset kuuluvat ainakin osittain maakunnan lainsäädäntövaltaan. Näin ollen lisäpöytäkirjan lainsäädännön alaan kuuluvien määräysten voimaansaattamislain voimaantulolle Ahvenanmaan maakunnassa on saatava Ahvenanmaan maakuntapäivien hyväksyntä itsehallintolain 59 §:n 1 momentin mukaisesti.

Arvion lähtökohdat. Eduskunta hyväksyy perustuslain 94 §:n 1 momentin mukaan sellaiset valtiosopimukset ja muut kansainväliset velvoitteet, jotka sisältävät lainsäädännön alaan kuuluvia määräyksiä tai ovat muutoin merkitykseltään huomattavia taikka vaativat perustuslain mukaan muusta syystä eduskunnan hyväksymisen.

Valtiosopimuksen tai muun kansainvälisen velvoitteen määräykset on luettava lainsäädännön alaan, jos määräys koskee jonkin perustuslaissa turvatun perusoikeuden käyttämistä tai rajoittamista, jos määräys muutoin koskee yksilön oikeuksien tai velvollisuuksien perusteita, jos määräyksen tarkoittamasta asiasta on perustuslain mukaan säädettävä lailla taikka jos määräyksen tarkoittamasta asiasta on voimassa lain säännöksiä tai jos siitä on Suomessa vallitsevan käsityksen mukaan säädettävä lailla. Kysymykseen ei vaikuta se, onko jokin määräys ristiriidassa vai sopusoinnussa Suomessa lailla annetun säännöksen kanssa (PeVL 11/2000 vp, PeVL 12/2000 vp ja PeVL 19/2010 vp).

Perustuslakivaliokunnan käytännössä on lähdetty myös siitä, että eduskunta antaa nimenomaisella päätöksellä suostumuksen sellaisten lainsäädännön alaan kuuluvia sopimusmääräyksiä koskevien varaumien, selitysten ja julistusten antamiseen, jotka vaikuttavat Suomen kansainvälisten velvoitteiden sisältöön tai laajuuteen itse sopimuksiin verrattuna (PeVL 16/2005 vp, PeVM 2/2008 vp, PeVL 19/2010 vp ja PeVL 29/2010 vp).

Sekasopimuksilla tarkoitetaan sopimuksia, joissa osapuolena on sekä Euroopan unioni että yksi tai useampi unionin jäsenvaltio. Sekasopimuksiin rinnastetaan myös ne sopimukset, joissa unioni ei voi olla osapuolena, mutta joissa osapuolena olevat jäsenvaltiot käyttävät unionin puolesta sen toimivaltaa (PeVL 16/2004 vp). Eduskunta hyväksyy vakiintuneen käytännön mukaan tällaisen sekasopimuksen vain siltä osin kuin se kuuluu Suomen toimivaltaan (PeVL 16/2004 vp, PeVL 6/2005 vp, PeVL 56/2010 vp ja PeVL 62/2010 vp).

Perustuslakivaliokunta on pitänyt tärkeänä, että toimivallan jakautumiseen kiinnitetään riittävästi huomiota laadittaessa hallituksen esityksiä sopimuksista, joiden määräysten osalta sekä unionilla että jäsenvaltioilla on toimivaltaa. Esityksistä tulee ilmetä, miltä osin sopimukset kuuluvat Suomen toimivaltaan (PeVL 6/2001 vp, PeVL 6/2005 vp ja PeVL 62/2010 vp).

