HaVM 42/2018 vp HE 55/2018 vp

Esityksessä ehdotetaan säädettäväksi laki, jolla pantaisiin täytäntöön Euroopan parlamentin ja neuvoston direktiivi matkustajarekisteritietojen käytöstä terrorismirikosten ja vakavan rikollisuuden torjunnassa. Yksityisyyden suojan varmistamiseksi laissa säädettäisiin lentoliikenteen matkustajarekisteritietojen käsittelytarkoituksista ja tietojen luovuttamista koskevista edellytyksistä. Esityksellä pantaisiin myös osittain täytäntöön Yhdistyneiden Kansakuntien turvallisuusneuvoston 21 päivänä joulukuuta 2017 antama terrorismin torjuntaan ja ns. vierastaistelijoihin liittyvä päätöslauselma, joka muun muassa velvoittaa YK:n jäsenvaltioiden toimivaltaiset viranomaiset keräämään lentoliikenteen matkustajarekisteritietoja.

Ehdotetussa laissa säädettäisiin poliisin, Tullin ja Rajavartiolaitoksen yhteistoiminnasta annetussa laissa tarkoitettu valtakunnallinen rikostiedusteluyksikkö toimimaan matkustajarekisteritietoja käsittelevänä kansallisena yksikkönä. Esityksessä ehdotetaan tehtäväksi myös mainittuun viranomaisten yhteistoimintaa koskevaan lakiin ja sakon täytäntöönpanosta annettuun lakiin vähäiset teknisluonteiset tarkistukset.

Lait on tarkoitettu tulemaan voimaan mahdollisimman pian.

Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/681 matkustajarekisteritietojen (Passenger Name Record, PNR) käytöstä terrorismirikosten ja vakavan rikollisuuden ennalta estämistä, paljastamista ja tutkintaa sekä tällaisiin rikoksiin liittyviä syytetoimia varten (jäljempänä matkustajarekisteridirektiivi) annettiin 27 päivänä huhtikuuta 2016. Jäsenvaltioiden on saatettava matkustajarekisteridirektiivin noudattamisen edellyttämät lait, asetukset ja hallinnolliset määräykset voimaan viimeistään 25 päivänä toukokuuta 2018. Niiden on ilmoitettava tästä komissiolle viipymättä.

Yhdistyneiden Kansakuntien turvallisuusneuvosto antoi 21 päivänä joulukuuta 2017 päätöslauselman 2396 jonka tavoitteena on terrorismiin liittyvän matkustamisen tunnistaminen vierastaistelijoiden liikkumiseen liittyen. Päätöslauselma velvoittaa YK:n jäsenvaltioiden toimivaltaiset viranomaiset keräämään PNR - tietoja myös lentoliikenteen harjoittajilta, hyödyntämään tietoja rikostorjunnassa ja jakamaan tietoja keskenään sekä jäsenvaltioiden välillä terrorismirikosten ja siihen liittyvän matkustamisen tunnistamisessa ja ehkäisemisessä. Toiminnassa tulee huomioida kansainvälisen siviili-ilmailujärjestö ICAO:n standardit ja suositukset, ja järjestöä kehotetaan yhteistyöhön jäsenvaltioiden kanssa aiheeseen liittyvien standardien kehittämisessä. Päätöslauselma myös kehottaa jäsenvaltioiden lainvalvontaviranomaisia, rajaturvallisuudesta vastaavia viranomaisia sekä tulliviranomaisia hyödyntämään kansainvälisen rikospoliisijärjestön Interpolin tietokantoja matkustajatietojen vertailussa lentoliikenteen sekä maa- ja meriliikenteen osalta palaavien vierastaistelijoiden uhkaan vastaamiseksi.

Poliisin, Tullin ja Rajavartiolaitoksen (jäljempänä PTR-viranomaiset) tehtäviin kuuluu myös rikostorjunta. Tätä toimintaa hoidetaan osin yhteistyössä, jota sääntelee laki poliisin, tullin ja rajavartiolaitoksen yhteistoiminnasta (687/2009, jäljempänä PTR-laki). Lain tarkoituksena on edistää poliisin, Tullin ja Rajavartiolaitoksen yhteistoimintaa sekä PTR-viranomaisten yhteisten toimintalinjojen toteuttamista siten, että PTR-viranomaisille säädetyt rikosten estämiseen, paljastamiseen ja selvittämiseen (rikostorjunta), valvontaan sekä niitä koskevaan kansainväliseen yhteistyöhön liittyvät tehtävät ja yksittäiset toimenpiteet tulevat hoidetuiksi tarkoituksenmukaisesti, tehokkaasti ja taloudellisesti. Yhteistoiminnalla tarkoitetaan PTR-laissa rikostorjuntaan, valvontatoimintaan tai kansainväliseen yhteistyöhön liittyvän toimenpiteen suorittamista toisen PTR-viranomaisen puolesta tai apuna tämän tehtäväalueella sekä toimimista yhteistyössä PTR-viranomaisten yhteisellä tehtäväalueella.

Kaikilla PTR-viranomaisilla on jäljempänä tarkemmin selostettavasti oikeus omien rikostorjuntatehtäviensä hoitamiseksi saada tietoja matkustajia koskevista rekistereistä teknisen käyttöyhteyden avulla tai tietojoukkona. Tämä tietojen saantioikeus ei ole rajoitettu pelkästään lentoliikenteeseen vaan koskee kaikkia liikennemuotoja. Näin ollen matkustajarekisteridirektiivin voimaan saattaminen ja lentoliikenteen harjoittajien velvollisuus toimittaa tietoja viranomaistaholle ei velvollisuutena ole uusi, vaikkakin uusimuotoinen.

Poliisi

Poliisin tehtävänä on poliisilain 1 §:n 1 momentin mukaan oikeus- ja yhteiskuntajärjestyksen turvaaminen, yleisen järjestyksen ja turvallisuuden ylläpitäminen sekä rikosten ennalta estäminen, paljastaminen, selvittäminen ja syyteharkintaan saattaminen. Poliisi toimii turvallisuuden ylläpitämiseksi yhteistyössä muiden viranomaisten sekä yhteisöjen ja asukkaiden kanssa ja huolehtii tehtäviinsä kuuluvasta kansainvälisestä yhteistyöstä.

Keskusrikospoliisin tehtävänä on poliisin hallinnosta annetun lain (110/1992) 9 §:n 1 momentin 1 kohdan mukaan torjua kansainvälistä, järjestäytynyttä, ammattimaista, taloudellista ja muuta vakavaa rikollisuutta.

Suojelupoliisin tehtävänä on poliisin hallinnosta annetun lain 10 §:n mukaan torjua sellaisia hankkeita ja rikoksia, jotka voivat vaarantaa valtio- ja yhteiskuntajärjestystä tai valtakunnan sisäistä tai ulkoista turvallisuutta sekä suorittaa tällaisten rikosten tutkintaa. Sen tulee myös ylläpitää ja kehittää yleistä valmiutta valtakunnan turvallisuutta vaarantavan toiminnan estämiseksi.

Poliisin oikeudesta saada matkustajatietoja rikosten estämiseksi tai selvittämiseksi säädetään poliisilain (872/2011) 4 luvun 3 §:ssä sekä henkilötietojen käsittelystä poliisitoimessa annetun lain (761/2003) 13 §:n 1 momentin 16 kohdassa sekä 2 momentissa.

Poliisilain 4 luvun 3 §:n 1 momentin mukaan poliisilla on päällystöön kuuluvan poliisimiehen pyynnöstä oikeus saada rikoksen estämiseksi tai selvittämiseksi tarvittavia tietoja yhteisön jäsentä, tilintarkastajaa, toimitusjohtajaa, hallituksen jäsentä tai työntekijää velvoittavan yritys-, pankki- tai vakuutussalaisuuden estämättä. Poliisilla on sama oikeus saada lain 6 luvussa tarkoitetussa poliisitutkinnassa tarvittavia tietoja, jos tärkeä yleinen tai yksityinen etu sitä vaatii. Poliisilaissa säädetty oikeus saada matkustajatietoja koskee vain yksittäisiä tapauksia eikä anna oikeutta tietojen saamiseen teknisen käyttöyhteyden avulla tai tietojoukkona

Henkilötietojen käsittelystä poliisitoimessa annetun lain 13 §:n 1 momentin 16 kohdan mukaan poliisilla on sen lisäksi, mitä muualla laissa säädetään, oikeus saada tehtäviensä suorittamista ja henkilörekisteriensä ylläpitämistä varten salassapitosäännösten estämättä teknisen käyttöyhteyden avulla tai tietojoukkona tarpeellisia tietoja siten kuin asianomaisen rekisterinpitäjän kanssa sovitaan, rikosten estämiseksi, paljastamiseksi, selvittämiseksi ja syyteharkintaan saattamiseksi sekä etsintäkuulutettujen tavoittamiseksi yhteisöiltä ja yhtymiltä matkustajaa ja kulkuneuvon henkilökuntaa koskevista rekistereistä. Lain 13 §:n 2 momentin mukaan poliisi voi velvoittaa sen, jolta se on oikeutettu saamaan kyseisiä tietoja, antamaan tiedot kohtuullisessa määräajassa. Poliisi voi asettaa velvoitteen noudattamisen tehosteeksi uhkasakon. Uhkasakon asettamispäätöstä on noudatettava sitä koskevasta muutoksenhausta huolimatta. Uhkasakkoa ei kuitenkaan saa asettaa, jos asianosaista on aihetta epäillä rikoksesta ja pyydetty aineisto rikosepäilyn kohteena olevaan asiaan. Uhkasakosta säädetään muutoin uhkasakkolaissa.

Tulli

Tullin tehtävänä on tullilain (304/2016) mukaisten tulliselvitys-, tullivalvonta- ja verotustehtävien lisäksi tullirikostorjunta. Tullirikostorjunnalla tarkoitetaan rikostorjunnasta Tullissa annetun lain (623/2015) 2 §:n 2 kohdan mukaan tullirikoksen estämistä, paljastamista ja selvittämistä. Tullirikoksella tarkoitetaan puolestaan lain 2 §:n 1 kohdan mukaan rikosta, jolla rikotaan sellaista tullilain tai muun lain säännöstä, jonka noudattamisen valvonta tai täytäntöönpano on Tullin tehtävänä, tullimieheen kohdistuvaa rikoslain (39/1889) 16 luvun 3 §:ssä tarkoitettua haitantekoa virkamiehelle sekä 4 b §:ssä tarkoitettua niskoittelua tullimiestä vastaan, rikoslain 46 luvun 6 ja 6 a §:ssä tarkoitettua laitonta tuontitavaraan ryhtymistä sekä sellaista rikosta, johon sisältyy omaisuuden maahantuontia, maastavientiä tai Suomen kautta kuljettamista.

Tullin oikeudesta saada matkustajatietoja rikosten estämiseksi tai selvittämiseksi säädetään rikostorjunnasta Tullissa annetun lain 2 luvun 14 §:ssä sekä henkilötietojen käsittelystä Tullissa annetun lain (639/2015) 13 §:n 1 momentin 1 kohdassa sekä 2 momentissa.

Rikostorjunnasta Tullissa annetun lain 2 luvun 14 §:n mukaan Tullilla on oikeus saada yksityiseltä tai julkiselta yhteisöltä tai henkilöltä yhteisön jäsentä, tilintarkastajaa, toimitusjohtajaa, hallituksen tai hallintoneuvoston jäsentä tai työntekijää velvoittavan yritys-, pankki- tai vakuutussalaisuuden estämättä tarvittavat tiedot tullirikoksen estämiseksi, paljastamiseksi tai selvittämiseksi. 14 §:n 4 momentin mukaan tiedot voidaan antaa sähköistä tiedonsiirtomenetelmää käyttäen, jos tietojen suojaaminen henkilötietolain (523/1999) 32 §:n 1 momentissa tarkoitetulla tavalla on varmistettu. Tulli voi velvoittaa antamaan tiedot kohtuullisessa määräajassa. Lain 14 §:n 5 momentin mukaan Tulli voi asettaa velvoitteen noudattamisen tehosteeksi uhkasakon. Uhkasakon asettamispäätöstä on noudatettava sitä koskevasta muutoksenhausta huolimatta. Uhkasakkoa ei kuitenkaan saa asettaa, jos asianosaista on aihetta epäillä rikoksesta ja pyydetty aineisto liittyy rikosepäilyn kohteena olevaan asiaan. Uhkasakon asettamisesta ja sen määrästä voidaan antaa tarkempia säännöksiä valtiovarainministeriön asetuksella. Muilta osin uhkasakosta säädetään uhkasakkolaissa (1113/1990).

Tullin oikeudesta saada matkustajatietoja tullirikostorjuntaa varten säädetään henkilötietojen käsittelystä Tullissa annetun lain 13 § 1 momentin 1 kohdassa. Sen mukaan Tullilla on sen lisäksi, mitä muualla laissa säädetään, salassapitosäännösten estämättä oikeus saada ja muutoin käsitellä tehtäviensä suorittamista ja henkilörekisteriensä ylläpitämistä varten, myös teknisen käyttöyhteyden avulla tai tietojoukkona, tarpeellisia tietoja rekistereistä siten kuin asianomaisen rekisterinpitäjän kanssa sovitaan yhteisöjen ja yhtymien henkilö- ja muista rekistereistä matkustajia, kulkuneuvon henkilökuntaa sekä kulkuneuvoja ja kuljetettavia tavaroita koskevat tarvittavat tiedot. Lain 13 §:n 2 momentin mukaan Tullilla on oikeus saada ja muutoin käsitellä tietoja tullilain 31 §:ssä tarkoitettua rajatarkastusta varten noudattaen, mitä henkilötietojen käsittelystä rajavartiolaitoksessa annetun lain (579/2005) 22 §:ssä säädetään rajavartiolaitoksen oikeudesta saada ja muutoin käsitellä tietoja rajaturvallisuuden ylläpitämistä varten. Lain 31 §:n mukaan Tulli voi velvoittaa rekisterinpitäjän antamaan lain 13 §:n 1 momentin 1 kohdassa tarkoitetut tiedot asettamassaan määräajassa. Tulli voi asettaa velvoitteen noudattamisen tehosteeksi rekisterinpitäjälle uhkasakon. Uhkasakon asettamispäätöstä on noudatettava sitä koskevasta muutoksenhausta huolimatta. Muilta osin uhkasakosta säädetään uhkasakkolaissa.

Tulli saa nykyisin etukäteen pääsääntöisesti liikenteenharjoittajakohtaisesti erilaisten sähköisten kanavien kautta eri liikennemuodoista matkustajatietoja tullirikostorjunnan suorittamista varten. Tulli käyttää tässä hyväksi eri liikenteenharjoittajien kanssa solmittuja yhteisymmärrysmuistioita, joissa sovitaan tietojen saannista.

Rajavartiolaitos

Rajavartiolaitoksen toiminnan tavoitteena on rajavartiolain (578/2005) 3 §:n mukaan rajaturvallisuuden ylläpitäminen. Rajavartiolaitos toimii rajaturvallisuuden ylläpitämiseksi yhteistyössä muiden viranomaisten kanssa. Rajavartiolaitos suorittaa erikseen säädettyjä valvontatehtäviä sekä toimenpiteitä rikosten ennalta estämiseksi, selvittämiseksi ja syytteeseen saattamiseksi yhteistyössä muiden viranomaisten kanssa. Rajavartiolaitos suorittaa poliisi- ja tullitehtäviä, etsintä- ja pelastustehtäviä sekä osallistuu sotilaalliseen maanpuolustukseen.

Rajavartiolaitoksen oikeudesta saada matkustajatietoja rajatarkastusten helpottamiseksi ja laittoman maahantulon sekä laittoman maahanmuuton torjumiseksi ja rajatarkastusviranomaiselle säädetyssä muussa tehtävässä on säädetty laissa henkilötietojen käsittelystä rajavartiolaitoksessa (579/2005). Lain 19 §:ssä säädetään tiedoista rajan ylittävässä kulkuneuvossa olevista henkilöistä. Pykälän 1 momentin mukaan Rajavartiolaitoksella on sen estämättä, mitä tietojen salassa pitämisestä säädetään, oikeus saada Rajavartiolaitoksen tutkittavien rikosten estämiseksi, selvittämiseksi ja syytteeseen saattamiseksi sekä rajaturvallisuuden ylläpitämiseksi tarpeellisia tietoja yhteisöiltä ja yhtymiltä matkustajaa ja kulkuneuvon henkilökuntaa koskevista rekistereistä. Tiedot on oikeus saada myös teknisen käyttöyhteyden avulla, siten kuin rekisterinpitäjän kanssa sovitaan.

Pykälän 2 momentin mukaan maahan saapuvan ja maasta lähtevän ajoneuvon kuljettajan on toimitettava maahantulo- tai maastalähtöpaikan rajatarkastusviranomaiselle tiedot ajoneuvossa olevista henkilöistä. Aluksen tai ilma-aluksen päällikön sekä junan tai muun liikennevälineen omistajan tai haltijan taikka tämän edustajan on annettava maahantulo- tai maastalähtöpaikan rajatarkastusviranomaiselle matkustaja- ja miehistöluettelo taikka muutoin tiedot liikennevälineen henkilökunnasta, matkustajista ja muista liikennevälineessä olevista henkilöistä. Tiedot voidaan luovuttaa teknisen käyttöyhteyden avulla. Pykälän 3 momentin mukaan matkustaja- ja miehistöluettelosta tulee käydä ilmi jokaisen siihen merkityn henkilön suku- ja etunimi, syntymäaika, sukupuoli ja kansalaisuus sekä liikennevälineen kansallisuus- ja rekisteritieto sekä saapumis- ja lähtöpaikka.

Lain 20 §:n mukaan sen lisäksi, mitä 19 §:ssä säädetään, on ammattimaisesti henkilöiden kuljetusta ilmateitse harjoittavan luonnollisen henkilön tai oikeushenkilön (lentoliikenteen harjoittaja) toimitettava rajatarkastusviranomaiselle tämän pyynnöstä tässä pykälässä mainitut tiedot matkustajista, jotka lentoliikenteen harjoittaja kuljettaa viralliselle rajanylityspaikalle, jonka kautta kyseiset henkilöt saapuvat Euroopan unionin jäsenvaltioiden alueelle tai lähtevät jäsenvaltioiden alueelta (lentoliikenteen matkustajatiedot).

Lentoliikenteen matkustajatietoihin on sisällyttävä käytetyn matkustusasiakirjan numero ja tyyppi, kansalaisuus tai kansalaisuudettomuus, koko nimi, syntymäaika, rajanylityspaikka, jonka kautta henkilö saapuu jäsenvaltioiden alueelle tai lähtee jäsenvaltioiden alueelta, kuljetuksen koodi, kuljetuksen lähtö- ja saapumisaika, asianomaisella kuljetuksella kuljetettujen henkilöiden kokonaismäärä sekä alkuperäinen lähtöpaikka. Tiedot on luovutettava sähköisesti tai, jos se ei ole mahdollista, muulla asianmukaisella tavalla. Rajatarkastusviranomainen saa käsitellä tässä pykälässä ja 19 §:ssä tarkoitettuja tietoja rajatarkastusten helpottamiseksi ja laittoman maahantulon sekä laittoman maahanmuuton torjumiseksi ja rajatarkastusviranomaiselle säädetyssä muussa tehtävässä.

Tiedot on toimitettava välittömästi lähtöselvityksen päätyttyä. Rajatarkastusviranomaisen on hävitettävä tiedot 24 tunnin kuluessa niiden toimittamisesta matkustajien saavuttua maahan tai lähdettyä maasta, jollei tietoja tarvita rajatarkastusviranomaisen muussa lakisääteisessä tehtävässä. Jollei muuta säädetä, tietojen luovuttajan on hävitettävä hankkimansa ja rajaviranomaisille toimittamansa henkilötiedot 24 tunnin kuluessa kuljetuksessa käytetyn liikennevälineen saapumisesta määränpäähänsä. Kyseisellä sääntelyllä on pantu täytäntöön neuvoston direktiivi 2004/82/EY liikenteenharjoittajien velvollisuudesta toimittaa tietoja matkustajista (niin sanottu API- direktiivi).

Lain 20 a §:n mukaan ammattimaisesti henkilöiden tai tavaroiden kuljetusta vesiteitse tai rautateitse harjoittavan luonnollisen henkilön tai oikeushenkilön on toimitettava rajatarkastusviranomaiselle 19 §:n 2 ja 3 momentissa tarkoitetut matkustaja- ja miehistötiedot ennen rajatarkastukseen saapumista.

Junaliikenteessä tiedot on toimitettava viimeistään junan lähdettyä viimeiseltä asemalta, jolta se on ottanut matkustajia. Alusliikenteen tietojen ennakkotoimitusvelvollisuuteen sovelletaan, mitä Schengenin rajasäännöstössä ja muualla säädetään tai määrätään.

Lain 21 §:n mukaan edellä 20 ja 20 a §:ssä liikenteenharjoittajalle säädetyn velvollisuuden laiminlyömisen johdosta seuraamusmaksun määräämisestä säädetään ulkomaalaislain (301/2004) 179 §:ssä jonka mukaan liikenteenharjoittajalle, joka rikkoo 173 §:ssä säädetyn tarkastusvelvollisuuden tai henkilötietojen käsittelystä rajavartiolaitoksessa annetun lain 20 tai 20 a §:ssä säädetyn tietojenantovelvollisuuden, määrätään seuraamusmaksu (liikenteenharjoittajan seuraamusmaksu). Maksun suuruus 173 §:n rikkomisesta on 3 000 euroa kuljetettua henkilöä kohden. Maksun suuruus henkilötietojen käsittelystä rajavartiolaitoksessa annetun lain 20 ja 20 a §:n rikkomisesta on 3 000 euroa kutakin sellaista matkaa kohden, jolta ei ole ilmoitettu matkustajatietoja tai ne on ilmoitettu puutteellisesti tai virheellisesti. Lain 180 §:ssä säädetään liikenteenharjoittajan kuulemisesta, 181 §:ssä maksun määräämisestä, 182 §:ssä maksun poistamisesta, 183 §:ssä maksuajasta ja 184 §:ssä maksun täytäntöönpanosta.

Poliisin, Tullin ja Rajavartiolaitoksen henkilötietojen käsittelyä koskevaa lainsäädäntöä ollaan uudistamassa.

Matkustajarekisteritietoja koskeva sääntely

Matkustajatiedoilla ja niiden analysoinnilla on kasvava rooli rikollisuuden torjunnassa. Erityisesti lentomatkustajia koskevien tietojen hyödyllisyyden havaitseminen rikollisuuden torjunnassa on johtanut siihen, että kasvava määrä valtioita pyrkii tehostamaan näiden tietojen hyödyntämismahdollisuuksia myös kansainvälisesti, asettamalla lentoliikenteen harjoittajille velvoitteita lentoliikenteen matkustajarekisterin tietojen (passenger name record, jäljempänä PNR-tiedot) toimittamiseksi oman maansa lainvalvontaviranomaisille.

Eräät EU:n ulkopuoliset maat ovat viime vuosia esittäneet EU:n jäsenvaltioille vaatimuksia lentomatkustajia koskevien PNR-tietojen toimittamisesta. EU on neuvotellut ja neuvottelee parhaillaan tietojen luovuttamista koskevista sopimuksista oikeudellisen perustan ja riittävän tietosuojan tason luomiseksi siirrettäville tiedoille. Tällä hetkellä EU:lla on voimassa kahdenväliset sopimukset PNR-tietojen luovuttamisesta Australian (VL L 186/14 14.7.2012) ja Amerikan Yhdysvaltojen (VL L 215/5 11.8.2012) kanssa. Sopimukset tulivat voimaan kesällä 2012. Neuvottelut tietojen toimittamisesta ovat parhaillaan käynnissä Kanadan kanssa (U 67/2013 vp).

Valtioneuvosto on kesäkuussa 2013 antanut selvityksen Venäjän määräyksestä lentoliikenteen matkustajatietojen luovuttamisesta (E 87/2013 vp). Myös useat muut EU:n ulkopuoliset maat ovat komission mukaan esittäneet tai aikovat esittää EU:n jäsenvaltioille vaatimuksia lentomatkustajia koskevien PNR- tietojen luovuttamisesta, esimerkkeinä Etelä-Korea, Japani, Qatar, Meksiko, Brasilia ja Yhdistyneet arabiemiirikunnat. EU:n jäsenvaltioiden lentoyhtiöihin on kohdistunut painetta niiden joutuessa noudattamaan tai jättämään noudattamatta eri valtioiden vaihtelevia ja ristiriitaisia vaatimuksia ja säädöksiä.

EU:n komissio julkaisi vuonna 2007 ehdotuksen neuvoston puitepäätökseksi lentomatkustajien rekisteritietojen käytöstä lainvalvontatarkoituksiin (U 3/2008 vp). Ehdotuksen tavoitteena oli lentoliikenteen PNR- tietojen saaminen EU:n omien lainvalvontaviranomaisten hyödynnettäväksi terrorismin ja vakavan rikollisuuden torjunnassa. Ehdotusta ei kuitenkaan ehditty hyväksyä ennen Lissabonin sopimuksen voimaantuloa, joten ehdotus raukesi siirryttäessä uuteen oikeusperustaan. Tämän vuoksi komissio julkaisi aiheesta direktiiviehdotuksen helmikuussa 2011 (U 66/2010 vp), ja Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/681 matkustajarekisteritietojen (PNR) käytöstä terrorismirikosten ja vakavan rikollisuuden ennalta estämistä, paljastamista ja tutkintaa sekä tällaisiin rikoksiin liittyviä syytetoimia varten annettiin 27 päivänä huhtikuuta 2016. Jäsenvaltioiden on saatettava direktiivi voimaan viimeistään 25 päivänä toukokuuta 2018.

Matkustajarekisteridirektiivi velvoittaa lentoliikenteen harjoittajat siirtämään määritellyt matkustajatiedot jäsenvaltioiden perustamille tai nimeämille matkustajatietoyksiköille direktiivissä määritellyn terrorismin ja vakavan rikollisuuden torjumiseksi. Matkustajatiedoilla tarkoitetaan kunkin matkustajan matkustajatiedot sisältävää rekisteriä joka sisältää matkustajan varausten käsittelyä ja valvontaa koskevat tiedot, esimerkiksi henkilön nimi, osoite ja yhteystiedot sekä maksutapaa koskevat tiedot.

Ulkomainen lainsäädäntö

Ottaen huomioon että esityksellä pantaisiin täytäntöön kaikkia EU:n jäsenvaltioita yhteisesti velvoittava direktiivi, erillistä vertailua PNR direktiivin täytäntöönpanon osalta ei ole arvioitu tarkoituksenmukaiseksi, huomioiden myös huomioon täytäntöönpanon keskeneräisyyden EU:n jäsenvaltioissa. Maaliskuun 2018 alussa direktiivin täytäntöönpanon oli notifioinut vain kolme jäsenvaltiota, Saksa, Belgia ja Unkari jotka direktiivin hyväksymisen yhteydessä annetun julistuksen mukaisesti soveltavat direktiiviä myös EU:n sisäiseen liikenteeseen.

Ruotsi

Ruotsissa on valmisteltu erillinen mietintö matkustajarekisteridirektiivin täytäntöönpanon osalta (Betänkande av PNR-utredningen, SOU 2017:57). Mietintö sisältää ehdotuksen uudeksi laiksi matkustajarekisteritietojen käsittelystä rikoksentorjunnassa (förslag till lag om flygpassageraruppgifter i brottsbekämpningen).

Saksa

Saksa on jo pannut täytäntöön liittovaltion tasolla matkustajarekisteridirektiivin. Matkustajarekisteridirektiivin täytäntöönpanosäännökset sisältyvät Saksassa erilliseen lakiin.

EU:n neuvoston julistus

Matkustajarekisteridirektiivin hyväksymisen yhteydessä 4 päivänä joulukuuta 2015 Euroopan unionin jäsenvaltiot antoivat erillisen julistuksen (EU:n neuvoston asiakirja 15271/15). Julistuksessa jäsenvaltiot, Euroopan turvallisuustilanne huomioiden, sitoutuivat kansallisia täytäntöönpanolakeja hyväksyessään siihen että ne hyödyntävät täysin matkustajarekisteridirektiivin 2 artiklasta ilmenevän mahdollisuuden soveltaa direktiiviä myös EU:n sisäisiin lentoihin. Komissio on järjestänyt direktiivin täytäntöönpanosta asiantuntijakokouksia, joiden yhteydessä yksikään jäsenvaltio ei ole ilmoittanut että se ei tulisi soveltamaan direktiiviä EU:n sisälentoihin.

Euroopan parlamentin toiveen mukaisesti julistus sisältää myös lausuman siitä että jäsenvaltiot pyrkivät laajentamaan kansallisessa lainsäädännössään (joissakin jäsenvaltioissa parlamentaaristen menettelyjen puitteissa) direktiivin soveltamisalaan kuulumaan myös muut kuin lentoliikennettä harjoittavat talouden toimijat, kuten matkatoimistot ja matkanjärjestäjät.

YK:n turvallisuusneuvoston päätöslauselma

Yhdistyneiden Kansakuntien turvallisuusneuvosto antoi 21 päivänä joulukuuta 2017 päätöslauselman 2396, jonka tavoitteena on erityisesti terrorismiin liittyvän matkustamisen tunnistaminen. Päätöslauselma muun muassa velvoittaa YK:n jäsenvaltioiden toimivaltaisia viranomaisia keräämään PNR- tietoja lentoliikenteen harjoittajilta, hyödyntämään tietoja ja jakamaan tietoja keskenään sekä jäsenvaltioiden välillä terrorismirikosten ja siihen liittyvän matkustamisen ehkäisemisessä. Päätöslauselma velvoittaa jäsenvaltiot myös kehittämään tarvittavan kapasiteetin lainvalvontaviranomaisille tietojen hyödyntämiseen. Toiminnassa tulee huomioida myös kansainvälisen siviili-ilmailujärjestö ICAO:n standardit ja suositukset, ja järjestöä kehotetaan yhteistyöhön jäsenvaltioiden kanssa aiheeseen liittyvien standardien kehittämisessä. Lisäksi päätöslauselma kehottaa jäsenvaltioiden lainvalvontaviranomaisia hyödyntämään Interpolin tietokantoja ja vertaamaan ilmaliikenteen lisäksi, maa- ja meriliikenteen matkustajatietoja Interpolin tietokantoihin.