Suomen toimivaltaan kuuluvat määräykset. Euroopan unionin toiminnasta tehdyn sopimuksen, jäljempänä EUT-sopimus, SEUT, 2—6 artiklassa määrätään unionin ja jäsenvaltioiden välisestä toimivallanjaosta. SEUT 4 artiklan mukaan unionilla on jäsenvaltioiden kanssa jaettu toimivalta, kun unionille annetaan perussopimuksissa toimivaltaa, joka ei koske 3 ja 6 artiklassa tarkoitettuja aloja. SEUT 3 artiklassa luetellaan alat, joilla unionilla on yksinomainen toimivalta ja 6 artiklassa alat, joilla unionilla on toimivalta toteuttaa toimia jäsenvaltioiden toimien tukemiseksi, yhteensovittamiseksi tai täydentämiseksi. Henkilötietojen suoja ei kuulu 3 ja 6 artiklassa mainittuihin aloihin. SEUT 2 artiklan 2 kohdan mukaan kun perussopimuksissa annetaan unionille jäsenvaltioiden kanssa jaettu toimivalta tietyllä alalla, unioni ja jäsenvaltiot voivat toimia lainsäätäjänä ja antaa oikeudellisesti velvoittavia säädöksiä kyseisellä alalla. Jäsenvaltiot käyttävät toimivaltaansa siltä osin kuin unioni ei ole käyttänyt omaansa.

Unionin sisäisestä toimivallasta henkilötietojen suojaa koskevissa asioissa on määräyksiä unionin perussopimuksissa. SEUT 16 artiklan 1 kohdassa taataan jokaiselle oikeus henkilötietojensa suojaan. Artiklan 2 kohdan mukaan Euroopan parlamentti ja neuvosto antavat tavallista lainsäätämisjärjestystä noudattaen luonnollisten henkilöiden suojaa koskevat säännöt, jotka koskevat unionin toimielinten, elinten ja laitosten sekä jäsenvaltioiden, silloin kun viimeksi mainitut toteuttavat unionin oikeuden soveltamisalaan kuuluvaa toimintaa, suorittamaa henkilötietojen käsittelyä, sekä säännöt, jotka koskevat näiden tietojen vapaata liikkuvuutta. Artiklan 2 kohdassa määrätään edelleen, että näiden sääntöjen noudattamista valvoo riippumaton viranomainen. Artiklan 2 kohdassa määrätään lisäksi, että sen nojalla annetut säännöt eivät vaikuta Euroopan unionista tehdyn sopimuksen, jäljempänä EU-sopimus, SEU, 39 artiklassa tarkoitettuihin erityisiin sääntöihin.

SEU 39 artikla koskee henkilötietojen suojaa yhteisen ulko- ja turvallisuuspolitiikan alalla. Artikla sisältää uuden oikeusperustan neuvoston päätökselle, jolla vahvistetaan luonnollisten henkilöiden suojaa koskevat säännöt, jotka koskevat henkilötietojen käsittelyä jäsenvaltioiden viranomaisissa yhteisen ulko- ja turvallisuuspolitiikan alalla. Artiklassa edelleen määrätään, että näiden sääntöjen noudattamista valvoo riippumaton viranomainen, jolla tarkoitetaan henkilötietoja käsittelevää kansallista viranomaista. Jäsenvaltioiden toimivaltaan järjestää näiden sääntöjen noudattamisen laillisuusvalvonta ei artiklalla puututa (HE 23/2008 vp). Artikla sisältää myös oikeusperustan päätökselle, jolla vahvistetaan säännöt, jotka koskevat näiden tietojen vapaata liikkuvuutta. Päätösten on oltava SEUT 16 artiklan mukaiset.

Lissabonin sopimuksen hyväksyneen hallitustenvälisen konferenssin päätösasiakirjaan liitettiin julistus nro 21, jossa konferenssi tunnustaa, että SEUT 16 artiklan mukaiset erityissäännöt henkilötietojen suojasta ja näiden tietojen vapaasta liikkuvuudesta saattavat osoittautua tarpeellisiksi rikosoikeuden alalla tehtävän oikeudellisen yhteistyön ja poliisiyhteistyön aloilla näiden alojen erityisluonteen vuoksi.

Edellä esitetyistä perussopimusten määräyksistä seuraa, että toimivalta Euroopan unionin ja sen jäsenvaltioiden välillä on lisäpöytäkirjan kattamalla alalla luonteeltaan jaettua.