Esityksen 1. lakiehdotuksella pantaisiin täytäntöön matkustajarekisteridirektiivin täytäntöön panossa lainsäädäntöä edellyttävät säännökset.

EU:n perusoikeuskirjan 7 artiklan mukaan jokaisella on oikeus siihen, että hänen yksityis- ja perhe-elämäänsä, kotiaan sekä viestejään kunnioitetaan. Perusoikeuskirjan 8 artiklan 1 kohdan mukaan jokaisella on oikeus henkilötietojensa suojaan. Toisen kohdan mukaan tietojen käsittelyn on oltava asianmukaista ja tapahduttava tiettyä tarkoitusta varten ja asianomaisen henkilön suostumuksella tai muun laissa säädetyn oikeuttavan perusteen nojalla. Euroopan ihmisoikeustuomioistuin on oikeuskäytännössään katsonut yksityiselämään liittyvien henkilötietojen rekisteröinnin kuuluvan Euroopan ihmisoikeussopimuksen yksityiselämän suojaa koskevan 8 artiklan soveltamisalaan. Tuomioistuin on todennut sopimusrikkomuksen muun muassa silloin, kun kansallinen lainsäädäntö ei ole sisältänyt säännöksiä tietosisällöistä, tietojen säilytysajoista ja niistä henkilöryhmistä, joista tietoja on saanut kerätä.

Perustuslain 10 §:n 1 momentin mukaan henkilötietojen suojasta säädetään tarkemmin lailla. Perustuslakivaliokunnan vakiintuneen käytännön mukaan lainsäätäjän liikkumavaraa rajoittaa tämän säännöksen lisäksi myös se, että henkilötietojen suoja osittain sisältyy samassa momentissa turvatun yksityiselämän suojan piiriin. Kysymys on siitä, että lainsäätäjän tulee turvata tämä oikeus tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kannalta kokonaisuudessaan. Perustuslakivaliokunta on käytännössään pitänyt henkilötietojen suojan kannalta tärkeinä sääntelykohteina ainakin rekisteröinnin tavoitetta, rekisteröitävien henkilötietojen sisältöä, niiden sallittuja käyttötarkoituksia mukaan luettuna tietojen luovutettavuus sekä tietojen säilytysaikaa henkilörekisterissä ja rekisteröidyn oikeusturvaa. Näiden seikkojen sääntelyn lain tasolla tulee lisäksi olla kattavaa ja yksityiskohtaista. Perustuslakivaliokunnan ratkaisukäytännön mukaan nämä näkökohdat soveltuvat henkilötietojen käytön sääntelyyn laajemminkin.

Esityksen 1. lakiehdotuksessa huomioitaisiin mainitut vaatimukset siltä osin kuin matkustajarekisteridirektiivin täytäntöönpanolainsäädäntö on tarpeen sovittaa yhteen tietosuojasääntelyn ja perusoikeuksien suojaa koskevien vaatimusten kanssa.

Matkustajarekisteritietojen käsittelyä koskeva sääntely

Matkustajarekisteridirektiivin täytäntöönpanon osalta on lainvalmistelun aikana arvioitu kahta sääntelyratkaisua. Ensinnäkin on arvioitu ratkaisua panna henkilötietojen käsittelystä poliisitoimessa annettua lakia muuttamalla täytäntöön pelkästään matkustajarekisteridirektiivin henkilötietojen käsittelyä koskevat säännökset. Tätä puoltaisi se, että kaikki poliisin henkilötietojen käsittelytarkoitukset olisivat kattavammin samassa luvussa tai laissa. Tämä olisi myös selkeää, ottaen huomioon, että matkustajatietojen vertailu olisi direktiivin mukaan sallittua rikosasioiden yhteydessä. Sääntelyratkaisun haittana olisi se, että direktiivin edellyttämän matkustajatietoyksikön perustaminen ja sille säädetyt toimivaltuudet sekä eräät muut direktiivin vaatimukset edellyttäisivät niiden huomioimista erikseen muussa lainsäädännössä. Lisäksi säännökset olisi sisällytettävä henkilötietojen käsittelyn osalta kattavammin erikseen myös Tullia ja Rajavartiolaitosta koskevaan lainsäädäntöön.

Toisena sääntelyvaihtoehtona on tarkasteltu erillistä täytäntöönpanolakia. Direktiivin henkilötietojen täytäntöönpanosäännösten sisällyttäminen poliisin henkilötietojen käsittelystä annettuun lakiin tarkoittaisi edellä mainitulla tavalla hajanaista sääntelyä. Erillisen direktiivin täytäntöönpanolain etuna olisi yhtenäisempi sääntely poliisin, Tullin ja Rajavartiolaitoksen suorittaman matkustajatietojen käsittelyn osalta. Lisäksi lainsäädännön soveltamista matkustajatietoyksikön toimesta selkiyttäisi kaikkien täytäntöönpanosäännösten sisällyttäminen kattavasti yhteen lakiin. Myös direktiivin edellyttämien matkustajatietoyksikön perustamista koskevien säännösten ja toimivaltuussäännösten sekä oikeusturvanäkökohtien huomioiminen olisi täytäntöönpanolaissa mahdollista kaikilta osin. Sääntelyratkaisu edellyttäisi täytäntöönpanolain lisäksi ainoastaan yksittäisiä lainmuutoksia liitelakeina. Esityksessä on päädytty erillisen täytäntöönpanolain esittämiseen kokonaisharkinnan perusteella.

Matkustajarekisteridirektiivi velvoittaa lentoliikenteen harjoittajat siirtämään määritellyt matkustajatiedot jäsenvaltioiden perustamille tai nimeämille matkustajatietoyksiköille direktiivissä määritellyn terrorismin ja vakavan rikollisuuden torjumiseksi. Matkustajatiedoilla tarkoitetaan kunkin matkustajan matkustajatiedot sisältävää rekisteriä joka sisältää matkustajan varausten käsittelyä ja valvontaa koskevat tiedot, esimerkiksi henkilön nimi, osoite ja yhteystiedot sekä maksutapaa koskevat tiedot.

Suomessa direktiivin tarkoittamana matkustajatietoyksikkönä toimisi poliisin, Tullin ja rajavartiolaitoksen yhteistoiminnasta annetun lain (687/2009) 5 §:n mukaisessa PTR-rikostiedustelurakenteessa muodostettu yksikkö. Matkustajatietoyksiköt analysoivat tietoja ennalta määriteltyjen kriteereiden mukaan sekä vertaavat tietoja terrorismirikosten ja vakavan rikollisuuden torjunnan kannalta olennaisiin kansallisiin ja kansainvälisiin tietokantoihin. Tavoitteena on tunnistaa henkilöt, joiden osalta kansallisten lainvalvontaviranomaisten tai Europolin on tehtävä lisätutkimuksia, koska he saattavat olla osallisina matkustajarekisteridirektiivissä määritellyissä terrorismirikoksissa tai vakavassa rikollisuudessa. Mikäli aihetta lisätutkimuksille ilmenee, matkustajatietoyksikkö toimittaa tiedot oman jäsenvaltionsa toimivaltaisille viranomaisille tai toisen EU:n jäsenvaltion matkustajatietoyksikölle. Suomen toimivaltaisia viranomaisia ovat poliisi, Tulli ja Rajavartiolaitos. Myös Europolilla on oikeus pyytää yksittäisiä tietoja tehtäviensä ja toimivaltansa rajoissa. Matkustajatietoja voidaan toimittaa kolmansille valtioille vain yksittäistapauksessa ja tietosuojadirektiivin asettamien yleisten edellytysten lisäksi matkustajarekisteridirektiivi asettaa erityisiä edellytyksiä tietojen luovutukselle.

Matkustajatietoja on säilytettävä matkustajatietoyksikössä viisi vuotta. Kuuden kuukauden kuluttua tietojen matkustajatietoyksikölle toimittamisesta tiedoista on erotettava häivyttämällä sellaiset tiedonosat, joiden avulla voisi olla mahdollista tunnistaa välittömästi matkustaja, johon tiedot liittyvät. Tämän kuuden kuukauden jälkeen yksittäiset matkustajatiedot häivytetyt tiedonosat mukaan lukien saisi luovuttaa vain poliisilta, Tullilta, Rajavartiolaitokselta, toisen jäsenvaltion matkustajatietoyksiköltä tai tämän toimivaltaiselta viranomaiselta tai Europolilta tulleen perustellun pyynnön johdosta ja päällystöön kuuluvan poliisimiehen suostumuksella.

Esityksessä ehdotetaan säädettäväksi direktiivin täytäntöönpanon edellyttämät säännökset matkustajarekisteritietojen toimittamisesta, käsittelystä, säilyttämisestä ja luovuttamisesta sekä poistamisesta.

Esityksen taloudellisten vaikutusten euromääräinen arvioiminen on mahdollista ainoastaan valtiontaloudellisten vaikutusten osalta sekä tietojärjestelmävaikutusten osalta. Muilta osin riittävää tilastollista pohjaa ei ole saatavilla tarkkojen kustannusvaikutusten arvioimiseksi, joten taloudellisten vaikutusten arviointi on toteutettu laadullisena arviointina hyödyntäen erityisesti asiantuntija-arvioita, joita on saatu rekisterinpitäjiltä, järjestelmäasiantuntijoilta ja tietosuoja-asiantuntijoilta. Yritysvaikutusten osalta arvioinnissa on hyödynnetty matkustajarekisteritietojen käsittelyn osalta Euroopan komission laatimaa vaikutustenarviointia, joka liittyy matkustajarekisteridirektiiviä koskevaan komission ehdotukseen. Ottaen huomioon säädöksiä koskevien neuvottelujen aikana tehdyt muutokset säännöksiin, yritysvaikutuksia on täydentävin osin pyritty arvioimaan nykytilan valossa sekä hyödyntämällä lausuntokierrosta.

Vaikutukset yrityksiin

Matkustajarekisteridirektiivin taloudellisia vaikutuksia lentoliikenteen harjoittajille on arvioitu direktiivin valmistelun yhteydessä valtioneuvoston eduskunnalle lähettämässä U-kirjeessä (U 66/2010 vp.) sekä tämän jatkokirjelmissä. Tämän esityksen vaikutustenarvioinnissa on lisäksi hyödynnetty erityisesti Euroopan komission suorittamaa koko EU:ta koskevaan vaikutustenarviointia (SEC(2011) 132 final). Komissio on kuullut asiaan liittyviä sidosryhmiä, mukaan lukien jäsenvaltioiden tietosuojaviranomaiset, Euroopan tietosuojavaltuutettu sekä lentoliikenteen harjoittajien katto-organisaatiot (AEA, ATA, IACA, ERA ja IATA). Näistä IATA ja EAA ovat kritisoineet lähinnä komission ehdotuksen hajautettua tietojärjestelmäratkaisua sekä siihen liittyvän teknisen käyttöyhteyden mallia (push), ja toivoivat tiedontoimitustavan tai -menetelmän jättämistä lentoliikenteen harjoittajien valittavaksi. Valinnaisella menetelmällä voisikin arviolta olla vähemmän taloudellisia vaikutuksia yrityksiin siinä tapauksessa, että se mahdollistaisi paremmin näiden olemassa olevien tietojärjestelmien mukauttamisen tietojen toimittamiseen. Toisaalta sillä voisi olla viranomaisten tietojärjestelmiin enemmän suoria taloudellisia vaikutuksia.

Kritiikin valossa komissio on tarkistanut vaikutusten arviointia muun muassa yritysvaikutusten osalta. Komission vaikutusten arvioinnissa on kiinnitetty huomiota siihen, että ainoastaan lentoliikenteen harjoittajat keräävät kattavasti matkustajatietoja. Ainoastaan osa rautatieliikenteen ja meriliikenteen harjoittajista kerää järjestelmällisesti näitä tietoja, ja ne on jätetty direktiiviehdotuksen ulkopuolelle. Ottaen huomioon, että lentoliikenteen harjoittajat jo keräävät matkustajatietoja, siltä osin 1. lakiehdotuksen vaikutuksia ei voida komission arvion mukaan pitää kovin merkittävinä. Toisaalta lentoliikenteen matkustajamäärät ovat olleet viime vuosina kasvussa. Tällä on lainvalmistelun yhteydessä arvioitu olevan vaikutusta lentoliikenteenharjoittajien tietojärjestelmäratkaisuihin sekä hallinnolliseen taakkaan.

Direktiiviin ja 1. lakiehdotukseen liittyvien velvoitteiden hoitamisesta aiheutuisi lentoliikenteenharjoittajille suoria taloudellisia vaikutuksia, mukaan lukien tietojärjestelmävaikutukset ja henkilöstökustannukset. Vuonna 2009 komission tarjouspyynnön perusteella julkaistussa tutkimuksessa on esitetty arvio hankkeeseen liittyvistä kustannuksista koko EU:ssa:

Kaikille liikenteenharjoittajille aiheutuvat kustannukset (yhteensä euroa)

Perustamiskustannukset - tarjontamenetelmä (kertaluonteiset):

- 100 000 euroa x 120 EU:n liikenteenharjoittajaa: 12 000 000

- 100 000 euroa x 80 EU:n ulkopuolista liikenteenharjoittajaa: 8 000 000

Viiden vuoden kuoletusaika: 4 000 000

Siirtokustannukset - tarjontamenetelmä x 2/matkustaja (toistuvat):

- 33 500 euroa/lentoyhtiö vuodessa x 120 liikenteenharjoittajaa x 3 yhteyttä

x 2 siirtoa (push): 24 120 000

Henkilöstö- ja ylläpitokustannukset (toistuvat): 6 240 000

Komissio on arvioinut, että vuoden 2009 lukujen perusteella viranomaisille EU:n PNR-järjestelmän perustamisesta aiheutuvat kustannukset ovat vähentyneet, kun taas liikenteenharjoittajille aiheutuvat kustannukset ovat lisääntyneet vuoden 2007 laskelmiin verrattuna. Todellisten kustannusten komissio on arvioinut olevan jossakin näiden lukujen välimaastossa ja ainakin liikenteenharjoittajien kustannusten lähempänä vuoden 2007 arvioita, jotka perustuvat suoraan liikenteenharjoittajien ilmoittamiin markkinahintoihin. Komissio on arvioinut edelleen, että vaikka vuoden 2009 erittäin korkeat laskelmat osoittautuisivat todenmukaisiksi ja liikenteenharjoittajat päättäisivät siirtää kustannuksensa matkustajille, tästä aiheutuisi matkalippua kohden alle 0,10 euron lisäkulut.

Lentoliikenteen harjoittajille aiheutuvien kustannusten arvioitiin direktiivin valmistelun yhteydessä olevan 0,10—0,20 euroa/lippu, jolloin arvio on hieman noussut vuodesta 2009 (U- jatkokirje 17.11.2015, muistio SM2015-00271). Kustannuksiin vaikuttavien teknisten ratkaisujen ollessa tuolloin osin vielä auki, tarkempi analyysi ei ollut mahdollista. Arviota ei ole myöskään saatavilla siitä, vaikuttaisiko ja millä tavalla sääntely vaikuttaisi EU:n sisämarkkinoilla toimivien yritysten asemaan suhteessa kansainvälisillä markkinoilla toimiviin yrityksiin (EU:n ulkorajat ylittävä lentoliikenne).

Hallituksen esityksen jatkovalmistelun yhteydessä lentoliikenteen harjoittajista Finnair ilmoitti tietojen lähetyskustannusten laskeneen aiemmasta, vuoden 2011 lähetyskuluihin perustuvasta arviosta. Tämä perustuu aiempaa yksikertaisemman mallin hyödyntämiseen tietojen siirtämisessä. Tämän seurauksena matkustajarekisteritietojen toimittamisen kustannukset yhtä matkustajaa ja yhtä lähetystä kohden ovat huomattavasti alhaisempia kuin vuoden 2015 U- jatkokirjeessä esitetty arvio. Arvio vuotuisista lähetyskuluista Finnairille myös EU:n sisäiset lennot huomioiden on noin 3 000 000—4 000 000 euroa. Vuotuisten lähetyskustannusten lisäksi Finnairin tulee maksaa niin kutsuttu aloitusmaksu palveluntuottajalleen kunkin tietoja pyytävän maan kohdalla. Näiden kertaluonteisten maksujen suuruus tulee EU- maiden PNR direktiivin implementoinnissa olemaan yhteensä noin 600 000—700 000 euroa.

Direktiivin johdannon kohdassa 17 todetaan komission kannattavan kansainvälisen siviili-ilmailujärjestön (ICAO) ohjeita perustaksi tuettujen tietomuotojen hyväksymiselle. Tietojen toimittamisen teknisen yhdenmukaisuuden varmistamiseksi matkustajarekisteridirektiivin 16 artikla määrittelee lentoliikenteen harjoittajille velvollisuudet toimittaa tiedot käyttäen komission täytäntöönpanosäädöksellä hyväksyttyjä yhteisiä yhteiskäytäntöjä ja tuettuja tietomuotoja. Komission täytäntöönpanosäännökset on hyväksytty 26 päivänä huhtikuuta 2017 (EUVL, L 113, 29.4.2017). Myös kansainvälisen siviili-ilmailun yleissopimuksen (SopS 11/1949) liite 9 edellyttää PNRGOV- muotoa (EDIFACT based). Lisäksi ICAO on julkaissut asiakirjan ICAO Doc 9944 Guidelines on Passenger Name Record (PNR) Data. Yhteisten kansainvälisten ohjeiden ja sopimusten mukaisesti toimiminen PNR- valvonnassa pienentää lentoliikenteen harjoittajille aiheutuvaa rasitetta, koska näiden ei tarvitse mukautua monen eri järjestelmän erilaisiin vaatimuksiin.

Matkustajarekisteridirektiivin ja tietosuojalainsäädännön velvoitteiden huomioimiseksi henkilötietojen käsittelyn osalta lentoliikenteenharjoittajille aiheutuisi myös jossain määrin ylimääräistä hallinnollista taakkaa. Verrattuna voimassa oleviin PTR-viranomaisten edellä jaksossa 2.1 lainsäädäntö tarkemmin kuvattuihin oikeuksiin saada tietoja liikenteenharjoittajilta, merkitsisi 1. lakiehdotus lentoliikenteen harjoittajien osalta systemaattisempaa ja laajamittaisempaa henkilötietojen käsittelyä ja näiltä edellytettäisiin tietynlaisen teknisen ratkaisun käyttämistä tietojen toimittamiseen. Ottaen huomioon uuden EU:n tietosuoja-asetuksen asettamat vaatimukset rekisterinpitäjille henkilötietojen käsittelyssä, laajoista tietojenluovutuksista ja näihin liittyvästä henkilötietojen suojaamisesta voisi aiheutua lentoliikenteen harjoittajille merkittäväkin hallinnollinen taakka. Toisaalta yhtenäisillä teknisillä ratkaisuilla pyrittäisiin keventämään sekä yritysten että viranomaisten hallinnollista taakkaa.

Komissio on arvioinut myös erilaisten teknisten tietojenluovutusratkaisujen kustannusvaikutuksia, verraten toisiinsa niin sanottua push-menetelmää ja pull-menetelmää. Komission selvityksen mukaan matkustajatietojen luovuttamisesta aiheutuisi lentoliikenteen harjoittajille merkittävät kustannusvaikutukset ja push-menetelmässä kustannusvaikutukset olisivat huomattavasti suuremmat, koska lentoliikenteen harjoittajat joutuisivat maksamaan luovutuskustannukset jokaisesta tiedonluovutuksesta. Lentoliikenteen harjoittajalle aiheutuvat kustannukset riippuisivat myös siitä, mikä yrityksen koko on, ja sen operoimien lentojen määrästä. Toisaalta komissio on arvioinut tämän tietojenluovutusmenetelmän osalta, että sen avulla lentoliikenteen harjoittajat pystyvät paremmin valvomaan henkilötietojen luovutuksia ja varmistamaan henkilötietojen asianmukaisen suojaamisen, ja on tästä syystä päätynyt ehdottamaan push-menetelmää teknisenä ratkaisuna. Lentoliikenteen harjoittajille aiheutuisi myös kustannuksia siitä, että tietojärjestelmämuutoksia ollaan tekemässä ja järjestelmien toimintakuntoon saattaminen vie jonkin aikaa. Jotta lentoliikenteen harjoittajat voisivat luovuttaa matkustajatietoja direktiivin mukaisen teknisen ratkaisun avulla, ne joutuvat toteuttamaan tarvittavat tietoformaatit ja kryptausmenetelmät sekä rakentamaan tiedonluovutusyhteydet kaikkiin jäsenvaltioihin, joihin niillä on lentoliikennettä. Näiden teknisten muutosten tarkat vaikutukset vaihtelevat yrityksittäin.

Valtiontaloudelliset vaikutukset

Henkilöresurssivaikutukset. Poliisihallitus olisi rekisterinpitäjä 1. lakiehdotuksessa tarkoitettujen matkustajarekisteritietojen käsittelyn osalta. Matkustajarekisteridirektiivi edellyttää tietosuojavastaavan nimeämistä matkustajatietoyksikölle. Tämän tehtävä olisi jonkin verran laajempi kuin tietosuojadirektiivin perusteella nimettävien tietosuojavastaavien tehtävät. Matkustajatietoyksikön tietosuojavastaava on jo nimetty. Tietosuojavastaava voisi EU:n tietosuojalainsäädännön perusteella olla myös useamman rekisterinpitäjän yhteinen henkilö, jos se katsotaan tarkoituksenmukaiseksi. Esityksen 1. lakiehdotuksella olisi suoria henkilöresurssivaikutuksia, jotka on eritelty jäljempänä viranomaisittain. Vaikutuksia aiheutuisi poliisille ja tietosuojavaltuutetun toimistolle.

Tietojärjestelmähankkeet ja tietojärjestelmien muutostyöt. Esityksen 1. lakiehdotukseen liittyy tietojärjestelmähanke, jolla toteutetaan matkustajarekisteridirektiivin edellyttämä kansallinen tietojärjestelmä sekä siihen liittyvät tekniset ratkaisut henkilötietojen vastaanottamiseksi lentoliikenteen harjoittajilta. Tietojärjestelmän kehittämistyö on rahoitettu suureksi osaksi sisäisen turvallisuuden rahastosta myönnetyllä rahoituksella, ja jäljelle jäävät kustannukset on tarkoitus kattaa hankerahoituksella. Kehittämistyö ei edellytä lisärahoitusta valtion talousarviosta.

Vahingonkorvaukset ja hallinnolliset seuraamukset. Seuraamukset henkilötietojen käsittelyä koskevista rikkomuksista määräytyisivät tietosuojalainsäädännön mukaisesti. Esityksen 1. lakiehdotuksella ei olisi itsenäisiä valtiontaloudellisia vaikutuksia tältä osin. Mahdollisesta lainsäädännön rikkomisesta määrättävät vahingonkorvaukset maksettaisiin vahingonkorvauslain mukaisesti. Sääntelyllä olisi suoria vaikutuksia valtion menoihin. Menojen vuosittaista suuruutta on kuitenkin mahdotonta ennakoida ja arvioida yksityiskohtaisesti.

Lisäksi 1. lakiehdotuksen perusteella lentoliikenteen harjoittajalle voitaisiin määrätä hallinnollinen seuraamusmaksu siinä tapauksessa, että tämä laiminlyö velvollisuutensa toimittaa poliisille lain edellyttämät matkustajarekisteritiedot. Seuraamusmaksujen määräämisellä uuden lain nojalla olisi valtiontaloudellisia vaikutuksia, joiden ei kuitenkaan arvioida olevan merkittäviä. Toisaalta Oikeusrekisterikeskukselle aiheutuisi maksujen perimisestä hallinnollista taakkaa ja kohtuullisia kustannuksia. Kustannukset katetaan oikeusministeriön hallinnonalan kehyksen mukaisten määrärahojen puitteissa.

Esityksen 1. lakiehdotuksen perusteella perittävät seuraamusmaksut tuloutetaan valtion talousarviossa [momentille 12.39.01 (Sakkotulot ja tulot hallinnollisista maksuseuraamuksista)]. Hallinnollinen seuraamusmaksu olisi uusi eikä sen soveltamisesta ole aiempaa kokemusta, joten tulojen vuosittaisesta määrästä voidaan esittää vain epävarmoja arvioita. Rajavartiolaitoksella on kuitenkin jo voimassa olevan lainsäädännön nojalla oikeus määrätä seuraamusmaksu liikenteenharjoittajalle, joka rikkoo ulkomaalaislain 173 §:ssä säädetyn tarkastusvelvollisuuden tai henkilötietojen käsittelystä rajavartiolaitoksesta annetun lain 20 §:ssä säädetyn lentoliikenteenharjoittajan tietojenantovelvollisuuden (lentoliikenteen matkustajatiedot). Maksun suuruus ulkomaalaislain 173 §:n rikkomisesta on 3 000 euroa kuljetettua henkilöä kohden ja rajavartiolaitoksesta annetun lain 20 §:n rikkomisesta 3 000 euroa kutakin sellaista matkaa kohden, jolta ei ole ilmoitettu matkustajatietoja tai ne on ilmoitettu puutteellisesti tai virheellisesti. Seuraamusmaksuja on myös määrätty vuosittain yhteensä seuraavasti: 112 seuraamusmaksua vuonna 2013, 163 seuraamusmaksua vuonna 2014, 167 seuraamusmaksua vuonna 2015, 133 seuraamusmaksua vuonna 2016 ja 55 seuraamusmaksua vuonna 2017 (Oikeusrekisterikeskukseen täytäntöönpanoa varten saapuneiden seuraamusmaksujen määrä 18.10.2017 mennessä). Valtiolle tuloutettavien seuraamusmaksujen määrä on siten ollut hieman alle tai yli 500 000 euroa vuosittain. Esityksen 1. lakiehdotuksen 14 §:n mukaan määrättävän lentoliikenteen harjoittajan seuraamusmaksun enimmäismäärä olisi 3 000 euroa kutakin sellaista lentoa kohden, jolta ei ole toimitettu matkustajarekisteritietoja tai ne on toimitettu ilmeisen puutteellisesti. Määrä vastaisi periaatteeltaan ja seuraamusmäärältään edellä käsiteltyä henkilötietojen käsittelystä rajavartiolaitoksessa annetun lain 20 §:ssä tarkoitettua seuraamusmaksua. Rajavartiolaitoksen määräämien seuraamusmaksujen perusteella voidaan karkeasti arvioida sitä, missä määrin seuraamusmaksuja olisi odotettavissa. Esityksen 1. lakiehdotuksen perusteella määrättävien seuraamusmaksujen lukumäärä voisi vaihdella huomattavastikin, ja vastaavasti valtiolle tuloutettavat euromäärät voisivat vastaavasti vaihdella. Lentoliikenteen harjoittajien osalta 1. lakiehdotuksen mukainen velvoitteen sisältö ja tietojen toimitustapa olisi erilainen suhteessa voimassa olevaan rajavartiolaitosta koskevaan lainsäädäntöön, joten varmoja arvioita on mahdotonta esittää.

Esityksen 1. lakiehdotuksen vaikutukset aiheutuvat suoraan matkustajarekisteridirektiivin täytäntöönpanosta.

Tietosuojavaltuutetun toimisto. Esityksen lakiehdotusten taloudelliset vaikutukset tietosuojavaltuutetun toimiston toimintaan kohdistuisivat henkilöresurssien tarpeeseen. Kansallisen valvontaviranomaisen olisi henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetun lain ja tietosuoja-asetuksen ja tietosuojalain perusteella muun muassa tarkastettava käsittelyn lainmukaisuus, kun rekisteröidyn tarkastusoikeutta on rajoitettu, sekä tehtävä tutkimuksia, todentamisia ja tarkastuksia. Esityksen 1. lakiehdotus tarkoittaisi kokonaan uutta valvontatehtävää välillisen tarkastusoikeuden toteuttamisen osalta siltä osin kuin on kyse matkustajarekisteritietojen käsittelystä. Henkilöresurssien tarve on tässä vaiheessa kokonaisuutena arvioimatta ja ne tarkentuvat. Kustannukset katetaan oikeusministeriön hallinnonalan kehyksen mukaisten määrärahojen puitteissa..

Poliisihallitus. Osaan uuden tietosuojasääntelyn vaatimuksista on varauduttu jo ennakoivasti. Poliisihallitus on jo aiemmin nimennyt tietosuojavastaavan matkustajatietoyksikköön. 1. lakiehdotuksen mukaisen PNR-järjestelmän osalta vaikutukset huomioitaisiin tarvittavin osin järjestelmän kehittämistyön yhteydessä.

PNR- järjestelmän osalta vaatimukset ovat toteutettavissa järjestelmähankkeen rahoituksen ja aikataulun puitteissa. Nämä vaikutukset liittyisivät erityisesti henkilötietojen suojaamiseen tiedonluovutustilanteissa, automatisoituihin päätöksiin, rikosanalyysiin ja profilointiin, sekä henkilötietojen peittämiseen kuuden kuukauden kuluttua niiden vastaanottamisesta, ottaen myös huomioon käsiteltävien henkilötietojen laajan määrän. Osa tietojärjestelmävaikutuksista aiheutuisi suoraan matkustajarekisteridirektiivin täytäntöönpanosta ja osa tietosuojadirektiivin asettamien vaatimusten huomioimisesta. PNR-järjestelmän osalta vaatimukset huomioidaan järjestelmähankkeen rahoituksen ja aikataulun puitteissa.

Matkustajarekisteridirektiivin taloudellisia vaikutuksia viranomaisille on arvioitu direktiivin valmistelun yhteydessä valtioneuvoston eduskunnalle lähettämässä U- kirjeessä (U 66/2010 vp.) sekä tämän jatkokirjelmissä. Matkustajadirektiivi pantaisiin täytäntöön esityksen 1. lakiehdotuksella. Komission vaikutustenarvioinnissa on vertailtu kahta teknistä mallia tietojärjestelmien osalta, hajautettua tietojärjestelmäratkaisua, jossa kukin jäsenvaltio vastaisi pääosin tietojärjestelmien muutostöistä ja niiden ylläpidosta, sekä keskitettyä EU-tason tietojärjestelmää, jolla olisi resurssivaikutuksia sekä jäsenvaltioiden viranomaisiin että keskitettyyn yksikköön, mutta jonka kustannukset katettaisiin EU:n talousarviosta. Direktiivissä omaksuttu hajautettu ratkaisu tarkoittaa, että pääosa tietojärjestelmävaikutuksista ja resurssivaikutuksista kohdistuisivat kansallisiin viranomaisiin. Vaikutustenarvioinnissa on vertailtu vaihtoehtoina direktiivin rajoittamista EU:n ulkorajat ylittävään lentoliikenteeseen ja sen ulottamista kattamaan myös EU:n sisäiset lennot. Direktiivin rajoittaminen ulkorajat ylittävään lentoliikenteeseen tarkoittaa alempia kustannusvaikutuksia viranomaisiin. Kustannuksia aiheutuisi kuitenkin lainvalvontaviranomaisille tietojärjestelmän rakentamisesta sekä siihen liittyvistä yksityiskohdista, jotka perustuvat direktiivin vaatimuksiin, mukaan lukien järjestelmärajapinnat. Muut vaikutukset liittyvät erityisesti henkilötietojen säilyttämiseen ja arkaluonteisten henkilötietojen poistamiseen, henkilötietojen anonymisointiin, henkilötietojen luovuttamiseen ja automatisoituihin päätöksiin.