Unionin sisäisen toimivallan suhteesta sen ulkoiseen sopimuksentekotoimivaltaan on määräyksiä SEUT 3 ja 216 artiklassa. SEUT 216 artiklan 1 kohdan mukaan unioni voi tehdä sopimuksen yhden tai useamman kolmannen valtion tai kansainvälisen järjestön kanssa muun ohella silloin, kun sopimuksen tekeminen voi vaikuttaa yhteisiin sääntöihin tai muuttaa niiden ulottuvuutta. Unionilla on SEUT 3 artiklan 2 kohdan mukaan yksinomainen toimivalta tehdä tällainen sopimus siltä osin kuin se voi vaikuttaa yhteisiin sääntöihin tai muuttaa niiden ulottuvuutta. Artiklan 2 kohdan määräykset unionin yksinomaisesta sopimustoimivallasta perustuvat unionin tuomioistuimen unionin ulkoista toimivaltaa koskevaan oikeuskäytäntöön (HE 23/2008 vp). Unionin tuomioistuimen käytännön mukaan aina kun unioni antaa perussopimuksissa määrätyn yhteisen politiikan toteuttamiseksi yhteisiä sääntöjä, olivatpa ne missä muodossa tahansa, jäsenvaltioilla ei ole enää yksittäistä tai edes yhteistä oikeutta sopia kolmansien valtioiden kanssa näihin sääntöihin vaikuttavista tai niiden sisältöä muuttavista velvoitteista (asia 22/70, komissio v. neuvosto). Unioni saavuttaa ulkoisen toimivallan sen vuoksi, että se on käyttänyt sisäistä toimivaltaansa silloin, kun kansainväliset sitoumukset kuuluvat yhteisten sääntöjen soveltamisalaan tai joka tapauksessa alaan, jota tällaiset säännöt jo suurelta osin kattavat (asia C-469/98, komissio v. Suomi).

Unioni on käyttänyt sisäistä toimivaltaansa antamalla henkilötietodirektiivin. Vuonna 1995 annetun direktiivin oikeusperustana oli Euroopan yhteisöjen perustamissopimuksen 100a artikla, nykyinen SEUT 114 artikla. Direktiivin mukaan henkilötietojen käsittelyä koskevat jäsenvaltioiden erot yksilöiden oikeuksien ja vapauksien suojassa, erityisesti oikeudessa yksityisyyteen, voivat estää kyseisten tietojen siirron jäsenvaltioiden välillä. Sen vuoksi erot voivat muodostua esteeksi monelle yhteisön taloudelliselle toiminnalle ja vääristää kilpailua. Henkilötietojen suojaa koskevien säännösten katsottiin näin ollen olevan välttämättömiä perustamissopimuksessa tarkoitettujen sisämarkkinoiden toteutumisen ja toiminnan kannalta.

Perussopimuksiin jaetun toimivallan käytöstä tehty pöytäkirja nro 25 koskee SEUT 2 artiklan 2 kohtaa. Pöytäkirjan mukaan unionin toteuttaessa toimintaa tietyllä alalla tämä toimivallan käytön soveltamisala ei kata kuin kyseessä olevassa unionin säädöksessä säädellyt asiat eikä se siten koske asianomaista alaa kokonaisuudessaan.

Henkilötietodirektiiviä ei sovelleta sen 3 artiklan 2 kohdan mukaan henkilötietojen käsittelyyn, joka suoritetaan unionin oikeuden soveltamisalan ulkopuolisessa toiminnassa, kuten direktiivin tekohetkellä voimassa olleen Euroopan unionista tehdyn sopimuksen V (yhteinen ulko- ja turvallisuuspolitiikka) ja VI (poliisiyhteistyö ja oikeudellinen yhteistyö rikosasioissa) osastossa määrätyssä toiminnassa, ja kaikissa tapauksissa käsittelyyn, joka koskee yleistä turvallisuutta, puolustusta, valtion turvallisuutta ja rikosoikeuden alalla tapahtuvaa valtion toimintaa. Direktiiviä ei niin ikään sovelleta henkilötietojen käsittelyyn, jonka luonnollinen henkilö suorittaa yksinomaan henkilökohtaisessa tai kotitalouttaan koskevassa toiminnassa.