Viranomaiskustannusten osalta on todettu että tietojen hyödyntäminen ei ole kertaluonteinen tapahtuma vaan osa jatkuvaa lainvalvontaa, joka vaikeuttaa viranomaiskustannusten kertaluonteista analysointia. Poliisin, Tullin ja Rajavartiolaitoksen henkilöstön muodostama matkustajatietoyksikkö aloitti rakenteellisesti toimintansa 1 päivänä marraskuuta 2016 osana PTR-rakennetta. Matkustajatietoyksikön toiminta perustuu voimassa olevan lain säännöksiin eri matkustusmuotojen matkustaja- ja miehistötietojen saantioikeuksista PTR- viranomaisten rikostorjuntatehtäviä varten. Matkustajatietoyksikön tehtävät on lisätty PTR-rakenteen aikaisempien tehtävien päälle ilman lisäresursseja. Matkustajatietoyksikön toiminta on nykyisestä poiketen 24 h/7 päivää toimintaa, siihen liittyy kansainvälinen tietojenvaihtonäkökulma ja tietojen käsittelyyn liittyy aikaisempaa suurempia vaatimuksia, jotka myös ajallisesti lisäävät työmäärää koska tietojen käsittelyn tuloksena saadut osumat on tarkistettava yksittäin. Tässä valossa nykyiset henkilöresurssit eivät ole mitoitettu uudentyyppiseen toimintaan, vaan edellyttävät PTR-viranomaisilta uudelleenkohdennuksia tähän toimintaan, jotta direktiivin velvoitteet pystytään hoitamaan.

Viranomaisille aiheutuvia kustannuksia on arvioitu syyskuussa 2017 matkustajatietoyksikön perustamishankkeen puitteissa. Poliisihallituksen esityksen jatkovalmistelun yhteydessä tarkentaman arvion mukaan yksikön toimintojen ylläpito edellyttää kahdenkymmenen kahden (22) henkilötyövuoden kohdentamista PTR-viranomaisille matkustajatietoyksikköön direktiivin tarkoittamien tehtävien hoitamiseksi ja myös muiden liikennemuotojen matkustajatietojen analysoimiseksi. Lisäksi Poliisihallitus arvioi, että yksikön antamien toimenpidesuositusten toimeenpano edellyttää poliisin kenttätoiminnalle ja tutkintatoiminnalle yhteensä viidentoista (15) henkilötyövuoden kohdentamista. Rajavartiolaitoksen osalta arvioidaan, että toimenpidesuosituksen toimeenpano edellyttää valvontatoimintaan kuuden (6) henkilötyövuoden kohdennusta. Tullin osalta arvioidaan, että toimenpidesuositusten toimeenpano edellyttää operatiivista työtä suorittavaan toimitaan vähintään kolmen (3) henkilötyövuoden kohdennusta. Tullin henkilöstölaskelmissa lähtökohtana on, että poliisin ja Rajavartiolaitoksen henkilöstö vahvistuu yksikössä siten, että ilta-aikaan, mahdollisesti yöaikaan ja viikonloppuisin voidaan käyttää Tullin nykyistä PTR- ilmaliikenteen valvonnan henkilöstöä tasapainoisesti siten, että myös Tullin kohdevalintatehtävät matkustajatietoyksikön tehtävien ohella voidaan suorittaa. Vuorojen pidentyminen mahdollisesti yksikössä ympärivuorokautisiksi edellyttää yksikön vahvistamista vähintään kolmella (3) henkilöllä. Edellisten lisäksi tarvitaan PNR – tietojärjestelmän eri osakokonaisuuksien ylläpitoon neljä (4) henkilötyövuotta poliisin informaatioteknologiakeskukseen. Henkilökustannusten osalta alustava arvio yksikön tarpeeksi on siten yhteensä viisikymmentä (50) henkilötyövuotta ja heidän käyttämiensä tilojen vuotuiset ylläpitokustannukset.

PNR tietojärjestelmä koostuu poliisin osalta matkustajatietojen käsittelyyn tarkoitetusta asiankäsittelyjärjestelmästä oheisjärjestelmineen, matkustajalistojen tallennusalustasta ja analyysijärjestelmistä/työkaluista. Järjestelmillä mahdollistetaan myös matkustajatietoyksiköiden välinen ja Europolin kanssa tapahtuva tiedonvaihto. Järjestelmillä tulee pystyä tuottamaan tilastointia ja raportointia eri tarkoituksia varten, mm. komission vaatimat PNR direktiivin mukaiset tilastot. PNR tietojärjestelmä on yhteyksissä (integraatio) useampaan muuhun järjestelmään eri tarkoitusta varten (mm. kysely/hakutoiminnot). Matkustajatietojen käsittelyyn tarkoitettujen järjestelmien arvioidaan aiheuttavan vuositasolla noin 2 500 000 euron kustannukset. Kustannus muodostuu tietojen tallennusalusta- ja hakujärjestelmän ylläpidosta 500 000 € (Valtorilta ostettava kapasiteetti ja ylläpito, toimittajalta ostettava ylläpito sekä kehittävä ylläpito), analyysijärjestelmän arvioiduista kustannuksista 1 000 000 € (Valtorilta ostettava kapasiteetti ja ylläpito, toimittajalta ostettava ylläpito, lisenssikulut sekä kehittävä ylläpito) sekä asiankäsittelyjärjestelmän 750 000 € (Valtorilta ostettava kapasiteetti ja ylläpito, toimittajalta ostettava ylläpito, sekä kehittävä ylläpito) sen oheistietojärjestelmien arvioiduista kustannuksista. Järjestelmien kustannukset tulevat nousemaan arviolta 1 500 000 euroa operatiivisen tarpeen tietojärjestelmille ollessa 24/7. Kustannukset voidaan hoitaa nykyisellä kehyksellä.

Henkilökustannusten osalta on huomioitava, että matkustajatietoyksikkö analysoi lentomatkustajatietojen lisäksi myös muiden liikennemuotojen matkustaja- ja miehistötietoja rikostorjuntatarkoituksessa. Osa henkilöresurssivaikutuksista on siten syntynyt jo voimassa olevien PTR-viranomaisten henkilötietojen käsittelyä koskevien lakien perusteella, eivätkä seuraa suoraan 1. lakiehdotuksesta.

Tietojärjestelmään tarvittavaa kertaluonteista investointirahoitusta on tarkoitus hakea EU:n sisäisen turvallisuuden rahastosta (ISF-P) keväällä 2018. Euroopan komissio on allokoinut tähän tarkoitukseen erikseen merkityn osuuden.

Henkilöresursointi hoidetaan uudelleen kohdentamalla resursseja tähän toimintaan kasvavaa työmäärää vastaavasti nykyisten kehysten puitteissa. Toiminnan käynnistyttyä ja vakiinnuttua pystytään selvittämään lopulliset resurssitarpeet ja mahdolliset pysyvät kustannusvaikutukset (htv ja järjestelmäylläpito) tuodaan tarvittaessa esiin tulevissa JTS- ja talousarvioprosesseissa.

Matkustajatietoyksikön käsittelemien henkilötietojen osalta rekisterinpitäjänä toimisi Poliisihallitus. Tästä huolimatta sekä matkustajarekisteridirektiivin että tietosuojadirektiivin vaatimusten huomioiminen aiheuttaisi myös matkustajatietoyksikölle vastaavan tasoisen hallinnollisen taakan kuin muille henkilötietoja käsitteleville poliisin yksiköille. Hallinnollista taakkaa aiheutuisi myös sen huomioimisesta, että lentoliikenteenharjoittajien keräämien henkilötietojen käyttötarkoitus muuttuu, kun ne siirretään poliisin henkilörekisteriin. Matkustajarekisteridirektiivin taloudelliset vaikutukset ovat kiinteästi yhteydessä järjestelmän rakenteeseen ja sen tekniseen toteuttamiseen. Kansallisesti direktiivin täytäntöönpano tulee edellyttämään toimivaltaisilta viranomaisilta henkilöresurssien lisäystä tiedon käsittelyyn ja analyysitoimintaan. Matkustajatietoyksikölle on myös nimetty tietosuojavastaava matkustajarekisteridirektiivin vaatimuksen mukaisesti.

Vaikutukset rikoksentorjuntaan ja turvallisuuteen

Esityksen 1. lakiehdotuksen tavoite on terrorismin ja vakavan rikollisuuden torjuntaan erityisesti siltä osin kuin on kyse rajat ylittävästä rikollisuudesta. Lakiehdotuksella pyritään Suomessa vastaamaan niihin uhkakuviin, jotka ovat olleet perusteena komission ehdotukselle matkustajarekisteridirektiivistä. Komissio on vaikutustenarvioinnissaan perustellut direktiiviehdotusta sillä, että rajat ylittävä rikollisuus on lisääntynyt Euroopan unionin alueella ja muualla maailmassa. Näistä komissio nostaa esiin erityisesti ihmiskaupan ja huumausainerikollisuuden, jotka ovat mukana myös Europolin rajat ylittävää rikollisuutta koskevassa uhka-arviossa (2017). Nämä rikollisuuden muodot ovat jatkuvasti kasvaneet EU:n alueella. Lisäksi rajat ylittävästä rikollisuudesta komission vaikutustenarvioinnissa ja Europolin uhka-arviossa kiinnitetään huomiota laittoman maahanmuuton järjestämiseen sekä valuutan ja tuotteiden salakuljetukseen. Rajat ylittävän rikollisuuden eri muodot ovat vakava uhka yhteiskunnalle ja talouden rakenteille ja niistä aiheutuu kustannuksia valtiolle, huomioiden myös rikoksentorjunnan vaatimat toimenpiteet. Lisäksi rikoksista aiheutuu vahinkoa ja kärsimystä uhreille. PTR - viranomaisilla on niille lainsäädännössä asetettujen tehtävien mukaisesti velvollisuus torjua rajat ylittävän rikollisuuden lisäksi muutakin yhteiskunnallista vaikuttavuutta omaavaa rikollisuutta, myöskin lentoliikenteessä. Erityisesti Tullin ja Rajavartiolaitoksen rikostorjuntaprosessi on rakennettu niin, että siihen kuuluukiinteästi myös henkilöiden ja asiakirjojen fyysinen tarkastuselementti.

Komissio on kiinnittänyt huomiota siihen, että useimpiin rajat ylittävän rikollisuuden muotoihin liittyy myös rajat ylittäviä matkoja. Erityisesti ihmisten salakuljetukseen ja laittoman maahanmuuton järjestämiseen liittyy kolmansien maiden kansalaisia, jotka salakuljetetaan EU:n alueelle, mutta myös huumausaineiden salakuljettamiseen käytetään rajat ylittävää matkustamista. Myös terroristit ja muut rikollisen toiminnan harjoittajat liikkuvat rajojen yli. Matkustajarekisteridirektiivin yhtenä tavoitteena on lisätä keinovalikoimaa terrorismin ja muun vakavan rikollisuuden torjunnassa. Tältä osalta on kuitenkin huomattava, että osa terroristeista ja järjestäytyneestä rikollisuudesta toimii valtion rajojen sisäpuolella. Lisäksi on huomioitava, että matkustajarekisteridirektiivi koskee pelkästään lentomatkustajien henkilötietojen käsittelyä, kun osa rajat ylittävästä matkustajaliikenteestä on meri- ja rautatieliikennettä.

Esityksen 1. lakiehdotuksen tavoitteena on varmistaa, että lainvalvontaviranomaisten käytettävissä on mahdollisimman paljon tietoa edellä tarkoitettujen henkilöiden matkustamisesta, sekä parantaa edellytyksiä näiden viranomaisten väliseen tiedonvaihtoon lentomatkustajatietojen osalta. Tällä arvioidaan olevan rajat ylittävän rikollisuuden torjuntaa tehostavaa vaikutusta. Suomessa PTR- viranomaisilla on jo voimassa olevan henkilötietolainsäädännön nojalla oikeus saada liikenteenharjoittajilta matkustajatietoja. Voimassa olevat säännökset eivät koske pelkästään lentoliikenteenharjoittajia, vaan myös muita liikenteen muotoja. Esityksen 1. lakiehdotus mahdollistaisi kuitenkin direktiivin perusteella kaikkien lentomatkustajien osalta henkilötietojen tallettamisen pidemmäksi ajaksi, kun voimassa oleva laki mahdollistaa ainoastaan matkustajatietojen vertailun PTR- viranomaisten henkilörekisterien tietojen kanssa. Lakiehdotus mahdollistaisi lisäksi lentomatkustajarekisteritietojen vertailun ennen lennon saapumista ja lähtöä sekä tietojen perusteella tapahtuvan analyysin, minkä voidaan arvioida tarjoavan aiempaa tehokkaamman välineen rajat ylittävän rikollisuuden torjuntaan. Nykyistä EU:n jäsenvaltioiden sääntelyä matkustajatietojen keräämisessä ja hyödyntämisessä lainvalvontatarkoituksiin on komission vaikutustenarvioinnissa pidetty epäyhtenäisenä. Viranomaisten tiedonvaihtoa tehostavaa vaikutusta olisi komission arvion valossa myös sillä, että 1. lakiehdotuksen ja muiden EU:n jäsenvaltioiden täytäntöönpanolainsäädännön myötä matkustajista kerättävät henkilötiedot olisivat yhtenäisempiä ja käytettävissä aiempaa laajemmin lainvalvontatarkoituksiin.

PNR-tiedot (Passenger Name Record) ovat luonteeltaan matkustajien itse antamia varmentamattomia henkilötietoja toisin kuin ns. API-tiedot (Advance Passenger Information), jotka perustuvat matkustajan passin tietoihin. PNR-tietoja hyödynnettäisiin pääasiassa rikostiedustelutarkoitukseen ja erityisesti erilaisten uhka-arvioiden ja riskiprofiilien luomiseen. Tämän ansiosta lainvalvontaviranomaiset voisivat toimenpiteissään keskittyä sellaisiin matkustajiin, jotka sopivat riskiprofiiliin, sekä EU:n sisäisten lentojen että EU:n ulkorajat ylittävien lentojen osalta. PNR-tiedot olisivat myös viranomaisten saatavilla varhaisemmassa vaiheessa kuin API-tiedot. PNR-tietoja voitaisiin lisäksi vertailla muihin viranomaisten käsittelemiin henkilötietoihin, jolloin lentomatkustajasta voidaan saada rikostorjunnan kannalta tarvittavaa tietoa aiempaa tehokkaammin, huomioiden EU:n sisäisen lentoliikenteen asettamat haasteet. Tietojen avulla voitaisiin saada esimerkiksi rikosanalyysitietoa tyypillisistä huumausaineita salakuljettavien henkilöiden matkareiteistä tai tunnistaa ja selvittää yhteyksiä matkustavan henkilön ja tunnetun rikollisen tai rikollisryhmän välillä.

Sisäministeriö asetti 26 päivänä tammikuuta 2016 työryhmän (SM064:00/2015), jonka tehtävänä on ollut laatia luonnos hallituksen esitykseksi laiksi henkilötietojen käsittelystä poliisitoimessa. Työryhmän työhön on osallistunut usean ministeriön ja rikosasioiden käsittelyssä toimivaltaisen viranomaisen edustajat. Työryhmän työn puitteissa on valmisteltu luonnos uudeksi poliisin henkilötietolaiksi. Lisäksi hankkeen yhteydessä on valmisteltu tässä esityksessä tarkoitettu 1. lakiehdotus, jolla pantaisiin täytäntöön tarvittavin osin 27 päivänä huhtikuuta 2016 annettu Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/681 matkustajarekisteritietojen (PNR) hyödyntämisestä rikostorjunnassa. Lakiehdotus 1. eriytettiin 16 päivänä tammikuuta 2018 erilliseksi hallituksen esitykseksi laista henkilötietojen käsittelystä poliisitoimessa. Tavoitteena on antaa hallituksen esitys eduskunnalle siten, että esitys käsiteltäisiin mahdollisimman samanaikaisesti EU:n tietosuojalainsäädännön täytäntöönpanoa koskevien hallituksen esitysten kanssa.

Nyt annettavat lakiehdotukset ovat olleet lausuntokierroksella 21.12.2017—26.1.2018 osana hallituksen esitystä laiksi henkilötietojen käsittelystä poliisitoimessa sekä eräiksi tähän liittyviksi laeiksi. Lausunnot pyydettiin seuraavilta tahoilta; Ahvenanmaan maakunnan hallitus, eduskunnan oikeusasiamiehen kanslia, Electronic Frontier Finland – EFFi ry, valtioneuvoston oikeuskanslerinvirasto, sisäministeriön osastot, liikenne- ja viestintäministeriö, maa- ja metsätalousministeriö, oikeusministeriö, oikeusrekisterikeskus, puolustusministeriö, sosiaali- ja terveysministeriö, valtiovarainministeriö, pääesikunta, Poliisihallitus, rikosseuraamuslaitos, suojelupoliisi, keskusrikospoliisi, Finnair Oy, Liikenteen turvallisuusvirasto, Norwegian Air Shuttle (DY) and Norwegian Air International LTD, Scandinavian Airlines System, TUI, Suomen asianajajaliitto, Suomen matkatoimistojen liitto SMAL ry, rahanpesun selvittelykeskus, tietosuojavaltuutetun toimisto, TUI sekä Tulli.

Lakiehdotus 1:tä käsittelivät lausunnoissaan Ahvenanmaan maakuntahallitus, sisäministeriön rajavartio-osasto, liikenne- ja viestintäministeriö, oikeusministeriö, oikeusrekisterikeskus, puolustusministeriö, valtiovarainministeriö, Poliisihallitus, suojelupoliisi, keskusrikospoliisi, Finnair Oy, Liikenteen turvallisuusvirasto, Norwegian Air Shuttle (DY) and Norwegian Air International LTD sekä Tulli.

Lausuntopalautteen johdosta esitykseen on tehty täydennyksiä ja muutoksia, joista merkittävin on matkustajarekisteritietojen vertailua muihin rekistereihin ja tietokantoihin koskeva sääntely. Tämä sen johdosta, että lakiehdotukset esitetään hyväksyttäväksi ennen ehdotusta uudeksi laiksi henkilötietojen käsittelystä poliisitoimessa, joten myös vertailua koskevat säännökset perustuvat voimassa olevaan lainsäädäntöön, myös Tullin ja Rajavartiolaitoksen uudistettavina olevien henkilötietojen käsittelyä koskevien lakien osalta.

Liikenne- ja viestintäministeriön sekä Liikenteen turvallisuusviraston lausuntojen johdosta esityksen kansainvälistä vertailua sekä tietojen toimittamisen teknisiä määritelmiä on täydennetty sekä lentoliikenteen harjoittajille aiheutuvia kustannuksia päivitetty.

Keskusrikospoliisin lausunnossa esiin nostettu kysymys matkustajarekisteritietoyksikön mahdollisuudesta vertailla matkustajatietorekisterin tietoja rahanpesurekisterin tietoihin liittyy rahanpesudirektiivin tulkintaan ja käsitellään erikseen rahanpesun selvittelykeskuksesta annetun lain muutosten valmistelun yhteydessä. Rahanpesun selvittelykeskuksesta annetulla lailla (445/2017) on pantu täytäntöön rahoitusjärjestelmän käytön estämisestä rahanpesuun tai terrorismin rahoitukseen 20 päivänä toukokuuta 2015 annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2015/849 (rahanpesudirektiivi) säännökset siltä osin kuin on kyse direktiivissä edellytetyistä rahanpesun selvittelykeskuksista (Financial Intelligence Unit, FIU).

Rajavartiolaitoksen lausunnossa ehdotettiin että matkustajatietoyksikön organisatorinen asema tulisi vahvistaa PTR- rakenteesta erilliseksi esimerkiksi samalla tavoin kuin rahanpesun selvittelykeskuksen osalta on säädetty ja yksikön tarkempi sijoittuminen PTR- rakenteessa tulisi jättää käytännön tasolla päätettäväksi. Tullin lausunnossa todettiin että matkustajatietoyksikön organisatorinen asema tulisi jättää PTR- rakenteesta erilliseksi ja esitettävällä lailla vahvistaa matkustajatietoyksikkö joka sijaitsee esimerkiksi keskusrikospoliisissa taikka Poliisihallituksessa. Matkustajatietoyksikön tarkempi sijoittuminen PTR- rakenteeseen, esimerkiksi juuri PTR- rikostiedusteluyksikön yhteyteen, tulisi jättää käytännön tasolla päätettäväksi. Esityksen jatkovalmistelussa päädyttiin siihen että matkustajatietoyksikkö sijoittuu PTR- rakenteeseen. Yksikön aseman määritteleminen esitetystä poikkeavasti edellyttäisi erillistä PTR- yhteistyössä tapahtuvaa eri vaihtoehtojen arviointia yksikön sijaintipaikasta, talous- ja henkilöresurssien järjestämisestä sekä hallinnollisista järjestelyistä. Toiminta voidaan aloittaa PTR- rakenteen myötä, mutta asiaa ja resursseja tulee tarkastella käytännön toiminnasta saatavien kokemusten perusteella.

Puolustusministeriön lausunnossa todetaan että Puolustusvoimia ei ole ehdotuksessa määritelty toimivaltaisiksi viranomaisiksi ja että puolustusvoimilla on tehtäviinsä liittyvä tarve käsitellä ja käsittelyn yhteydessä verrata matkustajatietoja rikosten ennalta estämisen ja paljastamisen yhteydessä talletettuihin tietoihin. Esityksen jatkovalmistelussa nähtiin tarkoituksenmukaiseksi pitäytyä työryhmän esityksessä toimivaltaisten viranomaisten määritelmästä, huomioiden että direktiivin soveltamisala on terrorismin ja direktiivin määrittelemän vakavan rikollisuuden torjunta. Tämä on pääsääntöisesti PTR- viranomaisten tehtävä, puolustusvoimien pääsääntöisen toimivallan ollessa estää ja paljastaa Suomeen kohdistuvaan tiedustelutoimintaan ja sotilaallisen maanpuolustuksen tarkoitusta vaarantavia rikoksia.

Esitykseen on lisäksi tehty teknisluonteisia täsmennyksiä ja korjauksia saadun lausuntopalautteen johdosta.

Esityksellä on yhteys oikeusministeriön 12 päivänä tammikuuta 2017 asettaman työryhmän (OM 21/41/2016) valmistelemaan mietintöön (52/2017), joka sisältää luonnoksen laiksi henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä. Lakiesityksen 1. suhdetta muuhun lainsäädäntöön käsittelevä 2 § sisältää viittauksen luonnokseen laiksi henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä. Samoin matkustajarekisteritietojen siirtämistä kolmansiin maihin käsittelevä 11 § sisältää viittauksen kyseiseen lakiin, kuten myös rekisteröidyn tarkastusoikeuden rajoittamista käsittelevä 13 §.

Matkustajarekisteridirektiivissä viitataan terrorismirikosten määritelmien osalta neuvoston puitepäätökseen 2002/475/YOS (1—4 artikla), joka on korvattu terrorismin torjumisesta kyseisen puitepäätöksen korvaamisesta sekä neuvoston päätöksen 2005/671/YOS muuttamisesta annetulla Euroopan parlamentin ja neuvoston direktiivillä (EU) 2017/541 (terrorismidirektiivi). Terrorismidirektiivin 27 artiklan mukaan viittauksia terrorismipuitepäätökseen pidetään viittauksina tähän direktiiviin. Jäsenvaltioiden on saatettava terrorismidirektiivi osaksi kansallista lainsäädäntöään viimeistään 8 päivänä syyskuuta 2018. Oikeusministeriö asetti 5 päivänä toukokuuta 2017 työryhmän, jonka tehtävänä oli arvioida, mitä lainsäädäntömuutoksia direktiivin täytäntöönpano edellyttää ja valmistella tarvittavat lainsäädäntömuutokset. Työryhmän hallituksen esityksen muotoon laadittu mietintö (oikeusministeriön julkaisu 56/2017) valmistui 8 päivänä marraskuuta 2017. Terrorismirikoksen määritelmä matkustajarekisteridirektiivin artiklan 3 kohdassa 8 sisältää viittauksen puitepäätökseen jonka terrorismidirektiivi edellä kuvatusti korvaa.

Tämä esitys on tarkoitus antaa eduskunnalle mahdollisimman samanaikaisesti yllä mainittujen oikeusministeriön esitysten kanssa. Lakiehdotusten osalta olisi varmistettava säädös- ja pykäläviittausten sekä tarvittavin osin terminologian yhteensovittaminen eduskuntakäsittelyn aikana.

Edellä esitetyn perusteella annetaan Eduskunnan hyväksyttäväksi seuraavat lakiehdotukset:

Lakiehdotus on uusi ja perustuu Euroopan parlamentin ja neuvoston direktiiviin (EU) 2016/681 matkustajarekisteritietojen käytöstä terrorismirikosten ja vakavan rikollisuuden ennalta estämistä, paljastamista ja tutkintaa sekä tällaisiin rikoksiin liittyviä syytetoimia varten (matkustajarekisteridirektiivi). Direktiivi velvoittaa lentoliikenteen harjoittajat siirtämään määritellyt matkustajarekisteritiedot jäsenvaltioiden perustamille tai nimeämille matkustajatietoyksiköille tietojen analyysiä varten sekä matkustajatietoyksiköstä mahdollista toimivaltaisille viranomaisille, toisen jäsenvaltion matkustajatietoyksikölle tai Europolille siirtämistä varten sen arvioimiseksi onko näiden tehtävä selvityksiä, jotta voisivat tunnistaa sellaiset henkilöt, joilla on osallisuutta direktiivissä määriteltyihin terrorismirikoksiin tai vakavaan rikollisuuteen. Jäsenvaltioiden on pantava direktiivi täytäntöön viimeistään 25.5.2018.

1 §. Soveltamisala. Pykälän mukaan lailla pantaisiin täytäntöön matkustajarekisteritietojen käytöstä terrorismirikosten ja vakavan rikollisuuden ennalta estämistä, paljastamista ja tutkintaa sekä tällaisin rikoksiin liittyviä syytetoimia varten annettu Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/681, jäljempänä matkustajarekisteridirektiivi.

2 §. Suhde muuhun lainsäädäntöön. Pykälässä tarkennettaisiin lakiehdotuksen suhde muuhun lainsäädäntöön. Pykälän 1 momentin mukaan matkustajarekisteritietojen käsittelyyn matkustajatietoyksikössä sovellettaisiin sen lisäksi mitä 1. lakiehdotuksessa säädettäisiin, henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annettavaa lakia ( / ). Kyseisellä lakiehdotuksella on tarkoitus panna täytäntöön Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680 luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta (tietosuojadirektiivi). Ehdotettava laki olisi kyseistä lainsäädäntöä täydentävä erityislaki.

Pykälän 2 momentissa esitetään informatiivisesti mainittavaksi että poliisin, Tullin ja Rajavartiolaitoksen oikeudesta saada lentoliikenteen matkustajia koskevia tietoja säädetään myös henkilötietojen käsittelystä poliisitoimessa annetussa laissa (761/2003), henkilötietojen käsittelystä rajavartiolaitoksessa annetussa laissa (579/205) ja henkilötietojen käsittelystä Tullissa annetussa laissa (639/2015). Matkustajarekisteridirektiivi ja nyt ehdotettava direktiivin täytäntöönpanolaki eivät rajoita muuhun lainsäädäntöön perustuvaa tiedonsaantioikeutta tai tietojen käsittelyä, eivätkä tietojenvaihtoa ulkomaanliikenteen matkustajista. Tällaista sääntelyä on ainakin laissa henkilötietojen käsittelystä poliisitoimessa, laissa henkilötietojen käsittelystä Tullissa sekä laissa henkilötietojen käsittelystä Rajavartiolaitoksessa. Matkustajarekisteridirektiivi ja direktiivin täytäntöönpanolaki asettavat täsmennetyn tietojen luovuttamisvelvoitteen lentoliikenteen harjoittajille. Jotta liikenteenharjoittajien hallinnollista taakkaa ei tarpeettomasti lisätä uuden lainsäädännön johdosta, tulee matkustajarekisteritietoja tarvitsevien viranomaisten ensisijaisesti sopia mahdollisuudesta vastaanottaa nämä eri lainsäädäntöihin perustuvat tietoluovutukset yhtä kanavaa pitkin ja mahdollisesti jopa yhdellä tietoluovutuksella sekä edelleen siitä, miten viranomaisille luovutetut ja niiden vastaanottamat tiedot edelleen siirretään kansallisille toimivaltaisille viranomaisille.