Tietosuojapuitepäätöstä sovelletaan sen 1 artiklan 2 kohdan mukaan ainoastaan tietoihin, joita toimivaltaiset viranomaiset keräävät tai käsittelevät rikosten torjumiseksi, tutkimiseksi, selvittämiseksi tai niistä syyttämiseksi tai rikosoikeudellisten seuraamusten täytäntöön panemiseksi. Puitepäätöksen soveltamisala rajoittuu jäsenvaltioiden keskenään siirtämien tai saataville asettamien henkilötietojen käsittelyyn. Tietosuojapuitepäätöksen 1 artiklan 3 kohdan mukaan puitepäätöstä sovelletaan henkilötietojen osittain tai kokonaan automatisoituun tietojenkäsittelyyn sekä sellaisten henkilötietojen manuaaliseen käsittelyyn, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa. Puitepäätös ei sen 1 artiklan 4 kohdan mukaan vaikuta olennaisiin kansallisiin turvallisuusetuihin eikä kansallisen turvallisuuden alan erityisiin tiedustelutoimiin.

Neuvosto ei ole toistaiseksi tehnyt SEU 39 artiklassa tarkoitettuja henkilötietojen suojaa yhteisen ulko- ja turvallisuuspolitiikan alalla koskevia päätöksiä. Yhteisen ulko- ja turvallisuuspolitiikan alalla unionilla ei ole yksinomaista tai jaettua toimivaltaa jäsenvaltioiden kanssa.

Unionilla on edellä selostetun perusteella yksinomainen toimivalta hyväksyä ne lisäpöytäkirjan määräykset, joissa tarkoitetuissa asioissa se on käyttänyt sisäistä toimivaltaansa. Muilta osin lisäpöytäkirjan määräykset kuuluvat Suomen toimivaltaan. Unioni ei voi toistaiseksi olla lisäpöytäkirjan osapuoli, ja sen vuoksi neuvosto valtuutti jäsenvaltiot äänestämään lisäpöytäkirjan hyväksymisen puolesta niiden määräysten osalta, jotka kuuluivat silloisen yhteisön toimivaltaan.

Lainsäädännön alaan kuuluvat määräykset. Perustuslain 10 §:n 1 momentin mukaan henkilötietojen suojasta säädetään tarkemmin lailla. Henkilötietojen suojaa koskevat kansainvälisten velvoitteiden määräykset kuuluvat näin ollen jo asian luonteen vuoksi lainsäädännön alaan.

Lisäpöytäkirjan 1 artiklan 1 kohdassa tarkoitetuista tietosuojaviranomaisista sekä artiklan 2 kohdassa tarkoitetuista tutkintavaltuuksista ja väliintulo-oikeuksista, muista oikeuksista ja kanteluiden käsittelyvelvollisuudesta on säännöksiä henkilötietolain 9 luvussa sekä tietosuojalautakunnasta ja tietosuojavaltuutetusta annetussa laissa. Artiklan 3 ja 4 kohta koskee sellaisia hyvän hallinnon ja oikeusturvan takeita, jotka perustuslain 21 §:n mukaan edellyttävät lailla säätämistä. Muutoksenhausta tietosuojavaltuutetun ja tietosuojalautakunnan tekemiin päätöksiin säädetään henkilötietolain 45 §:ssä. Artiklan 5 kohdan mukaisesta yhteistyöstä huolehtii Suomessa tietosuojalautakunnasta ja tietosuojavaltuutetusta annetun lain 5 §:n 4 kohdan mukaan tietosuojavaltuutettu. Lisäpöytäkirjan 1 artiklan määräykset kuuluvat näin ollen lainsäädännön alaan.

Lisäpöytäkirjan 2 artiklan mukaisesta henkilötietojen siirrosta maan rajan yli sellaiselle vastaanottajalle, joka ei kuulu tietosuojasopimuksen osapuolen lainkäyttövallan piiriin, säädetään henkilötietolain 5 luvussa. Pöytäkirjan 2 artiklan määräykset kuuluvat siten lainsäädännön alaan.