3 §. Määritelmät. Pykälä sisältäisi laissa käytettävät määritelmät. Säännöksessä määriteltäisiin lentoliikenteen harjoittaja (1 kohta), Euroopan unionin ulkopuolinen lento (2 kohta), Euroopan unionin sisäinen lento (3 kohta), matkustaja (4 kohta), matkustajarekisteritiedot (5 kohta), terrorismirikokset (6 kohta), vakava rikollisuus (7 kohta), häivyttäminen (8 kohta), toimivaltaiset viranomaiset (9 kohta) ja Europol (10 kohta). Kohtien 1—8 määritelmät vastaisivat matkustajarekisteridirektiivin 3 artiklaan sisältyviä määritelmiä. Terrorismirikoksilla tarkoitettaisiin rikoslain (1889/33) 34 a luvun 1—5 §:n mukaisia terrorismirikoksia, mukaan lukien erilaiset terroristisessa tarkoituksessa tehdyt rikokset, terroristisessa tarkoituksessa tehtävien rikosten valmistelu, terroristiryhmän johtaminen, terroristiryhmän toiminnan edistäminen ja terrorismin rahoittaminen. Kohdassa 9 matkustajarekisteridirektiivin tarkoittamiksi toimivaltaisiksi viranomaisiksi määriteltäisiin poliisi, Tulli ja Rajavartiolaitos. Matkustajarekisteridirektiivissä viitataan terrorismirikosten osalta neuvoston puitepäätökseen 2002/475/YOS (1—4 artikla), joka on korvattu terrorismin torjumisesta kyseisen puitepäätöksen korvaamisesta sekä neuvoston päätöksen 2005/671/YOS muuttamisesta annetulla Euroopan parlamentin ja neuvoston direktiivillä (EU) 2017/541 (terrorismidirektiivi). Terrorismidirektiivin 27 artiklan mukaan viittauksia terrorismipuitepäätökseen pidetään viittauksina tähän direktiiviin. Terrorismidirektiivin asettama velvollisuus kriminalisoida terrorismirikokset on huomattavasti laajempi kuin terrorismipuitepäätöksen artikloiden 1—4 asettama velvollisuus. Direktiivi esimerkiksi velvoittaa uusina rikoksina säätämään rangaistavaksi terrorismiin liittyvän koulutuksen vastaanottamisen ja matkustamisen terrorismitarkoituksessa ja sellaisen matkustamisen edistämisen sekä säätämään aikaisempaa laajemmin rangaistavaksi terrorismin rahoittamisen. Jäsenvaltioiden on saatettava terrorismidirektiivi osaksi kansallista lainsäädäntöään viimeistään 8. syyskuuta 2018.

Kohdassa 7 vakavalla rikollisuudella tarkoitettaisiin sellaisia matkustajarekisteridirektiivin liitteessä II lueteltuja tekoja, joista voidaan määrätä vapaudenmenetyksen käsittävä rangaistus tai turvaamistoimenpide, jonka enimmäiskesto on jäsenvaltion kansallisen oikeuden mukaan vähintään kolme vuotta. Vakavan rikollisuuden osalta matkustajarekisteridirektiivin liite II sisältää seuraavan 26 kohdan rikosten luettelon; 1) rikollisjärjestöön osallistuminen 2) ihmiskauppa 3) lasten seksuaalinen hyväksikäyttö ja lapsipornografia 4) huumausaineiden ja psykotrooppisten aineiden laiton kauppa 5) aseiden, ampumatarvikkeiden ja räjähteiden laiton kauppa 6) lahjonta 7) petokset, mukaan lukien unionin taloudellisiin etuihin kohdistuvat petokset 8) rikoksen tuottaman hyödyn rahanpesu ja rahan, mukaan lukien euron, väärentäminen 9) tietoverkkorikollisuus / kyberrikollisuus 10) ympäristörikollisuus, mukaan lukien uhanalaisten eläinlajien ja uhanalaisten kasvilajien ja -lajikkeiden laiton kauppa 11) laittomassa maahantulossa ja maassa oleskelussa avustaminen 12) murha, vakavan ruumiinvamman aiheuttaminen 13) ihmisen elinten ja kudosten laiton kauppa 14) ihmisryöstö, vapaudenriisto ja panttivangiksi ottaminen 15) järjestäytynyt varkausrikollisuus ja aseellinen ryöstö 16) kulttuuriomaisuuden, mukaan lukien antiikki- ja taide-esineiden, laiton kauppa 17) tuotteiden laiton väärentäminen ja jäljentäminen 18) hallinnollisten asiakirjojen väärentäminen ja kaupankäynti väärennöksillä 19) hormonivalmisteiden ja muiden kasvua edistävien aineiden laiton kauppa 20) ydin- ja radioaktiivisten aineiden laiton kauppa 21) raiskaus 22) Kansainvälisen rikostuomioistuimen tuomiovaltaan kuuluvat rikokset 23) ilma-aluksen tai aluksen kaappaus 24) tuhotyö 25) varastettujen ajoneuvojen laiton kauppa 26) teollisuusvakoilu.

Verrattaessa kyseistä rikosluetteloa rikoslaissa mainittuihin rikoksiin, voidaan arvioida noin kuudenkymmenen sellaisen rikoksen jonka teonkuvauksen voidaan katsoa vastaavan rikosluettelon tekoja olevan sellaisia rikoksia, joista ankarimmaksi seuraamukseksi on säädetty vähintään kolmen vuoden vankeusrangaistus. Arvio sisältää myös saman rikokseksi säädetyn teon eri tekomuotoja.

4 §. Lentoliikenteen harjoittajan velvollisuus toimittaa matkustajarekisteritietoja. Pykälän1 momentin mukaan lentoliikenteen harjoittajan olisi toimitettava 2 momentissa tarkoitetut matkustajarekisteritiedot sekä Euroopan unionin ulkopuolisista että Euroopan unionin sisäisistä saapuvista ja lähtevistä operoimistaan lennoista siltä osin kuin niitä on kerätty tavanomaisen liiketoiminnan yhteydessä. Yhteistunnuksin suoritetuista lennoista velvollisuus koskisi lennon operoivaa yritystä. Matkustajarekisteritiedot olisi toimitettava 5 §:ssä tarkoitetulle matkustajatietoyksikölle. Jos lentoliikenteen harjoittaja on kerännyt myös matkustajarekisteridirektiivin liitteen I kohdassa 18 mainittuja matkustajan ennakkotietoja mutta ei säilytä niitä samoin teknisin keinoin kuin muita matkustajarekisteritietoja, myös nämä tiedot olisi toimitettava. Lentoliikenteen harjoittajan olisi toimitettava matkustajarekisteritiedot maksutta.

Matkustajarekisteridirektiivin 8 artiklan 1 kohdassa määritellään lentoliikenteen harjoittajan velvollisuus matkustajarekisteritietojen matkustajatietoyksikölle toimittamisesta ja 2 kohdassa jäsenvaltioiden velvollisuus varmistaa että lentoliikenteen harjoittajat toimittavat myös direktiivin liitteen I kohdassa 18 mainitut matkustajan ennakkotiedot, ns. API (Advance Passenger Information) tiedot. Matkustajarekisteridirektiivin 2 artiklasta ilmenee että jäsenvaltio voi soveltaa matkustajarekisteridirektiiviä myös EU:n sisäisiin lentoihin, joko kaikkiin tai vain valikoituihin sisäisiin lentoihin. Henkilötietojen käsittelystä poliisitoimessa annetun lain (2003/761) 3 luvun 13 §:n 1 momentin 16 kohdan mukaan poliisilla on jo oikeus saada rikosten estämiseksi, paljastamiseksi, selvittämiseksi ja syyteharkintaan saattamiseksi sekä etsintäkuulutettujen tavoittamiseksi yhteisöiltä ja yhtymiltä matkustajaa ja kulkuneuvon henkilökuntaa koskevista rekistereistä. Tullilla on vastaava oikeus henkilötietojen käsittelystä Tullissa annetun lain 13 §:n 1 momentin 1 kohdan perusteella. Poliisin ja Tullin oikeutta saada näitä tietoja ei ole rajattu EU:n ulkopuolisiin lentoihin. Kuten edellä jaksosta 2.2 kansainvälinen kehitys sekä ulkomaiden ja EU:n lainsäädäntö ilmenee, matkustajarekisteridirektiivin hyväksymisen yhteydessä Euroopan unionin jäsenvaltiot antoivat julistuksen jossa ne sitoutuivat kansallisia täytäntöönpanolakeja hyväksyessään siihen että hyödyntävät täysin matkustajarekisteridirektiivin 2 artiklasta ilmenevän mahdollisuuden soveltaa direktiiviä myös EU:n sisäisiin lentoihin. Direktiivin valmistelun yhteydessä ilmeni että direktiivin tehokkuus edellyttää tietojen saamista myös EU:n sisäisistä lennoista. Edellä mainittu huomioiden lentoliikenteen harjoittajan olisi toimitettava ehdotetun pykälän 1 momentissa tarkoitetut tiedot kaikista Euroopan unionin ulkopuolisista ja Euroopan unionin sisäisistä saapuvista ja lähtevistä lennoista. Tiedot tulisi toimittaa maksutta. Ehdotettavalla 1 momentilla pantaisiin täytäntöön matkustajarekisteridirektiivin 2 artikla sekä 8 artiklan kohta 1 osin ja 2 kohta.

Julistus sisältää myös lausuman siitä että jäsenvaltiot pyrkivät laajentamaan kansallisessa lainsäädännössään (joissakin jäsenvaltioissa parlamentaaristen menettelyjen puitteissa) direktiivin soveltamisalaan kuulumaan myös muut kuin lentoliikennettä harjoittavat talouden toimijat, kuten matkatoimistot ja matkanjärjestäjät. Matkustajarekisteridirektiivin uudelleentarkastelua koskevan 19 artiklan 3 kohdan mukaan komissio tarkastelee 25 päivänä toukokuuta 2020 kaikkia direktiivin osa-alueita ja esittää Euroopan parlamentille ja neuvostolle kertomuksen. Kertomuksessa on tarkasteltava myös tarvetta sisällyttää tämän direktiivin soveltamisalaan muita kuin lentoliikennettä harjoittavia talouden toimijoita, kuten matkatoimistot ja matkanjärjestäjät, jotka suorittavat matkoihin liittyviä palveluja, mukaan lukien lentojen varaaminen. Tässä lakiehdotuksessa ei esitetä tietojen toimittamisvelvollisuutta muille kuin lentoliikenteen harjoittajille.

Pykälän 2 momentin mukaan matkustajarekisteritietoja olisivat; 1) PNR- varaustunnus, 2) lipun varauspäivä/kirjoituspäivä, 3) suunniteltu (suunnitellut) matkustuspäivä(t), 4) nimi (nimet), 5) osoite ja yhteystiedot, 6) kaikki maksutapaa koskevat tiedot, myös laskutusosoite, 7) tietyn PNR:n kaikki matkareittitiedot, 8) kanta-asiakastiedot, 9) matkatoimisto- ja matkatoimistovirkailijatiedot, 10) matkustajan matkustustilanne mukaan luettuina vahvistukset, lähtöselvitystilanne, viime hetkellä lennolta pois jääminen tai viime hetken lähtö ilman varausta, 11) jaetut matkustajarekisteritiedot, 12) yleiset huomautukset, 13) lipunkirjoituskentän tiedot, 14) istumapaikan numero ja muut paikkatiedot, 15) yhteistunnusten käyttöä koskevat tiedot, 16) kaikki matkatavaratiedot, 17) muiden PNR- tiedoissa olevien matkustajien määrä ja nimet, 18) matkustajan ennakkotiedot jos sellaisia on kerätty, sekä 19) kaikki aiemmin tehdyt muutokset 1—18 kohdassa lueteltuihin PNR- tietoihin. Ehdotettavalla 2 momentilla pantaisiin täytäntöön matkustajarekisteridirektiivin 8 artiklan kohdan 1 velvollisuus direktiivin liitteen I tietojen toimittamiseen.

Matkustajarekisteritiedot olisi 3 momentin mukaan toimitettava 24 tuntia ennen lennon aikataulunmukaista saapumis- tai lähtöaikaa sekä välittömästi lennon sulkeuduttua, jolloin tietojen toimittamisen voisi rajata myös aikaisemmin toimitettujen tietojen päivityksiin. Jos tiedot olisivat tarpeen terrorismirikoksiin tai vakavaan rikollisuuteen liittyvään määrättyyn ja tosiasialliseen uhkaan reagoimiseksi, tiedot olisi matkustajatietoyksikön pyynnöstä toimitettava muinakin ajankohtina. Matkustajarekisteridirektiivin 8 artiklan 3 a kohdan mukaan tiedot tulee toimittaa 24—48 tuntia ennen lennon aikataulunmukaista lähtöaikaa ja 4 kohdan mukaan välittömästi lähtöportin sulkeuduttua. Matkustajatietoyksikön rakentamisvaiheessa tarkoituksenmukaiseksi ajaksi nähtiin 24 tuntia. Ajan osalta olisi tarkoituksenmukaista että kaikki jäsenvaltiot noudattaisivat yhtenäistä käytäntöä, asiasta käydään keskusteluja jäsenvaltioiden ja komission kesken. 8 artiklan 4 kohdan mukaan jäsenvaltioiden on sallittava että lentoliikenteen harjoittajat rajoittavat 3 kohdan b alakohdassa tarkoitetut toimittamiset kyseisen kohdan a alakohdassa tarkoitettujen siirtojen päivityksiin. 8 artiklan 5 kohdan mukaan kun pääsy matkustajarekisteritietoihin on tarpeen terrorismirikoksiin tai vakavaan rikollisuuteen liittyvään määrättyyn ja tosiasialliseen uhkaan reagoimiseksi, lentoliikenteen harjoittajien on tapauskohtaisesti ja matkustajatietoyksikön kansallisen oikeuden mukaisesti esittämästä pyynnöstä siirrettävä matkustajarekisteritietoja muinakin ajankohtina kuin 3 kohdassa mainittuina ajankohtina. Ehdotettavalla 3 momentilla pantaisiin täytäntöön matkustajarekisteridirektiivin 8 artiklan 3—5 kohdat.

Pykälän 4 momentin mukaan matkustajarekisteritiedot olisi toimitettava lentoliikenteen harjoittajien suorittamassa PNR- tietojen matkustajatietoyksiköille siirrossa käytettävistä yhteisistä yhteyskäytännöistä ja tietomuodoista annetun Euroopan komission täytäntöönpanopäätöksen (EU) 2017/759 mukaisesti. Ehdotettavalla 4 momentilla pantaisiin täytäntöön matkustajarekisteridirektiivin 8 artiklan 3 kohdan ensimmäinen kappale ja 16 artiklan 2 ja 3 kohdat.

5 §. Matkustajatietoyksikkö. Pykälän 1 momentissa täsmennettäisiin laissa tarkoitettu matkustajatietoyksikkö, joka olisi poliisin, Tullin ja Rajavartiolaitoksen yhteistoiminnasta annetun lain 5 §:ssä säädetty valtakunnallinen PTR- rikostiedusteluyksikkö. Matkustajarekisteridirektiivin 4 artikla velvoittaa jäsenvaltiot perustamaan tai nimeämään viranomaisen, jolla on terrorismirikosten ja vakavan rikollisuuden ennalta estämistä, paljastamista, tutkimista ja syytetoimia koskeva toimivalta, tai tällaisen viranomaisen yksikkö, toimimaan matkustajatietoyksikkönä. Suomessa direktiivin tarkoittamana nimettynä matkustajatietoyksikkönä toimisi PTR- lain 5 §:ssä tarkoitettu PTR- rikostiedusteluyksikkö. Yksikössä työskentelevät matkustajarekisteridirektiivin edellyttämien toimivaltaisten viranomaisten poliisin, Tullin ja Rajavartiolaitoksen edustajat. Esityksen 1. lakiehdotuksen jaksossa 4.2 vaikutukset viranomaisiin on kuvattu tarkemmin matkustajatietoyksikköä ja sen toimintaa. Esitykseen sisältyy myös lakiehdotus PTR- lain 5 §:n muutoksesta, jolla vahvistettaisiin valtakunnallinen PTR- rikostiedusteluyksikkö pysyväksi. Samassa yhteydessä poistettaisiin voimassa olevan 1 momentin viimeisen virkkeen viittaus kumotun poliisilain (493/1995) 8 §:ssä tarkoitettuihin erityisiin poliisivaltuuksiin, joista ei säädetä voimassa olevassa poliisilaissa. Lisäksi olisi tarkoituksenmukaista muuttaa poliisin, tullin ja rajavartiolaitoksen yhteistoiminnasta annetun valtioneuvoston asetuksen (1126/2009) 3 §:ää siten että poliisiylijohtaja, tullin pääjohtaja ja rajavartiolaitoksen päällikkö päättävät valtakunnallisessa PTR- johtoryhmässä valtakunnallisen PTR- rikostiedusteluyksikön tarkemmasta rakenteesta sekä muiden PTR-rikostiedusteluyksikköjen perustamisesta ja lakkauttamisesta. Pykälän 2 momentissa säädettäisiin että matkustajatietoyksikön tehtävänä on matkustajarekisteritietojen vastaanottaminen ja niiden käsittely tämän lain mukaisesti. Ehdotettavalla 5 §:llä sekä PTR-lain muutoksella pantaisiin täytäntöön matkustajarekisteridirektiivin matkustajatietoyksikköä käsittelevä 4 artikla.

6 §. Rekisterinpitäjä ja tietosuojavastaava. Pykälän 1 momentin mukaan Poliisihallitus toimisi matkustajatietoyksikön matkustajarekisteritietoja sisältävän rekisterin rekisterinpitäjänä ja vastaisi tietosuojavastaavan nimeämisestä. Tietosuojavastaava olisi vastuussa matkustajarekisteritietojen käsittelyn valvonnasta ja tietosuojaan liittyvien toimenpiteiden täytäntöönpanosta matkustajatietoyksikössä. Pykälän 2 momentin mukaan tietosuojavastaavalla olisi pääsy matkustajatietoyksikön käsittelemiin tietoihin. Rekisteröidyllä olisi oikeus ottaa yhteyttä tietosuojavastaavaan kaikissa kyseisen rekisteröidyn matkustajarekisteritietojen käsittelyyn liittyvissä asioissa. Ehdotettavalla 6 §:llä pantaisiin täytäntöön matkustajarekisteridirektiivin 5 artikla.

7 §. Matkustajarekisteritietojen käsittely. Pykälän 1 momentin mukaan matkustajatietoyksikkö saisi käsitellä matkustajarekisteritietoja sellaisten henkilöiden tunnistamiseksi joilla saattaa olla osallisuutta terrorismirikoksiin tai vakavaan rikollisuuteen, 1) ennen matkustajien aikataulun mukaista saapumista tai lähtemistä; 2) toimivaltaisilta viranomaisilta tai toisen jäsenvaltion matkustajatietoyksiköltä tai Europolilta tulleesta perustellusta ja riittäviin havaintoihin perustuvasta pyynnöstä, 3) ennalta määritettyjen arviointi- ja analyysikriteerien mukaisesti tai kyseisten kriteerien päivittämiseksi tai uusien kriteerien määrittämiseksi.

Matkustajarekisteridirektiivin 6 artiklan 2 a kohdan mukaan matkustajatietoyksikkö saa käsitellä matkustajarekisteritietoja matkustajien arvioimiseksi ennen heidän aikataulun mukaista saapumistaan kyseiseen jäsenvaltioon tai lähtöään sieltä. Ehdotettavalla 1 momentin 1 kohdalla pantaisiin täytäntöön matkustajarekisteridirektiivin 6 artiklan 2 a kohta.

Matkustajarekisteridirektiivin 6 artiklan 2 b kohdan mukaan matkustajatietoyksikkö voi käsitellä matkustajarekisteritietoja toimivaltaisilta viranomaisilta saadun asianmukaisesti perustellun ja riittäviin havaintoihin perustuvan pyynnön perusteella toimittaa matkustajarekisteritietoja ja käsitellä niitä yksittäisissä tapauksissa ja toimittaa matkustajarekisteritietoja sekä tietojen käsittelyn tuloksia toimivaltaisille viranomaisille tai tarpeen mukaan Europolille. Matkustajarekisteridirektiivin 9 artiklan 2 kohdan mukaan jäsenvaltiolla on oikeus pyytää matkustajarekisteritietoja minkä tahansa toisen jäsenvaltion matkustajatietoyksilöltä. Matkustajarekisteridirektiivin 10 artiklan 1 kohdan mukaan Europolilla on oikeus pyytää jäsenvaltioiden matkustajatietoyksiköiltä matkustajarekisteritietoja tai tietojen käsittelyn tuloksia toimivaltansa rajoissa ja kun se on tarpeen sen tehtävien hoitamiseksi. Ehdotettavalla 1 momentin 2 kohdalla pantaisiin täytäntöön matkustajarekisteridirektiivin 6 artiklan 2 b kohta ja 9 artiklan 2 kohta sekä 10 artiklan 1 kohta.

Matkustajarekisteridirektiivin 6 artiklan 2 c kohdan mukaan matkustajatietoja voidaan analysoida kriteerien päivittämiseksi tai uusien määrittelemiseksi ja 3 b kohdan mukaan matkustajatietoyksikkö voi käsitellä PNR- tietoja ennalta määritettyjen kriteerien mukaisesti. Ehdotettavalla 1 momentin 3 kohdalla pantaisiin täytäntöön matkustajarekisteridirektiivin 6 artiklan 2 c ja 3 b kohdat.

Matkustajatietoja voitaisiin hyödyntää lainvalvonnassa monin eri tavoin. Ensinnäkin tietoja voitaisiin hyödyntää reaktiivisesti: tutkinnassa, syytetoimissa tai rikollisverkostojen paljastamisessa rikoksen jo tapahduttua. Jotta lainvalvontaviranomaiset voivat löytää tarvitsemansa vanhat tiedot, tietoja on voitava säilyttää riittävän kauan, tietoja voitaisiin hyödyntää myös reaaliaikaisesti, ennen matkustajien saapumista tai lähtöä, jotta voidaan estää rikoksentapahtuminen tai seurata tai ottaa kiinni henkilöitä ennen kuin rikos toteutetaan tai sillä perusteella, että rikos on toteutettu tai sitä toteutetaan parhaillaan. Tällaisissa tapauksissa PNR- tietoja olisi verrattava ennalta määriteltyihin arviointikriteereihin, jotta voidaan tunnistaa siihen asti tuntemattomat epäillyt, ja etsittyjä henkilöitä ja esineitä koskeviin tietokantoihin. Lisäksi tietoja voitaisiin hyödyntää ennakoivasti laatimalla tietojen perusteella analyyseja ja arviointikriteerejä, joiden avulla matkustajia voidaan arvioida ennen saapumista ja ennen lähtöä. Jotta tällaisista analyyseista olisi hyötyä terrorismirikosten ja vakavien rikosten ehkäisemistä, paljastamista, tutkimista ja syytteeseenpanoa varten, lainvalvontaviranomaisten olisi voitava säilyttää tietoja riittävän kauan. Ennakoivaa tietojen hyödyntämistä olisi esimerkiksi se, että mahdollisten terroristien, huumeiden salakuljettajien ja ihmiskauppaa harjoittavien rikollisryhmien jäljille päästään matkustusmalleja ja niistä tavanomaisesta poikkeavia toimia analysoimalla. Poikkeavasta toimesta esimerkkinä voidaan mainita käteismaksu viime hetken varauksessa tai se, että matkustajalla ei ole matkatavaroita. Tarkoituksena voisi olla peittää matkustajan henkilöllisyys. Lentäminen on nopeaa, helppoa ja halpaa myös terrorismitekoja suunnittelevalle. Matkustajatietojen analysoinnin hyödyllisyyttä rikostorjunnassa voidaan verrata televiestinnän reitityksen ja sen sisällön selvittämiseen. Vaikka on yleisesti tiedossa, myös rikoksia suunnittelevilla, että viranomaisilla on mahdollisuus joko reaaliaikaisesti tai jälkikäteen analysoida televiestintää, televalvonnalla on silti merkittävä arvo lainvalvontaviranomaisten työvälineenä.

Pykälän 2 momentin mukaan matkustajatietoyksikkö vahvistaisi 1 momentin 3 kohdassa tarkoitetut arviointi- ja analyysikriteerit ja tarkistaisi ne säännöllisesti yhdessä toimivaltaisten viranomaisten kanssa. Arviointikriteerien olisi oltava kohdennettuja, oikeasuhtaisia ja selkeitä. Ne eivät saisi perustua henkilön rotuun tai etniseen alkuperään, poliittisiin mielipiteisiin, uskonnolliseen tai filosofiseen vakaumukseen, ammattiliiton jäsenyyteen eivätkä terveydentilaa, sukupuolielämää tai sukupuolista suuntautuneisuutta koskeviin tietoihin. Ehdotettavalla 2 momentin säännöksellä pantaisiin täytäntöön matkustajarekisteridirektiivin 6 artiklan 4 kohta. Momentti vastaisi samalla tietosuojadirektiivin 11 artiklan 3 kohdassa tarkoitettua velvollisuutta varmistaa, että profilointi ei johda syrjintään. Jäsenvaltioiden on varmistettava, että matkustajatietoyksiköt vahvistavat ja säännöllisesti tarkistavat kriteerit yhteistyössä 7 artiklassa tarkoitettujen toimivaltaisten viranomaisten kanssa. Arviointikriteerit eivät saa missään olosuhteissa perustua henkilön rotuun tai etniseen alkuperään, poliittisiin mielipiteisiin, uskonnolliseen tai filosofiseen vakaumukseen, ammattiliiton jäsenyyteen eivätkä terveydentilaa, sukupuolielämää tai sukupuolista suuntautuneisuutta koskeviin tietoihin.

Pykälän 3 momentissa säädettäisiin matkustajatietoyksikön oikeudesta 1 momentin 1 kohdassa tarkoitetun käsittelyn yhteydessä verrata matkustajarekisteritietoja automatisoidusti terrorismirikosten tai vakavan rikollisuuden ennalta estämisen, paljastamisen, tutkinnan sekä tällaisiin rikoksiin liittyvien syytetoimien kannalta olennaisiin tietokantoihin. Matkustajarekisteridirektiivin 6 artiklan 3 a kohdan mukaan matkustajatietoyksikkö voi verrata matkustajarekisterin tietoja terrorismirikosten tai vakavan rikollisuuden ennalta estämisen, paljastamisen, tutkinnan sekä tällaisiin rikoksiin liittyvien syytetoimien kannalta olennaisiin tietokantoihin, kuten etsittyjä tai kuulutuksen kohteena olevia henkilöitä tai esineitä koskeviin tietokantoihin, tällaisiin tietokantoihin sovellettavien unionin, kansainvälisten ja kansallisten sääntöjen mukaisesti.

Esityksen mukaan matkustajatietoyksikkö voisi edellä 1 momentin 1 kohdassa tarkoitetun käsittelyn yhteydessä verrata matkustajarekisteritietoja automatisoidusti seuraavien tietokantojen ja rekistereiden tietoihin:

1) henkilötietojen käsittelystä poliisitoimessa annetun lain 2—4 ja 6 §:ssä tarkoitetut poliisin tietojärjestelmät ja henkilörekisterit;

2) henkilötietojen käsittelystä poliisitoimessa annetun lain 5 §:ssä tarkoitettu suojelupoliisin toiminnallinen tietojärjestelmä;

3) henkilötietojen käsittelystä poliisitoimessa annetun lain 32 §:n 2 kohdassa tarkoitettu Schengenin tietojärjestelmä;

4) henkilötietojen käsittelystä Rajavartiolaitoksessa annetun lain 7 §:ssä tarkoitettu tutkinta- ja virka-apurekisteri ja 9 §:ssä tarkoitettu valvonta-asioiden rekisteri sekä 11 §:ssä tarkoitettu rikoksesta epäiltyjen Rajavartiolaitoksen rekisteri;

5) henkilötietojen käsittelystä Tullissa annetun lain 3—7 §:ssä tarkoitetut tietojärjestelmät ja henkilörekisterit;

6) ulkomaalaisrekisteristä annetun lain (1270/1997) 2 §:ssä tarkoitettu ulkomaalaisrekisteri;

7) ajoneuvoliikennerekisteristä annetun lain (541/2003) 1 §:ssä tarkoitettu ajoneuvoliikennerekisteri;

8) vesikulkuneuvorekisteristä annetun lain (424/2014) 1 §:ssä tarkoitettu vesikulkuneuvorekisteri;

9) väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetun lain (661/2009) 3 §:ssä tarkoitettu väestötietojärjestelmä;

10) kansainvälisen rikospoliisijärjestön (I.P.C.O. - Interpol) tietokannat; sekä

11) Euroopan unionin lainvalvontayhteistyövirastosta annetun lain (214/2017) 3 §:n 2 momentissa tarkoitetut tiedot.

Edellä kohdissa 1—5 sekä 10 ja 11 mainitut tietokannat ovat poliisin, Tullin ja Rajavartiolaitoksen, kunkin kohdallaan, perustehtävien joihin kuuluu myös rikostorjunta, tarkoitusta varten perustettuja. Kohdassa 6 tarkoitettua ulkomaalaisrekisteriä käytetään muun muassa ulkomaalaisten maahantuloa ja maastalähtöä sekä oleskelua koskevien asioiden käsittelyä, päätöksentekoa ja valvontaa varten, valtion turvallisuuden suojaamiseksi ja turvallisuusselvityksistä annetussa laissa tarkoitetun perusmuotoisen turvallisuusselvityksen ja laajan turvallisuusselvityksen tekemiseksi. Kohtien 7—9 rekisterit eivät ole rikostorjunnan tarkoituksessa perustettuja. Kyseisten rekistereiden tietosisällön hyödyntämistä ja tietojen luovuttamista on kuitenkin katsottu tarpeelliseksi laajentaa viranomaisille muualla laissa tai sen nojalla säädettyjen tai määrättyjen tehtävien hoitamiseksi. Myös näiden rekistereiden PNR- tietoihin vertailu on olennaista direktiivin tarkoittaman rikollisuuden ehkäisyssä. Esimerkkinä voidaan todeta että rikoksella hankittua omaisuutta siirretään usein vakavan rikoksen tehneen lähipiirin haltuun ja muutetaan erilaiseen muotoon, esimerkiksi ajoneuvoja, veneitä, kiinteistöjä muuta arvo-omaisuutta. Kun pyritään tavoittamaan vakavista rikoksista etsintäkuulutettuja ja löytämään yhteyksiä ja yhteystietoja henkilöiden ja omaisuuden ja välillä saamaan heitä toimenpiteiden kohteiksi, myös ajoneuvoja ja vesikulkuneuvoja sekä kiinteistöjä sisältävistä rekisteristä löytyvillä virallistiedoilla saattaa olla olennainen merkitys. Rekistereiden vertailuvaiheessa ei ole kyse esitutkinnan aloittamisen harkinnasta. Tietojen vertailussa matkustajatietoyksikkö analysoi saamiaan tietoja onko perusteita toimittaa tietoja toimivaltaisille viranomaisille lisätutkimuksia varten. Mahdollisen esitutkinnan toimittavat toimivaltaiset viranomaiset, ei matkustajatietoyksikkö.

Ehdotettavilla 3 momentin 1—11 kohdilla pantaisiin täytäntöön matkustajarekisteridirektiivin 6 artiklan 3 kohdan a kohta.

Matkustajarekisteridirektiivin 7 artiklan 4 kohdan mukaan jäsenvaltion toimivaltaiset viranomaiset voivat jatkokäsitellä matkustajatietoyksiköltä vastaanotettuja matkustajarekisteritietoja tai tietojen käsittelyn tuloksia vain tiettyyn tarkoitukseen, kuten terrorismirikosten tai vakavan rikollisuuden ennalta estämistä, paljastamista, tutkintaa tai tällaisiin rikoksiin liittyviä syytetoimia varten. Direktiivin 7 artiklan 5 kohdan mukaan edellä oleva 4 kohta ei vaikuta kansallisen oikeuden mukaisiin lainvalvonta- tai tuomiovaltuuksiin, jos tällaisen käsittelyn perusteella tapahtuvien lainvalvontatoimien yhteydessä tulee esiin muita rikoksia tai viitteitä sellaisista. Direktiivin johdannon kohdan 26 mukaan kun toimivaltaiselle viranomaiselle on siirretty tietyt matkustajarekisteritiedot, joita käytetään tietyssä rikostutkinnassa tai tiettyjen syytetoimien yhteydessä, näiden tietojen säilyttämiseen toimivaltaisen viranomaisen toimesta olisi sovellettava kansallista oikeutta, tässä direktiivissä vahvistetuista säilytysajoista riippumatta. Käsitellessään matkustajatietoyksiköltä terrorismin ja vakavan rikollisuuden torjumiseksi saamiaan matkustajarekisteritietoja tai tietojen käsittelyn tuloksia, poliisi, Tulli ja Rajavartiolaitos voisivat käsitellä niitä myös muun rikollisuuden torjumiseksi, mikäli käsittelyn perusteella tulee esiin muita rikoksia tai viitteitä muista rikoksista.

Matkustajarekisteridirektiivi ja ehdotettava direktiivin täytäntöönpanolaki eivät rajoittaisi muuhun lainsäädäntöön perustuvaa tiedonsaantioikeutta tai tietojen käsittelyä, eivätkä tietojenvaihtoa ulkomaanliikenteen matkustajista. Tällaista sääntelyä on ainakin laissa henkilötietojen käsittelystä poliisitoimessa, henkilötietojen käsittelystä rajavartiolaitoksessa ja laissa henkilötietojen käsittelystä Tullissa. Matkustajarekisteridirektiivi ja direktiivin täytäntöönpanolaki asettaisivat nykyistä täsmällisemmän ja määritellymmän tiedonluovutusvelvoitteen lentoliikenteen PNR- tietojen osalta. Jotta liikenteenharjoittajien hallinnollista taakkaa ei tarpeettomasti lisättäisi uuden lainsäädännön johdosta, olisi matkustajatietoja tarvitsevien viranomaisten ensisijaisesti sovittava mahdollisuudesta vastaanottaa nämä eri lainsäädäntöihin perustuvat tietoluovutukset yhtä kanavaa pitkin ja mahdollisesti jopa yhdellä tietoluovutuksella sekä edelleen siitä miten viranomaisille luovutetut ja vastaanotetut tiedot edelleen jaetaan kansallisille toimivaltaisille viranomaisille.

Pykälän 4 momentin mukaan edellä 1 momentin 1 kohdassa tarkoitetun matkustajarekisteritietojen käsittelyn tuloksena saadut osumat olisi tarkistettava yksittäin. Matkustajarekisteridirektiivin 6 artiklan 5 kohdan mukaan jäsenvaltioiden on varmistettava, että 2 kohdan a alakohdan nojalla (matkustajien arviointi ennen saapumista tai lähtemistä) suoritetun automaattisen matkustajarekisteritietojen käsittelyn tuloksena saatavat osumat tarkistetaan yksittäin, ei-automaattisen käsittelyn keinoin, jotta voidaan arvioida, onko 7 artiklassa tarkoitetun toimivaltaisen viranomaisen ryhdyttävä kansallisen oikeuden mukaisiin toimiin. Ehdotettavalla 4 momentilla pantaisiin täytäntöön matkustajarekisteridirektiivin 6 artiklan 5 kohta.

Pykälän 5 momentin mukaan edellä 3 momentin 2 kohdassa tarkoitetun suojelupoliisin toiminnallisen tietojärjestelmän tietojen vertailu olisi toteutettava tietoturvallisella tavalla, siten kuin suojelupoliisin kanssa sovitaan. Vertailin voisi suorittaa ainoastaan suojelupoliisin matkustajatietoyksikköön määräämä virkamies. Vertailun tulokset voitaisiin luovuttaa eteenpäin ainoastaan suojelupoliisin suostumuksella. Kohta koskisi matkustajarekisteritietojen vertailua suojelupoliisin käsittelemiin henkilötietoihin. Ehdotetulla kohdalla korostettaisiin tietoturvavaatimuksia, jotka syntyvät kun tietoja käsitellään korkean tietoturvallisuustason tietojärjestelmässä (ST II).

Ehdotetun henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden alalla annetun lain 14 §:n mukaisesti rekisterinpitäjä vastaisi siitä, että henkilötietoja käsitellään lainmukaisesti. Saman lakiehdotuksen 15 §:n mukaan rekisterinpitäjän olisi henkilötietojen käsittelytapoja määrittäessään ja henkilötietojen käsittelyn yhteydessä toteutettava asianmukaiset tekniset ja organisatoriset suojatoimenpiteet käsittelyn lainmukaisuuden ja rekisteröidyn oikeuksien suojaamisen varmistamiseksi. Toimenpiteiden toteuttamisessa olisi otettava huomioon käytettävissä olevat tekniset ratkaisut, toimenpiteiden toteuttamiskustannukset sekä käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset samoin kuin ne riskit, jotka käsittely henkilön oikeuksille aiheuttaa. Lakiehdotuksen 31§:n mukaan rekisterinpitäjän ja henkilötietojen käsittelijän olisi teknisin ja organisatorisin toimenpitein suojattava henkilötiedot varmistaakseen rekisteröidyn oikeuksiin kohdistuvaa riskiä vastaava tietoturvallisuuden taso. Henkilötietojen suojaamisesta säädetään myös matkustajarekisteridirektiivissä. Direktiivin 13 artiklan 7. kohdan mukaan jäsenvaltioiden on varmistettava, että matkustajatietoyksikkö toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet ja menettelyt varmistaakseen PNR-tietojen käsittelyyn ja tietojen luonteeseen liittyviin riskeihin nähden asianmukaisen korkean turvallisuustason.

Ehdotetulla säännöksellä voidaan katsoa olevan osittain informatiivinen luonne, sillä edellä mainitut säännökset edellyttävät kaiken henkilötietojen käsittelyn tapahtuvan tietoturvallisesti. Tietoturvallisuutta koskevia säännöksiä sisältyy myös voimassa olevaan henkilötietojen käsittelyä koskevaan lainsäädäntöön. Ehdotettua lainkohtaa pidetään kuitenkin tarpeellisena, koska vertailu suoritettaisiin ST II- tason tietojärjestelmään, joka edellyttäisi poikkeavia, vahvemmin suojattuja, tietojenkäsittelytekniikoita verrattuna muihin alemman tietoturvatason järjestelmiin. Tässä suhteessa on tarkoituksenmukaista korostaa vertailun suorittamista tietoturvallisesti, koska siinä jouduttaisiin turvautumaan poikkeuksellisiin menetelmiin verrattuna muihin alemman tietoturvatason tietojärjestelmiin.

Edelleen 5 momentin mukaan tietojen vertailun voisi suorittaa ainoastaan suojelupoliisin matkustajatietoyksikköön määräämä virkamies. Jo aikaisemmin lainsäädännössä on omaksuttu kanta, ettei reksiterin sisällön arkaluontoisuuden vuoksi suojelupoliisin tietojärjestelmään tulisi olla pääsyä ulkopuolisilla. Asiaa on kuvattu aikaisemmissa poliisin henkilötietolain esitöissä seuraavasti: "Suojelupoliisin tietojärjestelmä on tarkoitettu yhden poliisiyksikön, suojelupoliisin, käyttöön eli sen käyttöoikeus olisi ainoastaan suojelupoliisin henkilöstöön kuuluvilla." (HE 39/1994 s. 14).

Ehdotetulla kohdalla olisi yhteys myös edellä käsiteltyihin tietoturvavaatimuksiin. Käytännössä lainkohta tarkoittaisi velvollisuutta rajoittaa tietojen käsittelyä organisatorisin keinoin, sillä salaiseen tai erityissuojattuun tietoaineistoon pääsy mahdollistuisi rajatulle käyttäjäpiirille. Toiseksi suojelupoliisin ylläpitämään rekisteriin on myös mahdollista tallettaa henkilöitä, joiden osallisuus direktiivillä suojeltaviin tekoihin voisi olla joissain määrin löyhempi tai epävarmempi kuin muissa vertailunpiirissä olevissa henkilörekistereissä. Tämän vuoksi sen arvioiminen ovatko tiedot siinä määrin olennaisia ja tarpeellisia, että ne tulee luovuttaa eteenpäin toimivaltaisille viranomaisille, muille matkustajatietoyksiköille, Europolille tai kolmansiin maihin, edellyttäisi suojelupoliisin toimialan hallitsemista. Pykälän 5 momentin viimeisen kohdan mukaan 6 §:n 3 momentin 2 kohdan mukaisen vertailun perusteella havaitut matkustajarekisteritiedot ja tietojen käsittelyn tulokset voitaisiin luovuttaa eteenpäin ainoastaan suojelupoliisin suostumuksella.

Matkustajarekisteridirektiivin johdanto-osan 23 kappaleen mukaan matkustajarekisteridirektiivin säännökset eivät saisi vaikuttaa muihin poliisin ja muiden lainvalvontaviranomaisten sekä oikeusviranomaisten välistä tietojenvaihtoa koskeviin unionin säädöksiin. Tällaisiin säännöksiin kuuluu Euroopan parlamentin ja neuvoston asetus (EU) 2016/794 Euroopan unionin lainvalvontayhteistyövirastosta (ns. Europol - asetus). Asetuksen 7 artiklan 7 kohdan mukaan rajoittamatta sitä, miten jäsenvaltiot huolehtivat velvollisuudestaan pitää yllä lakia ja järjestystä sekä turvata sisäinen turvallisuus, jäsenvaltioita ei saa missään erityistapauksessa velvoittaa toimittamaan [6 kohdan a alakohdan mukaisesti] tietoja, jotka a) olisivat asianomaisen jäsenvaltion keskeisten turvallisuusetujen vastaisia; b) vaarantaisivat vireillä olevan tutkinnan onnistumisen tai yksilön turvallisuuden; tai c) paljastaisivat tietoja kansallisista turvallisuusyksiköistä tai kansallista turvallisuutta koskevista yksittäisistä tiedustelutoimista. Jäsenvaltioiden on kuitenkin toimitettava tiedot heti, kun tiedot lakkaavat kuulumasta ensimmäisen alakohdan a, b tai c alakohdan soveltamisalaan. Nämä kieltäytymisperusteet rajoittavat Europolin oikeutta tietojen saamiseen matkustajatietoyksiköstä ja kieltäytymisperusteiden arvioinnissa suojelupoliisi on olennaisessa asemassa.

Euroopan unionin perustamissopimuksen (SEU) artiklan 4 kohdassa 2 rajataan kansallinen turvallisuus jäsenvaltion omaan toimivaltaan. Suojelupoliisin tehtäviin kuuluu kansallisen turvallisuuden ylläpitäminen, eikä sen toiminta tämän vuoksi kuulu unionin oikeuden soveltamisalaan.

Vaikka suojelupoliisin tehtävänä on kansallisen turvallisuuden ylläpitäminen, se on samalla myös luonteeltaan poliisiviranomainen. Se vastaa Suomessa terrorismin estämisestä ja paljastamisesta sekä pitää yllä tietojärjestelmää, johon siihen liittyviä henkilötietoja voidaan tallettaa. Ilman sen tietojärjestelmään kohdistettua matkustajarekisteritietojen vertailua, ei terrorismirikoksia voitaisi läheskään yhtä kattavasti estää tai paljastaa. Kansallisen tehokkuuden näkökulmasta voidaankin nähdä ensisijaisen tärkeäksi, että matkustajatietoja voidaan verrata tarvittavassa laajuudessa myös suojelupoliisin tietojärjestelmään. Esimerkiksi poliisiasian tietojärjestelmään kohdistetulla vertailulla ei voida nähdä läheskään yhtä tehokasta terrorismia estävää vaikutusta, sillä terrorismirikosten osalta sen käyttötarkoitus perustuu lähtökohtaisesti rikosten tutkintatarkoituksiin.

Direktiivin johdanto-osan 23 kappaleessa viitataan neuvoston puitepäätökseen 2006/960/YOS. Tämän puitepäätöksen perusteella on säädetty kansallinen laki Euroopan unionin jäsenvaltioiden lainvalvontaviranomaisten välisen tietojen ja tiedustelutietojen vaihdon yksinkertaistamisesta tehdyn neuvoston puitepäätöksen lainsäädännön alaan kuuluvien säännösten kansallisesta täytäntöönpanosta ja puitepäätöksen soveltamisesta (26/2009). Lain 3 §:n mukaan laissa tarkoitetuilla tiedoilla ja tiedustelutiedoilla tarkoitetaan kohdan 1) mukaan henkilötietojen käsittelystä poliisitoimessa annetun lain (761/2003) 2―4 ja 6 §:ssä tarkoitettujen henkilörekisterien tietoja. Suojelupoliisin rekisteristä säädetään henkilötietojen käsittelystä poliisitoimessa annetun lain 5 §:ssä, mikä tarkoittaa, että lakia ei sovelleta suojelupoliisin toiminnassa. Suojelupoliisin tiedot eivät tästä huolimatta voi nauttia heikompaa suojaa kuin muun poliisin tiedot, joiden osalta tietojen ja tiedustelutietojen vaihtoa koskevan lain (26/2009) 7 §:ä sisältää kiellon luovuttaa ulkomaille sellaisia tietoja, joiden luovuttaminen saattaa vaarantaa Suomen turvallisuuden tai muita olennaisia kansallisia etuja. Kieltäytymisperustetta olisi näin ollen asiallisesti sovellettava myös suojelupoliisin toimintaan, vaikka kyseinen laki ei sen toimintaan muodollisesti sovellu.

Voimassa olevassa poliisin henkilötietolaissa on lähdetty siitä, että suojelupoliisin toiminnallisen tietojärjestelmän tiedot ovat säännönmukaisesti sellaisia, joiden antaminen saattaisi vahingoittaa valtion turvallisuutta. (HE 39/1994 s. 21). Tätä ilmentää myös se, että esimerkiksi julkisuuslain 24 §:n 1 momentin 9 kohdan mukaan suojelupoliisin tiedot ovat säädetty salassapito-olettaman alaisiksi. Edellä mainittujen seikkojen johdosta lähtökohdaksi myös tässä lakiehdotuksessa on otettu se, että tietojen luovuttamiseksi tarvitaan suojelupoliisin suostumus. Suojelupoliisi toisin sanoen arvioi sen, voiko tietojen luovuttaminen vaarantaa Suomen turvallisuuden tai muita olennaisia kansallisia etuja.

Tietojen salassa pidettävyyden näkökulmasta suojelupoliisin ylläpitämän tietojärjestelmän ja muiden poliisin tietojärjestelmien välillä on huomattavia eroja. Nämä erot osaltaan ilmentävät sitä, minkä vuoksi suojelupoliisin tietojärjestelmään tehdyn vertailun perusteella havaittuja tietoja ei voitaisi säännönmukaisesti luovuttaa eteenpäin toisin kuin esimerkiksi poliisiasiain tietojärjestelmästä. Lisäksi ehdotettua säännöstä puoltaisivat suojelupoliisin tiedonvaihtoa koskevat rajoitukset. Verrattuna muihin poliisin tietojärjestelmiin suojelupoliisin tietojärjestelmässä korostuu ns. kolmannen maan sääntö. Suojelupoliisin toiminta perustuu merkittäviltä osin kansainväliseen tietojen vaihtoon ja sen tietojärjestelmä sisältääkin laajalti tässä yhteydessä saatuja henkilötietoja. Voimassa olevan poliisin henkilötietolain 1 §:n 2 momentin mukaan sen lisäksi, mitä tässä laissa säädetään, noudatetaan Suomea sitovia kansainvälisiä sopimuksia. Turvallisuus- ja tiedustelupalveluiden välinen tiedonvaihto perustuu luovuttajavaltion harkintaan ilman juridista velvollisuutta tiedon luovuttamiseen, sekä siihen luottamukseen, että tietoa ei luovuteta kolmannelle osapuolelle ilman tiedon luovuttajavaltion suostumusta. Velvollisuudesta noudattaa kansainvälisiä käyttörajoituksia säädetään voimassa olevan poliisin henkilötietolain 31 §:ssä. Käyttörajoitusten noudattamatta jättäminen - mistä olisi kyse myös silloin, jos suojelupoliisi velvoitettaisiin luovuttamaan kansainvälisen tiedonvaihtonsa puitteissa saamiaan tietoja PTR- viranomaisille - vaarantaisi suojelupoliisin kansainvälisen yhteistyön.

Erillisen suostumuksen edellyttämistä suhteessa muihin rekistereihin puoltaa edelleen, ettei henkilötietojen käsittelystä poliisitoimessa annetun lain 45 §:n mukaan suojelupoliisin tietojärjestelmään ei ole lainkaan tarkastusoikeutta. Vastaavaa rajoitusta ei ole esimerkiksi poliisiasiain tietojärjestelmässä. Suojelupoliisin ja muiden poliisin rekistereiden käyttötarkoitusten erilaisuus vaikuttaa huomattavasti mahdollisuuksiin luovuttaa tietoa rekisteristä.

8 §. Matkustajarekisteritietojen toimittaminen toimivaltaisille viranomaisille. Pykälän 1 momentin mukaan matkustajatietoyksikön olisi toimitettava matkustajarekisteritietojen 7 §:n 1 momentin 1 kohdassa tarkoitetun käsittelyn tuloksena tunnistettujen henkilöiden matkustajarekisteritiedot tai tietojen käsittelyn tulokset poliisille, Tullille ja Rajavartiolaitokselle, jotta nämä voivat tehdä selvityksiä kyseisten henkilöiden osallisuudesta terrorismirikoksiin tai vakavaan rikollisuuteen.

Pykälän 2 momentin mukaan tiedot tai tietojen käsittelyn tulokset voitaisiin toimittaa toimivaltaisille viranomaisille myös näiden asianmukaisesta ja perustellusta pyynnöstä käsitellä tietoja terrorismirikosten tai vakavan rikollisuuden ennalta estämistä, paljastamista ja tutkintaa sekä tällaisiin rikoksiin liittyviä syytetoimia varten.

Pykälän 3 momentin mukaan edellä 1 ja 2 momenteissa tarkoitetut tiedot voitaisiin luovuttaa vain tapauskohtaisesti.

Pykälän 4 momentin mukaan toimivaltaiset viranomaiset voisivat käyttää matkustajatietoyksikön toimittamia tietoja myös tietojen käsittelyn yhteydessä esiin tulleiden rikosten ja niihin viittaavien seikkojen selvittämiseksi, estämiseksi ja paljastamiseksi sekä toiminnan suuntaamiseksi ja syyttömyysolettaman tukemiseksi.

Matkustajarekisteridirektiivin 6 artiklan 6 kohdan mukaan matkustajatietoyksikön on toimitettava matkustajarekisteritiedot tai 2 a kohdan käsittelyn (matkustajien arviointi ennen saapumista tai lähtemistä) mukaisesti tunnistettujen henkilöiden matkustajarekisteritiedot tai tietojen käsittelyn tulokset saman jäsenvaltion toimivaltaisille viranomaisille. Tiedonsiirrot on tehtävä ainoastaan tapauskohtaisesti ja matkustajarekisteritietoja automaattisesti käsiteltäessä yksittäisen ei automaattisesti tapahtuneen tarkastuksen jälkeen. Direktiivin 6 artiklan 2 b kohdan mukaan matkustajatietoyksikön on vastattava tapauskohtaisesti toimivaltiasilta viranomaisilta saatuun asianmukaisesti perusteltuun ja riittäviin havaintoihin perustuvaan pyyntöön saada matkustajarekisteritietoja tai tietojen käsittelyn tuloksia. Direktiivin 6 artiklan 7 kohdan mukaan jäsenvaltioiden on varmistettava, että tietosuojavastaavalla on pääsy matkustajatietoyksikön käsittelemiin tietoihin. Ehdotettavalla 8 §:llä pantaisiin täytäntöön matkustajarekisteridirektiivin 6 artiklan 2 b, 6 ja 7 kohta.

9 §. Matkustajarekisteritietojen pyytäminen toisilta jäsenvaltioilta ja tietojen näille luovuttaminen. Pykälän 1 momentin mukaan matkustajatietoyksikkö voisi pyytää matkustajarekisteritietoja toisen jäsenvaltion matkustajatietoyksiköltä terrorismirikoksen tai vakavan rikollisuuden ennalta estämistä, paljastamista ja tutkintaa sekä tällaisiin rikoksiin liittyviä syytetoimia varten. Matkustajatietoyksikön olisi perusteltava pyyntönsä. Matkustajatietoyksikön olisi toimitettava toisen jäsenvaltion matkustajatietoyksiköltä saadut matkustajarekisteritiedot tai tietojen käsittelyn tulokset toimivaltaisille viranomaisille.

Matkustajarekisteridirektiivin 9 artiklan 2 kohdassa todetaan että matkustajatietoyksiköllä on oikeus tarvittaessa perustellusti pyytää minkä tahansa toisen jäsenvaltion matkustajatietoyksikköä toimittamaan sen tietokantaan tallennettuja matkustajarekisteritietoja tietyin tarkemmin edellytyksin kun pyytävä matkustajatietoyksikkö katsoo pyynnön olevan tarpeen terrorismirikosten tai vakavan rikollisuuden torjumiseksi. Matkustajarekisteridirektiivin 9 artiklan 1 kohdan mukaan mm. vastaanottavien jäsenvaltioiden matkustajatietoyksiköiden on toimitettava vastaanotetut tiedot toimivaltaisille viranomaisilleen. Ehdotettavalla 1 momentilla pantaisiin täytäntöön osin matkustajarekisteridirektiivin 9 artiklan 1 ja 2 kohta.

Pykälän 2 momentin mukaan matkustajatietoyksikön olisi toimitettava matkustajarekisteritietojen 7 §:n 1 momentin 1 kohdassa tarkoitetun käsittelyn perusteella tunnistamiensa henkilöiden tiedot toisten jäsenvaltioiden vastaaville matkustajatietoyksikölle. Toimitettavien tietojen olisi sisällettävä käsittelyn tuloksena tunnistettujen henkilöiden kaikki olennaiset ja välttämättömät matkustajarekisteritiedot tai tietojen käsittelyn tulokset. Matkustajatietoyksikkö voisi tämän lisäksi toimittaa matkustajarekisteritietoja tai tietojen käsittelyn lisäselvitysten tuloksia toisen jäsenvaltion matkustajatietoyksikölle tämän perustellusta pyynnöstä.

Matkustajarekisteridirektiivin 9 artiklan 1 kohdan mukaan jäsenvaltioiden on varmistettava, että matkustajatietoyksikkö toimittaa matkustajien arvioinnin yhteydessä tunnistamiensa henkilöiden kaikki olennaiset ja välttämättömät tiedot toisten jäsenvaltioiden vastaaville matkustajatietoyksiköille. Matkustajarekisteridirektiivin 9 artiklan 2 kohdassa todetaan että matkustajatietoyksiköllä on oikeus tarvittaessa pyytää minkä tahansa toisen jäsenvaltion matkustajatietoyksikköä toimittamaan sen tietokantaan tallennettuja matkustajarekisteritietoja tietyin tarkemmin edellytyksin kun pyytävä matkustajatietoyksikkö katsoo pyynnön olevan tarpeen terrorismirikosten tai vakavan rikollisuuden torjumiseksi. 9 artiklan 1 kohdasta ei ilmene se tarkoituksenmukainen periaate että matkustajatietoyksikön tulee toimittaa tiedot sen jäsenvaltion tai - valtioiden matkustajatietoyksikölle johon tunnistaminen viittaa. Ehdotettavalla 2 momentilla pantaisiin täytäntöön osin matkustajarekisteridirektiivin 9 artiklan 1 ja 2 kohta.

Pykälän 3 momentin mukaan toimivaltaiset viranomaiset voisivat pyytää matkustajarekisteritietoja suoraan toisen jäsenvaltion matkustajatietoyksiköltä, kun se on tarpeen hätätilanteessa terrorismin tai vakavan rikollisuuden ennalta estämistä, paljastamista ja tutkintaa sekä tällaisiin rikoksiin liittyviä syytetoimia varten. Pyyntö olisi perusteltava ja siitä olisi lähetettävä tieto matkustajatietoyksikölle. Vastaavilla edellytyksillä matkustajatietoyksikkö voisi toimittaa matkustajarekisteritietoja toisen jäsenvaltion toimivaltaisille viranomaisille näiden pyynnön perusteella.

Matkustajarekisteridirektiivin 9 artiklan 3 kohdan mukaan jäsenvaltion toimivaltaiset viranomaiset voivat pyytää suoraan minkä tahansa toisen jäsenvaltion matkustajatietoyksikköä toimittamaan sen tietokantaan tallennettuja matkustajarekisteritietoja ainoastaan kun se on hätätilanteissa tarpeen ja terrorismirikosten ja vakavan rikollisuuden torjumiseksi. Toimivaltaisten viranomaisten esittämät pyynnöt on perusteltava. Jäljennös pyynnöstä on aina lähetettävä pyynnön esittäneen jäsenvaltion matkustajatietoyksikölle. Kaikissa muissa tapauksissa toimivaltaisten viranomaisten on ohjattava pyyntönsä oman jäsenvaltionsa matkustajatietoyksikön kautta. Ehdotettavalla 3 momentilla pantaisiin täytäntöön matkustajarekisteridirektiivin 9 artiklan 3 kohta.

10 §. Matkustajarekisteritietojen toimittaminen Europolille. Matkustajatietoyksikkö voisi perustellusta pyynnöstä toimittaa matkustajarekisteritietoja tai tietojen käsittelyn tuloksia Europolille 3 §:n 10 kohdassa tarkoitetun asetuksen IV luvussa tarkoitettua tietojenkäsittelyä varten terrorismirikosten tai vakavan rikollisuuden ennalta estämistä, paljastamista ja tutkintaa sekä tällaisiin rikoksiin liittyviä syytetoimia varten, kun toimittaminen on tarpeen asetuksen 3 artiklassa tarkoitetun jäsenvaltioiden toimivaltaisten viranomaisten rikostorjuntayhteistyön ja keskinäisen yhteistyön tavoitteiden saavuttamiseksi.

Matkustajarekisteridirektiivin 10 artiklan 1 kohdan mukaan Europolilla on oikeus pyytää jäsenvaltioiden matkustajatietoyksiköiltä matkustajarekisteritietoja tai näiden tietojen käsittelyn tuloksia toimivaltansa rajoissa ja kun se on tarpeen sen tehtävien hoitamiseksi. 2 kohdan mukaan Europol voi tapauskohtaisesti toimittaa minkä tahansa jäsenvaltion matkustajatietoyksikölle asianmukaisesti perustellun sähköisen pyynnön tiettyjen matkustajarekisteritietojen tai näiden tietojen käsittelyn tulosten toimittamisesta Europolin kansallisen yksikön kautta. Europol voi toimittaa tällaisen pyynnön, mikäli tämä on ehdottomasti tarpeen tukemaan ja vahvistamaan jäsenvaltioiden toimia, joilla ennalta estetään, paljastetaan tai tutkitaan määrättyä terrorismirikosta tai vakavaa rikollisuutta, edellyttäen että tämä rikos tai rikollisuus kuuluu Europolin toimivaltaan päätöksen 2009/371/YOS mukaisesti. Mainitussa pyynnössä on esitettävä riittävän painavat syyt sille, että Europol katsoo matkustajarekisteritietojen tai niiden käsittelyn tulosten toimittamisen edistävän merkittävästi kyseisen rikoksen ennalta estämistä, paljastamista tai tutkimista. 3 kohdan mukaan Europol ilmoittaa päätöksen 2009/371/YOS 28 artiklan mukaisesti nimitetylle tietosuojavastaavalleen jokaisesta tämän artiklan nojalla tapahtuneesta tietojenvaihdosta. 4 kohdan mukaan tämän artiklan nojalla tapahtuva tiedonvaihto on toteutettava SIENAn kautta ja päätöksen 2009/371/YOS mukaisesti. Pyynnöt esitetään ja tietojenvaihto tapahtuu SIENAn käyttökielellä.

Euroopan parlamentin ja neuvoston asetus (EU) 2016/794 (Europol-asetus) korvaa matkustajarekisteridirektiivissä mainitun päätöksen 2009/371/YOS. Europol-asetusta täydentävät säännökset on annettu laissa Euroopan unionin lainvalvontayhteistyövirastosta (214/2017). Lain 3 §:n 1 momentin mukaan Europol-asetuksen 2 artiklan a kohdassa tarkoitetuille Suomen toimivaltaisille viranomaisille sallitaan suorat yhteydet Europolin kanssa Europol-asetuksen 7 artiklan 5 kohdan mukaisesti. Kyseisen7 artiklan 5 kohdan mukaan kansallinen yksikkö on 2 kohdan mukaisesti Europolin ja jäsenvaltioiden toimivaltaisten viranomaisten välinen yhteyselin. Jäsenvaltiot voivat kuitenkin valtuuttaa toimivaltaiset viranomaisensa olemaan suoraan yhteydessä Europoliin jäsenvaltioiden määrittämin edellytyksin, mukaan lukien kansallisen yksikön osallistuminen etukäteen. Matkustajarekisteridirektiivin edellyttämä tietojen toimittamisvelvollisuus ainoastaan kansallisen yksikön kautta perustuu kumottuun päätökseen. Koska asetus sallii myös suorat yhteydet, ei olisi tarkoituksenmukaista rajoittaa yhteyksiä pelkästään kansallisen yksikön kautta tapahtuvaksi. Ehdotettavalla 10 §:llä pantaisiin täytäntöön matkustajarekisteridirektiivin 10 artiklan 1 ja 2 kohta.