Lisäpöytäkirjan 3 artiklan 1 kohdassa määrätään, että pöytäkirjan määräykset täydentävät tietosuojasopimusta ja että kaikkia tietosuojasopimuksen määräyksiä sovelletaan sen mukaisesti. Artiklan 1 kohdasta seuraa, että esimerkiksi pöytäkirjan lainsäädännön alaan kuuluvassa 1 ja 2 artiklassa käytetty henkilötiedon käsite määritellään tietosuojasopimuksen määritelmää noudattaen. Lisäpöytäkirjan 3 artiklan 1 kohdan määräykset vaikuttavat näin ollen välillisesti lisäpöytäkirjan aineellisten sopimusmääräysten tulkintaan ja soveltamiseen ja kuuluvat itsekin lainsäädännön alaan (PeVL 6/2001 vp).

Tietosuojasopimukseen ehdotetut sopimuksen soveltamisalaa koskevat selitykset kuuluvat lainsäädännön alaan, koska ne vaikuttavat lainsäädännön alaan kuuluvien Suomen kansainvälisten velvoitteiden sisältöön tai laajuuteen itse sopimuksiin verrattuna.

Lisäpöytäkirja ja tietosuojasopimukseen annettavaksi ehdotetut selitykset eivät sisällä velvoitteita, jotka koskisivat perustuslakia sen 94 §:n 2 momentissa tai 95 §:n 2 momentissa tarkoitetulla tavalla. Lisäpöytäkirja ja selitykset voidaan hallituksen käsityksen mukaan hyväksyä äänten enemmistöllä ja ehdotus lisäpöytäkirjan voimaansaattamislaiksi voidaan hyväksyä tavallisen lain säätämisjärjestyksessä.

Edellä olevan perusteella ja perustuslain 94 §:n mukaisesti esitetään, että

Eduskunta hyväksyisi yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä tehtyyn yleissopimukseen valvontaviranomaisia ja maan rajan yli tapahtuvaa tietojen siirtoa koskevan Strasbourgissa 8 päivänä marraskuuta 2001 tehdyn lisäpöytäkirjan siltä osin kuin se kuuluu Suomen toimivaltaan,

Eduskunta hyväksyisi annettavaksi yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä Strasbourgissa 28 päivänä tammikuuta 1981 tehdyn yleissopimuksen 3 artiklan 2 kappaleen a kohdassa tarkoitetun selityksen, jonka mukaan Suomi ei sovella yleissopimusta sellaiseen henkilötietojen käsittelyyn, jonka luonnollinen henkilö suorittaa yksinomaan henkilökohtaisiin tai niihin verrattaviin tavanomaisiin yksityisiin tarkoituksiinsa,

ja että Eduskunta hyväksyisi annettavaksi yleissopimuksen 3 artiklan 2 kappaleen c kohdassa tarkoitetun selityksen, jonka mukaan Suomi soveltaa yleissopimusta henkilötietojen automaattisen käsittelyn ohella myös muuhun henkilötietojen käsittelyyn silloin, kun henkilötiedot muodostavat tai niiden on tarkoitus muodostaa henkilörekisteri tai sen osa.

Koska lisäpöytäkirja sisältää määräyksiä, jotka kuuluvat lainsäädännön alaan, annetaan samalla Eduskunnan hyväksyttäväksi seuraava lakiehdotus:

Lakiehdotus

Eduskunnan päätöksen mukaisesti säädetään:

1 §

Yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä tehtyyn yleissopimukseen valvontaviranomaisia ja maan rajan yli tapahtuvaa tietojen siirtoa koskevan Strasbourgissa 8 päivänä marraskuuta 2001 tehdyn lisäpöytäkirjan lainsäädännön alaan kuuluvat määräykset ovat lakina voimassa sellaisina kuin Suomi on niihin sitoutunut.

2 §

Tämän lain voimaantulosta säädetään tasavallan presidentin asetuksella.

---

Helsingissä 20 päivänä tammikuuta 2012

Tasavallan Presidentti
TARJA HALONEN

Oikeusministeri
Anna-Maja Henriksson