11 §. Matkustajarekisteritietojen siirtäminen kolmansiin maihin. Pykälässä säädettäisiin matkustajarekisteritietojen siirtämisestä kolmansiin maihin. Ehdotetun 1 momentin mukaan matkustajatietoyksikkö saisi siirtää matkustajarekisteritietoja ja tietojen käsittelyn tuloksia kolmanteen maahan vain yksittäistapauksissa, ja edellyttäen että 1) henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetun lain ( / ) 41—43 §:n säännöksiä noudatetaan, ja 2) siirtäminen on tarpeen terrorismirikosten tai vakavan rikollisuuden ennalta estämistä, paljastamista ja tutkintaa sekä tällaisiin rikoksiin liittyviä syytetoimia varten.

Matkustajarekisteridirektiivin 11 artiklan 1 a kohdan mukaan jäsenvaltio voi toimittaa 12 artiklan mukaisesti matkustajatietoyksikössä talletettuja matkustajarekisteritietoja ja kyseisten tietojen käsittelyn tulokset kolmannelle valtiolle vain tapauskohtaisesti ja jos puitepäätöksen 2008/977/YOS 13 artiklassa säädetyt edellytykset täyttyvät. Puitepäätöksen 2008/977/YOS on kumonnut Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680 (tietosuojadirektiivi). Tietosuojadirektiivin täytäntöön panemiseksi annetun henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetun hallituksen esityksen ( / ) 7 luvun 41 § käsittelee henkilötietojen siirtoa kolmansille maille koskevia yleisiä periaatteita. Lakiehdotuksen 7 luvun 41 § perustuu tietosuojadirektiivin 35 artiklaan, direktiivin johdanto-osan 64 kohtaan sekä 36 artiklan 1 kohtaan. Nämä kohdat ovat korvanneet puitepäätöksen 2008/YOS 13 artiklassa säädetyt edellytykset. Matkustajarekisteridirektiivin 11 artiklan 1 b) kohta asettaa toimittamisen lisäedellytykseksi että siirto on tarpeen tämän direktiivin soveltamiseksi 1 artiklan 2 kohdassa tarkoitettua tarkoitusta varten (terrorismirikokset ja vakava rikollisuus). Ehdotettavalla 1 momentilla pantaisiin täytäntöön matkustajarekisteridirektiivin 11 artiklan 1 ja 2 kohta.

Pykälän 2 momentissa säädettäisiin siirtämisen edellytyksistä silloin, kun matkustajarekisteritietoja tai tietojen käsittelyn tuloksia saanut kolmas maa siirtää näitä edelleen muuhun kolmanteen maahan. Matkustajatietoyksikkö voisi antaa luvan siirtämiensä matkustajarekisteritietojen ja tietojen käsittelyn tulosten siirtämiseen kolmannesta maasta edelleen muuhun kolmanteen maahan, jos siirtäminen olisi välttämätöntä terrorismirikosten tai vakavan rikollisuuden torjumiseksi.

Matkustajarekisteridirektiivin 11 Artiklan 1 c kohdan mukaan tietoja saaneen kolmannen maan on suostuttava siihen, että se siirtää tiedot toiseen kolmanteen maahan vain jos se on ehdottoman tarpeen tämän direktiivin soveltamiseksi 1 artiklan 2 kohdassa tarkoitettua tarkoitusta (terrorismirikokset ja vakava rikollisuus) varten ja vain tiedot siirtäneen jäsenvaltion etukäteisellä suostumuksella. Ehdotettavalla 2 momentilla pantaisiin täytäntöön matkustajarekisteridirektiivin 11 artiklan 1 kohdan c kohta.

Ehdotetun 3 momentin mukaan 1 momentista poiketen toisen jäsenvaltion matkustajatietoyksiköltä saatuja matkustajarekisteritietoja saataisiin siirtää kolmanteen maahan ilman kyseisen jäsenvaltion matkustajatietoyksikön lupaa vain, jos siirto olisi olennaisen tärkeää jäsenvaltioon tai kolmanteen maahan kohdistuvaan terrorismirikoksia tai vakavaa rikollisuutta koskevaan määrättyyn ja tosiasialliseen uhkaan vastaamiseksi, eikä lupaa voitaisi saada ajoissa. Siirrosta olisi ilmoitettava kyseisen jäsenvaltion matkustajatietoyksikölle ja siirto olisi kirjattava asianmukaisesti ja tarkistettava jälkikäteen.

Matkustajarekisteridirektiivin 11 artiklan 2 kohdan mukaan matkustajarekisteritietojen siirtäminen ilman sen jäsenvaltion etukäteissuostumusta, jolta tiedot saadaan, on poikkeuksellisissa olosuhteissa sallittua vain, jos: a) tietojen siirto on olennaisen tärkeää jäsenvaltion tai kolmannen valtion terrorismirikoksia tai vakavaa rikollisuutta koskevaan määrättyyn ja tosiasialliseen uhkaan vastaamiseksi; b) eikä etukäteissuostumusta voida saada ajoissa. Suostumuksen antamisesta vastaavalle viranomaiselle on ilmoitettava välittömästi asiasta, siirtäminen on kirjattava asianmukaisesti ja se on tarkistettava jälkikäteen. Ehdotettavalla 3 momentilla pantaisiin täytäntöön matkustajarekisteridirektiivin 11 artiklan 2 kohta.

Pykälän 4 momentin mukaan ennen matkustajarekisteritietojen kolmannen maan toimivaltaisille viranomaisille siirtämistä matkustajatietoyksikön olisi varmistettava, että kolmas maa aikoo käyttää tietoja tässä pykälässä tarkoitettujen ehtojen ja suojakeinojen mukaisesti. Tietojen siirtämisestä on ilmoitettava matkustajatietoyksikön tietosuojavastaavalle.

Matkustajarekisteridirektiivin 11 artiklan 3 kohdan mukaan jäsenvaltiot voivat siirtää matkustajarekisteritietoja kolmansien maiden toimivaltaisille viranomaisille ainoastaan tämän direktiivin mukaisten ehtojen mukaisesti ja varmistettuaan, että vastaanottajat aikovat käyttää tietoja näiden ehtojen ja suojakeinojen mukaisesti. 4 kohdan mukaan tiedot siirtäneen jäsenvaltion matkustajatietoyksikön tietosuojavastaavalle on ilmoitettava aina, kun jäsenvaltio siirtää matkustajarekisteritietoja tämän artiklan mukaisesti. Ehdotettavalla 4 momentilla pantaisiin täytäntöön matkustajarekisteridirektiivin 11 artiklan 3 ja 4 kohta.

12 §. Matkustajarekisteritietojen poistaminen, häivyttäminen ja häivytettyjen tietojen luovuttaminen. Pykälän 1 momentin mukaan matkustajatietoyksikön on poistettava matkustajarekisteritiedot 6 §:ssä tarkoitetusta rekisteristä viiden vuoden kuluttua siitä, kun ne on toimitettu matkustajatietoyksikölle. Kuuden kuukauden kuluttua tietojen matkustajatietoyksikölle toimittamisesta tiedoista olisi erotettava häivyttämällä 1) nimi/nimet, mukaan lukien muiden matkustajarekisterin tiedoissa mainittujen yhdessä matkustavien matkustajien nimet ja lukumäärä, 2) osoite ja muut yhteystiedot, 3) kaikki maksutapaa koskevat tiedot, myös laskutusosoite, sikäli kuin ne sisältävät tietoja, joiden avulla voisi olla mahdollista tunnistaa välittömästi matkustaja, johon matkustajarekisterin tiedot liittyvät, tai muita henkilöitä, 4) kanta- asiakastiedot, 5) yleiset huomautukset, sekä 6) matkustajan ennakkotiedot, jos sellaisia on kerätty.

Matkustajarekisteridirektiivin 12 artiklan 1 kohdan mukaan jäsenvaltioiden on varmistettava, että lentoliikenteen harjoittajien matkustajatietoyksikölle toimittamia matkustajarekisteritietoja säilytetään matkustajatietoyksikön tietokannassa viiden vuoden ajan sen jälkeen, kun ne on toimitettu sen jäsenvaltion matkustajatietoyksikölle, jonka alueelle lento laskeutui tai jonka alueelta se lähti. Tämä velvoite ei koske tapauksia, joissa määrätyt matkustajarekisteritiedot on siirretty toimivaltaiselle viranomaiselle ja niitä käytetään määrätyssä tapauksessa terrorismirikosten tai vakavan rikollisuuden ennalta estämistä, paljastamista, tutkintaa tai syytetoimia varten, jolloin tällaisten tietojen säilyttämiseen toimivaltaisen viranomaisen toimesta sovelletaan kansallista lakia. 12 artiklan 2 kohdan mukaan kun kuuden kuukauden määräaika 1 kohdassa tarkoitetusta matkustajarekisteritietojen siirtämisestä matkustajatietoyksikölle on umpeutunut, kaikista tiedoista on erotettava häivyttämällä seuraavat tiedonosat [edellä kohdat 1)—6)], joiden avulla voisi olla mahdollista tunnistaa välittömästi matkustaja, johon matkustajarekisteritiedot liittyvät. 12 artiklan 4 kohdan mukaan jäsenvaltioiden on varmistettava, että matkustajarekisteritiedot pysyvästi poistetaan sen jälkeen kun 1 kohdassa tarkoitettu määräaika on umpeutunut. Ehdotettavalla 1 momentilla pantaisiin täytäntöön matkustajarekisteridirektiivin 12 artiklan 1 ja 2 kohta.

Pykälän 2 momentin mukaan matkustajatietoyksikön tulisi poistaa 7 §:n 1 momentin 1 kohdassa tarkoitetun käsittelyn (matkustajien arviointi lennon lähdön ja saapumisen yhteydessä) tulokset, kun osumasta on ilmoitettu toimivaltaisille viranomaisille tai toisen jäsenvaltion matkustajatietoyksikölle. Jos tulos osoittautuisi lisäselvitysten jälkeen virheelliseksi, virheelliseksi todettu tieto saataisiin myöhempien virheosumien välttämiseksi tallentaa siihen saakka, kun tiedot on 1 momentin nojalla poistettu. Virheellisestä tuloksesta olisi ilmoitettava sille toimivaltaiselle viranomaiselle tai toisen jäsenvaltion matkustajatietoyksikölle, jolle käsittelyn tulokset on luovutettu.

Matkustajarekisteridirektiivin 12 artiklan 5 kohdan matkustajatietoyksikön on säilytettävä 6 artiklan 2 kohdan a alakohdassa tarkoitetun käsittelyn tulokset vain niin kauan, että osumasta voidaan ilmoittaa toimivaltaisille viranomaisille ja 9 artiklan 1 kohdan mukaisesti muiden jäsenvaltioiden matkustajatietoyksiköille. Jos automaattisen käsittelyn tulos osoittautuu 6 artiklan 5 kohdassa tarkoitetuin ei-automaattisin keinoin tehdyn yksittäisen tarkistuksen jälkeen negatiiviseksi, se voidaan kuitenkin tallentaa myöhempien virheosumien välttämiseksi tämän artiklan 4 kohdan nojalla siihen asti, kun taustalla olevat tiedot on poistettu. Ehdotettavalla 2 momentilla pantaisiin täytäntöön matkustajarekisteridirektiivin 12 artiklan 5 kohta.

Pykälän 3 momentissa säädettäisiin velvollisuudesta poistaa tiedot välittömästi niiden vastaanottamisen jälkeen jos matkustajarekisteritietoihin sisältyy muita kuin 4 §:n 2 momentissa tarkoitettuja tietoja tai tietoja jotka paljastavat henkilön rodun tai etnisen alkuperän, poliittiset mielipiteet, uskonnollisen tai filosofisen vakaumuksen, ammattiliiton jäsenyyden, terveydentilan tai seksuaalielämän tai sukupuolisen suuntautumisen.

Matkustajarekisteridirektiivin 6 artiklan 1 kohdan toisen lauseen mukaan jos lentoliikenteen harjoittajien siirtämiin matkustajarekisteritietoihin sisältyy muita kuin liitteessä I mainittuja tietoja, matkustajatietoyksikön on poistettava tällaiset tiedot välittömästi ja pysyvästi niiden vastaanottamisen jälkeen, ja direktiivin13 artiklan 4 kohdan mukaan jäsenvaltioiden on kiellettävä sellaisten PNR- tietojen käsittely, jotka paljastavat henkilön rodun tai etnisen alkuperän, poliittiset mielipiteet, uskonnollisen tai filosofisen vakaumuksen, ammattiliiton jäsenyyden, terveydentilan tai seksuaalielämän tai sukupuolisen suuntautumisen. Jos matkustajatietoyksikkö vastaanottaa PNR -tietoja, joista käy ilmi jokin tällainen tieto, kyseiset tiedot on välittömästi poistettava.

Pykälän 4 momentin mukaan matkustajarekisteritiedot, joista on erotettu häivyttämällä 1 momentissa tarkoitetut tiedot, voitaisiin luovuttaa häivytetyt tiedot mukaan lukien vain matkustajatietoyksikön päällikön tai hänen määräämänsä matkustajatietoyksikön henkilöstöön kuuluvan päätöksellä. Jos kyseessä on toisen jäsenvaltion matkustajatietoyksikön pyyntö, edellytyksenä olisi lisäksi, että tietojen luovuttamisen voidaan kohtuudella olettaa olevan tarpeen terrorismirikosten tai vakavan rikollisuuden torjumiseksi.

Matkustajarekisteridirektiivin 12 artiklan 3 kohdan mukaan, kun kuuden kuukauden määräaika on umpeutunut (tietojen häivyttämisen määräaika), matkustajarekisteritiedot saa luovuttaa kokonaisuudessaan vain, kun voidaan a) kohtuudella olettaa, että se on tarpeen 6 artiklan 2 kohdan b alakohdan soveltamiseksi (toimivaltaisten viranomaisten pyyntö), ja b) luovuttamisen on hyväksynyt: i) oikeusviranomainen tai ii) muu kansallinen viranomainen, jolla on kansallisen oikeuden mukainen toimivalta arvioida tietojen luovuttamista koskevien edellytysten täyttymistä, edellyttäen, että matkustajatietoyksikön tietosuojavastaavaa on informoitu asiasta ja että tämä on toteuttanut jälkiarvioinnin. Henkilötietojen luovuttamista häivyttämisen jälkeen ei voitaisi pitää sellaisena tavanomaiseen poliisitoimintaan liittyvänä toimenpiteenä, jossa toimenpiteen tekijästä ei olisi tarpeen säätää erikseen. Poliisilla on oikeus saada ja luovuttaa henkilötietoja poliisilain mukaisten tehtäviensä suosittamiseksi eri laeissa määritellyin tavoin. Henkilötietojen luovuttaminen matkustajarekisteridirektiivin tarkoituksessa olisi sellainen yksilön oikeuksiin ja velvollisuuksiin vaikuttava asia, että myös siitä on perusteltua säätää erikseen. Poliisilain (872/2011) 4 luvun 3 §:n 1 momentin mukaan poliisilla on päällystöön kuuluvan poliisimiehen pyynnöstä oikeus saada rikoksen estämiseksi tai selvittämiseksi tarvittavia tietoja yhteisön jäsentä, tilintarkastajaa, toimitusjohtajaa, hallituksen jäsentä tai työntekijää velvoittavan yritys-, pankki- tai vakuutussalaisuuden estämättä. Huomioiden voimassa olevan lain mukainen päällystöön kuuluvalle poliisimiehelle kuuluva laaja oikeus luottamuksellisten tietojen saamiseen, olisi tarkoituksenmukaista asettaa sama kynnys myös matkustajatietojen luovutukseen.

Matkustajarekisteridirektiivin 9 artiklan 2 kohdan mukaan mikäli toisen jäsenvaltion matkustajatietoyksikön pyytämistä tiedoista on erotettu häivyttämällä tunnistamisen mahdollistavat tiedonosat, matkustajatietoyksikkö toimittaa matkustajarekisteritiedot kokonaisuudessaan vain, jos se voidaan kohtuudella olettaa olevan tarpeen terrorismirikosten ja vakavan rikollisuuden torjumiseksi. Ehdotettavalla 4 momentilla pantaisiin täytäntöön matkustajarekisteridirektiivin 9 artiklan 2 kohta osin ja 12 artiklan 3 kohta.

13 §. Rekisteröidyn tarkastusoikeuden rajoittaminen. Pykälän 1 momentin mukaan henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetun lain ( / ) 23 §:stä poiketen tarkastusoikeutta ei olisi matkustajarekisteritietojen käsittelyn tuloksia koskeviin tietoihin. Pykälän 2 momentin mukaan tietosuojavaltuutettu voisi rekisteröidyn pyynnöstä tarkastaa 1 momentissa tarkoitettujen tietojen lainmukaisuuden.

14 §. Lentoliikenteen harjoittajan seuraamusmaksu. Pykälässä säädettäisiin lentoliikenteen harjoittajan seuraamusmaksusta. Pykälän 1 momentin mukaan lentoliikenteen harjoittajalle joka rikkoo 4 §:ssä säädetyn matkustajarekisteritietojen toimittamisvelvollisuuden, määrättäisiin seuraamusmaksu. Maksun suuruus olisi 3 000 euroa kutakin sellaista lentoa kohden, jolta ei ole toimitettu matkustajarekisteritietoja tai ne olisi toimitettu ilmeisen puutteellisesti tai edellytettävästä poikkeavassa muodossa tai edellytettävistä ajankohdista poiketen. Matkustajarekisteridirektiivin 14 artiklan mukaan jäsenvaltioiden on erityisesti annettava säännöt lentoliikenteen harjoittajille määrättävistä seuraamuksista, myös taloudellisista seuraamuksista, jos ne eivät toimita tietoja direktiivin mukaisesti tai jos ne eivät toimita tietoja vaaditussa muodossa. Näiden seuraamusten on oltava tehokkaista, oikeasuhtaisia ja varoittavia. Säännös vastaisi periaatteeltaan ja seuraamusmäärältään henkilötietojen käsittelystä rajavartiolaitoksessa annetun lain (2005/579) 20 §:ssä tarkoitetun lentoliikenteen harjoittajien velvollisuutta toimittaa rajatarkastusviranomaisille ennalta määriteltyjä matkustajatietoja käsittelevän velvoitteen rikkomista. Kyseinen rikkomus määritellään ulkomaalaislain (2004/301) 179 §:n 1 momentissa. Kyseisellä säännöksellä on pantu täytäntöön liikenteenharjoittajien velvollisuudesta toimittaa ennalta annettavia matkustajatietoja käsittelevän neuvoston direktiivin (2004/82/EY) eli ns. API- direktiivin 4 artiklan velvoite tehokkaiden, oikeasuhtaisten ja varoittavien seuraamusten määräämisestä jätettäessä tiedot toimittamatta tai toimitettaessa puutteellisia tai vääriä tietoja. Koska matkustajarekisteridirektiivin tarkoittamat tiedot perustuisivat osin matkustajan omaan ilmoitukseen, jonka oikeellisuutta lentoliikenteen harjoittajalla ei olisi velvollisuutta eikä mahdollisuutta tarkistaa, ei tietojen oikeellisuudelle voida asettaa samoja edellytyksiä kuin API- direktiivin tietojen toimittamisessa, joten tietojen toimittamisessa puutteellisuuden olisi oltava ilmeistä, ennen kuin seuraamusmaksua voitaisiin harkita. Ehdotettavalla 1 momentilla pantaisiin täytäntöön matkustajarekisteridirektiivin 14 artikla.

Pykälän 2 momentin mukaan seuraamusmaksua ei määrättäisi, jos virhe matkustajarekisteritietojen toimittamisessa olisi tapahtunut olosuhteet huomioon ottaen anteeksiannettavasta huomaamattomuudesta tai maksun määrääminen olisi olosuhteet huomioon ottaen kohtuutonta.

Pykälän 3 momentin mukaan seuraamusmaksua ei voitaisi määrätä sille, jota epäillään samasta teosta esitutkinnassa, syyteharkinnassa tai tuomioistuimessa vireillä olevassa rikosasiassa. Seuraamusmaksua ei voitaisi määrätä myöskään sille, jolle olisi samasta teosta annettu lainvoimainen tuomio tai jolle olisi määrätty ulkomaalaislain (301/2004) 179 §:n mukainen liikenteenharjoittajan seuraamusmaksu henkilötietojen käsittelystä rajavartiolaitoksessa annetun lain 20 §:n rikkomisesta.

15 §. Lentoliikenteen harjoittajan kuuleminen. Pykälässä säädettäisiin lentoliikenteen harjoittajan oikeudesta tulla kuulluksi ennen seuraamusmaksun määräämistä. Tälle olisi varattava kirjallisesti tilaisuus antaa selityksensä määräajassa, joka ei saisi olla kahta viikkoa lyhyempi.

16 §. Seuraamusmaksun määrääminen. Ehdotetun pykälän mukaan seuraamusmaksun määräisi keskusrikospoliisin päällikkö tai hänen määräämänsä virkamies. Seuraamusmaksu määrättäisiin maksettavaksi valtiolle. Seuraamusmaksun määräämistä koskevaa päätöstä olisi muutoksenhausta huolimatta noudatettava, jollei muutoksenhakuviranomainen toisin määräisi. Koska Poliisihallitus olisi matkustajatietorekisterin rekisterinpitäjä, olisi poliisi tarkoituksenmukainen seuraamusmaksun määrääjä. Maksu olisi määrättävä viimeistään kahden vuoden kuluessa 14 §:n 1 momentissa tarkoitetusta lentoliikenteen harjoittajan rikkomuksesta.

17 § . Maksuaika. Ehdotetun pykälän mukaan seuraamusmaksu olisi maksettava kuukauden kuluessa päätöksen tiedoksi saamisesta. Maksettavaksi erääntyneelle seuraamusmaksulle, jota ei ole suoritettu viimeistään eräpäivänä, perittäisiin viivästyskorkoa korkolain (633/1982) 4 §:n 1 momentissa tarkoitetun korkokannan mukaan.

18 §. Täytäntöönpano ja muutoksenhaku. Pykälässä säädettäisiin seuraamusmaksun täytäntöönpanosta sekä muutoksenhausta. Ehdotetun 1 momentin mukaan seuraamusmaksun täytäntöönpanosta huolehtisi oikeusrekisterikeskus. Oikeusrekisterikeskukselle olisi ilmoitettava viranomaisen tai tuomioistuimen päätöksestä, jolla seuraamusmaksua on alennettu tai maksu on poistettu. Oikeusrekisterikeskuksen olisi hakemuksetta palautettava perusteettomasti maksettu seuraamusmaksu. Pykälän 2 momentin mukaan lakiehdotuksen nojalla maksettavaksi määrätty seuraamusmaksu pantaisiin täytäntöön siinä järjestyksessä kuin sakon täytäntöönpanosta annetussa laissa säädetään. Lentoliikenteen harjoittajan kuulemista ja seuraamusmaksun määräämispäätöstä sekä päätöksen täytäntöönpanoa koskevat tiedoksiannot voitaisiin tehdä kenelle tahansa kyseisen lentoliikenteen harjoittajan palveluksessa olevalle ilma-aluksen päällikölle, ellei liikenteen harjoittajalla olisi Suomessa nimettyä edustajaa. Pykälän 3 momentin mukaan seuraamusmaksua koskevaan päätökseen haettaisiin muutosta valittamalla hallinto-oikeuteen siten kuin hallintolainkäyttölaissa (586/1996) säädetään. Hallinto-oikeuden päätökseen saisi hakea muutosta valittamalla vain, jos korkein hallinto-oikeus myöntää valitusluvan. Seuraamusmaksu vanhenisi viiden vuoden kuluttua lainvoiman saaneen päätöksen tekemisestä.

19 §. Voimaantulo. Laki ehdotetaan tulemaan voimaan päivänä kuuta 2018. Ennen lain voimaantuloa voitaisiin ryhtyä sen täytäntöönpanon edellyttämiin toimenpiteisiin.

5 §. PTR-rikostiedusteluyksiköt. Valtakunnallinen rikostiedusteluyksikkö, joka 1. lakiehdotuksen 5 §:ssä ehdotetaan vahvistettavaksi kansalliseksi matkustajatietoyksiköksi, vahvistettaisiin pykälän 1 momentissa pysyväksi. Valtakunnallisen yksikön lisäksi voitaisiin edelleen perustaa alueellisia ja paikallisia PTR-rikostiedusteluyksiköitä. Samalla poistettaisiin 1 momentin viimeisen virkkeen viittaus kumotun poliisilain (493/1995) 8 §:ssä tarkoitettuihin erityisiin poliisivaltuuksiin, joista ei säädetä voimassa olevassa poliisilaissa.

1 §. Lain soveltamisala. Pykälän 1 momenttiin lisättäisiin uusi 12 kohta, jossa todettaisiin, että sakon täytäntöönpanolaissa säädetyssä järjestyksessä pannaan täytäntöön myös 1. lakiehdotuksen 14 §:ssä tarkoitettu lentoliikenteen harjoittajan seuraamusmaksu.

Lait ehdotetaan tulemaan voimaan päivänä kuuta 2018 tai mahdollisimman pian.

Ehdotettu sääntely liittyy perustuslain 10 §:ssä turvattuun henkilötietojen ja yksityisyydensuojaan. Perustuslain 10 §:n 1 momentin mukaan henkilötietojen suojasta on säädettävä tarkemmin lailla. Perustuslakivaliokunta on pitänyt henkilötietojen suojan kannalta tärkeinä sääntelykohteina ainakin rekisteröinnin tavoitetta, rekisteröitävien henkilötietojen sisältöä, niiden sallittuja käyttötarkoituksia mukaan luettuna tietojen luovutettavuus sekä tietojen säilytysaikaa henkilörekisterissä ja rekisteröidyn oikeusturvaa (PeVL 25/1998 vp). Näiden seikkojen sääntely lain tasolla tulee lisäksi olla kattavaa ja yksityiskohtaista. Lailla säätämisen vaikutus ulottuu valiokunnan mukaan myös mahdollisuuteen luovuttaa henkilötietoja teknisen käyttöyhteyden avulla (esimerkiksi PeVL 12/2002 ja PeVL 14/2008 vp).

Perustuslain 10 §:n mukaista suojaa täydentävät ihmisoikeuksien ja perusvapauksien suojaamiseksi tehdyn yleissopimuksen (Euroopan ihmisoikeussopimus) 8 artiklan mukainen yksityiselämän suoja sekä Euroopan unionin perusoikeuskirjan 7 artiklassa turvattu yksityiselämän suoja ja 8 artiklassa turvattu henkilötietojen suoja. Perusoikeuskirjan 52 artiklan 1 kohdan mukaan perusoikeuskirjassa tunnustettujen oikeuksien ja vapauksien käyttämistä voidaan rajoittaa ainoastaan lailla sekä kyseisten oikeuksien ja vapauksien keskeistä sisältöä kunnioittaen. Suhteellisuusperiaatteen mukaisesti rajoituksia voidaan säätää ainoastaan, jos ne ovat välttämättömiä ja vastaavat tosiasiallisesti unionin tunnustamia yleisen edun mukaisia tavoitteita tai tarvetta suojella muiden henkilöiden oikeuksia ja vapauksia. Perusoikeuskirjan 52 artiklan 3 kohdan mukaan, siltä osin kuin perusoikeuskirjan oikeudet vastaavat Euroopan ihmisoikeussopimuksessa taattuja oikeuksia, niiden merkitys ja ulottuvuus ovat samat. EU:n tuomioistuimen antamat tuomiot määrittävät näiltä osin yksityiselämän ja henkilötietojen suojan keskeistä sisältöä. Samoin Euroopan ihmisoikeussopimuksen 8 artiklan on Euroopan ihmisoikeustuomioistuimen oikeuskäytännössä katsottu kattavan myös henkilötietojen suojan. 

Euroopan ihmisoikeustuomioistuin on useaan otteeseen todennut, että pelkästään se, että henkilötiedot talletetaan viranomaisen rekisteriin, merkitsee yksityisyyden suojan rajoittamista (ks. esim. S. ja Marper v. Yhdistynyt Kuningaskunta, 4.12.2008, tuomion kohta 67, Leander v. Ruotsi, 26.3.1987, tuomion kohta 48). Sillä, mihin henkilötietoja myöhemmin käytetään, ei ole merkitystä tältä osin. (Amann v. Sveitsi, 16.2.2000, tuomion kohta 69) Sen arvioimiseksi, liittyvätkö viranomaisten keräämät tiedot yksityiselämän osa-alueisiin, tuomioistuin on kiinnittänyt huomiota erityisesti kontekstiin, jossa henkilötietoja on kerätty ja käsitelty sekä seurauksiin, joita siitä voi aiheutua (S. ja Marper v. Yhdistynyt Kuningaskunta, 4.12.2008, tuomion kohta 67, ja Peck v. Yhdistynyt Kuningaskunta, 28.1.2003, tuomion kohta 59). Jotta yksityisyyden suojan rajoittaminen olisi sallittua, sen tulee perustua lakiin, olla välttämätöntä demokraattisessa yhteiskunnassa ja olla oikeassa suhteessa tavoiteltuun päämäärään. Esimerkiksi järjestyshäiriöiden ja rikollisuuden torjuntaa sekä kansallisen turvallisuuden ylläpitoa on oikeuskäytännössä yleisesti pidetty hyväksyttävänä perusteena yksityisyyden suojan pitkällekin meneville rajoituksille. Valtiolla on myös eräissä tilanteissa laaja harkintamarginaali sen osalta, mikä on välttämätöntä, esimerkiksi henkilötietojen tallentamisessa henkilöistä, joita epäillään terrorismirikoksista (Segerstedt-Wiberg ja muut v. Ruotsi, 6.6.2006, tuomion kohdat 87 ja 88). Tuomioistuin on kiinnittänyt huomiota myös lainsäädännön sisältöön ja ennakoitavuuteen. Jotta rajoitustoimenpide olisi lain mukainen, edellytyksenä ei ole pelkästään se, että toimenpide perustuu lakiin, vaan sen on oltava rekisteröityjen henkilöiden saatavilla ja ennakoitavissa vaikutusten osalta. (Segerstedt-Wiberg ja muut v. Ruotsi, 6.6.2006, tuomion kohta 76) Tuomioistuin on todennut 8 artiklan tulleen loukatuksi muun muassa sen vuoksi, että kansallinen lainsäädäntö ei ollut sisältänyt säännöksiä tietosisällöistä, tietojen säilytysajoista ja niistä henkilöryhmistä, joista tietoja saatiin kerätä (ks. esim. Euroopan ihmisoikeustuomioistuimen tuomio asiassa Rotaru v. Romania 4.5.2000, tuomion kohdat 45—63).

Lakiehdotuksessa 1. tarkoitettu matkustajatietorekisteritietojen käsittely merkitsisi yksityiselämän ja henkilötietojen suojan rajoittamista. Lakiehdotuksella pantaisiin täytäntöön EU:n matkustajarekisteridirektiivi. Perustuslakivaliokunta on todennut, että sen valtiosääntöisiin tehtäviin ei kuulu kansallisen täytäntöönpanosääntelyn arviointi EU:n aineellisen lainsäädännön kannalta (PeVL 51/2014 vp). Perustuslakivaliokunta on kuitenkin pitänyt tärkeänä, että siltä osin kuin Euroopan unionin lainsäädäntö edellyttää kansallista sääntelyä tai mahdollistaa sen, tätä kansallista liikkumavaraa käytettäessä otetaan huomioon perus- ja ihmisoikeuksista seuraavat vaatimukset (ks. myös PeVL 44/2016 vp, s. 4, PeVL 51/2014 vp, s. 2/II ja niissä viitatut lausunnot). Valiokunnan mielestä tämä edellyttää, että hallituksen esityksessä selostetaan asianmukaisesti valtioneuvoston käsitys kansallisen liikkumavaran alasta (ks. myös PeVL 44/2016 vp, s. 4).

Matkustajarekisteridirektiivin 1 artiklan 1 kohdan a alakohta asettaa jäsenvaltioille velvollisuuden soveltaa direktiiviä EU:n ulkopuolisten lentojen matkustajarekisteritietojen toimittamiseen. Artiklan 2 kohta rajoittaa direktiivin mukaisesti kerättyjen käytön koskemaan vain terrorismirikosten ja muiden vakavien rikosten ennalta estämistä, paljastamista ja selvittämistä sekä niitä koskevia syytetoimia. Direktiivin 2 artiklasta ilmenee että jäsenvaltio voi soveltaa matkustajarekisteridirektiiviä myös EU:n sisäisiin lentoihin, joko kaikkiin tai vain valikoituihin sisäisiin lentoihin, ja jättää siten soveltamisen EU:n sisäisten lentojen osalta kansalliseen harkintaan. Direktiivin soveltamisala on rajoitettu koskemaan pelkästään lentoliikenteen harjoittajia. Edellä jaksossa 2.1 kuvailtujen PTR- viranomaisen henkilötietojen käsittelystä annettujen lainsäännösten mukaan PTR- viranomaisilla on jo oikeus saada rikostorjuntansa tueksi yhteisöiltä ja yhtymiltä tietoja matkustajaa ja kulkuneuvon henkilökuntaa koskevista rekistereistä. Direktiivistä poiketen voimassa oleva lainsäädäntö koskee kaikkia liikenteenharjoittajia ja mahdollistaa jo nykyisellään tietojen luovuttamisen teknisen käyttöyhteyden välityksellä tai tietojoukkona.

Esityksen 1. lakiehdotuksen mukaan lentoliikenteen harjoittajan olisi toimitettava ehdotetun pykälän 1 momentissa tarkoitetut tiedot kaikista Euroopan unionin ulkopuolisista ja Euroopan unionin sisäisistä saapuvista ja lähtevistä lennoista. Ehdotettu uusi matkustajatietoyksikkö voisi käsitellä matkustajarekisteritietoja sellaisten henkilöiden tunnistamiseksi, joilla voi olla osallisuutta terrorismirikoksiin tai vakavaan rikollisuuteen. Käytännössä direktiivin täytäntöönpano tarkoittaisi kuitenkin laajamittaista matkustajien tietojen käsittelyä, joka ei henkilötietoja yksikölle luovutettaessa rajoittuisi pelkästään rikolliseen toimintaan osallisuudesta epäiltyihin henkilöihin, vaan koskisi kaikkien matkustajien henkilötietoja, jotka matkustajat ovat antaneet lentoyhtiölle lippuvarauksen tekemisen yhteydessä. Lakiehdotuksessa täsmennettäisiin henkilötiedot, jotka lentoliikenteen harjoittajien olisi luovutettava matkustajatietoyksikölle Euroopan unionin ulkopuolisista ja Euroopan unionin sisäisistä saapuvista ja lähtevistä lennoista. Matkustajarekisteritietoja saisi säilyttää poliisin ylläpitämässä henkilörekisterissä viiden vuoden ajan, mutta tiedot olisi peitettävä kuuden kuukauden kuluttua niiden vastaanottamisesta. Yksityisyyden suojaa korottavina näkökohtina lakiehdotuksessa olisivat direktiivin mukaisesti lisäksi se, että henkilötietojen vertailu muihin rekistereihin ja tietokantoihin rajoitettaisiin koskemaan terrorismirikosten ja muun vakavan rikollisuuden ennalta estämistä, paljastamista ja selvittämistä. Lakiehdotus sisältäisi myös arkaluonteisten henkilötietojen käsittelyä koskevan rajoituksen sekä velvollisuuden poistaa kyseiset tiedot mikäli niitä havaittaisiin matkustajatietoyksikölle toimitetun.

PTR- viranomaisen henkilötietojen käsittelystä annettujen säännösten soveltamisala on laajempi kuin matkustajarekisteridirektiivin soveltamisala. Matkustajarekisteridirektiivi ei vaikuta jäsenvaltioiden mahdollisuuteen säätää kansallisessa laissaan sellaisten PNR-tietojen keräämistä ja käsittelyä koskevasta järjestelmästä, jotka ovat peräisin muilta kuin lentoliikennettä harjoittavilta talouden toimijoilta, kuten matkatoimistoilta ja matkanjärjestäjiltä, jotka suorittavat matkoihin liittyviä palveluja, mukaan lukien lentojen varaaminen, joita varten ne keräävät ja käsittelevät PNR-tietoja, taikka muilta kuin direktiivissä tarkoitetuilta liikenteenharjoittajilta, kunhan kyseinen kansallinen laki on unionin oikeuden mukainen. Voimassa olevan lain säännöstöä, joka on hyväksytty perustuslakivaliokunnan myötävaikutuksella, ei ehdoteta muutettavaksi. Toisaalta erityisesti lentoliikenteen harjoittajien toimittamien tietojen osalta sääntely tarkentuisi direktiivin täytäntöönpanon myötä 1. lakiehdotuksen mukaisesti. Perustuslakivaliokunta on voimassa olevan henkilötietojen käsittelystä poliisitoimessa annetun lain 13 §:n 16 kohdan käsittelyn yhteydessä kiinnittänyt huomiota siihen, että jo tuolloin ehdotettu säännös on pykälän johdantolauseesta johtuen väljä, ja katsonut, että ehdotetun 16 kohdan alkua olisi perusteltua täsmentää koskemaan tarpeellisia tietoja "terrorismirikosten tai vakavan rajat ylittävän rikollisuuden estämiseksi, paljastamiseksi, selvittämiseksi ja syyteharkintaan saattamiseksi". Säännös on kuitenkin soveltamisalaltaan jossain määrin laajempi, ja poliisilla on oikeus vastaanottaa tietoja matkustajaa ja henkilökuntaa koskevista rekistereistä rikosten estämiseksi, paljastamiseksi, selvittämiseksi ja syyteharkintaan saattamiseksi sekä etsintäkuulutettujen tavoittamiseksi. Toisaalta perustuslakivaliokunta on kiinnittänyt huomiota siihen, että voimassa olevaan lakiin lisätty oikeus on sinänsä varsin suppea, ja se koskee vain poliisin oikeutta saada esitettyjä tietoja teknisen käyttöyhteyden avulla. Tietojen käsittely määräytyisi muiden henkilötietojen käsittelyä poliisitoimessa koskevien lain säännösten mukaan. Perustuslain 10 §:n 1 momentin henkilötietojen suojan kannalta perustuslakivaliokunta piti merkityksellisenä myös sitä, ettei tiedoista muodostettaisi omaa henkilörekisteriä ja pääsyoikeus saatuihin tietoihin tultaisiin rajoittamaan erillisen matkustajatietoyksikön käyttöön. (PeVL 42/2014 vp)

Toiseksi 1. lakiehdotus merkitsisi yksityiselämän suojan kavennusta suhteessa lainsäädännön nykytilaan. Voimassa olevasta sääntelystä poiketen direktiivin täytäntöönpano tarkoittaisi uuden henkilörekisterin perustamista. Direktiivi kuitenkin edellyttää rekisterin perustamista matkustajarekisteritietojen säilyttämiseksi, eikä jäsenvaltioille jätetä direktiivissä tältä osin liikkumavaraa. Lakiehdotus sisältää yksityiskohtaiset säännökset matkustajarekisteritietojen käsittelystä ja luovuttamisesta edelleen rikoksen ennalta estämiseksi, paljastamiseksi ja selvittämiseksi toimivaltaisille viranomaisille, toisten EU- maiden matkustajatietoyksiköille, Europolille ja kolmansiin maihin. Direktiivi ei toisaalta vaikuttaisi antavan lainsäätäjälle liikkumavaraa myöskään siltä osin, minkä rikosten torjuntaa lainsäädännön olisi koskettava, mistä syystä lakiehdotus rajattaisiin koskemaan terrorismirikoksia ja muita vakavia rikoksia. Direktiivi kuitenkin jättää kansalliselle lainsäätäjälle liikkumavaraa siltä osin, mitkä kansalliset rekisterit katsottaisiin direktiiveissä tarkoitetuiksi terrorismirikosten tai vakavan rikollisuuden ennalta estämisen, paljastamisen, tutkinnan sekä tällaisiin rikoksiin liittyvien syytetoimien kannalta olennaisiksi tietokannoiksi, joihin matkustajarekisteritietoja olisi vertailtava. Matkustajatietoyksikölle ehdotetaan laajaa oikeutta vertailla vastaanottamiaan matkustajarekisteritietoja automatisoidusti terrorismirikosten tai vakavan rikollisuuden ennalta estämisen, paljastamisen, tutkinnan sekä tällaisiin rikoksiin liittyvien syytetoimien kannalta olennaisiin tietokantoihin Yksityiselämän suojaan kohdistuvan rajoituksen kannalta olisi siten merkitystä myös sillä, mitä tietosisältöjä nämä tietokannat sisältäisivät. Laaja tiedonsaantioikeus merkitsisi pitkälle menevää yksityisyyden suojan rajoitusta, jonka olisi oltava oikeassa suhteessa sillä tavoiteltuun päämäärään, eli erityisiin turvallisuustavoitteisiin nähden. Euroopan ihmisoikeustuomioistuimen oikeuskäytännössä (Segerstedt-Wiberg ja muut v. Ruotsi, 6.6.2006, tuomion kohdat 87 ja 88) on hyväksytty, että terrorismin ja muun vakavan rikollisuuden torjunta voivat edellyttää aktiivisia pitkällekin meneviä valtion toimenpiteitä, jotka ovat välttämättömiä ja vastaavat tosiasiallisesti unionin tunnustamia yleisen edun mukaisia tavoitteita tai tarvetta suojella muiden henkilöiden oikeuksia ja vapauksia. Rajat ylittävä rikollisuus, kuten ihmiskauppa ja huumausainerikollisuus, on lisääntynyt Euroopan unionin alueella. Rajat ylittävän rikollisuuden eri muodot ovat vakava uhka yhteiskunnalle ja talouden rakenteille ja niistä aiheutuu kustannuksia valtiolle, huomioiden myös rikoksentorjunnan vaatimat toimenpiteet. Lisäksi rikoksista aiheutuu vahinkoa ja kärsimystä uhreille.

Direktiivin sisältämät rajaukset ehdotetaan pantavaksi kaikilta osin täytäntöön, mukaan lukien henkilötietojen säilyttäminen ja peittäminen sekä niiden käytön rajoitukset, ottaen myös huomioon EU:n tuomioistuimen lausunnossa esiin nostetut näkökohdat asiassa C- 1/15 (Unionin tuomioistuimen lausunto (suuri jaosto) 26.7.2017 – Euroopan parlamentti). Ehdotuksen mukaan matkustajatietoyksikkö saisi käsitellä matkustajarekisteritietoja ennen matkustajien aikataulun mukaista saapumista tai lähtemistä ennalta määritettyjen arviointi- ja analyysikriteerien mukaisesti tai kyseisten kriteerien päivittämiseksi tai uusien kriteerien määrittämiseksi. Tietojen käsittelyn oikeasuhtaisuutta ja yksityisyyden suojaa lisäisi rajoitus siitä että yksikön tulisi vahvistaa arviointi- ja analyysikriteerit ja tarkistaa ne säännöllisesti yhdessä toimivaltaisten viranomaisten kanssa. Lisäksi arviointikriteerien olisi oltava kohdennettuja, oikeasuhtaisia ja selkeitä. Ne eivät saa perustua henkilön rotuun tai etniseen alkuperään, poliittisiin mielipiteisiin, uskonnolliseen tai filosofiseen vakaumukseen, ammattiliiton jäsenyyteen eivätkä terveydentilaa, sukupuolielämää tai sukupuolista suuntautuneisuutta koskeviin tietoihin. Yksityisyyden suojaa lisää myös direktiivin järjestelmä jossa matkustajatietoyksikön tehtävänä on vain tietojen analysointi eikä yksikkö tee henkilön oikeuksiin vaikuttavia päätöksiä. Tällaisia päätöksiä voivat tehdä vain toimivaltaiset viranomaiset saatuaan tietoja yksittäistapauksissa yksikön toimitettua näille tunnistamiensa henkilöiden tietoja tai toimivaltaisten viranomaisten perutellusta pyynnöstä. Näiden direktiivissä säädettyjen suojatoimien täytäntöönpanolla on tarkoitus varmistaa, että yksityisyyden suojan rajoitukset kohdistuvat voimakkaimmin ainoastaan niihin henkilöihin, joiden osalta tietojen vertaaminen johtaa tarkempaan selvittelyyn.

Toisaalta 1. lakiehdotuksessa ehdotetaan käytettäväksi direktiivin sallimaa mahdollisuutta laajentaa lainsäädäntö koskemaan myös EU:n sisäisiä lentoja. Ottaen huomioon vakavan rikollisuuden monimuotoisuuden ja vaikutukset sekä tarpeet torjua rajat ylittävää terrorismi- ja muuta vakavaa rikollisuutta tehokkaasti, laajennuksia pidetään välttämättöminä ja oikeasuhtaisina rikoksentorjunnan tavoitteiden saavuttamiseksi. Suomessa PTR- viranomaisista Tulli on jo 1970 luvulta saakka hyödyntänyt eri liikennemuotojen matkustajarekisteritietoja rikostorjunnassaan sekä Suomen että Euroopan unionin nykyisten jäsenmaiden että Suomen ja kolmansien valtioiden välisen liikenteen osalta, jaksosta 2.1 lainsäädäntö ilmenevän säädöspohjan perusteella. Esimerkiksi Ruotsin ja Baltian maiden liittyminen Euroopan unioniin ei ole vähentänyt Suomen ja näiden maiden välisen liikenteen matkustajatietojen hyödyllisyyttä rikostorjunnassa. Niin kutsuttu liikkuva rikollisuus on rikollisuuden muoto jossa tekijät siirtyvät toiseen maahan, suorittavat siellä rikollista toimintaa ja jälkensä peittääkseen palaavat lähtömaahan käyttäen toista liikennemuotoa. Toiminnalle on ominaista se että osa tekijöistä suorittaa rikoksen kohteiden, esimerkiksi asuntojen tarkkailua kohdemaassa. Toinen ryhmä tekijöistä tulee maahan tehdäkseen varsinaisen rikoksen ja kolmas ryhmä kuljettaa rikoksella saadun omaisuuden lähtömaahan. Toiminnalle on lisäksi ominaista kiire vaihtaa sijaintia maasta toiseen kiinnijäämisen välttämiseksi. Kiiretilanteissa lentäminen on tunnetusti nopein keino joten tällaisen rikoskokonaisuuden tunnistamisessa myös lentomatkustamisen tietojen hyödyntämismahdollisuus on olennaista muiden liikennemuotojen jo hyödynnettävissä olevien matkustajatietojen ohella. Liikkuva rikollisuus tulee Suomeen useimmiten jostain toisesta Euroopan unionin jäsenmaasta, ei kolmansista valtioista. Näin ollen EU:n sisäisten lentojen sisällyttämistä direktiivin soveltamisalaan on pidettävä välttämättömänä rikoksentorjunnan tavoitteiden saavuttamiseksi.

Komissio on vaikutustenarvioinnissaan perustellut direktiiviehdotusta myös sillä, että rajat ylittävä rikollisuus on lisääntynyt Euroopan unionin alueella ja muualla maailmassa. Näistä komissio nostaa esiin erityisesti ihmiskaupan ja huumausainerikollisuuden, jotka ovat mukana myös Europolin rajat ylittävää rikollisuutta koskevassa uhka-arviossa (2007). Vuoden 2015 aikana lisääntynyt turvapaikanhakijoiden määrä Euroopan unionin eri jäsenvaltiossa toi myös riskin näiden rikollisuuden muotojen kasvamisesta Euroopan unionin sisällä. Näin ollen myös ihmiskaupan ja huumausainerikollisuuden torjumiseksi EU:n sisäisten lentojen sisällyttäminen on olennaista rikostorjunnan tavoitteiden saavuttamiseksi.

Esityksen 1. lakiehdotuksen osalta henkilötietojen luovuttamista koskevat säännökset olisivat yksityiskohtaisia. Erityisesti henkilötietojen luovuttaminen lentoliikenteen harjoittajilta matkustajatietoyksikölle merkitsisi laajamittaista henkilötietojen käsittelyä, ja henkilötietojen luovuttaminen tapahtuisi teknisen käyttöyhteyden välityksellä. Lisäksi matkustajatietoyksikkö saisi luovuttaa henkilötietoja toimivaltaisille viranomaisille, EU:n jäsenvaltioiden matkustajatietoyksiköille, Europolille ja kolmansiin maihin. Henkilötietojen luovuttamista koskevan sääntelyn osalta ei ehdoteta direktiivin edellyttämää tasoa pidemmälle menevää sääntelyä. Henkilötietojen luovuttamisen katsotaan siten täyttävän direktiivissä edellyttämän oikeasuhtaisuuden vaatimuksen.

Esityksen 1. lakiehdotuksessa rekisteröidyn tarkastusoikeutta ehdotetaan rajoitettavaksi siltä osin kuin olisi kyse matkustajarekisteritietojen käsittelyn tuloksia koskevista tiedoista (vertailutiedot). Sen sijaan rekisteröidyllä olisi tarkastusoikeus niihin henkilötietoihin, jotka lentoliikenteen harjoittajat ovat luovuttaneet matkustajatietoyksikölle. Ottaen huomioon, että kyse olisi samoista henkilötiedoista, jotka on talletettu lentoliikenteen harjoittajan matkustajarekisteriin, tarkastusoikeuden rajoittamiselle ei olisi perusteita. Siltä osin kuin kyse olisi esimerkiksi rikostiedustelua varten luovutetuista henkilötiedoista, tarkastusoikeuden rajoittaminen määräytyisi PTR- viranomaisten henkilötietolakien säännösten mukaisesti. Tietosuojavaltuutettu voisi tarkastaa henkilötietojen käsittelyn lainmukaisuuden vertailutietojen osalta. Rekisteröidyn tarkastusoikeuden rajoittaminen ei siten menisi pidemmälle kuin on välttämätöntä rikoksen ennalta estämiseksi, paljastamiseksi tai selvittämiseksi.

Perustuslain 6 §:ssä ilmaistaan yleinen yhdenvertaisuuslauseke, jonka mukaan ihmiset ovat yhdenvertaisia lain edessä. Ketään ei saa ilman hyväksyttävää perustetta asettaa eri asemaan sukupuolen, iän, alkuperän, kielen, uskonnon, vakaumuksen, mielipiteen, terveydentilan, vammaisuuden tai muun henkilöön liittyvän syyn perusteella. Yleistä yhdenvertaisuuslauseketta täydentää syrjinnän kielto.

Esityksen 1. lakiehdotuksen 7 §:n 2 momentti sisältäisi nimenomaisen kiellon, jonka mukaan matkustajarekisteritietojen vertailuun sovellettavat arviointikriteerit eivät saisi perustua henkilön rotuun tai etniseen alkuperään, poliittisiin mielipiteisiin, uskonnolliseen tai filosofiseen vakaumukseen, ammattiliiton jäsenyyteen eivätkä terveydentilaa, sukupuolielämää tai sukupuolista suuntautuneisuutta koskeviin tietoihin. Lisäksi tietojen poistamista koskevassa 12 §:n 3 momentissa todettaisiin että mikäli lentoliikenteen harjoittajan matkustajatietoyksikölle toimittamiin matkustajarekisteritietoihin sisältyisi muita kuin 4 §:n 2 momentissa mainittuja matkustajarekisteritietoja tai tietoja jotka paljastavat henkilön rodun tai etnisen alkuperän, poliittiset mielipiteet, uskonnollisen tai filosofisen vakaumuksen, ammattiliiton jäsenyyden, terveydentilan tai seksuaalielämän tai sukupuolisen suuntautumisen, tiedot olisi poistettava välittömästi niiden vastaanottamisen jälkeen.

Esityksen 1. lakiehdotuksessa on siten huomioitu perustuslain 6 §:n mukainen syrjinnän kielto. Säännöksellä pantaisiin samalla täytäntöön tietosuojadirektiivin vastaava kielto sellaisesta etnisestä profiloinnista, joka voisi johtaa syrjintään.

Perusoikeuksien suoja koskee lähtökohtaisesti luonnollisia henkilöitä. Perusoikeudet voivat kuitenkin suojata oikeushenkilöä välillisesti silloin, kun oikeushenkilön asemaan puuttuminen saattaa merkitä kajoamista oikeushenkilön taustalla olevan yksilön oikeuksiin (HE 309/1993 vp, s. 21—25). Oikeushenkilön aseman kannalta merkityksellinen on esityksen 1. lakiehdotus, erityisesti siltä osin kuin on kyse lentoliikenteen harjoittajien toiminnan yhteydessä tapahtuvaan laissa säädetyn velvollisuuden laiminlyöntiin liittyvistä seuraamuksista ja mahdollisuudesta hakea muutosta viranomaisen hallintopäätökseen. Laiminlyönnin taustalla voisi myös olla yksittäinen henkilö, vaikka seuraamus määrättäisiin oikeushenkilölle. Esityksen 1. lakiehdotukseen sisältyisi lentoliikenteen harjoittajille asetettava velvollisuus toimittaa matkustajatietoyksikölle maksutta matkustajarekisteritiedot sekä Euroopan unionin ulkopuolisista että Euroopan unionin sisäisistä saapuvista ja lähtevistä operoimistaan lennoista siltä osin kuin niitä on kerätty tavanomaisen liiketoiminnan yhteydessä sekä mahdolliset matkustajia koskevat ennakkotiedot, mikäli niitä on kerätty. Laissa säädettäisiin myös siitä, millä tavalla tiedot olisi pääsääntöisesti toimitettava. Sen lisäksi, että tiedot olisi toimitettava sähköisesti, lentoliikenteen harjoittajilta edellytettäisiin erityisen teknisen yhteyden käyttämistä ja systemaattista tietojen toimittamista kunkin EU:n ulkorajat ylittävän lennon osalta. Lentoliikenteen harjoittajat ovat tähän saakka toimittaneet matkustajarekisteritietoja poliisille ainoastaan yksittäisen pyynnön perusteella. Lentoliikenteen harjoittajalle, joka rikkoo säädetyn matkustajarekisteritietojen toimittamisvelvollisuuden, voitaisiin määrätä seuraamusmaksu (lentoliikenteen harjoittajan seuraamusmaksu). Seuraamusmaksu voitaisiin määrätä kutakin sellaista lentoa kohden, jolta ei ole toimitettu matkustajarekisteritietoja tai ne olisi toimitettu ilmeisen puutteellisesti.

Perustuslakivaliokunnan vakiintuneen tulkintakäytännön mukaan lainvastaisesta teosta määrättävä seuraamusmaksu ei ole perustuslain 81 §:n mukainen vero tai maksu vaan rangaistusluonteinen taloudellinen seuraamus. Valiokunta on asiallisesti rinnastanut rangaistusluonteisen rahamääräisen seuraamuksen rikosoikeudelliseen seuraamukseen (PeVL 4/2001 vp, s. 7, PeVL 32/2005 vp, s. 2, PeVL 55/2005 vp, s. 2, PeVL 17/2012 vp s. 6). Hallinnollisen seuraamuksen yleisistä perusteista on säädettävä perustuslain 2 §:n 3 momentin edellyttämällä tavalla lailla, koska sen määräämiseen sisältyy julkisen vallan käyttöä. Laissa on perustuslakivaliokunnan mukaan täsmällisesti ja selkeästi määriteltävä seuraamuksen ja sen suuruuden perusteista ja oikeusturvasta samoin kuin lain täytäntöönpanon perusteista (PeVL 32/2005 vp, s. 2—3, PeVL 55/2005 vp, s. 2, PeVL 57/2010 vp, s. 2, PeVL 17/2012 vp s. 6). Perustuslakivaliokunta on todennut, että vaikka perustuslain 8 §:n rikosoikeudellisen laillisuusperiaatteen täsmällisyysvaatimus ei sellaisenaan kohdistu hallinnollisten seuraamusten sääntelyyn, tarkkuuden yleistä vaatimusta ei kuitenkaan voida tällaisen sääntelyn yhteydessä sivuuttaa (PeVL 9/2012 vp, s. 2, PeVL 57/2010 vp, s. 2 ja PeVL 74/2002 vp, s. 5). Esityksen 1. lakiehdotuksessa säädettäisiin yksityiskohtaisesti perusteista, joilla seuraamusmaksu voitaisiin määrätä, sen suuruudesta sekä maksun täytäntöönpanosta ja muutoksenhausta.

Sanktioita koskevan sääntelyn tulee perustuslakivaliokunnan tulkintakäytännön mukaan olla myös oikeasuhtaista (PeVL 58/2010 vp, s. 6/I, PeVL 11/2009 vp, s. 7—8, PeVL 12/2006 vp, s. 2—3, PeVL 74/2002 vp, s. 5). Oikeasuhtaisuuteen liittyy muun muassa kysymys lievien laiminlyöntien sanktioinnista (PeVL 58/2010 vp, s. 6, PeVL 12/2006 vp, s. 2-37). Matkustajarekisteridirektiivi edellyttää, että seuraamukset ovat tehokkaita, oikeasuhtaisia ja varoittavia. Esityksen 1. lakiehdotuksessa esitetään säädettävän poliisille oikeus määrätä seuraamusmaksu, jonka enimmäismäärä olisi 3 000 euroa lentoa kohden. Ehdotetussa säännöksessä kyse ei olisi suuruudeltaan huomattavasta sanktiosta, vaikka se määräytyisikin kunkin yksittäisen toimittamatta jätetyn matkustajaluettelon perusteella. Lentoliikenteen harjoittajan seuraamusmaksua ei määrättäisi, jos virhe matkustajarekisteritietojen toimittamisessa olisi tapahtunut olosuhteet huomioon ottaen anteeksiannettavasta huomaamattomuudesta tai maksun määrääminen olisi olosuhteet huomioon ottaen kohtuutonta. Seuraamusmaksua ei myöskään voitaisi määrätä sille, jota epäillään samasta teosta esitutkinnassa, syyteharkinnassa tai tuomioistuimessa vireillä olevassa rikosasiassa, tai jolle olisi samasta teosta annettu lainvoimainen tuomio tai jolle olisi määrätty ulkomaalaislain (301/2004) 179 §:n mukainen liikenteenharjoittajan seuraamusmaksu henkilötietojen käsittelystä rajavartiolaitoksessa annetun lain (579/2005) 20 §:n rikkomisesta. Maksu olisi määrättävä viimeistään kahden vuoden kuluessa lentoliikenteen harjoittajan rikkomuksesta ja se vanhenisi viiden vuoden kuluttua lainvoiman saaneen ratkaisun antamisesta. Ehdotettua seuraamusmaksua voidaan siten pitää oikeasuhtaisena perustuslakivaliokunnan edellyttämällä tavalla.

Hallinnollisen sanktion määräämistä koskevaan päätökseen on voitava hakea muutosta. Mahdollisuus hakea muutosta viranomaisen päätökseen voi olla tarpeen viranomaisen toiminnan asianmukaisuuden ja muun tasapuolisuuden varmistamiseksi (PeVL 32/2012 vp, s. 4–5, PeVL 10/2009 vp, s. 4, PeVL 55/2002 vp, s. 4, PeVL 47/2002 vp, s. 4, PeVL 46/2002 vp, s. 9) samoin kuin soveltamiskäytännön yhdenmukaisuuden varmistamiseksi (PeVL 30/2005 vp, s. 5, PeVL 13/2005 vp, s. 3–4, PeVL 33/2000 vp, s. 3), vaikka käsillä ei olisikaan yksilön oikeutta tai velvollisuutta koskeva asia. Kun muutoksenhaun kohteena on julkisen vallan käyttöön perustuva päätös hallinnollisen seuraamuksen määräämisestä, on muutoksenhaku yleensä järjestettävä hallintolainkäyttölain (586/1996) mukaisesti (PeVL 4/2005 vp, s. 3/II). Oikeusturvajärjestelyjen asianmukaisuutta arvioitaessa on kiinnitetty huomiota myös siihen, voidaanko hallinnollinen sanktio panna täytäntöön muutoksenhausta riippumatta (PeVL 4/2004 vp, s. 7). Perustuslain 21 §:n mukaan jokaisella on oikeus saada asiansa käsitellyksi asianmukaisesti ja ilman aiheetonta viivytystä lain mukaan toimivaltaisessa tuomioistuimessa tai muussa viranomaisessa sekä oikeus saada oikeuksiaan ja velvollisuuksiaan koskeva päätös tuomioistuimen tai muun riippumattoman lainkäyttöelimen käsiteltäväksi. Käsittelyn julkisuus sekä oikeus tulla kuulluksi, saada perusteltu päätös ja hakea muutosta samoin kuin muut oikeudenmukaisen oikeudenkäynnin ja hyvän hallinnon takeet turvataan lailla.

Lentoliikenteen harjoittajalla olisi oikeus tulla kuulluksi ennen liikenteenharjoittajan seuraamusmaksun määräämistä. Laissa säädettäisiin myös muutoksenhausta. Lain nojalla maksettavaksi määrätty seuraamusmaksu pantaisiin täytäntöön siinä järjestyksessä kuin sakon täytäntöönpanosta annetussa laissa säädetään. Lentoliikenteen harjoittajan seuraamusmaksuun haettaisiin muutosta valittamalla hallinto-oikeuteen siten kuin hallintolainkäyttölaissa (586/1996) säädetään. Hallinto-oikeuden päätökseen saisi hakea muutosta valittamalla vain, jos korkein hallinto-oikeus myöntää valitusluvan. Ottaen huomioon lentoliikenteen harjoittajille säädettävät oikeusturvan takeet, ehdotusta ei olisi pidettävä perustuslain mukaisen oikeusturvan kannalta ongelmallisena.

Ahvenanmaan itsehallintolain (1144/1991) 27 §:n mukaan 22 kohdan mukaan valtakunnan lainsäädäntövaltaan kuuluvat rikosoikeutta koskevat asiat 18 §:n 25 kohdassa säädetyin poikkeuksin. Jälkimmäisen kohdan mukaan maakunnan lainsäädäntövaltaan kuuluvat asiat, jotka koskevat teon rangaistavaksi säätämistä ja rangaistuksen määräämistä, kun kysymys on maakunnan lainsäädäntövaltaan kuuluvasta oikeudenalasta. Lakiesitys ei 18 §:n muiden kohtien perusteella kuulu maakunnan lainsäädäntövaltaan. Ahvenanmaan itsehallintolain 27 §:n 23 kohdan mukaan lainkäyttöä ja esitutkintaa koskevat asiat kuuluvat valtakunnan lainsäädäntövaltaan eräin sellaisin poikkeuksin, joista direktiivissä ei ole kysymys. Lakiesitys ei siten sisällä maakunnan lainsäädäntövaltaan liittyviä säännöksiä.

Edellä mainituilla perusteilla lakiesitys voidaan käsitellä tavallisen lain säätämisjärjestyksessä. Hallitus pitää kuitenkin tarkoituksenmukaisena, että eduskunta pyytää esityksestä perustuslakivaliokunnan lausunnon.

Lakiehdotukset

1.

Eduskunnan päätöksen mukaisesti säädetään:

1 §
Soveltamisala

Tällä lailla pannaan täytäntöön matkustajarekisteritietojen (PNR) käytöstä terrorismirikosten ja vakavan rikollisuuden ennalta estämistä, paljastamista ja tutkintaa sekä tällaisin rikoksiin liittyviä syytetoimia varten annettu Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/681, jäljempänä matkustajarekisteridirektiivi.

2 §
Suhde muuhun lainsäädäntöön

Sen lisäksi, mitä tässä laissa säädetään, matkustajarekisteritietojen käsittelyyn sovelletaan henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annettua lakia ( / ).

Poliisin, Tullin ja Rajavartiolaitoksen oikeudesta saada lentoliikenteen matkustajia koskevia tietoja säädetään myös henkilötietojen käsittelystä poliisitoimessa annetussa laissa (761/2003), henkilötietojen käsittelystä Rajavartiolaitoksessa annetussa laissa (579/2005) ja henkilötietojen käsittelystä Tullissa annetussa laissa (639/2015).

3 §
Määritelmät

Tässä laissa tarkoitetaan:

1) lentoliikenteen harjoittajalla lentoliikenneyritystä, jolla on voimassa oleva liikennelupa tai muu vastaava lupa, jonka nojalla yritys voi kuljettaa matkustajia lentoteitse;

2) Euroopan unionin ulkopuolisella lennolla mitä tahansa lentoliikenteen harjoittajan reitti- tai tilauslentoa, joka lennetään kolmannesta maasta ja jonka on määrä laskeutua jäsenvaltion alueelle tai joka lentää jäsenvaltion alueelta ja jonka on määrä laskeutua kolmanteen maahan, mukaan lukien molemmissa tapauksissa lennot, joihin sisältyy välilasku jäsenvaltioiden tai kolmansien maiden alueella;

3) Euroopan unionin sisäisellä lennolla mitä tahansa lentoliikenteen harjoittajan reitti- tai tilauslentoa, joka lennetään jäsenvaltion alueelta ja jonka on määrä laskeutua yhden tai useamman muun jäsenvaltion alueelle ilman välilaskuja jonkin kolmannen maan alueelle;

4) matkustajalla henkilöä, mukaan lukien vaihto- tai kauttakulkumatkustajat, lukuun ottamatta miehistön jäseniä, jota kuljetetaan tai on tarkoitus kuljettaa ilma-aluksella lentoliikenteenharjoittajan suostumuksella, joka käy ilmi henkilön kirjaamisesta matkustajaluetteloon;

5) matkustajarekisteritiedoilla kunkin matkustajan matkustustiedot sisältävää rekisteriä, joka sisältää tiedot, joita lippuvarauksia tekevät sekä kuljetukseen osallistuvat lentoliikenteen harjoittajat tarvitsevat varausten käsittelyä ja valvontaa varten kunkin matkan osalta, jonka henkilö on varannut tai joka on varattu hänen puolestaan, riippumatta siitä, sisältyykö rekisteri varausjärjestelmään, lähtöselvitysjärjestelmään, jota käytetään lentomatkustajien lähtöselvityksen tekemiseksi, tai muuhun vastaavaan järjestelmään;

6) terrorismirikoksella rikoslain (39/1889) 34 a luvun 1—5 §:ssä tarkoitettuja rikoksia;

7) vakavalla rikollisuudella sellaisia matkustajarekisteridirektiivin liitteessä II tarkoitettuja rikosten muotoja, joista enimmäisrangaistukseksi on säädetty vähintään kolme vuotta vankeutta;

8) häivyttämisellä tietojen osien, joiden avulla voisi olla mahdollista tunnistaa välittömästi matkustaja, saattamista käyttäjälle näkymättömiksi;

9) toimivaltaisilla viranomaisilla poliisia, Tullia ja Rajavartiolaitosta; sekä

10) Europolilla Euroopan unionin lainvalvontayhteistyövirastosta (Europol) sekä neuvoston päätösten 2009/371/YOS, 2009/934/YOS, 2009/935/YOS, 2009/936/YOS ja 2009/968/YOS korvaamisesta ja kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/794 1 artiklan 1 kohdassa tarkoitettua virastoa.

4 §
Lentoliikenteen harjoittajan velvollisuus toimittaa matkustajarekisteritietoja

Lentoliikenteen harjoittajan on toimitettava 5 §:ssä tarkoitetulle matkustajatietoyksikölle 2 momentissa tarkoitetut matkustajarekisteritiedot sekä Euroopan unionin ulkopuolisista että Euroopan unionin sisäisistä saapuvista ja lähtevistä operoimistaan lennoista siltä osin kuin niitä on kerätty tavanomaisen liiketoiminnan yhteydessä. Yhteistunnuksin suoritetuista lennoista velvollisuus koskee lennon operoivaa yritystä. Jos lentoliikenteen harjoittaja on kerännyt myös matkustajarekisteridirektiivin liitteen I kohdassa 18 tarkoitettuja matkustajan ennakkotietoja, mutta ei säilytä niitä samoin teknisin keinoin kuin muita matkustajarekisteritietoja, myös nämä tiedot on toimitettava. Lentoliikenteen harjoittajan on toimitettava matkustajarekisteritiedot maksutta.

Matkustajarekisteritietoja ovat;

1) matkustajarekisterin varaustunnus;

2) lipun varauspäivä/kirjoituspäivä;

3) suunniteltu (suunnitellut) matkustuspäivä(t);

4) nimi (nimet);

5) osoite ja yhteystiedot;

6) kaikki maksutapaa koskevat tiedot;

7) tietyn matkustajarekisterin kaikki matkareittitiedot;

8) kanta-asiakastiedot;

9) matkatoimisto- ja matkatoimistovirkailijatiedot;

10) matkustajan matkustustilanne mukaan luettuina vahvistukset, lähtöselvitystilanne, viime hetkellä lennolta pois jääminen tai viime hetken lähtö ilman varausta;

11) jaetut matkustajarekisteritiedot;

12) yleiset huomautukset;

13) lipunkirjoituskentän tiedot;

14) istumapaikan numero ja muut paikkatiedot;

15) yhteistunnusten käyttöä koskevat tiedot;

16) kaikki matkatavaratiedot;

17) muiden matkustajarekisteritiedoissa olevien matkustajien määrä ja nimet;

18) matkustajan ennakkotiedot, jos sellaisia on kerätty; sekä

19) kaikki aiemmin tehdyt muutokset 1—18 kohdassa tarkoitettuihin matkustajarekisteritietoihin.

Matkustajarekisteritiedot on toimitettava 24 tuntia ennen lennon aikataulunmukaista saapumis- tai lähtöaikaa sekä välittömästi lennon sulkeuduttua, jolloin tietojen toimittamisen voi rajata myös aikaisemmin toimitettujen tietojen päivityksiin. Jos tiedot ovat tarpeen terrorismirikoksiin tai vakavaan rikollisuuteen liittyvään määrättyyn ja tosiasialliseen uhkaan reagoimiseksi, tiedot on matkustajatietoyksikön pyynnöstä toimitettava muinakin ajankohtina.

Matkustajarekisteritiedot on toimitettava lentoliikenteen harjoittajien suorittamassa PNR- tietojen matkustajatietoyksiköille siirrossa käytettävistä yhteisistä yhteyskäytännöistä ja tietomuodoista annetun Euroopan komission täytäntöönpanopäätöksen (EU) 2017/759 mukaisesti.

5 §
Matkustajatietoyksikkö

Tässä laissa tarkoitettuna matkustajatietoyksikkönä toimii poliisin, Tullin ja Rajavartiolaitoksen yhteistoiminnasta annetun lain (687/2009) 5 §:ssä tarkoitettu valtakunnallinen PTR- rikostiedusteluyksikkö.

Matkustajatietoyksikön tehtävänä on matkustajarekisteritietojen vastaanottaminen ja niiden käsittely tämän lain mukaisesti.

6 §
Rekisterinpitäjä ja tietosuojavastaava

Poliisihallitus toimii matkustajatietoyksikön matkustajarekisteritietoja sisältävän rekisterin rekisterinpitäjänä ja vastaa tietosuojavastaavan nimeämisestä. Tietosuojavastaava on vastuussa matkustajarekisteritietojen käsittelyn valvonnasta ja tietosuojaan liittyvien toimenpiteiden täytäntöönpanosta matkustajatietoyksikössä.

Tietosuojavastaavalla on pääsy matkustajatietoyksikön käsittelemiin tietoihin. Rekisteröidyllä on oikeus ottaa yhteyttä tietosuojavastaavaan kaikissa kyseisen rekisteröidyn matkustajarekisteritietojen käsittelyyn liittyvissä asioissa.

7 §
Matkustajarekisteritietojen käsittely

Matkustajatietoyksikkö saa käsitellä matkustajarekisteritietoja sellaisten henkilöiden tunnistamiseksi, joilla saattaa olla osallisuutta terrorismirikoksiin tai vakavaan rikollisuuteen, seuraavasti:

1) ennen matkustajien aikataulun mukaista saapumista tai lähtemistä;

2) toimivaltaisilta viranomaisilta tai toisen jäsenvaltion matkustajatietoyksiköltä tai Europolilta tulleesta perustellusta ja riittäviin havaintoihin perustuvasta pyynnöstä,

3) ennalta määritettyjen arviointi- ja analyysikriteerien mukaisesti tai kyseisten kriteerien päivittämiseksi tai uusien kriteerien määrittämiseksi.

Matkustajatietoyksikkö vahvistaa 1 momentin 3 kohdassa tarkoitetut arviointi- ja analyysikriteerit ja tarkistaa ne säännöllisesti yhdessä toimivaltaisten viranomaisten kanssa. Arviointikriteerien on oltava kohdennettuja, oikeasuhtaisia ja selkeitä. Ne eivät saa perustua henkilön rotuun tai etniseen alkuperään, poliittisiin mielipiteisiin, uskonnolliseen tai filosofiseen vakaumukseen, ammattiliiton jäsenyyteen eivätkä terveydentilaa, sukupuolielämää tai sukupuolista suuntautuneisuutta koskeviin tietoihin.

Matkustajatietoyksikkö voi 1 momentissa tarkoitetun käsittelyn yhteydessä verrata matkustajarekisteritietoja automatisoidusti seuraavien tietokantojen ja rekisterien tietoihin:

1) henkilötietojen käsittelystä poliisitoimessa annetun lain 2—4 ja 6 §:ssä tarkoitetut poliisin tietojärjestelmät ja henkilörekisterit;

2) henkilötietojen käsittelystä poliisitoimessa annetun lain 5 §:ssä tarkoitettu suojelupoliisin toiminnallinen tietojärjestelmä;

3) henkilötietojen käsittelystä poliisitoimessa annetun lain 32 §:n 2 kohdassa tarkoitettu Schengenin tietojärjestelmä;

4) henkilötietojen käsittelystä Rajavartiolaitoksessa annetun lain 7 §:ssä tarkoitettu tutkinta- ja virka-apurekisteri ja 9 §:ssä tarkoitettu valvonta-asioiden rekisteri sekä 11 §:ssä tarkoitettu rikoksesta epäiltyjen Rajavartiolaitoksen rekisteri;

5) henkilötietojen käsittelystä Tullissa annetun lain 3—7 §:ssä tarkoitetut tietojärjestelmät ja henkilörekisterit;

6) ulkomaalaisrekisteristä annetun lain (1270/1997) 2 §:ssä tarkoitettu ulkomaalaisrekisteri;

7) ajoneuvoliikennerekisteristä annetun lain (541/2003) 1 §:ssä tarkoitettu ajoneuvoliikennerekisteri;

8) vesikulkuneuvorekisteristä annetun lain (424/2014) 1 §:ssä tarkoitettu vesikulkuneuvorekisteri;

9) väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetun lain (661/2009) 3 §:ssä tarkoitettu väestötietojärjestelmä;

10) kansainvälisen rikospoliisijärjestön (I.P.C.O. - Interpol) tietokannat; sekä

11) Euroopan unionin lainvalvontayhteistyövirastosta annetun lain (214/2017) 3 §:n 2 momentissa tarkoitetut tiedot.

Edellä 1 momentin 1 kohdassa tarkoitetun matkustajarekisteritietojen käsittelyn tuloksena saadut osumat on tarkistettava yksittäin.

Edellä 3 momentin 2 kohdassa tarkoitetun suojelupoliisin toiminnallisen tietojärjestelmän tietojen vertailu on toteutettava tietoturvallisella tavalla siten kuin suojelupoliisin kanssa sovitaan. Vertailun voi suorittaa ainoastaan suojelupoliisin matkustajatietoyksikköön määräämä virkamies. Vertailun tulokset voidaan luovuttaa eteenpäin ainoastaan suojelupoliisin suostumuksella.

8 §
Matkustajarekisteritietojen toimittaminen toimivaltaisille viranomaisille

Matkustajatietoyksikön on toimitettava matkustajarekisteritietojen 7 §:n 1 momentin 1 kohdassa tarkoitetun käsittelyn tuloksena tunnistettujen henkilöiden matkustajarekisteritiedot tai tietojen käsittelyn tulokset toimivaltaisille viranomaisille, jotta nämä voivat tehdä selvityksiä kyseisten henkilöiden osallisuudesta terrorismirikoksiin tai vakavaan rikollisuuteen.

Tiedot tai tietojen käsittelyn tulokset voidaan toimittaa toimivaltaisille viranomaisille myös näiden asianmukaisesta ja perustellusta pyynnöstä käsitellä tietoja terrorismirikosten tai vakavan rikollisuuden ennalta estämistä, paljastamista ja tutkintaa sekä tällaisiin rikoksiin liittyviä syytetoimia varten.

Edellä 1 ja 2 momenteissa tarkoitetut tiedot voidaan toimittaa vain tapauskohtaisesti.

Toimivaltaiset viranomaiset voivat käyttää matkustajatietoyksikön toimittamia tietoja myös tietojen käsittelyn yhteydessä esiin tulleiden rikosten ja niihin viittaavien seikkojen selvittämiseksi, ennalta estämiseksi ja paljastamiseksi sekä toiminnan suuntaamiseksi ja syyttömyysolettaman tukemiseksi.

9 §
Matkustajarekisteritietojen pyytäminen toisilta jäsenvaltioilta ja tietojen näille luovuttaminen

Matkustajatietoyksikkö voi pyytää matkustajarekisteritietoja toisen jäsenvaltion matkustajatietoyksiköltä terrorismirikoksen tai vakavan rikollisuuden ennalta estämistä, paljastamista ja tutkintaa sekä tällaisiin rikoksiin liittyviä syytetoimia varten. Pyyntö on perusteltava. Matkustajatietoyksikön on toimitettava toisen jäsenvaltion matkustajatietoyksiköltä saadut matkustajarekisteritiedot tai tietojen käsittelyn tulokset toimivaltaiselle viranomaiselle.

Matkustajatietoyksikön on toimitettava matkustajarekisteritietojen 7 §:n 1 momentin 1 kohdassa tarkoitetun käsittelyn perusteella tunnistamiensa henkilöiden tiedot toisten jäsenvaltioiden vastaaville matkustajatietoyksiköille. Toimitettavien tietojen on sisällettävä käsittelyn tuloksena tunnistettujen henkilöiden kaikki olennaiset ja välttämättömät tiedot tai tietojen käsittelyn tulokset. Matkustajatietoyksikkö voi tämän lisäksi toimittaa matkustajarekisteritietoja tai tietojen käsittelyn tuloksia toisen jäsenvaltion matkustajatietoyksikölle tämän perustellusta pyynnöstä.

Toimivaltaiset viranomaiset voivat pyytää matkustajarekisteritietoja suoraan toisen jäsenvaltion matkustajatietoyksiköltä, kun se on tarpeen hätätilanteessa terrorismirikoksen tai vakavan rikollisuuden ennalta estämistä, paljastamista ja tutkintaa sekä tällaisiin rikoksiin liittyviä syytetoimia varten. Pyyntö on perusteltava ja siitä on lähetettävä tieto matkustajatietoyksikölle. Vastaavilla edellytyksillä matkustajatietoyksikkö voi toimittaa matkustajarekisteritietoja toisen jäsenvaltion toimivaltaisille viranomaisille näiden pyynnön perusteella.

10 §
Matkustajarekisteritietojen toimittaminen Europolille

Matkustajatietoyksikkö voi perustellusta pyynnöstä toimittaa matkustajarekisteritietoja tai tietojen käsittelyn lisäselvitysten tuloksia Europolille 3 §:n 10 kohdassa tarkoitetun asetuksen IV luvussa tarkoitettua tietojenkäsittelyä varten terrorismirikosten tai vakavan rikollisuuden ennalta estämistä, paljastamista ja tutkintaa sekä tällaisiin rikoksiin liittyviä syytetoimia varten, kun toimittaminen on tarpeen asetuksen 3 artiklassa tarkoitetun jäsenvaltioiden toimivaltaisten viranomaisten rikostorjuntayhteistyön ja keskinäisen yhteistyön tavoitteiden saavuttamiseksi.

11 §
Matkustajarekisteritietojen siirtäminen kolmansiin maihin

Matkustajatietoyksikkö saa siirtää matkustajarekisteritietoja ja tietojen käsittelyn tuloksia kolmanteen maahan vain yksittäistapauksessa ja edellyttäen, että:

1) henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetun lain 41—43 §:n säännöksiä noudatetaan; ja

2) siirtäminen on tarpeen terrorismirikosten tai vakavan rikollisuuden ennalta estämistä, paljastamista ja tutkintaa sekä tällaisiin rikoksiin liittyviä syytetoimia varten.

Matkustajatietoyksikkö voi antaa luvan siirtämiensä matkustajarekisteritietojen ja tietojen käsittelyn tulosten siirtämiseen kolmannesta maasta edelleen muuhun kolmanteen maahan, jos siirtäminen on välttämätöntä terrorismirikosten tai vakavan rikollisuuden torjumiseksi.

Matkustajatietoyksikkö saa siirtää toisen jäsenvaltion matkustajatietoyksiköltä saatuja matkustajarekisteritietoja kolmanteen maahan ilman kyseisen jäsenvaltion matkustajatietoyksikön lupaa vain, jos siirto on olennaisen tärkeää jäsenvaltioon tai kolmanteen maahan kohdistuvaan terrorismirikoksia tai vakavaa rikollisuutta koskevaan määrättyyn ja tosiasialliseen uhkaan vastaamiseksi, eikä lupaa voida saada ajoissa. Siirrosta on ilmoitettava kyseisen jäsenvaltion matkustajatietoyksikölle ja siirto on kirjattava asianmukaisesti ja tarkistettava jälkikäteen.

Ennen matkustajarekisteritietojen kolmannen maan toimivaltaisille viranomaisille siirtämistä matkustajatietoyksikön on varmistettava, että kolmas maa aikoo käyttää tietoja tässä pykälässä tarkoitettujen ehtojen ja suojakeinojen mukaisesti. Tietojen siirtämisestä on ilmoitettava matkustajatietoyksikön tietosuojavastaavalle.

12 §
Matkustajarekisteritietojen poistaminen, häivyttäminen ja häivytettyjen tietojen luovuttaminen

Matkustajatietoyksikön on poistettava matkustajarekisteritiedot 6 §:ssä tarkoitetusta rekisteristä viiden vuoden kuluttua siitä, kun ne on toimitettu matkustajatietoyksikölle. Kuuden kuukauden kuluttua tietojen matkustajatietoyksikölle toimittamisesta tiedoista on erotettava häivyttämällä seuraavat matkustajarekisteritiedot:

1) nimi/nimet, mukaan lukien muiden matkustajarekisterin tiedoissa mainittujen yhdessä matkustavien matkustajien nimet ja lukumäärä;

2) osoite ja muut yhteystiedot;

3) kaikki maksutapaa koskevat tiedot, myös laskutusosoite, sikäli kuin ne sisältävät tietoja, joiden avulla voisi olla mahdollista tunnistaa välittömästi matkustaja, johon matkustajarekisterin tiedot liittyvät, tai muita henkilöitä;

4) kanta-asiakastiedot;

5) yleiset huomautukset; sekä

6) matkustajan ennakkotiedot, jos sellaisia on kerätty.

Matkustajatietoyksikön tulee poistaa 7 §:n 1 momentin 1 kohdassa tarkoitetun käsittelyn tulokset, kun osumasta on ilmoitettu toimivaltaisille viranomaisille tai toisen jäsenvaltion matkustajatietoyksikölle. Jos tulos osoittautuu lisäselvitysten jälkeen virheelliseksi, virheelliseksi todettu tieto saadaan myöhempien virheosumien välttämiseksi tallettaa siihen saakka kun tiedot on 1 momentin nojalla poistettu. Virheellisestä tuloksesta on ilmoitettava sille toimivaltaiselle viranomaiselle tai toisen jäsenvaltion matkustajatietoyksikölle, jolle käsittelyn tulokset on luovutettu.

Jos matkustajarekisteritietoihin sisältyy muita kuin 4 §:n 2 momentissa tarkoitettuja tietoja tai tietoja, jotka paljastavat henkilön rodun tai etnisen alkuperän, poliittiset mielipiteet, uskonnollisen tai filosofisen vakaumuksen, ammattiliiton jäsenyyden, terveydentilan tai seksuaalielämän tai sukupuolisen suuntautumisen, tiedot on poistettava välittömästi niiden vastaanottamisen jälkeen.

Matkustajarekisteritiedot, joista on erotettu häivyttämällä 1 momentissa tarkoitetut tiedot, voidaan luovuttaa häivytetyt tiedot mukaan lukien vain matkustajatietoyksikön päällikön tai hänen määräämänsä matkustajatietoyksikön henkilöstöön kuuluvan päätöksellä. Jos kyseessä on toisen jäsenvaltion matkustajatietoyksikön pyyntö, edellytyksenä on lisäksi, että tietojen luovuttamisen voidaan kohtuudella olettaa olevan tarpeen terrorismirikosten tai vakavan rikollisuuden torjumiseksi.

13 §
Rekisteröidyn tarkastusoikeuden rajoittaminen

Henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetun lain 23 §:stä poiketen tarkastusoikeutta ei ole matkustajarekisteritietojen käsittelyn tuloksia koskeviin tietoihin.

Tietosuojavaltuutettu voi rekisteröidyn pyynnöstä tarkastaa 1 momentissa tarkoitettujen tietojen lainmukaisuuden.

14 §
Lentoliikenteen harjoittajan seuraamusmaksu

Lentoliikenteen harjoittajalle, joka rikkoo 4 §:ssä säädetyn matkustajarekisteritietojen toimittamisvelvollisuuden, määrätään seuraamusmaksu. Maksun suuruus on 3 000 euroa kutakin sellaista lentoa kohden, jolta ei ole toimitettu matkustajarekisteritietoja tai ne on toimitettu ilmeisen puutteellisesti.

Seuraamusmaksua ei määrätä, jos virhe matkustajarekisteritietojen toimittamisessa on tapahtunut olosuhteet huomioon ottaen anteeksi annettavasta huomaamattomuudesta tai maksun määrääminen olisi olosuhteet huomioon ottaen kohtuutonta.

Seuraamusmaksua ei voida määrätä sille, jota epäillään samasta teosta esitutkinnassa, syyteharkinnassa tai tuomioistuimessa vireillä olevassa rikosasiassa. Seuraamusmaksua ei voida määrätä myöskään sille, jolle on samasta teosta annettu lainvoimainen tuomio tai jolle on määrätty ulkomaalaislain (301/2004) 179 §:n mukainen liikenteenharjoittajan seuraamusmaksu henkilötietojen käsittelystä rajavartiolaitoksessa annetun lain 20 §:n rikkomisesta.

15 §
Lentoliikenteen harjoittajan kuuleminen

Lentoliikenteen harjoittajalle on ennen seuraamusmaksun määräämistä varattava kirjallisesti tilaisuus antaa selityksensä määräajassa, joka ei saa olla kahta viikkoa lyhyempi.

16 §
Seuraamusmaksun määrääminen

Seuraamusmaksun määrää keskusrikospoliisin päällikkö tai hänen määräämänsä virkamies. Seuraamusmaksu määrätään maksettavaksi valtiolle. Seuraamusmaksun määräämistä koskevaa päätöstä on muutoksenhausta huolimatta noudatettava, jollei muutoksenhakuviranomainen toisin määrää. Maksu on määrättävä viimeistään kahden vuoden kuluessa 14 §:n 1 momentissa tarkoitetusta lentoliikenteen harjoittajan rikkomuksesta.

17 §
Maksuaika

Seuraamusmaksu on maksettava kuukauden kuluessa päätöksen tiedoksi saamisesta. Maksettavaksi erääntyneelle seuraamusmaksulle, jota ei ole suoritettu viimeistään eräpäivänä, peritään viivästyskorkoa korkolain (633/1982) 4 §:n 1 momentissa tarkoitetun korkokannan mukaan.

18 §
Seuraamusmaksun täytäntöönpano ja muutoksenhaku

Seuraamusmaksun täytäntöönpanosta huolehtii oikeusrekisterikeskus. Oikeusrekisterikeskukselle on ilmoitettava viranomaisen tai tuomioistuimen päätöksestä, jolla seuraamusmaksua on alennettu tai maksu on poistettu. Oikeusrekisterikeskuksen on hakemuksetta palautettava perusteettomasti maksettu seuraamusmaksu.

Tämän lain nojalla maksettavaksi määrätty seuraamusmaksu pannaan täytäntöön siinä järjestyksessä kuin sakon täytäntöönpanosta annetussa laissa (672/2002) säädetään. Lentoliikenteen harjoittajan kuulemista ja seuraamusmaksun määräämispäätöstä sekä päätöksen täytäntöönpanoa koskevat tiedoksiannot voidaan tehdä kenelle tahansa kyseisen lentoliikenteen harjoittajan palveluksessa olevalle ilma-aluksen päällikölle, ellei liikenteen harjoittajalla ole Suomessa nimettyä edustajaa.

Seuraamusmaksua koskevaan päätökseen haetaan muutosta valittamalla hallinto-oikeuteen siten kuin hallintolainkäyttölaissa (586/1996) säädetään. Hallinto-oikeuden päätökseen saa hakea muutosta valittamalla vain, jos korkein hallinto-oikeus myöntää valitusluvan. Seuraamusmaksu vanhenee viiden vuoden kuluttua lainvoiman saaneen päätöksen tekemisestä.

19 §
Voimaantulo

Tämä laki tulee voimaan päivänä kuuta 20 .

---

2.

Eduskunnan päätöksen mukaisesti

muutetaan poliisin, Tullin ja Rajavartiolaitoksen yhteistoiminnasta annetun lain (687/2009) 5 §:n 1 momentti, sellaisena kuin se on laissa 881/2011, seuraavasti:

5 §
PTR-rikostiedusteluyksiköt

PTR-viranomaisten rikostiedustelu- ja rikosanalyysitoimintaa varten on valtakunnallinen PTR- rikostiedusteluyksikkö, jonka lisäksi voidaan perustaa alueellisia ja paikallisia PTR-rikostiedusteluyksiköitä. PTR-rikostiedusteluyksiköissä voi toimia PTR-viranomaisten erikseen tehtävään määrättyjä edustajia.

---

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

3.

Eduskunnan päätöksen mukaisesti

muutetaan sakon täytäntöönpanosta annetun lain (672/2002) 1 §:n 1 momentin 11 kohta, sellaisena kuin se on laissa 470/2017, sekä

lisätään 1 §:n 1 momenttiin, sellaisena kuin se on laeissa 224/2008, 462/2011, 348/2013, 257/2014, 671/2015, 451/2016 ja 470/2017, uusi 12 kohta seuraavasti:

1 §
Lain soveltamisala

Tässä laissa säädetyssä järjestyksessä pannaan täytäntöön seuraavat seuraamukset:

---

11) rahanpesun ja terrorismin rahoittamisen estämisestä annetun lain (444/2017) 8 luvun 1 §:ssä tarkoitettu rikemaksu ja 8 luvun 3 §:ssä tarkoitettu seuraamusmaksu;

12) lentoliikenteen matkustajarekisteritietojen käytöstä terrorismin ja vakavan rikollisuuden torjunnassa annetun lain (  /  ) 14 §:ssä tarkoitettu lentoliikenteen harjoittajan seuraamusmaksu.

---

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

Helsingissä 19 päivänä huhtikuuta 2018

Pääministeri
Juha Sipilä

Sisäministeri
Kai Mykkänen